Suporte às diretrizes de configuração de segurança

Nos últimos anos, algumas empresas, incluindo a Microsoft, o Centro de Segurança da Internet (CIS), a Agência de Segurança Nacional (NSA), a Agência de Defesa dos Sistemas de Informação (DISA) e o Instituto Nacional de Padrões e Tecnologia (NIST) publicaram as "diretrizes de configuração de segurança" do Windows. Como qualquer outra diretriz, a segurança adicional exigida freqüentemente tem efeito adverso sobre a usabilidade.

Muitos desses guias, incluindo os da Microsoft, os da CIS e os da NIST, contêm vários níveis de configuração de segurança. Esses guias podem incluir níveis destinados ao seguinte:

• Interoperabilidade com sistemas operacionais antigos
• Ambientes empresariais
• Segurança aprimorada que fornece funcionalidade limitada
  
  Observação Esse nível é freqüentemente mencionado como nível Segurança Especializada-Funcionalidade Limitada ou nível Alta Segurança.

O nível de Alta Segurança ou Segurança Especializada - Funcionalidade Limitada foi projetado especificamente para ambientes extremamente hostis sob grande risco de ataque. Esse nível guarda informações extremamente valiosas, como as informações exigidas por determinados sistemas do governo. O nível Alta Segurança da maioria dessas diretrizes públicas é inapropriado para a maior parte dos sistemas que executam o Windows. É recomendável não usar o nível Alta Segurança em estações de trabalho com finalidades gerais. O nível Alta Segurança deve ser usado somente em sistemas onde há risco de morte, de perda de informações extremamente valiosas e de perda de grandes somas de dinheiro.

Muitos grupos trabalharam com a Microsoft na produção dessas diretrizes de segurança. Na maioria dos casos, essas diretrizes destinam-se à ameaças semelhantes. No entanto, devido aos requisitos legais e funcionais e às políticas locais, cada guia possui sua própria característica. Por esse motivo, pode haver diferenças de configuração entre os conjuntos de recomendações. A seção "Empresas que produzem diretrizes de segurança disponíveis para o público" contém um resumo de cada guia de segurança.

Empresas que produzem diretrizes de segurança disponíveis para o público

Microsoft Corporation

A Microsoft fornece diretrizes sobre como ajudar a proteger nossos próprios sistemas operacionais. Desenvolvemos os três níveis de configuração de segurança a seguir.

• Cliente Empresarial
• Autônomo
• Segurança Especializada - Funcionalidade Limitada

Essas diretrizes foram testadas para uso em diferentes cenários de cliente. As diretrizes são apropriadas para qualquer empresa que deseja ajudar a proteger seus computadores com Windows.

Confiamos em nossos guias devido aos longos testes conduzidos nos laboratórios de compatibilidade de aplicativo. Visite os seguintes sites da Microsoft para baixar nossos guias:

• Guia de Segurança do Windows Vista:
  http://technet.microsoft.com/pt-br/library/bb629420.aspx (http://technet.microsoft.com/pt-br/library/bb629420.aspx)
• Guia de Segurança do Windows XP:
  http://technet.microsoft.com/pt-br/library/cc163061.aspx (http://technet.microsoft.com/pt-br/library/cc163061.aspx)
• Guia de Segurança do Windows Server 2003:
  http://technet.microsoft.com/pt-br/library/cc163140.aspx (http://technet.microsoft.com/pt-br/library/cc163140.aspx)
• Guia de Fortalecimento de Segurança do Windows 2000:
  http://technet.microsoft.com/pt-br/library/dd277465.aspx (http://technet.microsoft.com/pt-br/library/dd277465.aspx)

Se, após a implementação dos Guias de Segurança da Microsoft, você tiver problemas ou quiser fazer comentários, envie um email para secwish@microsoft.com (mailto:secwish@microsoft.com) .

O Centro de Segurança da Internet

(CIS) desenvolveu parâmetros de comparação para fornecer informações que ajudam as empresas a tomarem decisões informadas sobre determinadas opções de segurança disponíveis. O CIS disponibiliza três níveis de parâmetros de comparação de segurança:

• Herdado
• Corporativo
• Alta Segurança

Se, após a implementação das configurações dos parâmetros de comparação do CIS, você tiver problemas ou quiser fazer comentários, envie um email para o CIS para win2k-feedback@cisecurity.org (mailto:win2k-feedback@cisecurity.org) .

Observação As diretrizes do CIS sofreram alterações desde a primeira publicação deste artigo (3 de novembro de 2004). As diretrizes atuais do CIS são semelhantes às diretrizes fornecidas pela Microsoft. Para obter mais informações sobre as diretrizes fornecidas pela Microsoft, leia a seção "Microsoft Corporation" mencionada neste artigo.

O Instituto Nacional de Padrões e Tecnologia

(NIST) é responsável pela criação de diretrizes de segurança para o governo federal dos Estados Unidos. O NIST criou quatro níveis de diretrizes de segurança que são usados pelas agências federais dos Estados Unidos e por empresas privadas e públicas:

• SoHo
• Herdado
• Corporativo
• Segurança especializada ? Funcionalidade limitada

Se, após a implementação dos modelos de segurança do NIST, você tiver problemas ou quiser fazer comentários, envie um email para o NIST para itsec@nist.gov (mailto:itsec@nist.gov) .

Observação As diretrizes do NIST sofreram alterações desde a primeira publicação deste artigo (3 de novembro de 2004). As diretrizes atuais do NIST são semelhantes às diretrizes fornecidas pela Microsoft. Para obter mais informações sobre as diretrizes fornecidas pela Microsoft, leia a seção "Microsoft Corporation" mencionada neste artigo.

A Agência de Defesa dos Sistemas de Informação

(DISA) cria diretrizes específicas para uso no Departamento de Defesa (DOD). Usuários do Departamento de Defesa (DOD) dos Estados Unidos que tiverem problemas ou dúvidas após a implementação das diretrizes de configuração da DISA poderão enviar um email para fso_spt@ritchie.disa.mil (mailto:fso_spt@ritchie.disa.mil) .

Observação As diretrizes da DISA sofreram alterações desde a primeira publicação deste artigo (3 de novembro de 2004). As atuais diretrizes da DISA são idênticas ou semelhantes às diretrizes fornecidas pela Microsoft. Para obter mais informações sobre as diretrizes fornecidas pela Microsoft, leia a seção "Microsoft Corporation" mencionada neste artigo.

A Agência de Segurança Nacional (NSA)

A NSA produziu diretrizes para ajudar a proteger os computadores do Departamento de Defesa dos Estados Unidos em alto risco. A NSA desenvolveu um único nível de diretrizes que corresponde aproximadamente ao nível Alta Segurança produzido por outras empresas.

Se, após a implementação dos Guias de Segurança do NSA para o Windows XP, você tiver problemas ou dúvidas, envie uma mensagem de email para XPGuides@nsa.gov (mailto:XPGuides@nsa.gov) . Para enviar comentários sobre os guias do Windows 2000, envie um email para w2kguides@nsa.gov (mailto:w2kguides@nsa.gov) .

Observação As diretrizes da NSA sofreram alterações desde a primeira publicação deste artigo (3 de novembro de 2004). As atuais diretrizes da NSA são idênticas ou semelhantes às diretrizes fornecidas pela Microsoft. Para obter mais informações sobre as diretrizes fornecidas pela Microsoft, leia a seção "Microsoft Corporation" mencionada neste artigo.

Problemas de diretrizes de segurança

Conforme descrito anteriormente neste artigo, os altos níveis de segurança mencionados em alguns desses guias foram criados para limitar significativamente a funcionalidade de um sistema. Devido a essa restrição, é recomendável testar todo o sistema antes de implementar essas recomendações.

Observação As diretrizes de segurança fornecidas para o nível Herdado, SoHo ou Empresarial não afetam a funcionalidade do sistema de forma severa. Esse artigo da Base de Dados de Conhecimento é voltado principalmente para as diretrizes associadas ao mais alto nível de segurança.

Apoiamos os esforços do setor para fornecer diretrizes de segurança para a implantação em áreas de alta segurança. Continuamos a trabalhar com grupos de padrões de segurança para desenvolver guias de fortalecimento úteis que são testados em todos os requisitos. As diretrizes de segurança de outros fabricantes são sempre produzidas com avisos rigorosos que solicitam a execução de testes nos ambientes de destino de alta segurança. No entanto, esses avisos nem sempre são seguidos. Certifique-se de testar todas as configurações de segurança no ambiente de destino. As configurações de segurança não recomendadas por nós podem invalidar o teste de compatibilidade do aplicativo que é executado como parte do processo de testes do sistema operacional. Além disso, nós e os outros fabricantes não aconselhamos a aplicação das diretrizes de teste em ambientes ativos, em vez de ambientes de teste.

Os altos níveis desses guias de segurança incluem várias configurações que você deverá analisar cuidadosamente antes de implementá-las. Embora essas configurações possam fornecer benefícios de segurança adicionais, elas podem ter efeito adverso sobre a usabilidade do sistema.

Modificações na lista de controle de acesso do Registro e sistema de arquivos

O Windows Vista, o Microsoft Windows XP e o Microsoft Windows Server 2003 possuem permissões restritas em todo o sistema. Por isso, grandes alterações nas permissões padrão não são necessárias.

Alterações adicionais na lista de controle de acesso podem invalidar todos ou a maior parte dos testes de compatibilidade do aplicativo executados pela Microsoft. Freqüentemente, alterações como essas não passaram com êxito nos rígidos testes que a Microsoft executou em outras configurações. Casos de suporte e experiências de campo têm mostrado que as edições na lista de controle de acesso alteram o comportamento fundamental do sistema operacional, geralmente de formas indesejadas. Essas alterações afetam a compatibilidade e a estabilidade do aplicativo e reduzem a funcionalidade, ambos relacionados ao desempenho e à capacidade.

Devido a essas três alterações, não é recomendável modificar as listas de controle de acesso do sistema de arquivos em arquivos incluídos em sistemas operacionais ativos. É recomendável que você avalie todas as alterações adicionais na lista de controle de acesso em comparação a uma ameaça conhecida para compreender as vantagens potenciais que elas podem aplicar em uma configuração específica. Por esses motivos, nossos guias executam apenas alterações mínimas na lista de controle de acesso e somente no Windows 2000. Para o Windows 2000, várias alterações menores são necessárias. Essas alterações estão descritas no Guia de Fortalecimento de Segurança do Windows 2000.

Grandes alterações de permissão que são propagadas no Registro e no sistema de arquivos não podem ser desfeitas. Novas pastas, como as pastas de perfil de usuário que não estavam presentes na instalação original do sistema operacional podem ser afetadas. Por isso, se você remover uma configuração de Diretiva de Grupo que executa alterações na lista de controle de acesso ou aplicar os padrões do sistema, não será possível reverter para as listas de controle de acesso originais.

Alterações na lista de controle de acesso da pasta %SystemDrive% podem resultar nos seguintes cenários:

• A Lixeira não funciona mais como o esperado e os arquivos não podem ser recuperados.
• Uma redução de segurança que permite que um usuário não administrador visualize o conteúdo da Lixeira do administrador.
• A falha dos perfis de usuário funcionar como o esperado.
• Uma redução de segurança que fornece aos usuários interativos acesso de leitura a alguns ou todos os perfis de usuário no sistema
• Problemas de desempenho quando várias edições na lista de controle de acesso são carregadas em um objeto de Diretiva de Grupo que inclui longos períodos de logon ou reiniciações repetidas do sistema de destino.
• Problemas de desempenho, incluindo retardamento do sistema a cada 16 horas ou reaplicação das configurações de Diretiva de Grupo.
• Problemas de compatibilidade ou travamento do aplicativo.

Para ajudar você a remover os piores resultados de permissões do Registro e do arquivo, a Microsoft fornecerá esforços comercialmente razoáveis de acordo com seu contrato de suporte. No entanto, neste momento, não é possível reverter essas alterações. Podemos garantir apenas que você poderá retornar às configurações recomendadas não incluídas por meio da reformatação do disco rígido e da reinstalação do sistema operacional.

Por exemplo, as modificações feitas nas listas de controle de acesso do Registro afetam grande parte dos hives do Registro e podem causar o mal funcionamento do sistema. A modificação das listas de controle de acesso em chaves do Registro únicas representa um problema a menos em muitos sistemas. No entanto, é recomendável considerar e testar cuidadosamente essas alterações antes de implementá-las. Voltamos a dizer que garantimos apenas que será possível retornar às configurações recomendadas não incluídas se você reformatar e reinstalar o sistema operacional.

Cliente de rede Microsoft: Assinar digitalmente as comunicações (sempre)

Ao habilitar essa configuração, os clientes deverão assinar o tráfego de protocolo SMB ao contatar servidores que não exigem a assinatura SMB. Isso torna os clientes menos vulneráveis a ataques de seqüestro de sessão. Tem valor significativo, mas não executa uma alteração semelhante no servidor para habilitar o servidor de rede Microsoft: Assinar digitalmente as comunicações (sempre) ou cliente de rede Microsoft: Assinar digitalmente as comunicações (se o cliente concordar), o cliente não conseguirá se comunicar com o servidor com êxito.

Segurança de rede: Não armazenar valor de hash do LAN Manager na próxima alteração de senha

Ao habilitar essa configuração, o valor de hash do LAN Manager (LM) de uma nova senha não será armazenado quando a senha for alterada. O hash do LM é relativamente fraco e está propenso ao ataque quando comparado com o hash do Microsoft Windows NT fortalecido criptograficamente. Enquanto essa configuração fornece segurança extensiva adicional a um sistema impedindo muitos utilitários comuns de quebra de senha, ela impede que alguns aplicativos iniciem ou seja executados corretamente.

Criptografia do sistema: Usar algoritmos compatíveis com FIPS para criptografia, hash e assinatura

Ao habilitar essa configuração, os Serviços de Informações da Internet (IIS) e o Microsoft Internet Explorer usam apenas o protocolo TLS 1.0. Se essa configuração for habilitada em um servidor que executa o IIS, somente os navegadores compatíveis com o TLS 1.0 poderão se conectar. Se essa configuração for habilitada em um cliente da Web, ele poderá se conectar apenas aos servidores compatíveis com o protocolo TLS 1.0. Esse requisito pode afetar a capacidade do cliente de visitar sites que usam o protocolo SSL. Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
Além disso, ao habilitar essa configuração em um servidor que usa os Serviços de Terminal, os clientes são forçados a usar o cliente RDP 5.2 ou versões superiores para se conectar.

Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

O serviço de Atualizações Automáticas ou o Serviço de Transferência Inteligente em Segundo Plano (BITS) está desabilitado

Um dos pilares principais da estratégia de segurança da Microsoft é garantir que os sistemas recebam as atualizações mais recentes. Um componente principal dessa estratégia é o serviço de Atualizações Automáticas. Tanto o Windows Update quanto o Software Update Services utilizam o serviço de Atualizações Automáticas. O serviço de Atualizações Automáticas depende do Serviço de Transferência Inteligente em Segundo Plano (BITS). Se esses serviços forem desabilitados, os computadores não poderão mais receber atualizações do Windows Update das Atualizações Automáticas, do Software Update Services (SUS) ou de algumas instalações do Microsoft Systems Management Server (SMS). Esses serviços só devem ser desabilitados em sistemas que possuem um sistema de distribuição de atualizações efetivo que não depende do BITS.

O serviço de Logon de Rede está desabilitado

Se você desabilitar o serviço de Logon de Rede, a estação de trabalho não funcionará como membro do domínio de forma confiável. Essa configuração pode ser apropriada para alguns computadores que não participam de domínios, porém ela deve ser avaliada cuidadosamente antes da implantação.

NoNameReleaseOnDemand

Essa configuração evita que um servidor abandone seu nome NetBIOS se houver conflito com outro computador na rede. Essa configuração é uma boa medida de prevenção contra ataques de negação de serviços em servidores de nomes e outras funções críticas de servidor.

Ao habilitar essa configuração em uma estação de trabalho, a estação de trabalho se recusará a abandonar seu nome NetBIOS mesmo se houver conflito entre esse nome e o nome de um sistema mais importante, como um controlador de domínio. Esse cenário pode desabilitar funcionalidades de domínio importantes. A Microsoft apóia os esforços do setor fornecer diretrizes de segurança destinadas à implantação em áreas de alta segurança. No entanto, é necessário testar todas as diretrizes no ambiente de destino. É altamente recomendável que os administradores do sistema que exigem configurações de segurança adicionais além das configurações padrão, usem os guias produzidos pela Microsoft como ponto de partida para os requisitos de suas empresas. Se tiver dúvidas ou precisar de ajuda sobre guias de outros fabricantes, entre em contato com a empresa que os produziu.

Para obter mais informações sobre as configurações de segurança, consulte Ameaças e Contramedidas: configurações de segurança no Windows Server 2003 e no Windows XP. Para baixar esse guia, visite o seguinte site da Microsoft: Para obter informações adicionais sobre o efeito de algumas configurações de segurança principais adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft: Para obter mais informações sobre os efeitos de requerer algoritmos compatíveis com FIPS, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft: A Microsoft fornece informações de contato de outros fabricantes para ajudá-lo a encontrar suporte técnico. Essas informações podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão destas informações. Para obter mais informações sobre como entrar em contato com outros fabricantes, clique no número apropriado abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft: