Suporte de orientação de configuração de segurança

Resumo

A Microsoft, o Center for Internet Security (CIS), a National Security Agency (NSA), a Defense Information Systems Agency (DISA) e o National Institute of Standards and Technology (NIST) publicaram "orientação de configuração de segurança" para o Microsoft Windows.

Os elevados níveis de segurança especificados em alguns destes guias podem restringir significativamente a funcionalidade de um sistema. Portanto, deve efetuar testes significativos antes de implementar estas recomendações. Recomendamos que tome precauções adicionais quando fizer o seguinte:

  • Editar listas de controlo de acesso (ACLs) para ficheiros e chaves de registo

  • Ativar o cliente da rede Microsoft: Assinar digitalmente as comunicações (sempre)

  • Ativar a segurança da Rede: Não guarde o valor do hash do GESTOR LAN na próxima alteração de palavra-passe

  • Ativar a criptografia do sistema: Utilize algoritmos compatíveis com FIPS para encriptação, hashing e assinatura

  • Desativar o serviço de atualização automática ou serviço de transferência inteligente de fundo (BITS)

  • Desativar o serviço NetLogon

  • Ativar NoNameReleaseOnDemand

A Microsoft apoia fortemente os esforços da indústria para fornecer orientações de segurança para implementações em áreas de alta segurança. No entanto, deve testar cuidadosamente a orientação no ambiente-alvo. Se necessitar de definições de segurança adicionais para além das definições predefinidos, recomendamos vivamente que consulte os guias emitidos pela Microsoft. Estes guias podem servir de ponto de partida para as exigências da sua organização. Para apoio ou para perguntas sobre guias de terceiros, contacte a organização que emitiu a orientação.

Introdução

Ao longo dos últimos anos, várias organizações, incluindo a Microsoft, o Center for Internet Security (CIS), a National Security Agency (NSA), a Defense Information Systems Agency (DISA) e o National Institute of Standards and Technology (NIST), publicaram "orientação de configuração de segurança" para o Windows. Como qualquer orientação de segurança, a segurança adicional que é exigida frequentemente tem um efeito adverso na usabilidade.

Vários destes guias, incluindo os guias da Microsoft, do CIS e do NIST, contêm vários níveis de definições de segurança. Estes guias podem incluir níveis concebidos para os seguintes:

  • Interoperabilidade com sistemas operativos mais antigos

  • Ambientes empresariais

  • Segurança reforçada que fornece funcionalidade limitada

    Nota Este nível é frequentemente conhecido como o nível de Segurança Especializada – Funcionalidade Limitada ou o nível de Alta Segurança.

O nível de Alta Segurança, ou Segurança Especializada – Funcionalidade Limitada, é projetado especificamente para ambientes muito hostis sob risco significativo de ataque. Este nível guarda informações do maior valor possível, como informação que é exigida por alguns sistemas governamentais. O nível de Alta Segurança da maior parte desta orientação pública é inadequado para a maioria dos sistemas que estão a executar o Windows. Recomendamos que não utilize o nível de Alta Segurança em postos de trabalho de uso geral. Recomendamos que utilize o nível de Alta Segurança apenas em sistemas onde o compromisso causaria a perda de vidas, a perda de informações muito valiosas, ou a perda de muito dinheiro.

Vários grupos trabalharam com a Microsoft para produzir estes guias de segurança. Em muitos casos, estes guias abordam ameaças semelhantes. No entanto, cada guia difere ligeiramente devido aos requisitos legais, à política local e aos requisitos funcionais. Por isso, as definições podem variar de um conjunto de recomendações para a seguinte. A secção "Organizações que produzem orientação de segurança publicamente disponível" contém um resumo de cada guia de segurança.

Mais Informações

Organizações que produzem orientações de segurança publicamente disponíveis

Microsoft Corporation

A Microsoft fornece orientações para como ajudar a proteger os nossos próprios sistemas operativos. Desenvolvemos os seguintes três níveis de definições de segurança:

  • Cliente Empresarial (CE)

  • Stand-Alone (SA)

  • Segurança Especializada – Funcionalidade Limitada (SSLF)

Testámos exaustivamente esta orientação para utilização em muitos cenários de clientes. A orientação é adequada para qualquer organização que pretenda ajudar a proteger os seus computadores baseados no Windows.

Apoiamos totalmente os nossos guias devido aos testes extensivos que realizamos nos nossos laboratórios de compatibilidade de aplicações nesses guias. Visite os seguintes websites da Microsoft para descarregar os nossos guias:

Se tiver problemas ou tiver comentários após implementar os Guias de Segurança da Microsoft, pode fornecer feedback enviando uma mensagem de e-mail para secwish@microsoft.com.



A orientação de configuração de segurança para o sistema operativo Windows, para o Internet Explorer e para o conjunto de produtividade do Office é fornecida no Microsoft Security Compliance Manager: http://technet.microsoft.com/en-us/library/cc677002.aspx.


O Centro de Segurança na Internet

O CIS desenvolveu referências para fornecer informações que ajudam as organizações a tomar decisões informadas sobre certas opções de segurança disponíveis. O CIS forneceu três níveis de critérios de segurança:

  • Legado

  • Empresa

  • Alta Segurança

Se tiver problemas ou tiver comentários após implementar as definições de benchmark do CIS, contacte o CIS enviando uma mensagem de e-mail para win2k-feedback@cisecurity.org.

A orientação do CIS mudou desde que publicámos originalmente este artigo (3 de novembro de 2004). A orientação atual do CIS assemelha-se à orientação que a Microsoft fornece. Para obter mais informações sobre a orientação que a Microsoft fornece, leia a secção "Microsoft Corporation" mais cedo neste artigo.

Instituto Nacional de Normalização e Tecnologia

O NIST é responsável pela criação de orientações de segurança para o Governo Federal dos Estados Unidos. O NIST criou quatro níveis de orientação de segurança que são usados pelas Agências Federais dos Estados Unidos, organizações privadas e organizações públicas:

  • SoHo

  • Legado

  • Empresa

  • Segurança Especializada – Funcionalidade Limitada

Se tiver problemas ou tiver comentários após implementar os modelos de segurança do NIST, contacte o NIST enviando uma mensagem de e-mail para itsec@nist.gov.

Note que a orientação do NIST mudou desde que publicámos originalmente este artigo (3 de novembro de 2004). A orientação atual do NIST assemelha-se à orientação que a Microsoft fornece. Para obter mais informações sobre a orientação que a Microsoft fornece, leia a secção "Microsoft Corporation" mais cedo neste artigo.

A Agência de Sistemas de Informação de Defesa

A DISA cria orientações especificamente para uso no Departamento de Defesa dos Estados Unidos (DOD). Os utilizadores do DOD dos Estados Unidos que experimentam problemas ou têm comentários após implementarem a orientação de configuração disa podem fornecer feedback enviando uma mensagem de e-mail para fso_spt@ritchie.disa.mil.

Nota A orientação da DISA mudou desde que publicámos originalmente este artigo (3 de novembro de 2004). A orientação atual da DISA é semelhante ou idêntica à orientação que a Microsoft fornece. Para obter mais informações sobre a orientação que a Microsoft fornece, leia a secção "Microsoft Corporation" mais cedo neste artigo.

A Agência de Segurança Nacional (NSA)

A NSA elaborou orientações para ajudar a proteger computadores de alto risco no Departamento de Defesa dos Estados Unidos (DOD). A NSA desenvolveu um único nível de orientação que corresponde aproximadamente ao nível de Alta Segurança que é produzido por outras organizações.

Se tiver problemas ou tiver comentários após implementar os Guias de Segurança da NSA para o Windows XP, pode fornecer feedback enviando uma mensagem de e-mail para XPGuides@nsa.gov. Para fornecer feedback sobre os guias do Windows 2000, envie uma mensagem de e-mail para w2kguides@nsa.gov.

Note que a orientação da NSA mudou desde que publicámos originalmente este artigo (3 de novembro de 2004). A orientação atual da NSA é semelhante ou idêntica à orientação que a Microsoft fornece. Para obter mais informações sobre a orientação que a Microsoft fornece, leia a secção "Microsoft Corporation" mais cedo neste artigo.

Questões de orientação de segurança

Como mencionado anteriormente neste artigo, os elevados níveis de segurança descritos em alguns destes guias foram concebidos para restringir significativamente a funcionalidade de um sistema. Devido a esta restrição, deve testar cuidadosamente um sistema antes de implementar estas recomendações.

Nota A orientação de segurança fornecida para os níveis soHo, Legacy ou Enterprise não foi reportada para afetar severamente a funcionalidade do sistema. Este artigo da Base de Conhecimento centra-se principalmente na orientação que está associada ao mais alto nível de segurança. 

Apoiamos veementemente os esforços da indústria no domínio da segurança para os destacamentos em áreas de alta segurança. Continuamos a trabalhar com grupos de normas de segurança para desenvolver orientações de endurecimento úteis que são totalmente testadas. As diretrizes de segurança de terceiros são sempre emitidas com fortes advertências para testar plenamente as diretrizes em ambientes de alta segurança. No entanto, estes avisos nem sempre são apresados. Certifique-se de que testa cuidadosamente todas as configurações de segurança no seu ambiente alvo. As definições de segurança que diferem das que recomendamos podem invalidar os testes de compatibilidade de aplicações que são realizados como parte do processo de teste do sistema operativo. Além disso, nós e terceiros desencorajamos especificamente a aplicação do projeto de orientação num ambiente de produção ao vivo, em vez de num ambiente de teste.

Os altos níveis destes guias de segurança incluem várias definições que deve avaliar cuidadosamente antes de implementá-las. Embora estas definições possam proporcionar benefícios adicionais de segurança, as definições podem ter um efeito adverso na usabilidade do sistema.

Modificações da lista de controlo de sistema de ficheiros e de acesso ao registo

O Windows XP e as versões posteriores do Windows têm permissões significativamente apertadas em todo o sistema. Por conseguinte, não devem ser necessárias alterações extensivas às permissões por defeito. 

As alterações adicionais da lista de controlo de acesso discricionário (DACL) podem invalidar a totalidade ou a maioria dos testes de compatibilidade da aplicação realizados pela Microsoft. Frequentemente, alterações como estas não foram submetidas aos testes minuciosos que a Microsoft realizou noutras definições. Casos de suporte e experiência de campo mostraram que as edições da DACL alteram o comportamento fundamental do sistema operativo, frequentemente de formas não intencionais. Estas alterações afetam a compatibilidade e estabilidade da aplicação e reduzem a funcionalidade, tanto no que diz respeito ao desempenho como à capacidade.

Devido a estas alterações, não recomendamos que modifique os DACLs do sistema de ficheiros em ficheiros incluídos no sistema operativo nos sistemas de produção. Recomendamos que avalie quaisquer alterações adicionais de ACL contra uma ameaça conhecida para entender quaisquer vantagens potenciais que as alterações possam emprestar a uma configuração específica. Por estas razões, os nossos guias fazem apenas alterações muito mínimas do DACL e apenas para o Windows 2000. Para o Windows 2000, são necessárias várias pequenas alterações. Estas alterações são descritas no Guia de Endurecimento de Segurança do Windows 2000.

As alterações de permissão extensivas que são propagadas em todo o sistema de registo e ficheiro não podem ser desfeitas. Podem ser afetadas novas pastas, como as pastas de perfil do utilizador que não estavam presentes na instalação original do sistema operativo. Portanto, se remover uma definição de Política de Grupo que executa alterações da DACL ou aplicar as falhas do sistema, não poderá reverter os DACLs originais. 

As alterações ao DACL na pasta %SystemDrive% podem causar os seguintes cenários:

  • O Caixote do Lixo já não funciona como concebido e os ficheiros não podem ser recuperados.

  • Uma redução da segurança que permite a um não administrador ver o conteúdo do Caixote do Reciclagem do administrador.

  • A falha dos perfis de utilizador funciona como esperado.

  • Uma redução da segurança que proporciona aos utilizadores interativos acesso à leitura de algum ou a todos os perfis de utilizador do sistema.

  • Problemas de desempenho quando muitas edições DACL são carregadas num objeto de Política de Grupo que inclui tempos de início de sessão longos ou reinícios repetidos do sistema alvo.

  • Problemas de desempenho, incluindo abrandamentos do sistema, a cada 16 horas ou mais, à medida que as definições de Política de Grupo são reaplicadas.

  • Problemas de compatibilidade de aplicações ou falhas de aplicação.

Para ajudá-lo a remover os piores resultados de tais permissões de ficheiros e registos, a Microsoft fornecerá esforços comercialmente razoáveis de acordo com o seu contrato de suporte. No entanto, não é possível reverter estas alterações. Só podemos garantir que pode voltar às definições recomendadas fora da caixa reformatando a unidade de disco rígido e reinstalando o sistema operativo.

Por exemplo, as modificações nos DACLs de registo afetam grandes partes das colmeias de registo e podem fazer com que os sistemas deixem de funcionar como esperado. A modificação dos DACLs em chaves de registo únicas constitui menos um problema para muitos sistemas. No entanto, recomendamos que considere e teste cuidadosamente estas alterações antes de as implementar. Mais uma vez, só podemos garantir que poderá voltar às definições recomendadas fora da caixa se reformar e reinstalar o sistema operativo.

Cliente da rede Microsoft: Assinar digitalmente comunicações (sempre)

Quando ativa esta definição, os clientes devem assinar o tráfego do Bloco de Mensagens do Servidor (SMB) quando contactarem servidores que não necessitam de assinatura sMB. Isto torna os clientes menos vulneráveis a ataques de sequestro de sessão. Fornece um valor significativo, mas sem permitir uma alteração semelhante no servidor para ativar o servidor de rede da Microsoft: Assinar digitalmente comunicações (sempre) ou cliente de rede microsoft: Assinar digitalmente comunicações (seo cliente concordar) , o cliente não poderá comunicar com sucesso com o servidor.

Segurança da rede: Não guarde o valor de hash do GESTOR LAN na próxima alteração de senha

Quando ativar esta definição, o valor de haxixe do Gestor LAN (LM) para uma nova palavra-passe não será armazenado quando a palavra-passe for alterada. O haxixe LM é relativamente fraco e propenso a atacar em comparação com o hash Microsoft Windows NT criptograficamente mais forte. Embora esta definição forneça uma segurança adicional extensiva a um sistema, evitando que muitos utilitários comuns de quebra de palavras-passe, a definição pode impedir que algumas aplicações comecem ou cordem corretamente.

Criptografia do sistema: Utilize algoritmos compatíveis com FIPS para encriptação, hashing e assinatura

Quando ativa esta definição, os Serviços de Informação da Internet (IIS) e o Microsoft Internet Explorer utilizam apenas o protocolo De Segurança da Camada de Transporte (TLS) 1.0. Se esta definição estiver ativada num servidor que esteja a executar o IIS, apenas os navegadores web que suportam o TLS 1.0 podem ligar.. Se esta definição estiver ativada num cliente web, o cliente pode ligar-se apenas a servidores que suportem o protocolo TLS 1.0. Este requisito pode afetar a capacidade de um cliente visitar websites que utilizem a Camada de Tomadas Seguras (SSL). Para mais informações, clique no seguinte número de artigo para ver o artigo na Base de Conhecimento da Microsoft:

811834 Não é possível visitar sites SSL depois de ativar a criptografia compatível com o FIPS
Adicionalmente, quando ativa esta definição num servidor que utiliza serviços terminais, os clientes são obrigados a utilizar o cliente RDP 5.2 ou versões posteriores para se conectarem.

Para mais informações, clique no seguinte número de artigo para ver o artigo na Base de Conhecimento da Microsoft:

811833 Os efeitos de permitir a "criptografia do sistema: utilizar algoritmos compatíveis com FIPS para encriptação, hashing e assinatura" definição de segurança no Windows XP e em versões posteriores do Windows

O serviço de atualização automática ou o serviço de transferência inteligente de fundo (BITS) está desativado

Um dos pilares fundamentais da estratégia de segurança da Microsoft é garantir que os sistemas são mantidos atualizados em atualizações. Um componente chave nesta estratégia é o serviço De Atualizações Automáticas. Tanto os serviços de Atualização do Windows como de atualização de software utilizam o serviço de Atualizações Automáticas. O serviço de Atualizações Automáticas conta com o Serviço de Transferência Inteligente de Fundo (BITS). Se estes serviços forem desactivdos, os computadores deixarão de poder receber atualizações do Windows Update através de Atualizações Automáticas, de serviços de Atualização de Software (SUS) ou de algumas instalações do Microsoft Systems Management Server (SMS). Estes serviços devem ser desativado apenas em sistemas que dispom de um sistema eficaz de distribuição de atualização que não dependa de BITS.

O serviço NetLogon está desativado

Se desativar o serviço NetLogon, uma estação de trabalho já não funciona de forma fiável como membro de domínio. Esta definição pode ser apropriada para alguns computadores que não participam em domínios. No entanto, deve ser cuidadosamente avaliado antes da sua implantação.

NoNameReleaseOnDemand

Esta definição impede que um servidor abandone o seu nome NetBIOS se este entrar em conflito com outro computador na rede. Esta definição é uma boa medida preventiva para a negação de ataques de serviço contra servidores de nomes e outras funções de servidor muito importantes.

Quando permite esta definição numa estação de trabalho, a estação de trabalho recusa-se a renunciar ao seu nome NetBIOS, mesmo que o nome esteja em conflito com o nome de um sistema mais importante, como um controlador de domínio. Este cenário pode desativar uma importante funcionalidade de domínio. A Microsoft apoia fortemente os esforços da indústria para fornecer orientações de segurança que são direcionadas para implementações em áreas de alta segurança. No entanto, esta orientação deve ser cuidadosamente testada no ambiente-alvo. Recomendamos vivamente que os administradores de sistemas que necessitem de definições de segurança adicionais para além das definições predefinidos utilizem os guias emitidos pela Microsoft como ponto de partida para os requisitos da sua organização. Para apoio ou para perguntas sobre guias de terceiros, contacte a organização que emitiu a orientação.

Referências

Para obter mais informações sobre as definições de segurança, consulte Ameaças e Contramedidas: Definições de segurança no Windows Server 2003 e Windows XP. Para descarregar este guia, visite o seguinte website da Microsoft:

http://go.microsoft.com/fwlink/?LinkId=15159Para obter mais informações sobre o efeito de algumas definições de segurança adicionais, clique no seguinte número de artigo para ver o artigo na Base de Conhecimento da Microsoft:

823659 Incompatibilidades de clientes, serviços e programas que possam ocorrer quando modificar as definições de segurança e as atribuições de direitos de utilizador Para obter mais informações sobre os efeitos da necessidade de algoritmos compatíveis com o FIPS, clique no seguinte número de artigo para ver o artigo na Base de Conhecimento da Microsoft:

811833 Os efeitos de permitir a definição de segurança "Cryptography System: Use fips para encriptação, hashing e assinatura" na definição de segurança do Windows XP e versões posteriores AMicrosoft fornece informações de contacto de terceiros para o ajudar a encontrar suporte técnico. Estas informações de contacto poderão ser alteradas sem aviso prévio. A Microsoft não garante a exatidão destas informações de contacto de terceiros.


Para obter informações sobre o seu fabricante de hardware, visite o seguinte website da Microsoft:

http://support.microsoft.com/gp/vendors/en-us

Precisa de mais ajuda?

Aumente os seus conhecimentos
Explore as formações
Seja o primeiro a obter novas funcionalidades
Aderir ao Microsoft insiders

As informações foram úteis?

Obrigado pelos seus comentários!

Obrigado pelo seu feedback! Parece que poderá ser benéfico reencaminhá-lo para um dos nossos agentes de suporte do Office.

×