Ameaças e contramedidas
Capítulo 5: Opções de segurança
Atualizado em: 27 de dezembro de 2005
A seção Opções de segurança da Diretiva de grupo ativa ou desativa as configurações de segurança do computador, como a assinatura digital de dados, os nomes das contas de Administrador e Convidado, o acesso a unidades de disquetes e CD-ROM, o comportamento da instalação de drivers e os prompts de logon. A pasta de trabalho do Microsoft® Excel® "Windows Default Security and Services Configuration" (incluída na versão para download deste guia) documenta as configurações padrão.
Nesta página
Configurações de opções de segurança
Mais informações
Configurações de opções de segurança
Você pode configurar os parâmetros de opções de segurança no seguinte local do Editor de objeto de diretiva de grupo:
Configuração do computador\Configurações do Windows\Configurações de segurança\
Diretivas locais\Opções de segurança
Contas: status de conta de Administrador
Esta configuração de diretiva ativa ou desativa a conta Administrador para condições operacionais normais. Se você iniciar o computador em modo de segurança, a conta Administrador sempre estará ativada, independentemente de como você definir esta configuração de diretiva.
Os valores possíveis para a configuração Contas: Status de conta de administrador são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Em algumas organizações, pode ser um desafio de gerenciamento difícil manter um horário regular para alterações de senha periódicas em contas locais. Portanto, você pode desativar a conta Administrador interna em vez de depender de alterações de senha regulares para protegê-la contra ataques. Outra razão para desativar esta conta interna é que ela não pode ser bloqueada de forma alguma, não importa quantos logons inválidos ela acumule, o que a torna um alvo preferencial de ataques de força bruta que tentem adivinhar senhas. Além disso, essa conta tem um SID (Identificador de Segurança) bem conhecido e existem ferramentas de terceiros que permitem a autenticação com a especificação do SID em vez do nome da conta. Este recurso significa que ainda que você renomeie a conta Administrador, um invasor pode iniciar um ataque de força bruta usando a SID para logon.
Contramedida
Defina a configuração Contas: Status de conta de administrador como Desativado de modo que a conta Administrador interna não possa mais ser usada em uma inicialização normal do sistema.
Impacto potencial
Problemas de manutenção podem surgir em certas circunstâncias se você desativar a conta Administrador. Por exemplo, se o canal seguro entre um computador membro e o controlador de domínio falhar em um ambiente de domínio por qualquer razão e se não houver outra conta Administrador local, você deverá reiniciar em modo de segurança para solucionar o problema que afetou o canal seguro.
Se a senha de Administrador atual não satisfizer os requisitos de senha, você não conseguirá reativar a conta Administrador após ela ter sido desativada. Nesse caso, outro membro do grupo Administradores deverá definir a senha na conta Administrador usando a ferramenta Usuários e grupos locais.
Contas: status de conta de Convidado
Esta configuração de diretiva determina se a conta Convidado está ativada ou desativada.
Os valores possíveis para a configuração Contas: Status de conta de convidado são:
Ativado
Desativado
Não Definido
Vulnerabilidade
A conta Convidado padrão permite que usuários não autenticados na rede façam logon como Convidado sem senha. Esses usuários não autorizados podem acessar quaisquer recursos que estejam acessíveis às contas Convidado via rede. Este recurso significa que quaisquer compartilhamentos de rede com permissões que permitam acesso à conta Convidado, ao grupo Convidados ou ao grupo Todos será acessível pela rede, o que pode levar à divulgação ou corrupção de dados.
Contramedida
Defina a configuração Contas: status de conta de convidado como Desativado para que a conta Convidado interna não possa mais ser usada.
Impacto potencial
Todos os usuários da rede necessitarão de autenticação antes de poderem acessar recursos compartilhados. Se você desativar a conta Convidado e a opção Acesso à rede: Compartilhamento e modelo de segurança estiver definida como Somente convidados, logons na rede, como aqueles realizados pelo Servidor de rede Microsoft (Serviço SMB), falharão. Esta configuração de diretiva deve ter impacto pequeno na maioria das organizações, porque é a configuração padrão no Microsoft Windows® 2000,Windows XP e Windows Server™ 2003.
Contas: limitar o uso de senhas em branco em contas locais somente para logon no console
Esta configuração de diretiva determina se logons interativos remotos por serviços de rede, como Serviços de Terminal, Telnet e FTP são permitidos para contas locais que tenham senhas em branco. Se você ativar esta configuração de diretiva, uma conta local deverá ter uma senha que não esteja em branco para executar um logon na rede ou interativo a partir de um cliente remoto.
Os valores possíveis para a configuração Contas: limite o uso em contas locais de senhas em branco somente ao logon no console são:
Ativado
Desativado
Não Definido
Observação: essa configuração não afeta os logons interativos executados fisicamente no console ou os logons que usam contas de domínio.
Cuidado: é possível que os aplicativos de terceiros que usam logons interativos remotos não utilizem esta configuração de diretiva.
Vulnerabilidade
Senhas em branco são uma séria ameaça à segurança do computador e devem ser proibidas tanto na diretiva da organização como nas medidas técnicas correspondentes. Na realidade, as configurações padrão dos domínios do serviço de diretório Active Directory® no Windows Server 2003 requerem senhas complexas, de pelo menos sete caracteres. No entanto, se um usuário com a capacidade de criar contas novas ignorar suas diretivas de senha baseadas em domínio, ele poderá criar contas com senhas em branco. Por exemplo, um usuário pode desenvolver um computador autônomo, criar uma ou mais contas com senhas em branco e, em seguida, adicionar o computador ao domínio. As contas locais com senhas em branco ainda funcionariam. Qualquer um que conheça o nome de uma destas contas desprotegidas poderia usá-la para fazer logon.
Contramedida
Ative a configuração Contas: limite o uso em contas locais de senhas em branco somente ao logon no console.
Impacto potencial
Nenhum. Essa é a configuração padrão.
Contas: renomear a conta de Administrador
Esta configuração de diretiva determina se um nome de conta diferente será associado ao SID da conta Administrador.
Os valores possíveis para a configuração Contas: renomear conta do administrador são:
Texto definido pelo usuário
Não Definido
Vulnerabilidade
A conta Administrador existe em todos os computadores que executam sistemas operacionais Windows 2000, Windows Server 2003 ou Windows XP Professional. Se você renomear esta conta, será um pouco mais difícil para pessoas não autorizadas adivinhar este nome de usuário privilegiado e combinação de senha.
A conta Administrador interna não pode ser bloqueada, independentemente de quantas vezes um invasor puder usar uma senha inválida. Esta característica torna a conta Administrador um alvo comum de ataques de força bruta que tentam adivinhar senhas. O valor desta contramedida é diminuído porque esta conta tem um SID conhecido, e porque há ferramentas de terceiros que permitem autenticação usando-se o SID em vez de o nome da conta. Assim, mesmo se você renomear a conta Administrador, um invasor poderia iniciar um ataque de força bruta usando a SID para logon.
Contramedida
Especifique um nome novo na configuração Contas: renomear conta do administrador para renomear a conta Administrador.
Observação: em capítulos posteriores, esta configuração de diretiva não está configurada nos modelos de segurança, nem um novo nome de usuário para a conta é sugerido no guia. Os modelos omitem essa configuração de diretiva para que as diversas organizações que usam essa orientação não implementem o mesmo novo nome de usuário em seus ambientes.
Impacto potencial
Você terá de informar o novo nome da conta aos usuários com permissão para utilizar esta conta. (A orientação para esta configuração supõe que a conta Administrador não foi desativada, o que foi recomendado anteriormente neste capítulo.)
Contas: renomear a conta de Convidado
A configuração Contas: renomear conta de convidado determina se um nome de conta diferente será associado ao SID para a conta Convidado.
Os valores possíveis para essa configuração de Diretiva de Grupo são:
Texto definido pelo usuário
Não Definido
Vulnerabilidade
A conta Convidado existe em todos os computadores que executam sistemas operacionais Windows 2000, Windows Server 2003 ou Windows XP Professional. Se você renomear esta conta, será um pouco mais difícil para pessoas não autorizadas adivinhar este nome de usuário privilegiado e combinação de senha.
Contramedida
Especifique um nome novo na configuração Contas: renomear conta do convidado para renomear a conta Convidado.
Observação: em capítulos posteriores, esta configuração de diretiva não está configurada nos modelos de segurança, nem um novo nome de usuário para a conta é sugerido no guia. Os modelos omitem essa configuração de diretiva para que as diversas organizações que usam essa orientação não implementem o mesmo novo nome de usuário em seus ambientes.
Impacto potencial
Deve haver pouco impacto porque, por padrão, a conta Convidado fica desativada no Windows 2000, Windows XP e Windows Server 2003.
Auditoria: fazer auditoria do acesso a objetos do sistema global
Se você ativar esta configuração de diretiva, uma lista de controle de acesso do sistema (SACL) padrão será aplicada quando o computador criar objetos de sistema como exclusões mútuas, eventos, semáforos e dispositivos MS-DOS®. Se você também ativar a configuração de auditoria Auditoria de acesso a objetos como descrito no Capítulo 3 deste guia, o acesso a estes objetos de sistema será auditado.
Os objetos do sistema global, também conhecidos como “objetos básicos do sistema” ou “objetos básicos nomeados”, são objetos kernel efêmeros, cujos nomes foram atribuídos pelo aplicativo ou componente de sistema que os criou. Eles são usados mais freqüentemente para sincronizar diversos aplicativos ou diversas partes de um aplicativo complexo. Como têm nomes, estes objetos são globais em escopo, e portanto visível a todos os processos no computador. Todos esses objetos têm um descritor de segurança, mas normalmente têm uma SACL NULL. Se você ativar esta configuração de diretiva no momento da inicialização, o kernel atribuirá uma SACL a estes objetos quando forem criados.
Os valores possíveis para a configuração Auditoria: fazer auditoria do acesso a objetos do sistema global são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Um objeto nomeado visível globalmente, se incorretamente protegido, poderia ser usado por um programa mal-intencionado que conheça o nome do objeto. Por exemplo, se um objeto de sincronização, como uma exclusão mútua, tiver uma lista de controle de acesso condicional (DACL) escolhida incorretamente, um programa mal-intencionado pode acessar essa exclusão mútua pelo nome e causar uma falha no programa que a criou. No entanto, o risco de tal ocorrência é muito baixo.
Contramedida
Ative a configuração Auditoria: fazer auditoria do acesso a objetos do sistema global.
Impacto potencial
Se você ativar a Auditoria: fazer auditoria do acesso a objetos do sistema global, um grande número de eventos de segurança podem ser gerados, especialmente em controladores de domínio e servidores de aplicativos ocupados. Esse tipo de ocorrência pode fazer com que os servidores respondam com maior lentidão e forçar o log de eventos de Segurança a registrar numerosos eventos de pouca importância. Esta configuração de diretiva só pode ser ativada ou desativada, e não há nenhum meio de filtrar quais eventos são registrados e quais não são. Mesmo organizações regulares que tenham os recursos para analisar eventos gerados por esta configuração de diretiva provavelmente não teriam o código-fonte ou uma descrição do objetivo de cada objeto nomeado. Portanto, é improvável que muitas organizações se beneficiassem de uma configuração de Ativado para esta configuração de diretiva.
Auditoria: fazer auditoria do uso do privilégio de backup e restauração
Esta configuração de diretiva determina se deve-se fazer auditoria do uso de todos os privilégios de usuário, incluindo Backup e Restauração, quando a configuração Auditoria de uso de privilégios estiver em vigor. Se você ativar ambas as configurações de diretiva, um evento de auditoria será gerado para cada arquivo que sofrer backup ou for restaurado.
Se você ativar esta configuração de diretiva junto com a configuração Auditoria de uso de privilégios, qualquer utilização de direitos de usuário no log de Segurança será registrada. Se você desativar esta configuração de diretiva, as ações de usuários de privilégios de Backup ou Restauração não serão auditadas, ainda que Auditoria de uso de privilégios esteja ativado.
Os valores possíveis para a configuração Auditoria: fazer auditoria do uso dos privilégios Backup e Restauração são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Se você ativar esta opção quando a configuração Auditoria de uso de privilégios também estiver ativada, será gerado um evento de auditoria para cada arquivo que sofrer backup ou restauração. Esta informação pode ajudá-lo a identificar uma conta que foi usada para restaurar dados de forma acidental ou mal-intencionada e não autorizada.
Contramedida
Ative a configuração Uso de auditoria para backup e privilégio de restauração. Como alternativa, implemente o backup de log automático configurando a chave do Registro AutoBackupLogFiles, que é descrita no artigo do Microsoft Knowledge Base "The event log stops logging events before reaching the maximum log size" em https://support.microsoft.com/default.aspx?kbid=312571.
Impacto potencial
Se você ativar esta configuração de diretiva, um grande número de eventos de segurança pode ser gerado, o que pode fazer com que os servidores respondam lentamente e forçar o log de eventos de Segurança a registrar numerosos eventos de importância pequena. Se você aumentar o tamanho do log de Segurança para reduzir as possibilidades de um desligamento do sistema, um arquivo de log grande demais pode afetar o desempenho de sistema.
Auditoria: desligar o sistema imediatamente se não for possível o log de auditorias seguras
Esta configuração de diretiva determina se o computador será desligado se for incapaz de registrar eventos de segurança. As certificações TCSEC (Trusted Computer System Evaluation Criteria)-C2 e Common Criteria exigem que o computador seja capaz de impedir a ocorrência de eventos de auditoria se o sistema de auditoria for incapaz de registrá-los. A forma que a Microsoft escolheu para atender a este requisito é interromper o computador e exibir uma mensagem de parada no caso de uma falha do sistema de auditoria. Se você ativar esta configuração de diretiva, o computador irá parar se uma auditoria de segurança não puder ser registrada por qualquer razão. Normalmente, um evento não pode ser registrado quando o log de eventos de Segurança está cheio e seu método de retenção especificado é Não substituir eventos ou Substituir eventos periodicamente.
Quando esta configuração de diretiva está ativada, a mensagem de Parada a seguir será exibida se o log de segurança estiver cheio e uma entrada existente não puder ser substituída:
STOP: C0000244 {Audit Failed}
Falha na tentativa de gerar uma auditoria de segurança.
Para a recuperação, o administrador deve fazer logon, arquivar o log (opcional), limpar o log e desativar esta opção para permitir que o computador seja reiniciado. Nesse ponto, pode ser necessário limpar manualmente o log de eventos de Segurança para que você possa definir esta configuração de diretiva comoAtivado.
Os valores possíveis para a configuração Auditoria: Desligar o sistema imediatamente se não for possível o log de auditorias seguras são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Se o computador não puder registrar eventos no log de Segurança, as informações sobre a evidência crítica ou resolução de problemas importantes podem não estar disponíveis para verificação após um incidente de segurança. Além disso, um invasor potencialmente pode gerar um volume grande de mensagens de log de eventos de Segurança para forçar o desligamento do computador.
Contramedida
Ative a configuração Desligar o sistema imediatamente se não for possível o log de auditorias seguras.
Impacto potencial
Se você ativar esta configuração de diretiva, a carga administrativa pode ser significativa, especialmente se você também configurar o método Retenção para o log de Segurança como Não substituir eventos (limpar o log manualmente). Esta configuração causa uma ameaça de repúdio (um operador de backup pode negar que fez backup ou restauração de dados) em uma vulnerabilidade DoS (Negação de Serviço) porque o servidor pode ser forçado ao desligamento devido à sobrecarga de eventos de logon e outros eventos de segurança que tenham sido gravados no log de Segurança. Além disso, como esse desligamento não é normal, é possível que cause danos irreparáveis ao sistema operacional, aplicativos ou dados. Embora o sistema de arquivos NTFS garanta sua integridade se ocorrer um desligamento anormal do computador, não é possível garantir que todos os arquivos de dados ainda possam ser usados quando o computador for reiniciado.
DCOM: Restrições de Acesso de Computador em sintaxe SDDL (Security Descriptor Definition Language)
Esta configuração de diretiva permite que os administradores definam controles de acesso para todo o computador que controlam o acesso a todos os aplicativos baseados em DCOM (Distributed Component Object Model) do computador. Esses controles restringem solicitações de chamada, ativação ou inicialização no computador. A forma mais simples de entender esses controles de acesso é imaginá-los como uma chamada adicional de verificação de acesso que é feita para uma lista de controle de acesso (ACL) de todo o computador em cada chamada, ativação ou inicialização de qualquer servidor COM no computador. Se a verificação de acesso falhar, a solicitação de chamada, ativação ou inicialização será negada. (Esta verificação ocorre além de qualquer verificação de acesso que seja executada para ACLs específicas do servidor.) Na verdade, ela fornece um padrão mínimo de autorização que deve ser passado para acesso a qualquer servidor COM no computador. A configuração DCOM: Restrições de Acesso de Computador em sintaxe SDDL (Security Descriptor Definition Language) controla as permissões de acesso para cobrir os direitos de chamada.
Essas ACLs do computador fornecem um meio de substituir configurações de segurança fracas que são especificadas por um aplicativo específico por CoInitializeSecurity ou por configurações de segurança específicas de aplicativo. Elas fornecem um padrão mínimo de segurança que deve ser passado, independentemente das configurações do servidor específico.
Essas ACLs fornecem um local centralizado para um administrador definir a diretiva geral de autorização que se aplica a todos os servidores COM no computador.
A configuração DCOM: Restrições de Acesso de Computador em sintaxe SDDL (Security Descriptor Definition Language) permite especificar uma ACL de duas formas diferentes. Você pode digitar o descritor de segurança em SDDL ou escolher usuários e grupos e conceder-lhes ou negar-lhes permissões de Acesso Local Acesso Remoto. A Microsoft recomenda que você use a interface do usuário interna para especificar o conteúdo da ACL que você quer aplicar com esta configuração.
Vulnerabilidade
Muitos aplicativos COM incluem algum código específico de segurança (por exemplo, para chamar CoInitializeSecurity), mas usam configurações fracas que freqüentemente permitem acesso não autenticado ao processo. Os administradores não podem substituir essas configurações para forçar uma segurança mais forte em versões anteriores do Windows sem modificar o aplicativo. Um invasor pode tentar explorar a segurança fraca de um aplicativo individual atacando-o por chamadas COM.
Além disso, a infra-estrutura de COM inclui RPCSS, um serviço de sistema que é executado durante a inicialização do computador e que sempre é executado depois disso. Este serviço administra a ativação de objetos COM e a tabela de objetos em execução e fornece serviços de ajuda para o remoting DCOM. Ela expõe interfaces de RPC que podem ser chamadas remotamente. Como alguns servidores COM permitem acesso remoto não autenticado (como explicado na seção anterior), essas interfaces podem ser chamadas por qualquer um, incluindo usuários não autenticados. Como resultado, o RPCSS pode ser atacado por usuários mal-intencionados que usem computadores não-autenticados remotos.
Contramedida
Para proteger serviços ou aplicativos individuais baseados em COM, defina a configuração DCOM: Restrições de Acesso de Computador em sintaxe SDDL (Security Descriptor Definition Language) para uma ACL do computador apropriada.
Impacto potencial
O Windows XP com SP2 e o Windows Server 2003 com SP1 implementam ACLs COM padrão como especificado na respectiva documentação. Se você implementar um servidor COM e substituir as configurações padrão de segurança, confirme que a ACL de permissões de chamada específica de aplicativos atribua a permissão correta aos usuários apropriados. Se ela não o fizer, você deverá mudar sua ACL de permissão específica de aplicativos para fornecer aos usuários apropriados os direitos de ativação, de modo que os aplicativos e componentes do Windows que usem DCOM não falhem.
Observação: para obter mais informações sobre as restrições padrão de acesso de máquina COM que são aplicadas no Windows XP com SP2, consulte o guia "Managing Windows XP Service Pack 2 Features Using Group Policy" em www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngsecps.msp . Para obter informações sobre as restrições que são aplicadas no Windows Server 2003 com SP1, consulte a seção "DCOM Security Enhancements" no guia (em inglês) "Changes to Functionality in Microsoft Windows Server 2003 Service Pack 1" em www.microsoft.com/technet/prodtechnol/windowsserver2003/library/
BookofSP1/ed9975ba-3933-4e28-bcb4-72b80d7865b7.mspx. Para obter mais informações sobre permissões de inicialização, consulte a página “LaunchPermission” no Microsoft MSDN® em https://go.microsoft.com/fwlink/?LinkId=20924.
DCOM: Restrições de Inicialização de Computador em sintaxe SDDL (Security Descriptor Definition Language)
Esta configuração de diretiva é semelhante a DCOM: Restrições de Acesso de Computador em sintaxe SDDL (Security Descriptor Definition Language) porque permite aos administradores definir controles de acesso adicionais para o computador que regem o acesso a todos os aplicativos baseados em DCOM de um computador. No entanto, as ACL especificadas nesta configuração de diretiva controlam solicitações de inicialização COM locais e remotas (não solicitações de acesso) no computador. A forma mais simples de entender esses controles de acesso é imaginá-los como uma chamada adicional de verificação de acesso que é feita para uma lista de controle de acesso (ACL) de todo o computador em cada inicialização de qualquer servidor COM no computador. Se a verificação de acesso falhar, a solicitação de chamada, ativação ou inicialização será negada. (Esta verificação ocorre além de qualquer verificação de acesso que seja executada para ACLs específicas do servidor.) Na verdade, ela fornece um padrão mínimo de autorização que deve ser passado para a inicialização de qualquer servidor COM no computador. A diretiva anterior difere desta porque fornece uma verificação de acesso mínima que é aplicada a tentativas de acesso a um servidor COM já inicializado.
Essas ACLs do computador fornecem um meio de substituir configurações de segurança fracas que são especificadas por um aplicativo específico por CoInitializeSecurity ou por configurações de segurança específicas de aplicativo. Elas fornecem um padrão mínimo de segurança que deve ser passado, independentemente das configurações do servidor COM específico. Essas ACLs fornecem um local centralizado para um administrador definir a diretiva geral de autorização que se aplica a todos os servidores COM no computador.
A configuração DCOM: Restrições de Inicialização de Computador em sintaxe SDDL (Security Descriptor Definition Language) permite especificar uma ACL de duas formas diferentes. Você pode digitar o descritor de segurança em SDDL ou escolher usuários e grupos e conceder-lhes ou negar-lhes permissões de Acesso Local Acesso Remoto. A Microsoft recomenda que você use a interface do usuário interna para especificar o conteúdo da ACL que você quer aplicar com esta configuração.
Vulnerabilidade
Muitos aplicativos COM incluem algum código específico de segurança (por exemplo, para chamar CoInitializeSecurity), mas usam configurações fracas que freqüentemente permitem acesso não autenticado ao processo. Os administradores não podem substituir essas configurações para forçar uma segurança mais forte em versões anteriores do Windows sem modificar o aplicativo. Um invasor pode tentar explorar a segurança fraca de um aplicativo individual atacando-o por chamadas COM.
Além disso, a infra-estrutura de COM inclui RPCSS, um serviço de sistema que é executado durante a inicialização do computador e que sempre é executado depois disso. Este serviço administra a ativação de objetos COM e a tabela de objetos em execução e fornece serviços de ajuda para o remoting DCOM. Ela expõe interfaces de RPC que podem ser chamadas remotamente. Como alguns servidores COM permitem ativação de componente remota não autenticada (como explicado na seção anterior), essas interfaces podem ser chamadas por qualquer um, incluindo usuários não autenticados. Como resultado, o RPCSS pode ser atacado por usuários mal-intencionados que usem computadores não-autenticados remotos.
Contramedida
Para proteger serviços ou aplicativos individuais baseados em COM, defina a configuração DCOM: Restrições de Inicialização de Computador em sintaxe SDDL (Security Descriptor Definition Language) para uma ACL da máquina apropriada.
Impacto potencial
O Windows XP com SP2 e o Windows Server 2003 com SP1 implementam ACLs COM padrão como especificado na respectiva documentação. Se você implementar um servidor COM e substituir as configurações padrão de segurança, confirme que a ACL de permissões de inicialização específica de aplicativos atribua a permissão de ativação aos usuários apropriados. Se ela não o fizer, você deverá mudar sua ACL de permissão de inicialização específica de aplicativos para fornecer aos usuários apropriados os direitos de ativação, de modo que os aplicativos e componentes do Windows que usem DCOM não falhem.
Observação: para obter mais informações sobre as restrições padrão de inicialização de máquina COM que são aplicadas no Windows XP com SP2, consulte o guia "Managing Windows XP Service Pack 2 Features Using Group Policy" (em inglês) em www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngsecps.msp . Para obter informações sobre as restrições que são aplicadas no Windows Server 2003 com SP1, consulte a seção "DCOM Security Enhancements" no guia (em inglês) "Changes to Functionality in Microsoft Windows Server 2003 Service Pack 1" em www.microsoft.com/technet/prodtechnol/windowsserver2003/library/
BookofSP1/ed9975ba-3933-4e28-bcb4-72b80d7865b7.mspx. Para obter mais informações sobre as permissões de inicialização, consulte a página “LaunchPermission” no MSDN em https://go.microsoft.com/fwlink/?LinkId=20924.
Dispositivos: permitir desencaixe sem fazer logon
Esta configuração de diretiva determina se um usuário deve fazer logon para solicitar permissão para remover um computador portátil de uma estação de encaixe. Se você ativar esta configuração de diretiva, os usuários poderão pressionar o botão de ejeção físico de um computador para desencaixar com segurança o computador. Se você desativar esta configuração de diretiva, o usuário deverá fazer logon para receber permissão para desencaixar o computador. Somente os usuários que tiverem o privilégio Remover o computador da estação de encaixe poderão obter essa permissão.
Observação: você só deve desativar esta configuração de diretiva para computadores portáteis que não possam ser mecanicamente desencaixados. Os computadores que podem ser mecanicamente desencaixados podem ser fisicamente removidos pelo usuário independentemente de usarem a funcionalidade de desencaixe do Windows.
Os valores possíveis para a configuração Dispositivos: permitir desencaixe sem fazer logon são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Se esta configuração de diretiva estiver ativada, qualquer pessoa com acesso físico a computadores portáteis em suas estações de encaixe pode removê-los e talvez violá-los. Esta configuração de diretiva não terá impacto sobre os computadores que não tiverem estações de encaixe.
Contramedida
Desative a configuração Dispositivos: permitir desencaixe sem fazer logon.
Impacto potencial
Os usuários que tiverem encaixado seus computadores terão que fazer logon no console local antes de poderem desencaixar seus computadores.
Dispositivos: permite formatar e ejetar a mídia removível
Esta configuração de diretiva determina quem pode formatar e ejetar mídia removível.
Os valores possíveis para a configuração Dispositivos: permite formatar e ejetar a mídia removível são:
Administradores
Administradores e usuários avançados
Administradores e usuários interativos
Não Definido
Vulnerabilidade
Os usuários podem mover dados de discos removíveis para um computador diferente no qual tenham privilégios administrativos. Então, o usuário poderá apropriar-se de qualquer arquivo, conceder a si mesmo controle total e exibir ou modificar qualquer arquivo. O fato pelo qual a maioria dos dispositivos de armazenamento removíveis ejetarão a mídia pelo pressionamento de um botão mecânico diminui a vantagem desta configuração de diretiva.
Contramedida
Defina a configuração Permite formatar e ejetar a mídia removível como Administradores.
Impacto potencial
Somente os Administradores serão capazes de ejetar a mídia removível formatada em NTFS.
Dispositivos: evitar que usuários instalem drivers de impressora
Para um computador imprimir em uma impressora da rede, o driver desta impressora deve estar instalado no computador local. A configuração Dispositivos: evita que usuários instalem drivers de impressora determina quem pode instalar um driver de impressora como parte da adição de uma impressora de rede. Se você ativar esta configuração de diretiva, somente os membros dos grupos Administradores e Usuários avançados poderão instalar um driver de impressora ao adicionarem uma impressora de rede. Se você desativar esta configuração de diretiva, qualquer usuário poderá instalar drivers de impressora quando adicionar uma impressora de rede. Esta configuração de diretiva impede que usuários comuns baixem e instalem drivers de impressora não confiáveis.
Observação: esta configuração de diretiva não tem nenhum impacto se um administrador tiver configurado um caminho confiável para baixar drivers. Ao usar caminhos confiáveis, o subsistema de impressão tenta usar o caminho confiável para baixar o driver. Se o download do caminho confiável for bem-sucedido, o driver será instalado em nome de qualquer usuário. Se o download do caminho confiável falhar, o driver não será instalado e a impressora de rede não será adicionada.
Os valores possíveis para a configuração Dispositivos: evita que usuários instalem drivers de impressora são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Pode ser apropriado em algumas organizações permitir que os usuários instalem drivers de impressora em suas próprias estações de trabalho. No entanto, você não deve permitir que os usuários façam isso em servidores. A instalação de um driver de impressora em um servidor pode, acidentalmente, fazer com que o sistema se torne menos estável. Somente os Administradores devem ter esse privilégio nos servidores. Um usuário mal-intencionado pode instalar drivers de impressora inadequados em uma tentativa deliberada de danificar o computador ou, ainda, um usuário pode instalar acidentalmente código mal-intencionado que se passe por um driver de impressora.
Contramedida
Defina a configuração Dispositivos: evita que usuários instalem drivers de impressora como Ativado.
Impacto potencial
Somente os usuários com o privilégio Administrativo, Usuário avançado ou Opers. de servidores poderão instalar impressoras nos servidores. Se esta configuração de diretiva for ativada, mas o driver de uma impressora de rede já existir no computador local, os usuários ainda poderão adicionar a impressora de rede.
Dispositivos: restringir o acesso ao CD-ROM somente para usuário com logon feito localmente
Esta configuração de diretiva determina se a unidade de CD-ROM pode ser acessada simultaneamente por usuários locais e remotos. Se você ativar esta configuração de diretiva, somente o usuário conectado interativamente poderá acessar a mídia removível de CD-ROM. Se essa configuração de diretiva for ativada e ninguém estiver conectado de forma interativa, a unidade de CD-ROM poderá ser acessada pela rede.
Os valores possíveis para a configuração Dispositivos: restringir o acesso ao CD-ROM somente para usuário com logon feito localmente são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Um usuário remoto pode acessar um CD-ROM montado que contém informações confidenciais. O risco é pequeno, porque as unidades de CD-ROM não serão disponibilizadas automaticamente como compartilhamentos da rede; os administradores deverão optar deliberadamente por compartilhar a unidade. No entanto, os administradores podem negar aos usuários da rede a capacidade de exibir dados ou executar aplicativos de mídia removível no servidor.
Contramedida
Ative a configuração restringir o acesso ao CD-ROM somente para usuário com logon feito localmente.
Impacto potencial
Os usuários que se conectarem ao servidor pela rede não poderão usar nenhuma unidade de CD-ROM instalada no servidor quando alguém estiver conectado ao console local do servidor. As ferramentas de sistema que exigem acesso à unidade de CD-ROM falharão. Por exemplo, o serviço Cópia de sombra de volume tenta acessar todas as unidades de CD-ROM e disquete que estão presentes no computador quando ele é iniciado, e se o serviço não puder acessar uma destas unidades, ele falhará. Essa condição fará com que o utilitário Windows Backup falhe se cópias de sombra de volume tiverem sido especificadas para o trabalho de backup. Produtos de backup de terceiros que usem cópias de sombra de volume também falharão. Esta configuração de diretiva não seria conveniente para um computador que sirva como jukebox de CD para usuários de rede.
Dispositivos: restringir o acesso ao floppy somente para usuário com logon feito localmente
Esta configuração de diretiva determina se a mídia de disquete pode ser acessada simultaneamente por usuários locais e remotos. Se você ativar esta configuração de diretiva, somente o usuário conectado interativamente poderá acessar a mídia de disquete removível. Se essa configuração de diretiva estiver ativa e ninguém estiver conectado de forma interativa, a unidade de disquete poderá ser acessada pela rede.
Os valores possíveis para a configuração Dispositivos: restringir o acesso ao floppy somente para usuário com logon feito localmente são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Um usuário remoto pode acessar um disquete montado que contenha informações confidenciais. O risco é pequeno, porque as unidades de disquete não serão disponibilizadas automaticamente como compartilhamentos da rede; os administradores deverão optar deliberadamente por compartilhar a unidade. No entanto, os administradores podem negar aos usuários da rede a capacidade de exibir dados ou executar aplicativos de mídia removível no servidor.
Contramedida
Ative a configuração Restringir o acesso ao floppy somente para usuário com logon feito localmente.
Impacto potencial
Os usuários que se conectarem ao servidor pela rede não poderão usar nenhuma unidade de disquete instalada no servidor quando alguém estiver conectado ao console local do servidor. As ferramentas de sistema que exigem acesso a unidades de disquete falharão. Por exemplo, o serviço Cópia de sombra de volume tenta acessar todas as unidades de CD-ROM e disquete que estão presentes no computador quando ele é iniciado, e se o serviço não puder acessar uma destas unidades, ele falhará. Essa condição fará com que o utilitário Windows Backup falhe se cópias de sombra de volume tiverem sido especificadas para o trabalho de backup. Produtos de backup de terceiros que usem cópias de sombra de volume também falharão.
Dispositivos: comportamento de instalação de driver não assinado
Esta configuração de diretiva determina o que acontece quando uma tentativa é feita para instalar um driver de dispositivo que não foi certificado e assinado pelo Windows Hardware Quality Lab (WHQL) por meio da API de instalação.
Os valores possíveis para a configuração Dispositivos: comportamento de instalação de driver não assinado são:
Bem-sucedido silenciosamente
Avisar, mas permitir a instalação
Não permitir a instalação
Não Definido
Vulnerabilidade
Esta configuração de diretiva impede a instalação de drivers não assinados ou avisa o administrador que um software de driver não assinado está prestes a ser instalado. Este recurso pode impedir o uso da API de instalação para instalar drivers que não foram certificados para execução no Windows XP ou Windows Server 2003. Esta configuração de diretiva não impedirá que um método seja usado por algumas ferramentas de ataque em que arquivos .sys mal-intencionados são copiados e registrados para serem iniciados como serviços de sistema.
Contramedida
Defina a configuração Dispositivos: comportamento de instalação de driver não assinado como Avisar, mas permitir a instalação, que é a configuração padrão para Windows XP com SP2. A configuração padrão para o Windows Server 2003 é Não Definido.
Impacto potencial
Os usuários com privilégios suficientes poderão instalar drivers de dispositivos não assinados. Entretanto, isso pode resultar em problemas de estabilidade para os servidores. Outro problema potencial com uma configuração Avisar, mas permitir a instalação é que scripts de instalação autônomos falharão se tentarem instalar drivers não assinado.
Controlador de domínio: permitir que operadores do servidor agendem tarefas
Esta configuração de diretiva determina se operadores de servidor podem submeter tarefas por meio do recurso de agendamento AT.
Observação: esta configuração de opção de segurança só afeta o recurso de agendamento AT. Ela não afeta o recurso Agendador de tarefas.
Os valores possíveis para a configuração Controlador de domínio: permitir que operadores do servidor agendem tarefas são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Se você ativar esta configuração de diretiva, as tarefas criadas por operadores de servidor por meio do serviço AT serão executadas no contexto da conta que executa esse serviço. Por padrão, a conta SISTEMA local. Se você ativar esta configuração de diretiva, os operadores do servidor poderão executar as mesmas tarefas que a conta do SISTEMA, mas que normalmente eles não poderiam, como adicionar sua conta ao grupo de Administradores local.
Contramedida
Desative a configuração Controlador de domínio: permitir que operadores do servidor agendem tarefas.
Impacto potencial
O impacto deve ser pequeno na maioria das empresas. Os usuários (incluindo aqueles no grupo Operadores de Servidor) ainda poderão criar tarefas por meio do Assistente do Agendador de tarefas. No entanto, essas tarefas serão executadas no contexto da conta com a qual o usuário se autentica quando configura a tarefa.
Controlador de domínio: requisitos de assinatura de Servidor LDAP
Esta configuração de diretiva determina se o servidor LDAP (Lightweight Directory Access Protocol) exige que os clientes LDAP negociem a assinatura de dados.
Os valores possíveis para a configuração Controlador de domínio: requisitos de assinatura de servidor LDAP são:
Nenhum. As assinaturas de dados não são exigidas para vinculação ao servidor. Se o cliente solicitar a assinatura de dados, o servidor dará suporte.
Requer assinatura. A opção de assinatura de dados LDAP deve ser negociada, a menos que esteja sendo usada a TLS/SSL (Transport Layer Security/Secure Socket Layer).
Não Definido.
Vulnerabilidade
O tráfego de rede sem assinatura está suscetível a ataques por interceptação. Em tais ataques, um invasor captura pacotes entre o servidor e o cliente, modifica-os e remete-os ao cliente. Em relação a servidores LDAP, um invasor pode fazer com que um cliente tome decisões baseadas em registros falsos do diretório LDAP. Para diminuir o risco dessa invasão na rede da organização, você pode implementar medidas de segurança físicas fortes para proteger a infra-estrutura da rede. Além disso, você pode implementar o modo AH (Cabeçalho de Autenticação) do IPSec, que executa a autenticação mútua e a integridade de pacotes para o tráfego IP, o que pode tornar extremamente difíceis todos os tipos de ataques de interceptação.
Contramedida
Defina a configuração Controlador de domínio: requisitos de assinatura de servidor LDAP como Requer assinatura.
Impacto potencial
Os clientes que não suportam a assinatura LDAP não serão capazes de executar consultas LDAP nos controladores de domínio. Todos os computadores baseados em Windows 2000 de sua organização que sejam gerenciados de computadores Windows Server 2003 ou Windows XP e que usem a autenticação NTLM de Desafio/Resposta do Windows NT® deve ter o Windows 2000 Service Pack 3 (SP3) instalado. Como alternativa, esses clientes devem ter a alteração do Registro que é descrita no artigo Q325465 do Microsoft Knowledge Base “Windows 2000 domain controllers require SP3 or later when using Windows Server 2003 administration tools,” que está disponível em https://support.microsoft.com/default.aspx?scid=325465. Além disso, alguns sistemas operacionais de terceiros não oferecem suporte à assinatura LDAP. Se você ativar esta configuração de diretiva, os computadores clientes que usarem esses sistemas operacionais poderão não ser capazes de acessar recursos do domínio.
Controlador de domínio: recusar alterações de senha de conta de computador
Esta configuração de diretiva determina se um controlador de domínio aceitará ou não solicitações de alteração de senha para contas do computador.
Os valores possíveis para a configuração Controlador de domínio: recusar alterações de senha de conta de computador são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Se você ativar esta diretiva de configuração em todos os controladores de um domínio, os membros do domínio não serão capazes de alterar suas senhas de conta de computador, e essas senhas estarão mais suscetíveis a ataques.
Contramedida
Desative a configuração Controlador de domínio: recusar alterações de senha de conta de computador.
Impacto potencial
Nenhum. Essa é a configuração padrão.
Membro do domínio: criptografar ou assinar digitalmente os dados de canal seguro (diversas configurações relacionadas)
As seguintes configurações de diretiva determinam se um canal seguro pode ser estabelecido com um controlador de domínio que não pode assinar ou criptografar o tráfego do canal seguro:
Membro do domínio: criptografar ou assinar digitalmente os dados de canal seguro (sempre)
Membro do domínio: criptografar digitalmente dados do canal seguro (quando for possível)
Membro do domínio: assinar digitalmente dados do canal seguro (quando for possível)
Se você ativar a configuração Membro do domínio: criptografar ou assinar digitalmente os dados de canal seguro (sempre), um canal seguro não pode ser estabelecido com qualquer controlador de domínio que não possa assinar ou criptografar todos os dados do canal seguro.
Para proteger o tráfego de autenticação contra ataques de interceptação, repetição e outros tipos de ataque de rede, os computadores Windows criam canais de comunicação via NetLogon chamados Canais de Segurança. Esses canais autenticam as contas do computador e também as contas de usuário quando um usuário remoto se conecta a um recurso da rede e a conta de usuário existe em um domínio confiável. Essa é a autenticação de passagem, que permite que um computador que se conecte a um domínio acesse o banco de dados de contas de usuário em seu domínio e em quaisquer domínios confiáveis.
Observação: para ativar a configuração Membro do domínio: criptografar ou assinar digitalmente os dados de canal seguro (sempre) em uma estação de trabalho membro ou em um servidor, todos os controladores de domínio no domínio ao qual o membro pertence devem ser capazes de assinar ou criptografar todos os dados de canal seguro. Este requisito significa que todos os controladores de domínio semelhantes devem ser executados no Windows NT 4.0 com Service Pack 6a ou uma versão posterior do sistema operacional Windows.
Se você ativar a configuração Membro do domínio: criptografar ou assinar digitalmente os dados de canal seguro (sempre), a configuração Membro do domínio: assinar digitalmente dados do canal seguro (quando for possível) será automaticamente ativada.
Os valores possíveis para essa configuração de diretiva são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Quando um computador Windows Server 2003, Windows XP, Windows 2000 ou Windows NT ingressa em um domínio, uma conta de computador é criada. Após ingressar no domínio, o computador usa a senha daquela conta para criar um canal seguro com o controlador de seu domínio cada vez que é reiniciado. As solicitações enviadas pelo canal seguro são autenticadas e as informações confidenciais, como senhas, são criptografadas, mas não é feita uma verificação de integridade do canal e nem todas as informações são criptografadas. Se um computador for configurado para sempre criptografar ou assinar dados de canal seguro mas o controlador de domínio não puder assinar ou criptografar qualquer porção dos dados do canal seguro, o computador e o controlador de domínio não poderão estabelecer um canal seguro. Se o computador estiver configurado para criptografar ou assinar os dados do canal seguro quando for possível, um canal seguro poderá ser estabelecido, mas o nível de criptografia e assinatura será negociado.
Contramedida
Defina a configuração Membro do domínio: criptografar ou assinar digitalmente os dados de canal seguro (sempre) como Ativado.
Defina a configuração Membro do domínio: criptografar digitalmente dados do canal seguro (quando for possível) como Ativado.
Defina a configuração Membro do domínio: assinar digitalmente dados do canal seguro (quando for possível) como Ativado.
Impacto potencial
Usar a criptografia e a assinatura digitais do “canal seguro” onde elas tenham suporte é uma boa idéia. O canal seguro protege as credenciais do domínio à medida que elas são enviadas ao controlador do domínio. Entretanto, somente Windows NT 4.0 Service Pack 6a (SP6a) e versões subseqüentes do sistema operacional Windows oferecem suporte a criptografia digital e assinatura do canal seguro. Os clientes com Windows 98 Second Edition não oferecem esse suporte, a menos que tenham Dsclient instalado. Portanto, você não pode ativar a configuração Membro do domínio: criptografar ou assinar digitalmente os dados de canal seguro (sempre) em controladores de domínio que oferecem suporte a clientes Windows 98 como membros do domínio. Os impactos potenciais podem incluir:
A capacidade de criar ou excluir relações de confiança em nível inferior será desativada.
Os logons de clientes de nível inferior serão desativados.
A capacidade de autenticar usuários de outros domínios a partir de um domínio confiável de nível inferior será desativada.
É possível ativar esta configuração de diretiva depois de eliminar todos os clientes Windows 9x do domínio e atualizar todos os servidores e controladores de domínio do Windows NT 4.0 a partir de domínios confiáveis/confiantes para o Windows NT 4.0 com SP6a. Você pode ativar as outras duas configurações de diretiva, Membro do domínio: criptografar digitalmente dados do canal seguro (quando for possível) e Membro do domínio: assinar digitalmente dados do canal seguro (quando for possível), em todos computadores no domínio que as suportem, e os clientes e aplicativos de nível inferior não serão afetados.
Membro do domínio: desativar alterações de senha de conta da máquina
Esta configuração de diretiva determina se um membro de domínio altera periodicamente sua senha de conta de computador. Se você ativar esta configuração de diretiva, o membro de domínio não poderá mudar sua senha de conta de computador. Se você desativar esta configuração de diretiva, o membro de domínio poderá alterar sua senha de conta de computador como especificado pela configuração Membro do domínio: duração máxima de senha de conta de computador, que por padrão é 30 dias.
Cuidado: não ative esta configuração de diretiva. As senhas das contas de computador são usadas para estabelecer comunicações do canal seguro entre membros e controladores de domínio e, dentro do domínio, entre os próprios controladores de domínio. Depois que essa comunicação é estabelecida, o canal seguro transmite informações confidenciais que são necessárias para a tomada de decisões de autenticação e autorização.
Não use esta configuração de diretiva como tentativa de dar suporte a cenários de inicialização dupla que usam a mesma conta de computador. Se quiser suporte a um cenário de duas instalações que são unidas em um mesmo domínio, use nomes diferentes de computador para as duas instalações. Esta configuração de diretiva foi adicionada ao Windows para beneficiar as organizações que armazenam computadores pré-montados que são colocados em produção meses mais tarde. Ela elimina a necessidade de esses computadores reingressarem no domínio. Esta configuração de diretiva às vezes também é usada com computadores com imagem ou aqueles com prevenção de alteração de nível de hardware ou software. Os procedimentos corretos de criação de imagens tornam essa diretiva desnecessária para computadores com imagem.
Os valores possíveis para a configuração Membro do domínio: desativar alterações de senha de conta da máquina:
Ativado
Desativado
Não Definido
Vulnerabilidade
A configuração padrão para os computadores baseados em Windows Server 2003 e que pertencem a um domínio é aquela em que são obrigados a alterar automaticamente a senha de suas contas a cada 30 dias. Se você desativar esta configuração de diretiva, os computadores que executam Windows Server 2003 manterão as mesmas senhas que suas contas de computador. Os computadores que não são mais capazes de alterar automaticamente sua senha de conta correm risco de ataques por invasores que determinem a senha para a conta de domínio do computador.
Contramedida
Verifique se a configuração Membro do domínio: desativar alterações de senha de conta da máquina está configurada como Desativado.
Impacto potencial
Nenhum. Essa é a configuração padrão.
Membro do domínio: duração máxima de senha de conta de computador
Esta configuração de diretiva determina a duração máxima permitida para uma senha de conta de computador. Esta configuração também se aplica a computadores com Windows 2000, mas não está disponível por meio das ferramentas do Gerenciador de configurações de segurança nesses computadores.
Os valores possíveis para a configuração Membro do domínio: duração máxima de senha de conta de computador são:
Um número de dias definido pelo usuário, de 0 a 999
Não Definido
Vulnerabilidade
Em domínios com base no Active Directory, cada computador tem uma conta e senha, como qualquer usuário. Por padrão, os membros do domínio alteram automaticamente suas senhas de domínio a cada 30 dias. Se você aumentar este intervalo significativamente, ou se configurá-lo como 0 de modo que os computadores não alterem mais suas senhas, um invasor terá mais tempo de empreender um ataque de força bruta para adivinhar a senha de uma ou mais contas de computador.
Contramedida
Defina a configuração Membro do domínio: duração máxima de senha de conta de computador como 30 dias.
Impacto potencial
Nenhum. Essa é a configuração padrão.
Membro do domínio: requer uma chave de sessão de alta segurança (Windows 2000 ou posterior)
Esta configuração de diretiva determina se um canal seguro pode ser estabelecido com um controlador de domínio que não possa criptografar o tráfego de canal seguro com uma chave de sessão de 128 bits forte. Se você ativar esta configuração de diretiva, um canal seguro não poderá ser estabelecido com qualquer controlador de domínio que não possa criptografar dados de canal seguro com uma chave forte. Se você desativar esta configuração de diretiva, chaves de sessão de 64 bits serão permitidas.
Observação: para ativar esta configuração de diretiva em uma estação de trabalho membro ou em um servidor, todos os controladores de domínio no domínio a que o membro pertence devem ser capazes de criptografar dados de canal seguro com uma chave de 128 bits forte. Em outras palavras, todos esses controladores de domínio devem executar o Windows 2000 ou uma versão posterior do sistema operacional Windows.
Os valores possíveis para a configuração Membro do domínio: requer uma chave de sessão de alta segurança (Windows 2000 ou posterior) são:
Ativado
Desativado
Não Definido
Vulnerabilidade
As chaves de sessão usadas para estabelecer comunicações de canal seguro entre controladores de domínio e computadores membro são muito mais restritas no Windows 2000 do que nos sistemas operacionais Microsoft anteriores.
Sempre que possível, você deve tirar proveito destas chaves de sessão mais fortes para ajudar a proteger comunicações de canal seguro contra ataques que tentam seqüestrar sessões de rede e espionar. (Espionagem é uma forma de invasão em que os dados da rede são lidos ou alterados em trânsito. Os dados podem ser modificados para ocultar ou alterar o remetente ou redirecioná-lo.)
Contramedida
Defina a configuração Membro do domínio: requer uma chave de sessão de alta segurança (Windows 2000 ou posterior) como Ativado.
Se você ativar esta configuração de diretiva, todo o tráfego de saída do canal seguro exigirá uma chave de criptografia de alta segurança, do Windows 2000 ou posterior. Se você desativar esta configuração de diretiva, o grau de segurança da chave será negociado. Você só deve ativar esta configuração de diretiva se os controladores de domínio em todos os domínios confiáveis oferecerem suporte a chaves fortes. Por padrão, essa configuração de diretiva está desativada.
Impacto potencial
Os computadores que tiverem essa configuração de diretiva ativada não poderão ingressar em domínios do Windows NT 4.0, e as confianças entre domínios do Active Directory e domínios de estilo Windows NT poderão não funcionar adequadamente. Além disso, computadores que não oferecerem suporte a essa configuração de diretiva não serão capazes de ingressar em domínios em que os controladores de domínio tenham essa configuração de diretiva ativada.
Logon interativo: não exibir o último nome de usuário
Esta configuração de diretiva determina se a caixa de diálogo Logon no Windows exibirá o nome do último usuário que se conectou ao computador. Se você ativar esta configuração de diretiva, o nome do último usuário a se conectar com êxito não será exibido. Se você ativar esta configuração de diretiva, o nome do último usuário a se conectar com êxito será exibido.
Os valores possíveis para a configuração Logon interativo: não exibir o último nome do usuário são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Um invasor com acesso ao console (por exemplo, alguém com acesso físico ou que possa se conectar ao servidor usando os Serviços de terminal) pode visualizar o nome do último usuário que fez logon no servidor. O invasor pode então tentar adivinhar a senha, usar um dicionário ou usar um ataque de força bruta para tentar se conectar.
Contramedida
Defina a configuração Não exibir o nome do último usuário na tela de logon como Ativado.
Impacto potencial
Os usuários sempre terão que digitar seus nomes de usuário ao fazer logon nos servidores.
Logon interativo: não exigir CTRL + ALT + DEL
Esta configuração de diretiva determina se os usuários devem pressionar CTRL + ALT + DEL antes de fazerem logon. Se você ativar esta configuração de diretiva, os usuários poderão fazer logon sem esta combinação de teclas. Se você desativar esta configuração de diretiva, os usuários deverão pressionar CTRL+ALT+DEL antes de fazerem logon no Windows, a menos que usem um cartão inteligente para logon no Windows. Um cartão inteligente é um dispositivo à prova de violação que armazena informações de segurança.
Os valores possíveis para a configuração Logon interativo: não exigir CTRL+ALT+DEL são:
Ativado
Desativado
Não Definido
Vulnerabilidade
A Microsoft desenvolveu este recurso para tornar mais fácil aos usuários com determinados tipos de deficiência física fazer logon em computadores que executam o Windows. Se os usuários não precisarem pressionar CTRL+ALT+DEL, estarão suscetíveis a ataques que tentem interceptar suas senhas. Se CTRL+ALT+DEL for exigido para o logon, as senhas de usuário serão comunicadas por meio de um caminho confiável.
Um invasor pode instalar um programa cavalo de Tróia que se pareça com uma caixa de diálogo de logon padrão do Windows de modo a capturar a senha do usuário. Então, o invasor será capaz de fazer logon na conta comprometida com o nível de privilégios que o usuário tiver.
Contramedida
Defina a configuração Desativar o requisito CTRL+ALT+DEL para o logon como Desativado.
Impacto potencial
A menos que estejam usando um cartão inteligente para fazer logon, os usuários terão que pressionar as três teclas simultaneamente para que a caixa de diálogo de logon apareça.
Logon interativo: texto de mensagem para usuários tentando fazer logon
As configurações Logon interativo: texto de mensagem para usuários tentando fazer logon e Logon interativo: título de mensagem para usuários tentando fazer logon são intimamente relacionadas. A primeira configuração de diretiva especifica uma mensagem de texto que é exibida quando os usuários fazem logon, e a segunda configuração de diretiva especifica um título que é exibido na barra de título da janela que contém a mensagem de texto. Muitas organizações usam este texto para propósitos legais; por exemplo, avisar os usuários sobre as implicações do uso incorreto de informações da empresa, ou para adverti-los que suas ações podem ser auditadas.
Cuidado: o Windows XP Professional oferece suporte a faixas de logon, que podem exceder 512 caracteres, além de conter seqüências de avanço de linha produzidas pelo retorno de carro. No entanto, clientes Windows 2000 não podem interpretar e exibir essas mensagens. Você deverá usar um computador Windows 2000 para criar uma diretiva de mensagem de logon que se aplique a esses computadores. Se você criar, inadvertidamente, uma diretiva de mensagem de logon em um computador Windows XP Professional e descobrir que ela não é exibida corretamente nos computadores Windows 2000, faça o seguinte:
Redefina a configuração Não Definido.
Redefina a configuração usando um computador Windows 2000.
Você simplesmente não pode alterar uma configuração de mensagem de logon definida no Windows XP Professional em um computador Windows 2000. Primeiro, redefina a configuração como Não Definido.
Os valores possíveis para essas configurações de diretiva são:
Texto definido pelo usuário
Não Definido
Vulnerabilidade
Exibir uma mensagem de aviso antes do logon pode ajudar a impedir um ataque ao avisar o invasor de seu comportamento impróprio antes que ele ocorra. Isso também pode ajudar a reforçar a diretiva corporativa ao notificar os funcionários da diretiva apropriada durante o processo de logon.
Contramedida
Defina as configurações texto de mensagem para usuários tentando fazer logon e título de mensagem para usuários tentando fazer logon com um valor apropriado para sua organização.
Observação: qualquer mensagem de aviso exibida deve ser aprovada por seus representantes jurídicos e de recursos humanos da organização.
Impacto potencial
Os usuários verão uma mensagem em uma caixa de diálogo antes de fazer logon no console do servidor.
Logon interativo: número de logons anteriores para armazenar em cache (caso o controlador de domínio não esteja disponível)
Esta configuração de diretiva determina o número de usuários exclusivos diferentes que podem fazer logon em um domínio do Windows usando informações de conta em cache. As informações de logon de contas de domínio podem ser armazenadas em cache localmente para que, se um controlador de domínio não puder ser contatado em logons posteriores, o usuário ainda possa fazer logon. Essa configuração de diretiva determina o número de usuários exclusivos cujas informações de logon são armazenadas localmente em cache.
Se um controlador de domínio não estiver disponível e as informações de logon de um usuário estiverem armazenadas em cache, o sistema exibirá a seguinte mensagem ao usuário:
Um controlador do seu domínio não pôde ser contatado. Você fez logon usando as informações armazenadas em cache. As alterações feitas em seu perfil desde o seu último logon podem não estar disponíveis.
Se um controlador de domínio não estiver disponível e as informações de logon de um usuário não estiverem armazenadas em cache, o sistema exibirá a seguinte mensagem ao usuário:
O sistema não pode fazer logon agora porque o domínio <NOME_DOMÍNIO> não está disponível.
Os valores possíveis para a configuração Logon interativo: número de logons anteriores para armazenar em cache (caso o controlador de domínio não esteja disponível) são:
Número definido pelo usuário (entre 0 e 50)
Não Definido
Vulnerabilidade
O número que é atribuído a esta configuração de diretiva indica o número de usuários cujas informações de logon os servidores armazenarão em cache localmente. Se o número estiver definido como 10, o servidor armazenará em cache as informações de 10 usuários. Quando o décimo primeiro usuário fizer logon no computador, o servidor substituirá a sessão de logon em cache mais antiga.
Os usuários que acessarem o console do servidor terão suas credenciais de logon armazenadas no cache daquele servidor. Um invasor que tenha acesso ao sistema de arquivos do servidor poderá localizar essas informações armazenadas em cache e usar um ataque de força bruta para tentar determinar as senhas dos usuários.
Para atenuar esse tipo de ataque, o Windows criptografa as informações e encobre seu local físico.
Contramedida
Defina a configuração Logon interativo: número de logons anteriores para armazenar em cache (caso o controlador de domínio não esteja disponível) como 0, o que desativa o armazenamento em cache local de informações de logon. Contramedidas adicionais incluem a execução de diretivas de senha forte e locais fisicamente seguros para os computadores.
Impacto potencial
Os usuários não poderão fazer logon em qualquer computador se não houver um controlador de domínio disponível para autenticá-los. As empresas podem optar pela definição dessa configuração como 2 para computadores de usuários finais, principalmente usuários móveis. A configuração deste valor como 2 significa que as informações de logon do usuário ainda poderão ser armazenadas em cache, mesmo que um membro do departamento de TI tenha feito logon recentemente em seu computador para fazer a manutenção do sistema. Este método permite aos usuários fazer logon em seus computadores quando eles não estão conectados à rede da organização.
Logon interativo: pedir que o usuário altere a senha antes que ela expire
Esta configuração de diretiva determina com quantos dias de antecedência os usuários serão avisados de que sua senha está prestes a expirar. Com essa advertência antecipada, o usuário tem tempo de elaborar uma senha que seja suficientemente segura.
Os valores possíveis para a configuração Logon interativo: pedir que o usuário altere a senha antes que ela expire são:
Número de dias definido pelo usuário (entre 1 e 999)
Não Definido
Vulnerabilidade
A Microsoft recomenda que as senhas de usuário sejam configuradas para expirar periodicamente. Os usuários necessitarão ser avisados de que suas senhas expirarão, ou poderão inadvertidamente ser bloqueados no computador quando suas senhas expirarem. Esta condição pode confundir os usuários que acessam a rede localmente ou impossibilitar que eles acessem a rede da organização por conexões discadas ou conexões de Rede Virtual Privada (VPN).
Contramedida
Defina a configuração Logon interativo: pedir que o usuário altere a senha antes que ela expire como 14 dias.
Impacto potencial
Os usuários verão um prompt de caixa de diálogo para alterar a senha sempre que fizerem logon no domínio quando suas senhas estiverem configuradas para expirar em 14 dias ou menos.
Logon interativo: exigir autenticação de controlador de domínio para desbloqueio de estação de trabalho
As informações de logon são exigidas para desbloquear um computador bloqueado. Para contas de domínio, a configuração Logon interativo: exigir autenticação de controlador de domínio para desbloqueio de estação de trabalho determina se é necessário contatar um controlador de domínio para desbloquear um computador. Se você ativar esta configuração, um controlador de domínio deverá autenticar a conta de domínio usada para desbloquear o computador. Se você desativar esta configuração, a confirmação das informações de logon com um controlador de domínio não será exigida para um usuário desbloquear o computador. No entanto, se você definir a configuração Logon interativo: número de logons anteriores para armazenar em cache (caso o controlador de domínio não esteja disponível) com um valor maior que zero, as credenciais armazenadas em cache do usuário serão usadas para desbloquear o computador.
Observação: essa configuração se aplica a computadores que executam o Windows 2000, mas não está disponível por meio das ferramentas do Gerenciador de Configuração de Segurança nesses computadores.
Os valores possíveis para a configuração Logon interativo: exigir autenticação de controlador de domínio para desbloqueio de estação de trabalho são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Por padrão, o computador armazena em cache na memória as credenciais de quaisquer usuários que sejam autenticados localmente. Ele usará essas credenciais para autenticar qualquer pessoa que tente desbloquear o console. Quando as credenciais em cache são usadas, quaisquer alterações feitas recentemente à conta—como atribuições de direitos de usuário, bloqueio de conta,ou desativação da conta—não são consideradas ou aplicadas depois que a conta é autenticada. Os privilégios de usuário não são atualizados, e (o que é mais importante) contas desativadas ainda podem desbloquear o console do computador.
Contramedida
Defina a configuração Logon interativo: exigir autenticação de controlador de domínio para desbloqueio de estação de trabalho como Ativado e Logon interativo: número de logons anteriores para armazenar em cache (caso o controlador de domínio não esteja disponível) como 0.
Impacto potencial
Quando o console de um computador for bloqueado, por um usuário ou automaticamente pelo tempo limite de uma proteção de tela, ele só poderá ser desbloqueado se o usuário conseguir autenticar-se novamente no controlador de domínio. Se não houver um controlador de domínio disponível, os usuários não poderão desbloquear suas estações de trabalho. Se você definir a configuração Logon interativo: número de logons anteriores para armazenar em cache (caso o controlador de domínio não esteja disponível) como 0 , usuários cujos controladores de domínio estejam indisponíveis (como usuários móveis ou remotos) não serão capazes de fazer logon.
Logon interativo: requer um cartão inteligente
Esta configuração de diretiva exige que os usuários façam logon em um computador com um cartão inteligente.
Observação: essa configuração se aplica a computadores que executam o Windows 2000, mas não está disponível por meio das ferramentas do Gerenciador de Configuração de Segurança nesses computadores.
Os valores possíveis para a configuração Logon interativo: requer um cartão inteligente são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Exigir que os usuários usem senhas longas e complexas para se autenticarem melhora a segurança da rede, especialmente se eles puderem alterar suas senhas regularmente. Isso reduz a chance de um invasor conseguir adivinhar a senha de um usuário por meio de um ataque de força bruta. No entanto, é difícil fazer os usuários escolherem senhas fortes, e mesmo senhas fortes estarão vulneráveis a ataques de força bruta se o invasor tiver tempo e recursos de computação suficientes. O uso de cartões inteligentes em vez de senhas para autenticação aumenta drasticamente a segurança, porque a tecnologia atual torna quase impossível que um invasor personifique outro usuário. Os cartões inteligentes requerem que os números de identificação pessoal, chamados PINs, ofereçam uma autenticação com dois fatores. Em outras palavras, o usuário deve ter o cartão inteligente e saber seu PIN. Um invasor que capture o tráfego de autenticação entre o computador do usuário e o controlador de domínio achará extremamente difícil descriptografar o tráfego e, mesmo que o faça, da próxima vez que o usuário se conectar à rede, uma nova chave de sessão será gerada para criptografar o tráfego entre o usuário e o controlador do domínio.
Contramedida
Para contas confidenciais, emita cartões inteligentes para os usuários e defina a configuração Logon interativo: requer um cartão inteligente como Ativado.
Impacto potencial
Todos os usuários terão que usar cartões inteligentes para fazer logon na rede, o que significa que a empresa precisará ter uma PKI (Infra-estrutura de Chave Pública) confiável em funcionamento, cartões inteligentes e leitores de cartões inteligentes para todos os usuários. Esses requisitos são desafios significativos, porque são necessários experiência e recursos para planejar e implantar essas tecnologias. No entanto, o Windows Server 2003 inclui Serviços de certificados, um serviço extremamente avançado para implantação e gerenciamento de certificados. Quando os Serviços de certificados são combinados com o Windows XP, recursos como usuário automático e inscrição e renovação do computador tornam-se disponíveis.
Logon interativo: comportamento de remoção de cartão inteligente
Esta configuração de diretiva determina o que deve ocorrer quando o cartão inteligente de um usuário que fez logon for removido da leitora de cartão inteligente.
Os valores possíveis para a configuração Logon interativo: comportamento de remoção de cartão inteligente são:
Nenhuma ação
Bloquear Estação de Trabalho
Forçar logoff
Não Definido
Vulnerabilidade
Se forem usados cartões inteligentes para a autenticação, o computador deverá se bloquear sozinho quando o cartão for removido. Esta abordagem evitará que usuários mal-intencionados acessem os computadores de usuários que tenham se esquecido de travar manualmente suas estações de trabalhos quando estão longe delas.
Contramedida
Defina a configuração Comportamento de remoção de cartão inteligente como Bloquear estação de trabalho.
Se você selecionar Bloquear estação de trabalho na caixa de diálogo Propriedades para esta configuração de diretiva, a estação de trabalho será bloqueada quando o cartão inteligente for removido. Os usuários podem deixar a área, levar o cartão inteligente com eles e ainda manter uma sessão protegida.
Se você selecionar Forçar logoff na caixa de diálogo Propriedades desta configuração de diretiva, o usuário será desconectado automaticamente quando o cartão inteligente for removido.
Impacto potencial
Os usuários precisarão inserir novamente seus cartões inteligentes e digitar novamente seus PINs quando retornarem a suas estações de trabalho.
Cliente e servidor de rede Microsoft: assinar digitalmente a comunicação (quatro configurações relacionadas)
Há quatro configurações separadas que se relacionam a assinaturas digitais para comunicações de SMB (Server Message Block):
Cliente de rede Microsoft: assinar digitalmente a comunicação (sempre)
Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre)
Cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar)
Servidor de rede Microsoft: assinar digitalmente a comunicação (se o cliente concordar)
Os valores possíveis para cada uma dessas configurações de diretiva são:
Ativado
Desativado
Não Definido
Vulnerabilidade
A implementação de assinaturas digitais em redes de alta segurança ajuda a impedir a representação ilegal de clientes e servidores. Este tipo de representação é conhecido como seqüestro de sessão e usa ferramentas que permitem aos invasores que têm acesso à mesma rede que o cliente ou servidor interrompam, encerrem ou roubem uma sessão em progresso. É possível que os invasores interceptem e modifiquem pacotes SMB não assinados e, depois, alterem o tráfego e o encaminhem de modo que o servidor execute ações indesejáveis. Outra alternativa é o invasor se passar pelo servidor ou pelo cliente após uma autenticação legítima e obter acesso não autorizado aos dados.
SMB é o protocolo de compartilhamento de recursos suportado por muitos sistemas operacionais da Microsoft. É a base do protocolo NetBIOS e de vários outros. As assinaturas de SMB autenticam tanto usuários como os servidores que hospedam os dados. Se um dos lados falhar no processo de autenticação, a transmissão dos dados não ocorrerá.
Observação: uma contramedida alternativa que pode proteger todo o tráfego da rede seria implementar assinaturas digitais com IPSec. Existem aceleradores baseados em hardware para criptografia e assinatura IPSec que podem ser usados para minimizar o impacto no desempenho das CPUs de servidor. Nenhum desses aceleradores está disponível para assinatura SMB.
Contramedida
Defina as configurações desta forma:
Cliente de rede Microsoft: assinar digitalmente a comunicação (sempre) como Desativado
Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre) como Desativado
Cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar) como Ativado
Servidor de rede Microsoft: assinar digitalmente a comunicação (se o cliente concordar) como Ativado.
Alguns recursos recomendam que você defina todas essas configurações como Ativado. No entanto, essa configuração pode causar um desempenho mais lento em computadores clientes e impedir a comunicação com aplicativos e sistemas operacionais SMB herdados.
Impacto potencial
As implementações de Windows 2000 Server, Windows 2000 Professional, Windows Server 2003 e Windows XP Professional do protocolo de compartilhamento de arquivos e impressão SMB dão suporte à autenticação mútua, que impede ataques de seqüestro de sessão e dá suporte à autenticação de mensagens, impedindo ataques de interceptação. A assinatura SMB fornece essa autenticação colocando uma assinatura digital em cada pacote SMB que, depois, é verificada tanto pelo cliente quanto pelo servidor. A implementação de assinatura SMB pode afetar negativamente o desempenho, porque cada pacote precisa ser assinado e verificado. Se você configurar os computadores para ignorar todas as comunicações SMB sem assinatura, os aplicativos e sistemas operacionais mais antigos não serão capazes de se conectar. Se você desativar completamente toda a assinatura SMB, os computadores estarão vulneráveis a ataques de seqüestro de sessão.
Cliente de rede Microsoft: enviar senha não criptografada para conectar-se a servidores SMB de outro fabricante
Esta configuração de diretiva permite que o redirecionador SMB envie senhas de texto sem formatação a servidores SMB não pertencentes à Microsoft que não oferecem suporte à criptografia de senha durante a autenticação.
Os valores possíveis para a configuração Cliente de rede Microsoft: enviar senha não criptografada para conectar-se a servidores SMB de outro fabricante são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Se você ativar esta configuração de diretiva, o servidor poderá transmitir senhas em texto sem formatação através da rede a outros computadores que ofereçam serviços SMB. Esses outros computadores podem não usar quaisquer dos mecanismos de segurança SMB que são incluídos no Windows Server 2003.
Contramedida
Defina a configuração Cliente de rede Microsoft: Enviar senha não criptografada para conectar-se a servidores SMB de outro fabricante como Desativado.
Impacto potencial
Alguns aplicativos e sistemas operacionais muito antigos, como o MS-DOS, o Windows para Workgroups 3.11 e o Windows 95a, talvez não sejam capazes de se comunicar com os servidores da sua organização por meio de um protocolo SMB.
Servidor de rede Microsoft: período de tempo ocioso necessário antes de desconectar a sessão
Esta configuração de diretiva determina a quantidade de tempo ocioso contínuo que deve decorrer em uma sessão SMB antes que a sessão seja suspendida por inatividade. Os administradores podem usar essa configuração de diretiva para controlar quando um computador suspenderá uma sessão SMB inativa. A sessão será restabelecida automaticamente quando a atividade do cliente for retomada. Um valor de 0 desconectará uma sessão ociosa o mais rápido possível. O valor máximo é 99999, que é 208 dias; na verdade, esta definição desativa a configuração.
Os valores possíveis para a configuração Servidor de rede Microsoft: período de tempo ocioso necessário antes de desconectar a sessão são:
Período de tempo, em minutos, definido pelo usuário
Não Definido
Vulnerabilidade
Cada sessão SMB consome recursos do servidor, e numerosas sessões inválidas tornarão o servidor lento ou causarão sua falha. Um invasor pode repetidamente estabelecer sessões SMB até que os serviços SMB do servidor tornam-se lentos ou deixem de responder.
Contramedida
Defina a configuração Servidor de rede Microsoft: Período de tempo ocioso necessário antes de desconectar a sessão como 15 minutos.
Impacto potencial
Haverá pouco impacto porque as sessões SMB serão restabelecidas automaticamente se o cliente retomar sua atividade.
Servidor de rede Microsoft: desconectar clientes após o término do tempo de logon
Essa configuração de diretiva determina se deve-se desconectar usuários que estejam conectados ao computador local fora de seus horários válidos de logon da conta de usuário. Ela afeta o componente SMB. Se você ativar esta configuração de diretiva, as sessões do cliente com o serviço SMB serão forçosamente desconectadas quando o horário de logon do cliente expirar. Se você desativar essa configuração de diretiva, as sessões do cliente estabelecidas serão mantidas depois que as horas de logon do cliente expirarem. Se você ativar esta configuração de diretiva deve ativar também Segurança de rede: forçar logoff quando o horário de logon terminar.
Os valores possíveis para Servidor de rede Microsoft: desconectar clientes após o término do tempo de logon são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Se sua organização configurar um horário de logon para os usuários, então faz sentido ativar essa diretiva. Caso contrário, usuários que não devem ter acesso a recursos de rede fora de seus horários de logon poderão na verdade continuar a usar esses recursos com sessões que foram estabelecidas durante horários permitidos.
Contramedida
Ative a configuração Servidor de rede Microsoft: desconectar clientes após o término do tempo de logon.
Impacto potencial
Se o horário de logon não for usado na organização, ativar essa configuração de diretiva não terá efeito algum. Se o horário de logon for usado, então as sessões de usuário existentes serão encerradas obrigatoriamente quando o horário acabar.
Acesso à rede: permitir conversão SID/NOME anônima
Esta configuração de diretiva determina se um usuário anônimo pode solicitar atributos SID para outro usuário.
Os valores possíveis para a configuração Acesso à rede: permitir SID anônimo/conversão de nomes são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Se esta configuração de diretiva estiver ativada, um usuário com acesso local pode usar o SID conhecido do Administrador para descobrir o nome real da conta Administrador interna, ainda que ela tenha sido renomeada. Essa pessoa poderia então usar o nome da conta para iniciar um ataque de detecção de senha.
Contramedida
Defina a configuração Acesso à rede: permitir SID anônimo/conversão de nomes como Desativado.
Impacto potencial
Desativado é a configuração padrão para esta diretiva em computadores membros; assim, ela não terá impacto sobre eles. A configuração padrão dos controladores de domínio é Ativado. Se você desativar esta configuração de diretiva em controladores de domínio, os computadores herdados poderão ser incapazes de se comunicar com domínios baseados em Windows Server 2003. Por exemplo, pode ser que os computadores a seguir não funcionem:
Servidores do serviço de acesso remoto do Microsoft Windows NT 4.0.
Microsoft SQL Servers™ executados em computadores baseados em Windows NT 3.x ou Windows NT 4.0.
Servidores do serviço de acesso remoto ou Microsoft SQL executados em computadores com Windows 2000 e localizados em domínios do Windows NT 3.x ou em domínios do Windows NT 4.0.
Acesso à rede: não permitir enumeração anônima de contas SAM
Esta configuração de diretiva determina que permissões adicionais serão concedidas a conexões anônimas ao computador. O Windows permite que usuários anônimos executem determinadas atividades, como a enumeração de nomes para contas de domínio e compartilhamentos de rede. Esse recurso é conveniente, por exemplo, quando um administrador deseja conceder acesso a usuários em um domínio confiável que não mantenha uma confiança recíproca. Entretanto, mesmo com a configuração ativada, os usuários anônimos ainda terão acesso a quaisquer recursos que possuam permissões que incluam explicitamente a permissão interna especial do grupo LOGON ANÔNIMO.
No Windows 2000, uma configuração de diretiva semelhante chamada Restrições adicionais para conexões anônimas gerenciava um valor do Registro denominado RestrictAnonymous localizado na chave do Registro HKLM\SYSTEM\CurrentControlSet\Control\LSA. No Windows Server 2003, as configurações de diretiva Acesso à rede: não permitir enumeração anônima de contas SAM e Acesso à rede: não permitir enumeração anônima de contas e compartilhamentos SAM substituem a configuração de diretiva do Windows 2000. Elas gerenciam, respectivamente, os valores de Registro RestrictAnonymousSAM e RestrictAnonymous, ambos localizados na chave de Registro HKLM\System\CurrentControlSet\Control\Lsa\.
Os valores possíveis para a configuração Acesso à rede: não permitir enumeração anônima de contas SAM são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Um usuário não autorizado poderia listar anonimamente nomes de contas e usar essas informações para executar ataques de engenharia social ou tentar decifrar senhas. (Ataques de engenharia social tentam enganar os usuários de forma a obter senhas ou alguma forma de informação de segurança.)
Contramedida
Defina a configuração Acesso à rede: não permitir enumeração anônima de contas SAM como Ativado.
Impacto potencial
Será impossível estabelecer confianças com os domínios baseados em Windows NT 4.0. Além disso, os computadores clientes que executam versões mais antigas do sistema operacional Windows, como Windows NT 3.51 e Windows 95 enfrentarão problemas quando tentarem usar recursos no servidor.
Acesso à rede: não permitir enumeração anônima de contas e compartilhamentos SAM
Esta configuração de diretiva determina se a enumeração anônima de contas e compartilhamentos SAM (Gerenciador de contas de segurança) é permitida. Como definido na seção anterior, o Windows permite que usuários anônimos executem determinadas atividades, como a enumeração de nomes para contas de domínio e compartilhamentos de rede. Esse recurso é conveniente, por exemplo, quando um administrador deseja conceder acesso a usuários em um domínio confiável que não mantenha uma confiança recíproca. Você pode ativar esta diretiva de configuração se não quiser permitir a enumeração anônima de contas e compartilhamentos SAM. Entretanto, mesmo com a configuração ativada, os usuários anônimos ainda terão acesso a quaisquer recursos com permissões que incluam explicitamente a permissão interna especial do grupo LOGON ANÔNIMO.
No Windows 2000, uma configuração de diretiva semelhante chamada Restrições adicionais para conexões anônimas gerenciava um valor do Registro denominado RestrictAnonymous localizado na chave do Registro HKLM\SYSTEM\CurrentControlSet\Control\LSA. No Windows Server 2003, as configurações de diretiva Acesso à rede: não permitir enumeração anônima de contas SAM e Acesso à rede: não permitir enumeração anônima de contas e compartilhamentos SAM substituem a configuração de diretiva do Windows 2000. Elas gerenciam, respectivamente, os valores de Registro RestrictAnonymousSAM e RestrictAnonymous, ambos localizados na chave de Registro HKLM\System\CurrentControlSet\Control\Lsa\.
Os valores possíveis para a configuração Acesso à rede: não permitir enumeração anônima de contas e compartilhamentos SAM são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Um usuário não autorizado pode listar anonimamente os nomes de conta e recursos compartilhados, bem como usar as informações para tentar detectar senhas ou executar ataques de engenharia social.
Contramedida
Defina a configuração Acesso à rede: não permitir enumeração anônima de contas e compartilhamentos SAM como Ativado.
Impacto potencial
Será impossível conceder acesso aos usuários de outro domínio por uma confiança unidirecional, pois os administradores nos domínios confiantes não serão capazes de enumerar as listas de contas em outro domínio. Usuários que acessam anonimamente servidores de arquivos e de impressão não conseguirão listar recursos de rede compartilhados nesses mesmos servidores. Eles terão de se autenticar antes de exibir as listas de pastas e impressoras compartilhadas.
Acesso à rede: não permitir o armazenamento de credenciais ou Passports .NET para autenticação de rede
Esta configuração de diretiva determina se o recurso Nomes de usuário e senhas armazenados pode salvar senhas ou credenciais para uso posterior quando é autenticado pelo domínio. Se você ativar esta configuração de diretiva, o recurso Nomes de usuário e senhas armazenados do Windows não armazenará senhas e credenciais.
Os valores possíveis para a configuração Acesso à rede: não permitir o armazenamento de credenciais ou Passports .NET para autenticação de rede são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Senhas armazenadas em cache podem ser acessadas pelo usuário quando ele fizer logon no computador. Embora esta informação possa parecer óbvia, pode ocorrer um problema se o usuário inconscientemente executar um código hostil que leia senhas e as encaminhe a outro usuário não autorizado.
Observação: as possibilidades de êxito para esta exploração e outras que envolvam código hostil serão reduzidas significativamente para organizações que implementem e gerenciem eficientemente uma solução antivírus empresarial combinada a diretivas de restrição de software sensatas. Para obter mais informações sobre as diretivas de restrição de software, consulte o Capítulo 8, “Diretivas de restrição de software”.
Contramedida
Defina a configuração Acesso à rede: não permitir o armazenamento de credenciais ou Passports. NET para autenticação de rede como Ativado.
Impacto potencial
Os usuários serão forçados a digitar a senha todas as vezes que fizerem logon em sua conta do Passport ou em outros recursos de rede que não estejam accessíveis à sua conta de domínio. Esta configuração de diretiva não deve ter nenhum impacto em usuários que acessem recursos de rede que estão configurados para permitir acesso com sua conta de domínio baseada no Active Directory.
Acesso à rede: deixar que as permissões de todos os usuários sejam aplicadas a usuários anônimos
Esta configuração de diretiva determina que permissões adicionais serão concedidas a conexões anônimas ao computador. Se você ativar esta configuração de diretiva, os usuários anônimos poderão enumerar os nomes de contas de domínio e compartilhamento de rede e executar algumas outras atividades. Esse recurso é conveniente, por exemplo, quando um administrador deseja conceder acesso a usuários em um domínio confiável que não mantenha uma confiança recíproca.
Por padrão, o token criado para conexões anônimas não inclui o SID do grupo Todos. Portanto, as permissões atribuídas ao grupo Todos não se aplicam a usuários anônimos. Se você ativar esta configuração de diretiva, o SID de Todos será adicionado ao token que é criado para conexões anônimas, e os usuários anônimos poderão acessar qualquer recurso para o qual o grupo Todos tenha recebido permissões.
Os valores possíveis para a configuração Acesso à rede: deixar que as permissões de todos os usuários sejam aplicadas a usuários anônimos são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Um usuário não autorizado pode listar anonimamente os nomes de conta e recursos compartilhados, bem como usar as informações para tentar adivinhar senhas, executar ataques de engenharia social ou iniciar ataques de negação de serviço.
Contramedida
Defina a configuração Acesso à rede: deixar que as permissões de todos os usuários sejam aplicadas a usuários anônimos como Desativado.
Impacto potencial
Nenhum. Essa é a configuração padrão.
Acesso à rede: pipes nomeados acessíveis anonimamente
Esta configuração de diretiva determina quais sessões de comunicação, ou pipes, terão atributos e permissões que possibilitam acesso anônimo.
Os valores possíveis para a configuração Acesso à rede: pipes nomeados acessíveis anonimamente são:
Lista de compartilhamentos definida pelo usuário
Não Definido
Para que esta configuração de diretiva tenha efeito, você deve ativar também a configuração Acesso à rede: acesso anônimo restrito a pipes nomeados e compartilhamentos.
Vulnerabilidade
Você pode restringir o acesso por pipes nomeados como COMNAP e LOCATOR para ajudar a impedir o acesso não autorizado à rede. A lista padrão de pipes nomeados e seu propósito é fornecida na tabela seguinte.
Tabela 5.1: Pipes nomeados padrão que são acessíveis anonimamente
Pipe nomeado |
Finalidade |
|---|---|
COMNAP |
Pipe nomeado SNABase. A SNA (Systems Network Architecture) é uma coleção de protocolos de rede originalmente desenvolvidos para mainframes da IBM. |
COMNODE |
Pipe nomeado do SNA Server. |
SQL\QUERY |
Pipe nomeado padrão para SQL Server. |
SPOOLSS |
Pipe nomeado para o serviço Spooler de impressão. |
EPMAPPER |
Pipe nomeado do Mapeador de pontos de extremidade. |
LOCATOR |
Pipe nomeado do serviço Localizador da Chamada de procedimento remoto. |
TrkWks |
Pipe nomeado do cliente de rastreamento de link distribuído |
TrkSvr |
Pipe nomeado do servidor de rastreamento de link distribuído |
Contramedida
Defina a configuração Acesso à rede: pipes nomeados acessíveis anonimamente como um valor nulo (ativa a configuração mas não insere pipes nomeados na caixa de texto).
Impacto potencial
Esta configuração desativará o acesso a sessões nulas por meio de pipes nomeados, e os aplicativos que dependem desse recurso ou do acesso não autenticado aos pipes nomeados não funcionarão mais. Por exemplo, com o Microsoft Commercial Internet System 1.0, o Internet Mail Service é executado no processo Inetinfo. O Inetinfo é iniciado no contexto da conta Sistema. Quando os serviços de email na Internet precisam consultar o banco de dados do Microsoft SQL Server, eles usam a conta Sistema, a qual utiliza credenciais nulas para acessar um pipe SQL no computador que executa o SQL Server.
Para evitar este problema, consulte o artigo do Microsoft Knowledge Base “How to access network files from IIS applications”, localizado em https://support.microsoft.com/default.aspx?scid=207671.
Acesso à rede: caminhos do registro acessíveis remotamente
Esta configuração de diretiva determina quais caminhos do Registro serão acessíveis quando um aplicativo ou processo referir-se à chave WinReg para determinar permissões de acesso.
Os valores possíveis para a configuração Acesso à rede: caminhos do registro acessíveis remotamente são:
Lista de caminhos definida pelo usuário
Não Definido
Vulnerabilidade
O Registro é um banco de dados que contém informações de configuração do computador, e muitas dessas informações são confidenciais. Um invasor poderá usar essas informações para facilitar atividades não autorizadas. Para reduzir o risco desse tipo de ataque, são atribuídas ACLs adequadas em todo o Registro a fim de protegê-lo contra o acesso de usuários não autorizados.
Contramedida
Defina a configuração Acesso à rede: caminhos do Registro acessíveis remotamente como um valor nulo (ative a configuração mas não insira quaisquer caminhos na caixa de texto).
Impacto potencial
Ferramentas de gerenciamento remoto como o Microsoft Baseline Security Analyzer e o Microsoft Systems Management Server requerem o acesso remoto ao Registro, a fim de monitorar e gerenciar esses computadores de forma apropriada. Se você remover os caminhos do Registro padrão da lista de caminhos acessíveis, essas ferramentas de gerenciamento remoto podem falhar.
Observação: caso você deseje permitir o acesso remoto, será preciso ativar o serviço Registro Remoto.
Acesso à rede: caminhos e subcaminhos do Registro acessíveis remotamente
Esta configuração de diretiva determina quais caminhos e subcaminhos do Registro serão acessíveis quando um aplicativo ou processo referir-se à chave WinReg para determinar permissões de acesso.
Os valores possíveis para a configuração Acesso à rede: Caminhos e subcaminhos do Registro acessíveis remotamente são:
Lista de caminhos definida pelo usuário
Não Definido
Vulnerabilidade
Como definido anteriormente, o Registro contém informações de configuração de computador confidenciais que podem ser usadas por um invasor para facilitar atividades não autorizadas. O fato que as ACLs padrão atribuídas em todo o Registro sejam bastante restritivas e ajudem a proteger o Registro do acesso por usuários não autorizados reduz o risco de tal ataque.
Contramedida
Defina a configuração Acesso à rede: caminhos e subcaminhos do Registro acessíveis remotamente como um valor nulo (ative a configuração mas não insira quaisquer caminhos na caixa de texto).
Impacto potencial
Ferramentas de gerenciamento remoto como o Microsoft Baseline Security Analyzer e o Microsoft Systems Management Server requerem o acesso remoto ao Registro, a fim de monitorar e gerenciar esses computadores de forma apropriada. Se você remover os caminhos do Registro padrão da lista de caminhos acessíveis, essas ferramentas de gerenciamento remoto podem falhar.
Observação: caso você deseje permitir o acesso remoto, será preciso ativar o serviço Registro Remoto.
Acesso à rede: acesso anônimo restrito a pipes nomeados e compartilhamentos
Quando ativada, esta configuração de diretiva restringe o acesso anônimo a somente os compartilhamentos e pipes que são nomeados nas configurações Acesso à rede: pipes nomeados acessíveis anonimamente e Acesso à rede: compartilhamentos acessíveis anonimamente. Esta configuração de diretiva controla o acesso a sessões nulas a compartilhamentos em seus computadores adicionando RestrictNullSessAccess com o valor 1 na chave de Registro HKLM\System\CurrentControlSet\Services\LanManServer\Parameters. Este valor do Registro alterna compartilhamentos de sessão nulos para controlar se o serviço do servidor restringe o acesso não autenticado dos clientes a recursos nomeados.
Os valores possíveis para a configuração Acesso à rede: acesso anônimo restrito a pipes nomeados e compartilhamentos são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Sessões nulas são uma fraqueza que pode ser explorada por meio de compartilhamentos (incluindo os compartilhamentos padrão) em computadores de seu ambiente.
Contramedida
Defina a configuração Acesso à rede: acesso anônimo restrito a pipes nomeados e compartilhamentos como Ativado.
Impacto potencial
Você pode ativar esta configuração de diretiva para restringir o acesso a sessões nulas para usuários não autenticados a todos os pipes de servidor e compartilhamentos, aqueles listados nas entradas NullSessionPipes e NullSessionShares.
Acesso à rede: compartilhamentos acessíveis anonimamente
Esta configuração de diretiva determina quais compartilhamentos de rede podem ser acessados por usuários anônimos.
Os valores possíveis para a configuração Acesso à rede: compartilhamentos acessíveis anonimamente são:
Lista de compartilhamentos definida pelo usuário
Não Definido
Vulnerabilidade
É muito perigoso ativar esta configuração. Quaisquer compartilhamentos que estejam listados podem ser acessados por qualquer usuário da rede, o que pode levar à exposição ou corrupção de dados confidenciais.
Contramedida
Defina a configuração Acesso à rede: compartilhamentos acessíveis anonimamente com um valor nulo.
Impacto potencial
Haverá um pequeno impacto porque essa é a configuração padrão. Somente usuários autenticados terão acesso a recursos compartilhados no servidor.
Acesso à rede: compartilhamento e modelo de segurança para contas locais
Esta configuração de diretiva determina como logons na rede que usam contas locais são autenticados. Se você configurar esta diretiva como Clássico, os logons na rede que usam credenciais de conta local autenticarão com essas credenciais. Se você configurá-la como Somente convidados, os logons na rede que usarem contas locais serão automaticamente mapeados para a conta Convidado. O modelo Clássico fornece controle preciso sobre o acesso a recursos e permite conceder tipos de acessos diferentes a usuários diferentes para o mesmo recurso. Contrariamente, o modelo Somente convidados trata todos os usuários igualmente como a conta de usuário Convidado, e todos recebem o mesmo nível de acesso dado a um recurso, que pode ser Somente leitura ou Modificar.
A configuração padrão do Windows XP Professional autônomo é Somente convidados. O padrão para computadores Windows XP, adicionados a um domínio e computadores Windows Server 2003 é o Clássico.
Observação: essa configuração de diretiva não afeta os logons na rede que usam contas de domínio. Ela também não afeta os logons interativos que são efetuados remotamente por meio de serviços como o Telnet ou os Serviços de terminal.
Quando o computador não é adicionado a um domínio, essa configuração de diretiva também ajusta as guias Compartilhamento e Segurança do Windows Explorer para que elas correspondam ao modelo de compartilhamento e segurança usado.
Esta configuração não afeta computadores Windows 2000.
Os valores possíveis para a configuração Acesso à rede: compartilhamento e modelo de segurança para contas locais são:
Clássico. Os usuários locais são autenticados como eles mesmos.
Somente convidados. Os usuários locais são autenticados como Convidado.
Não Definido
Vulnerabilidade
Com o modelo Somente convidados, qualquer usuário que pode autenticar em seu computador pela rede o faz com privilégios de convidado, o que provavelmente significa que ele não terá acesso de gravação a recursos compartilhados nesse computador. Embora esta restrição aumente a segurança, ela torna mais difícil que usuários autorizados acessem recursos compartilhados nesses computadores, porque as ACLs desses recursos devem incluir entradas de controle de acesso (ACEs) para a conta Convidado. Com o modelo Clássico, as contas locais devem ser protegidas por senha. Caso contrário, se o acesso de Convidado estiver ativado, qualquer pessoa poderá usar esses contas de usuário para acessar recursos de sistema compartilhados.
Contramedida
Para servidores de rede, defina a configuração Acesso à rede: compartilhamento e modelo de segurança para contas locais como Clássico – os usuários locais são autenticados como eles próprios. Em computadores de usuário final, defina esta configuração de diretiva como Somente convidados – usuários locais autenticados como Convidados.
Impacto potencial
Nenhum. Essa é a configuração padrão.
Segurança de rede: não armazenar o valor de hash do LAN Manager na próxima alteração de senha
Esta configuração de diretiva determina se o LAN Manager pode armazenar valores de hash para a nova senha na próxima vez em que a senha for alterada.
Os valores possíveis para a configuração Acesso à rede: não armazenar o valor de hash do LAN Manager na próxima alteração de senha são:
Ativado
Desativado
Não Definido
Vulnerabilidade
O arquivo SAM pode ser alvo de invasores que procurem acesso a hashes de nome de usuário e senha. Esses ataques usam ferramentas especiais para violar senhas, que então podem ser usadas para representar usuários e obter-se acesso a recursos em sua rede. Esses tipos de ataques não serão impedidos se você ativar esta configuração de diretiva, mas será muito mais difícil que tenham êxito.
Contramedida
Defina a configuração Acesso à rede: não armazenar o valor de hash do LAN Manager na próxima alteração de senha como Ativado. É necessário que todos os usuários definam novas senhas na próxima vez que fizerem logon no domínio, de modo que os hashes do LAN Manager sejam removidos.
Impacto potencial
Sistemas operacionais anteriores, como Windows 95, Windows 98 e Windows ME, bem como alguns aplicativos de terceiros, falharão.
Segurança de rede: forçar logoff quando o horário de logon terminar
Essa configuração de diretiva determina se deve-se desconectar usuários que estejam conectados ao computador local fora de seus horários válidos de logon da conta de usuário. Ela afeta o componente SMB. Se você ativar esta configuração de diretiva, as sessões do cliente com o servidor SMB serão forçosamente desconectadas quando o horário de logon do cliente expirar. Se você desativar essa configuração de diretiva, as sessões do cliente estabelecidas serão mantidas depois que as horas de logon do cliente expirarem.
Os valores possíveis para a configuração Acesso à rede: forçar logoff quando o horário de logon terminar são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Se você desativar esta configuração de diretiva, um usuário pode permanecer conectado ao computador fora de seu horário de logon atribuído.
Contramedida
Defina a configuração Acesso à rede: forçar logoff quando o horário de logon terminar como Ativado. Essa configuração de diretiva não se aplica a contas de administrador.
Impacto potencial
Quando o horário de logon de um usuário expira, as sessões SMB são encerradas. O usuário não poderá fazer logon no computador até que seu próximo horário de acesso agendado comece.
Segurança de rede: nível de autenticação LAN Manager
LM (LAN Manager) é uma família de softwares cliente/servidor antigos da Microsoft que permite aos usuários vincularem computadores pessoais em uma única rede. Os recursos de rede incluem o compartilhamento de arquivos transparentes e impressoras, recursos de segurança do usuário e ferramentas de administração da rede. Em domínios do Active Directory, o protocolo Kerberos é o protocolo de autenticação padrão. No entanto, se o protocolo Kerberos não for negociado por alguma razão, o Active Directory usará LM, NTLM ou NTLMv2.
A autenticação do LAN Manager inclui as variantes LM, NTLM e o NTLM versão 2 (NTLMv2), e é o protocolo usado para autenticar todos os clientes Windows quando eles executam as seguintes operações:
Ingresso em um domínio
Autenticação entre florestas do Active Directory
Autenticação em domínios de nível inferior
Autenticação em computadores que não executem Windows 2000, Windows Server 2003 ou Windows XP)
Autenticação em computadores que não estão no domínio
Os valores possíveis para a configuração Acesso à rede: nível de autenticação LAN Manager são:
Enviar respostas LM e NTLM
Enviar LM e NTLM - use a segurança da sessão NTLMv2, se estiver negociada
Enviar somente respostas NTLM
Enviar somente respostas NTLMv2
Enviar somente respostas NTLMv2\recusar LM
Enviar somente respostas NTLMv2\recusar LM e NTLM
Não Definido
A configuração Segurança de rede: nível de autenticação LAN Manager determina o uso do protocolo de autenticação de desafio/resposta para logons na rede. Essa opção afeta o nível de protocolo de autenticação usado por clientes, o nível de segurança da sessão negociado pelos computadores e o nível de autenticação aceito por servidores, conforme indicado a seguir:
Enviar respostas LM e NTLM. Os clientes usam a autenticação LM e NTLM e jamais utilizam a segurança da sessão NTLMv2. Os controladores de domínio aceitam a autenticação LM, NTLM e NTLMv2.
Enviar LM e NTLM - use a segurança da sessão NTLMv2, se estiver negociada. os clientes usam a autenticação LM e NTLM e utilizarão a segurança da sessão NTLMv2 caso ela conte com o suporte do servidor. Os controladores de domínio aceitam a autenticação LM, NTLM e NTLMv2.
Enviar somente resposta NTLM. os clientes usam a autenticação NTLM e só utilizarão a segurança de sessão NTLMv2 caso ela conte com o suporte do servidor. Os controladores de domínio aceitam a autenticação LM, NTLM e NTLMv2.
Enviar somente resposta NTLMv2. os clientes usam a autenticação NTLMv2 e só utilizarão a segurança da sessão NTLMv2 caso ela conte com o suporte do servidor. Os controladores de domínio aceitam a autenticação LM, NTLM e NTLMv2.
Enviar somente resposta NTLMv2\recusar LM. os clientes usam a autenticação NTLMv2 e só utilizarão a segurança da sessão NTLMv2 caso ela conte com o suporte do servidor. Os controladores de domínio recusam a autenticação LM (aceitam apenas a autenticação NTLM e NTLMv2).
Enviar somente resposta NTLMv2\recusar LM e NTLM. os clientes usam a autenticação NTLMv2 e só utilizarão a segurança da sessão NTLMv2 caso ela conte com o suporte do servidor. Os controladores de domínio recusam a autenticação LM e NTLM (aceitam apenas a autenticação NTLMv2).
Essas configurações correspondem aos níveis abordados em outros documentos da Microsoft conforme segue abaixo:
Nível 0 - Enviar somente resposta LM e NTLM; jamais use a segurança da sessão NTLMv2. Os clientes usam a autenticação LM e NTLM e jamais utilizam a segurança da sessão NTLMv2. Os controladores de domínio aceitam a autenticação LM, NTLM e NTLMv2.
Nível 1 - Usar a segurança da sessão NTLMv2, se estiver negociada. Os clientes usam a autenticação LM e NTLM e utilizarão a segurança da sessão NTLMv2 caso ela conte com o suporte do servidor. Os controladores de domínio aceitam a autenticação LM, NTLM e NTLMv2.
Nível - Enviar somente resposta NTLM. Os clientes só usam a autenticação NTLM e utilizarão a segurança da sessão NTLMv2 caso ela conte com o suporte do servidor. Os controladores de domínio aceitam a autenticação LM, NTLM e NTLMv2.
Nível 3 - Enviar somente resposta NTLMv2. Os clientes só usam a autenticação NTLMv2 e utilizarão a segurança da sessão NTLMv2 caso ela conte com o suporte do servidor. Os controladores de domínio aceitam a autenticação LM, NTLM e NTLMv2.
Nível 4 - Controladores de domínio recusam respostas LM. Os clientes usam a autenticação NTLM e utilizarão a segurança da sessão NTLMv2 caso ela conte com o suporte do servidor. Os controladores de domínio recusam a autenticação LM, ou seja, eles aceitam a autenticação NTLM e NTLMv2.
Nível 5 - Controladores de domínio recusam respostas LM e NTLM (só aceitam NTLMv2). Os clientes usam a autenticação NTLMv2 e utilizarão a segurança da sessão NTLMv2 caso ela conte com o suporte do servidor. Os controladores de domínio recusam a autenticação LM e NTLM e só aceitam a autenticação NTLMv2.
Vulnerabilidade
Os clientes Windows 2000, Windows Server 2003 e Windows XP são configurados por padrão para enviar respostas de autenticação LM e NTLM (clientes Windows 9x só enviam LM). A configuração padrão em servidores permite que todos os clientes se autentiquem com servidores e usem seus recursos. Entretanto, isso significa que as respostas LM, o tipo mais fraco de resposta de autenticação, são enviadas pela rede e é possível que os invasores utilizem o sniffer no tráfego para reproduzir mais facilmente a senha do usuário.
Os sistemas operacionais Windows 9x e Windows NT não podem usar o protocolo Kerberos versão 5 para autenticação. Por essa razão, em um domínio Windows Server 2003, esses computadores se autenticam, por padrão, com os protocolos LM e NTLM para autenticação de rede. É possível aplicar um protocolo de autenticação mais seguro para Windows 9x e Windows NT por meio do NTLMv2. Para o processo de logon, o NTLMv2 usa um canal seguro para proteger o processo de autenticação. Ainda que você use o NTLMv2 para clientes e servidores herdados, os clientes e servidores baseados em Windows que sejam membros do domínio usarão o protocolo de autenticação Kerberos se autenticar com controladores de domínio do Windows Server 2003.
Para obter mais informações sobre como ativar o NTLMv2, consulte o artigo do Microsoft Knowledge Base “How to enable NTLM 2 authentication,” localizado em https://support.microsoft.com/default.aspx?scid=239869. O Microsoft Windows NT 4.0 exige o Service Pack 4 (SP4) para dar suporte ao NTLMv2, e plataformas Windows 9x precisam do cliente do serviço de diretório instalado para oferecer suporte ao NTLMv2.
Contramedida
Defina a configuração Segurança de rede: nível de autenticação LAN Manager como Enviar somente respostas NTLMv2. Esse nível de autenticação é altamente recomendado pela Microsoft e por várias empresas independentes desde que todos os clientes ofereçam suporte ao NTLMv2.
Impacto potencial
Os clientes que não oferecerem suporte à autenticação NTLMv2 não conseguirão se autenticar no domínio nem acessar os recursos do domínio usando o LM e o NTLM.
Observação: para obter informações sobre um hotfix para assegurar que esta configuração funcione em redes que incluam computadores Windows NT 4.0 e computadores Windows 2000, Windows XP e Windows Server 2003, consulte o artigo do Microsoft Knowledge Base “Authentication Problems in Windows 2000 with NTLM 2 Levels Above 2 in a Windows NT 4.0 Domain” em https://support.microsoft.com/default.aspx?scid=305379.
Segurança de rede: requisitos de assinatura de cliente LDAP
Esta configuração de diretiva determina o nível de assinatura de dados exigida em favor de clientes que emitem solicitações LDAP BIND, como se segue:
Nenhum. A solicitação LDAP BIND é emitida com as opções especificadas pelo chamador.
Negociar assinatura. Se o TLS/SSL (Transport Layer Security/Secure Sockets Layer) não for iniciado, a solicitação LDAP BIND será iniciada com a opção de assinatura de dados LDAP definida e com as opções especificadas pelo chamador. Se o TLS/SSL for iniciado, a solicitação LDAP BIND será iniciada apenas com as opções especificadas pelo chamador.
Requer assinatura. Este nível é o mesmo de Negociar assinatura. No entanto, se a resposta intermediária saslBindInProgress do servidor LDAP não indicar que a assinatura de tráfego LDAP é necessária, o chamador é informado de que a solicitação de comando LDAP BIND falhou.
Observação: esta configuração de diretiva não tem qualquer impacto em ldap_simple_bind ou ldap_simple_bind_s. Nenhum cliente LDAP Microsoft que esteja incluído no Windows XP Professional usa ldap_simple_bind ou ldap_simple_bind_s para se comunicar com um controlador de domínio.
Os valores possíveis para a configuração Segurança de rede: requisitos de assinatura de cliente LDAP são:
Nenhum
Negociar assinatura
Requer assinatura
Não Definido
Vulnerabilidade
O tráfego não assinado na rede é suscetível a ataques de interceptação, quando um invasor captura os pacotes entre o cliente e o servidor, os modifica e os encaminha ao servidor. Para um servidor LDAP, esta susceptibilidade significa que um invasor pode fazer com que um servidor tome decisões que são baseadas em dados falsos ou alterados das consultas LDAP. Para diminuir este risco em sua rede, você pode implementar medidas de segurança físicas fortes para proteger a infra-estrutura da rede. Além disso, pode dificultar todos os tipos de ataques de interceptação se exigir assinaturas digitais em todos os pacotes de rede por meio de cabeçalhos de autenticação IPsec.
Contramedida
Defina a configuração Segurança de rede: requisitos de assinatura de servidor LDAP como Requer assinatura.
Impacto potencial
Se você configurar o servidor para que ele exija assinaturas LDAP, também será preciso configurar o cliente. Se você não configurar o cliente, ele não será capaz de se comunicar com o servidor, o que pode fazer com que muitos recursos falhem, incluindo autenticação de usuário, Diretiva de Grupo e scripts de logon.
Segurança de rede: segurança mínima de sessão para clientes baseados em NTLM SSP (incluindo RPC seguro)
Esta configuração de diretiva permite que um computador cliente exija a negociação de confidencialidade de mensagem (criptografia), integridade de mensagem, criptografia de 128 bits ou segurança de sessão NTLMv2. Esses valores dependem do valor da configuração de diretiva Nível de autenticação LAN Manager.
Os valores possíveis para a configuração Segurança de rede: segurança mínima de sessão para clientes baseados em NTLM SSP (incluindo RPC seguro) são:
Requer sigilo de mensagem. Haverá falha na conexão caso a criptografia não seja negociada. A criptografia converte os dados em um formato no qual eles não podem ser lidos até que sejam descriptografados.
Requer integridade de mensagem. Haverá falha na conexão caso a integridade de mensagem não seja negociada. A integridade de uma mensagem pode ser avaliada por meio da assinatura de mensagens. A assinatura de mensagens comprova que a mensagem não foi adulterada; ela anexa uma assinatura criptográfica, que identifica o remetente e é uma representação numérica do conteúdo da mensagem.
Requer criptografia de 128 bits. Haverá falha na conexão caso a criptografia de alta segurança (128 bits) não seja negociada.
Requer segurança de sessão NTLMv2. Haverá falha na conexão caso o protocolo NTLMv2 não seja negociado.
Não Definido.
Vulnerabilidade
Você pode ativar todas as opções para essa configuração de diretiva para ajudar a proteger o tráfego na rede que usa o NTLM SSP (Fornecedor de Suporte de Segurança NTLM) contra a exposição e adulteração por um invasor que tenha obtido acesso à mesma rede. Em outras palavras, estas opções ajudam a proteger contra ataques de interceptação.
Contramedida
Ative as quatro opções que estão disponíveis para a configuração de diretiva Segurança de rede: segurança mínima de sessão para clientes baseados em NTLM SSP (incluindo RPC seguro).
Impacto potencial
Os computadores clientes que aplicarem essas configurações não conseguirão se comunicar com os servidores mais antigos que não ofereçam suporte a elas.
Segurança de rede: segurança mínima de sessão para servidores baseados em NTLM SSP (incluindo RPC seguro)
Esta configuração de diretiva permite que um servidor exija a negociação de confidencialidade de mensagem (criptografia), integridade de mensagem, criptografia de 128 bits ou segurança de sessão NTLMv2. Esses valores dependem da configuração de segurança Nível de autenticação LAN Manager.
Os valores possíveis para a configuração Segurança de rede: segurança mínima de sessão para servidores baseados em NTLM SSP (incluindo RPC seguro) são:
Requer sigilo de mensagem. Haverá falha na conexão caso a criptografia não seja negociada. A criptografia converte os dados em um formato no qual eles não podem ser lidos até que sejam descriptografados.
Requer integridade de mensagem. Haverá falha na conexão caso a integridade de mensagem não seja negociada. A integridade de uma mensagem pode ser avaliada por meio da assinatura de mensagens. A assinatura de mensagens comprova que a mensagem não foi adulterada; ela anexa uma assinatura criptográfica, que identifica o remetente e é uma representação numérica do conteúdo da mensagem.
Requer criptografia de 128 bits. Haverá falha na conexão caso a criptografia de alta segurança (128 bits) não seja negociada.
Requer segurança de sessão NTLMv2. Haverá falha na conexão caso o protocolo NTLMv2 não seja negociado.
Não Definido.
Vulnerabilidade
Você pode ativar todas as opções para essa configuração de diretiva para ajudar a proteger o tráfego na rede que usa o NTLM SSP (Fornecedor de Suporte de Segurança NTLM) contra a exposição e adulteração por um invasor que tenha obtido acesso à mesma rede. Ou seja, essas opções ajudam a proteger contra ataques por interceptação.
Contramedida
Ative as quatro opções que estão disponíveis para a diretiva Segurança de rede: segurança mínima de sessão para servidores baseados em NTLM SSP (incluindo RPC seguro).
Impacto potencial
Os clientes mais antigos que não oferecem suporte a essas configurações de segurança não conseguirão se comunicar com o computador.
Console de recuperação: permitir logon automático administrativo
Esta configuração de diretiva determina se a senha de conta Administrador deve ser fornecida antes de o acesso ao computador ser concedido. Se você ativar esta configuração, a conta Administrador fará logon automaticamente ao computador no Console de recuperação; nenhuma senha será exigida.
Os valores possíveis para a configuração Console de recuperação: permitir logon automático administrativo são:
Ativado
Desativado
Não Definido
Vulnerabilidade
O Console de recuperação pode ser muito útil quando você precisa resolver problemas e consertar computadores que não iniciam. No entanto, é perigoso permitir logon automático no console. Qualquer pessoa pode se dirigir ao servidor, desconectá-lo da tomada e desligá-lo, reiniciá-lo, selecionar Console de recuperação no menu Reiniciar e assumir o controle total do servidor.
Contramedida
Defina a configuração Console de recuperação: permitir logon automático administrativo como Desativado.
Impacto potencial
Para acessar o Console de recuperação, os usuários terão que inserir um nome de usuário e uma senha.
Console de recuperação: permitir cópia em disquete e acesso a todas as unidades e pastas
Você pode ativar esta configuração de diretiva para tornar disponível o comando SET do Console de recuperação, o que permite configurar as seguintes variáveis de ambiente do Console de recuperação.
AllowWildCards. permite o suporte a caracteres curinga para alguns comandos (como o comando DEL).
AllowAllPaths. permite o acesso a todos os arquivos e pastas no computador.
AllowRemovableMedia. permite a cópia de arquivos para mídia removível, como um disquete.
NoCopyPrompt. Suprime o prompt que normalmente é exibido antes que um arquivo seja substituído.
Os valores possíveis para a configuração Console de recuperação: permitir cópia em disquete e acesso a todas as unidades e pastas são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Um invasor que pode causar a reinicialização do sistema no Console de recuperação pode roubar dados confidenciais e não deixar nenhuma trilha de auditoria ou acesso.
Contramedida
Defina a configuração Console de recuperação: permitir cópia em disquete e acesso a todas as unidades e pastas como Desativado.
Impacto potencial
Os usuários que tenham iniciado um servidor por meio do Console de recuperação e tenham feito logon com a conta interna Administrador não conseguirão copiar arquivos e pastas em um disquete.
Desligamento: permitir que o sistema seja encerrado sem a necessidade de fazer logon
Esta configuração de diretiva determina se um computador pode ser desligado sem precisar fazer logon no Windows. Se você ativar esta configuração de diretiva, o comando Desligar estará disponível na tela de logon do Windows. Se você desativar esta configuração de diretiva, a opção Desligar será removida da tela de logon do Windows. Esta configuração exige que os usuários possam fazer logon no computador com êxito e que tenham o direito de usuário Desligar o sistema para poderem executar um desligamento do computador.
Os valores possíveis para a configuração Desligamento: permitir que o sistema seja encerrado sem a necessidade de fazer logon são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Usuários com acesso local ao console podem desligar o computador.
Os invasores também podem ir até o console local e reiniciar o servidor, o que causaria uma condição temporária de negação de serviço. Os invasores também podem desligar o servidor e tornar todos os seus aplicativos e serviços indisponíveis.
Contramedida
Defina a configuração Permitir que o sistema seja encerrado sem a necessidade de fazer logon como Desativado.
Impacto potencial
Os operadores deverão fazer logon nos servidores para desligá-los ou reiniciá-los.
Desligamento: limpar arquivo de paginação de memória virtual
Esta configuração de diretiva determina se o arquivo de paginação de memória virtual é limpo quando o computador é desligado. A memória virtual usa um arquivo de paginação do sistema para permutar as páginas da memória para o disco quando elas não estiverem em uso. Em um computador em funcionamento, o arquivo de paginação é aberto exclusivamente pelo sistema operacional e é bem protegido. No entanto, computadores que estejam configurados para permitir que outros sistemas operacionais sejam iniciados podem precisar garantir que o arquivo de paginação do sistema esteja limpo quando o computador for desligado. Essa confirmação garante que as informações confidenciais da memória do processo que possam ser colocadas no arquivo de paginação não fiquem disponíveis para um usuário não autorizado que consiga acessar diretamente o arquivo de paginação após o desligamento.
Quando você ativa esta configuração de diretiva, o arquivo de paginação de sistema é limpo com o desligamento completo. Além disso, esta configuração de diretiva forçará o computador a limpar o arquivo de hibernação Hiberfil.sys quando a hibernação for desativada em um computador portátil.
Os valores possíveis para a configuração Desligamento: Limpar arquivo de paginação de memória virtual são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Informações importantes que são mantidas na memória real podem ser gravadas periodicamente no arquivo de paginação para ajudar o Windows Server 2003 a tratar funções de multitarefa. Um invasor com acesso físico a um servidor que foi desligado, pode exibir o conteúdo do arquivo de paginação. O invasor moveria o volume do sistema para um computador diferente e, em seguida, analisaria o conteúdo do arquivo de paginação. Embora este processo seja demorado, ele pode expor dados que estão armazenados na memória de acesso aleatório (RAM) ao arquivo de paginação.
Cuidado: um invasor com acesso físico ao servidor pode ignorar essa contramedida simplesmente desconectando o servidor de sua fonte de energia.
Contramedida
Defina a configuração Limpar arquivo de paginação de memória virtual quando o sistema for desligado como Ativado. Esta configuração faz com que o Windows Server 2003 limpe o arquivo de paginação quando o computador é desligado. O tempo exigido para completar este processo depende do tamanho do arquivo de paginação. Pode levar vários minutos antes de o computador ser completamente desligado.
Impacto potencial
Levará mais tempo para que o servidor seja desligado e reiniciado, especialmente em servidores com grandes arquivos de paginação. Para um servidor com 2 GB de RAM e um arquivo de paginação de 2 GB, esta configuração de diretiva pode aumentar o processo de desligamento em 20 a 30 minutos, ou mais. Para algumas empresas, esse tempo de inatividade viola seus contratos internos de nível de serviço. Portanto, tenha cuidado antes de implementar esta contramedida em seu ambiente.
Criptografia do sistema: forçar proteção de chave forte para chaves do usuário armazenadas no computador
Esta configuração de diretiva determina se os usuários podem usar chaves particulares, como sua chave S/MIME, sem uma senha.
Os valores possíveis para a configuração Criptografia do sistema: forçar proteção de chave forte para chaves do usuário armazenadas no computador são:
A entrada do usuário não é necessária quando novas chaves são armazenadas ou usadas
O usuário é consultado quando a chave é usada pela primeira vez
O usuário deve digitar uma senha sempre que usar uma chave
Não Definido
Vulnerabilidade
Você pode definir esta configuração de diretiva de modo que os usuários devam fornecer uma senha que seja diferente da senha do domínio sempre que usarem uma chave. Esta configuração torna mais difícil para um invasor acessar chaves de usuário localmente armazenadas, ainda que o invasor tenha controle do computador do usuário e determine sua senha de logon.
Contramedida
Defina a configuração Criptografia do sistema: forçar proteção de chave forte para chaves do usuário armazenadas no computador como O usuário deve digitar uma senha sempre que usar uma chave.
Impacto potencial
Os usuários deverão digitar sua senha sempre que acessarem uma chave armazenada em seu computador. Por exemplo, se eles usarem um certificado S-MIME para assinar digitalmente o email, serão forçados a digitar a senha para aquele certificado sempre que enviarem uma mensagem de email assinada. Para algumas organizações, a sobrecarga envolvida no uso desta configuração pode ser muito alto. No mínimo, esta configuração deve ser definida como O usuário é consultado quando a chave é usada pela primeira vez.
Criptografia do sistema: usar algoritmos compatíveis com FIPS para criptografia, hash e assinatura
Esta configuração de diretiva determina se o Provedor de Segurança TLS/SSL oferecerá suporte apenas ao conjunto de codificação de alta segurança conhecido como TLS_RSA_WITH_3DES_EDE_CBC_SHA, que significa que o provedor só oferece suporte ao protocolo TLS como um cliente e como um servidor, se aplicável. Ele usa apenas o algoritmo de criptografia Triplo DES (Data Encryption Standard) para a criptografia de tráfego TLS, o algoritmo de chave pública RSA (Rivest-Shamir-Adleman) para a troca e a autenticação da chave TLS, e o algoritmo de hash SHA-1 (Secure Hash Algorithm version 1) para os requisitos de hash TLS.
Quando esta configuração está ativada, o serviço EFS (Sistema de Arquivos com Criptografia) oferece suporte apenas ao algoritmo de criptografia Triplo DES para a criptografia de dados de arquivo. Por padrão, a implementação do Windows Server 2003 do EFS usa o AES (Advanced Encryption Standard) com uma chave de 256 bits. A implementação do Windows XP usa DESX.
Os valores possíveis para a configuração usar algoritmos compatíveis com FIPS para criptografia, hashing, e assinatura são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Você pode ativar esta configuração de diretiva para garantir que o computador usará os algoritmos mais poderosos disponíveis para criptografia digital, hashing e assinatura. O uso desses algoritmos reduzirá o risco de comprometimento de dados digitalmente criptografados ou assinados por um usuário não autorizado.
Contramedida
Defina a configuração Criptografia do sistema: usar algoritmos compatíveis com FIPS para criptografia, hashing, e assinatura como Ativado.
Impacto potencial
Os computadores clientes que têm esta configuração de diretiva ativada poderão se comunicar por meio de protocolos digitalmente criptografados ou assinados com servidores que não oferecem suporte a esses algoritmos. Clientes de rede que não ofereçam suporte a esses algoritmos não poderão usar servidores que precisem deles para comunicações de rede. Por exemplo, muitos servidores Web Apache não estão configurados para oferecer suporte a TLS. Se você ativar essa configuração, também será preciso configurar o Internet Explorer para usar o TLS. Esta configuração de diretiva também afeta o nível de criptografia que é usado para o RDP (Remote Desktop Protocol). A ferramenta Conexão da área de trabalho remota usa o protocolo RDP para se comunicar com servidores que executam Serviços de terminal e computadores clientes que são configurados para controle remoto; conexões RDP falharão se ambos os computadores não estiverem configurados para usar os mesmos algoritmos de criptografia.
Para ativar o Internet Explorer a fim de usar o TLS
No menu Ferramentas do Internet Explorer, abra a caixa de diálogo Opções da Internet.
Clique na guia Avançado.
Marque a caixa de seleção Usar TLS 1.0.
Também é possível definir esta configuração de diretiva usando a Diretiva de Grupo ou o Internet Explorer Administrators Kit.
Objetos do sistema: o proprietário padrão de objetos criados por membros do grupo Administradores
Esta configuração de diretiva determina se o grupo Administradores ou um criador de objeto é o proprietário padrão de quaisquer objetos de sistema que são criados.
Os valores possíveis para a configuração Objetos do sistema: o proprietário padrão de objetos criados por membros do grupo Administradores são:
Grupo Administradores
Criador de objetos
Não Definido
Vulnerabilidade
Se você configurar esta diretiva com o grupoAdministradores, será impossível responsabilizar os indivíduos pela criação de novos objetos de sistema.
Contramedida
Defina a configuração Objetos do sistema: o proprietário padrão de objetos criados por membros do grupo Administradores como Criador de objetos.
Impacto potencial
Quando objetos do sistema são criados, seus proprietários correspondem às contas que os criaram, e não ao grupo mais genérico Administradores. Uma conseqüência desta configuração de diretiva é que os objetos se tornarão órfãos quando as contas de usuário forem excluídas. Por exemplo, quando um membro do grupo de tecnologia da informação parte, quaisquer objetos que ele criou em qualquer lugar no domínio não terão um proprietário. Esta situação pode tornar-se uma carga administrativa, pois os administradores terão que apropriar-se manualmente de objetos órfãos para atualizar suas permissões. Esta carga potencial pode ser reduzida se você garantir que Controle total sempre seja atribuído a objetos novos para um grupo do domínio como Administradores do domínio.
Objetos do sistema: não exigir distinção entre maiúsculas e minúsculas para subsistemas não-Windows
Esta configuração de diretiva determina se a não distinção entre maiúsculas e minúsculas é imposta em todos os subsistemas. O subsistema Microsoft Win32® não faz distinção entre maiúsculas e minúsculas. No entanto, o núcleo oferece suporte à distinção entre maiúsculas e minúsculas para outros subsistemas, como o POSIX (Portable Operating System Interface for UNIX). Se você ativar esta configuração, a não distinção entre maiúsculas e minúsculas será imposta a todos os objetos de diretório, links simbólicos e IO, assim como objetos de arquivo. Se você desativar esta configuração, o subsistema Win32 não fará distinção entre maiúsculas e minúsculas.
Os valores possíveis para a configuração Objetos do sistema: não exigir distinção entre maiúsculas e minúsculas para subsistemas não-Windows são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Como o Windows não faz distinção entre maiúsculas e minúsculas mas o subsistema POSIX dá suporte a esse recurso, a falha em ativar esta configuração de diretiva possibilitaria que um usuário desse subsistema criasse um arquivo com o mesmo nome de outro arquivo mas com uma mistura diferente de letras maiúsculas e minúsculas. Essa situação poderá confundir os usuários quando eles tentarem acessar esses arquivos com as ferramentas Win32 normais, pois apenas um dos arquivos estará disponível.
Contramedida
Defina a configuração Objetos do sistema: não exigir distinção entre maiúsculas e minúsculas para subsistemas não-Windows como Ativado.
Impacto potencial
Todos os subsistemas serão forçados a observar a não distinção entre maiúsculas e minúsculas. Esta configuração pode confundir os usuários que conheçam um dos sistemas operacionais baseados em UNIX que diferenciam maiúsculas de minúsculas.
Objetos do sistema: restringir permissões padrão de objetos do sistema interno (por exemplo: Ligações simbólicas)
Esta configuração de diretiva determina o nível de restrição da DACL padrão para os objetos. O Windows mantêm uma lista global de recursos do computador compartilhados (como nomes de dispositivo do MS-DOS, exclusões mútuas e semáforos) de modo que os objetos possam ser localizados e compartilhados entre os processos.
Os valores possíveis para a configuração Objetos do sistema: restringir permissões padrão de objetos do sistema interno (por exemplo: Ligações simbólicas) são:
Ativado
Desativado
Não Definido
Vulnerabilidade
Essa configuração determina o nível de restrição da DACL padrão para os objetos. O Windows Server 2003 mantém uma lista global de recursos do computador compartilhados de modo que os objetos possam ser localizados e compartilhados entre os processos. Cada tipo de objeto é criado com uma DACL padrão que especifica quem pode acessar os objetos e com quais permissões. Se você ativar esta configuração, a DACL padrão será fortalecida, porque usuários não Administradores podem ler objetos compartilhados mas não podem modificar objetos compartilhados que eles não criaram.
Contramedida
Defina a configuração Objetos do sistema: restringir permissões padrão de objetos do sistema interno (por exemplo, Ligações simbólicas) como Ativado.
Impacto potencial
Nenhum. Essa é a configuração padrão.
Configurações do sistema: subsistemas opcionais
Esta configuração de diretiva determina quais subsistemas oferecem suporte a seus aplicativos. Você pode usar esta configuração de segurança para especificar tantos subsistemas quanto seu ambiente exigir.
Os valores possíveis para a configuração Configurações do sistema: subsistemas opcionais são:
Uma lista de subsistemas definida pelo usuário
Não Definido
Vulnerabilidade
O subsistema POSIX é um padrão do IEEE que define um conjunto de serviços do sistema operacional e O subsistema POSIX será necessário caso o servidor ofereça suporte a aplicativos que usem esse subsistema.
O subsistema POSIX introduz um risco de segurança relacionado aos processos que podem persistir em vários logons. Se um usuário iniciar um processo e, em seguida, fizer logout, é possível que o próximo usuário que faça logon no sistema acesse o processo do usuário anterior. Este potencial é perigoso, porque tudo o que o segundo usuário fizer com esse processo será executado com os privilégios do primeiro usuário.
Contramedida
Defina a configuração Configurações do sistema: subsistemas opcionais com um valor nulo. O valor padrão é POSIX.
Impacto potencial
Os aplicativos que dependem do subsistema POSIX não funcionarão mais. Por exemplo, o SFU (Microsoft Services for Unix) instala uma versão atualizada do subsistema POSIX que é exigida; assim, você necessitaria redefinir esta configuração em uma Diretiva de Grupo para quaisquer servidores que usem o SFU.
Configurações do sistema: usar Regras de Certificado em Arquivos Executáveis do Windows para Diretivas de Restrição de Software
Esta configuração de diretiva determina se os certificados digitais são processados quando houver diretivas de restrição de software ativadas e um usuário ou processo tentar executar software com uma extensão de nome de arquivo .exe. Essa configuração ativa ou desativa regras de certificado (um tipo de regra para diretivas de restrição de software). Com diretivas de restrição de software, você pode criar uma regra de certificado que permitirá ou não a execução de software assinado por Authenticode®, baseado no certificado digital que é associado com o software. Para que as regras de certificado funcionem em diretivas de restrição de software, você deve ativar esta configuração de segurança.
Os valores possíveis para a configuração Configurações do sistema: usar Regras de Certificado em Executáveis do Windows para Diretivas de Restrição de Software são:
Ativado
Desativado
Não Definido
Vulnerabilidade
As diretivas de restrição de software ajudam a proteger usuários e computadores porque podem impedir a execução de código não autorizado, como vírus e cavalos de Tróia.
Contramedida
Defina a configuração Configurações do sistema: usar Regras de Certificado em Executáveis do Windows para Diretivas de Restrição de Software como Ativado.
Impacto potencial
Se você ativar as regras de certificado, as diretivas de restrição de software verificarão uma lista de revogação de certificado (CRL) para assegurar que o certificado do software e assinatura sejam válidos. Este processo de verificação pode afetar negativamente o desempenho quando os programas assinados forem iniciados. Para desativar este recurso você pode editar as diretivas de restrição de software no GPO desejado. Na caixa de diálogo Propriedades de Editores Confiáveis, desmarque as caixas de seleção Editores e Carimbo de data/hora.
Mais informações
Os links seguintes fornecem informações adicionais sobre opções de segurança no Windows Server 2003 e no Windows XP.
Para obter mais informações sobre as restrições padrão de acesso de máquina COM no Windows XP, consulte o guia "Managing Windows XP Service Pack 2 Features Using Group Policy: Security-Related Policy Settings" em www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngsecps.msp.
Para obter informações sobre as restrições padrão de acesso COM no Windows Server 2003 com SP1, consulte a seção "DCOM Security Enhancements" do guia "Changes to Functionality in Microsoft Windows Server 2003 Service Pack 1" em www.microsoft.com/technet/prodtechnol/windowsserver2003/library/BookofSP1/.
Para obter mais informações sobre como ativar o NTLMv2, consulte o artigo do Microsoft Knowledge Base “How to enable NTLM 2 authentication,” em https://support.microsoft.com/default.aspx?scid=239869.
Para obter mais informações sobre como garantir que configurações mais seguras de nível de autenticação do LAN Manager funcionem em redes com uma mistura de sistemas Windows 2000 and Windows NT® 4.0, consulte o artigo do Microsoft Knowledge Base (em inglês) "Authentication Problems in Windows 2000 with NTLM 2 Levels Above 2 in a Windows NT 4.0 Domain" em https://support.microsoft.com/?scid=305379.
Para obter mais informações sobre os níveis de compatibilidade do LAN Manager, consulte o artigo do Microsoft Knowledge Base (em inglês) "Client, service, and program incompatibilities that may occur when you modify security settings and user rights assignments" em https://support.microsoft.com/?scid=823659.
Para obter mais informações sobre a autenticação NTLMv2, consulte o artigo do Microsoft Knowledge Base (em inglês) "How to Enable NTLM 2 Authentication" em https://support.microsoft.com/?scid=239869.
Para obter mais informações sobre como restaurar configurações padrão de segurança localmente, consulte o artigo do Microsoft Knowledge Base (em inglês) “How to Reset Security Settings Back to the Defaults” em https://support.microsoft.com/?scid=313222.
Para obter mais informações sobre como restaurar as configurações de segurança padrão em objetos internos de Diretiva de Grupo de domínio, consulte o artigo do Microsoft Knowledge Base (em inglês) "How to Reset User Rights in the Default Domain Group Policy in Windows Server 2003" em https://support.microsoft.com/?scid=324800.
Neste artigo
- Visão geral
- Capítulo 1: Introdução a ameaças e contramedidas: configurações de segurança no Windows Server 2003 e Windows XP
- Capítulo 2: Diretivas do nível de domínio
- Capítulo 3: Diretiva de auditoria
- Capítulo 4: Direitos de usuário
- Capítulo 5: Opções de segurança
- Capítulo 6: Log de eventos
- Capítulo 7: Serviços de sistema
- Capítulo 8: Diretivas de restrição de software
- Capítulo 9: Modelos administrativos do Windows XP e Windows Server 2003
- Capítulo 10: Entradas adicionais do Registro
- Capítulo 11: Contramedidas adicionais
- Capítulo 12: Conclusão
- Agradecimentos
Download
Receba o Guia Ameaças e Contramedidas
Notificações de atualizações
Inscreva-se para informar-se sobre atualizações e novos lançamentos
Comentários
Envie-nos seus comentários ou sugestões
.gif "Dd459105.pageLeft(pt-br,TechNet.10).gif") 6 de 14 .gif "Dd459105.pageRight(pt-br,TechNet.10).gif") |