Protegendo os Controladores de Domínio Baseados no Windows Server 2003

Artigo
03/24/2009

Nesta página

Introdução
Antes de Iniciar
Protegendo Seus Controladores de Domínio
Autorizando Serviços Adicionais em Controladores de Domínio
Protegendo o DNS Server Service
Mantendo a Segurança dos Seus Controladores de Domínio
Informações Relacionadas

Introdução

A perda de dados ou lucros resultante de um ataque malicioso ao sistema de um computador pode ser algo devastador para uma organização. A fim de ajudar a proteger os sistemas e dados do computador da sua empresa contra as constantes ameaças de códigos maliciosos usados em worms, vírus, e ataques maliciosos, é fundamental que você implemente medidas de segurança para ajudar a reduzir a exposição a esses assuntos.

Os controladores de domínio, em sua rede, são o núcleo do serviço de diretório do Directory. Eles contêm todas as informações da sua conta, sem as quais os usuários não conseguem efetuar logon na rede e nem acessar recursos dos quais precisam para realizar suas tarefas.

Devido às informações pertinentes aos controladores de domínio e à sua importante função em qualquer ambiente, obviamente eles acabam se tornando alvos de ataques maliciosos. Por esse motivo, você deve ter os controladores de domínio no local mais seguro possível; deve atualizá-los conforme as últimas atualizações de segurança; e deve também desabilitar serviços desnecessários para minimizar sua exposição à worms, vírus e ataques maliciosos.

Este manual fornece instruções passo a passo para ajudá-lo a implementar rapidamente as medidas de segurança, a fim de bloquear a configuração de seus controladores de domínio. Todas as instruções deste documento foram desenvolvidas usando-se o menu "Start" padrão, no Microsoft Windows XP.

Para aprimorar a segurança do ambiente, você irá aplicar a Política de Grupo, que é a tecnologia de gerenciamento de alterações e de configurações, incluída no Active Directory, em seus controladores de domínio. Este manual irá conduzi-lo pelas seguintes tarefas:

Proteger seus controladores de domínio usando a Política de Grupo.
Configurar a Política de Grupo para fornecer funcionalidade adicional de controlador de domínio.
Proteger o serviço DNS Server.
Manter a segurança de seus controladores de domínio.

Nota: Configurar a Política de Grupo em seus controladores de domínio é apenas um primeiro passo para aprimorar a segurança deles e de todo o seu ambiente.

Confira e complete as tarefas do Manual de Segurança "Protegendo os Clientes Windows XP Professional em um Ambiente do Windows Server". Concluir essas tarefas irá ajudá-lo a aprimorar a segurança de seus controladores de domínio.

Após completar essas tarefas, seus controladores de domínio irão conter um nível regular de segurança que pode ajudar a proteger seu ambiente contra inúmeras ameaças à segurança. Concluir essas tarefas também garante que os controladores de domínio executem somente os serviços necessários para fornecer ao seu ambiente. Além disso, configurar as Atualizações Automáticas ajuda você a manter seus controladores de domínio atualizados, apenas fazendo seu download e instalando as últimas atualizações que a Microsoft libera.

IMPORTANTE: Todas as instruções deste documento foram desenvolvidas usando-se o menu Start, que aparece quando você instala o sistema operacional. Caso você tenha modificado o seu menu Start, os passos podem ser um pouco diferentes.

Antes de Iniciar

Para concluir as tarefas deste manual, você deve efetuar logon aos controladores de domínio como membro da conta de Administradores do Domínio. Lembre-se de que alguns passos requerem a reinicialização do controlador, portanto, certifique-se realizar o procedimento durante o horário não comercial para minimizar o impacto aos usuários.

Este manual presume que o seu ambiente cliente consista de computadores que executem o Microsoft Windows 2000 Service Pack 2 (SP2) ou superior e o Windows XP Service Pack 1 (SP1). Muitas das tarefas e recomendações detalhadas aqui não são compatíveis com versões anteriores do Windows.

Se os seus computadores não possuem esses service packs instalados ou se você não sabe se estão, vá à página do Windows Update no site da Microsoft, em https://go.microsoft.com/fwlink/?LinkID=22630, e realize uma varredura em seu sistema. Se os service packs forem mostrados como atualizações disponíveis, você deve instalá-los antes de proceder com as tarefas deste documento. Mais informações sobre o uso do Windows Update serão fornecidas mais adiante aqui.

Protegendo Seus Controladores de Domínio

Você pode aprimorar a segurança dos seus controladores de domínio usando a Política de Grupo. As tarefas que seguem mostram a você como configurá-la para desabilitar serviços desnecessários ou não utilizados em seus controladores, que podem criar exposição indesejada quando habilitados. Para configurar a Política de Grupo para seus controladores de domínio, realize as seguintes tarefas:

Crie um novo objeto da Group Policy (Política de Grupo) e vincule-o à unidade organizacional (OU) dos Domain Controllers (Controladores de Domínio).
Importe as configurações de segurança da linha de base para o novo GPO usando o exemplo incluído neste manual.
Verifique as novas configurações, checando o Application log em seus controladores de domínio.

Você deve concluir os seguintes passos apenas uma vez. A segurança de todos os seus controladores de domínio é simultaneamente aprimorada depois que você configura o Domain Controllers Baseline Policy (Política de Linha de Base dos Controladores de Domínio).

IMPORTANTE: Você deve reiniciar todos os controladores de domínio para que o Domain Controllers Baseline Policy faça efeito. Certifique-se realizar o procedimento durante o horário não comercial para minimizar o impacto aos usuários.

Requisitos

Credenciais: Você deve estar registrado como membro do grupo Domain Admins.
Ferramentas: Active Directory Users and Computers.
Para acessar esta ferramenta, clique em Start, em Control Panel, e clique duas vezes em Administrative Tools, depois em Active Directory Users and Computers.
Arquivos: Você deve fazer o download do arquivo Enterprise Client ? Domain Controller.inf que está incluído no "Manual de Segurança do Windows Server 2003". Após fazer este download, copie-o para a pasta systemroot\Security\Templates do controlador de domínio sobre o qual está trabalhando. (Por exemplo, em uma configuração básica, você copia o arquivo .inf para o C:\Windows\Security\pasta Templates)
Para fazer o download do arquivo Enterprise Client? Domain Controller.inf
1. No controlador de domínio, abra um navegador da Web e vá para a página Windows Server 2003 Security Guide (em inglês) do site do Microsoft Download Center em https://go.microsoft.com/fwlink/?LinkId=14846.
2. Na parte inferior da página, abaixo de Files in This Download, clique em Windows_Server_2003_Security_Guide.exe.
3. Na caixa de diálogo File Download, clique em Save.
4. Ao ser avisado para escolher um local, expanda a caixa de lista Save in, selecione Desktop, e então crie uma nova pasta para salvar o arquivo fazendo o seguinte:
  1. Clique com o botão direito no espaço em branco dentro da caixa de diálogo Save As, aponte para New, e clique em Folder.
  2. Digite um nome descritivo para a pasta (substitua o texto destacado, New Folder, com o seu nome descritivo), clique duas vezes na nova pasta para que ela seja selecionada na caixa Save in, e depois clique em Save.
5. Após a conclusão do download, na caixa Download complete, clique em Close.
6. Na nova pasta, em sua área de trabalho, clique duas vezes no arquivo Windows_Server_2003_Security_Guide.exe para abrir o Auto-Extrator do WinZip.
7. Na caixa de diálogo WinZip Self-Extractor:
  1. Clique em Browse, selecione a pasta criada para o download, clique na pasta para abri-la e depois clique em OK.
  2. Na caixa de diálogo WinZip Self-Extractor, clique em Unzip.
    Você receberá uma mensagem de confirmação informando que o arquivo foi descompactado com sucesso.
8. No conjunto de arquivos e pastas extraídos, clique duas vezes na pasta Windows Server 2003 Security Guide para abri-la, abra a pasta Tools and Templates, depois a pasta Security Guide, e depois abra a pasta Security Templates.
9. Na pasta Security Templates, clique com o botão direito no arquivo Enterprise Client - Domain Controller.inf, e copie o arquivo para a pasta systemroot\Security\Templates do controlador de domínio sobre o qual está trabalhando.
Para criar um novo GPO no OU dos Controladores de Domínio
1. Clique em Start, depois em Control Panel, clique duas vezes em Administrative Tools, depois em Active Directory Users and Computers, e mais um no seu domínio para expandir a árvore do domínio.
2. Clique com o botão direito na OU de Domain Controllers OU, e depois clique em Properties.
  
  Nota: As capturas de tela deste documento refletem um ambiente de teste. Os nomes de domínio e servidor em seu ambiente podem diferir dos que estão apresentados aqui.
3. Na caixa de diálogo Properties, clique na guia Group Policy, e depois em New para criar um novo GPO.
4. Nomeie a Política Domain Controllers Baseline Policy, e clique em Close.
Para importar as configurações de segurança da linha de base para o Domain Controllers Baseline Policy
1. Clique com o botão direito na OU de Domain Controllers, e depois clique em Properties.
2. Em sua caixa de diálogo, clique na guia Group Policy, e selecione Domain Controllers Baseline Policy.
3. Clique em Up para mover o novo GPO para o topo da lista e depois clique em Edit.
  
  IMPORTANTE: Certifique-se de que esteja editando o Domain Controllers Baseline Policy e não o Default Domain Controllers Policy. Modificações incorretas ao Default Domain Controllers Policy podem afetar, de forma prejudicial, seu ambiente e depois pode se tornar difícil achar uma solução.
4. Abaixo de Computer Configuration, clique duas vezes na pasta Windows Settings, clique com o botão direito em Security Settings e depois selecione Import Policy.
5. Na caixa de diálogo Import Policy From, selecione o arquivo Enterprise Client? Domain Controller.inf, e clique em Open.
6. Feche o Group Policy Object Editor, clique em OK para fechar a caixa de diálogo Properties, e saia do Active Directory Users and Computers.
7. Reinicie um controlador de domínio de cada vez.
  IMPORTANTE: Não reinicie todos os controladores de domínio simultaneamente, pois os usuários podem ter dificuldade para efetuar logon na rede ou acessar recursos de rede caso nenhum controlador esteja disponível.

Verificando Novas Configurações

Depois de configurar as definições da Política de Grupo, veja se todas elas foram adequadamente aplicadas.

Requisitos

Credenciais: Você deve estar registrado como membro do grupo Domain Admins.
Ferramentas: Event Viewer and Services.

Verifique se o log de evento da Aplicação, em cada um de seus controladores de domínio, contém um Event ID 1704.

Para verificar o log de evento da Aplicação
1. Clique em Start, em Control Panel; clique duas vezes em Administrative Tools, e depois clique em Event Viewer.
2. Em Event Viewer, clique em Application, e depois procure o evento mais recente de:
  - Type: Information
  - Source: SceCli
  - Event ID: 704
3. Se você clicar dias vezes sobre este evento, verá uma janela do Event Properties parecida com a que segue:
4. Clique em OK, e depois feche o Event Viewer.

Em seguida, verifique se os serviços desnecessários estão desabilitados em seus controladores de domínio.

Para verificar serviços desabilitados
1. Clique em Start, em Control Panel, clique duas vezes em Administrative Tools, e depois em Services.
2. Verifique se os serviços Alerter, Messenger e Task Scheduler não estão sendo executados, e que seu Modo de Inicialização está definido como Disabled.
  
  Nota: Os três serviços listados no passo 2 estão habilitados por padrão no Microsoft Windows Server 2003. Esses não são os únicos serviços desabilitados no Domain Controllers Baseline Policy, mas verificar sua configuração é um bom indício de que suas novas definições para a Política de Grupo fizeram efeito.
3. Feche a ferramenta Services.

Autorizando Serviços Adicionais em Controladores de Domínio

A Política de Linha de Base dos Controladores de Domínio que você implementou na seção anterior desabilita diversos serviços não utilizados para fornecer funcionalidade base ao controlador de domínio. Fazer essa alteração na configuração pode ajudar a aprimorar a segurança dos controladores de domínio; no entanto, a alteração evita que certos serviços, cujos controladores de domínio fornecem basicamente em pequenas e médias empresas, operem adequadamente.

Os passos que seguem mostram a você como modificar a sua Política de Grupo para habilitar novamente esses serviços adicionais. Veja as tarefas a seguir e realize-as em seus controladores de domínio apenas se a sua rede exigir funcionalidade adicional, que é fornecida por esses serviços:

Habilitando serviços DHCP
Habilitando serviços WINS
Habilitando serviços de Arquivo e de Impressão
Habilitando serviços IAS
Habilitando os Serviços de Certificação
Habilitando e Protegendo o Task Scheduler

Habilitando Serviços DHCP

Se algum de seus controladores de domínio estiver configurado como um servidor Dynamic Host Configuration Protocol (DHCP), você precisa modificar as definições da Política de Grupo para ele a fim de fornecer serviços DHCP em seu ambiente. Esta seção fornece a você instruções passo a passo para configurar a Política de Grupo para reabilitar os serviços DHCP.

Configurando a Política de Grupo para Habilitar Serviços DHCP

Você deve editar a Política da Linha de Base dos Controladores de Domínio para reabilitar o serviço DHCP Server em seus controladores de domínio. Seguir estes passos habilita o serviço DHCP Server em todos os controladores de domínio que fornecem serviços DHCP.

Requisitos

Credenciais: Você deve estar registrado como membro do grupo Domain Admins.
Leve em conta o impacto aos usuários: Você precisará reiniciar os controladores de domínio para concluir estes passos. Você deve concluí-los durante o horário não comercial a fim de minimizar o impacto aos usuários.
Para configurar Política de Grupo para habilitar os serviços DHCP
1. Clique em Start, em Control Panel, clique duas vezes em Administrative Tools, depois em Active Directory Users and Computers, e depois no seu domínio para expandir a árvore de domínios.
2. Clique com o botão direito na OU de Domain Controllers, e depois clique em Properties.
3. Na caixa de diálogo Properties, clique na guia Group Policy, em Domain Controllers Baseline Policy, e depois em Edit.
  IMPORTANTE: Certifique-se de que esteja editando o Domain Controllers Baseline Policy e não o Default Domain Controllers Policy. Modificações incorretas ao Default Domain Controllers Policy podem afetar, de forma prejudicial, o seu ambiente e depois pode se tornar difícil achar uma solução.
4. Abaixo de Computer Configuration, clique duas vezes na pasta Windows Settings, depois em Security Settings, e então clique em System Services.
5. No painel de detalhes (painel direito), clique duas vezes em DHCP Server, clique em Automatic, e depois clique em OK.
6. Feche o Group Policy Object Editor, clique em OK para fechar a caixa de diálogo Properties, e então saia do Active Directory Users and Computers.
7. Reinicie um controlador de domínio de cada vez.
  
  IMPORTANTE: Não reinicie todos os controladores de domínio simultaneamente, pois os usuários podem ter dificuldade para efetuar logon na rede ou acessar recursos de rede caso nenhum controlador esteja disponível.

Verificando Novas Configurações

Após modificar as definições da Política de Grupo para habilitar o serviço DHCP, verifique se o serviço está sendo executado.

Para verificar se o serviço DHCP está sendo executado
1. Clique em Start, em Control Panel, clique duas vezes em Administrative Tools, e depois em Services.
2. Verifique se o serviço DHCP está sendo executado e configurado para iniciar automaticamente.

IMPORTANTE: Verifique também se os computadores clientes estão obtendo os endereços IP (Internet Protocol) do DHCP server em seu controlador de domínio.

Habilitando Serviços WINS

Caso o seu controlador de domínio esteja configurado como servidor Windows Internet Name Service (WINS), você deve modificar as definições da Política de Grupo para que o seu controlador de domínio forneça serviços WINS ao seu ambiente. Esta seção fornece instruções passo a passo para configurar a Política de Grupo e reabilitar o serviço WINS.

Configurando a Política de Grupo para Habilitar Serviços WINS

Você deve editar a GPO da Política da Linha de Base dos Controladores de Domínio para habilitar o serviço WINS em seus controladores de domínio. Seguir estes passos habilita o serviço WINS Server em todos os controladores de domínio.

Requisitos

- Credenciais: Você deve estar registrado como membro do grupo Domain Admins.
- Leve em conta o impacto aos usuários: Você precisará reiniciar os controladores de domínio para concluir estes passos. Você deve concluí-los durante o horário não comercial a fim de minimizar o impacto aos usuários.
Para editar a Política de Grupo para habilitar o serviço WINS
1. Clique em Start, em Control Panel, clique duas vezes em Administrative Tools, depois em Active Directory Users and Computers, e depois no seu domínio para expandir a árvore de domínios.
2. Clique com o botão direito na OU de Domain Controllers, e depois clique em Properties.
3. Na caixa de diálogo Properties, clique na guia Group Policy, em Domain Controllers Baseline Policy, e depois em Edit.
  IMPORTANTE: Certifique-se de que esteja editando o Domain Controllers Baseline Policy e não o Default Domain Controllers Policy. Modificações incorretas ao Default Domain Controllers Policy podem afetar, de forma prejudicial, o seu ambiente e depois pode se tornar difícil achar uma solução.
4. Abaixo de Computer Configuration, clique duas vezes na pasta Windows Settings, depois em Security Settings, e então clique em System Services.
5. No painel de detalhes, clique duas vezes em WINS, clique em Automatic, e depois clique em OK.
6. Feche o Group Policy Object Editor, clique em OK para fechar a caixa de diálogo Properties, e depois saia do Active Directory Users and Computers.
7. Reinicie um controlador de domínio que fornece os serviços WINS por vez.
  IMPORTANTE: Não reinicie todos os controladores de domínio simultaneamente, pois os usuários podem ter dificuldade para efetuar logon na rede ou acessar recursos de rede caso nenhum controlador esteja disponível.

Verificando Novas Definições

Após modificar as definições da Política de Grupo para habilitar o serviço WINS, verifique se ele está executando corretamente.

Para verificar se o WINS está executando
1. Clique em Start, em Control Panel, clique duas vezes em Administrative Tools, e depois em Services.
2. Verifique se o serviço Windows Internet Name Service (WINS) está iniciado e configurado para executar automaticamente.

Habilitando Serviços de Arquivo e Impressão

O acesso aos compartilhamentos de arquivo, em seus controladores de domínio, não é afetado pela Política de Linha de Base dos Controladores de Domínio que você implementou nas seções anteriores. Não são necessárias modificações para que seus controladores de domínio forneçam serviços seguros de compartilhamento de arquivos.

No entanto, se um de seus controladores de domínio estiver configurado como um servidor de impressão, você deve configurar a Política de Grupo para habilitar o serviço Print Spooler para que os controladores de domínio possam fornecer serviços de impressão ao seu ambiente.

Configurando a Política de Grupo para Habilitar Serviços de Impressão

Você deve editar o GPO da Política de Linha de Base dos Controladores de Domínio para habilitar o serviço Print Spooler em seus controladores de domínio. Seguir estes passos habilita o serviço Print Spooler em todos os seus controladores de domínio.

Requisitos

Credenciais: Você deve estar registrado como membro do grupo Domain Admins.
Leve em conta o impacto aos usuários: Você precisará reiniciar os controladores de domínio para concluir estes passos. Você deve concluí-los durante o horário não comercial a fim de minimizar o impacto aos usuários.
Para configurar a Política de Grupo para habilitar serviços de impressão em seus controladores de domínio
1. Clique em Start, em Control Panel, clique duas vezes em Administrative Tools, depois em Active Directory Users and Computers, e depois no seu domínio para expandir a árvore de domínios.
2. Clique com o botão direito na OU de Domain Controllers, e depois clique em Properties.
3. Na caixa de diálogo Properties, clique na guia Group Policy, em Domain Controllers Baseline Policy, e depois em Edit.
  IMPORTANTE: Certifique-se de que esteja editando o Domain Controllers Baseline Policy e não o Default Domain Controllers Policy. Modificações incorretas ao Default Domain Controllers Policy podem afetar, de forma prejudicial, o seu ambiente e depois pode se tornar difícil achar uma solução.
4. Abaixo de Computer Configuration, clique duas vezes na pasta Windows Settings, depois em Security Settings, e então clique em System Services.
5. No painel de detalhes, clique duas vezes em Print Spooler, clique em Automatic, e depois clique em OK.
6. Feche o Group Policy Object Editor, clique em OK para fechar a caixa de diálogo Properties, e depois saia do Active Directory Users and Computers.
7. Reinicie um controlador de domínio que fornece os serviços de Impressão por vez.
  IMPORTANTE: Não reinicie todos os controladores de domínio simultaneamente, pois os usuários podem ter dificuldade para efetuar logon na rede ou acessar recursos de rede caso nenhum controlador esteja disponível.

Verificando Novas Definições

Após modificar as definições da Política de Grupo para habilitar o serviço Print Spooler, verifique se o serviço está sendo executado.

Para verificar se o serviço Print Spooler está sendo executado
1. Clique em Start, em Control Panel, clique duas vezes em Administrative Tools, e depois em Services.
2. Verifique se o serviço Print Spooler está sendo executado e configurado para iniciar automaticamente.

IMPORTANTE: Verifique também se todos os computadores clientes podem imprimir na impressora compartilhada, em seus controladores de domínio.

Habilitando Serviços IAS

Caso algum de seus controladores de domínio esteja configurado como um servidor IAS (Internet Authentication Service), você deve modificar as definições da Política de Grupo para que o controlador de domínio forneça serviços IAS ao seu ambiente. Esta seção fornece instruções passo a passo para configurar a Política de Grupo e reabilitar os serviços IAS.

Configurando a Política de Grupo para Habilitar Serviços IAS

Você deve editar a GPO da Política da Linha de Base dos Controladores de Domínio para reabilitar o serviço IAS em seus controladores de domínio. Seguir estes passos habilita o serviço IAS em todos os controladores de domínio.

Requisitos

Credenciais: Você deve estar registrado como membro do grupo Domain Admins.
Leve em conta o impacto aos usuários: Você precisará reiniciar os controladores de domínio para concluir estes passos. Você deve concluí-los durante o horário não comercial a fim de minimizar o impacto aos usuários.
Para configurar a Política de Grupo para habilitar os serviços IAS
1. Clique em Start, em Control Panel, clique duas vezes em Administrative Tools, depois em Active Directory Users and Computers, e depois no seu domínio para expandir a árvore de domínios.
2. Clique com o botão direito na OU de Domain Controllers, e depois clique em Properties.
3. Na caixa de diálogo Properties, clique na guia Group Policy, em Domain Controllers Baseline Policy, e depois em Edit.
  IMPORTANTE: Certifique-se de que esteja editando o Domain Controllers Baseline Policy e não o Default Domain Controllers Policy. Modificações incorretas ao Default Domain Controllers Policy podem afetar, de forma prejudicial, o seu ambiente e depois pode se tornar difícil achar uma solução.
4. Abaixo de Computer Configuration, clique duas vezes na pasta Windows Settings, depois em Security Settings, e então clique em System Services.
5. No painel de detalhes (painel direito), clique duas vezes em IAS, clique em Automatic, e depois em OK.
6. Feche o Group Policy Object Editor, clique em OK para fechar a caixa de diálogo Properties, e depois saia do Active Directory Users and Computers.
7. Reinicie todos os controladores de domínio que utilizam o IAS.
  IMPORTANTE: Não reinicie todos os controladores de domínio simultaneamente, pois os usuários podem ter dificuldade para efetuar logon na rede ou acessar recursos de rede caso nenhum controlador esteja disponível.

Verificando Novas Definições

Após modificar suas definições da Política de Grupo para habilitar os serviços do IAS, verifique se o serviço está executando.

Para verificar se o serviço IAS está executando
- Clique em Start, em Control Panel, clique duas vezes em Administrative Tools, e depois em Services.
- Verifique se o serviço IAS está sendo executado e configurado para iniciar automaticamente.

Habilitando os Serviços de Certificação

Se algum de seus controladores de domínio estiver configurado como um servidor de autoridade de certificação (CA), você deve modificar as definições da Política de Grupo para que os controladores de domínio forneçam Serviços de Certificação ao seu ambiente. Este seção fornece instruções passo a passo para configurar a Política de Grupo a fim de reabilitar os Serviços de Certificação.

Configurando a Política de Grupo para Habilitar os Serviços de Certificação

Você deve editar a Política de Linha de Base dos Controladores de Domínio para reabilitar os Serviços de Certificação em seus controladores de domínio. Seguir estes passos permite os Serviços de Certificação em todos os controladores de domínio que fornecem esses serviços.

Requisitos

Credenciais: Você deve estar registrado como membro do grupo Domain Admins.
Leve em conta o impacto aos usuários: Você precisará reiniciar os controladores de domínio para concluir estes passos. Você deve concluí-los durante o horário não comercial a fim de minimizar o impacto aos usuários.
Para configurar a Política de Grupo para habilitar os Serviços de Certificação
1. Clique em Start, em Control Panel, clique duas vezes em Administrative Tools, depois em Active Directory Users and Computers, e depois no seu domínio para expandir a árvore de domínios.
2. Clique com o botão direito na OU de Domain Controllers, e depois clique em Properties.
3. Na caixa de diálogo Properties, clique na guia Group Policy, em Domain Controllers Baseline Policy, e depois em Edit.
  IMPORTANTE: Certifique-se de que esteja editando o Domain Controllers Baseline Policy e não o Default Domain Controllers Policy. Modificações incorretas ao Default Domain Controllers Policy podem afetar, de forma prejudicial, o seu ambiente e depois pode se tornar difícil achar uma solução.
4. Abaixo de Computer Configuration, clique duas vezes na pasta Windows Settings, depois em Security Settings, e então clique em System Services.
5. No painel de detalhes, clique duas vezes CertSvc, clique em Automatic, e depois em OK.
6. Feche o Group Policy Object Editor, clique em OK para fechar a caixa de diálogo Properties, e então saia do Active Directory Users and Computers.
7. Reinicie um controlador de domínio por vez.
  IMPORTANTE: Não reinicie todos os controladores de domínio simultaneamente, pois os usuários podem ter dificuldade para efetuar logon na rede ou acessar recursos de rede caso nenhum controlador esteja disponível.

Verificando Novas Definições

Após modificar suas definições da Política de Grupo para habilitar os Serviços de Certificação, verifique se o serviço está executando.

Para verificar se os Serviços de Certificação estão executando
1. Clique em Start, em Control Panel, clique duas vezes em Administrative Tools, e depois em Services.
2. Verifique se os Serviços de Certificação estão sendo executados e configurados para iniciar automaticamente.

Habilitando e Protegendo o Serviço Task Scheduler

Se algum de seus controladores de domínio utiliza as tarefas agendadas para executar automaticamente scripts ou programas, você deve modificar as definições da Política de Grupo para que os controladores de domínio executem o serviço Task Scheduler.

Para ajudar a melhorar a segurança de seus controladores de domínio, após reabilitar o serviço Task Scheduler, restrinja todas as tarefas programadas que utilizem comandos AT de usarem a conta Local System. Se você mantiver a configuração padrão da conta, seus controladores de domínio estarão suscetíveis a ataques de usuários maliciosos.

Esta seção fornece a você as seguintes instruções passo a passo:

Configurando Política de Grupo para habilitar o Task Scheduler.
Protegendo o serviço Task Scheduler modificando a conta AT Service.

Configurando a Política de Grupo para Habilitar o Task Scheduler

Você deve editar a Política de Linha de Base dos Controladores de Domínio para habilitar o Task Scheduler em seus controladores de domínio. Seguir estes passos permite o Task Scheduler em todos os controladores de domínio que fornecem esse serviço.

Requisitos

Credenciais: Você deve estar registrado como membro do grupo Domain Admins.
Leve em conta o impacto aos usuários: Você precisará reiniciar os controladores de domínio para concluir estes passos. Você deve concluí-los durante o horário não comercial a fim de minimizar o impacto aos usuários.
Para configurar a Política de Grupo para habilitar o Task Scheduler em seus controladores de domínio
1. Clique em Start, em Control Panel, clique duas vezes em Administrative Tools, depois em Active Directory Users and Computers, e depois no seu domínio para expandir a árvore de domínios.
2. Clique com o botão direito na OU de Domain Controllers, e depois clique em Properties.
3. Na caixa de diálogo Properties, clique na guia Group Policy, em Domain Controllers Baseline Policy, e depois em Edit.
  IMPORTANTE: Certifique-se de que esteja editando o Domain Controllers Baseline Policy e não o Default Domain Controllers Policy. Modificações incorretas ao Default Domain Controllers Policy podem afetar, de forma prejudicial, o seu ambiente e depois pode se tornar difícil achar uma solução.
4. Abaixo de Computer Configuration, clique duas vezes na pasta Windows Settings, depois em Security Settings, e então clique em System Services.
5. No painel de detalhes, clique duas vezes em Task Scheduler, clique em Automatic, e depois em OK.
6. Feche o Group Policy Object Editor, clique em OK para fechar a caixa de diálogo Properties, e então saia do Active Directory Users and Computers.
7. Reinicie um controlador de domínio por vez.
  IMPORTANTE: Não reinicie todos os controladores de domínio simultaneamente, pois os usuários podem ter dificuldade para efetuar logon na rede ou acessar recursos de rede caso nenhum controlador esteja disponível.

Verificando Novas Definições

Após modificar as definições da Política de Grupo para habilitar o serviço Task Scheduler, verifique se ele está executando.

Para verificar se o serviço Task Scheduler está executando
1. Clique em Start, em Settings, Control Panel, clique duas vezes em Administrative Tools, e depois em Services.
2. Verifique se o serviço Task Scheduler está executando e configurado para iniciar automaticamente.

Protegendo o Task Scheduler Modificando a Conta AT Service

Você também pode utilizar comandos AT para programar tarefas no Task Scheduler. Por padrão, as tarefas que você programa usando comandos AT são executadas abaixo da conta Local System, independente do usuário que esteja acessando o computador. Geralmente, essas tarefas são executadas como segundo plano e não são percebidas pelos administradores.

A conta Local System é uma conta especial e pré-definida, usada para iniciar e executar diversos serviços em seus controladores de domínio. Esta conta permite acesso total aos seus controladores de domínio e tem acesso também aos recursos da rede. Portanto, muitos ataques relacionados à segurança tentam explorar serviços que são executados usando-se a conta Local System.

Para ajudar a melhorar a segurança de seus controladores de domínio, você pode restringir a habilidade de um usuário malicioso de executar programas que usem a conta Local System. Este manual recomenda que você modifique a configuração do Task Scheduler para que todas as tarefas programadas usando comandos AT não sejam executadas usando a conta Local System.

Após concluir estes passos, todas as tarefas programadas usando comandos AT somente são executadas usando a conta que você especificar.

Requisitos

Credenciais: Você deve estar registrado como membro do grupo Domain Admins.
Repita estes passos: Você deve concluir estes passos, um por um, para seus controladores de domínio.
Para modificar a configuração da Conta AT Service
1. Clique em Start, em Settings, Control Panel, e então clique duas vezes em Scheduled Tasks.
2. No menu Advanced, selecione AT Service Account.
3. Clique na opção This Account, digite o nome e a senha para uma conta que não forneça privilégios administrativos ao seu controlador de domínio e depois clique em OK.
  
  IMPORTANTE: Certifique-se de que a conta que você está utilizando não pertence a nenhum dos grupos administrativos (por exemplo, Enterprise Admins, Domain Admins, ou Administrators). Recomenda-se criar uma conta de serviço específica para esta finalidade e monitorar periodicamente os membros do grupo da conta.
  Caso você precise executar uma tarefa que utilize credenciais do administrador, você deve programar a tarefa usando o Assistente Adicionar Tarefas Programadas no Task Scheduler.

Protegendo o DNS Server Service

Para que o Active Directory funcione corretamente, ele requer a presença de um servidor DNS (Domain Name System). Na Internet e em outras redes TCP/IP, a nomenclatura do DNS é usada para localizar computadores e serviços, usando-se nomes amigáveis. Quando um usuário digita um nome DNS em uma aplicação, os serviços DNS resolvem o nome para um endereço IP.

Para suportar o Active Directory, você pode usar um serviço DNS fornecido por um provedor, ou pode então hospedar seu próprio DNS no Windows Server 2003. Caso você esteja hospedando o seu serviço DNS Server, pode aprimorar sua segurança através das opções descritas nesta seção:

Limitando os Endereços IP atendidos pelo serviço DNS Server.
Desabilitando a recursão dos DNS que não fornecem serviços de resolução aos clientes da rede.
Configurando dicas na raiz para ajudar a proteger o espaço de nome privado do DNS.

IMPORTANTE: As configurações padrões do serviço DNS Server são designadas para garantir segurança. Por exemplo, as transferências de zona são permitidas somente a servidores DNS secundários que você especificar. Antes de alterar qualquer configuração padrão do serviço DNS Server, certifique-se de compreender o impacto ao seu ambiente.

Limitando os Endereços IP atendidos pelo Serviço DNS

Um computador multihomed é aquele que possui múltiplos adaptadores de rede ou que foi configurado com endereços IP múltiplos para um único adaptador de rede. Por padrão, um serviço DNS Server que está sendo executado em um computador multihomed é configurado para atender a consultas do DNS, usando todos os seus endereços IP.

Limitando os endereços IP atendidos pelo serviço DNS Server, você ajuda a reduzir a exposição do servidor DNS a ataques. Você deve configurar os servidores DNS para atender somente às consultas do DNS em endereços IP especificados como preferidos na configuração dos computadores do seu ambiente. Utilize o procedimento que segue para limitar os endereços IP atendidos pelo serviço DNS Server.

Requisitos

Credenciais: Você deve estar registrado no servidor DNS como membro dos grupos DNSAdmins, Domain Admins ou Enterprise Admins.
Configuração: O servidor DNS deve possuir mais de um endereço IP.
Ferramentas: snap-in do DNS Microsoft Management Console (MMC).
Para limitar os endereços IP atendidos pelo serviço DNS Server
1. Clique em Start, em Control Panel, clique duas vezes em Administrative Tools, e depois em DNS.
2. Na árvore de console (painel esquerdo), clique no servidor DNS que você deseja configurar.
3. No menu Action, clique em Properties.
4. Em IP address, digite um endereço IP para ser habilitado para utilização deste servidor DNS e depois clique em Add.
5. Se necessário, repita o passo anterior para especificar outros endereços IP do servidor para serem habilitados para utilização deste servidor DNS.
6. Para cada endereço IP atendido, que não seja usado como servidor DNS preferido pelos clientes DNS, clique no endereço IP e depois em Remove.
7. Clique em OK.

Desabilitando a Recursão para Certos Servidores DNS

Um cliente envia uma consulta a um servidor DNS quando o cliente deseja saber o endereço IP de certo computador. Uma consulta recursiva é aquela feita a um servidor DNS no qual o solicitante pede ao servidor DNS que assuma a responsabilidade de fornecer uma resposta completa para a consulta, e não somente se refira a um outro servidor DNS. O servidor DNS então utiliza consultas iterativas separadas para outros servidores DNS, em nome do solicitante, para obter uma resposta completa para a consulta recursiva. Por padrão, a recursão é habilitada para o serviço DNS Server.

Embora a recursão permita que o servidor DNS realize consultas recursivas para os clientes e servidores DNS, dos quais as consultas são recebidas, ela também pode ser usada para que os invasores sobrecarreguem os recursos disponíveis de um servidor DNS e negue este serviço a usuários legítimos. Caso o seu servidor DNS esteja oferecendo serviços de resolução aos clientes da rede, em vez de fazê-lo a outros servidores DNS, a recursão deve permanecer habilitada. No entanto, caso o seu servidor DNS não forneça serviços de resolução aos clientes da rede, utilize o procedimento seguinte para desabilitar a recursão.

IMPORTANTE: Se você não tem certeza de que o seu servidor DNS oferece serviços de resolução a clientes da rede, então não deve alterar a definição padrão.

Requisitos

Credenciais: Você deve estar registrado no servidor DNS como membro dos grupos DNSAdmins, Domain Admins ou Enterprise Admins.
Ferramentas: snap-in do DNS MMC.
Para desabilitar a recursão
1. Clique em Start, em Control Panel, clique duas vezes em Administrative Tools, e depois em DNS.
2. Na árvore de console (painel esquerdo), clique no servidor DNS que deseja configurar.
3. No menu Action, clique em Properties.
4. Clique na guia Advanced.
5. Abaixo de Server options, clique em Disable recursion (also disables forwarders), e depois em OK.

Configurando Dicas de Raiz para Prevenir a Exposição das Informações

Uma raiz DNS interna é usada para fornecer à sua organização um espaço de nome privado de DNS que não seja exposto à Internet pública. As dicas da raiz ajudam um servidor DNS a encontrar informações sobre um domínio DNS de alto nível (por exemplo, .net, .org, ou .com).

Caso você tenha uma raiz DNS interna na infra-estrutura de seu DNS, deve configurar as dicas para indicar os servidores DNS que hospedam o domínio da sua raiz e não os servidores DNS que hospedam o domínio da raiz da Internet. Isso ajuda a prevenir seus servidores DNS internos de enviar informações privadas pela Internet quando eles resolvem nomes.

Requisitos

Credenciais: Você deve estar registrado como membro dos grupos Domain Admins ou Enterprise Admins.
Ferramentas: snap-in do DNS MMC.
Nota: Você deve realizar este procedimento apenas em servidores DNS que resolvem nomes para uma raiz interna do DNS.
Para configurar dicas de raiz para prevenir a exposição de informações
1. Clique em Start, em Control Panel, aponte para Administrative Tools, e clique em DNS.
2. Na árvore de console (painel esquerdo), clique no servidor DNS que você deseja configurar.
3. No menu Action, clique em Properties.
4. Clique na guia Root Hints.
5. Para cada servidor listado abaixo de Name servers, clique em seu nome e depois em Remove.
6. Para cada servidor DNS que hospeda sua raiz interna do DNS, clique em Add, e depois especifique o nome e endereço IP do servidor DNS.

Verificando Novas Definições

Você pode usar o procedimento que segue para verificar se as definições apropriadas foram aplicadas ao seu servidor.

Requisitos

Credenciais: Você deve estar registrado como membro dos grupos Domain Admins ou Enterprise Admins.
Ferramentas: snap-in do DNS MMC.
Para verificar a configuração das dicas da raiz
1. Clique em Start, em Control Panel, aponte para Administrative Tools, e clique em DNS.
2. Na árvore de console (painel esquerdo), clique no servidor DNS que você deseja configurar.
3. No menu Action, clique em Properties.
4. Clique na guia Root Hints.
5. Veja se somente os servidores DNS que hospedam sua raiz interna do DNS estão listados abaixo de Name servers.

Mantendo a Segurança dos Seus Controladores de Domínio

Como os controladores de domínio contêm certas informações importantes que devem ser protegidas, você deve pesquisar os recursos de segurança disponíveis para eles e aplicar aqueles que se adaptam ao seu ambiente. Depois, esteja certo de manter essa proteção, instalando as últimas atualizações de segurança da Microsoft.

Esta seção fornece os passos da configuração para ajudar a proteger seus controladores de domínio:

Instalando as últimas atualizações de segurança da Microsoft.
Criando um arquivo reserva para habilitar a recuperação dos ataques ao espaço em disco.
Desabilitando a geração de nome 8.3 automática para reduzir a exposição do sistema a vírus e ataques maliciosos.
Usando o utilitário System Key para ajudar a proteger os controladores de domínio contra software de corrupção de senhas.
Desabilitando o acesso anônimo ao Active Directory em ambientes em que as aplicações não requerem conexões anônimas.

Instalando as Últimas Atualizações de Segurança

Para manter seus controladores de domínio, você deve, de maneira rotineira, baixar e instalar as últimas atualizações de segurança da Microsoft. Essas atualizações são fornecidas para ajudar a resolver questões conhecidas e proteger seu computador contra vulnerabilidades de segurança.

Os passos que seguem fornecem a você métodos manuais e automáticos de manter seus controladores de domínio atualizados com atualizações de segurança disponíveis. Você irá concluir as seguintes tarefas:

Configurar as Atualizações Automáticas para baixar e instalar automaticamente as atualizações de segurança na programação que você especificar.
Saber como usar o Windows Update para baixar e instalar manualmente as atualizações de segurança.

IMPORTANTE: Você deve manter todos os computadores da rede em dia, conforme as últimas atualizações. Configurar as Atualizações Automáticas e usar o Windows Update em seus controladores de domínio irá proteger somente eles - e não seus outros clientes e servidores. Certifique-se de que as Atualizações Automáticas e o Windows Update estão configurados e usados em todos os computadores da rede que executam o Windows Server 2003, Windows 2000, e o Windows XP.

Configurando as Atualizações Automáticas

Você pode configurar os controladores de domínio do seu Windows Server 2003 para baixar e instalar automaticamente as últimas atualizações de segurança, enquanto seu computador está sendo ligado e conectado à Internet.

Requisitos

Credenciais: Você deve estar registrado como membro do grupo Domain.
Repita estes passos: Você deve concluir estes passos em cada um de seus controladores de domínio.
Para configurar um controlador de domínio para baixar e instalar automaticamente as atualizações de segurança
1. Clique em Start, em Control Panel, clique duas vezes em Administrative Tools, e depois em System.
2. Clique na guia Automatic Updates, e então selecione a caixa intitulada Keep my computer up-to-date. With this setting enabled, Windows Update software may be automatically updated prior to applying any other updates.
3. Clique em Automatically download the updates, and install them on the schedule that I specify.
4. Selecione o dia e a hora para que as atualizações ocorram, e clique em OK para fechar a janela do System Properties.
  IMPORTANTE: As atualizações de segurança geralmente requerem a reinicialização de seus controladores de domínio. Escolha um dia e uma hora que minimize o impacto aos usuários.

Usando o Windows Update

O Windows Update é a extensão online do Windows que ajuda a manter atualizados os computadores que estão conectados à Internet. Você pode executar o Windows Update para garantir que as Atualizações Automáticas tenha instalado todas as últimas atualizações de segurança. O Windows Update é útil caso a Microsoft o notifique sobre uma nova questão de segurança e você deseja garantir imediatamente que seus computadores estão atualizados.

Requisitos

Credenciais: Você deve estar registrado como membro dos grupos Server Operators ou Domain Admins groups.
Repita estes passos: Você deve concluir estes passos em cada um de seus controladores de domínio.

IMPORTANTE: As Atualizações de Segurança geralmente requerem que você reinicie seus controladores de domínio. Ao executar o Windows Update, pense bem sobre o impacto que essa reinicialização pode ter sobre seus usuários.

Para executar o Windows Update a fim de baixar e instalar manualmente as atualizações de segurança
1. Clique em Start, em All Programs, e depois em Windows Update.
2. No Internet Explorer, clique em Scan for updates, e aguarde até que a varredura esteja 100% completa.
3. O Windows Update seleciona automaticamente as atualizações de segurança necessárias, que esteja faltando em seus controladores de domínio. Se quaisquer atualizações estiverem disponíveis, clique em Review and Install Updates, depois em Install Now, e então siga as instruções de instalação que aparecem em sua tela.
4. Repita esses passos até que não haja mais atualizações importantes disponíveis para seu controlador de domínio.

Criando um Arquivo Reserva para Habilitar a Recuperação de Ataques a Espaço em Disco

Muitos ataques referentes à segurança envolvem uma tentativa de obter recursos do sistema em questão. Um dos recursos de sistema mais comumente atacados está disponível no espaço em disco. Em um ataque a espaço em disco, o invasor utiliza todo o espaço em um disco, adicionando grande quantidade de objetos ao diretório.

Você pode aprimorar a rapidez com que se recupera de um ataque ao espaço em disco, criando, de forma pró-ativa, um arquivo reserva no disco que contém seu banco de dados do Active Directory (Ntds.dit). Um arquivo reserva é simplesmente um grande arquivo que adquire, ou reserva, espaço em um disco. Se um invasor tentar todos os outros espaços, adicionando grande quantidade de objetos ao diretório, você pode excluir o arquivo reserva e começar a recuperar a operação normal.

IMPORTANTE: Se um ataque ao espaço em disco ocorrer em um controlador de domínio, além de excluir o arquivo reserva, você também precisa excluir os objetos não autorizados que ocupam o espaço. Para mais informações sobre a exclusão de objetos não autorizados após um ataque ao espaço em disco, consulte o "Manual de Melhores Práticas para Proteger as Instalações do Active Directory e Operações do Dia-a-Dia: Parte II" no site da Microsoft, em https://go.microsoft.com/fwlink/?LinkId=22040 (em inglês).

O procedimento que segue reserva espaço em disco, criando um arquivo no mesmo banco de dados do Active Directory. O tamanho do arquivo reserva deve ser superior a 250 megabytes (MB) ou 1% do volume lógico em disco em que o banco de dados do Active Directory está armazenado. Por padrão, o arquivo reserva está localizado na pasta systemroot\Ntds. Você deve realizar este procedimento em cada controlador de domínio da sua rede.

Requisitos

Credenciais: Você deve estar registrado como membro dos grupos Domain Admins ou Enterprise Admins.
Repita este passo: Você deve realizar este procedimento em cada controlador de domínio da sua rede.
Ferramentas: Fsutil.exe.
Para criar um arquivo reserva a fim de habilitar a recuperação de ataques ao espaço em disco
1. Clique em Start, em Run, digite cmd, e então clique em OK.
2. No prompt de comando, digite o seguinte comando, e depois pressione ENTER:
  fsutil file createnew %systemroot%\ntds\reservefile 256000000

Este comando cria um arquivo reserva chamado Reservefile (com tamanho de 250 MB) no diretório que contém o banco de dados do Active Directory no controlador de domínio. Se o Active Directory pára de funcionar devido a uma falta de espaço em disco disponível, você pode excluir este arquivo para criar espaço em disco livre.

Verificando Novas Definições

Use o procedimento a seguir para verificar se o arquivo reserva foi criado em seus controladores de domínio.

Requisitos

Credenciais: Você deve estar registrado como membro do grupo Domain Admins ou Enterprise Admins.
Ferramentas: My Computer.
Repita estes passos: Se você tiver mais de um controlador de domínio, deve verificar a criação do arquivo reserva em cada um de seus controladores de domínio.
Para verificar a criação do arquivo reserva em um controlador de domínio
1. Clique em Start, e depois em My Computer.
2. Em My Computer, navegue até a pasta Ntds (geralmente em C:\Windows\Ntds).
3. Clique duas vezes na pasta Ntds, exiba o arquivo Reservefile e verifique se ele tem, ao menor, 250 MB.

Desabilitando a Geração de Nome 8.3 Automática

Muitos vírus e utilitários usados pelos invasores são aplicações de 16 bits que esperam que os nomes de arquivos sejam compatíveis com a geração automática de Nome 8.3. Os controladores de domínio seguros não executam aplicações de 16 bits localmente. Portanto, você deve desabilitar a geração de nome 8.3 automática para prevenir que esses vírus e utilitários comprometam a segurança dos seus controladores de domínio.

Para desabilitar a geração de nome 8.3 automática, você pode definir o valor da entrada do registry NtfsDisable8dot3NameCreation para 1. Você deve desabilitar a geração de nome 8.3 automática em todos os seus controladores de domínio.

ATENÇÃO: A edição incorreta do registry pode prejudicar severamente o sistema. Antes de alterá-lo, você deve fazer uma cópia de todos os dados valiosos no computador.

Requisitos

Credenciais: Você deve estar registrado como membro do grupo Domain Admins.
Repita estes passos: Você deve concluir estes passos em cada um de seus controladores de domínio.
Ferramentas: Regedit.exe (editor do registry)
Para desabilitar a geração de nome 8.3 automática em seus controladores de domínio
1. Clique em Start, em Run, digite regedit.exe e clique em OK.
2. No editor do registry, navegue até
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
3. Selecione a entrada do registry NtfsDisable8dot3NameCreation.
4. Clique em Edit, e depois em Modify.
5. Na caixa Value data, digite para desabilitar a geração de nome 8.3 automática para este controlador.
6. Feche o editor do registry.
  Para mais informações sobre como desabilitar a geração de nome 8.3 automática, consulte o "Manual de Melhores Práticas para Proteger as Instalações do Active Directory" (para o Windows Server 2003) no site da Microsoft, em https://go.microsoft.com/fwlink/?linkid=22342.

Protegendo os Controladores de Domínio na Reinicialização Usando o Syskey

Nos controladores de domínio, as informações sobre a senha são armazenadas no Active Directory. Não é incomum para os softwares de corrupção de senhas ter como destino o banco de dados do SAM (Security Accounts Manager) ou o Active Directory para acessar senhas das contas dos usuários. O utilitário System Key (Syskey) ajuda a proteger seu sistema contra esse tipo de software. O Syskey utiliza técnicas de encriptação para ajudar a proteger as informações de senha da conta que estão armazenadas no banco de dados do SAM ou no Active Directory.

Opções do Syskey

Opção do System Key	Nível de Segurança	Descrição
Modo 1 - Gerado pelo Sistema Senha: Store Startup Key Locally	Seguro	Utiliza uma chave randômica gerada pelo computador como a chave do sistema e armazena uma versão criptografada da chave no computador local. Essa opção fornece forte encriptação de informações de senha no registry, habilitando o usuário a reiniciar o computador sem a necessidade de que um administrador entre com uma senha ou insira um disco.
Modo 2 - Gerado pelo Administrador Senha: Password Startup	Mais seguro	Utiliza uma chave randômica gerada pelo computador como a chave do sistema e armazena uma versão criptografada da chave no computador local. A chave também é protegida por uma senha escolhida pelo administrador. Os usuários são notificados sobre a senha da chave do sistema quando o computador está em seqüência inicial de reinicialização. A senha da chave do sistema não está armazenada em lugar nenhum do computador.
Modo 3 - Gerado pelo Sistema Senha: Store Startup Key on Floppy Disk	O mais Seguro	Utiliza uma chave randômica gerada pelo computador e armazena a chave em um disquete. O disquete que contém a chave do sistema é exigido para que o sistema inicie, e você deve inseri-la em um prompt durante a seqüência de inicialização. A chave do sistema não está armazenada em lugar nenhum do computador.

O Syskey é habilitado em todos os servidores do Windows Server 2003 no Modo 1 (chave ofuscada). O Syskey no Modo 2 (senha do console) ou Modo 3 (armazenamento em disquete da senha do Syskey) é recomendado para qualquer controlador de domínio exposto a ameaças físicas de segurança.

Para informações sobre como usar o Syskey para proteger os controladores de domínio contra reinicializações não autorizadas, consulte o "Capítulo 4 - Fortalecendo os controladores de domínio" no Manual de Segurança do Windows Server 2003, no site da Microsoft, em https://go.microsoft.com/fwlink/?LinkId=22122 (em inglês).

Desabilitando Acesso Anônimo para o Active Directory

Por padrão, o Active Directory não garante permissões explícitas em objetos, no diretório, para a identidade especial Anonymous Logon, que representa conexões anônimas. No entanto, quando você habilita a compatibilidade Pré-Windows 2000 nos controladores de domínio que executam o Windows Server 2003, a identidade especial Anonymous Logon é adicionada como membro do grupo Pre?Windows 2000 Compatible Access. Como este grupo Pre-Windows 2000 Compatible Access tem permissões de Leitura atribuídas na raiz do domínio, assim como no usuário, computador, as aplicações e serviços de objetos do grupo que usam acesso anônimo podem ler esses objetos.

Em ambientes onde as aplicações não requerem o estabelecimento de conexões anônimas para acessar dados do Active Directory, recomenda-se que você desabilite o acesso anônimo.

Você pode fazer isso se possuir uma única floresta do Active Directory com servidores membros e controladores de domínio executando somente o Windows Server 2003 ou o Microsoft Windows 2000 Server, e as estações de trabalho executando somente no Microsoft Windows 2000 Professional ou Windows XP Professional.

Você pode desabilitar o acesso anônimo da seguinte maneira:

Ao criar um domínio, aceite a definição padrão da instalação, Permissions compatible only with Windows 2000 or Windows Server 2003 servers.
Em um domínio existente do Windows Server 2003 que possui o pré-Windows 2000 compatible access habilitado, remova EVERYONE e ANONYMOUS LOGON do grupo Pré-Windows 2000 Compatible Access e tenha somente o Authenticated Users como membro.

Para informações sobre como remover os grupos Everyone e Anonymous Logon do grupo Pré-Windows 2000 Compatible Access, consulte o "Manual de Melhores Práticas para Proteger as Instalações do Active Directory" (para o Windows Server 2003) no site da Microsoft, em https://go.microsoft.com/fwlink/?linkid=22342 (em inglês).