Administrar as configurações de política de segurança
Este artigo descreve os diferentes métodos para administrar as configurações de política de segurança em um dispositivo local ou em toda uma organização de pequeno ou médio porte.
As configurações de política de segurança devem ser usadas como parte de sua implementação geral de segurança para ajudar a proteger controladores de domínio, servidores, dispositivos cliente e outros recursos na sua organização.
As políticas de configurações de segurança são regras que você pode configurar em um ou vários dispositivos, com o objetivo de proteger os recursos em um dispositivo ou uma rede. A extensão de Configurações de Segurança do snap-in Editor de Política de Grupo Local (Gpedit. msc) permite que você defina as configurações como parte de um GPO (Objeto de Política de Grupo). Os GPOs são vinculados a contêineres do Active Directory, como sites, domínios e unidades organizacionais, e permitem que os administradores gerenciem configurações de segurança para vários computadores de qualquer dispositivo que tenha ingressado no domínio.
As configurações de segurança podem controlar:
A autenticação de usuário para uma rede ou um dispositivo.
Os recursos que os usuários têm permissão para acessar.
Se as ações de um usuário ou grupo devem ser registradas no log de eventos.
A associação a um grupo.
Para saber mais sobre cada configuração, incluindo descrições, configurações padrão e considerações de gerenciamento e segurança, veja Referência de configurações de política de segurança.
Para gerenciar as configurações de segurança de vários computadores, você pode usar uma das seguintes opções:
Edite configurações de segurança específicas em um GPO.
Use o snap-in Modelos de Segurança para criar um modelo de segurança que contenha as políticas de segurança que você deseja aplicar e importe o modelo de segurança para um Objeto de Política de Grupo. Um modelo de segurança é um arquivo que representa uma configuração de segurança, e pode ser importado para um GPO, ou aplicado a um dispositivo local ou usado para analisar a segurança.
O que mudou no modo como as configurações são administradas?
Com o tempo, foram introduzidas novas maneiras de gerenciar as configurações de política de segurança, que incluem novos recursos do sistema operacional e a adição de novas configurações. A tabela a seguir lista os diferentes meios pelos quais as configurações de política de segurança podem ser administradas.
| Ferramenta ou recurso | Descrição e uso |
|---|---|
Snap-in Política de Segurança |
Secpol.msc O snap-in do MMC foi desenvolvido para gerenciar somente as configurações de política de segurança. |
Ferramenta de linha de comando do editor de segurança |
Secedit.exe Configura e analisa a segurança do sistema comparando a configuração atual com os modelos de segurança especificados. |
Security Compliance Manager |
Download da ferramenta Um Solution Accelerator que ajuda você a planejar, implantar, operar e gerenciar suas linhas de base de segurança para sistemas operacionais de cliente e servidor do Windows e aplicativos da Microsoft. |
Assistente de Configuração de Segurança |
Scw.exe O ACS é uma ferramenta baseada em função disponível apenas em servidores: você pode usá-lo para criar uma política que permita que os serviços, as regras de firewall e as configurações necessárias para um servidor selecionado executem determinadas funções. |
Ferramenta Gerenciador de Configuração de Segurança |
Este conjunto de ferramentas permite a você criar, aplicar e editar a segurança do seu dispositivo local, unidade organizacional ou domínio. |
Política de Grupo |
Gpmc.msc e Gpedit.msc O Console de Gerenciamento de políticas de Grupo usa o editor de Objeto de Política de Grupo para expor as opções de segurança locais, que podem ser incorporadas em Objetos de Política de Grupo para distribuição em todo o domínio. O Editor de Política de Grupo Local executa funções semelhantes no dispositivo local. |
Políticas de restrição de software |
Gpedit.msc As SRP (Políticas de Restrição de Software) são um recurso baseado em Política de Grupo que identifica os programas de software em execução nos computadores em um domínio e controla a capacidade de execução desses programas. |
AppLocker Veja Administrar o AppLocker. |
Gpedit.msc Impede que o software mal-intencionado (malware) e aplicativos sem suporte afetem computadores no seu ambiente, e impede que os usuários na sua organização instalem e usem aplicativos não autorizados. |
Usando o snap-in Política de Segurança Local
O snap-in Política de Segurança Local (Secpol.msc) restringe o modo de exibição de objetos de política local para as seguintes políticas e recursos:
Políticas de conta
Políticas locais
Firewall do Windows com Segurança Avançada
Políticas do Gerenciador de Listas de Redes
Políticas de chave pública
Políticas de restrição de software
Políticas de controle do aplicativo
Políticas de segurança de IP no computador local
Configuração de política de auditoria avançada.
As políticas definidas localmente poderão ser substituídas se o computador ingressar no domínio.
O snap-in Política de Segurança Local é parte do conjunto de ferramentas do Gerenciador de Configuração de Segurança. Para saber mais sobre outras ferramentas nesse conjunto de ferramentas, veja Trabalhando com o Gerenciador de Configuração de Segurança neste tópico.
Usando a ferramenta de linha de comando secedit
A ferramenta de linha de comando secedit funciona com modelos de segurança e fornece seis funções principais:
O parâmetro Configure ajuda você a resolver discrepâncias de segurança entre dispositivos aplicando o modelo de segurança correto ao servidor com erro.
O parâmetro Analyze compara a configuração de segurança do servidor com o modelo selecionado.
O parâmetro Import permite que você crie um banco de dados com base em um modelo existente. A ferramenta Configuração e Análise de Segurança faz isso também.
O parâmetro Export permite que você exporte as configurações de um banco de dados para um modelo de configurações de segurança.
O parâmetro Validate permite validar a sintaxe de todas as linhas de texto que você criou ou adicionou a um modelo de segurança. Isso garante que, se o modelo não se aplicar à sintaxe, ele não será o problema.
O parâmetro Generate Rollback salva as configurações de segurança atuais do servidor em um modelo de segurança para que possa ser usado para restaurar a maioria das configurações de segurança do servidor para um estado conhecido. As exceções são as seguintes: quando aplicado, o modelo de reversão não alterará as entradas da lista de controle de acesso nos arquivos ou as entradas do Registro que foram alteradas pelo modelo aplicado mais recentemente.
Usando o Security Compliance Manager
O Security Compliance Manager é uma ferramenta para download que ajuda você a planejar, implantar, operar e gerenciar suas linhas de base de segurança para sistemas operacionais de cliente e servidor do Windows e para aplicativos da Microsoft. Ele contém um banco de dados completo de configurações de segurança recomendadas, métodos para personalizar suas linhas de base e a opção de implementar essas configurações em vários formatos, incluindo XLS, GPOs, pacotes de gerenciamento de configurações desejadas (DCM) ou protocolo de automação de conteúdo de segurança (SCAP). O Security Compliance Manager é usado para exportar as linhas de base para o seu ambiente para automatizar a implantação de linha de base de segurança e o processo de verificação de conformidade.
.gif "Mt634177.wedge(pt-br,VS.85).gif")
Para administrar as políticas de segurança usando o Security Compliance Manager
Baixe a versão mais recente. Você pode encontrar mais informações no blog Diretrizes de segurança da Microsoft.
Leia a documentação de linha de base de segurança relevante incluída nessa ferramenta.
Baixe e importe as linhas de base de segurança relevantes. O processo de instalação fornece orientações a você sobre a seleção de linha de base.
Abra a Ajuda e siga as instruções sobre como personalizar, comparar ou mesclar suas linhas de base de segurança antes de implantar essas linhas de base.
Usando o Assistente de Configuração de Segurança
O Assistente de Configuração de Segurança (ACS) orienta você durante o processo de criação, edição, aplicação ou reversão de uma política de segurança. Uma política de segurança que você cria com o ACS é um arquivo .XML que, quando aplicado, configura serviços, segurança de rede, valores específicos do Registro e política de auditoria. O ACS é uma ferramenta baseada em função: você pode usá-lo para criar uma política que permite que os serviços, as regras de firewall e as configurações necessárias para um servidor selecionado executem determinadas funções. Por exemplo, um servidor pode ser um servidor de arquivos, um servidor de impressão ou um controlador de domínio.
A seguir são apresentadas considerações sobre como usar o ACS:
O ACS desabilita os serviços desnecessários e fornece o Firewall do Windows com suporte de segurança avançada.
As políticas de segurança criadas com o ACS não são iguais aos modelos de segurança, que são arquivos com uma extensão .inf. Os modelos de segurança contêm mais configurações de segurança do que podem ser definidas com o ACS. No entanto, é possível incluir um modelo de segurança em um arquivo de política de segurança do ACS.
Você pode implantar as políticas de segurança que cria com o ACS usando a Política de Grupo.
O ACS não instala ou desinstala os recursos necessários para o servidor executar uma função. Você pode instalar recursos específicos de função do servidor por meio do Gerenciador de Servidores.
O ACS detecta dependências de função do servidor. Se você selecionar uma função do servidor, ele selecionará automaticamente as funções do servidor dependentes.
Todos os aplicativos que usam o protocolo e as portas IP devem estar em execução no servidor quando você executa o ACS.
Em alguns casos, você deve estar conectado à Internet para usar os links na Ajuda do ACS.
Observação
O ACS está disponível apenas no Windows Server e é aplicável somente às instalações de servidor.
O ACS pode ser acessado por meio do Gerenciador de Servidores ou executando scw.exe. O assistente fornece orientações durante a configuração de segurança do servidor para:
Criar uma política de segurança que possa ser aplicada a qualquer servidor na rede.
Editar uma política de segurança existente.
Aplicar uma política de segurança existente.
Reverter a última política de segurança aplicada.
O Assistente de Política de Segurança configura os serviços e a segurança de rede com base na função do servidor, bem como define as configurações de auditoria e do Registro.
Para saber mais sobre o ACS, incluindo procedimentos, veja o Assistente de Configuração de Segurança.
Trabalhando com o Gerenciador de Configuração de Segurança
O conjunto de ferramentas do Gerenciador de Configuração de Segurança permite a você criar, aplicar e editar a segurança do seu dispositivo local, unidade organizacional ou domínio.
Para obter os procedimentos sobre como usar o Gerenciador de Configuração de Segurança, consulte Gerenciador de Configuração de Segurança.
A tabela a seguir lista os recursos do Gerenciador de Configuração de Segurança.
| Ferramentas do Gerenciador de Configuração de Segurança | Descrição |
|---|---|
Configuração e Análise de Segurança |
Define uma política de segurança em um modelo. Esses modelos podem ser aplicados à Política de Grupo ou ao seu computador local. |
Modelos de segurança |
Define uma política de segurança em um modelo. Esses modelos podem ser aplicados à Política de Grupo ou ao seu computador local. |
Extensão de configurações de segurança para Política de Grupo |
Edita as configurações de segurança individuais em um domínio, site ou unidade organizacional. |
Política de segurança local |
Edita as configurações individuais de segurança no computador local. |
Secedit |
Automatiza as tarefas de configuração de segurança em um prompt de comando. |
Configuração e Análise de Segurança
A Configuração e Análise de Segurança é um snap-in do MMC para analisar e configurar a segurança do sistema local.
Análise de segurança
O estado do sistema operacional e dos aplicativos em um dispositivo é dinâmico. Por exemplo, talvez seja necessário alterar temporariamente os níveis de segurança para que você possa resolver imediatamente um problema de rede ou de administração. No entanto, essa alteração com frequência não pode ser revertida. Isso significa que um computador pode não mais atender aos requisitos de segurança corporativa.
A análise regular permite que você acompanhe e assegure um nível adequado de segurança em cada computador como parte de um programa de gerenciamento de risco empresarial. Você pode ajustar os níveis de segurança e, principalmente, detectar qualquer falha de segurança que possa ocorrer no sistema ao longo do tempo.
A Configuração e Análise de Segurança permite que você examine rapidamente os resultados da análise de segurança. Ela apresenta recomendações junto com as configurações do sistema atuais e usa sinalizadores visuais ou comentários para realçar as áreas nas quais as configurações atuais não correspondem ao nível de segurança proposto. A Configuração e Análise de Segurança também permite resolver qualquer discrepância revelada pela análise.
Configuração de segurança
A Configuração e Análise de Segurança também pode ser usada para configurar diretamente a segurança do sistema local. Com o uso de bancos de dados pessoais, você pode importar modelos de segurança que foram criados com Modelos de Segurança e aplicar esses modelos ao computador local. Isso configura imediatamente a segurança do sistema com os níveis especificados no modelo.
Modelos de segurança
Com o snap-in Modelos de Segurança do Console de Gerenciamento Microsoft, você pode criar uma política de segurança para o seu dispositivo ou para a rede. É um único ponto de entrada onde a gama completa de segurança do sistema pode ser levada em conta. O snap-in Modelos de Segurança não apresenta novos parâmetros de segurança. Ele simplesmente organiza todos os atributos de segurança existentes em um só lugar para facilitar a administração de segurança.
A importação de um modelo de segurança para um Objeto de Política de Grupo facilita a administração de domínio ao configurar a segurança de um domínio ou unidade organizacional ao mesmo tempo.
Para aplicar um modelo de segurança ao seu dispositivo local, você pode usar a Configuração e Análise de Segurança ou a ferramenta de linha de comando secedit.
Os modelos de segurança podem ser usados para definir:
Políticas de conta
Política de senha
Política de bloqueio de conta
Política de Kerberos
Políticas locais
Política de auditoria
Atribuição de direitos de usuário
Opções de segurança
Log de eventos: configurações de log de eventos de aplicativo, sistema e segurança
Grupos restritos: associação a grupos sensíveis à segurança
Serviços do sistema: inicialização e permissões para serviços do sistema
Registro: permissões para chaves do Registro
Sistema de arquivos: permissões para pastas e arquivos
Cada modelo é salvo como um arquivo de texto .inf. Isso permite que você copie, cole, importe ou exporte alguns ou todos os atributos do modelo. Com exceção das políticas de segurança e de chave pública do protocolo IP, todos os atributos de segurança podem ser contidos em um modelo de segurança.
Extensão de configurações de segurança para Política de Grupo
As unidades organizacionais, os domínios e os sites são vinculados aos Objetos de Política de Grupo. A ferramenta de configurações de segurança permite que você altere a configuração de segurança do Objeto de Política de Grupo, que por sua vez, afeta vários computadores. Com as configurações de segurança, você pode modificar as configurações de segurança de muitos dispositivos, dependendo do Objeto de Política de Grupo modificado, de apenas um dispositivo que ingressou em um domínio.
As políticas ou configurações de segurança são regras definidas em um ou vários dispositivos para proteger os recursos em um dispositivo ou rede. As configurações de segurança podem controlar:
Como os usuários são autenticados em uma rede ou dispositivo.
Quais recursos os usuários estão autorizados a usar.
Se as ações de um usuário ou grupo são registradas ou não no Log de eventos.
Associação a um grupo.
Você pode alterar a configuração de segurança em vários computadores de duas maneiras:
Crie uma política de segurança usando um modelo de segurança com Modelos de Segurança e, em seguida, importe o modelo por meio de configurações de segurança para um Objeto de Política de Grupo.
Altere algumas configurações selecionadas com configurações de segurança.
Política de segurança local
Uma política de segurança é uma combinação de configurações de segurança que afetam a segurança em um dispositivo. Você pode usar sua política de segurança local para editar políticas locais e de conta no dispositivo local.
Com a política de segurança local, você pode controlar:
Quem acessa seu dispositivo.
Quais recursos os usuários estão autorizados a utilizar no seu dispositivo.
Se as ações de um usuário ou grupo são registradas ou não no Log de eventos.
Se seu dispositivo local tiver ingressado em um domínio, você estará sujeito à obtenção de uma política de segurança da política do domínio ou da política de qualquer unidade organizacional da qual for membro. Se você estiver recebendo uma política de mais de uma fonte, os conflitos serão resolvidos na seguinte ordem de precedência:
Política da unidade organizacional
Política de domínio
Política de site
Política do computador local
Se você modificar as configurações de segurança no dispositivo local usando a política de segurança local, modificará diretamente as configurações no seu dispositivo. Portanto, as configurações terão efeito imediato, mas isso só pode ser temporário. Na verdade, as configurações permanecerão em efeito no dispositivo local até a próxima atualização das configurações de segurança da Política de Grupo, quando as configurações de segurança recebidas da Política de Grupo serão substituídas pelas configurações locais sempre que houver conflitos.
Usando o Gerenciador de Configuração de Segurança
Para obter os procedimentos sobre como usar o Gerenciador de Configuração de Segurança, consulte Instruções do Gerenciador de Configuração de Segurança. Esta seção contém as informações neste tópico sobre:
Aplicação de configurações de segurança
Importação e exportação de modelos de segurança
Análise da segurança e exibição de resultados
Resolução de discrepâncias de segurança
Automatização de tarefas de configuração de segurança
Aplicação de configurações de segurança
Depois que você tiver editado as configurações de segurança, elas serão atualizadas nos computadores da unidade organizacional vinculados ao seu Objeto de Política de Grupo:
Quando um dispositivo é reiniciado, as configurações desse dispositivo são atualizadas.
Para forçar um dispositivo para atualizar suas configurações de segurança, bem como todas as configurações de política de grupo, use gpupdate.exe.
Precedência de uma política quando mais de uma política é aplicada a um computador
Para configurações de segurança definidas por mais de uma política, a seguinte ordem de precedência é observada:
Política da unidade organizacional
Política de domínio
Política de site
Política do computador local
Por exemplo, uma estação de trabalho que tenha ingressado em um domínio terá suas configurações de segurança local substituídas pela política de domínio sempre que houver um conflito. Da mesma forma, se a mesma estação de trabalho for membro de uma unidade organizacional, as configurações aplicadas da política da unidade organizacional substituirão as configurações de domínio e locais. Se a estação de trabalho for membro de mais de uma unidade organizacional, a unidade organizacional que contém imediatamente a estação de trabalho terá a ordem de precedência mais alta.
Observação
Use gpresult.exe para descobrir quais políticas são aplicadas a um dispositivo e em que ordem.
Para contas de domínio, pode haver apenas uma política de conta que inclui políticas de senha, políticas de bloqueio de conta e políticas Kerberos.
Persistência nas configurações de segurança
As configurações de segurança ainda podem persistir, mesmo se uma configuração não estiver mais definida na política que a aplicou originalmente.
A persistência nas configurações de segurança ocorre quando:
A configuração não foi definida anteriormente para o dispositivo.
A configuração é para um objeto do Registro.
A configuração é de um objeto do sistema de arquivos.
Todas as configurações aplicadas por meio da política local ou um Objeto de Política de Grupo são armazenadas em um banco de dados local no dispositivo. Sempre que uma configuração de segurança é modificada, o computador salva o valor da configuração de segurança no banco de dados local, que mantém um histórico de todas as configurações que foram aplicadas ao dispositivo. Se uma política primeiro definir uma configuração de segurança e depois não definir mais essa configuração, a configuração terá o valor anterior no banco de dados. Caso não haja um valor anterior no banco de dados, a configuração não é revertida para nada e permanece definida como está. Às vezes, esse comportamento é denominado "tatuagem".
As configurações do Registro e de arquivo manterão os valores aplicados por meio da política até que essa configuração seja definida com outros valores.
Filtrando as configurações de segurança com base na associação de grupo
Você também pode decidir quais usuários ou grupos terão ou não um Objeto de Política de Grupo aplicado a eles, independentemente de o computador em que fizeram logon negar as permissões Aplicar Política de Grupo ou Ler nesse Objeto de Política de Grupo. Essas duas permissões são necessárias para aplicar a Política de Grupo.
Importação e exportação de modelos de segurança
A Configuração e Análise de Segurança fornece a capacidade de importar e exportar modelos de segurança de ou para um banco de dados.
Se você tiver feito alterações no banco de dados de análise, poderá salvar essas configurações exportando-as para um modelo. O recurso de exportação fornece a capacidade de salvar as configurações do banco de dados de análise como um novo arquivo de modelo. Esse arquivo de modelo poderá ser usado para analisar ou configurar um sistema, ou pode ser importado para um Objeto de Política de Grupo.
Análise da segurança e exibição de resultados
A Configuração e Análise de Segurança executa a análise de segurança comparando o estado atual da segurança do sistema em relação a um banco de dados de análise. Durante a criação, o banco de dados de análise usa pelo menos um modelo de segurança. Se você optar por importar mais de um modelo de segurança, o banco de dados mesclará os diversos modelos e criará um modelo composto. Isso resolve conflitos na ordem de importação; o último modelo importado tem precedência.
A Configuração e Análise de Segurança exibe os resultados da análise por área de segurança, usando sinalizadores visuais para indicar problemas. Ela exibe as configurações atuais do sistema e de configuração básica para cada atributo de segurança nas áreas de segurança. Para alterar as configurações do banco de dados de análise, clique com botão direito do mouse na entrada e clique em Propriedades.
| Sinalizador visual | Significado |
|---|---|
X vermelho |
A entrada é definida no banco de dados de análise e no sistema, mas os valores de configuração de segurança não coincidem. |
Marca de seleção verde |
A entrada é definida no banco de dados de análise e no sistema e os valores de configuração coincidem. |
Ponto de interrogação |
A entrada não está definida no banco de dados de análise e, portanto, não foi analisada. Se uma entrada não for analisada, pode ser que não tenha sido definida no banco de dados de análise ou que o usuário que está executando a análise não tenha permissão suficiente para executar a análise em uma área ou objeto específico. |
Ponto de exclamação |
Este item é definido no banco de dados de análise, mas não existe no sistema real. Por exemplo, pode haver um grupo restrito que é definido no banco de dados de análise, mas na verdade não existe no sistema analisado. |
Sem realce |
O item não é definido no banco de dados de análise, nem no sistema. |
Se você optar por aceitar as configurações atuais, o valor correspondente na configuração básica será modificado para corresponder a elas. Se você alterar a configuração do sistema para corresponder à configuração básica, a alteração será refletida quando configurar o sistema com a Configuração e Análise de Segurança.
Para evitar a sinalização contínua de configurações que você analisou e determinou como razoáveis, modifique a configuração básica. As alterações são feitas em uma cópia do modelo.
Resolução de discrepâncias de segurança
Você pode resolver as discrepâncias entre as configurações de banco de dados de análise e sistema das seguintes formas:
Aceitando ou alterando alguns ou todos os valores sinalizados ou não inclusos na configuração, se você determinar que os níveis de segurança do sistema local são válidos devido ao contexto (ou função) desse computador. Em seguida, esses valores de atributo são atualizados no banco de dados e aplicados ao sistema quando você clica em Configurar Computador Agora.
Configurando o sistema com os valores de banco de dados de análise, se você determinar que o sistema não está em conformidade com os níveis de segurança válidos.
Importando um modelo mais adequado para a função do computador para o banco de dados como a nova configuração básica e aplicando-a ao sistema.
As alterações no banco de dados de análise são feitas para o modelo armazenado no banco de dados, não no arquivo do modelo de segurança. O arquivo do modelo de segurança somente será modificado se você retornar aos Modelos de Segurança e editar esse modelo ou exportar a configuração armazenada para o mesmo arquivo de modelo.
Você deve usar Configurar Computador Agora somente para modificar as áreas de segurança não afetadas pelas configurações de Política de Grupo, como segurança em pastas e arquivos locais, chaves do Registro e serviços do sistema. Caso contrário, quando as configurações de Política de Grupo forem aplicadas, elas terão precedência sobre as configurações locais, como políticas de conta. Em geral, não use Configurar Computador Agora quando você estiver analisando a segurança para clientes baseados em domínio, pois será necessário configurar cada cliente individualmente. Nesse caso, você deve retornar aos Modelos de Segurança, modificar o modelo e reaplicá-lo ao Objeto de Política de Grupo apropriado.
Automatização de tarefas de configuração de segurança
Ao chamar a ferramenta secedit.exe em um prompt de comando de um arquivo em lotes ou agendador de tarefas automático, você pode usá-la para criar e aplicar modelos automaticamente e analisar a segurança do sistema. Você também pode executá-la dinamicamente em um prompt de comando.
A ferramenta Secedit.exe é útil quando você tem vários dispositivos nos quais a segurança deve ser analisada ou configurada e você precisa executar essas tarefas fora do horário do expediente.
Trabalhando com ferramentas de Política de Grupo
A Política de Grupo é uma infraestrutura que permite especificar configurações gerenciadas para usuários e computadores por meio de configurações de Política de Grupo e preferências da Política de Grupo. Para configurações de Política de Grupo que afetam apenas um dispositivo ou usuário local, você pode usar o Editor de Política de Grupo Local. Você pode gerenciar as configurações de Política de Grupo e Preferências da Política de Grupo em um ambiente de Serviços de Domínio do Active Directory (AD DS) por meio do Console de Gerenciamento de políticas de Grupo (GPMC). As ferramentas de gerenciamento de Política de Grupo também estão incluídas no pacote de Ferramentas de Administração de Servidor Remoto para fornecer uma maneira para administrar as configurações de Política de Grupo da área de trabalho.