Ameaças e contramedidas
Capítulo 4: Direitos de usuário
Atualizado em: 27 de dezembro de 2005
Os direitos de usuário permitem que o usuário execute tarefas em um computador ou domínio. Os direitos de usuário incluem direitos de logon e privilégios. Os direitos de logon controlam quem está autorizado a fazê-lo em um computador e como ele é realizado. Os privilégios controlam o acesso a recursos de computador e domínio e podem substituir as permissões que foram configuradas em objetos específicos.
Um exemplo de direito de logon é a capacidade de fazer logon em um computador localmente. Um exemplo de privilégio é a capacidade de desligar o computador. Ambos os tipos de direito de usuário são atribuídos pelos administradores a usuários individuais ou grupos como parte das configurações de segurança do computador. Para ver um resumo das configurações prescritas neste capítulo, consulte a pasta de trabalho do Microsoft® Excel® "Windows Default Security and Services Configuration" incluída neste guia. Essa pasta de trabalho documenta as configurações padrão de atribuição de direitos de usuário.
Observação: o Internet Information Server (IIS) espera que certos direitos de usuário sejam atribuídos às contas internas que ele usa. As configurações de atribuição de direitos de usuário neste capítulo identificam quais direitos o IIS exige; para obter mais informações sobre esses requisitos, consulte a lista "IIS and Built-In Accounts (IIS 6.0) " em www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx.
Nesta página
Configurações de atribuição de direitos de usuário
Mais informações
Configurações de atribuição de direitos de usuário
Você pode definir a configuração de atribuição de direitos de usuário descrita abaixo no seguinte local do Editor de Objeto de Diretiva de Grupo:
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
Acesso a este computador pela rede
Esta configuração de diretiva determina se os usuários podem conectar-se ao computador a partir da rede. Esta capacidade é exigida por vários protocolos de rede, incluindo protocolos baseados em SMB (Server Message Block), NetBIOS, CIFS (Common Internet File System) e COM+ (Component Object Model Plus).
Os valores possíveis para a configuração Acesso a este computador pela rede são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Os usuários que se conectam à rede a partir de seus computadores podem acessar os recursos de computadores de destino para os quais tenham permissão. Por exemplo, o direito de usuário Acesso a este computador pela rede é exigido para que os usuários conectem-se a impressoras e pastas compartilhadas. Se esse direito de usuário for atribuído ao grupo Todos e algumas pastas compartilhadas tiverem permissões configuradas tanto para compartilhamento quanto para o sistema de arquivos NTFS, de modo que o mesmo grupo tenha acesso de leitura, qualquer pessoa poderá exibir os arquivos dessas pastas. No entanto, esta situação é improvável para as novas instalações do Microsoft Windows Server™ 2003 com Service Pack 1 (SP1), porque o compartilhamento padrão e as permissões NTFS no Windows Server 2003 não incluem o grupo Todos. Esta vulnerabilidade pode ter um nível mais alto de risco para os computadores atualizados do Windows NT® 4.0 ou do Windows 2000, porque as permissões padrão para estes sistemas operacionais não são tão restritivas quanto as permissões padrão do Windows Server 2003.
Contramedida
Limite o direito de usuário Acesso a este computador pela rede aos usuários que precisam do acesso ao servidor. Por exemplo, se você definir essa configuração de diretiva para os grupos Administradores e Usuários, os usuários que fizerem logon ao domínio poderão acessar recursos compartilhados em servidores do domínio se os membros do grupo Usuários do domínio estiverem incluídos no grupo local Usuários.
Impacto potencial
Se você remover o direito de usuário Acesso a este computador pela rede de controladores de domínio para todos os usuários, ninguém poderá fazer logon ao domínio ou usar recursos de rede. Se você remover esse direito do usuário de servidores membro, os usuários não serão capazes de se conectar a esses servidores pela rede. Se você tiver instalado componentes opcionais como ASP.NET ou Internet Information Services (IIS), poderá ser preciso atribuir esse direito de usuário a contas adicionais que são exigidas por esses componentes. É importante verificar se os usuários autorizados têm esse direito de usuário nos computadores que utilizam para acessar a rede.
Atuar como parte do sistema operacional
Esta configuração de diretiva determina se um processo pode assumir a identidade de qualquer usuário e assim obter acesso aos recursos que o usuário está autorizado a acessar. Geralmente, apenas serviços de autenticação de baixo nível exigem esse direito de usuário. Observe que o acesso potencial não está limitado ao que é associado com o usuário por padrão. O processo de chamada pode solicitar que privilégios adicionais arbitrários sejam adicionados ao token de acesso. O processo de chamada também pode criar um token de acesso que não ofereça uma identidade primária para auditoria nos logs de eventos de sistema.
Os valores possíveis para a configuração Atuar como parte do sistema operacional são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
O direito de usuário Atuar como parte do sistema operacional é extremamente poderoso. Qualquer pessoa com este direito de usuário pode ter controle completo do computador e apagar indícios de suas atividades.
Contramedida
Restrinja o direito de usuário Atuar como parte do sistema operacional à menor quantidade possível de contas. Em circunstâncias normais, ele não deve ser atribuído nem mesmo ao grupo Administradores. Quando um serviço exigir esse direito de usuário, configure o serviço para fazer logon usando a conta Sistema Local, à qual esse privilégio é inerente. Não crie uma conta separada e atribua a ela esse direito de usuário.
Impacto potencial
O impacto deve ser mínimo ou inexistente, porque o direito de usuário Atuar como parte do sistema operacional raramente é exigido por quaisquer contas diferentes da conta Sistema Local.
Adicionar estações de trabalho ao domínio
Esta configuração de diretiva determina se um usuário pode adicionar um computador a um domínio específico. Para que tenha efeito, ela deve ser atribuída de modo que se aplique a pelo menos um controlador de domínio. Um usuário que receba este direito de usuário pode adicionar até dez estações de trabalho ao domínio. Os usuários também podem incluir um computador em um domínio se tiverem a permissão Criar objetos de computador para uma UO (unidade organizacional) ou para o recipiente Computadores do serviço de diretório Active Directory®. Usuários com essa permissão podem adicionar um número ilimitado de computadores ao domínio, independentemente de o direito de usuário Adicionar estações de trabalho ao domínio ter sido atribuído a eles ou não.
Os valores possíveis para a configuração Adicionar estações de trabalho ao domínio são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
O direito de usuário Adicionar estações de trabalho ao domínio apresenta uma vulnerabilidade moderada. Os usuários com esse direito podem adicionar um computador ao domínio configurado de modo a violar as diretivas de segurança da organização. Por exemplo, se a sua organização não deseja que os usuários tenham privilégios administrativos em seus computadores, um usuário pode instalar o Windows em seu computador e, em seguida, adicionar o computador ao domínio. Eles saberiam a senha da conta do administrador local e poderiam fazer logon com essa conta e, em seguida, adicionar sua conta de domínio ao grupo de Administradores local.
Contramedida
Defina a configuração Adicionar estações de trabalho ao domínio para que apenas os membros autorizados da equipe de TI possam adicionar computadores ao domínio.
Impacto potencial
Para organizações que nunca permitiram que os usuários configurassem seus próprios sistemas e os adicionassem ao domínio, essa medida não terá impacto. Para aquelas que permitem que alguns ou todos os usuários configurem seus próprios computadores, essa contramedida obrigará a organização a estabelecer um processo formal para que esses procedimentos avancem. Ela não afetará os computadores existentes, a menos que sejam removidos e readicionados ao domínio.
Ajustar cotas de memória para um processo
Esta configuração de diretiva determina se os usuários podem ajustar a quantidade máxima de memória que está disponível para um processo. Embora esta capacidade seja útil quando você precisa ajustar os computadores, considere seu potencial para abuso. Em mãos erradas, essa medida poderia ser usada para iniciar um ataque DoS (Negação de Serviço).
Os valores possíveis para a configuração Ajustar cotas de memória para um processo são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Um usuário com o privilégio Ajustar cotas de memória para um processo pode reduzir a quantidade de memória que está disponível para qualquer processo, o que pode fazer com que aplicativos de rede críticos para a empresa fiquem lentos ou falhem.
Contramedida
Restrinja o direito de usuário Ajustar cotas de memória para um processo aos usuários que precisem dele para executar seus trabalhos, como os administradores de aplicativos que mantêm sistemas de gerenciamento de banco de dados ou administradores de domínio que administram o diretório da organização e sua infra-estrutura de suporte.
Impacto potencial
As organizações que não restringiram os usuários a funções com privilégios limitados acharão difícil impor esta contramedida. Além disso, se você tiver instalado componentes opcionais como ASP.NET ou IIS, poderá precisar atribuir o direito de usuário Ajustar cotas de memória para um processo a contas adicionais que são exigidas por esses componentes. O IIS exige que este privilégio seja atribuído explicitamente às contas IWAM_<NomeComputador>,Serviço de Rede e contas de Serviço. Caso contrário, esta contramedida não deve ter impacto algum na maioria dos computadores. Se este direito for necessário para uma conta de usuário, ele poderá ser atribuído a uma conta de computador local em vez de a uma conta de domínio.
Permitir logon local
Esta configuração de diretiva determina se um usuário pode iniciar uma sessão interativa no computador. Os usuários que não têm esse direito ainda são capazes de iniciar uma sessão interativa remota no computador se tiverem o direito Permitir logon pelos Serviços de Terminal.
Os valores possíveis para a configuração Permitir logon local são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Qualquer conta com o direito de usuário Permitir logon local pode fazer logon no console do computador. Se você não restringir este direito de usuário aos usuários legítimos que precisem fazer logon no console do computador, usuários não autorizados poderão baixar e executar código mal-intencionado para elevar seus privilégios.
Contramedida
Nos controladores de domínio, atribua o direito de usuário Permitir logon local apenas ao grupo Administradores. Para outras funções do servidor, você pode escolher adicionar Operadores de cópia e Usuários avançados. Nos computadores dos usuários finais, você também deve atribuir esse direito ao grupo Usuários.
Uma outra opção é atribuir grupos como Opers. de contas, Opers. de servidores e Convidados ao direito de usuário Negar logon local.
Impacto potencial
Se você remover esses grupos padrão, poderá limitar a capacidade dos usuários que têm funções administrativas específicas em seu ambiente. Se você tiver instalado componentes opcionais como ASP.NET ou Internet Information Services, poderá ser preciso atribuir o direito de usuário Permitir logon local a contas adicionais que são exigidas por esses componentes. O IIS exige que esse direito de usuário seja atribuído à conta IUSR_<NomeComputador>. Confirme que as atividades delegadas não sejam prejudicadas.
Permitir logon pelos serviços de terminal
Esta configuração de diretiva determina se os usuários podem fazer logon ao computador por uma conexão da Área de Trabalho Remota. Você não deve atribuir esse direito de usuário a outros usuários ou grupos. Em vez disso, é uma prática melhor adicionar ou remover usuários do grupo Usuários da área de trabalho remota para controlar quem pode abrir uma conexão da Área de Trabalho Remota ao computador.
Os valores possíveis para a configuração Permitir logon pelos Serviços de Terminal são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Qualquer conta com o direito de usuário Permitir logon pelos Serviços de Terminal pode fazer logon ao console remoto do computador. Se você não restringir este direito de usuário aos usuários legítimos que precisem fazer logon no console do computador, usuários não autorizados poderão baixar e executar código mal-intencionado para elevar seus privilégios.
Contramedida
Para os controladores de domínio, atribua o direito de usuário Permitir logon pelos Serviços de Terminal apenas ao grupo Administradores. Para outras funções do servidor e computadores de usuário final, adicione o grupo Usuários da área de trabalho remota. Para Servidores de terminal que não sejam executados em Modo de Servidor de Aplicativo, certifique-se de que somente o pessoal de TI autorizado que necessita administrar os computadores remotamente pertença a qualquer um destes grupos.
Aviso: para os Servidores de Terminal executados no modo Servidor de Aplicativos, certifique-se de que apenas os usuários que precisem ter acesso ao servidor tenham contas que pertençam ao grupo Usuários da área de trabalho remota, pois esse grupo interno, por padrão, possui tal direito de logon.
Uma outra opção é atribuir o direito de usuário Negar logon pelos serviços de terminal para grupos como Opers. de contas, Opers. de servidores e Convidados. No entanto, tenha cuidado ao usar esse método, pois você pode bloquear o acesso de administradores legítimos que também pertençam a um grupo com o direito de usuário Negar logon pelos serviços de terminal.
Impacto potencial
A remoção do direito de usuário Permitir logon por Serviços de Terminal de outros grupos ou alterações de participação nestes grupos padrão pode limitar a capacidade de usuários que executam funções administrativos específicas em seu ambiente. Confirme que as atividades delegadas não sejam prejudicadas.
Fazer backup de arquivos e diretórios
Esta configuração de diretiva determina se os usuários podem contornar permissões de arquivo e diretório para fazer backup do computador. Este direito de usuário é eficiente somente quando um aplicativo tenta um acesso pela API de backup do NTFS por meio de um utilitário de backup como NTBACKUP.EXE. Caso contrário, as permissões padrão de acesso a arquivos e diretórios serão aplicadas.
Os valores possíveis para a configuração Fazer backup de arquivos e pastas são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Os usuários que são capazes de fazer backup dos dados de um computador podem levar a mídia de backup a um computador não pertencente ao domínio no qual tenham privilégios administrativos e restaurar esses dados. Eles podem apropriar-se dos arquivos e exibir quaisquer dados não-criptografados que estejam contidos no conjunto de backup.
Contramedida
Restrinja o direito de usuário Fazer backup de arquivos e pastas a membros da equipe de TI que precisarem fazer backup de dados da organização como parte das responsabilidades diárias de seu cargo. Se você usar software de backup executado em contas de serviço específicas, somente estas contas (e não a equipe de TI) deve ter o direito de usuário Fazer backup de arquivos e pastas.
Impacto potencial
As alterações na participação dos grupos que têm o direito de usuário Fazer backup de arquivos e pastas podem limitar a capacidade dos usuários que têm funções administrativas específicas em seu ambiente. Certifique-se de que os administradores de backup autorizados ainda possam realizar operações de backup.
Ignorar a verificação completa
Esta configuração de diretiva determina se os usuários podem passar por pastas sem que seja verificado se possuem a permissão de acesso especial “Desviar Pasta” quando navegam por um caminho de objeto no sistema de arquivos NTFS ou no Registro. Este direito de usuário não permite que o usuário liste o conteúdo de uma pasta; ele só permite que o usuário passe por pastas.
Os valores possíveis para a configuração Ignorar a verificação completa são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
A configuração padrão para Ignorar a verificação completa é permitir que qualquer pessoa ignore a verificação completa, e administradores de sistema Windows experientes configuram a lista de controle de acesso (ACL) do sistema de arquivos de forma correspondente. O único cenário em que a configuração padrão pode levar a um problema é quando o administrador que configura as permissões não entende como esta configuração de diretiva funciona. Por exemplo, eles podem esperar que os usuários que são incapazes de acessar uma pasta sejam incapazes de acessar o conteúdo de quaisquer pastas filhas. Uma tal situação é improvável, e portanto esta vulnerabilidade apresenta pouco risco.
Contramedida
Organizações extremamente preocupadas com a segurança podem remover o grupo Todos ou até mesmo o grupo Usuários da lista de grupos com o direito de usuário Ignorar verificação completa. Ter controle explícito sobre atribuições de passagem pode ser um meio muito eficiente para controlar o acesso a informações confidenciais. Além disso, o recurso Enumeração baseada em acesso que foi adicionado no Windows Server 2003 SP1 pode ser usado. Se você usar a enumeração baseada em acesso, os usuários não poderão ver qualquer pasta ou arquivo a que não tenham acesso. Para obter mais informações sobre este recurso, consulte www.microsoft.com/technet/prodtechnol
/ windowsserver2003/library/BookofSP1/f04862a9-3e37-4f8c-ba87-917f4fb5b42c.mspx.)
Impacto potencial
Os sistemas operacionais Windows, bem como vários aplicativos, foram projetados para que qualquer pessoa que pudesse acessar legitimamente o computador tivesse esse direito de usuário. Portanto, a Microsoft recomenda que você teste completamente quaisquer alterações de atribuições do direito de usuário Ignorar a verificação completa antes de fazer essas alterações em sistemas de produção. Em particular, o IIS exige que este direito de usuário seja atribuído às contas Serviço de Rede, Serviço Local, IIS_WPG, IUSR_<NomeComputador> e IWAM_<NomeComputador>. (Ele também deve ser atribuído à conta ASPNET por sua participação no grupo Usuários.) Este guia recomenda que você deixe esta configuração de diretiva com o seu padrão.
Alterar horáriodo sistema
Esta configuração de diretiva determina se os usuários podem ajustar a hora do relógio interno do computador. Isso não é necessário para alterar o fuso horário ou outras características de exibição da hora do sistema.
Os valores possíveis para a configuração Alterar a hora do sistema são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Usuários que podem alterar a hora de um computador podem causar vários problemas: Por exemplo, os carimbos de data/hora em entradas do log de eventos podem se tornar inexatos, os carimbos de arquivos e pastas que são criados ou modificados podem estar incorretos e os computadores que pertencem a um domínio podem não ser capazes de autenticarem a si próprios ou os usuários que tentam fazer logon no domínio a partir deles. Além disso, como o protocolo de autenticação Kerberos exige que o solicitante e o autenticador tenham seus relógios sincronizados dentro de um período definido pelo administrador, um invasor que altere a hora do computador pode impedir que esse computador obtenha ou conceda permissões Kerberos.
O risco desse tipo de evento é reduzido na maioria dos controladores de domínio, servidores membro e computadores de usuário final, pois o serviço Horário do Windows sincroniza automaticamente a hora com os controladores de domínio da seguinte maneira:
Todos os servidores membros e computadores de mesa clientes usam o controlador de domínio autenticador como parceiro de horário interno.
Todos os controladores de domínio em um domínio nomeiam o mestre de operações de PDC (Controlador de Domínio Primário) como parceiro de horário interno.
Todos os mestres de operações de PDC seguem a hierarquia de domínios na seleção de seu parceiro de horário interno.
O mestre de operações do emulador do PDC na raiz do domínio é autorizado para a organização. Assim, é recomendado que você configure este computador para se sincronizar com um servidor de horário externo de confiança.
Essa vulnerabilidade se torna muito mais séria se um invasor conseguir alterar a hora do sistema e, em seguida, interromper o serviço Horário do Windows ou reconfigurá-lo para sincronizar com um servidor de horário não preciso.
Contramedida
Restrinja o direito de usuário Alterar a hora do sistema a usuários com uma verdadeira necessidade de alterar a hora do sistema, como membros da equipe de TI.
Impacto potencial
Não deve haver impacto, porque, para a maioria das organizações, a sincronização da hora deve ser totalmente automatizada em todos os computadores pertencentes ao domínio. Os computadores que não pertencerem ao domínio devem ser configurados para sincronizar com uma fonte externa.
Criar um arquivo de paginação
Esta configuração de diretiva determina se os usuários podem criar e alterar o tamanho de um arquivo de paginação. Especificamente, ela determina se eles podem especificar um tamanho de arquivo de paginação para uma unidade específica na caixa Opções de Desempenho localizada na guia Avançado da caixa de diálogo Propriedades do Sistema.
Os valores possíveis para a configuração Criar um arquivo de paginação são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Os usuários que conseguirem alterar o tamanho do arquivo de paginação podem torná-lo extremamente pequeno ou movê-lo para um volume de armazenamento altamente fragmentado, o que poderia prejudicar o desempenho do computador.
Contramedida
Restrinja o direito de usuário Criar um arquivo de paginação aos membros do grupo Administradores.
Impacto potencial
Nenhum. Essa é a configuração padrão.
Criar um objeto token
Esta configuração de diretiva determina se um processo pode criar um token, que então pode ser usado para obter-se acesso a qualquer recurso local quando o processo usar NtCreateToken() ou outras APIs de criação de tokens.
Os valores possíveis para a configuração Criar um objeto token são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
O sistema operacional examina o token de acesso do usuário para determinar o nível dos privilégios do usuário. Os tokens de acesso são criados quando usuários fazem logon no computador local ou se conectam a um computador remoto pela rede. Quando você revoga um privilégio, a alteração é registrada imediatamente, mas não é refletida no token de acesso do usuário até a próxima vez em que ele fizer logon ou se conectar. Um usuário capaz de criar ou modificar tokens pode alterar o nível de acesso de qualquer conta que tiver feito logon no momento. Eles podem elevar seus próprios privilégios ou criar uma condição DoS.
Contramedida
Não atribua o direito de usuário Criar um objeto token a nenhum usuário. Os processos que exigem este direito de usuário devem usar a conta Sistema, que já o inclui, em vez de uma conta de usuário separada que tenha este direito do usuário atribuído.
Impacto potencial
Nenhum. Essa é a configuração padrão.
Criar objetos globais
Esta configuração de diretiva determina se os usuários podem criar objetos globais que estejam disponíveis em todas as sessões. Os usuários ainda podem criar objetos que são específicos de sua própria sessão, se não tiverem este direito de usuário.
Os valores possíveis para a configuração Criar objetos globais são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Os usuários que podem criar objetos globais podem afetar processos que sejam executados nas sessões de outros usuários. Essa capacidade pode causar vários problemas, como falhas em aplicativos ou dados corrompidos.
Contramedida
Restrinja o direito de usuário Criar objetos globais aos membros dos grupos locais Administradores e Serviço.
Impacto potencial
Nenhum. Essa é a configuração padrão.
Criar objetos compartilhados permanentes
Esta configuração de diretiva determina se os usuários podem criar objetos de diretório no gerenciador de objetos. Os usuários que têm esta capacidade podem criar objetos compartilhados permanentes, incluindo dispositivos, semáforos e exclusões mútuas. Este direito de usuário é útil para componentes do modo kernel que estendam o espaço para nome do objeto, e eles têm este direito do usuário inerentemente. Portanto, normalmente não é necessário atribuir especificamente este direito de usuário a quaisquer usuários.
Os valores possíveis para a configuração Criar objetos compartilhados permanentes são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Os usuários que tenham o direito de usuário Criar objetos compartilhados permanentes podem criar novos objetos compartilhados e expor dados sensíveis à rede.
Contramedida
Não atribua o direito de usuário Criar objetos compartilhados permanentes a nenhum usuário. Os processos que exigem este direito de usuário devem usar a conta Sistema (que já inclui este direito de usuário) em vez de uma conta de usuário separada.
Impacto potencial
Nenhum. Essa é a configuração padrão.
Depurar programas
Esta configuração de diretiva determina se os usuários podem abrir ou se conectar a qualquer processo, mesmo aqueles que não possuam. Este direito de usuário oferece acesso a componentes confidenciais e críticos do sistema operacional.
Os valores possíveis para a configuração Depurar programas são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
O direito de usuário Depurar programas pode ser explorado para capturar informações do computador importantes da memória do sistema ou para acessar e modificar estruturas de kernel ou aplicativo. Algumas ferramentas de ataque exploram esse direito de usuário para extrair senhas com hash e outras informações de segurança particulares ou para efetuar inserções de código rootkit. Por padrão, o direito de usuário Depurar programas é atribuído somente a administradores, o que ajuda a diminuir o risco desta vulnerabilidade.
Contramedida
Revogue o direito de usuário Depurar programas de todos os usuários e grupos que não o exijam.
Impacto potencial
Se você revogar este direito de usuário, ninguém poderá depurar programas. Entretanto, circunstâncias normais raramente exigem esta capacidade em computadores de produção. Se ocorrer um problema que exija que um aplicativo seja depurado em um servidor de produção temporariamente, você pode mover o servidor para uma UO diferente e atribuir o direito de usuário Depurar programas a uma Diretiva de Grupo separada para essa UO.
A conta de serviço usada para o serviço de cluster precisa do privilégio Depurar programas; caso contrário, o Windows Clustering falhará. Para obter informações adicionais sobre como configurar o Windows Clustering junto com medidas defensivas do computador, consulte o artigo 891597 do Microsoft Knowledge Base, “How to apply more restrictive security settings on a Windows Server 2003–based cluster server” em https://support.microsoft.com/default.aspx?scid=891597.
Os utilitários que são usados para gerenciar processos não são capazes de afetar processos que não sejam possuídos pela pessoa que executa os utilitários. Por exemplo, o arquivo Kill.exe do Windows Server 2003 Resource Kit exige este direito de usuário para que um administrador encerre processos que ele não iniciou.
Além disso, algumas versões mais antigas de Update.exe (que é usado para instalar atualizações de produtos Windows) exige que a conta que aplica a atualização tenha este direito de usuário. Se você instalar um dos patches que usam esta versão de Update.exe, o computador poderá deixar de responder. Para obter mais informações, consulte o artigo 830846 do Microsoft Knowledge Base, “Windows Product Updates may stop responding or may use most or all the CPU resources” em https://support.microsoft.com/default.aspx?scid=830846.
Negar acesso a este computador pela rede
Esta configuração de diretiva determina se os usuários podem se conectar ao computador a partir da rede.
Os valores possíveis para a configuração Negar acesso a este computador pela rede são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Os usuários que puderem fazer logon no computador pela rede podem enumerar listas com nomes de conta, nomes de grupo e recursos compartilhados. Usuários com permissão para acessar pastas e arquivos compartilhados podem se conectar pela rede e, possivelmente, exibir ou modificar dados. Você pode negar explicitamente este direito de usuário a contas de alto risco (como a conta Convidado local e outras contas que não tenham necessidade comercial de acessar o computador pela rede) para fornecer uma camada adicional de proteção.
Contramedida
Atribua o direito de usuário Negar acesso a este computador pela rede às seguintes contas:
LOGON ANÔNIMO
A conta local interna Administrador
A conta Convidado local
A conta interna Suporte
Todas as contas de serviço
Uma exceção importante a essa lista é qualquer conta de serviço usada para iniciar serviços que precisem se conectar ao computador pela rede. Por exemplo, se você configurou uma pasta compartilhada para servidores Web acessarem e apresentarem seu conteúdo por meio de um site, pode ser preciso permitir que a conta que executa o IIS faça logon no servidor com a pasta compartilhada pela rede. Este direito de usuário é particularmente eficiente quando você precisa configurar servidores e estações de trabalhos nos quais sejam manipuladas as informações confidenciais, devido a interesses de conformidade normativa.
Impacto potencial
Se você configurar o direito de usuário Negar acesso a este computador pela rede para outros grupos, você poderá limitar as capacidades dos usuários que têm funções administrativas específicas em seu ambiente. Certifique-se de que as tarefas delegadas não sejam prejudicadas.
Negar logon como um trabalho em lotes
Esta configuração de diretiva determina se os usuários podem fazer logon por um recurso de fila em lotes, que é o recurso do Windows Server 2003 usado para programar e iniciar trabalhos automaticamente uma ou mais vezes no futuro. Este direito de usuário é necessário para quaisquer contas que sejam usadas para iniciar trabalhos agendados por meio do Agendador de Tarefas.
Os valores possíveis para a configuração Negar logon como um trabalho em lotes são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
As contas que têm o direito de usuário Negar logon como um trabalho em lotes podem ser usadas para agendar trabalhos que poderiam consumir recursos excessivos do computador e causar uma condição DoS.
Contramedida
Atribua o direito de usuário Negar logon como um trabalho em lotes à conta interna Suporte e à conta local Convidado.
Impacto potencial
Se você atribuir o direito de usuário Negar logon como um trabalho em lotes a outras contas, poderá negar a usuários com funções administrativos específicas a capacidade de executar as atividades necessárias ao trabalho. Certifique-se de que as tarefas delegadas não sejam prejudicadas. Por exemplo, se você atribuir este direito de usuário à conta IWAM_<NomeComputador>, o Ponto de gerenciamento do MSM falhará. Em um computador recém instalado que execute o Windows Server 2003, esta conta não pertence ao grupo Convidados, mas em um computador que foi atualizado do Windows 2000, esta conta é membro do grupo Convidados. Portanto, é importante que você compreenda quais contas pertencem a quaisquer grupos que receberem o direito de usuário Negar logon como um trabalho em lote.
Negar logon como um serviço
Esta configuração de diretiva determina se os usuários podem fazer logon como um serviço.
Os valores possíveis para a configuração Negar logon como um serviço são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
As contas capazes de fazer logon como um serviço poderiam ser usadas para configurar e iniciar novos serviços não autorizados, como um programa de registro de teclas ou outro malware. A vantagem da contramedida especificada é um pouco reduzida pelo fato de que apenas usuários com privilégios administrativos podem instalar e configurar serviços, e um invasor que já tenha atingido esse nível de acesso poderia configurar o serviço para ser executado com a conta Sistema.
Contramedida
Este guia recomenda que você não atribua o direito de usuário Negar logon como um serviço a quaisquer contas, que é a configuração padrão. No caso de organizações extremamente preocupadas com a segurança, convém atribuir esse direito de usuário a grupos e contas que nunca precisarão fazer logon como um serviço.
Impacto potencial
Se você atribuir o direito de usuário Negar logon como um serviço a contas específicas, os serviços poderão não ser iniciados e poderá ocorrer uma condição DoS.
Negar logon local
Esta configuração de diretiva determina se os usuários podem fazer logon diretamente no teclado do computador.
Os valores possíveis para a configuração Negar logon local são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Qualquer conta que possa ser utilizada para fazer logon localmente pode ser usada para o mesmo fim no console do computador. Se esse direito de usuário não estiver restrito a usuários legítimos que precisem fazer logon no console do sistema, os usuários não-autorizados poderão baixar e executar códigos mal-intencionados que elevariam seus privilégios.
Contramedida
Atribua o direito de usuário Negar logon local à conta interna Suporte. Se você tiver instalado componentes opcionais como ASP.NET, poderá ser preciso atribuir este direito de usuário a contas adicionais que sejam exigidas por esses componentes.
Observação: a conta Support_388945a0 permite a interoperabilidade do Serviço de Ajuda e Suporte com scripts assinados. Tal conta é usada principalmente para controlar o acesso a esses scripts acessíveis a partir dos Serviços de Ajuda e Suporte. Os administradores podem usá-la para delegar essa capacidade a um usuário comum, que não possua acesso administrativo para executar scripts assinados a partir de links incorporados nos Serviços de Ajuda e Suporte. Tais scripts podem ser programados para usar as credenciais da conta Support_388945a0 em vez daquelas do usuário com a intenção de realizar operações administrativas específicas no computador local que, de outra maneira, não teriam o suporte de uma conta de usuário comum.
Quando o usuário delegado clicar em um link nos Serviços de Ajuda e Suporte, o script será executado no contexto de segurança da conta Support_388945a0. Ela tem acesso limitado ao computador e permanece desativada por padrão.
Impacto potencial
Se você atribuir o direito de usuário Negar logon local a contas adicionais, poderá limitar as capacidades dos usuários com funções específicas em seu ambiente. No entanto, este direito de usuário deve ser atribuído explicitamente à conta ASPNET em computadores que executam IIS 6.0. Confirme que as atividades delegadas não sejam prejudicadas.
Negar logon pelos serviços de terminal
Esta configuração de diretiva determina se os usuários podem fazer logon ao computador por uma conexão da Área de Trabalho Remota.
Os valores possíveis para a configuração Negar logon pelos serviços de terminal são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Qualquer conta com o direito de logon pelos serviços de terminal pode ser usada para o mesmo fim no console remoto do computador. Se esse direito de usuário não estiver restrito a usuários legítimos que precisem fazer logon no console do sistema, os usuários não-autorizados poderão baixar e executar códigos mal-intencionados que elevariam seus privilégios.
Contramedida
Atribua o direito de logon Negar logon pelos serviços de terminal à conta local interna Administrador e a todas as contas de serviço. Se você tiver instalado componentes opcionais como ASP.NET, poderá ser preciso atribuir este direito de logon a contas adicionais que sejam exigidas por esses componentes.
Impacto potencial
Se você atribuir o direito de usuário Negar logon pelos serviços de terminal a outros grupos, poderá limitar as capacidades dos usuários com funções específicas em seu ambiente. As contas que têm este direito de usuário serão incapazes de se conectar ao computador por meio de Serviços de terminal ou Assistência Remota. Certifique-se de que as tarefas delegadas não sejam prejudicadas.
Habilitar contasde computador e usuário para serem de confiança para delegação
Esta configuração de diretiva determina se os usuários podem alterar a configuração Confiável para Delegação em um objeto de usuário ou computador no Active Directory. Os usuários ou computadores que têm este direito de usuário também devem ter acesso de gravação aos sinalizadores de controle de conta no objeto.
A delegação de autenticação é uma capacidade usada pelos aplicativos cliente/servidor multicamadas. Ela permite que um serviço de front-end use credenciais de cliente para autenticar um serviço de back-end. Para que esta configuração seja possível, tanto o cliente quanto o servidor devem estar sendo executados em contas confiáveis para delegação.
Os valores possíveis para a configuração Habilitar contas de computador e usuário para serem de confiança para delegação são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
O uso incorreto do direito de usuário Habilitar contas de computador e usuário para serem de confiança para delegação pode permitir que usuários não autorizados personifiquem outros usuários na rede. Um invasor pode explorar este privilégio para conseguir acesso a um recurso de rede e dificultar a determinação do que ocorreu após um incidente de segurança.
Contramedida
O direito de usuário Habilitar contas de computador e usuário para serem de confiança para delegação só deve ser atribuído se houver uma necessidade clara para sua funcionalidade. Quando você atribuir este direito, deve investigar o uso da delegação restrita para controlar o que as contas delegadas podem fazer.
Observação: não há motivo para atribuir esse direito de usuário a qualquer usuário em servidores membros e estações de trabalho pertencentes a um domínio, pois ele não faz sentido nesses contextos. Ele é relevante apenas em controladores de domínio e computadores independentes.
Impacto potencial
Nenhum. Essa é a configuração padrão.
Forçar o desligamento a partir de um sistema remoto
Esta configuração de diretiva determina se um usuário pode desligar um computador a partir de um local remoto na rede.
Os valores possíveis para a configuração Forçar o desligamento a partir de um sistema remoto são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Qualquer usuário que possa desligar um computador pode causar uma condição DoS. Portanto, este direito de usuário deve ser bastante restrito.
Contramedida
Restrinja o direito de usuário Forçar o desligamento a partir de um sistema remoto a membros do grupo Administradores ou outras funções especificamente atribuídas que exijam esta capacidade (como a equipe do centro de operações não-administrativas).
Impacto potencial
Se você remover o direito de usuário Forçar o desligamento a partir de um sistema remoto do grupo Opers. de servidores você poderá limitar a capacidade dos usuários com funções administrativas específicas em seu ambiente. Confirme que as atividades delegadas não sejam prejudicadas.
Gerar auditorias de segurança
Esta configuração de diretiva determina se um processo pode gerar registros de auditoria no log de Segurança. Você pode usar as informações do log de Segurança para controlar o acesso não-autorizado ao computador.
Os valores possíveis para a configuração Gerar auditorias de segurança são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Contas que permitem gravação no log de Segurança podem ser usadas por um invasor para preencher o log com eventos sem importância. Se o computador estiver configurado para substituir eventos conforme a necessidade, o invasor pode usar esse método para remover as provas de suas atividades não autorizadas. Se o computador for configurado para desligamento quando for incapaz de gravar no log de Segurança e se não estiver configurado para fazer backup automaticamente dos arquivos de log, este método poderá ser usado para criar uma negação de serviço.
Contramedida
Certifique-se de que somente as contas Serviço e Serviço de rede tenham o direito de usuário Gerar auditorias de segurança atribuído a elas.
Impacto potencial
Nenhum. Essa é a configuração padrão.
Representar um cliente após a autenticação
O direito de usuário Representar um cliente após a autenticação permite que programas executados por um usuário representem esse usuário (ou outra conta especificada) de modo que possam agir em nome do usuário. Se este direito de usuário for exigido para este tipo de representação, um usuário não-autorizado não será capaz de convencer um cliente a se conectar—por exemplo, por chamada de procedimento remoto (RPC) ou pipes nomeados—a um serviço que ele tenha criado para representar esse cliente, o que poderia elevar as permissões do usuário não-autorizado a níveis administrativos ou de sistema.
Os serviços iniciados pelo Gerenciador de controle de serviço possuem o grupo interno Serviço adicionado por padrão a seus tokens de acesso. Os servidores COM iniciados pela infra-estrutura COM e que foram configurados para execução com uma conta específica também possuem o grupo Serviço adicionado a seus tokens de acesso. Como resultado, esses processos são atribuídos a esse direito de usuário assim que são iniciados.
Além disso, um usuário pode representar um token de acesso se qualquer das condições seguintes existir:
O token de acesso representado é destinado ao usuário.
O usuário, nesta sessão de logon, fez logon à rede com credenciais explícitas para criar o token de acesso.
O nível solicitado é inferior ao nível da Representação, como Anônimo ou Identificar.
Devido a esses fatores, os usuários geralmente não precisam desse direito.
Os valores possíveis para a configuração Representar um cliente após a autenticação são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Um invasor com o direito de usuário Representar um cliente após a autenticação pode criar um serviço, enganar um cliente para fazê-lo se conectar ao serviço e representar esse cliente para elevar seu nível de acesso até o nível do cliente.
Contramedida
Em servidores membros, certifique-se de que só os grupos Administradores e Serviço tenham o direito de usuário Representar um cliente após a autenticação atribuído a eles. Computadores que executam o IIS 6.0 devem ter este direito de usuário atribuído ao grupo IIS_WPG (que o concede à conta Serviço de Rede).
Impacto potencial
Na maioria dos casos, esta configuração não terá nenhum impacto. Se você tiver instalado componentes opcionais como ASP.NET ou IIS, poderá precisar atribuir o direito de usuário Representar um cliente após a autenticação a contas adicionais que sejam exigidas por esses componentes, como IUSR_<NomeComputador>, IIS_WPG, ASP.NET ou IWAM_<NomeComputador>.
Aumentar prioridadede agendamento
Esta configuração de diretiva determina se os usuários podem aumentar a classe de prioridade básica de um processo. (Não é uma operação privilegiada aumentar a prioridade relativa dentro de uma classe de prioridade.) Este direito de usuário não é exigido por ferramentas administrativas que são fornecidas com o sistema operacional mas podem ser exigidas por ferramentas de desenvolvimento de software.
Os valores possíveis para a configuração Aumentar prioridade de agendamento são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Um usuário com este direito de usuário pode aumentar a prioridade de agendamento de um processo para Tempo real, o que deixaria pouco tempo de processamento para todos os outros processos e poderia causar uma condição DoS.
Contramedida
Certifique-se de atribuir o direito de usuário Aumentar a prioridade do agendamento apenas ao grupo Administradores.
Impacto potencial
Nenhum. Essa é a configuração padrão.
Carregar e descarregar drivers de dispositivo
Esta configuração de diretiva determina se os usuários podem carregar e descarregar dinamicamente os drivers de dispositivo. Esse direito de usuário não é necessário se um driver assinado para o novo hardware já existir no arquivo Driver.cab do computador.
Os valores possíveis para a configuração Carregar e descarregar drivers de dispositivo são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Os drivers de dispositivos são executados como código altamente privilegiado. Um usuário com o direito de usuário Carregar e descarregar drivers de dispositivos poderia instalar, sem querer, um código mal-intencionado disfarçado de driver de dispositivo. Os administradores devem ter muito cuidado e instalar apenas drivers com assinaturas digitais verificadas.
Observação: você precisa ter esse direito de usuário e ser membro do grupo Administradores ou Usuários avançados para instalar um novo driver de impressora local ou gerenciar uma impressora local e configurar padrões para opções como impressão frente e verso. A obrigatoriedade de se ter o direito de usuário e a participação no grupo Administradores ou Usuários avançados é nova no Windows XP e no Windows Server 2003.
Contramedida
Não atribua o direito de usuário Carregar e descarregar drivers de dispositivo a qualquer usuário ou grupo diferente de Administradores em servidores membros. Em controladores de domínio, não atribua este usuário a qualquer usuário ou grupo diferente de Admins do domínio.
Impacto potencial
Se você remover o direito de usuário Carregar e descarregar drivers de dispositivo do grupo Operadores de impressão ou outras contas, você poderá limitar a capacidade dos usuários com funções administrativos específicas em seu ambiente. Certifique-se de que as tarefas delegadas não sejam prejudicadas.
Bloquear páginas na memória
Esta configuração de diretiva determina se um processo pode manter dados na memória física, o que impede que o computador pagine os dados na memória virtual em disco. Se você atribuir este direito de usuário, poderá ocorrer uma degradação significativa de desempenho do computador.
Os valores possíveis para a configuração Bloquear páginas na memória são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Os usuários com o direito de usuário Bloquear páginas na memória podem atribuir memória física a vários processos, o que poderia deixar pouca ou nenhuma RAM para outros processos e resultar em uma condição DoS.
Contramedida
Não atribua o direito de usuário Bloquear páginas na memória a nenhuma conta.
Impacto potencial
Nenhum. Essa é a configuração padrão.
Fazer logon como um trabalho em lotes
Esta configuração de diretiva determina se os usuários podem fazer logon por um recurso de fila em lotes, como o serviço Agendador de Tarefas. Quando um administrador usa o assistente Adicionar tarefa agendada para agendar a execução de uma tarefa com um determinado nome de usuário e senha, esse usuário receberá automaticamente o direito de usuário Fazer logon como um trabalho em lotes. Quando a hora agendada chegar, o serviço Agendador de tarefas faz logon do usuário como um trabalho em lotes, e não como um usuário interativo, e a tarefa é realizada no contexto de segurança do usuário.
Os valores possíveis para a configuração Fazer logon como um trabalho em lotes são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
O direito de usuário Fazer logon como um trabalho em lotes apresenta uma vulnerabilidade de baixo risco. Para a maioria das organizações, as configurações padrão são suficientes.
Contramedida
Você deve permitir que o computador gerencie esse direito de logon automaticamente, caso deseje permitir que tarefas agendadas sejam executadas em contas de usuário específicas. Se não quiser usar o Agendador de tarefas dessa forma, configure o direito de usuário Fazer logon como um trabalho em lotes apenas para a conta Serviço local e para a conta de suporte local (Support_388945a0). Para servidores IIS, você deve configurar esta diretiva localmente em vez de por Diretivas de Grupo baseadas em domínio, de modo a assegurar que as contas locais IUSR_<NomeComputador> e IWAM_<NomeComputador> tenham este direito de logon.
Impacto potencial
Se você definir a configuração Fazer logon como um trabalho em lotes por meio de Diretivas de Grupo baseadas em domínio, o computador não poderá atribuir o direito de usuário a contas que sejam usadas para trabalhos agendados no Agendador de tarefas. Se você tiver instalado componentes opcionais como ASP.NET ou IIS, poderá ser preciso atribuir este direito de usuário a contas adicionais que sejam exigidas por esses componentes. Por exemplo, o IIS exige a atribuição deste direito de usuário ao grupo IIS_WPG e às contas IUSR_<NomeComputador>, * ASPNET e IWAM_<NomeComputador>*. Se este direito de usuário não for atribuído a este grupo e a estas contas, o IIS não poderá executar alguns objetos COM que são necessários para a funcionalidade adequada.
Fazer logon como um serviço
Esta configuração de diretiva determina se um objeto de segurança pode fazer logon como um serviço. Os serviços podem ser configurados para serem executados nas contas Sistema Local, Serviço Local ou Serviço de Rede, que possuem direitos internos de logon como um serviço. Qualquer serviço executado em uma conta de usuário separada deve receber esse direito.
Os valores possíveis para a configuração Fazer logon como um serviço são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Fazer logon como um serviço é um direito de usuário poderoso, porque permite às contas inicializar serviços de rede ou serviços que são executados continuamente em um computador, mesmo quando ninguém fez logon no console. O risco é reduzido porque apenas os usuários com privilégios administrativos podem instalar e configurar serviços. Um invasor que já atingiu esse nível de acesso pode configurar o serviço para ser executado com a conta Sistema Local.
Contramedida
O conjunto padrão de objetos de segurança que tem o direito de usuário Fazer logon como um serviço está restrito a Sistema Local, Serviço Local e Serviço de Rede, que são contas locais internas. Você deve reduzir o número de outras contas com este direito de usuário.
Impacto potencial
Na maioria dos computadores, essa é a configuração padrão e não haverá impacto negativo. Além disso, se você tiver instalado componentes opcionais como ASP.NET ou IIS, poderá precisar atribuir o direito de usuário Fazer logon como um serviço a contas adicionais que sejam exigidas por esses componentes. O IIS exige que este direito de usuário seja concedido explicitamente à conta de usuário ASPNET.
Gerenciar o log de auditoria e de segurança
Esta configuração de diretiva determina se os usuários podem especificar opções de auditoria de acesso a objetos para recursos individuais, como arquivos, objetos do Active Directory e chaves do Registro. As auditorias de acesso a objetos não são executadas a menos que você as ative por meio de Diretiva de Auditoria, que está localizada sob Configurações de segurança, Diretivas locais. Um usuário com este direito de usuário também pode exibir e limpar o log de eventos de Segurança em Visualizar Eventos.
Os valores possíveis para a configuração Gerenciar o log de auditoria e de segurança são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
A capacidade de gerenciar o log de eventos de Segurança é um direito de usuário poderoso que deve ser bastante protegido. Qualquer pessoa com esse direito de usuário pode limpar o log de Segurança para apagar indicações importantes de atividades não-autorizadas.
Contramedida
Certifique-se de que apenas o grupo Administradores local tenha o direito de usuário Gerenciar a auditoria e o log de segurança.
Impacto potencial
Nenhum. Essa é a configuração padrão.
Modificar valores do ambiente de firmware
Esta configuração de diretiva determina se os usuários podem modificar variáveis de ambiente do sistema por meio de um processo de API ou pelas Propriedades do sistema de um usuário.
Os valores possíveis para a configuração Modificar valores do ambiente de firmware são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Qualquer pessoa com o direito de usuário Modificar valores do ambiente de firmware pode definir as configurações de um componente de hardware para causar sua falha, o que pode levar à corrupção de dados ou a uma condição de negação de serviço.
Contramedida
Certifique-se de que apenas o grupo local Administradores tenha o direito de usuário Modificar valores do ambiente de firmware.
Impacto potencial
Nenhum. Essa é a configuração padrão.
Executar tarefas de manutenção de volume
Esta configuração de diretiva determina se usuários remotos ou não-administrativos podem executar tarefas de gerenciamento de disco ou volume, como desfragmentar um volume existente, criar ou remover volumes e executar a ferramenta Limpeza de Disco. O Windows Server 2003 verifica o direito de usuário no token de acesso de um usuário sempre que um processo executado no contexto de segurança do usuário chamar SetFileValidData().
Os valores possíveis para a configuração Executar tarefas de manutenção de volume são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Um usuário com o direito de usuário Executar tarefas de manutenção de volume pode excluir um volume, o que pode resultar na perda de dados ou em uma condição de negação de serviço.
Contramedida
Certifique-se de que apenas o grupo local Administradores tenha o direito de usuário Executar tarefas de manutenção do volume.
Impacto potencial
Nenhum. Essa é a configuração padrão.
Traçar perfil de um único processo
Esta configuração de diretiva determina se os usuários podem avaliar o desempenho de um processo de aplicativo. Normalmente, você não precisa deste direito de usuário para usar o snap-in Desempenho do Console de gerenciamento Microsoft (MMC). No entanto, você precisará dele se o Monitor do sistema estiver configurado para coletar dados por meio do Windows Management Instrumentation (WMI).
Os valores possíveis para a configuração Traçar perfil de um único processo são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
O direito de usuário Traçar perfil de um único processo apresenta uma vulnerabilidade moderada. Um invasor com esse direito do usuário pode monitorar o desempenho de um computador para ajudar a identificar processos críticos que eles podem desejar atacar diretamente. O invasor também pode ser capaz de determinar que processos executar no computador, de modo que possa identificar contramedidas que pode precisar evitar, como um software antivírus, um sistema de detecção de invasões ou quais outros usuários estão conectados a um computador.
Contramedida
Certifique-se de que apenas o grupo local Administradores tenha o direito de usuário Traçar perfil de um único processo.
Impacto potencial
Se você remover o direito de usuário Traçar perfil de um único processo do grupo Usuários avançados ou outras contas, você poderá limitar a capacidade dos usuários com funções administrativos específicas em seu ambiente. Certifique-se de que as tarefas delegadas não sejam prejudicadas.
Traçar perfil do desempenho do sistema
Esta configuração de diretiva determina se um usuário pode avaliar o desempenho de processos do sistema do computador. Esse privilégio só é exigido pelo snap-in Desempenho do MMC se for configurado para coletar dados com o uso de WMI. Normalmente, você não precisa deste direito de usuário para usar o snap-in Desempenho. No entanto, você precisará do direito de usuário se o Monitor do sistema estiver configurado para coletar dados por meio de WMI.
Os valores possíveis para a configuração Traçar perfil do desempenho do sistema são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
O direito de usuário Traçar perfil do desempenho do sistema tem uma vulnerabilidade moderada. Um invasor com esse direito do usuário pode monitorar o desempenho de um computador para ajudar a identificar processos críticos que eles podem desejar atacar diretamente. Ele também pode conseguir determinar quais processos estão ativos no computador de modo a identificar contramedidas a serem evitadas, como um software antivírus ou um sistema de detecção de invasão.
Contramedida
Certifique-se de que apenas o grupo local Administradores tenha o direito de usuário Traçar perfil do desempenho do sistema.
Impacto potencial
Nenhum. Essa é a configuração padrão.
Remover computador da estação de encaixe
Esta configuração de diretiva determina se o usuário de um computador portátil pode clicar em Ejetar PC no menu Iniciar para desencaixar o computador.
Os valores possíveis para a configuração Remover o computador da estação de encaixe são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Qualquer pessoa com o direito de usuário Remover o computador da estação de encaixe pode remover um computador portátil de sua estação de encaixe. A vantagem dessa contramedida é reduzida pelos seguintes fatores:
Se um invasor puder reiniciar o computador, ele poderá removê-lo da estação de encaixe depois que o BIOS for iniciado, mas antes da inicialização do sistema operacional.
Esta configuração não afeta servidores, porque normalmente eles não são instalados em estações de encaixe.
Um invasor pode roubar o computador e a estação de encaixe ao mesmo tempo.
Contramedida
Certifique-se de que apenas os grupos Administradores e Usuários avançados locais tenham o direito de usuário Remover o computador da estação de encaixe.
Impacto potencial
Esta configuração é a configuração padrão, então ela deve ter um impacto pequeno. No entanto, se os usuários da organização não forem membros dos grupos Usuários avançados ou Administradores, eles não poderão remover seus próprios computadores portáteis das estações de encaixe sem primeiro desligá-los. Portanto, você pode atribuir o direito de usuário Remover o computador da estação de encaixe ao grupo local Usuários para computadores portáteis.
Substituir um token no nível de processo
Esta configuração de diretiva determina se um processo pai pode substituir o token de acesso associado com um processo filho.
Os valores possíveis para a configuração Substituir um token de segurança do processo são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Um usuário com o privilégio Substituir um token de segurança do processo pode inicializar processos como os outros usuários. Ele pode usar este método para ocultar suas ações não-autorizadas no computador. (Em computadores com Windows 2000, o uso do direito de usuário Substituir um token de segurança do processo também exige que o usuário tenha o direito Ajustar cotas de memória para um processo que é discutida anteriormente neste capítulo.)
Contramedida
Para servidores membros, certifique-se de que apenas as contas Serviço local e Serviço de rede tenham o direito de usuário Substituir um token de segurança do processo.
Impacto potencial
Na maioria dos computadores, essa é a configuração padrão e não haverá impacto negativo. No entanto, se você tiver instalado componentes opcionais como ASP.NET ou IIS, poderá precisar atribuir o privilégio Substituir um token de segurança do processo a contas adicionais. Por exemplo, o IIS exige que as contas Serviço, Serviço de rede e IWAM_<NomeComputador> tenham recebido explicitamente este direito de usuário.
Restaurar arquivos e diretórios
Esta configuração de diretiva determina se um usuário pode contornar permissões de arquivo e diretório quando restaurar arquivos e diretórios a partir de backup e se ele pode configurar qualquer objeto de segurança válido como o proprietário de um objeto.
Os valores possíveis para a configuração Restaurar arquivos e pastas são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Um invasor com o direito de usuário Restaurar arquivos e pastas pode restaurar dados confidenciais de um computador e substituir dados mais recentes, o que pode levar à perda de dados importantes, à corrupção de dados ou à negação de serviço. Um invasor pode substituir arquivos executáveis usados por administradores ou serviços de sistema legítimos por versões que incluem código mal-intencionado e assim se conceder privilégios elevados, comprometer dados ou instalar portas dos fundos para acesso contínuo ao computador.
Observação: ainda que esta contramedida esteja configurada, um invasor ainda pode restaurar dados em um computador pertencente a um domínio que seja controlado pelo invasor. Portanto, é crítico que as organizações protejam cuidadosamente a mídia que é usada para fazer backup de dados.
Contramedida
Certifique-se de que só o grupo local Administradores tenha o direito de usuário Restaurar arquivos e pastas, a menos que sua organização tenha funções claramente definidas para backup e para o pessoal de restauração.
Impacto potencial
Se você remover o direito de usuário Restaurar arquivos e pastas do grupo Operadores de cópia e de outras contas, poderia tornar impossível para usuários com tarefas específicas executar essas tarefas. Certifique-se de que essa alteração não prejudicará a capacidade de os funcionários da sua organização realizarem seu trabalho.
Desligar o sistema
Esta configuração de diretiva determina se um usuário pode desligar o computador local.
Os valores possíveis para a configuração Desligar o sistema são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
A capacidade de desligar controladores de domínio deve ser limitada a um número reduzido de administradores confiáveis. Embora o direito de usuário Desligar o sistema exija a capacidade de fazer logon no servidor, você deve ser muito cuidadoso com as contas e grupos que permitem desligar um controlador de domínio.
Quando um controlador de domínio é desligado, ele não fica mais disponível para processar logons, atender à Diretiva de Grupo e responder a consultas LDAP (Lightweight Directory Access Protocol). Se você desligar controladores de domínio que possuam funções FSMO (Flexible Single–Master Operations), poderá desativar uma funcionalidade importante do domínio, como processar logons para senhas novas—a função do PDC (controlador de domínio primário).
Contramedida
Certifique-se de que apenas os Administradores e os Operadores de cópia tenham o direito de usuário Desligar o sistema em servidores membros e que apenas os Administradores o tenham em controladores de domínio.
Impacto potencial
O impacto de remover estes grupos padrão do direito de usuário Desligar o sistema pode limitar as capacidades delegadas de funções atribuídas em seu ambiente. Confirme que as atividades delegadas não sejam prejudicadas.
Sincronizar dados do serviço de diretório
Esta configuração de diretiva determina se um processo pode ler todos objetos e propriedades no diretório, independentemente da proteção nos objetos e propriedades. Esse privilégio é necessário para o uso de serviços LDAP de sincronização de diretório (dirsync).
Os valores possíveis para a configuração Sincronizar dados do serviço de diretório são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
O direito de usuário Sincronizar dados do serviço de diretório afeta controladores de domínio; somente controladores de domínio devem ser capazes de sincronizar dados de serviço de diretório. Os controladores de domínio têm este direito de usuário inerentemente, porque o processo de sincronização é executado no contexto da conta Sistema em controladores de domínio. Um invasor com esse direito de usuário pode visualizar todas as informações armazenadas no diretório. Ele poderia, então, usar algumas dessas informações para facilitar ataques adicionais ou expor dados confidenciais, como números de telefone diretos ou endereços físicos.
Contramedida
Certifique-se de que nenhuma conta tenha o direito de usuário Sincronizar dados do serviço de diretório.
Impacto potencial
Nenhum. Essa é a configuração padrão.
Apropriar-se de arquivos ou outros objetos
Esta configuração de diretiva determina se um usuário pode apropriar-se de qualquer objeto que possa ser protegido no computador, incluindo objetos do Active Directory, arquivos e pastas do NTFS, impressoras, chaves do Registro, serviços, processos e segmentos.
Os valores possíveis para a configuração Apropriar-se de arquivos ou de outros objetos são:
Uma lista de contas definida pelo usuário
Não Definido
Vulnerabilidade
Qualquer usuário com o direito de usuário Apropriar-se de arquivos ou de outros objetos pode apropriar-se de qualquer objeto, independentemente das permissões nesse objeto, e então fazer quaisquer alterações que desejar ao objeto. Isso pode resultar em exposição de dados, dados corrompidos ou em uma condição de negação de serviço.
Contramedida
Certifique-se de que apenas o grupo Administradores local tenha o direito de usuário Apropriar-se de arquivos ou de outros objetos.
Impacto potencial
Nenhum. Essa é a configuração padrão.
Mais informações
Os links a seguir fornecem informações adicionais sobre a atribuição de direitos de usuário no Windows Server 2003 e no Windows XP.
Informações abrangentes sobre a atribuição de direitos de usuário com o SCE estão disponíveis na seção "User Rights Assignment" da ajuda online do Editor de Configuração de Segurança para Windows Server 2003 em www.microsoft.com/technet/prodtechnol/windowsserver2003/library/
serverhelp/71b2772f-e3c0-4134-b7f0-54c244ee9aef.mspx.Informações detalhadas sobre atribuições de direitos de usuário locais em computadores com Windows XP estão disponíveis no tópico de ajuda "To assign user rights for your local computer" em www.microsoft.com/resources/documentation/windows/xp/all/proddocs/
en-us/lpe_assign_user_right.mspx.Para obter mais informações sobre atribuições de direitos de usuário no Windows XP, consulte a seção "User Rights Assignment" da documentação online do Windows XP Professional em www.microsoft.com/resources/documentation/windows/xp/all/proddocs/
en-us/uratopnode.mspx.Para obter mais informações sobre como personalizar a interface do usuário do Editor de Configuração de Segurança, consulte o artigo do Microsoft Knowledge Base (em inglês) “How to Add Custom Registry Settings to Security Configuration Editor” em https://support.microsoft.com/?scid=214752.
Para obter mais informações sobre como criar arquivos de modelo administrativo personalizados no Windows, consulte o artigo do Microsoft Knowledge Base (em inglês) “How to: Create Custom Administrative Templates in Windows 2000” em https://support.microsoft.com/?scid=323639.
Neste artigo
- Visão geral
- Capítulo 1: Introdução a ameaças e contramedidas: configurações de segurança no Windows Server 2003 e Windows XP
- Capítulo 2: Diretivas do nível de domínio
- Capítulo 3: Diretiva de auditoria
- Capítulo 4: Direitos de usuário
- Capítulo 5: Opções de segurança
- Capítulo 6: Log de eventos
- Capítulo 7: Serviços de sistema
- Capítulo 8: Diretivas de restrição de software
- Capítulo 9: Modelos administrativos do Windows XP e Windows Server 2003
- Capítulo 10: Entradas adicionais do Registro
- Capítulo 11: Contramedidas adicionais
- Capítulo 12: Conclusão
- Agradecimentos
Download
Receba o Guia Ameaças e Contramedidas
Notificações de atualizações
Inscreva-se para informar-se sobre atualizações e novos lançamentos
Comentários
Envie-nos seus comentários ou sugestões
.gif "Dd459104.pageLeft(pt-br,TechNet.10).gif") 5 de 14 .gif "Dd459104.pageRight(pt-br,TechNet.10).gif") |