Ameaças e contramedidas

Capítulo 1: Introdução a ameaças e contramedidas: configurações de segurança no Windows Server 2003 e Windows XP

Atualizado em: 27 de dezembro de 2005

O objetivo deste guia é servir de referência para as configurações de segurança que oferecem contramedidas para ameaças específicas a versões atuais dos sistemas operacionais Microsoft® Windows®.

Este guia é um complemento de duas outras publicações disponíveis da Microsoft:

Muitas das contramedidas que são descritas neste guia não se destinam a funções de computador específicas dos guias acompanhantes, ou em alguns casos, não se destinam a função alguma. Estas contramedidas ajudam a garantir a compatibilidade, usabilidade, gerenciabilidade, disponibilidade ou desempenho.

Embora isto seja dito com freqüência, não custa repetir que segurança e funcionalidade são os extremos opostos de uma série; quanto maior o nível de segurança, mais baixo o nível de funcionalidade e vice-versa. Há exceções, e algumas contramedidas de segurança, na verdade, ajudam a aumentar a funcionalidade. Entretanto, na maioria dos casos, esse princípio é verdadeiro.

A estrutura de capítulos deste guia é semelhante à forma como as principais seções de configurações são exibidas na interface do usuário do Editor de Objeto de Diretiva de Grupo. Cada capítulo começa com uma explicação breve do que está no capítulo, seguida por uma lista de títulos de subseção, cada qual correspondente a uma configuração ou grupo de configurações. (Estas configurações são listadas na pasta de trabalho do Microsoft Excel® que é descrita mais adiante neste capítulo.) Cada subseção fornece uma explicação breve do que a contramedida faz e inclui as três subseções adicionais a seguir:

  • Vulnerabilidade. Explica como um invasor pode explorar um recurso ou sua configuração.

  • Contramedida. Explica como implementar a contramedida.

  • Impacto potencial. Explica as conseqüências negativas possíveis da implementação da contramedida.

Por exemplo, o Capítulo 2, "Diretivas do nível de domínio", começa com as seguintes seções:

Diretivas de conta

  • Aplicar histórico de senhas

    • Vulnerabilidade

    • Contramedida

    • Impacto potencial

  • Duração máxima da senha

    • Vulnerabilidade

    • Contramedida

    • Impacto potencial

Esse padrão é seguido em todo o guia. Configurações estreitamente relacionadas são apresentadas em uma única seção. Por exemplo, no Capítulo 5, "Opções de segurança", quatro configurações são apresentadas na seção “Cliente e servidor de rede Microsoft: assinar digitalmente a comunicação (quatro configurações relacionadas)”. Essas configurações incluem o seguinte:

  • Cliente de rede Microsoft: assinar digitalmente a comunicação (sempre)

  • Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre)

  • Cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar)

  • Servidor de rede Microsoft: assinar digitalmente a comunicação (se o cliente concordar)

Embora muitas configurações de Diretiva de Grupo estejam documentadas neste guia, aquelas destinadas a ajudar as organizações a administrar seus ambientes não são documentadas. Este guia só examina as configurações e recursos do Microsoft Windows Server™ 2003 com SP1 e Windows XP com SP2 que possam ajudar as organizações a proteger suas empresas contra ameaças específicas. As configurações e recursos que foram adicionados posteriormente a esses Service Packs, ou as funcionalidades que possam ser adicionadas por softwares lançados depois desses Service Packs, não são analisados neste guia. Além disso, os recursos de gerenciamento e os recursos de segurança que não podem ser configurados por administradores não são descritos neste guia.

As informações fornecidas neste guia devem ajudar você e sua organização a entender as contramedidas que estão disponíveis em versões atuais do sistema operacional Windows, mas para obter uma orientação mais detalhada sobre que configurações usar em cenários específicos, consulte os dois guias complementares:

A pasta de trabalho do Microsoft Excel chamada "Windows Default Security and Services Configuration" (incluída neste guia) documenta as configurações padrão. A primeira planilha ("Windows Server 2003 Defaults") detalha todas as configurações padrão de Diretiva de Grupo que estão disponíveis no Windows Server 2003. Esta planilha inclui as seguintes colunas:

  • A coluna H, Policy Setting Name in User Interface, é o nome da configuração como ela aparece no snap-in do Editor de Diretiva de Grupo do Windows Server 2003.

  • A coluna J, Default Domain Policy, corresponde ao valor da configuração na Diretiva de Domínio Padrão integrada, criada quando você promove o primeiro controlador de domínio em um novo domínio de serviço de diretório do Active Directory®.

  • A coluna K, Default Domain Controller Policy, corresponde ao valor da configuração na coluna Diretiva de Controlador de Domínio Padrão interna, criada quando você promove o primeiro controlador de domínio em um novo domínio do Active Directory.

  • A coluna L, Stand-Alone Server Default Settings, corresponde ao valor padrão da configuração em um Windows Server 2003 autônomo.

  • A coluna M, Domain Controller Effective Default Settings , indica o valor efetivo de um controlador de domínio com as configurações padrão ainda aplicadas.

  • A coluna N, Member Server Effective Default Settings, mostra o valor efetivo de um membro do domínio com as configurações padrão ainda aplicadas.

"Effective Default Setting" refere-se à configuração vigente no sistema, caso nenhuma configuração de segurança tenha sido alterada. A configuração efetiva em um sistema é determinada pelo mecanismo de Diretiva de Grupo ao ser processada durante a inicialização do computador. O mecanismo atribui a precedência de configuração como descrito na seção "Aplicativo de Diretiva de Grupo" do Capítulo 2, "Mecanismos de proteção do Windows Server 2003" no Guia de Segurança do Windows Server 2003.

Para facilitar a leitura das planilhas, foram inseridas colunas adicionais para ilustrar a hierarquia de objetos no Editor de Diretiva de Grupo. As colunas de A a G representam cada uma um nível da hierarquia. Por exemplo, Configuração do Computador aparece na coluna A, e Configurações de Segurança aparece na coluna C. A coluna I também foi inserida para facilitar a leitura das planilhas.

A segunda planilha, ("Windows Server 2003 System Services"), lista todos os serviços disponíveis no Windows Server 2003. Esta planilha inclui as seguintes colunas:

  • A coluna A, Full Service Name, lista os serviços por nome, como eles aparecem nas ferramentas de gerenciamento gráfico, como a extensão Gerenciador de Serviços do MMC (Console de Gerenciamento Microsoft).

  • A coluna B, Service Name, lista os serviços pelo nome curto, que é o formato usado por várias ferramentas de linha de comando.

  • A coluna C, DC Startup Type, mostra o estado da inicialização padrão do serviço em um controlador de domínio do Windows Server 2003.

  • A coluna D, Member Server Startup Type, mostra o estado da inicialização padrão do serviço em um computador Windows Server 2003 membro de um domínio baseado no Active Directory.

  • A coluna E, Stand-Alone Server Startup Type, mostra o estado da inicialização padrão do serviço em um servidor Windows Server 2003 independente.

  • A coluna H, Logon As, mostra a conta que o serviço usa para fazer logon em uma configuração padrão.

O formato das planilhas adicionais ("Windows XP Defaults" e "Windows XP System Services") é semelhante a essas duas planilhas. Elas fornecem informações sobre as configurações de segurança e serviços no Windows XP.

Nesta página

Resumos de capítulo
Ferramentas e modelos

Resumos de capítulo

O Windows Server 2003 com SP1 e o Windows XP com SP2 representam as versões mais confiáveis desses sistemas operacionais até hoje, com recursos de segurança e privacidade melhorados. Este guia consiste em doze capítulos, e os capítulos 2 a 6 discutem os procedimentos que ajudam a criar um ambiente seguro. Cada capítulo cria um processo completo que ajuda a proteger computadores que executam esses sistemas operacionais.

Capítulo 1: Introdução a ameaças e contramedidas: configurações de segurança no Windows Server 2003 e Windows XP

Este capítulo contém uma visão geral do guia, descrições sobre o público–alvo, os problemas que serão abordados no guia e seu objetivo geral.

Capítulo 2: Diretivas do nível de domínio

Este capítulo discute as configurações de Diretiva de Grupo que são aplicadas no nível do domínio: diretivas de senha, diretivas de bloqueio de conta e diretivas de protocolo de autenticação Kerberos. Coletivamente, essas diretivas são chamadas de diretivas de Conta.

Capítulo 3: Diretiva de auditoria

Este capítulo discute o uso de diretivas de auditoria para monitorar e garantir o uso de suas medidas de segurança. Ele descreve as várias configurações e fornece exemplos de como as informações de auditoria são modificadas quando as configurações são alteradas.

Capítulo 4: Direitos de usuário

Este capítulo discute os vários direitos de logon e privilégios que são fornecidos pelos sistemas operacionais Windows e fornece orientação sobre quais contas devem receber esses direitos.

Capítulo 5: Opções de segurança

Este capítulo apresenta a seção "Opções de Segurança" de Diretiva de Grupo e fornece orientação sobre as configurações de segurança para assinaturas de dados digitais, nomes de conta Administrador e Convidado, acesso a unidades de disquete e CD-ROM, comportamento de instalação de drivers e prompts de logon.

Capítulo 6: Log de eventos

Este capítulo fornece orientação sobre como definir as configurações que se relacionam aos vários logs de eventos em computadores Windows Server 2003 e Windows XP .

Capítulo 7: Serviços de sistema

Windows Server 2003 e Windows XP incluem uma variedade de serviços de sistema. Muitos desses serviços são configurados para execução por padrão, mas outros não estão presentes a menos que você instale componentes específicos. Este capítulo lista os vários serviços que vêm com os sistemas operacionais e fornece recomendações específicas sobre quais devem ficar ativados e quais podem ser desativados com segurança.

Capítulo 8: Diretivas de restrição de software

Este capítulo fornece uma breve visão geral do mecanismo de diretivas de restrição de software, que foi apresentado no Windows XP e no Windows Server 2003. Ele fornece links para recursos adicionais sobre como projetar e usar diretivas de restrição de software.

Capítulo 9: Modelos administrativos do Windows XP e Windows Server 2003

Este capítulo lista as configurações que estão disponíveis nos Modelos administrativos da Diretiva de Grupo. Ele não detalha cada configuração disponível, mas se concentra nas configurações relacionadas à segurança.

Capítulo 10: Entradas adicionais do Registro

Este capítulo fornece informações sobre entradas adicionais do Registro que não estão listadas no arquivo Modelo Administrativo, mas que estão presentes no modelo de segurança de linha de base. Ele fornece instruções sobre como modificar a interface do Editor de Configuração de Segurança para expor essas entradas na interface do usuário. Ele também fornece entradas adicionais do Registro que estão disponíveis no Windows XP SP2 e Windows Server 2003 SP1.

Capítulo 11: Contramedidas adicionais

Este capítulo descreve diversas medidas de segurança adicionais que podem precisar ser aplicadas a seus computadores. No entanto, essas contramedidas não podem ser facilmente aplicadas por Diretiva de Grupo nem outro meio automatizado. Essas contramedidas incluem a proteção de contas em servidores membros, configurações NTFS, segmentação de dados e aplicativos, configurações do nome da comunidade SNMP, desativação de vinculações NetBIOS, configuração de Serviços de Terminal, Dr. Watson, diretivas IPsec e uma indicação para uma orientação mais profunda no Firewall do Windows.

Capítulo 12: Conclusão

O capítulo final revisa os pontos importantes do guia em uma breve visão geral de tudo o que foi discutido nos capítulos anteriores.

Ferramentas e modelos

Uma coleção de arquivos é incluída com a versão para download deste guia para ajudar sua organização a avaliar, testar e implementar as contramedidas recomendadas. Estes arquivos são chamados coletivamente de ferramentas e modelos.

Os arquivos estão incluídos em um arquivo .msi do arquivo compactado auto-extraível do WinZip que contém este guia, que está disponível no Centro de Download da Microsoft em https://go.microsoft.com/fwlink/?LinkId=15160. Quando você executa o arquivo .msi, a seguinte estrutura de pastas é criada no local que você especificar:

  • A pasta \Threats and Countermeasures Guide Tools and Templates contém a pasta de trabalho do Microsoft Excel "Windows Default Security and Services Configuration.xls", que resume as configurações padrão e de serviço para Windows Server 2003 com SP1 e Windows XP com SP2.

  • A pasta \Threats and Countermeasures Guide Tools and Templates\SCE Update inclui arquivos de texto e arquivos de script. Você pode usar os arquivos de texto para modificar e personalizar a interface do usuário do Editor de Configuração de Segurança. Você pode usar os arquivos de script para aplicar automaticamente estas configurações ou para revertê-las. Estes procedimentos são detalhados no Capítulo 10, "Entradas Adicionais do Registro".

Neste artigo

Download

Receba o Guia Ameaças e Contramedidas

Notificações de atualizações

Inscreva-se para informar-se sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários ou sugestões

Dd459101.pageLeft(pt-br,TechNet.10).gif 2 de 14 Dd459101.pageRight(pt-br,TechNet.10).gif