Ameaças e contramedidas

Capítulo 10: Entradas adicionais do Registro

Atualizado em: 27 de dezembro de 2005

Este capítulo fornece informações adicionais sobre entradas de chaves do Registro (também chamadas valores do Registro) para o arquivo de modelo de segurança base que não são definidas no arquivo de modelo administrativo (.adm). O arquivo .adm define as diretivas do sistema e as restrições para área de trabalho, shell e segurança do Microsoft® Windows Server™ 2003.

Nesta página

Editor de Configuração de Segurança personalizado
Entradas do Registro relacionadas a TCP/IP
Entradas diversas de Registro
Entradas do Registro disponíveis no Windows XP com SP2 e no Windows Server 2003 com SP1
Entradas de Registro disponíveis no Windows XP com SP2
Entradas do Registro disponíveis no Windows Server 2003 com SP1
Mais informações

Editor de Configuração de Segurança personalizado

Isso significa que quando você carrega o snap-in Modelos de Segurança do MMC (Console de Gerenciamento da Microsoft) e exibe os modelos de segurança, as entradas nas tabelas a seguir não são representada. Estas entradas foram adicionadas ao arquivo .nf por usar uma versão personalizada do Editor de Configuração de Segurança (SCE). Essas entradas também podem ser exibidas ou modificadas com um editor de texto, como o Bloco de Notas. Elas serão aplicadas aos computadores quando as diretivas forem baixadas neles, independentemente de os computadores terem tido suas interfaces do usuário de SCE modificadas.

Essas entradas são incorporadas aos modelos de segurança para automatizar as alterações. Se a diretiva for removida, essas entradas não serão removidas automaticamente com ela e deverão ser alteradas manualmente utilizando-se uma ferramenta de edição do Registro, como Regedt32.exe. A pasta de trabalho do Microsoft Excel® chamada "Windows Default Security and Services Configuration" que está incluída neste guia documenta as configurações padrão.

Como modificar a interface do usuário do Editor de Configurações de Segurança

O SCE é usado para definir modelos de segurança que podem ser aplicados a computadores individuais ou a qualquer quantidade de computadores por meio da Diretiva de Grupo. Os modelos de segurança podem conter diretivas de senha, diretivas de bloqueio, diretivas de protocolo Kerberos, diretivas de Auditoria, configurações de log de eventos, valores do Registro, modos de inicialização de serviço, permissões de serviço, direitos de usuário, restrições à participação em grupos, permissões do Registro e permissões do sistema de arquivos. O SCE aparece em vários snap-ins do MMC e ferramentas do administrador. Ele é usado pelo snap-in de Modelos de segurança e pelo snap-in de Configuração e análise de segurança. O snap-in Editor de Diretiva de Grupo o utiliza na porção Configurações de segurança da árvore Configuração do computador. Ele também é usado para as configurações de segurança locais, a diretiva de segurança do controlador de domínio e as ferramentas de diretiva de segurança de domínio.

Este guia inclui entradas adicionais que são acrescentadas ao SCE pela modificação do arquivo Seregvl.inf (localizado na pasta %systemroot%\inf) e pelo novo registro do arquivo Scecli.dll. As configurações originais de segurança, assim como as adicionais, aparecem sob Diretivas Locais\Segurança nos snap-ins e ferramentas listados mais cedo neste guia. Você deve atualizar o arquivo Sceregvl.inf e registra novamente o arquivo Scecli.dll em quaisquer computadores para os quais você editará os modelos de segurança e Diretivas de Grupo que são fornecidos com este guia como descrito nas seções seguintes. No entanto, as informações de personalização para o arquivo Sceregvl.inf usam recursos que só tornaram-se disponíveis no Microsoft Windows® XP Profissional com Service Pack 1 (SP1) e no Windows Server 2003 —- não tente instalá-lo em versões mais antigas do Windows.

Depois que o arquivo Sceregvl.inf é modificado e registrado, os valores personalizados do Registro são expostos nas interfaces de usuário do SCE do computador. Você verá as novas configurações no fim da lista de itens do SCE; todas as novas configurações têm nomes que começam por "MSS:" MSS significa Microsoft Solutions for Security, o nome do grupo que criou este guia. Você pode então criar modelos de segurança ou diretivas que definem novos valores do Registro. Esses modelos ou diretivas podem ser aplicados a qualquer computador, independentemente de o Sceregvl.inf ter sido modificado no computador de destino ou não. Inicializações subseqüentes da interface de usuário do SCE exporão seus valores do Registro personalizados.

As instruções sobre como modificar a interface do usuário do SCE são fornecidas nos procedimentos seguintes. Há instruções manuais que você deve seguir se já tiver feito outras personalizações no SCE. Um script é fornecido para adicionar as configurações com interação mínima do usuário, e embora o script tenha detecção de erros e recursos de recuperação internos, ele pode falhar. Se falhar, você deve determinar a causa da falha e corrigir o problema ou seguir as instruções manuais. Outro script é fornecido para que você restaurar a interface do usuário do SCE a seu estado padrão. Este script removerá todas as configurações personalizadas e retornará o SCE à aparência original em uma instalação padrão do Windows XP com SP2 ou Windows Server 2003 com SP1.

Para atualizar manualmente sceregvl.inf

  1. Use um editor de texto como o Bloco de Notas para abrir o arquivo Values-sceregvl.txt da pasta SCE Update do download para este guia.

  2. Abra outra janela no editor de texto e abra o arquivo %systemroot%\inf\sceregvl.inf.

  3. Navegue até o fim da seção "[Register Registry Values]" no arquivo sceregvl.inf. Copie e cole o texto do arquivo Values-sceregvl.txt, sem quebras de página, nesta seção do arquivo sceregvl.inf.

  4. Feche o arquivo Values-sceregvl.txt e abra o arquivo Strings-sceregvl.txt da pasta SCE Update do download.

  5. Navegue até o fim da seção "[Strings]" no arquivo sceregvl.inf. Copie e cole o texto do arquivo Strings-sceregvl.txt, sem quebras de página, nesta seção do arquivo sceregvl.inf.

  6. Salve o arquivo sceregvl.inf e feche o editor de texto.

  7. Abra um prompt de comandos e execute o comando regsvr32 scecli.dll para registrar novamente o arquivo DLL.

Quando o SCE for iniciado novamente, apresentará esses valores personalizados do Registro.

Para atualizar automaticamente sceregvl.inf

  1. Os arquivos Values-sceregvl.txt, Strings-sceregvl.txte Update_SCE_with_MSS_Regkeys.vbs que estão localizados na pasta SCE Update do download deste guia devem estar no mesmo local para que o script funcione.

  2. Execute o script Update_SCE_with_MSS_Regkeys.vbs no computador que você deseja atualizar.

  3. Siga os prompts na tela

Este procedimento removerá apenas as entradas personalizadas feitas usando-se o script que é descrito no procedimento anterior, Update_SCE_with_MSS_Regkeys.vbs. Você também pode reverter as alterações feitas pelo script de atualização automática.

Para reverter as alterações feitas pelo script Update_SCE_with_MSS_Regkeys.vbs

  1. Execute o script Rollback_SCE_for_MSS_Regkeys.vbs no computador que você deseja atualizar.

  2. Siga os prompts na tela

Este procedimento removerá quaisquer entradas personalizadas que você tenha adicionado à interface do usuário do SCE, incluindo as deste guia e outras que possam ter sido fornecidas em versões anteriores deste guia ou em outros guias de segurança.

Para restaurar o SCE a seu estado padrão para Windows XP com SP2 e Windows Server 2003 com SP1

  1. Os arquivos sceregvl_W2K3_SP1.inf.txt, sceregvl_XPSP2.inf.txte Restore_SCE_to_Default.vbs que estão localizados na pasta SCE Update do download deste guia devem estar todos no mesmo local para que o script funcione.

  2. Execute o script Restore_SCE_to_Defaults.vbs no computador que você deseja atualizar.

  3. Siga os prompts na tela

Para restaurar manualmente a interface de usuário do SCE com sua aparência padrão

  1. Clique em Iniciar, Executar, digite regedit.exe e pressione ENTER para abrir a ferramenta Editor do Registro.

  2. Navegue até HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Reg Values.

  3. Cada subchave neste local representa um item na seção Opções de Segurança do SCE. Exclua cuidadosamente todas as subchaves. Não exclua a chave pai (Reg Values), mas só as subchaves que estão contidas dentro dela.

  4. Abra um prompt de comandos e execute o comando regsvr32 scecli.dll para registrar novamente a DLL do SCE.

  5. Inicializações subseqüentes do SCE só exibirão os valores do Registro originais que foram incluídos com sua versão do Windows

Entradas do Registro relacionadas a TCP/IP

Para ajudar a evitar os DoS (Ataques de Negação de Serviço), você deve manter seu computador atualizado com as correções de segurança mais recentes e reforçar a pilha de protocolo TCP/IP nos computadores com Windows Server 2003 que estão expostos a invasores em potencial. A configuração de pilha TCP/IP padrão é ajustada para lidar com o tráfego padrão da intranet. Se você conectar um computador diretamente à Internet, a Microsoft recomenda que você reforce a pilha TCP/IP para se proteger contra ataques DoS.

Ataques DoS que são dirigidos à pilha TCP/IP tendem a ser de duas classes: ataques que usam um número excessivo de recursos do sistema (um meio de fazer isto é abrir várias conexões TCP) ou ataques que enviam pacotes especialmente criados que causam a falha da pilha de rede ou de todo o sistema operacional. As configurações do Registro a seguir ajudam a proteger contra os ataques que são dirigidos à pilha TCP/IP.

As configurações do Registro na tabela a seguir foram adicionadas ao arquivo de modelo na subchave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\. Informações mais detalhadas sobre cada uma das configurações são fornecidas nas subseções após a tabela e na página Microsoft Windows Server 2003 TCP/IP Implementation Details em https://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/networking/tcpip03.mspx.

Tabela 10.1 Entradas do Registro relacionadas a TCP/IP no Windows Server 2003 com SP1 e Windows XP com SP2

Entrada do Registro

Formato

Padrão do XP SP2

Padrão do 2003 SP1

Valor mais seguro (decimal)

DisableIPSourceRouting

DWORD

1

1

2

EnableDeadGWDetect

DWORD

1

1

0

EnableICMPRedirect

DWORD

1

1

0

KeepAliveTime

DWORD

7200000

7200000

300.000

PerformRouterDiscovery

DWORD

2

2

0

SynAttackProtect

DWORD

0

1

1

TcpMaxConnectResponseRetransmissions

DWORD

2

2

2

TcpMaxDataRetransmissions

DWORD

5

5

3

DisableIPSourceRouting: Nível de proteção de roteamento de origem de IP (protege contra falsificação de pacotes)

Esta entrada aparece como MSS: (DisableIPSourceRouting) Nível de proteção de roteamento de origem de IP (protege contra falsificação de pacotes) no SCE. O roteamento de origem de IP é um mecanismo que permite ao remetente determinar a rota IP que um datagrama deve percorrer na rede.

Vulnerabilidade

Um invasor pode usar pacotes roteados de origem para encobrir sua identidade e local. O roteamento de origem permite que um computador que envia um pacote especifique a rota que o pacote toma.

Contramedida

Configure a entrada MSS: (DisableIPSourceRouting) Nível de proteção de roteamento de origem de IP (protege contra falsificação de pacotes) com o valor de Proteção mais elevada; o roteamento de origem é completamente desativado.

Os valores possíveis para essa entrada do Registro são:

  • 0, 1 ou 2. A configuração padrão é 1 (pacotes roteados pela origem não são encaminhados).

Na interface de usuário do SCE, é mostrada a lista de opções a seguir:

  • Sem proteção adicional; pacotes roteados de origem são permitidos.

  • Pacotes roteados de origem médios são ignorados quando o encaminhamento de IP é ativado.

  • Proteção mais elevada, o roteamento de origem fica completamente desativado.

  • Não Definido.

Impacto potencial

Se você configurar este valor como 2, todos os pacotes roteados pela origem de entrada serão eliminados.

EnableDeadGWDetect: Permitir detecção automática de gateways de rede inativos (pode levar a DoS)

Esta entrada aparece como MSS: (EnableDeadGWDetect) Permite detecção automática de gateways de rede inativos (pode levar a DoS) no SCE. Quando a detecção de gateways inativos é ativada, o IP pode mudar para um gateway de backup se algumas conexões enfrentarem dificuldades.

Vulnerabilidade

Um invasor pode forçar o servidor a trocar os gateways para um gateway indesejado. Isto seria muito difícil de fazer, então o valor desta entrada é pequeno.

Contramedida

Configure a entrada MSS: (EnableDeadGWDetect) Permite detecção automática de gateways de rede inativos (pode levar a DoS) com um valor Desativada.

Os valores possíveis para essa entrada do Registro são:

  • 1 ou 0. A configuração padrão é 1 (ativada) no Windows Server 2003.

Na interface de usuário do SCE, essas opções aparecem como:

  • Ativada

  • Desativada

  • Não Definido

Impacto potencial

Se você configurar este valor com 0, o Windows não poderá detectar gateways inativos e passar automaticamente para alternativas.

EnableICMPRedirect: Permitir que redirecionamentos de ICMP ignorem rotas geradas por OSPF

Esta entrada aparece como MSS: (EnableICMPRedirect) Permitir que redirecionamentos de ICMP ignorem rotas geradas por OSPF no SCE. O redirecionamento do ICMP (Internet Control Message Protocol) faz com que a pilha insira as rotas de host. Essas rotas prevalecem sobre as rotas geradas por OSPF (Open Shortest Path First).

Vulnerabilidade

Este comportamento é esperado. O problema é que o período de tempo limite de 10 minutos para os roteamentos instaurados pelo redirecionamento do ICMP cria temporariamente uma situação de rede em que o tráfego não será mais roteado adequadamente para o host afetado.

Contramedida

Configure a entrada MSS: (EnableICMPRedirect) Permitir que redirecionamentos de ICMP ignorem rotas geradas por OSPF com um valor Desativada.

Os valores possíveis para essa entrada do Registro são:

  • 1 ou 0. A configuração padrão é 1 (ativado).

Na interface de usuário do SCE, essas opções aparecem como:

  • Ativada

  • Desativada

  • Não Definido

Impacto potencial

Quando o RRAS (Serviço de Roteamento e Acesso Remoto) é configurado como um ASBR (Roteador de Limite do Sistema Autônomo), ele não importa corretamente as rotas de sub-rede de interface conectadas. Em vez disso, o roteador inclui rotas de host nas rotas OSPF. No entanto, o roteador OSPF não pode ser usado como um roteador ASBR, e quando rotas de sub-rede de interface conectadas são importadas para o OSPF o resultado é tabelas de roteamento confusas com caminhos estranhos de roteamento.

KeepAliveTime: Freqüência com que pacotes de manutenção de funcionamento são enviados em milissegundos (o valor recomendado é 300.000)

Esta entrada aparece como MSS: (KeepAliveTime) Freqüência com que pacotes de manutenção de funcionamento são enviados em milissegundos (o valor recomendado é 300.000) no SCE. Ela controla a freqüência com que o TCP envia um pacote de manutenção de funcionamento para verificar se uma conexão ociosa ainda está intacta. Se o computador remoto ainda puder ser acessado, ele confirma o pacote de manutenção de funcionamento.

Vulnerabilidade

Um invasor que possa se conectar a aplicativos de rede pode estabelecer diversas conexões para causar uma condição de negação de serviço.

Contramedida

Configure a entrada MSS: (KeepAliveTime) Freqüência com que pacotes de manutenção de funcionamento são enviados em milissegundos (o valor recomendado é 300.000) com o valor de 300000ou 5 minutos.

Os valores possíveis para essa entrada do Registro são:

  • 1 a 0xFFFFFFFF. A configuração padrão é 7.200.000 (duas horas).

Na interface de usuário do SCE, é mostrada a lista de opções a seguir:

  • 150000 ou 2,5 minutos

  • 300000 ou 5 minutos (recomendado)

  • 600000 ou 10 minutos

  • 1200000 ou 20 minutos

  • 2400000 ou 40 minutos

  • 3600000 ou 1 hora

  • 7200000 ou 2 horas (valor padrão)

  • Não Definido

Impacto potencial

Pacotes de manutenção de funcionamento não são enviados por padrão pelo Windows. No entanto, alguns aplicativos podem configurar o sinalizador de pilha TCP que solicita pacotes de manutenção de funcionamento. Para tais configurações, você pode abaixar este valor da configuração padrão de duas horas para cinco minutos para desconectar sessões inativas mais rapidamente.

PerformRouterDiscovery: Permitir que IRDP detecte e configure endereços de gateway padrão (pode levar a ataques DoS)

Esta entrada aparece como MSS: (PerformRouterDiscovery) Permitir que IRDP detecte e configure endereços de gateway padrão (pode levar a ataques DoS) no SCE. Ela ativa ou desativa o IRDP (Internet Router Discovery Protocol). O IRDP permite que o computador detecte e configure endereços padrão de gateway automaticamente (como descrito em RFC 1256) para cada interface.

Vulnerabilidade

Um invasor que tenha obtido o controle de um computador no mesmo segmento de rede pode configurar um computador na rede para assumir a identidade de um roteador. Outros computadores com o IRDP ativado podem então tentar rotear o tráfego por meio do computador já comprometido.

Contramedida

Configure a entrada MSS: (PerformRouterDiscovery) Permitir que IRDP detecte e configure endereços de gateway padrão (pode levar a ataques DoS) com um valor Desativada.

Os valores possíveis para essa entrada do Registro são:

  • 0, 1 ou 2. A configuração padrão é 2 (ativar somente se DHCP enviar a opção Executar descoberta de roteador).

Na interface de usuário do SCE, essas opções aparecem como:

  • 0 (Desativada)

  • 1 (Ativada)

  • 2 (ativar somente se DHCP enviar a opção Executar descoberta de roteador)

  • Não Definido

Impacto potencial

Se você desativar esta entrada, o Windows Server 2003 (que oferece suporte a IRDP) não pode detectar e configurar automaticamente endereços padrão de gateway no computador.

SynAttackProtect: Nível de proteção contra ataques Syn (protege contra ataques DoS)

Esta entrada aparece como MSS: (SynAttackProtect) Nível de proteção contra ataques Syn (protege contra ataques DoS) no SCE. Esta entrada faz com que o TCP ajuste a retransmissão de SYN-ACKs. Quando você configura esta entrada, a sobrecarga de transmissões incompletas em um ataque de solicitação de conexão (SYN) é reduzida.

Você pode usar esta entrada para configurar o Windows para enviar mensagens de descoberta de roteador como difusões em vez de multicasts, como descrito em RFC 1256. Por padrão, se a descoberta de roteador estiver ativada, as solicitações de descoberta de roteador serão enviadas ao grupo multicast de todos os roteadores (224.0.0.2).

Vulnerabilidade

Em um ataque de sobrecarga de SYN, o invasor envia um fluxo contínuo de pacotes SYN a um servidor. O servidor deixa as conexões semi-abertas abertas até que fique sobrecarregado e não possa mais responder a solicitações legítimas.

Contramedida

Configure a entrada MSS: (SynAttackProtect) Nível de proteção contra ataques Syn (protege contra ataques DoS) com um valor de As conexões atingem o tempo limite mais rapidamente se um ataque SYN for detectado.

Os valores possíveis para essa entrada do Registro são:

  • 1 ou 0. A configuração padrão é 1 (ativada) para Windows Server 2003 SP1 e 0 (desativada) para Windows XP SP2.

Na interface de usuário do SCE, essas opções aparecem como:

  • As conexões atingem o tempo limite mais rapidamente se um ataque SYN for detectado.

  • Sem proteção adicional, use as configurações padrão

  • Não Definido

Impacto potencial

Esse valor aumenta os atrasos nas indicações de conexão e os pedidos de conexão de TCP atingem rapidamente o tempo limite quando um ataque SYN está em andamento. Se você configurar esta entrada do Registro, as janelas escalonáveis e os parâmetros do TCP que estejam configurados em cada adaptador (inclusive RTT (Round Trip Time) e tamanho de janela), as opções de soquete deixarão de funcionar. Quando o computador é atacado, as janelas escalonáveis (RFC 1323) e opções de parâmetros de TCP configurados por adaptador (RTT Inicial, tamanho de janela) em qualquer soquete não podem mais ser ativadas. As razões por que estas opções não podem ser ativadas é que, quando a proteção funciona, a entrada de cache de rota não é consultada antes do envio de SYN-ACK e as opções de Winsock não ficam disponíveis nesta fase da conexão.

TcpMaxConnectResponseRetransmissions: Retransmissões SYN-ACK quando a solicitação de conexão não é confirmada

Esta entrada aparece como MSS: (TcpMaxConnectResponseRetransmissions) Retransmissões SYN-ACK quando a solicitação de conexão não é confirmada no SCE. Esta entrada determina o número de vezes que o TCP retransmite um SYN antes de anular a tentativa. O tempo limite de retransmissão é duplicado a cada retransmissão sucessiva em uma determinada tentativa de conexão. O valor inicial de tempo limite é de três segundos.

Vulnerabilidade

Em um ataque de sobrecarga de SYN, o invasor envia um fluxo contínuo de pacotes SYN a um servidor. O servidor deixa as conexões semi-abertas abertas até que fique sobrecarregado e não possa mais responder a solicitações legítimas.

Contramedida

Configure a entrada MSS: (TcpMaxConnectResponseRetransmissions) Retransmissões SYN-ACK quando a solicitação de conexão não é confirmada com o valor de 3 segundos,conexões semi-abertas são descartadas após nove segundos.

Os valores possíveis para essa entrada do Registro são:

  • 0-0xFFFFFFFF. A configuração padrão é 2.

Na interface de usuário do SCE, é mostrada a lista de opções a seguir, que correspondem aos valores 0, 1, 2 e 3, respectivamente:

  • Sem retransmissão, conexões semi-abertas são canceladas após 3 segundos

  • 3 segundos, conexões semi-abertas são canceladas após 9 segundos

  • 3 e 6 segundos, conexões semi-abertas canceladas após 21 segundos

  • 3, 6 e 9 segundos, conexões semi-abertas canceladas após 45 segundos

  • Não Definido

Impacto potencial

Se você configurar este valor como maior ou igual a 2, a pilha empregará proteção SYN-ATTACK internamente. Se você configurar esta entrada como menos que 2, a pilha não poderá ler os valores do Registro para a proteção SYN-ATTACK. Esta entrada diminui o tempo padrão necessário para limpar uma conexão TCP semi-aberta. Um local que esteja sob ataque pesado pode ter o valor tão baixo quanto 1. Um valor de 0 também é válido. No entanto, se esse parâmetro for definido como 0, os SYN-ACKs não serão retransmitidos de forma alguma e o tempo de espera se esgotará em 3 segundos. Com um valor tão baixo, as tentativas de conexão legítimas de clientes distantes podem falhar.

TcpMaxDataRetransmissions: Quantas vezes os dados sem recebimento confirmado são retransmitidos (valor recomendado: 3; valor padrão: 5)

Esta entrada aparece como MSS: (TcpMaxDataRetransmissions) Quantas vezes os dados sem recebimento confirmado são retransmitidos (valor recomendado: 3, valor padrão: 5) no SCE. Esta entrada controla o número de vezes que o TCP retransmite um segmento de dados individual (segmento de não-conexão) antes de anular a conexão. O tempo limite de retransmissão é duplicado a cada retransmissão sucessiva em uma conexão. Ele é redefinido quando as respostas são reiniciadas. O valor base de tempo limite é determinado dinamicamente pelo tempo medido de ida e volta na conexão.

Vulnerabilidade

Um usuário mal-intencionado pode exaurir os recursos de um computador de destino se nunca enviar quaisquer mensagens de confirmação para dados que tenham sido transmitidos pelo computador de destino.

Contramedida

Configure a entrada MSS: (TcpMaxDataRetransmissions) Quantas vezes os dados sem recebimento confirmado são retransmitidos (valor recomendado: 3, valor padrão: 5) com um valor de 3. Os valores possíveis para essa entrada do Registro são:

  • 0 a 0xFFFFFFFF. A configuração padrão é 5.

Na interface do SCE, esta configuração pode ser ajustada usando-se uma caixa de entrada de texto:

  • Um número definido pelo usuário

  • Não Definido

Impacto potencial

O TCP inicia um timer de retransmissão quando cada segmento de saída é passado ao IP. Se nenhuma confirmação de recebimento foi recebida para os dados em um determinado segmento antes que o timer expire, o segmento será retransmitido até três vezes.

Entradas diversas de Registro

As entradas de registro na tabela seguinte também são recomendadas. Informações adicionais sobre cada entrada, incluindo o local de cada configuração de chave do Registro, são fornecidas nas subseções após a tabela.

Tabela 10.2 Entradas não-TCP/IP adicionadas ao Registro no Windows Server 2003

Entrada do Registro

Formato

Valor mais seguro (decimal)

MSS: (AutoAdminLogon) Ativar logon automático (não recomendado)

DWORD

Não definido, com exceção de ambientes altamente seguros, que devem usar 0.

MSS: (AutoReboot) Permitir que o Windows reinicie automaticamente após uma queda do sistema (recomendado exceto para ambientes de alta segurança)

DWORD

Não definido, com exceção de ambientes altamente seguros, que devem usar 0.

MSS: (AutoShareWks) Ativar compartilhamentos administrativos (não recomendado exceto em ambientes de alta segurança)

DWORD

Não definido, com exceção de ambientes altamente seguros, que devem usar 1.

MSS: (DisableSavePassword) Impedir que a senha de dial-up seja salva (recomendado)

DWORD

1

MSS: (Hidden) Ocultar computador da lista de pesquisa (não recomendado exceto em ambientes de alta segurança)

DWORD

Não definido, com exceção de ambientes altamente seguros, que devem usar 1.

MSS: (NoDefaultExempt) Ativar NoDefaultExempt para filtragem IPSec (recomendado)

DWORD

1 para computadores que executam Windows XP, 3 para computadores que executam Windows Server 2003.

MSS: (NoDriveTypeAutoRun) Desativar Autorun para todas as unidades (recomendado)

DWORD

0xFF

MSS: (NoNameReleaseOnDemand) Permite que o computador ignore pedidos de liberação de nomes do NetBIOS, exceto os pedidos de servidores WINS (recomendado somente para servidores)

DWORD

1

MSS: (NtfsDisable8dot3NameCreation) Permite que o computador pare de gerar nomes de arquivo em estilo 8.3 (recomendado)

DWORD

1

MSS: (SafeDllSearchMode) Ativar modo de pesquisa de DLL segura (recomendado)

DWORD

1

MSS: (ScreenSaverGracePeriod) O tempo em segundos antes que o período de cortesia do protetor de tela expire (o valor recomendado é 0)

Seqüência

0

MSS: (WarningLevel) O limite de porcentagem para o log de eventos de segurança para que o sistema gere um aviso

DWORD

0

Disable Automatic Logon: Desativar logon automático

Esta entrada aparece como MSS: (AutoAdminLogon) Ativar logon automático (não recomendado) no SCE. Esta entrada determina se o recurso de logon automático está ativado. (Esta entrada é separada do recurso de tela de boas-vindas do Windows XP; se você desativar este recurso, esta entrada não será afetada.) Por padrão, esta entrada não está ativada. O logon automático usa o domínio, nome de usuário e senha que estão armazenados no Registro para registrar usuários no computador quando o computador é iniciado. A caixa de diálogo de logon não é exibida.

Para obter informações adicionais, consulte o artigo do Microsoft Knowledge Base (em inglês) "How to turn on automatic logon in Windows XP" em https://support.microsoft.com/default.aspx?kbid=315231.

É possível adicionar este valor de Registro ao arquivo de modelo na

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\
CurrentVersion\Winlogon\

subchave.

Vulnerabilidade

Se você configurar um computador para logon automático, qualquer um que tenha acesso físico ao computador também poderá ter acesso a tudo o que está no computador, incluindo qualquer rede à qual o computador se conecte. Além disso, se você ativar o logon automático, a senha será armazenada no Registro em texto sem formatação. A chave do Registro específica que armazena esta configuração pode ser lida remotamente pelo grupo Usuários autenticados. Como conseqüência, esta entrada é apropriada apenas se o computador estiver fisicamente protegido e se você assegurar que os usuários não confiáveis não possam ver o Registro remotamente.

Contramedida

Não configure a entrada MSS: (AutoAdminLogon) Ativar logon automático (não recomendado ) exceto em computadores altamente seguros, onde ela deve ser configurada com um valor Desativada.

Os valores possíveis para essa entrada do Registro são:

  • 1 ou 0. A configuração padrão é 0 (desativado).

Na interface de usuário do SCE, essas opções aparecem como:

  • Ativada

  • Desativada

  • Não Definido

Impacto potencial

Nenhum. Por padrão esta entrada não está ativada.

Configurar reinicialização automática por quedas do sistema

Esta entrada aparece como MSS: (AutoReboot) Permitir que o Windows reinicie automaticamente após uma queda do sistema (recomendado exceto para ambientes de alta segurança) no SCE. Ela determina se o computador pode reiniciar automaticamente depois que falha.

É possível adicionar este valor de Registro ao arquivo de modelo na

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\

subchave.

Vulnerabilidade

Há alguma preocupação que um computador possa ficar em um loop interminável de falhas e reinicializações. No entanto, a alternativa a esta entrada pode não ser muito mais atraente -- o computador simplesmente deixará de funcionar.

Contramedida

Configure a entrada MSS: (AutoReboot) Permitir que o Windows reinicie automaticamente após uma queda do sistema (recomendado exceto para ambientes de alta segurança) com um valor Desativada.

Os valores possíveis para essa entrada do Registro são:

  • 1 ou 0. A configuração padrão é 1 (ativada).

Para obter mais informações, consulte o artigo do Microsoft Knowledge Base (em inglês) "How To Configure System Failure and Recovery Options in Windows" em https://support.microsoft.com/?kbid=307973.

Na interface do SCE, as opções seguintes estão disponíveis:

  • Ativada

  • Desativada

  • Não Definido

Impacto potencial

O computador não será mais reinicializado automaticamente depois de uma falha.

Ativar compartilhamentos administrativos

Esta entrada aparece como MSS: (AutoShareWks) Ativar compartilhamentos administrativos (não recomendado exceto em ambientes de alta segurança) no SCE. Por padrão, o Windows XP Professional cria automaticamente compartilhamentos administrativos como C$ e IPC$.

Para obter informações adicionais, consulte o artigo do Microsoft Knowledge Base (em inglês) "How to create and delete hidden or administrative shares on client computers" em https://support.microsoft.com/default.aspx?kbid=314984.

É possível adicionar este valor de Registro ao arquivo de modelo na

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\
Parameters\

subchave.

Vulnerabilidade

Como estes compartilhamentos administrativos internos são conhecidos e presentes na maioria dos computadores Windows, usuários mal-intencionados freqüentemente tentam atingi-los com ataques de força bruta para adivinhar senhas e realizar outros tipos de ataques.

Contramedida

Não configure a entrada MSS: (AutoShareWks) Ativar compartilhamentos administrativos (não recomendado exceto em ambientes de alta segurança) exceto em computadores altamente seguros, onde ela deve ser configurada com um valor Ativada.

Os valores possíveis para essa entrada do Registro são:

●    1 ou 0. A configuração padrão é 1 (ativado).

Na interface de usuário do SCE, essas opções aparecem como:

●    Ativada

●    Desativada

●    Não Definido

Impacto potencial

Se você excluir estes compartilhamentos, poderá causar problemas para os administradores e programas ou serviços que dependam desses compartilhamentos. Por exemplo, o Microsoft Systems Management Server (SMS) e o Microsoft Operations Manager 2000 exigem compartilhamentos administrativos para instalação e operação corretas. Além disso, muitos aplicativos de backup de terceiros exigem compartilhamentos administrativos.

Desativar salva de senhas dial-up

Esta entrada aparece como MSS: (DisableSavePassword) Impedir que a senha de dial-up seja salva (recomendado) no SCE. Ela determina se as senhas que são associadas com entradas de catálogo telefônico de Conexões de Rede são salvas. Se o usuário tiver muitas entradas de catálogo telefônico, as senhas salvas acumuladas poderão causar uma leve demora depois que as credenciais do usuário forem inseridas na caixa de diálogo Conectando-se a.

É possível adicionar este valor de Registro ao modelo na

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\
Parameters\

subchave.

Vulnerabilidade

Um invasor que rouba o computador de um usuário móvel poderia conectar-se automaticamente à rede da organização se a caixa de seleção Salvar esta senha estiver ativada para a entrada de dial-up.

Contramedida

Configure a entrada MSS: (DisableSavePassword) Impedir que a senha de dial-up seja salva (recomendado) com um valor Desativada.

Os valores possíveis para essa entrada do Registro são:

  • 1 ou 0. A configuração padrão é 0 (desativado).

Para obter mais informações, consulte o artigo do Microsoft Knowledge Base (em inglês) "Disabling Save Password Option in Dial-Up Networking" em https://support.microsoft.com/default.aspx?kbid=172430.

Na interface do SCE, as opções seguintes estão disponíveis:

  • Ativada

  • Desativada

  • Não Definido

Impacto potencial

Os usuários não poderão armazenar automaticamente suas credenciais de logon para conexões dial-up e VPN.

Ocultar o computador de listas de pesquisa de Ambiente de Rede: Ocultar computador da lista de pesquisa

Esta entrada aparece como MSS: (Hidden) Ocultar computador da lista de pesquisa (não recomendado exceto em ambientes de alta segurança) no SCE. Você pode configurar um computador de modo que não envie anúncios a pesquisadores no domínio. Se fizer isso, você ocultará o computador da lista de localização; ele não se anunciará a outros computadores na mesma rede.

Para obter mais informações, consulte o artigo do Microsoft Knowledge Base (em inglês) "HOW TO: Hide a Windows 2000–Based Computer from the Browser List" em https://support.microsoft.com/default.aspx?kbid=321710.

É possível adicionar este valor de Registro ao arquivo de modelo na

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\
Parameters\

subchave.

Vulnerabilidade

Um invasor que conheça o nome de um computador pode coletar mais facilmente informações adicionais sobre o computador. Se você ativar esta entrada, removerá um método para que um invasor possa coletar informações sobre computadores na rede. Além disso, se você ativar esta entrada, poderá ajudar a reduzir o tráfego de rede. No entanto, a vulnerabilidade é pequena porque os invasores podem usar métodos alternativos para identificar e localizar alvos potenciais.

Contramedida

Não configure a entrada MSS: (Hidden) Ocultar computador da lista de pesquisa (não recomendado exceto em ambientes de alta segurança) exceto em computadores altamente seguros, onde ela deve ser configurada com um valor Ativada.

Os valores possíveis para essa entrada do Registro são:

●    1 ou 0. A configuração padrão é 0 (desativado).

Na interface de usuário do SCE, essas opções aparecem como:

●    Ativada

●    Desativada

●    Não Definido

Impacto potencial

O computador não aparecerá mais na lista de localização nem em Ambiente de Rede em outros computadores na mesma rede.

Ativar IPSec para proteger tráfego RSVP Kerberos: Ativar NoDefaultExempt para filtragem IPSec

Esta entrada aparece como MSS: (NoDefaultExempt) Ativar NoDefaultExempt para filtragem IPSec (recomendado) no SCE. As isenções padrão de filtros de diretiva IPsec estão documentadas na ajuda online do Microsoft Windows Server 2003 e Microsoft Windows XP. Estes filtros permitem que o Internet Exchange Key (IKE) e o protocolo de autenticação Kerberos funcionem. Os filtros também permitem que o QoS (Qualidade do Serviço) da rede seja sinalizado (RSVP) quando o tráfego de dados é protegido por IPsec e, para tráfego que o IPsec possa não proteger, como tráfego multicast e de difusão.

Para obter mais informações, consulte o artigo do TechNet (em inglês) "Specifying Default Exemptions to IPSec Filtering" em https://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/c9a7d986-5b9a-4e01-bb80-82d5e3a87d5c.mspx. Além disso, consulte o artigo do Microsoft Knowledge Base (em inglês) "IPSec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios" em https://support.microsoft.com/default.aspx?kbid=811832.

É possível adicionar este valor de Registro ao arquivo de modelo na

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC\

subchave.

Vulnerabilidade

Como o IPsec é cada vez mais usado para filtragem básica de pacotes de host-firewall, particularmente em cenários de Internet, o efeito destas isenções padrão ainda não foi plenamente entendido. Alguns administradores de IPsec podem criar diretivas IPsec que eles acreditam ser seguras, mas que não protegem realmente contra ataques de entrada que usem as isenções padrão. Os invasores podem forjar tráfego de rede que pareça consistir em pacotes de protocolo IKE, RSVP ou Kerberos legítimos, mas dirigi-los para outros serviços de rede no host.

Contramedida

Não configure a entrada MSS: (NoDefaultExempt) Ativar NoDefaultExempt para filtragem IPSec (recomendado) exceto em computadores que usem filtros de IPsec, onde esta entrada deve ser configurada com um valor Ativada.

Os valores possíveis para essa entrada do Registro são:

  • Um valor de 0 especifica que o tráfego multicast, de difusão, RSVP, Kerberos e IKE (ISAKMP) está isento de filtros de IPsec, que é a configuração padrão para Windows 2000 e Windows XP. Use esta configuração somente se exigir compatibilidade com uma diretiva IPsec já existente ou com Windows 2000 e Windows XP.

  • Um valor de 1 especifica que o protocolo Kerberos e o tráfego RSVP não estão isentos de filtros de IPsec, mas que o tráfego multicast, de difusão e IKE estão. Esta configuração é o valor recomendado para Windows 2000 e Windows XP.

  • Um valor de 2 especifica que o tráfego multicast e de difusão não estão isentos de filtros de IPsec, mas que o tráfego RSVP, Kerberos e IKE estão isentos. Esta configuração tem suporte somente no Windows Server 2003.

  • Um valor de 3 especifica que somente o tráfego IKE está isento de filtros de IPsec. Esta configuração tem suporte apenas no Windows Server 2003, que contém este comportamento padrão embora a chave do Registro não exista por padrão.

Na interface de usuário do SCE, essas opções aparecem como:

  • 0

  • 1

  • 2

  • 3

Impacto potencial

Depois que você ativar esta entrada, as diretivas de segurança que já existem podem ter que ser alteradas para funcionarem corretamente. Para obter detalhes, consulte o artigo do Microsoft Knowledge Base (em inglês) "IPSec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios" em https://support.microsoft.com/default.aspx?kbid=811832, que foi mencionado anteriormente nesta seção.

Desativar Autorun: Desativar Autorun para todas as unidades

Esta entrada aparece como MSS: (NoDriveTypeAutoRun) Desativar Autorun para todas as unidades (recomendado) no SCE. O Autorun começa a ler de uma unidade em seu computador assim que a mídia é inserida nele. Como resultado, o arquivo de instalação de programas e o som na mídia de áudio são iniciados imediatamente.

Para desativar Autorun em todas as unidades, você pode adicionar este valor do Registro ao arquivo de modelo na

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Policies\Explorer\

subchave.

Como alternativa, para desativar Autorun somente em unidades de CD/DVD, você pode adicionar este valor do Registro ao arquivo de modelo na

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\

subchave.

Vulnerabilidade

Para impedir que um possível programa mal-intencionado seja iniciado quando a mídia for inserida, a Diretiva de Grupo desativa o Autorun em todas as unidades.

Um invasor com acesso físico ao sistema pode inserir um DVD ou CD compatível com Autorun no computador, que iniciará automaticamente o código mal-intencionado.

Contramedida

Configure a entrada MSS: (NoDriveTypeAutoRun) Desativar Autorun para todas as unidades (recomendado) com um valor de 255, desativar Autorun para todas as unidades.

Os valores possíveis para essa entrada do Registro são:

  • Um intervalo de valores hexadecimais

Para obter mais informações, consulte o artigo do Microsoft Knowledge Base (em inglês) "The AutoRun feature or the AutoPlay feature does not work when you insert a CD-ROM in the drive" em https://support.microsoft.com/default.aspx?kbid=330135.

Na interface do SCE, as opções seguintes estão disponíveis:

  • Nulo, permitir Autorun

  • 255, desativar Autorun para todas as unidades

  • Não Definido

Impacto potencial

O Autorun não mais funcionará quando discos compatíveis a ele forem inseridos no computador. Além disso, utilitários de gravação de CD podem não funcionar como esperado porque CDs em branco podem não ser reconhecidos. Aplicativos de mídia como o Windows Media Player não reconhecerão novos CDs ou DVDs que são inseridos, o que forçará os usuários a iniciá-los manualmente.

Configurar segurança de liberação de nome do NetBIOS: (NoNameReleaseOnDemand) Permite que o computador ignore pedidos de liberação de nomes do NetBIOS, exceto os pedidos de servidores WINS

MSS: (NoNameReleaseOnDemand) Permite que o computador ignore pedidos de liberação de nomes do NetBIOS, exceto os pedidos de servidores WINS (recomendado somente para servidores) no SCE. NetBIOS sobre TCP/IP (NetBT) é um protocolo de rede que, entre outras coisas, fornece um meio de resolver facilmente nomes NetBIOS que estejam registrados em computadores baseados no Windows em endereços IP que estejam configurados nesses computadores. Esse valor determina se o computador libera seu nome de NetBIOS ao receber um pedido de liberação de nome.

É possível adicionar este valor de Registro ao arquivo de modelo na

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netbt\Parameters\

subchave.

Vulnerabilidade

O protocolo NetBT é projetado para não usar autenticação e, assim, é vulnerável à falsificação. A falsificação faz com que uma transmissão pareça vir de outro usuário e não do usuário que realmente executou a ação. Um usuário mal-intencionado pode explorar a natureza não autenticada do protocolo para enviar um datagrama de conflito de nome a um computador de destino, fazendo com que ele renuncie a seu nome e pare de responder a consultas.

Um ataque desse tipo pode provocar problemas intermitentes de conectividade no computador de destino ou até impedir o uso do Ambiente de Rede, logons de domínio, o comando NET SEND ou a resolução de nomes de NetBIOS adicional.

Para obter mais informações, consulte o artigo do Microsoft Knowledge Base (em inglês) "MS00-047: NetBIOS Vulnerability May Cause Duplicate Name on the Network Conflicts" em https://support.microsoft.com/default.aspx?kbid=269239.

Contramedida

Configure a entrada MSS: (NoNameReleaseOnDemand) Permite que o computador ignore pedidos de liberação de nomes do NetBIOS, exceto os pedidos de servidores WINS (recomendado somente para servidores) com um valor Ativada.

Os valores possíveis para essa entrada do Registro são:

  • 1 ou 0. A configuração padrão é 1 (ativado).

Na interface de usuário do SCE, essas opções aparecem como:

  • Ativada

  • Desativada

  • Não Definido

Como alternativa, você pode desativar o uso de WINS em seu ambiente e garantir mais ainda que todos os aplicativos dependam de DNS para serviços de resolução de nomes. Embora esta abordagem seja uma estratégia a longo prazo recomendada, ela é geralmente complicada para a maioria de organizações como uma solução a curto prazo. As organizações que ainda executam WINS geralmente têm dependências de aplicativo que não podem ser resolvidas rapidamente sem atualizações e distribuições de software, que exigem planos cuidadosos e compromissos significativos de tempo.

Se você não puder implantar essa contramedida e desejar garantir o uso da resolução de nomes de NetBIOS, execute a etapa adicional de "pré-carregar" os nomes de NetBIOS no arquivo LMHOSTS em determinados computadores. Para obter mais informações sobre como pré-carregar o arquivo LMHOSTS, consulte o artigo do Microsoft Knowledge Base (em inglês) "MS00-047: NetBIOS Vulnerability May Cause Duplicate Name on the Network Conflicts" que foi mencionado anteriormente nesta seção.

Observação: a manutenção de arquivos LMHOSTS na maioria dos ambientes exige um esforço significativo. A Microsoft encoraja o uso de WINS em vez de LMHOSTS.

Impacto potencial

Um invasor pode enviar um pedido pela rede e consultar um computador para liberar seu nome do NetBIOS. Como com qualquer alteração que pode afetar aplicativos, a Microsoft recomenda que você teste esta alteração em um ambiente que não seja de produção antes de alterar o ambiente de produção.

Desativar a geração automática de nomes de arquivo 8.3: Permite que o computador pare de gerar nomes de arquivo em estilo 8.3

Esta entrada aparece como MSS: (NtfsDisable8dot3NameCreation) Permite que o computador pare de gerar nomes de arquivo em estilo 8.3 (recomendado) no SCE. O Windows Server 2003 dá suporte para formatos de nome de arquivo 8.3 para compatibilidade com versões anteriores de aplicativos de 16 bits. (A convenção de nome de arquivo 8.3 é um formato de nomeação que permite nomes de arquivo com até oito caracteres.)

É possível adicionar este valor de Registro ao arquivo de modelo na

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem\

subchave.

Vulnerabilidade

Se você permitir nomes de arquivo de estilo 8.3, um invasor só precisará de oito caracteres para referir-se a um arquivo que pode ter 20 caracteres. Por exemplo, é possível fazer referência a um arquivo chamado Nomelongodearquivo.doc através de seu nome de arquivo 8.3, Nomelo~1.doc. Se você não usar aplicativos de 16 bits, desative esse recurso. Além disso, o desempenho de enumeração de diretório será melhorado se você desativar a geração de nomes curtos em uma partição de sistema de arquivos NTFS (NTFS).

Os invasores podem usar nomes de arquivo curtos para acessar arquivos de dados e aplicativos com nomes de arquivo longos que normalmente seriam difíceis de localizar. Um invasor que obtenha acesso ao sistema de arquivos pode acessar dados ou executar aplicativos.

Contramedida

Configure a entrada MSS: (NtfsDisable8dot3NameCreation) Permite que o computador pare de gerar nomes de arquivo em estilo 8.3 (recomendado) com um valor Ativada.

Os valores possíveis para essa entrada do Registro são:

  • 1 ou 0. A configuração padrão é 0 (desativado).

Na interface de usuário do SCE, essas opções aparecem como:

  • Ativada

  • Desativada

  • Não Definido

Impacto potencial

Os aplicativos de 16 bits em sua organização não poderão acessar arquivos que não sejam nomeados com o formato 8.3. Alguns aplicativos de 32 bits também dependem de nomes curtos, porque eles tendem a não conter espaços incorporados e, portanto, não exigem aspas quando usados em linhas de comando. As rotinas de instalação para alguns programas podem falhar; as que são projetadas para executar em arquiteturas múltiplas de CPU provavelmente são aplicativos de 16 bits. A instalação do Exchange 2000 SP2 falhará se esta entrada for ativada. A instalação de service Packs para SQL 2000 falhará se esta entrada estiver ativada e se o caminho para a variável de sistema %temp% incluir um espaço; uma solução alternativa simples para este problema é redefinir a variável com um caminho sem espaços (por exemplo, C:\temp).

Observação: se você aplicar essa configuração a um servidor que já tenha nomes de arquivos 8.3 gerados automaticamente ela não os removerá. Para remover nomes de arquivos 8.3 existentes, será necessário copiar esses arquivos fora do servidor, excluir os arquivos do local original e em seguida, copiá-los de volta aos seus locais originais.

Ativar ordem de pesquisa de DLL segura: Ativar modo de pesquisa de DLL segura (recomendado)

Esta entrada aparece como MSS: (SafeDllSearchMode) Ativar modo de pesquisa de DLL segura (recomendado) no SCE. A ordem de pesquisa de DLL (Biblioteca de Vínculo Dinâmico) pode ser configurada como pesquisa para DLLs solicitadas de uma das seguintes maneiras:

Se SafeDllSearchMode for configurado como 1, a ordem de pesquisa será:

  • O diretório do qual o aplicativo foi carregado.

  • O diretório de sistema.

  • O diretório de sistema de 16 bits. Não há nenhuma função que obtenha o caminho desse diretório, mas ele é pesquisado.

  • O diretório Windows.

  • O diretório atual.

  • Os diretórios que são listados na variável de ambiente PATH.

Se SafeDllSearchMode for configurado como 0, a ordem de pesquisa será:

  • O diretório do qual o aplicativo foi carregado.

  • O diretório atual.

  • O diretório de sistema.

  • O diretório de sistema de 16 bits. Não há nenhuma função que obtenha o caminho desse diretório, mas ele é pesquisado.

  • O diretório Windows.

  • Os diretórios que são listados na variável de ambiente PATH.

É possível adicionar este valor de Registro ao arquivo de modelo na

HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Session Manager\

subchave.

Vulnerabilidade

Se um usuário executar inadvertidamente um código mal-intencionado e esse código contiver arquivos adicionais que incluam versões modificadas de DLLs do sistema, o código mal-intencionado poderá carregar suas próprias versões das DLLs, aumentando potencialmente o tipo e a extensão dos danos causados pelo código.

Contramedida

Configure a entrada MSS: (SafeDllSearchMode) Ativar modo de pesquisa de DLL segura (recomendado) como Ativada.

Os valores possíveis para essa entrada do Registro são:

  • 1 ou 0. A configuração padrão para Windows XP  é 0 e para Windows Server 2003 é 1.

Na interface de usuário do SCE, essas opções aparecem como:

  • Ativada

  • Desativada

  • Não Definido

Impacto potencial

Os aplicativos serão forçados a pesquisar as DLLs primeiramente no caminho do sistema. Para aplicativos que exigem as versões exclusivas das DLLs fornecidas com o aplicativo, isso pode causar problemas de desempenho ou de estabilidade.

Tornar imediata a proteção por senha do protetor de tela: O tempo em segundos antes que o período de cortesia do protetor de tela expire (o valor recomendado é 0)

Esta entrada aparece como MSS: (ScreenSaverGracePeriod) O tempo em segundos antes que o período de cortesia do protetor de tela expire (o valor recomendado é 0) no SCE. O Windows inclui um período de cortesia entre o momento em que o protetor de tela é iniciado e o momento em que o console é realmente bloqueado automaticamente se o bloqueio do protetor de tela estiver ativado.

É possível adicionar este valor de Registro ao arquivo de modelo na

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\
CurrentVersion\Winlogon\

subchave.

Vulnerabilidade

O período de cortesia padrão permitido para movimento do usuário antes que o bloqueio do protetor de tela entre em vigor é de cinco segundos. Se você usar a configuração padrão do período de cortesia, o computador ficará vulnerável a um ataque potencial de alguém que pode aproximar-se do console e tentar fazer logon no computador antes que o bloqueio entre em vigor. Pode-se fazer uma entrada no Registro para ajustar a duração do período de cortesia.

Contramedida

Configure a entrada MSS: (ScreenSaverGracePeriod) O tempo em segundos antes que o período de cortesia do protetor de tela expire (o valor recomendado é 0) com um valor de 0.

Os valores possíveis para essa entrada do Registro são:

  • 0 a 255. O valor padrão é 5 segundos.

Na interface do usuário do SCE, o valor para esta entrada aparece como uma caixa de entrada de texto:

  • Um número definido pelo usuário

  • Não Definido

Impacto potencial

Os usuários precisam digitar suas senhas para reiniciar as sessões no console assim que o protetor de tela for ativado.

Aviso de log de segurança próximo à capacidade máxima: O limite de porcentagem para o log de eventos de segurança para que o sistema gere um aviso

Esta entrada aparece como MSS: (WarningLevel) O limite de porcentagem para o log de eventos de segurança para que o sistema gere um aviso no SCE. O Windows Server 2003 e o Service Pack 3 para Windows 2000 possuem um novo recurso para gerar uma auditoria de segurança no log de eventos de Segurança quando o log de segurança atinge um limite definido pelo usuário. Por exemplo, se este valor é configurado como 90, uma entrada de evento com eventID 523 será inserida no log quando o relatório de Segurança alcançar 90 por cento de capacidade. Esta entrada contém o texto seguinte:

Agora o log de segurança está 90 por cento cheio.

Observação: essa configuração não terá efeito se o log de eventos de Segurança for configurado para substituir eventos conforme a necessidade.

É possível adicionar este valor de Registro ao arquivo de modelo na

HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\Eventlog\Security\

subchave.

Vulnerabilidade

Se o log de Segurança chegar a 90 por cento da capacidade e o computador não tiver sido configurado para substituir eventos conforme a necessidade, os eventos mais recentes não serão gravados no log. Se o log alcançar sua capacidade e o computador for configurado para ser desligado quando não puder mais registrar eventos no log de Segurança, o computador será desligado e não estará mais disponível para fornecer serviços de rede.

Contramedida

Configure a entrada MSS: (WarningLevel) O limite de porcentagem para o log de eventos de segurança para que o sistema gere um aviso com o valor de 90.

Os valores possíveis para essa entrada do Registro são:

  • 0 a 100. A configuração padrão é 0 (nenhum evento de aviso é gerado).

Na interface do SCE, as opções seguintes estão disponíveis:

  • 50%

  • 60%

  • 70%

  • 80%

  • 90%

  • Não Definido

Impacto potencial

Essa configuração gera um evento de auditoria quando o log de Segurança está 90 por cento cheio, a menos que o log esteja configurado para substituir eventos conforme a necessidade.

Entradas do Registro disponíveis no Windows XP com SP2 e no Windows Server 2003 com SP1

As entradas do Registro que são descritas anteriormente neste capítulo aplicam-se a Microsoft Windows XP com SP1 e Windows Server 2003.

O lançamento do Windows XP SP2 e o Windows Server 2003 SP1 forneceu entradas de Registro relacionado à segurança adicionais que você pode configurar para abordar requisitos específicos de segurança em seu ambiente.

As entradas seguintes do Registro estão disponíveis no Windows XP com SP2 e Windows Server 2003 com SP1.

RestrictRemoteClients

Quando uma interface é registrada por RpcServerRegisterIf, o RPC permite que o aplicativo de servidor restrinja acesso à interface, normalmente por um retorno de chamada de segurança. A chave do Registro RestrictRemoteClients força o RPC a executar verificações adicionais de segurança para todas as interfaces, ainda que a interface não tenha um retorno de chamada de segurança não registrado. Os clientes RPC que usam a seqüência de protocolo de pipe nomeado (ncacn_np) estão isentos destas restrições. A seqüência de protocolo de pipe nomeado não pode ser restringida por causa de vários problemas significativos de compatibilidade com versões anteriores.

A chave do Registro RestrictRemoteClients pode ter um de três valores de DWORD:

  • 0. Este é o valor padrão no Windows Server 2003 com SP1 e faz com que o computador ignore a restrição de interface de RPC. É responsabilidade total do aplicativo de servidor impor restrições apropriadas de RPC. Esta configuração é equivalente à configuração de versões prévias do Windows.

  • 1. Este é o valor padrão no Windows XP com SP2. Todas as chamadas anônimas remotas são rejeitadas pelo tempo de execução de RPC, exceto chamadas recebidas por pipes nomeados (ncacn_np).

  • 2. Todas as chamadas anônimas remotas são rejeitados pelo tempo de execução de RPC, sem isenções. Nesta configuração, um computador não pode receber chamadas anônimas remotas usando RPC.

Os desenvolvedores podem modificar seus aplicativos para passar sinalizadores ao subsistema de RPC que indiquem se o cliente ou servidor aceitará solicitações anônimas de RPC.

Vulnerabilidade

As interfaces de RPC que permitem conexões não autenticadas podem ser usadas para explorar remotamente saturações de buffer e espalhar código mal-intencionado.

Contramedida

A configuração padrão do valor RestrictRemoteClients no Windows Server 2003 com SP1 e no Windows XP com SP2 permite compatibilidade com versões anteriores. Para adicionar proteção contra worms que possam tentar explorar remotamente estouros de buffer em serviços de RPC, configure RestrictRemoteClients como 1 ou 2.

Impacto potencial

Se você ativar a chave do Registro RestrictRemoteClients, a interface de Mapeador de ponto de extremidade de RPC não estará acessível anonimamente. Esta restrição é uma melhora significativa de segurança, mas ela altera a forma como pontos de extremidade são resolvidos. Atualmente, um cliente RPC que tente fazer uma chamada usando um ponto de extremidade dinâmico primeiro consultará o Mapeador de ponto de extremidade de RPC no servidor para determinar a qual ponto de extremidade deve se conectar. Esta consulta é executada anonimamente, ainda que a chamada do cliente RPC use segurança de RPC. Chamadas anônimas à interface do Mapeador de ponto de extremidade de RPC falharão no Windows Server 2003 com SP1 se a chave RestrictRemoteClients estiver é configurada como 1 ou superior. Portanto, o tempo de execução do cliente de RPC deve ser modificado para executar uma consulta autenticada ao Mapeador de Ponto de Extremidade. Se a chave EnableAuthEpResolution estiver configurada, o tempo de execução do cliente RPC usará NTLM para autenticar-se no Mapeador de ponto de extremidade. Esta consulta autenticada só acontecerá se a chamada de cliente RPC real usar autenticação de RPC.

Alguns aplicativos e serviços podem não funcionar adequadamente quando esta chave está ativada. Portanto, teste-a completamente antes de instalá-la em seu ambiente. Se planeja ativar esta chave, você também deve usar a chave EnableAuthEpResolution para ativar a autenticação para o Mapeador de ponto de extremidade de RPC.

EnableAuthEpResolution

Chamadas anônimas à interface de Mapeador de ponto de extremidade de RPC falharão por padrão no Windows XP com SP2 por causa do valor padrão para a nova chave RestrictRemoteClients. Portanto, o tempo de execução do cliente de RPC deve ser modificado para executar uma consulta autenticada ao Mapeador de Ponto de Extremidade. Para fazer isso, configure a chave EnableAuthEpResolution como 1. Quando esta configuração estiver válida, o tempo de execução do cliente RPC usará NTLM para autenticar-se na interface de Mapeador de ponto de extremidade. Esta consulta autenticada só acontecerá se a chamada de cliente RPC real usar autenticação de RPC.

Vulnerabilidade

As interfaces de RPC que permitem conexões não autenticadas podem ser usadas para explorar remotamente saturações de buffer e espalhar código mal-intencionado.

Contramedida

Para adicionar proteção contra worms que possam tentar explorar remotamente estouros de buffer em serviços RPC, configure RestrictRemoteClients como descrito na seção anterior e use EnableAuthEpResolution para ativar a autenticação NTLM para solicitações de RPC de computador.

Impacto potencial

Os clientes que não tenham o conjunto de chaves EnableAuthEpResolution definido não poderão fazer solicitações de serviço de RPC de servidores que tenham RestrictRemoteClients ativado. Esta restrição pode fazer com que serviços baseados em RPC deixem de funcionar.

RunInvalidSignatures

Por padrão, o Windows Server 2003 com SP1 e Windows XP com SP2 impedem a instalação de objetos de código assinados que tenham assinaturas inválidas. Estas assinaturas podem ser inválidas porque o código foi modificado, porque o certificado de assinatura expirou ou porque o certificado de assinatura aparece numa lista de revogação de certificados (CRL). O Internet Explorer 6.0 já bloqueou a instalação de código assinado com assinaturas inválidas, mas o service pack amplia este comportamento a todos os aplicativos.

Vulnerabilidade

Um controle Microsoft ActiveX® assinado que tenha sido falsificado pode ser baixado e executado por um aplicativo, o que pode comprometer o computador em que é executado.

Contramedida

O valor padrão de RunInvalidSignatures bloqueia esta vulnerabilidade.

Impacto potencial

Os aplicativos que dependem de controles assinados legítimos não funcionarão se as assinaturas dos controles forem inválidas por qualquer razão. Se você tiver um aplicativo cuja assinatura pareça ser inválida, você pode mudar esta configuração de chave para permitir que o controle seja baixado e executado. No entanto, fazer isso cria uma vulnerabilidade de segurança. A solução preferida é contatar os desenvolvedores do controle que é usado no aplicativo para obter uma versão com uma assinatura válida.

Entradas de Registro disponíveis no Windows XP com SP2

As entradas seguintes do Registro estão disponíveis só no Windows XP com SP2.

Entradas de Registro da Central de Segurança para XP

Há três valores do Registro para a Central de Segurança que determinam se o usuário recebe ou não alertas para um determinado recurso. Se uma chave tiver um valor de 0 ou se for inexistente, o ícone de notificação e o sistema de alerta para esse recurso são ativados. Se houver um valor diferente de 0, o ícone de notificação e o sistema de alerta para o recurso serão desativados.

Esses três valores localizam-se em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center. Os valores são:

  • AntiVirusDisableNotify

  • FirewallDisableNotify

  • UpdatesDisableNotify

Vulnerabilidade

Os usuários que desativam os recursos de alerta da Central de Segurança não poderão receber avisos apropriados se o antivírus, firewall ou os serviços automáticos de atualização que estão instalados em seus computadores não funcionarem adequadamente por alguma razão.

Contramedida

Aplique uma entrada de Registro de Diretiva de Grupo para aplicar a configuração apropriada de aviso para seu ambiente.

Impacto potencial

Estes valores do Registro estarão visíveis na interface do usuário da Central de Segurança se a funcionalidade da Central de Segurança estiver ativada. Os usuários com acesso de administrador local poderão alterar os valores da Central de Segurança.

StorageDevicePolicies\WriteProtect

Por padrão, os usuários podem montar dispositivos de armazenamento de blocos USB em seus computadores Windows XP e ler ou gravar nesses dispositivos sem limitação. No SP2, a Microsoft adicionou a possibilidade de administradores restringirem a capacidade dos usuários de gravarem em dispositivos de armazenamento de blocos USB.

Para restringir a capacidade de os usuários gravarem nestes dispositivos, você pode adicionar o valor DWORD WriteProtect a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies e configurá-lo como 1. Quando este valor for configurado, o driver Windows para dispositivos de armazenamento de blocos USB rejeitará solicitações solicitações de gravação em dispositivos de armazenamento de blocos USB montados.

Vulnerabilidade

Um invasor pode copiar dados em um dispositivo USB removível e roubá-los.

Contramedida

Quando o valor WriteProtect está definido como 1, o Windows XP com SP2 bloqueará gravações em dispositivos de armazenamento de blocos USB.

Impacto potencial

Esta chave do Registro fornece atenuação parcial para uma ameaça séria. No entanto, há vários outros meios que um invasor habilidoso pode usar para roubar dados com um dispositivo USB. Por exemplo, um dispositivo USB pode ser programado para ser enumerado como um dispositivo de armazenamento que não seja em blocos (como uma impressora ou dispositivo de CD-ROM) e ignorar este controle. As organizações que desejem impedir o roubo de dados sensíveis por usuários ou invasores podem usar esta entrada como parte de uma estratégia mais ampla de segurança, junto com controles de acesso físico e outras medidas para restringir o acesso a dispositivos USB graváveis.

Entradas do Registro disponíveis no Windows Server 2003 com SP1

As entradas seguintes do Registro estão disponíveis só no Windows Server 2003 com SP1.

UseBasicAuth

O protocolo DAV (Distributed Authoring and Versioning) baseia-se em HTTP e permite acesso remoto a sistemas de arquivos e servidores de arquivos. Os usuários podem usar caminhos UNC para acessar recursos em servidores DAV. No entanto, o redirecionador WebDAV no Windows Server 2003 comunica-se com servidores Web que têm suporte para DAV por HTTP; ele não pode usar sessões HTTP protegidas por SSL. Quando estes sites permitem o uso de autenticação básica, as solicitações DAV transmitem as credenciais de autenticação do usuário em texto sem formatação.

No Windows Server 2003 com SP1, o redirecionador de WebDAV foi modificado de modo que nunca envie credenciais de usuário com autenticação básica. Esta modificação pode afetar aplicativos ou processos de negócios que dependam do redirecionador padrão de DAV do computador. (Observe que o Microsoft Office usa seu próprio cliente DAV independente e não é afetado por esta entrada.)

O Windows Server 2003 SP1 introduz a subchave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\
Parameters\UseBasicAuth. Se você configurar seu valor como 1, o redirecionador WebDAV do computador poderá se comunicar com servidores Web que só tenham suporte para autenticação básica.

Vulnerabilidade

Um invasor pode configurar um servidor Web que use autenticação básica e depois enganar usuários e fazer com que eles tentem se conectar ao site falsificado para capturar suas credenciais.

Contramedida

Por padrão, o redirecionador WebDAV do Windows Server 2003 não usa autenticação básica, o que bloqueia eficientemente esta vulnerabilidade.

Impacto potencial

Os aplicativos que usam o redirecionador WebDAV para acessar recursos da Web falharão se o servidor Web só tiver suporte para autenticação básica. Para resolver este problema, você pode configurar o servidor Web para ter suporte para métodos de autenticação mais seguros ou ativar o valor UseBasicAuth. No entanto, o mecanismo preferido é reconfigurar o servidor Web, o que não permite a exposição de credenciais dos usuários.

DisableBasicOverClearChannel

O redirecionador WebDAV é parte da pilha remota do sistema de arquivos. Quando os usuários tentam abrir URLs em computadores remotos, suas credenciais podem ficar expostas se o servidor remoto tiver suporte apenas para autenticação básica. Um invasor pode ser capaz de enganar um usuário e direcioná-lo a um site que solicite credenciais (por DAV) e use autenticação básica. Se o usuário responder, ele exporia suas credenciais ao host mal-intencionado.

A entrada do Registro UseBasicAuth controla se a autenticação básica pode ser usada para solicitações WebDAV. Se você configurar o valor de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\
Parameters\ DisableBasicOverClearChannel como 1, o uso da autenticação básica com outros recursos da Web será bloqueado.

Vulnerabilidade

Um invasor pode configurar um servidor Web que use autenticação básica e depois enganar usuários e fazer com que eles tentem se conectar ao site falsificado para capturar suas credenciais.

Contramedida

Configure o valor de DisableBasicOverClearChannel como 1 em computadores clientes para restringir sua capacidade de se conectar a servidores HTTP usando autenticação básica.

Impacto potencial

Muitos dispositivos incorporados (como roteadores, servidores de impressão e copiadoras) que oferecem acesso de HTTP têm suporte apenas para autenticação básica, como fazem alguns aplicativos comerciais. Quando DisableBasicOverClearChannel está configurado como 1, os computadores clientes não poderão autenticar estes dispositivos ou aplicativos.

Mais informações

Os links seguintes fornecem informações adicionais sobre algumas das entradas que são discutidas neste capítulo:

Neste artigo

Download

Receba o Guia Ameaças e Contramedidas

Notificações de atualização

Inscreva-se para saber mais sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários ou sugestões

Dd459110.pageLeft(pt-br,TechNet.10).gif 11 de 14 Dd459110.pageRight(pt-br,TechNet.10).gif