Suporte para os manuais de configuração da segurança

Traduções de Artigos Traduções de Artigos
Artigo: 885409 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

A Microsoft, o Center for Internet Security (CIS), a National Security Agency (NSA), a Defense Information Systems Agency (DISA) e o National Institute of Standards and Technology (NIST) publicaram "manuais de configuração da segurança" para Microsoft Windows.

Os níveis elevados de segurança especificados em alguns destes manuais poderão restringir significativamente funcionalidades de um sistema. Assim, deverá ser efectuado um período significativo de testes antes de implementar estas recomendações. Recomendamos que tome medidas de precaução adicionais quando efectuar os seguintes procedimentos:
  • Editar listas de controlo de acesso (ACLs) para ficheiros e chaves de registo
  • Activar Cliente de rede da Microsoft: Assinar digitalmente comunicações (sempre)
  • Activar Segurança de rede: Não armazenar o valor hash do LAN Manager na alteração seguinte da palavra-passe
  • Activar Criptografia do sistema: Utilizar algoritmos em conformidade com FIPS para encriptação, criação de algoritmos hash e assinatura
  • Desactivar Serviço 'Actualizações automáticas' ou 'Serviço de transferência inteligente em fundo' (BITS)
  • Desactivar Serviço NetLogon
  • Activar NoNameReleaseOnDemand
A Microsoft apoia vivamente os esforços da indústria no sentido de fornecer directrizes de segurança para implementações em áreas de elevada segurança. No entanto, o utilizador deverá testar cuidadosamente as directrizes no ambiente de destino. Se necessitar de definições de segurança adicionais para além das predefinições, recomendamos vivamente que consulte os manuais publicados da Microsoft. Estes manuais podem servir como ponto de partida para os requisitos da sua empresa. Para obter suporte ou sobre questões relativas a manuais de terceiros, contacte a empresa que publicou o manual.

Introdução

Nos últimos anos, um determinado número de empresas, incluindo a Microsoft, o Center for Internet Security (CIS), a National Security Agency (NSA), a Defense Information Systems Agency (DISA) e o National Institute of Standards and Technology (NIST), publicaram "manuais de configuração da segurança" para o Windows. Como qualquer manual de segurança, a segurança adicional necessária tem frequentemente um efeito adverso na utilização.

Muitos destes manuais, incluindo os da Microsoft, CIS e NIST, contêm vários níveis de definições de segurança. Estes manuais poderão incluir níveis concebidos para as seguintes situações:
  • Interoperabilidade com sistemas operativos antigos
  • Ambientes empresariais
  • Segurança melhorada que fornece funcionalidade limitada

    Nota: este nível é frequentemente referido como o nível de Segurança Especializado-Funcionalidade Limitada ou o nível de Alta Segurança.
O nível de Alta Segurança ou de Segurança Especializado-Funcionalidade Limitada, é concebido especificamente para ambientes extremamente hostis e em risco significativo de ataque. Este nível protege as informações do valor mais elevado possível, como informações que são necessárias por alguns sistemas governamentais. O nível de Alta Segurança da maior parte destas directrizes públicas não é adequado para a grande maioria dos sistemas com o Windows. Recomendamos que não utilize o nível de Alta Segurança nas estações de trabalho com fins gerais. Recomendamos que utilize o nível de Alta Segurança apenas nos sistemas em que o compromisso poderá resultar na perda de vida, na perda de informações extremamente valiosas ou na perda de muito dinheiro.

Vários grupos trabalharam com a Microsoft no sentido de produzir estes manuais de segurança. Na maior parte dos casos, estes manuais fazem referência a todas as ameaças semelhantes. No entanto, cada manual é ligeiramente diferente devido a requisitos legais, política local e requisitos funcionais. Por este motivo, as definições poderão variar entre conjuntos de recomendações. A secção "Empresas que produzem orientação de segurança disponível publicamente" contém um resumo de todos os manuais de segurança.

Mais Informação

Empresas que produzem orientação de segurança disponível publicamente

Microsoft Corporation

A Microsoft fornece orientação sobre como ajudar a proteger os sistemas operativos. Foram desenvolvidos os três níveis seguintes de definições de segurança:
  • Clientes Enterprise (EC)
  • Autónomo (SA)
  • Segurança Especializada ? Funcionalidade Limitada (SSLF)
Esta orientação foi testada cuidadosamente para utilização em vários cenários de cliente diferentes. A orientação é adequada para qualquer empresa que pretenda ajuda na protecção dos computadores com o Windows.

Fornecemos suporte total aos manuais devido ao extenso período de testes realizados nos laboratórios de compatibilidade de aplicações desses manuais. Visite os seguintes Web sites da Microsoft para transferir os manuais:Se tiver problemas ou tiver comentários após a implementação dos Manuais de Segurança da Microsoft, poderá enviar os seus comentários através de uma mensagem de correio electrónico para secwish@microsoft.com.

Center for Internet Security (CIS)

O CIS desenvolveu modelos concebidos para fornecer informações que ajudam as empresas a tomar decisões bem fundamentadas sobre determinadas opções de segurança disponíveis. O CIS forneceu três níveis de modelos de segurança:
  • Legacy
  • Empresarial
  • Alta Segurança
Se tiver problemas ou tiver comentários após a implementação das definições de modelos do CIS, contacte o CIS enviando uma mensagem de correio electrónico para win2k-feedback@cisecurity.org.

Nota: as orientações do CIS foram alteradas desde a data de publicação original deste artigo (3 de Novembro de 2004). As orientações actuais do CIS assemelham-se às orientações fornecidas pela Microsoft. Para obter mais informações sobre as orientações fornecidas pela Microsoft, consulte a secção "Microsoft Corporation" anteriormente neste artigo.

National Institute of Standards and Technology (NIST)

O NIST é responsável pela criação de directrizes de segurança para o governo federal dos Estados Unidos. O NIST criou quatro níveis de directrizes de segurança que são utilizados pelas agências federais dos Estados Unidos, empresas privadas e públicas:
  • SoHo
  • Legacy
  • Empresarial
  • Segurança Especializada?Funcionalidade Limitada
Se tiver problemas ou tiver comentários após a implementação dos modelos de segurança do NIST, contacte o NIST enviando uma mensagem de correio electrónico para itsec@nist.gov.

Nota: as orientações do NIST foram alteradas desde a data de publicação original deste artigo (3 de Novembro de 2004). As orientações actuais do NIST assemelham-se às orientações fornecidas pela Microsoft. Para obter mais informações sobre as orientações fornecidas pela Microsoft, consulte a secção "Microsoft Corporation" anteriormente neste artigo.

Defense Information Systems Agency (DISA)

A DISA cria directrizes especificamente para utilização no DOD. Os utilizadores do DOD dos Estados Unidos que tiverem problemas ou tiverem comentários após a implementação das directrizes de configuração da DISA podem enviar um comentário através de uma mensagem de correio electrónico parafso_spt@ritchie.disa.mil.

Nota: as orientações da DISA foram alteradas desde a data de publicação original deste artigo (3 de Novembro de 2004). As orientações actuais do DISA assemelham-se ou são idênticas às orientações fornecidas pela Microsoft. Para obter mais informações sobre as orientações seguidas pela Microsoft, consulte a secção "Microsoft Corporation" anteriormente neste artigo.

National Security Agency (NSA)

A NSA produziu directrizes para ajudar a proteger computadores de alto risco no Departamento de Defesa dos Estados Unidos. A NSA desenvolveu um único nível de directrizes que corresponde aproximadamente ao nível de Alta Segurança que é produzido por outras empresas.

Se tiver problemas ou tiver comentários após a implementação dos Manuais de Segurança da NSA para Windows XP, poderá enviar comentários através de uma mensagem de correio electrónico para XPGuides@nsa.gov. Para enviar comentários sobre os manuais do Windows 2000, envie uma mensagem de correio electrónico para w2kguides@nsa.gov.

Nota: as orientações da NSA foram alteradas desde a data de publicação original deste artigo (3 de Novembro de 2004). As orientações actuais do NSA assemelham-se ou são idênticas às orientações fornecidas pela Microsoft. Para obter mais informações sobre as orientações fornecidas pela Microsoft, consulte a secção "Microsoft Corporation" anteriormente neste artigo.

Problemas de orientação de segurança

Conforme mencionado anteriormente neste artigo, os níveis elevados de segurança que são descritos em alguns destes manuais foram concebidos para restringir significativamente a funcionalidade de um sistema. Devido a esta restrição, o utilizador deverá testar cuidadosamente um sistema antes de implementar estas recomendações.

Nota: não foi detectado que as directrizes de segurança que são fornecidas para os níveis Legacy, SoHo ou Empresariais afectem gravemente funcionalidades do sistema. Este artigo da base de dados aborda principalmente as directrizes que estão associadas aos níveis mais elevados de segurança.

Apoiamos vivamente os esforços da indústria no sentido de fornecer directrizes de segurança para implementações em áreas de elevada segurança. Continuamos a trabalhar com grupos de normas de segurança no sentido de desenvolver directrizes seguras úteis totalmente testadas. As directrizes de segurança de outros fabricantes são sempre publicadas com avisos claros para testar totalmente as directrizes nos ambientes de destino de elevada segurança. Contudo, estes avisos não são sempre respeitados. Certifique-se de que testa cuidadosamente todas as configurações de segurança no ambiente de destino. As definições de segurança que são diferentes das que foram recomendadas podem invalidar o processo de testes de compatibilidade de aplicações que é efectuado como parte integrante do processo de testes do sistema operativo. Além disso, nós e outros fabricantes não aconselhamos a aplicação das primeiras directrizes directamente num ambiente de produção activo, em vez de num ambiente de teste.

Os níveis elevados destes manuais de segurança incluem várias definições que deverá avaliar cuidadosamente antes da respectiva implementação. Embora estas definições possam fornecer vantagens de segurança adicionais, as definições poderão ter um efeito adverso na utilização do sistema.

Modificações da lista de controlo de acesso a ficheiros e registos do sistema

O Windows Vista, o Microsoft Windows XP e o Microsoft Windows Server 2003 diminuíram significativamente as permissões do sistema. Deste modo, não serão necessárias grandes alterações às permissões predefinidas.

Alterações da ACL adicionais podem invalidar todos ou a maior parte dos testes de compatibilidade de aplicações efectuados pela Microsoft. Frequentemente, alterações como estas não foram aprovadas nos testes mais aprofundados efectuados pela Microsoft noutras definições. Casos de suporte e experiência de campo mostraram que as edições de ACL alteram o comportamento principal do sistema operativo, frequentemente de formas não pretendidas. Estas alterações afectam a compatibilidade e a estabilidade das aplicações e reduzem funcionalidades, tanto a nível de desempenho como de capacidade.

Devido a estas alterações, não recomendamos a modificação dos ficheiros das ACLs do sistema nos ficheiros incluídos com o sistema operativo em sistemas de produção. Recomendamos a avaliação de alterações da ACL adicionais contra uma ameaça conhecida de modo a compreender as possíveis vantagens de uma determinada configuração. Por estas razões, os nossos manuais fazem apenas alterações mínimas da ACL e apenas no Windows 2000. No Windows 2000, são necessárias pequenas alterações. Estas alterações estão descritas no Windows 2000 Security Hardening Guide.

Não é possível anular várias alterações de permissão propagadas pelos ficheiros e registos do sistema. Novas pastas, como pastas de perfis de utilizador que não estavam presentes na instalação original do sistema operativo, poderão ser afectadas. Assim, se remover uma definição de política de grupo que efectue alterações de ACL ou aplicar as predefinições do sistema, não será possível anular as ACLs originais.

As alterações na ACL na pasta %SystemDrive% poderão resultar nos seguintes cenários:
  • A Reciclagem não funciona como previsto e não é possível recuperar ficheiros.
  • Um redução de segurança que permita que um utilizador que não seja administrador veja o conteúdo da reciclagem do administrador.
  • Os perfis de utilizador que não funcionam como previsto .
  • Uma redução de segurança que fornece aos utilizadores interactivos acesso de leitura de alguns ou de todos os perfis no sistema.
  • Problemas de desempenho quando muitas edições de ACL estão carregadas num objecto de política de grupo que inclui períodos de tempo extensos de início de sessão ou reinicios repetidos do sistema de destino.
  • Problemas de desempenho, incluindo funcionamento mais lento do sistema, em cada 16 horas ou assim que as definições de política de grupo sejam novamente aplicadas.
  • Problemas de compatibilidade de aplicações ou falhas na aplicação.
Para ajudar na remoção dos piores resultados de tais permissões de ficheiros e registos, a Microsoft dedicar-se-á de forma adequada na comercialização em paralelo com o contrato de suporte. Contudo, actualmente, não é possível anular estas alterações. Só é possível garantir que poderá regressar às definições do fabricante recomendadas voltando a formatar a unidade de disco rígido e reinstalando o sistema operativo.

Por exemplo, modificações no registo de ACLs afectam grandes partes dos ramos do registo e poderão provocar um funcionamento imprevisto dos sistemas. Ao modificar as ACLs nas chaves de registo individuais não é considerado um problema grave. No entanto, recomendamos que considere e teste cuidadosamente estas alterações antes da respectiva implementação. Mais uma vez, só podemos garantir que poderá regressar às definições do fabricante recomendadas se voltar a formatar e reinstalar o sistema operativo.

Cliente de rede da Microsoft: Assinar digitalmente comunicações (sempre)

Quando activar esta definição, os clientes deverão assinar tráfego SMB (Server Message Block) quando contactam servidores que não necessitam de assinaturas SMB. Deste modo, os clientes ficam menos vulneráveis a ataques de sessão. Esta opção tem um valor significativo, mas sem activar uma alteração semelhante no servidor para activar Servidor de rede Microsoft: Assinar digitalmente comunicações (sempre) ou Cliente de rede da Microsoft: Assinar digitalmente comunicações (se o cliente concordar), não será possível ao cliente estabelecer comunicação com o servidor com sucesso.

Segurança de rede: Não armazenar o valor hash do LAN Manager na alteração seguinte da palavra-passe

Quando activa esta definição, o valor hash do LAN Manager (LM) para uma nova palavra-passe não será armazenado quando a palavra-passe é alterada. O hash de LM é relativamente fraco e sujeito a ataques comparado com o hash criptograficamente mais forte do Microsoft Windows NT. Embora esta definição forneça uma vasta segurança adicional a um sistema evitando vários utilitários comuns de desencriptação de palavras-passe, a definição pode fazer com que algumas aplicações não sejam iniciadas nem executadas correctamente.

Criptografia do sistema: Utilizar algoritmos em conformidade com FIPS para encriptação, criação de algoritmos hash e assinatura

Quando activa esta definição, os Serviços de informações Internet (IIS) e o Microsoft Internet Explorer utilizam apenas o protocolo de segurança da camada de transporte 1.0 (TLS, Transport Layer Security). Se esta definição estiver activada num servidor com IIS, só os browsers que suportem TLS 1.0 podem estabelecer ligação. Se esta definição estiver activada num cliente da Web, o cliente só consegue estabelecer ligação aos servidores que suportem o protocolo TLS 1.0. Este requisito poderá afectar uma capacidade do cliente de visitar Web sites que utilizem a camada segura de sockets (SSL). Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
811834 Não é possível visitar sites SSL após activar a criptografia em conformidade com FIPS

Além disso, quando activa esta definição num servidor que utiliza Serviços de Terminal, os clientes são forçados a utilizar o cliente RDP 5.2 ou versões mais recentes para estabelecer ligação.

Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
811833 Os efeitos da activação da definição de segurança "Criptografia do sistema: Utilizar algoritmos em conformidade com FIPS para encriptação, criação de algoritmos hash e assinatura" no Windows XP e em versões posteriores do Windows

Serviço "Actualizações Automáticas" ou "Serviço de transferência inteligente em segundo plano" (BITS) desactivado

Um dos pilares principais da estratégia de segurança da Microsoft é certificar-se de que os sistemas estão actualizados. Um componente essencial nesta estratégia é o serviço Actualizações automáticas. Ambos os serviços Windows Update e Software Update utilizam o serviço Actualizações automáticas. O serviço Actualizações automáticas depende do Serviço de transferência inteligente em fundo (BITS). Se estes serviços estiverem desactivados, os computadores não receberão actualizações do Windows Update através das actualizações automáticas, ou dos serviços Software Update (SUS) ou de algumas instalações Microsoft Systems Management Server (SMS). Estes serviços só deverão ser desactivados nos sistemas que têm um sistema de distribuição de actualizações eficaz que não depende de BITS.

Serviço NetLogon desactivado

Se desactivar o serviço Net Logon, uma estação de trabalho deixa de funcionar de forma fiável como um membro de domínio. Esta definição poderá ser adequada para alguns computadores que não façam parte de domínios, mas deverá ser cuidadosamente avaliada antes da implementação.

NoNameReleaseOnDemand

Esta definição impede que um servidor ceda o respectivo nome NetBIOS caso entre em conflito com outro computador na rede. Esta definição é uma boa medida preventiva para recusar ataques de serviços contra os servidores de nomes e outras funções críticas do servidor.

Quando activa esta definição numa estação de trabalho, a estação de trabalho recusa a cedência do respectivo nome NetBIOS mesmo que o nome entre em conflito com um sistema mais importante, como um controlador de domínio. Este cenário pode desactivar funcionalidades de domínio importantes. A Microsoft apoia vivamente os esforços da indústria no sentido de fornecer directrizes para implementações em áreas de elevada segurança. No entanto, deverá testar cuidadosamente estas directrizes no ambiente de destino. Recomendamos vivamente que administradores de sistemas que necessitem de definições de segurança adicionais para além das predefinições, utilizem os manuais publicados da Microsoft como ponto de partida para os requisitos da empresa. Para obter suporte ou para quaisquer questões relativas a manuais de terceiros, contacte a empresa que publicou o manual.

Referências

Para obter mais informações sobre definições de segurança, consulte Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP. Para transferir este manual, visite o seguinte Web site da Microsoft:
http://technet.microsoft.com/pt-pt/library/dd162275.aspx
Para obter mais informações sobre o efeito de algumas definições de segurança essenciais adicionais, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
823659 Incompatibilidades com clientes, serviços e programas que poderão ocorrer quando modifica definições de segurança e atribuições de direitos de utilizadores
Para obter mais informações sobre os efeitos da necessidade de algoritmos em conformidade com FIPS, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
811833 Os efeitos da activação da definição de segurança "Criptografia do sistema: Utilizar algoritmos em conformidade com FIPS para encriptação, criação de algoritmos hash e assinatura" no Windows XP e em versões posteriores
A Microsoft fornece informações sobre contactos de outros fabricantes para o ajudar na obtenção de suporte técnico. Estas informações de contacto poderão ser alteradas sem aviso prévio. A Microsoft não garante o rigor das informações sobre o contacto destes fabricantes. Para obter informações sobre como contactar outros fabricantes, clique no número de artigo adequado na lista que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
65416 Lista de contactos de fornecedores de hardware e software, A-K (em inglês)

60781 Lista de contactos de fornecedores de hardware e software, L-P (em inglês)

60782 Lista de contactos de fornecedores de hardware e software, Q-Z (em inglês)

Propriedades

Artigo: 885409 - Última revisão: 14 de maio de 2011 - Revisão: 3.0
A informação contida neste artigo aplica-se a:
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Ultimate
  • Windows Vista Business
  • Windows Vista Enterprise
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Advanced Server
Palavras-chave: 
kbsectools kbhowto kbsecurity KB885409

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com