Entrar com a conta da Microsoft
Entrar ou criar uma conta.
Olá,
Selecionar uma conta diferente.
Você tem várias contas
Escolha a conta com a qual você deseja entrar.

Resumo

A Microsoft, o Centro de Segurança da Internet (CIS), a Agência Nacional de Segurança (NSA), a Disa (Agência de Sistemas de Informações de Defesa) e o Instituto Nacional de Padrões e Tecnologia (NIST) publicaram "diretrizes de configuração de segurança" para o Microsoft Windows.

Os altos níveis de segurança especificados em algumas dessas guias podem restringir significativamente a funcionalidade de um sistema. Portanto, você deve realizar testes significativos antes de implantar essas recomendações. Recomendamos que você tome precauções adicionais ao fazer o seguinte:

  • Editar listas de controle de acesso (ACLs) para arquivos e chaves do Registro

  • Habilitar o cliente de rede da Microsoft: assinar comunicações digitalmente (sempre)

  • Habilitar a segurança da rede: Não armazene o valor de hash do LAN Manager na próxima alteração de senha

  • Habilitar criptografia do sistema: usar algoritmos compatíveis com FIPS para criptografia, hash e assinatura

  • Desabilitar o serviço de Atualização Automática ou o Serviço de Transferência Inteligente em Segundo Plano (BITS)

  • Desabilitar o serviço NetLogon

  • Habilitar NoNameReleaseOnDemand

A Microsoft dá suporte forte aos esforços do setor para fornecer diretrizes de segurança para implantações em áreas de alta segurança. No entanto, você deve testar completamente as diretrizes no ambiente de destino. Se você precisar de configurações de segurança adicionais além das configurações padrão, é altamente recomendável que você veja os guias emitidos pela Microsoft. Esses guias podem servir como ponto de partida para os requisitos da sua organização. Para obter suporte ou perguntas sobre guias de terceiros, entre em contato com a organização que emitiu as orientações.

Introdução

Nos últimos anos, várias organizações, incluindo a Microsoft, o Centro de Segurança da Internet (CIS), a Agência Nacional de Segurança (NSA), a Disa (Agência de Sistemas de Informações de Defesa) e o Instituto Nacional de Padrões e Tecnologia (NIST), publicaram "diretrizes de configuração de segurança" para Windows. Assim como em qualquer orientação de segurança, a segurança adicional necessária frequentemente tem um efeito adverso sobre a usabilidade.

Vários desses guias, incluindo os guias da Microsoft, do CIS e do NIST, contêm vários níveis de configurações de segurança. Esses guias podem incluir níveis projetados para o seguinte:

  • Interoperabilidade com sistemas operacionais mais antigos

  • Enterprise ambientes

  • Segurança aprimorada que fornece funcionalidade limitada Observação Esse nível é frequentemente conhecido como Segurança Especializada – Nível de Funcionalidade Limitada ou

    Nível de Alta Segurança.

O nível Segurança Alta ou Segurança Especializada – Funcionalidade Limitada foi projetado especificamente para ambientes muito agressivos sob risco significativo de ataque. Esse nível protege informações do maior valor possível, como informações exigidas por alguns sistemas governamentais. O nível de Alta Segurança da maioria dessas diretrizes públicas é inadequado para a maioria dos sistemas que estão executando Windows. Recomendamos que você não use o nível de Alta Segurança em estações de trabalho de finalidade geral. Recomendamos que você use o nível de Alta Segurança somente em sistemas em que o comprometimento causaria a perda de vida, a perda de informações muito valiosas ou a perda de muito dinheiro.

Vários grupos trabalharam com a Microsoft para produzir esses guias de segurança. Em muitos casos, esses guias abordam ameaças semelhantes. No entanto, cada guia difere ligeiramente devido aos requisitos legais, à política local e aos requisitos funcionais. Por isso, as configurações podem variar de um conjunto de recomendações para o próximo. A seção "Organizações que produzem diretrizes de segurança disponíveis publicamente" contém um resumo de cada guia de segurança.

Informações adicionais

Organizações que produzem diretrizes de segurança disponíveis publicamente

Microsoft Corporation

A Microsoft fornece orientações sobre como ajudar a proteger nossos próprios sistemas operacionais. Desenvolvemos os seguintes três níveis de configurações de segurança:

  • Enterprise Cliente (EC)

  • Stand-Alone (SA)

  • Segurança Especializada – Funcionalidade Limitada (SSLF)

Testamos completamente essa orientação para uso em muitos cenários do cliente. As diretrizes são apropriadas para qualquer organização que deseje ajudar a proteger seus computadores Windows baseados em segurança.

Suportamos totalmente nossos guias devido aos testes extensivos que realizamos em nossos laboratórios de compatibilidade de aplicativos nesses guias. Visite os seguintes sites da Microsoft para baixar nossos guias:

Se você tiver problemas ou tiver comentários após implementar os Guias de Segurança da Microsoft, poderá fornecer comentários enviando uma mensagem de email para secwish@microsoft.com .



As diretrizes de configuração de segurança para o Windows operacional, para o Internet Explorer e para o Office de produtividade são fornecidas no Microsoft Security Compliance Manager: http://technet.microsoft.com/en-us/library/cc677002.aspx.


O Centro de Segurança da Internet

A CIS desenvolveu benchmarks para fornecer informações que ajudam as organizações a tomar decisões informadas sobre determinadas opções de segurança disponíveis. A CIS forneceu três níveis de parâmetros de segurança:

  • Legacy

  • Enterprise

  • Alta segurança

Se você tiver problemas ou tiver comentários após implementar as configurações de referência do CIS, contate CIS enviando uma mensagem de email para win2k-feedback@cisecurity.org .

Observação As diretrizes da CIS mudaram desde que publicamos este artigo originalmente (3 de novembro de 2004). As diretrizes atuais da CIS se assemelham às orientações fornecidas pela Microsoft. Para obter mais informações sobre as diretrizes fornecidas pela Microsoft, leia a seção "Microsoft Corporation" anteriormente neste artigo.

O Instituto Nacional de Padrões e Tecnologia

O NIST é responsável por criar diretrizes de segurança para o Governo Federal dos Estados Unidos. O NIST criou quatro níveis de diretrizes de segurança que são usados pelas Agências Federais dos Estados Unidos, organizações privadas e organizações públicas:

  • SoHo

  • Legacy

  • Enterprise

  • Segurança Especializada – Funcionalidade Limitada

Se você tiver problemas ou tiver comentários após implementar os modelos de segurança NIST, contate o NIST enviando uma mensagem de email para itsec@nist.gov .

Observação As diretrizes do NIST foram alteradas desde que publicamos este artigo originalmente (3 de novembro de 2004). As diretrizes atuais do NIST se assemelham às orientações fornecidas pela Microsoft. Para obter mais informações sobre as diretrizes fornecidas pela Microsoft, leia a seção "Microsoft Corporation" anteriormente neste artigo.

A Agência de Sistemas de Informações de Defesa

A DISA cria diretrizes especificamente para uso no Departamento de Defesa dos Estados Unidos (DOD). Os usuários do DOD dos Estados Unidos que têm problemas ou têm comentários após implementarem as diretrizes de configuração do DISA podem fornecer comentários enviando uma mensagem de email para fso_spt@ritchie.disa.mil .

Observe que as diretrizes da DISA foram alteradas desde que publicamos este artigo originalmente (3 de novembro de 2004). As diretrizes atuais do DISA são semelhantes ou idênticas às orientações fornecidas pela Microsoft. Para obter mais informações sobre as diretrizes fornecidas pela Microsoft, leia a seção "Microsoft Corporation" anteriormente neste artigo.

A Agência Nacional de Segurança (NSA)

A NSA produziu orientações para ajudar a proteger computadores de alto risco no Departamento de Defesa dos Estados Unidos (DOD). A NSA desenvolveu um único nível de orientação que corresponde aproximadamente ao nível de Alta Segurança que é produzido por outras organizações.

Se você tiver problemas ou tiver comentários após implementar os Guias de Segurança da NSA para Windows XP, poderá fornecer comentários enviando uma mensagem de email para XPGuides@nsa.gov . Para fornecer comentários sobre os guias Windows 2000, envie uma mensagem de email paraw2kguides@nsa.gov .

Observação As diretrizes da NSA mudaram desde a publicação original deste artigo (3 de novembro de 2004). As diretrizes atuais da NSA são semelhantes ou idênticas às orientações fornecidas pela Microsoft. Para obter mais informações sobre as diretrizes fornecidas pela Microsoft, leia a seção "Microsoft Corporation" anteriormente neste artigo.

Problemas de orientação de segurança

Conforme mencionado anteriormente neste artigo, os altos níveis de segurança descritos em alguns desses guias foram projetados para restringir significativamente a funcionalidade de um sistema. Devido a essa restrição, você deve testar completamente um sistema antes de implantar essas recomendações.

Observação As diretrizes de segurança fornecidas para os níveis SoHo, Legacy ou Enterprise não foram relatadas para afetar gravemente a funcionalidade do sistema. Este artigo da Base de Dados de Conhecimento se concentra principalmente nas diretrizes associadas ao nível de segurança mais alto. 

Suportamos fortemente os esforços do setor para fornecer diretrizes de segurança para implantações em áreas de alta segurança. Continuamos a trabalhar com grupos de padrões de segurança para desenvolver diretrizes de segurança úteis que são totalmente testadas. Diretrizes de segurança de terceiros são sempre emitidas com avisos fortes para testar totalmente as diretrizes em ambientes de alta segurança de destino. No entanto, esses avisos nem sempre são a atenção. Certifique-se de testar completamente todas as configurações de segurança em seu ambiente de destino. As configurações de segurança diferentes das que recomendamos podem invalidar o teste de compatibilidade de aplicativos que é realizado como parte do processo de teste do sistema operacional. Além disso, nós e terceiros especificamente desencorajamos a aplicação das diretrizes de rascunho em um ambiente de produção em tempo real, em vez de em um ambiente de teste.

Os altos níveis desses guias de segurança incluem várias configurações que você deve avaliar cuidadosamente antes de implementá-las. Embora essas configurações possam oferecer benefícios adicionais de segurança, as configurações podem ter um efeito adverso sobre a usabilidade do sistema.

Modificações de lista de controle de acesso do registro e sistema de arquivos

Windows XP e versões posteriores do Windows têm permissões significativamente reforçadas em todo o sistema. Portanto, alterações extensas nas permissões padrão não devem ser necessárias. 

Alterações adicionais da lista de controle de acesso discricionário (DACL) podem invalidar todo ou a maioria dos testes de compatibilidade de aplicativos realizados pela Microsoft. Frequentemente, alterações como essas não passaram pelo teste completo que a Microsoft realizou em outras configurações. Os casos de suporte e a experiência de campo mostraram que as edições do DACL alteram o comportamento fundamental do sistema operacional, frequentemente de maneiras não intencionadas. Essas alterações afetam a compatibilidade e a estabilidade do aplicativo e reduzem a funcionalidade, no que diz respeito ao desempenho e à funcionalidade.

Devido a essas alterações, não recomendamos que você modifique DACLs do sistema de arquivos em arquivos incluídos no sistema operacional em sistemas de produção. Recomendamos que você avalie quaisquer alterações adicionais de ACL em relação a uma ameaça conhecida para entender as possíveis vantagens que as alterações podem dar a uma configuração específica. Por esses motivos, nossos guias fazem apenas alterações da DACL muito mínimas e somente para Windows 2000. Para Windows 2000, várias alterações secundárias são necessárias. Essas alterações são descritas no Guia de Segurança Windows 2000.

Alterações extensivas de permissão propagadas em todo o registro e no sistema de arquivos não podem ser desfeitas. Novas pastas, como pastas de perfil de usuário que não estavam presentes na instalação original do sistema operacional, podem ser afetadas. Portanto, se você remover uma configuração de Política de Grupo que executa alterações do DACL ou aplicar os padrões do sistema, não será possível reverter as DACLs originais. 

Alterações no DACL na pasta %SystemDrive% podem causar os seguintes cenários:

  • A Lixeira não funciona mais como projetada e os arquivos não podem ser recuperados.

  • Uma redução de segurança que permite que um não administrador veja o conteúdo da Lixeira do administrador.

  • A falha dos perfis de usuário para funcionar conforme esperado.

  • Uma redução de segurança que fornece aos usuários interativos acesso de leitura a alguns ou a todos os perfis de usuário no sistema.

  • Problemas de desempenho quando muitas edições do DACL são carregadas em um objeto de Política de Grupo que inclui tempos de logon longos ou reinicializações repetidas do sistema de destino.

  • Problemas de desempenho, incluindo a lentidão do sistema, a cada 16 horas ou mais à medida que as configurações da Política de Grupo são reaplicado.

  • Problemas de compatibilidade de aplicativos ou falhas no aplicativo.

Para ajudá-lo a remover os piores resultados de tais permissões de arquivo e registro, a Microsoft fornecerá esforços comercialmente razoáveis em linha com seu contrato de suporte. No entanto, no momento, você não pode reverter essas alterações. Podemos garantir apenas que você pode retornar às configurações recomendadas fora da caixa reformatando a unidade de disco rígido e reinstalando o sistema operacional.

Por exemplo, modificações em DACLs do Registro afetam grandes partes dos hives do Registro e podem fazer com que os sistemas não funcionem mais conforme esperado. Modificar as DACLs em chaves de registro único representa menos um problema para muitos sistemas. No entanto, recomendamos que você considere e teste cuidadosamente essas alterações antes de implementá-las. Novamente, podemos garantir apenas que você poderá retornar às configurações recomendadas fora da caixa se você reformata e reinstala o sistema operacional.

Cliente de rede da Microsoft: assinar comunicações digitalmente (sempre)

Quando você habilita essa configuração, os clientes devem assinar o tráfego SMB (Bloqueio de Mensagens do Servidor) quando eles contatarem servidores que não exigem a assinatura de SMB. Isso torna os clientes menos vulneráveis a ataques de seqüestro de sessão. Ele fornece um valor significativo, mas sem habilitar uma alteração semelhante no servidor para habilitar o servidor de rede da Microsoft: assinar comunicações digitalmente (sempre) ou cliente de rede da Microsoft: assinar comunicações digitalmente (seo cliente concordar) , o cliente não poderá se comunicar com êxito com o servidor.

Segurança de rede: Não armazene o valor de hash do LAN Manager na próxima alteração de senha

Quando você habilitar essa configuração, o valor de hash do Gerenciador de LAN (LM) para uma nova senha não será armazenado quando a senha for alterada. O hash lm é relativamente fraco e propenso a ataques em comparação com o hash criptograficamente mais Windows NT Microsoft. Embora essa configuração fornece segurança adicional abrangente para um sistema, impedindo muitos utilitários comuns de quebra de senha, a configuração pode impedir que alguns aplicativos iniciam ou executam corretamente.

Criptografia do sistema: use algoritmos compatíveis com FIPS para criptografia, hash e assinatura

Quando você habilita essa configuração, Serviços de Informações da Internet (IIS) e o Microsoft Internet Explorer usam apenas o protocolo TLS (Transport Layer Security) 1.0. Se essa configuração estiver habilitada em um servidor que está executando o IIS, somente os navegadores da Web que suportam o TLS 1.0 podem se conectar. Se essa configuração estiver habilitada em um cliente Web, o cliente poderá se conectar somente a servidores que suportam o protocolo TLS 1.0. Esse requisito pode afetar a capacidade de um cliente visitar sites que usam sSL (Secure Sockets Layer). Para obter mais informações, clique no seguinte número de artigo para exibir o artigo na Base de Dados de Conhecimento da Microsoft:

811834 Não é possível visitar sites SSL depois de habilitar a criptografia compatível com FIPS Além disso, quando você habilita essa configuração em um servidor que usa Serviços de Terminal, os clientes são forçados a usar o
cliente RDP 5.2 ou versões posteriores para se conectar.

Para obter mais informações, clique no seguinte número de artigo para exibir o artigo na Base de Dados de Conhecimento da Microsoft:

811833 Os efeitos da habilitação da configuração de segurança "Criptografia do sistema: usar algoritmos compatíveis com FIPS para criptografia, hash e assinatura" no Windows XP e em versões posteriores do Windows

O serviço de Atualização Automática ou o Serviço de Transferência Inteligente em Segundo Plano (BITS) está desabilitado

Um dos principais pilares da estratégia de segurança da Microsoft é garantir que os sistemas sejam mantidos atualizados em atualizações. Um componente importante nesta estratégia é o serviço Atualizações Automáticas. Os Windows de Atualização e Atualização de Software usam o serviço Atualizações Automáticas. O serviço Atualizações Automáticas baseia-se no BITS (Serviço de Transferência Inteligente em Segundo Plano). Se esses serviços estão desabilitados, os computadores não poderão mais receber atualizações do Windows Update por meio de Atualizações Automáticas, dos serviços de Atualização de Software (SUS) ou de algumas instalações do Microsoft Systems Management Server (SMS). Esses serviços devem ser desabilitados somente em sistemas que tenham um sistema de distribuição de atualizações eficaz que não dependa de BITS.

O serviço NetLogon está desabilitado

Se você desabilitar o serviço NetLogon, uma estação de trabalho não funcionará mais confiável como membro de domínio. Essa configuração pode ser apropriada para alguns computadores que não participam de domínios. No entanto, ele deve ser cuidadosamente avaliado antes da implantação.

NoNameReleaseOnDemand

Essa configuração impede que um servidor realinque seu nome NetBIOS se ele entra em conflito com outro computador na rede. Essa configuração é uma boa medida preventiva para ataques de negação de serviço contra servidores de nomes e outras funções de servidor muito importantes.

Quando você habilita essa configuração em uma estação de trabalho, a estação de trabalho se recusa a abrir mão de seu nome NetBIOS, mesmo que o nome conflita com o nome de um sistema mais importante, como um controlador de domínio. Esse cenário pode desabilitar a funcionalidade de domínio importante. A Microsoft dá suporte forte aos esforços do setor para fornecer diretrizes de segurança direcionadas a implantações em áreas de alta segurança. No entanto, essas diretrizes devem ser completamente testadas no ambiente de destino. É altamente recomendável que os administradores do sistema que exigem configurações de segurança adicionais além das configurações padrão usem as guias emitidas pela Microsoft como ponto de partida para os requisitos de sua organização. Para obter suporte ou perguntas sobre guias de terceiros, entre em contato com a organização que emitiu as orientações.

Referências

Para obter mais informações sobre configurações de segurança, consulte Ameaças e Contramedidas: Segurança Configurações no Windows Server 2003 e Windows XP. Para baixar este guia, visite o seguinte site da Microsoft:

http://go.microsoft.com/fwlink/?LinkId=15159Para obter mais informações sobre o efeito de algumas configurações de segurança de chave adicionais, clique no seguinte número de artigo para exibir o artigo na Base de Dados de Conhecimento da Microsoft:

823659 Incompatibilidades de cliente, serviço e programa que podem ocorrer quando você modificar configurações de segurança e atribuições de direitos de usuárioPara obter mais informações sobre os efeitos de exigir algoritmos compatíveis com FIPS, clique no seguinte número de artigo para exibir o artigo na Base de Dados de Conhecimento da Microsoft:

811833 Os efeitos da habilitação da configuração de segurança "Criptografia do sistema: usar algoritmos compatíveis com FIPS para criptografia, hash e assinatura" no Windows XP e versões posteriores A Microsoft fornece informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas informações de contato podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão dessas informações para contato com outras empresas.


Para obter informações sobre seu fabricante de hardware, visite o seguinte site da Microsoft:

http://support.microsoft.com/gp/vendors/en-us

Facebook LinkedIn Email

Precisa de mais ajuda?

Quer mais opções

Descobrir Comunidade

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.

Perguntar à comunidade da Microsoft

Microsoft Tech Community

Windows Insiders

Insiders do Microsoft 365

Essas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade do idioma?
O que afetou sua experiência?
Ao pressionar enviar, seus comentários serão usados para aprimorar os produtos e serviços da Microsoft. Seu administrador de TI poderá coletar esses dados. Política de Privacidade.

Agradecemos seus comentários!

×