Ameaças e contramedidas

Capítulo 2: Diretivas do nível de domínio

Atualizado em: 27 de dezembro de 2005

Este capítulo descreve essas configurações de Diretiva de Grupo que são aplicadas no nível de domínio. A diretiva Controlador de Domínio Padrão integrada inclui valores de configuração padrão para essas diretivas, que coletivamente são chamadas de diretivas de Conta.

Nesta página

Diretivas de conta
Mais informações

Diretivas de conta

Há três tipos de diretivas de Conta diferentes: diretivas de senha, diretivas de bloqueio de conta e diretivas de protocolo de autenticação Kerberos. Um único domínio do Microsoft Windows Server™ 2003 pode ter uma de cada dessas diretiva. Se essas diretivas estiverem configuradas em qualquer outro nível do Active Directory, somente as contas locais em servidores membros serão afetadas.

Observação: para contas de domínio, pode haver apenas uma diretiva de Conta por domínio. A diretiva de Conta deve ser definida na Diretiva de Domínio Padrão ou em uma nova diretiva relacionada à raiz do domínio, sendo que é dada preferência à Diretiva de Domínio Padrão, aplicada pelos controladores de domínio que fazem parte do domínio. Um controlador de domínio sempre obtém a diretiva de Conta da raiz do domínio, mesmo se houver uma diretiva de conta diferente aplicada à UO que contém o controlador de domínio. A raiz do domínio é o recipiente de nível mais alto do domínio, que não deve ser confundido com o domínio raiz em uma floresta, que é o domínio de nível mais alto dentro da respectiva floresta.

As configurações de diretiva de Conta em Diretiva de Grupo são todas aplicadas em nível de domínio. Valores padrão estão presentes na diretiva Controlador de Domínio Padrão integrada para diretivas de senha, diretivas de bloqueio de conta e diretivas Kerberos. Quando você configurar essas diretivas no serviço de diretório Active Directory®, lembre-se de que o Microsoft® Windows® só permite uma diretiva de Conta de domínio—a diretiva de Conta que é aplicada ao domínio raiz da árvore do domínio. A diretiva de Conta do domínio se tornará a diretiva de Conta padrão de qualquer computador Windows membro do domínio.

A única exceção a essa regra é quando outra diretiva de Conta é definida para uma unidade organizacional (UO). As configurações de diretiva de Conta da UO afetarão a diretiva local em quaisquer computadores da UO. Por exemplo, se uma diretiva da UO definir uma idade máxima de senha que difira da diretiva de Conta de nível de domínio, a diretiva da UO só será aplicada e imposta quando os usuários fizerem logon ao computador local. Somente diretivas de computador local padrão se aplicarão a computadores que estejam em um grupo de trabalho ou domínio onde nem uma diretiva de Conta da UO nem uma diretiva de domínio seja aplicável.

As configurações de cada um desses tipos de diretiva são discutidas ao longo deste capítulo.

Diretiva de senha

No Windows e em muitos outros sistemas operacionais, o método mais comum para autenticar a identidade de um usuário é usar uma frase secreta ou uma senha. Um ambiente seguro de rede exige que todos os usuários utilizem senhas fortes (senhas que têm ao menos dez caracteres e que incluem uma combinação de letras, números e símbolos). Essas senhas ajudam a impedir o comprometimento de contas de usuário e contas administrativas por pessoas não autorizadas que usem métodos manuais ou ferramentas automatizadas para adivinhar senhas fracas. Senhas fortes que são alteradas regularmente reduzem a probabilidade de um ataque de senha bem-sucedido. (São fornecidas informações mais detalhadas sobre senhas fortes na seção "As senhas devem satisfazer aos requisitos de complexidade" mais adiante neste capítulo.)

Você pode impor o uso de senhas fortes por meio de uma diretiva de senha apropriada. As configurações de diretiva de senha controlam a complexidade e a vida útil das senhas. Esta seção detalha cada configuração específica de conta de diretiva de senha. Este guia inclui também uma pasta de trabalho do Microsoft Excel®, "Windows Default Security and Services Configuration," que documenta as configurações padrão.

Você pode definir as configurações de diretiva de senha no seguinte local do Editor de Objeto de Diretiva de Grupo:

Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy

Se existirem grupos que exijam diretivas de senha separadas, eles devem ser segmentados em outro domínio ou floresta com base nos requisitos adicionais.

Aplicar histórico de senhas

Esta configuração de diretiva determina o número de senhas novas exclusivas que deve ser associado com uma conta de usuário antes que uma senha antiga possa ser reutilizada.

Os valores possíveis para a configuração de Aplicar histórico de senhas são:

• Um valor entre 0 e 24 especificado pelo usuário

• Não Definido

Vulnerabilidade

A reutilização de uma senha é uma preocupação importante em qualquer empresa. Muitos usuários preferem utilizar a mesma senha por um longo período de tempo. Quanto mais tempo a mesma senha estiver em uso para uma determinada conta, maior a chance de um invasor descobri-la por meio de ataques de força bruta. Além disso, quaisquer contas que possam ter sido comprometidas poderão ser exploradas pelo tempo em que a senha permanecer inalterada. Se as alterações de senha forem exigidas mas a reutilização de senha não for impedida, ou se os usuários puderem reutilizar continuamente um número pequeno de senhas, a eficácia de uma boa diretiva de senha será bastante reduzida.

Se você especificar um número baixo para essa configuração de diretiva, os usuários poderão usar o mesmo número pequeno de senhas repetidamente. Se você também não definir a configuração Duração mínima da senha, os usuários poderão mudar repetidamente suas senhas até poderem reutilizar a senha original.

Contramedida

Defina a configuração Aplicar histórico de senhas como 24, a configuração máxima, para ajudar a reduzir o número de vulnerabilidades que são causados pela reutilização da senha.

Para que essa configuração seja efetiva na sua empresa, não permita que as senhas sejam alteradas imediatamente ao definir a configuração Duração mínima da senha. O valor de Aplicar histórico de senhas deve ser definido com a combinação de uma duração máxima razoável da senha e um intervalo também razoável entre as alterações de senha para todos os usuários da empresa.

Impacto potencial

O principal impacto dessa configuração é que os usuários terão que criar uma nova senha toda vez que for necessário mudar sua senha antiga. Se os usuários precisarem alterar suas senhas para valores novos e exclusivos, existe maior risco de os usuários anotarem suas senhas para não as esquecerem. Outro risco é que os usuários possam criar senhas que mudem incrementalmente (por exemplo, senha01, senha02 e assim por diante) para facilitar a memorização. Além disso, um valor excessivamente baixo para a configuração Duração mínima da senha provavelmente aumentará a sobrecarga administrativa, porque os usuários que se esquecem de suas senhas podem precisar de auxílio do suporte técnico para redefini-las.

Duração máxima da senha

Esta configuração de diretiva determina o número de dias que uma senha pode ser usada antes do usuário precisar mudá-la.

Os valores possíveis para a configuração de Duração máxima da senha são:

• Número de dias especificado pelo usuário entre 0 e 999

• Não Definido

Vulnerabilidade

Qualquer senha, mesmo a mais complexa, pode ser adivinhada (ou "violada") por um invasor com tempo e poder de processamento de computador suficientes. Algumas das seguintes configurações de diretiva podem tornar mais difícil violar senhas em um tempo razoável. O risco de uma senha válida ser violada pode ser reduzido se os usuários precisarem alterar suas senhas freqüentemente, o que também pode atenuar o risco de logon não autorizado por alguém que tenha obtido uma senha de forma ilícita. Você pode configurar a Duração máxima da senha para que os usuários nunca precisem alterar suas senhas, mas essa configuração seria um grande risco de segurança.

Contramedida

Defina a configuração Duração máxima da senha com um valor que seja conveniente para os requisitos de negócios de sua organização. A Microsoft recomenda um valor de 90 dias para a maioria das organizações. Embora tal configuração não seja recomendada, você pode configurar a Duração máxima da senha como 0 de modo que as senhas nunca expirem.

Impacto potencial

Se a configuração Duração máxima da senha for baixa demais, os usuários precisarão alterar suas senhas com muita freqüência. Essa configuração pode na verdade reduzir a segurança na organização, porque será mais provável que os usuários anotem suas senhas em algum lugar para não as esquecerem e que as deixem em um local inseguro ou que as percam. Se você configurar o valor dessa diretiva como alto demais, o nível de segurança dentro de uma organização será reduzido porque invasores potenciais terão um tempo muito maior para violar senhas de usuário ou usar contas comprometidas.

Tempo de vida mínimo da senha

Esta configuração de diretiva determina o número de dias que uma senha deve ser usada antes de o usuário poder mudá-la. O valor de Duração mínima da senha deve ser inferior ao da Duração máxima da senha.

Configure esta diretiva com um número maior do que 0 se quiser que a configuração Aplicar histórico de senhas seja aplicada. Se você definir a configuração Aplicar histórico de senhas como 0, o usuário não precisará escolher uma nova senha exclusiva quando solicitado a alterar sua senha. Se o histórico de senha for usado, os usuários terão que criar uma senha nova e exclusiva ao alterar sua senha.

Os valores possíveis para a configuração de Duração mínima da senha são:

• Número de dias especificado pelo usuário entre 0 e 998

• Não Definido

Vulnerabilidade

Será ineficaz exigir que os usuários alterem suas senhas regularmente se eles puderem alternar entre senhas até poderem reutilizar suas senhas favoritas. Use esta configuração de diretiva com a configuração Aplicar histórico de senhas para impedir a reutilização de senhas antigas. Por exemplo, se você configurar Aplicar histórico de senhas para assegurar que os usuários não possam reutilizar qualquer uma de suas 12 últimas senhas, eles poderão alterar a senha 13 vezes em poucos minutos e reutilizar a primeira senha, a menos que você configure Duração mínima da senha com um número maior do que 0. Configure esta diretiva com um número maior do que 0 para que a configuração Aplicar histórico de senhas seja aplicada.

Contramedida

Configure Duração mínima da senha com um valor de pelo menos 2 dias. Se você configurar o número de dias como **0,**alterações de senha imediatas seriam permitidas, o que não é recomendado.

Impacto potencial

Existe um pequeno problema relacionado com uma configuração de Duração mínima da senha com um número maior que 0. Se um administrador definir uma senha para um usuário mas desejar que esse usuário altere a senha em seu primeiro logon, deverá marcar a caixa de seleção O usuário deve alterar a senha no próximo logon. Caso contrário, ele não poderá alterar a senha até o dia seguinte.

Comprimento mínimo da senha

Esta configuração de diretiva determina o número mínimo de caracteres que pode compor uma senha para um conta de usuário. Há muitas teorias diferentes sobre como determinar o melhor comprimento de senha para uma organização, mas talvez "frase secreta" seja um termo melhor do que "senha". No Microsoft Windows 2000 e em versões posteriores, as frases secretas podem ser bastante longas e incluir espaços, sinais de pontuação e caracteres Unicode. Portanto, uma frase como "Quero uma bebida de US$5!" é uma frase secreta válida. Uma frase como essa é consideravelmente mais forte do que uma seqüência de 8 ou 10 caracteres aleatórios de números e letras, mas é mais fácil de lembrar.

Os valores possíveis para a configuração de Comprimento mínimo da senha são:

• Um número entre 0 e 14 especificado pelo usuário

• Não Definido

Vulnerabilidade

Há vários tipos de ataque de senha com o objetivo de se obter a senha de uma determinada conta de usuário. Entre eles estão os ataques de dicionário (que tentam usar palavras e frases comuns) e os ataques de força bruta (que tenta todas as combinações possíveis de caracteres). Além disso, os invasores às vezes tentam obter o banco de dados de contas para que possam usar utilitários para violar as contas e senhas.

Contramedida

Configure o Comprimento mínimo da senha com um valor de 8 ou mais. Se o número de caracteres estiver definido como 0, não será necessária nenhuma senha.

Para a maioria dos ambientes, recomenda-se uma senha de 8 caracteres, que é o tamanho ideal para oferecer a segurança adequada e para que os usuários se lembrem dela facilmente. Essa configuração oferecerá a devida defesa contra um ataque de força bruta. Requisitos de complexidade adicionais ajudam a reduzir a possibilidade de ataques de dicionário. Os requisitos de complexidade são discutidos na próxima seção deste capítulo. Você também deve observar que alguns países têm requisitos legais com respeito ao comprimento de senha.

Impacto potencial

Os requisitos de senhas extremamente longas podem na verdade reduzir a segurança na organização, porque será mais provável que os usuários anotem suas senhas em algum lugar para não as esquecerem e que as deixem em um local inseguro ou que as percam. No entanto, se os usuários forem informados de que podem usar frases secretas como descrito anteriormente, deverão ser capazes de se lembrarem delas facilmente.

Se senhas curtas forem permitidas, a segurança será reduzida porque elas podem ser facilmente violadas com ferramentas que executam ataques de dicionário ou de força bruta. Se senhas muito longas forem exigidas, a digitação incorreta de senhas pode causar bloqueios de conta e subseqüentemente aumentar o volume de chamadas ao suporte técnico.

Versões mais antigas do Windows, como Windows 98 e Windows NT® 4.0, não têm suporte para senhas mais longas do que 14 caracteres. Os computadores que executam esses sistemas operacionais mais antigos serão incapazes de autenticar computadores ou domínios que usem contas que exijam senhas longas.

Senhas devem satisfazer a requisitos de complexidade

Esta configuração de diretiva determina se as senhas devem atender a uma série de diretrizes que são consideradas importantes para uma senha forte.

Se esta configuração estiver ativada, as senhas deverão atender aos seguintes requisitos:

• A senha tem pelo menos seis caracteres.

• A senha deve conter caracteres de três destas quatro categorias:

  • Caracteres maiúsculos (A, B, C...)

  • Caracteres minúsculos (a, b, c...)

  • Numerais (0, 1, 2, 3, 4, 5, 6, 7, 8, 9)

  • Caracteres Unicode não-alfanuméricos (()`~ ! @ # $ % ^ & * - + = | \ { } [ ] : ; " ' < > , . ? / € Γ ƒ λ e espaço)

• A senha não contém três ou mais caracteres consecutivos do nome de conta do usuário ou de seu nome de exibição. Se o nome de conta tiver menos de três caracteres, essa verificação não será executada porque a freqüência com que as senhas seriam rejeitadas seria muito grande. Quando é executada uma verificação do nome completo do usuário, vários caracteres são tratados como delimitadores que separam o nome em identificadores individuais: vírgulas, pontos, travessões/hifens, sublinhados, espaços, sinais de libra e tabulações. Cada token com três ou mais caracteres é procurado na senha, se ele existir, a alteração da senha será rejeitada.

  Por exemplo, o nome Erin M. Hagens seria dividido em três identificadores: Erin, M e Hagens. Como o segundo identificador tem apenas um caractere, ele seria ignorado. Portanto, esse usuário não poderia ter uma senha que incluísse as subseqüências "bruno" ou "silva" em qualquer posição da senha. Todas essas verificações não diferenciam maiúsculas e minúsculas.

Esses requisitos de complexidade são aplicados na alteração de senha ou na criação de senhas novas.

As regras incluídas na diretiva do Windows Server 2003 não podem ser modificadas diretamente. No entanto, você pode criar uma nova versão do arquivo Passfilt.dll para aplicar um conjunto de regras diferentes. Para obter mais informações sobre como criar seu próprio filtro de senha, consulte a documentação Password Filters no SDK (Software Development Kit) da Plataforma Windows no MSDN® em https://msdn.microsoft.com/library/en-us/secmgmt/security/password\_filters.asp.

Os valores possíveis para a configuração As senhas devem satisfazer aos requisitos de complexidade são:

• Ativado

• Desativado

• Não Definido

Vulnerabilidade

As senhas que contêm apenas caracteres alfanuméricos são extremamente fáceis de descobrir com vários utilitários disponíveis para o público. Para impedir que sejam descobertas, as senhas devem conter uma variedade maior de caracteres.

Contramedida

Configure As senhas devem satisfazer aos requisitos de complexidade como Ativado.

Quando combinada com Comprimento mínimo da senha igual a 8, esta configuração de diretiva assegura que o número de possibilidades diferentes para uma senha única seja tão grande que torna-se difícil (mas não impossível) que um ataque de força bruta tenha êxito. Um invasor que tenha poder de processamento suficiente para testar 1 milhão de senhas por segundo pode descobrir essa senha em aproximadamente sete dias e meio ou menos. (Se a configuração Comprimento mínimo da senha for aumentada, o tempo médio necessário para um ataque bem-sucedido também aumentará.)

Impacto potencial

Se a configuração de complexidade de senha padrão for mantida, poderão ocorrer chamadas adicionais ao suporte técnico devido ao bloqueio de contas, porque os usuários podem não estar acostumados a senhas que contenham caracteres não-alfabéticos. No entanto, todos os usuários devem ser capazes de atender ao requisito de complexidade com dificuldade mínima.

Se sua organização tem requisitos mais rigorosos de segurança, você pode criar uma versão personalizada do arquivo**Passfilt.dll* *que permita o uso de regras de força de senha arbitrariamente complexas. Por exemplo, um filtro de senha personalizado pode exigir o uso de caracteres que não fazem parte da linha superior. (Caracteres da linha superior são os que exigem o pressionamento da tecla SHIFT e de qualquer dígito entre 1 e 0.) Um filtro de senha personalizado também pode executar uma verificação de dicionário para descobrir se a senha proposta não contém fragmentos ou palavras comuns de dicionário.

Além disso, o uso de combinações de caracteres com a tecla ALT pode aumentar significativamente a complexidade de uma senha. No entanto, esses requisitos rigorosos de senha podem resultar em usuários insatisfeitos e um suporte técnico extremamente ocupado. Como alternativa, sua organização pode considerar um requisito de que todas as senhas de administrador usem caracteres ALT no intervalo 0128 – 0159. (Caracteres ALT fora desse intervalo podem representar caracteres alfanuméricos padrão que não acrescentariam mais complexidade à senha.)

Armazena senhas usando criptografia reversível para todos os usuários do domínio

Esta configuração de diretiva determina se Microsoft Windows Server 2003, Windows 2000 Server, Windows 2000 Professional e Windows XP Professional usam criptografia reversível quando armazenam senhas.

A configuração Armazenar senhas usando criptografia reversível para todos os usuários no domínio fornece suporte para protocolos de aplicativo que exigem conhecimento da senha do usuário para propósitos de autenticação. No entanto, as senhas criptografadas que são armazenadas de maneira reversível podem ser descriptografadas. Um invasor experiente capaz de quebrar essa criptografia pode, então, fazer logon na rede com a conta violada.

Cuidado: nunca ative essa configuração de diretiva, a menos que os requisitos comerciais superem a necessidade de proteção das informações de senhas.

O uso da autenticação CHAP (Challenge Handshake Authentication Protocol) por meio de acesso remoto ou de serviços de Serviço de Autenticação da Internet (IAS) exige que essa configuração de diretiva esteja ativada. CHAP é um protocolo de autenticação que pode ser usado por conexões Microsoft de acesso remoto e rede.

Os valores possíveis para a configuração Armazenar senhas usando criptografia reversível para todos os usuários no domínio são:

• Ativado

• Desativado

• Não Definido

Vulnerabilidade

Essa configuração de diretiva determina se o Windows Server 2003 armazenará senhas em um formato de segurança mais baixo, que é mais suscetível a ataques de força bruta.

Contramedida

Defina o valor da configuração Armazenar senhas usando criptografia reversível para todos os usuários no domínio como Desativado.

Impacto potencial

Se sua organização usa o protocolo de autenticação CHAP por acesso remoto ou serviços IAS ou Autenticação Digest no IIS, você deve configurar esta diretiva como Ativado. É muito perigoso aplicar essa configuração por meio de Diretiva de Grupo individualmente por usuário, porque isso exige que o objeto apropriado de conta de usuário seja aberto no snap-in Usuários e computadores do Active Directory do Console de Gerenciamento Microsoft (MMC).

Diretiva de bloqueio de conta

Mais do que algumas tentativas malsucedidas de logon no sistema devido a senhas erradas podem significar que o invasor está tentando descobrir a senha de uma conta por tentativa e erro. O Windows Server 2003 com SP1 controla tentativas de logon, e você pode configurar o sistema operacional para desativar a conta por um período de tempo predefinido depois de um número especificado de tentativas malsucedidas. As configurações de diretiva de bloqueio de conta controlam o limiar para esta resposta e que ação tomar depois que o limiar é alcançado. Este guia inclui uma pasta de trabalho do Microsoft Excel, "Windows Default Security and Services Configuration," que documenta as configurações padrão.

Você pode definir as configurações de diretiva de bloqueio de conta no seguinte local do Editor de Objeto de Diretiva de Grupo:

Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy

Duração do bloqueio de conta

Esta configuração de diretiva determina o número de minutos que uma conta bloqueada permanece nesse estado antes de ser automaticamente desbloqueada. A faixa disponível é de 1 a 99.999 minutos. Para especificar que a conta estará bloqueada até que um administrador a desbloqueie manualmente, configure o valor como 0. Se for definido um limite para o bloqueio da conta, a Duração do bloqueio de conta deverá ser superior ou igual ao tempo de redefinição.

Os valores possíveis para a configuração de Duração do bloqueio de conta são:

• Quantidade de minutos definida pelo usuário entre 0 e 99.999

• Não Definido

Vulnerabilidade

Um ataque DoS (negação de serviço) pode ser criado se o invasor abusar do Limite de bloqueio de conta e tentar repetidamente fazer logon com uma conta específica. Se você configurar Limite de bloqueio de conta, a conta será bloqueada depois do número especificado de tentativas fracassadas. Se você configurar Duração do bloqueio de conta como 0, a conta permanecerá bloqueada até que um administrador a desbloqueie manualmente.

Contramedida

Configure Duração do bloqueio de conta com um valor apropriado para seu ambiente. Para especificar que a conta estará bloqueada até que um administrador a desbloqueie manualmente, configure o valor como 0. Quando a configuração Duração do bloqueio de conta estiver definida com um valor diferente de zero, as tentativas automatizadas de adivinhar senhas de conta deverão aguardar fora desse intervalo antes que possam retomar as tentativas contra uma conta específica. Se você usar essa configuração em combinação com a configuração Limite de bloqueio de conta, as tentativas de adivinhação automatizadas de senha podem se tornar mais difíceis ou inúteis.

Impacto potencial

Embora possa parecer uma boa idéia configurar esta diretiva para nunca desbloquear automaticamente uma conta, essa configuração pode aumentar o número de solicitações que o suporte técnico da organização receberá para desbloquear contas que foram bloqueadas por engano.

Limite de bloqueio de conta

Esta configuração de diretiva determina o número de tentativas fracassadas de logon que faz com que uma conta de usuário seja bloqueada. Uma conta bloqueada não pode ser usada até ser redefinida por um administrador ou até a expiração da duração do bloqueio da conta. Você pode especificar até 999 tentativas fracassadas de logon ou configurar o valor de 0 para especificar que a conta nunca será bloqueada. Se for definido um Limite de bloqueio de conta, a Duração do bloqueio de conta deverá ser superior ou igual ao tempo de redefinição.

Tentativas fracassadas de senha contra estações de trabalhos ou servidores membros que tenham sido bloqueados usando-se CTRL+ALT+DEL ou protetores de tela protegidos por senha não contam como tentativas fracassadas de logon, a menos que a configuração de diretiva Logon interativo: Exigir autenticação de controlador de domínio para desbloqueio de estação de trabalho esteja ativada. Se estiver, após um determinado número de tentativas de inserir uma senha incorreta para desbloquear a estação de trabalho, a conta será bloqueada.

Os valores possíveis para a configuração de Limite do bloqueio de conta são:

• Um valor entre 0 e 999 definido pelo usuário

• Não Definido

Vulnerabilidade

Os ataques de senha podem utilizar métodos automatizados para tentar milhares e até mesmo milhões de combinações de senha para qualquer ou todas as contas de usuário. A eficácia de tais ataques pode ser quase eliminada se você limitar o número de logons fracassados que podem ser executados.

No entanto, é importante observar que pode ser realizado um ataque DoS em um domínio que possui um limite de bloqueio de conta configurado. Um invasor mal intencionado poderia tentar por programação uma série de ataques de senha contra todos os usuários da empresa. Se o número de tentativas for maior do que o limite de bloqueio de conta, o invasor poderá ser capaz de bloquear todas as contas.

Contramedida

Uma vez que podem existir vulnerabilidades configurando ou não esse valor, são definidas duas contramedidas distintas. Sua empresa deve decidir entre as duas de acordo com as ameaças identificadas e os riscos que você deseja eliminar. As duas opções de contramedida são:

• Configurar o Limite de bloqueio de conta como 0. Esta configuração assegura que as contas não serão bloqueadas e você impedirá um ataque DoS que intencionalmente tente bloquear todas as contas ou algumas contas específicas. Essa configuração também reduz o volume de chamadas ao suporte técnico, pois os usuários não podem bloquear suas contas acidentalmente.

  Como isso não impedirá um ataque de força bruta, escolha essa configuração somente se dois dos critérios a seguir forem atendidos:

  • A diretiva de senha exige que todos os usuários tenham senhas complexas compostas por 8 ou mais caracteres.

  • Existe um mecanismo de auditoria excelente para alertar os administradores quando ocorrer uma série de logons inválidos no ambiente.

• Se sua empresa não atender aos critérios anteriores, configure Limite de bloqueio de conta com um valor suficientemente alto que permita aos usuários acidentalmente digitar uma senha incorreta várias vezes antes que a conta seja bloqueada, mas que assegure que um ataque de força bruta bloqueie a conta. Uma boa recomendação para tal configuração é definir 50 tentativas de logon inválidas, o que impedirá bloqueios de conta acidentais e reduzirá o número de chamadas ao suporte técnico, mas não impedirá um ataque DoS (conforme já analisado).

Impacto potencial

Se esta configuração de diretiva estiver ativada, uma conta bloqueada não poderá ser usada até que seja redefinida por um administrador ou até que a duração do bloqueio de conta expire. Essa configuração provavelmente gerará várias chamadas ao suporte técnico. Na verdade, contas bloqueadas são o principal motivo das chamadas ao suporte técnico em várias empresas.

Se você configurar Limite de bloqueio de conta como 0, há uma possibilidade de que a tentativa de um invasor de violar senhas com um ataque de senha de força bruta possa passar despercebido se não houver um mecanismo robusto de auditoria.

Zerar contador de bloqueios de conta após

Esta configuração de diretiva determina o número de minutos que devem passar antes que o contador que controla as tentativas fracassadas de logon e dispara o bloqueio de conta seja redefinido como 0. Se a configuração Limite de bloqueio de conta estiver definida, o tempo para redefinição deve ser menor ou igual à configuração Duração do bloqueio de conta.

Os valores possíveis para a configuração Zerar contador de bloqueios de conta após são:

• Quantidade de minutos definida pelo usuário entre 1 e 99.999

• Não Definido

Vulnerabilidade

Os usuários podem se bloquear acidentalmente se digitarem senhas erradas várias vezes. Para reduzir a possibilidade de tais bloqueios acidentais, a configuração Zerar contador de bloqueios de conta após determina o número de minutos que devem passar antes que o contador que controla tentativas fracassadas de logon e dispara bloqueios seja redefinido como 0.

Contramedida

Defina a configuração Zerar contador de bloqueios de conta após como 30 minutos.

Impacto potencial

Se você não definir essa configuração de diretiva ou se o valor for configurado com um intervalo longo demais, um ataque DoS poderá ocorrer. Um invasor mal-intencionado pode tentar fazer logon na conta de cada usuário numerosas vezes e bloquear suas contas como descrito nos parágrafos anteriores. Se você não definir a configuração Zerar contador de bloqueios de conta após, os administradores terão que desbloquear manualmente todas as contas. Se você definir essa configuração de diretiva com um valor razoável, os usuários serão bloqueados por um tempo e depois disso suas contas serão desbloqueadas automaticamente. Certifique-se de notificar os usuários sobre os valores usados para essa configuração de diretiva, para que aguardem a expiração do contador de bloqueio antes de chamarem o suporte técnico a respeito da incapacidade de logon.

Diretiva Kerberos

No Windows Server 2003 com SP1, o protocolo de autenticação Kerberos fornece o mecanismo padrão para serviços de autenticação de domínio e os dados de autorização necessários para o usuário acessar um recurso e executar uma tarefa nesse recurso. Com a redução do tempo de vida das permissões Kerberos, o risco de as credenciais de um usuário legítimo serem roubadas e usadas com êxito por um invasor é reduzido. No entanto, a sobrecarga das autorizações aumenta.

Na maioria dos ambientes, as configurações de diretiva Kerberos não precisarão ser mudadas. Essas configurações de diretiva são aplicadas no nível do domínio, e os valores padrão são configurados no GPO da Diretiva de Domínio Padrão em uma instalação padrão de um domínio do Active Directory no Windows 2000 ou Windows Server 2003. Este guia inclui uma pasta de trabalho do Microsoft Excel, "Windows Default Security and Services Configuration," que documenta as configurações padrão.

Você pode definir as configurações de diretiva Kerberos no seguinte local do Editor de Objeto de Diretiva de Grupo:

Configuração do Computador\Configurações do Windows\Configurações de Segurança\Diretivas de Conta\Diretiva Kerberos

Aplicar restrições ao logon do usuário

Essa configuração de diretiva determina se o KDC (Centro de Distribuição de Chaves) valida todas as solicitações de permissão de sessão conforme a diretiva de direitos da conta do usuário. A validação de cada solicitação de permissão de sessão é opcional, pois as etapas extras levam tempo e podem deixar lento o acesso aos serviços da rede.

Os valores possíveis para a configuração Aplicar restrições ao logon do usuário são:

• Ativado

• Desativado

• Não Definido

Vulnerabilidade

Se você desativar essa configuração de diretiva, os usuários poderão receber permissões de sessão para serviços que não tenham mais o direito de usar porque o direito foi removido após seu logon.

Contramedida

Defina a configuração Aplicar restrições ao logon do usuário como Ativado.

Impacto potencial

Nenhum. Essa é a configuração padrão.

Vida útil máxima para permissões de serviço

Essa configuração de diretiva determina a quantidade máxima de tempo (em minutos) em que uma permissão de sessão concedida pode ser usada para o acesso a um determinado serviço. A configuração deve ser 10 minutos ou maior, e menor que ou igual à configuração de Vida útil máxima para permissões de usuário.

Se um cliente apresentar uma permissão de sessão expirada ao solicitar uma conexão a um servidor, o servidor retornará uma mensagem de erro e o cliente deverá solicitar uma permissão nova de sessão do KDC. Depois que uma conexão for autenticada, no entanto, não importará se a permissão de sessão permanecer válida. Permissões de sessão são usadas apenas para autenticar novas conexões com servidores. As operações não serão interrompidas se a permissão de sessão que autenticou a conexão expirar durante a conexão.

Os valores possíveis para a configuração Vida útil máxima para permissões de serviço são:

• Quantidade de minutos definida pelo usuário entre 10 e 99.999 Se você definir essa configuração de diretiva como 0, as permissões de serviço não expirarão.

• Não Definido.

Vulnerabilidade

Se você definir o valor da configuração Vida útil máxima para permissões de serviço como muito alta, os usuários poderão acessar recursos de rede fora de seu horário de logon. Além disso, os usuários cujas contas foram desativadas poderão continuar a acessar serviços da rede com permissões de serviço válidas que tenham sido emitidas antes da desativação de suas contas.

Contramedida

Defina a configuração Vida útil máxima para permissões de serviço como 600 minutos.

Impacto potencial

Nenhum. Essa é a configuração padrão.

Vida útil máxima para permissão de usuário

Essa configuração de diretiva determina a quantidade máxima de tempo (em horas) da TGT (Permissão para Concessão de Permissões) de um usuário. Quando a TGT de um usuário expira, uma nova TGT deve ser solicitada ou a existente deve ser renovada.

Os valores possíveis para a configuração Vida útil máxima para permissões de usuário são:

• Quantidade de horas definida pelo usuário entre 0 e 99.999 O valor padrão é 10 horas.

• Não Definido.

Vulnerabilidade

Se você definir o valor da configuração Vida útil máxima para permissões de usuário como muito alta, os usuários poderão acessar recursos de rede fora de seu horário de logon. Além disso, os usuários cujas contas foram desativadas poderão continuar a acessar serviços da rede com permissões de serviço válidas que tenham sido emitidas antes da desativação de suas contas.

Contramedida

Defina a configuração Vida útil máxima para permissões de usuário como 10 horas.

Impacto potencial

Nenhum. Essa é a configuração padrão.

Vida útil máxima para renovação da permissão de usuário

Essa configuração de diretiva determina a quantidade de tempo (em dias) durante a qual a TGT (Permissão para Concessão de Permissões) de um usuário pode ser renovada.

Os valores possíveis para a configuração Vida útil máxima para renovação da permissão de usuário são:

• Quantidade de minutos definida pelo usuário entre 0 e 99.999

• Não Definido

Vulnerabilidade

Se o valor da configuração Vida útil máxima para renovação da permissão de usuário for alto demais, os usuários poderão renovar permissões de usuário muito antigas.

Contramedida

Defina a configuração Vida útil máxima para renovação da permissão de usuário como 10080 minutos (7 dias).  

Impacto potencial

Nenhum. Essa é a configuração padrão.

Tolerância máxima para minutos de sincronização do relógio do computador

Esta configuração de diretiva determina a diferença máxima de tempo (em minutos) que o protocolo Kerberos permitirá entre o tempo no relógio do computador do cliente e o tempo no controlador de domínio do Windows Server 2003 que fornece a autenticação Kerberos.

Os valores possíveis para a configuração Tolerância máxima para minutos de sincronização do relógio do computador são:

• Quantidade de minutos definida pelo usuário entre 1 e 99.999

• Não Definido

Vulnerabilidade

Para impedir "ataques de repetição", o protocolo de autenticação Kerberos usa carimbos de data/hora como parte de sua definição de protocolo. Para que os carimbos de data/hora funcionem adequadamente, os relógios do cliente e do controlador do domínio precisam estar sincronizados o máximo possível. Como os relógios de dois computadores freqüentemente não estão sincronizados, os administradores podem usar esta diretiva para estabelecer o tempo máximo decorrido em que uma negociação Kerberos deve ser concluída; o tempo decorrido é calculado a partir dos carimbos de data/hora. O valor desta configuração limita a diferença máxima de tempo que pode ser tolerada entre o controlador do domínio e o computador do cliente.

Contramedida

Defina a configuração Tolerância máxima para minutos de sincronização do relógio do computador como 5 minutos.

Impacto potencial

Nenhum. Essa é a configuração padrão.

Mais informações

Os links a seguir fornecem informações adicionais sobre tópicos relacionados à proteção de controladores de domínio que executam o Windows Server 2003 com SP1:

• Para obter uma explicação detalhada de como a complexidade de senha funciona no Windows, além de conselhos específicos sobre como criar senhas mais fortes que não sejam difíceis de lembrar, consulte o artigo "Selecting Secure Passwords," que está disponível online em www.microsoft.com/smallbusiness/support/articles/select\_sec\_passwords.mspx.

• Para obter mais informações sobre a orientação de segurança autorizada da Microsoft, consulte Práticas recomendadas de segurança empresarial em www.microsoft.com/technet/security/secnews/articles/enterprisesecbp.msp.

• Para obter mais informações sobre Diretivas de Grupo, incluindo uma listagem de caminhos e valores para todas as configurações que são armazenadas no Registro e quais estão disponíveis para cada versão do Windows, consulte "Group Policy Settings Reference for Windows Server 2003 with Service Pack 1” em www.microsoft.com/downloads/details.aspx?FamilyId=7821C32F-DA15-438D-8E48-45915CD2BC14.

Neste artigo

• Visão geral
• Capítulo 1: Introdução a ameaças e contramedidas: configurações de segurança no Windows Server 2003 e Windows XP
• Capítulo 2: Diretivas do nível de domínio
• Capítulo 3: Diretiva de auditoria
• Capítulo 4: Direitos de usuário
• Capítulo 5: Opções de segurança
• Capítulo 6: Log de eventos
• Capítulo 7: Serviços de sistema
• Capítulo 8: Diretivas de restrição de software
• Capítulo 9: Modelos administrativos do Windows XP e Windows Server 2003
• Capítulo 10: Entradas adicionais do Registro
• Capítulo 11: Contramedidas adicionais
• Capítulo 12: Conclusão
• Agradecimentos

Download

Receba o Guia Ameaças e Contramedidas

Notificações de atualizações

Inscreva-se para informar-se sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários ou sugestões

3 de 14