Como aplicar modelos de segurança predefinidos no Windows Server 2003

Este artigo passo a passo descreve como aplicar modelos de segurança predefinidos.

Aplica-se a: Windows Server 2003
Número de KB original: 816585

Resumo

O Microsoft Windows Server 2003 inclui vários modelos de segurança predefinidos que você pode aplicar para aumentar o nível de segurança em sua rede. Você pode modificar modelos de segurança para atender aos seus requisitos usando modelos de segurança no MMC (Console de Gerenciamento da Microsoft).

Modelos de segurança predefinidos no Windows Server 2003

• Segurança padrão (Setup security.inf)

  O modelo security.inf de instalação é criado durante a instalação e é específico para cada computador. Ele varia de computador para computador, com base em se a instalação foi uma instalação limpo ou uma atualização. A configuração security.inf representa as configurações de segurança padrão que são aplicadas durante a instalação do sistema operacional, incluindo as permissões de arquivo para a raiz da unidade do sistema. Ele pode ser usado em servidores e computadores cliente; ele não pode ser aplicado a controladores de domínio. Você pode aplicar partes deste modelo para fins de recuperação de desastre.

  Não aplique o security.inf de instalação usando Política de Grupo. Se você fizer isso, poderá ter um desempenho reduzido.

  Observação

  No Microsoft Windows 2000, existem dois modelos de segurança diversos, sem ocfiless (para servidores de arquivo) e ocfilesw (para estações de trabalho). No Windows Server 2003, esses arquivos foram substituídos pelo arquivo Setup security.inf.

• Segurança padrão do controlador de domínio (DC security.inf)

  Esse modelo é criado quando um servidor é promovido a um controlador de domínio. Ele reflete as configurações de segurança padrão de arquivo, registro e serviço do sistema. Se você reaplicar esse modelo, essas configurações serão definidas como os valores padrão. No entanto, o modelo pode substituir permissões em novos arquivos, chaves de registro e serviços do sistema criados por outros programas.

• Compatível (Compatws.inf)

  Esse modelo altera as permissões padrão de arquivo e registro concedidas aos membros do grupo Usuários de forma consistente com os requisitos da maioria dos programas que não pertencem ao Programa de Logotipo do Windows para Software. O modelo compatível também remove todos os membros do grupo usuários do Power.

  Para obter mais informações sobre o Programa de Logotipo do Windows para Software, visite o seguinte site da Microsoft: Catálogo do Windows Server

  Observação

  Não aplique o modelo compatível aos controladores de domínio.

• Seguro (Secure*.inf)

  Os modelos seguros definem configurações de segurança aprimoradas que são menos propensas a afetar a compatibilidade do programa. Por exemplo, os modelos seguros definem configurações mais fortes de senha, bloqueio e auditoria. Além disso, os modelos limitam o uso de protocolos de autenticação do LAN Manager e NTLM configurando clientes para enviar apenas respostas NTLMv2 e configurando servidores para recusar respostas do LAN Manager.

  Há dois modelos seguros predefinidos no Windows Server 2003: Securews.inf para estações de trabalho e Securec.inf para controladores de domínio. Para obter informações adicionais sobre como usar esses modelos e outros modelos de segurança, pesquise Ajuda e Centro de Suporte para "modelos de segurança predefinidos".

• Altamente seguro (hisec*.inf)

  Os modelos altamente seguros especificam restrições adicionais que não são definidas pelos modelos Secure, como níveis de criptografia e assinatura necessários para autenticação e troca de dados em canais seguros e entre clientes e servidores do SMB (Server Message Block).

• Segurança raiz do sistema (Rootsec.inf)

  Este modelo especifica as permissões raiz. Por padrão, Rootsec.inf define essas permissões para a raiz da unidade do sistema. Você pode usar esse modelo para reaplicar as permissões de diretório raiz se elas forem alteradas inadvertidamente ou modificar o modelo para aplicar as mesmas permissões raiz a outros volumes. Conforme especificado, o modelo não substitui permissões explícitas definidas em objetos filho; propaga apenas as permissões herdadas por objetos filho.

• Nenhum SID de usuário do Terminal Server (Notssid.inf)

  Você pode aplicar esse modelo para remover SIDs (identificadores de segurança do servidor) Terminal do Windows do sistema de arquivos e locais do registro quando os Serviços de Terminal não estiverem sendo executados. Depois de fazer isso, a segurança do sistema não necessariamente melhora. Para obter informações mais detalhadas sobre todos os modelos predefinidos no Windows Server 2003, pesquise Ajuda e Centro de Suporte para "modelos de segurança predefinidos".

  Importante

  Implementar um modelo de segurança em um controlador de domínio pode alterar as configurações da Política padrão do Controlador de Domínio ou da Política de Domínio Padrão. O modelo aplicado pode substituir permissões em novos arquivos, chaves de registro e serviços do sistema criados por outros programas. A restauração dessas políticas pode ser necessária depois que você aplicar um modelo de segurança. Antes de seguir essas etapas em um controlador de domínio, crie um backup do compartilhamento SYSVOL.

Aplicar um modelo de segurança

1. Clique em Iniciar, clique em Executar, digite mmc e clique em OK.
2. No menu Arquivo, clique em Adicionar/Remover Snap-in.
3. Clique em Adicionar.
4. Na lista Snap-ins autônomos disponíveis , clique em Configuração e Análise de Segurança, clique em Adicionar, clique em Fechar e clique em OK.
5. No painel esquerdo, clique em Configuração e Análise de Segurança e exiba as instruções no painel direito.
6. Clique com o botão direito do mouse em Configuração e Análise de Segurança e clique em Abrir Banco de Dados.
7. Na caixa Nome do arquivo , digite o nome do arquivo de banco de dados e clique em Abrir.
8. Clique no modelo de segurança que você deseja usar e clique em Abrir para importar as entradas contidas no modelo para o banco de dados.
9. Clique com o botão direito do mouse em Configuração e Análise de Segurança no painel esquerdo e clique em Configurar o Computador Agora.