• Artigo

Security WatchO Assistente de Configuração de Segurança

John Morello

Esta coluna inclui informações de pré-lançamento sobre o Windows Server "Longhorn" que estão sujeitas a alterações.

A proteção dos servidores com eficiência e consistência é um desafio para muitas empresas de TI, especialmente para aquelas com grandes quantidades de máquinas dispersas em vários limites geográficos e organizacionais. Apesar de fortalecer um único servidor possa ser uma tarefa relativamente simples para um administrador experiente, a proteção de dezenas, centenas ou

até mesmo milhares de servidores é uma proposta bem diferente. Ao longo dos anos, muitas empresas estão utilizando suas próprias listas de verificação ou padrões internos para a segurança de servidor ou incorporaram orientações fornecidas pela Microsoft, pelo National Institute of Standards and Technology ou outros terceiros. Embora essa documentação possa ser tremendamente valiosa, a documentação por si só não é suficiente para permitir que as empresas realmente coloquem essas práticas recomendadas em ação em suas redes. Portanto, muitas optaram por manter as suas configurações de instalação padrão ou investiram tempo significativo e esforço para criar seus próprios scripts ou diretivas para proteção dos sistemas.

Com o advento do Security Configuration Wizard (SCW) no Windows Server® 2003 Service Pack 1 (SP1), a Microsoft agora oferece um método simples e compatível para proteção de servidores, reduzindo a superfície de ataque com base nas funções desempenhadas. Ao combinar os benefícios do SCW com a implantação centralizada e os recursos de gerenciamento da Diretiva de grupo, o SCW pode ser ampliado para as maiores empresas de TI. Na coluna deste mês, apresentarei uma visão geral de como as empresas de TI podem usar o SCW e a Diretiva de grupo para gerenciar seus servidores de forma mais segura e consistente, reduzindo os custos de implantação e operacionais.

O que é a SCW?

O SCW é um componente opcional, instalado através da opção Adicionar ou remover componentes do Windows®, disponível em todos os membros da família do Windows Server 2003 SP1, inclusive o Windows Server 2003 R2. Um administrador iniciaria executando o SCW em um servidor de destino para identificar as funções que o servidor atende. O SCW então auxilia o administrador na criação de uma diretiva de segurança, o que protege a máquina usando um esquema com menos privilégios. Em outras palavras, o SCW ajuda a garantir que somente esses serviços, recursos de aplicativo e portas necessárias para que os papéis funcionem estarão disponíveis; tudo que não seja especificamente necessário pelas funções que o servidor executa será desabilitado. Essa abordagem ajuda a reduzir a superfície de ataque do servidor de destino. Se você executar serviços que não sejam necessários para a função que o servidor executa, você aumenta o risco para o servidor sem qualquer ganho na capacidade ou funcionalidade. Desabilitar esses serviços reduzirá o risco e também pode aprimorar o desempenho do servidor.

Apesar de a Microsoft ter feito muitos avanços em segurança com o Windows Server 2003, reduzindo muito a superfície de ataque em comparação às versões anteriores do Windows Server, ele não foi desenvolvido no mesmo núcleo extremamente dividido por componentes que o Windows Vista™ e a próxima versão do Windows Server, cujo codinome é “Longhorn”. Portanto, em uma instalação padrão do Windows Server 2003, pode haver serviços habilitados e em execução que não sejam necessários em todas as configurações de função de servidor. Por exemplo, o serviço de Spooler de impressão é habilitado por padrão, mas não é necessário para uma máquina que esteja somente atuando como um servidor de banco de dados.

Tornando a segurança baseada em funções uma realidade

Ao longo dos últimos anos, a Microsoft lançou várias documentações com foco na segurança, as quais ajudam os administradores a compreenderem quais serviços são necessários em diferentes funções do servidor e fornecem modelos pré-criados para funções bem conhecidas como servidores da Web. No entanto, diretrizes como essas no Guia de segurança do Windows Server 2003 podem ser desafiadoras para implementar em ambientes de grande porte, especialmente quando os aplicativos utilizados nesses ambientes são com freqüência mais complexos que as instalações básicas do IIS ou SQL Server. Para complicar ainda mais a questão há uma grande variedade de aplicativos de terceiros que as empresas podem implantar, muitos dos quais têm dependências em várias funções e cujos requisitos de aplicativos e serviços não sempre bem definidos.

O SCW soluciona essas questões encapsulando todo o conhecimento sobre dependências e as práticas recomendadas contidas nos guias para um assistente direcionado ao administrador. Por exemplo, se um administrador estiver implantando um novo aplicativo da linha de negócios que requeira o SQL Server™ e o IIS, ele não precisará mais investir tempo significativo pesquisando no guia de segurança e em sua própria lista de dependências personalizadas. Em vez disso, ele pode instalar o aplicativo no servidor e iniciar o SCW. O SCW detectará quais serviços estão atualmente em execução e apresentará ao administrador uma lista das funções a serem escolhidas para o servidor. Dependendo da seleção dele, o SCW irá gerar uma diretiva que desabilitará todos os serviços desnecessários pela matriz de dependência das funções. O SCW também fornecerá opções para proteger o Registro, bloquear comunicações de rede desnecessárias e aplicar uma diretiva de auditoria eficiente. Depois de executar o SCW, o administrador pode salvar a diretiva do SCW como um arquivo XML e aplicá-la em qualquer outro servidor em execução no mesmo aplicativo da linha de negócios.

A execução do SCW fornece então três importantes vantagens em relação às abordagens tradicionais e mais manuais para proteger o Windows Server. Primeiramente, ele reduz extremamente (se não elimina) a necessidade de que um administrador consulte constantemente a documentação do produto, a fim de determinar os serviços e as configurações necessários para determinada carga de trabalho. Esse conhecimento é incorporado ao SCW e a interface direcionada a perguntas facilita que o administrador forneça os detalhes necessários. Em seguida, o SCW consolida a orientação para várias áreas, inclusive proteção de serviço, redução da superfície de ataque de rede, proteção de LDAP e serviços SMB, bem como bloqueio de IIS. Previamente, a execução dessas tarefas de configuração exigem utilitários separados, cada um com a sua própria interface e abordagem. Finalmente, como o SCW apresenta suas configurações em um arquivo de diretiva XML, ele pode ser usado em cenários “criar uma vez, aplicar várias”.. Independentemente de você estar implantando 1 ou 100 servidores para oferecer suporte a um determinado aplicativo da linha de negócios, a mesma diretiva do SCW será facilmente aplicada em todos eles. Isso torna as configurações de segurança mais consistentes e reduz os custos operacionais. Isso também facilita a reversão das diretivas do SCW.

Componentes do SCW

Para todos os recursos e benefícios, o SCW é na verdade uma ferramenta relativamente simples que consiste em três partes principais: a interface do assistente, a interface da linha de comando e o Security Configuration Database (SCD). Os administradores de empresas de pequeno e médio porte podem precisar interagir somente com a interface do assistente. Em ambientes maiores ou mais complexos, os administradores podem usar a interface da linha de comando para auxiliar na automatização das tarefas do SCW, como a transformação de uma diretiva do SCW em Objeto da Diretiva de Grupo (GPO, Group Policy Object). Geralmente, somente os administradores avançados que desejam criar suas próprias funções personalizadas do SCW modificarão o SCD.

A interface do assistente, mostrada na Figura 1, permite que os administradores criem, editem, apliquem e revertam configurações de segurança para um servidor de destino. Ele apresenta opções para os administradores em um fluxo de trabalho consistente, o qual examina primeiro os serviços e as configurações e, em seguida, a conectividade de rede e as diretivas de auditoria de segurança e, finalmente, as configurações de IIS.

Figura 1 Interface do SCW

Figura 1** Interface do SCW **(Clique na imagem para aumentar a exibição)

A interface da linha de comando do SCW fornece três funções básicas. Ela permite que os administradores analisem e configurem vários servidores (locais ou remotos) e revertam as diretivas. Ela pode ser usada para converter automaticamente a diretiva do SCW baseada em XML em um GPO, o qual pode ser nativamente usado nas ferramentas de gerenciamento do GPO padrão, como o Console de Gerenciamento da Diretiva de Grupo. Finalmente, a ferramenta da linha de comando do SCW mostrada na Figura 2 é utilizada para registrar quaisquer extensões novas do banco de dados de configuração de segurança.

Figura 2 Ferramenta de linha de comando do SCW

Figura 2** Ferramenta de linha de comando do SCW **(Clique na imagem para aumentar a exibição)

O SCD é simplesmente uma coleção de arquivos XML que detalham determinados serviços e configurações necessários para cada função do SCW. Esses arquivos estão localizados no %windir%\security\msscw\kbs. Por padrão, o SCW é fornecido com uma quantidade de funções principais do Windows Server, bem como com 12 funções de aplicativos predefinidas, inclusive: BizTalk®, Commerce Server, Exchange Server, Host Integration Server, Internet Security and Acceleration Server, Microsoft Identity Integration Server, Microsoft Operations Manager, Small Business Server, SharePoint® Portal Server, SharePoint Team Services, SQL Server e Systems Management Server. Cada função tem seu próprio arquivo XML (consulte a Figura 3). Sempre que uma nova definição de função for criada, o seu arquivo XML correspondente será posicionado em seu diretório. Os arquivos são XML padrão e podem ser lidos em qualquer visualizador de texto ou outro aplicativo que ofereça suporte a XML (consulte a Figura 4).

Figura 3 Funções predefinidas

Figura 3** Funções predefinidas **(Clique na imagem para aumentar a exibição)

Figura 4 Arquivo de configuração da função

Figura 4** Arquivo de configuração da função **(Clique na imagem para aumentar a exibição)

Combinando o SCW e a diretiva de grupo

Por si só, o SCW é uma excelente ferramenta, mas seu verdadeiro poder não é totalmente revelado até que seja combinado com a Diretiva de grupo. Desde o lançamento do Windows® 2000, as recomendações da Microsoft para proteção dos servidores do Windows tem sido concentrada no uso da Diretiva de grupo, a fim de fornecer aplicativo de diretiva consistente, persistente e gerenciado centralmente. Ao agrupar servidores em unidades organizacionais com base em suas funções, os administradores podem implantar configurações padrão de segurança em toda a empresa, em vez de no nível de máquina individual. Ao se desenvolver com base no acúmulo da diretiva de grupo padrão e na lógica do aplicativo, as empresas podem desenvolver uma hierarquia de função de servidor em camada, na qual várias diretivas mestre possam proteger centenas ou milhares de servidores individuais. Quando funções exclusivas de servidor exigirem variação das diretivas mestre, diretivas menores delta focalizadas em função podem ser criadas com maior proximidade na hierarquia da unidade organizacional para os próprios servidores. Isso permite que sejam feitas várias alterações para habilitar a funcionalidade específica por função sem precisar duplicar a diretiva mestre em sua totalidade, uma abordagem que fornece às grandes empresas os benefícios de uma diretiva gerenciada centralmente junto com a flexibilidade de adaptação a aplicativos específicos, quando necessário.

O verdadeiro desafio dessa abordagem é torná-la uma realidade. Para grandes empresas com muitos aplicativos e funções de servidor diferentes, a criação do conjunto correto de diretivas é difícil e demorada – ou era antes do SCW. Ao usar o SCW para gerar diretivas e anexá-las à unidade organizacional correta, você pode diminuir muito o tempo que leva para implantar a segurança com base em funções e hospedada em diretório nas cargas de trabalho existentes; além disso, você pode adotá-las posteriormente. Para melhor ilustrar como uma empresa deve fazer sua parte, vamos analisar uma implementação do SCW e de GPOs com base em função em uma grande empresa.

SCW na empresa

Para este exemplo, utilizarei a rede fictícia da Contoso. A Contoso possui um ambiente de TI amplo, complexo e geograficamente distribuído. Com o objeto de reduzir seus custos operacionais e aumentar a segurança de seus servidores, a Contoso segue as orientações da Microsoft para criar uma hierarquia da unidade organizacional com base em função, a qual separa e organiza os servidores com base na carga de trabalho. Para criar as diretivas a serem anexadas a essas unidades organizacionais, a Contoso utiliza o SCW.

Como o SCW não está instalado por padrão, a Contoso precisa habilitar especificamente o componente do SCW em sua imagem de instalação não assistida. Para fazer isso, será adicionada uma nova linha, SCW=On, na seção [Components] do Unattend.txt. Depois disso, todos os novos sistemas desenvolvidos com essa imagem terão o componente SCW instalado durante a configuração. Lembre-se de que simplesmente configurar o SCW para que seja instalado não aplica quaisquer diretivas a máquinas à medida que elas estiverem sendo desenvolvidas.

Para aplicar uma diretiva padrão durante o processo de instalação, a Contoso edita a seção [Commands] do arquivo cmdlines.txt na imagem para chamar o scwcmd com as seguintes opções:

scwcmd configure /p:ContosoBaselinePolicy.xml

O arquivo de texto e o arquivo XML devem estar no diretório $OEM$ da imagem. Por que a Contoso aplicaria uma diretiva da linha de base no momento da compilação em vez de simplesmente depender de uma anexada à unidade organizacional de nível superior no diretório? Ao aplicar uma diretiva no momento da compilação, a Contoso pode garantir uma linha de base consistente, independentemente de a máquina estar associada ao Active Directory®. Por exemplo, se um servidor for compilado para fins de teste, a aplicação da diretiva da linha de base durante o processo de compilação garante que ele, pelo menos, seguirá a diretiva de segurança padrão da empresa, mesmo se nunca estiver associado ao Active Directory de produção. Se o servidor for associado posteriormente ao Active Directory, a aplicação da Diretiva de grupo e o algoritmo precedente substituirão as configurações locais por aquelas do domínio ou nível da unidade organizacional (lembre-se de que a ordem de precedência do aplicativo de diretiva é local, site, domínio ou unidade organizacional).

Assim que o SCW tiver sido instalado, a Contoso pode começar a criar a sua diretiva da linha de base. A diretiva da linha de base deve ser aquela implantada no nível superior da hierarquia da unidade organizacional de segurança com base na função e geralmente será a diretiva mais restritiva na hierarquia. A idéia é ter uma segurança o mais padrão possível e, em seguida, abrir somente os serviços e portas para cargas individuais de trabalho, conforme necessário pelas funções desse servidor. Para isso, a diretiva da linha de base deve ser criado utilizando um servidor comum recentemente criado e adicionando a pilha Contoso padrão de ferramentas e utilitários de gerenciamento e, em seguida, executando o SCW nela. Por exemplo, depois da instalação básica do Windows ser concluída, a Contoso instalará (manualmente ou por meio do arquivo cmdlines.txt) suas ferramentas padrão de antivírus, backup, gerenciamento e monitoramento no servidor. Como cada uma dessas ferramentas provavelmente crie seus próprios serviços do Windows, tê-las no servidor antes de criar a diretiva de linha de base permite que o SCW esteja ciente de sua presença durante a fase de bloqueio do serviço.

Assim que o servidor for compilado, a Contoso executará o SCW nele. O SCW pode ser executado de forma local ou remotamente e quem estiver executando deve ser um membro do grupo de administradores locais da máquina. Se o SCW estiver sendo executado remotamente, ele fornecerá uma opção para especificar a conta do usuário a ser executada no host remoto; se estiver sendo executado localmente, você pode usar o runas.exe para realizar a mesma coisa. A primeira tarefa realizada pelo SCW é avaliar esses serviços em execução na máquina local e exibir quais funções estão atualmente instaladas (consulte a Figura 5).

Figura 5 Selecionar e visualizar as funções de servidor

Figura 5** Selecionar e visualizar as funções de servidor **(Clique na imagem para aumentar a exibição)

Nenhuma função deve ser selecionada no servidor da linha de base da Contoso, pois a máquina foi desenvolvida para estar em um estado extremamente restrito. Depois que as funções que o servidor executa forem selecionadas, a próxima etapa é identificar os recursos de cliente necessários, a fim de habilitar a funcionalidade, como atualizações automáticas, Active Directory ou cliente FTP. Para a maioria das empresas, aceitar o padrão do SCW (como ilustrado na Figura 6) fornece importante funcionalidade (como a capacidade de participar de um domínio), ao mesmo tempo proibindo recursos menos críticos (como o cliente FTP).

Figura 6 Recursos instalados

Figura 6** Recursos instalados **(Clique na imagem para aumentar a exibição)

O SCW continua, possibilitando que você selecione quais ferramentas administrativas específicas e serviços não padrão permitir. Esses opções de serviços não padrão são o motivo pelo qual você executa o SCW depois da instalação da pilha de gerenciamento do servidor Contoso padrão. Quando os aplicativos de antivírus, backup e outros relacionados estiverem instalados, o SCW poderá então ter conhecimento desses serviços e, portanto, incluí-los em suas configurações resultantes de diretiva.

A última questão na seção de proteção do serviço é como lidar com serviços não especificados. Esses são os serviços que podem ser encontrados em outros computadores nos quais a diretiva do SCW é aplicado, mesmo quando eles não estiverem sendo executados na máquina na qual a diretiva foi originalmente criada. Por exemplo, se a diretiva da linha de base for aplicada a um novo servidor com alguns aplicativos novos de terceiros, quaisquer serviços instalados por esse aplicativo serão tratados de acordo com a opção feita pelo administrador nesse ponto. O SCW permite que o administrador não altere o modo de inicialização do serviço ou o desabilite. Desabilitar é a opção mais segura, mas deve ser utilizada com cuidado, pois todos os serviços não permitidos explicitamente para execução serão impedidos de serem executados posteriormente. Por esse motivo, essa opção é a mais adequada para ambientes de alta segurança e bem gerenciados. Para outras partes de uma empresa, recomenda-se a opção de não alterar o modo de inicialização. Portanto, no exemplo da Contoso, essa foi a opção escolhida. Antes de concluir a parte de proteção do serviço de suas tarefas, o SCW apresenta ao administrador um relatório sobre quais serviços serão alterados.

Depois de concluir a proteção do serviço, o SCW fornece opções para limitar o acesso de rede de entrada. Como com a lista de serviços necessários para determinada função, a lista de partes necessárias para determinada carga de trabalho é incluída no banco de dados XML do SCW.

Os administradores podem configurar partes adicionais conforme a necessidade, bem como efetuar regras de porta por serviço, como mostrado na Figura 7. Para o servidor da linha de base da Contoso, somente os serviços mais básicos, como Área de trabalho remota, devem ser permitidos. Todas as outras exceções serão configuradas nas diretivas com base em função inferiores na hierarquia da unidade organizacional.

Figura 7 Visualizar e permitir portas

Figura 7** Visualizar e permitir portas **(Clique na imagem para aumentar a exibição)

O SCW permite então que o administrador selecione as opções de Registro, como assinar um arquivo e tráfego de impressão. Novamente, na configuração da linha de base, a escolha dos padrões mais seguros é recomendada como a melhor prática.

O próximo conjunto de opções envolve a diretiva de auditoria do sistema. Na maioria dos sistemas, selecionar a opção Auditoria de atividades bem-sucedidas é a melhor; a auditoria de todas as atividades exige mais do processador e gera uma quantidade significativa de dados no log de auditoria. Quando houver suspeita de ataque ou for necessária uma análise mais detalhada, a auditoria de falhas pode ser habilitada na máquina específica.

Finalmente, o SCW apresentará ao administrador opções para proteção de IIS. Essas opções são semelhantes àquelas disponíveis na ferramenta de bloqueio de IIS e agora estão integradas diretamente na diretiva do SCW.

Depois da conclusão de todas as etapas, o SCW solicita que o administrador salve o arquivo XML. O arquivo salvo deve ser convertido para um formato que seja compreendido nativamente pela Diretiva de grupo. O Scwcmd.exe é utilizado para transformar o arquivo XML salvo em um GPO. Este é o comando a ser inserido:

scwcmd transform /p:ContosoPolicy.xml /g:ContosoBaselineSecurityPolicy

Essa diretiva será automaticamente criada no Active Directory e pode ser anexada à parte superior da hierarquia da unidade organizacional de proteção com base em funções da Contoso.

Assim que essa diretiva for aplicada ao nível superior da hierarquia, as máquinas adicionadas à hierarquia da unidade organizacional herdarão as suas configurações. Quando uma máquina adicionada exigir modificações nessa diretiva (como um servidor IIS que requeira que o serviço W3SVC esteja em execução), os administradores da Contoso executarão novamente o SCW para essa nova função do servidor, transformarão essa nova política em um GPO e anexarão esse GPO à nova subunidade organizacional contendo o(s) servidor(es). Como o GPO mais próximo do servidor terá precedência, o resultado final será que todas as configurações da linha de base estarão posicionadas, exceto aquelas que requeiram modificações para habilitar a funcionalidade de função desejada para essa unidade organizacional (consulte a Figura 8).

Figura 8 Aplicativo de diretiva na Contoso

Figura 8** Aplicativo de diretiva na Contoso **(Clique na imagem para aumentar a exibição)

O verdadeiro poder dessa abordagem fica claro em grandes empresas ou quando muitos servidores estão sendo implantados. Assim que a diretiva de SCW inicial for criada e anexada a uma unidade organizacional, os servidores subseqüentes simplesmente precisam ser adicionados a essa unidade organizacional e herdam automaticamente a diretiva de segurança apropriada. Dessa forma, assim que o conjunto inicial de diretivas for criado e adicionado ao Active Directory, a implantação de novos servidores ou a substituição dos existentes se torna um processo simples e rápido.

Olhando para o futuro

Na próxima versão do Windows Server "Longhorn", a Microsoft dividiu extremamente os componentes do sistema operacional, resultando em uma superfície pronta dinamizada e limitada em relação a ataques. Em vez de se focalizar no bloqueio da instalação mínima padrão, os administradores utilizarão a ferramenta Server Manager para adicionar essas funções e cargas de trabalho necessárias em cada servidor. O Server Manager funciona de forma muito semelhante ao SCW no que diz respeito ao fato de ter um banco de dados interno de dependências, o qual permite que o instalador adicione somente essas partes de funcionalidade necessárias para fornecer o serviço de função desejado. Além disso, a segurança com base em funções gerenciada centralmente usando a Diretiva de grupo, como discutido neste artigo, é aprimorada ainda mais pelo conjunto extremamente ampliado de recursos controlados por GPO. Resumindo, o Windows Server "Longhorn" eleva o conceito do SCW com flexibilidade aumentada e uma postura pronta ainda mais forte de segurança.

Recursos SCW

As seguintes páginas da Web o ajudarão a começar a usar o SCW:

John Morello graduou-se na LSU (Universidade do Estado da Louisiana) e trabalha na Microsoft há seis anos, em várias funções. Na condição de consultor sênior, Morello criou soluções de segurança para as empresas da Fortune 100 e clientes civis federais e da defesa. Atualmente, ele é gerente sênior de programa do grupo Windows Server e trabalha em segurança e tecnologias de acesso remoto.

© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..