Como configurar e aplicar modelos de segurança com o Windows 2000
Nesta página
Neste módulo
Este módulo define os modelos de segurança incluídos com o Guia de Proteção do indows 2000. O módulo explica também o procedimento para configurar e aplicar esses modelos de segurança.
Objetivos
Use este módulo para:
| • | Identificar os modelos de segurança incluídos no Guia de Proteção do Windows 2000. |
| • | Configurar os modelos de segurança. |
| • | Aplicar os modelos de segurança. |
Aplica-se a
Este módulo aplica-se aos seguintes produtos e tecnologias:
| • | Sistema operacional Microsoft Windows 2000 |
| • | Modelos de segurança |
| • | Diretiva de grupo |
| • | Editor de Configuração de Segurança |
Como usar este módulo
Este módulo deve ser usado como um auxílio na aplicação da configuração de segurança nos sistemas Windows 2000. Este módulo identifica os modelos de segurança usados no Guia de Proteção do Windows 2000, além do processo de configuração e aplicação de modelos.
Para aproveitar este módulo ao máximo:
| • | Leia o módulo "Configurações de segurança do Windows 2000". Esse módulo fornece documentação detalhada sobre as configurações de segurança que podem ser usadas para melhorar a segurança do Windows 2000. |
| • | Leia o módulo "Ferramentas de configuração de segurança do Windows 2000". Esse módulo realça as ferramentas do Windows 2000 que podem ser usadas para aplicar configurações seguras. |
| • | Leia o módulo "Configurações de diretiva de segurança padrão do Windows 2000". Esse módulo identifica as configurações de diretiva de segurança padrão aplicadas às diferentes funções do sistema Windows 2000. |
| • | Leia o módulo "Configuração de direitos e privilégios do usuário do Windows 2000". Esse módulo identifica as atribuições padrão dos direitos de usuário nos sistemas Windows 2000 e fornece uma lista de alterações recomendadas em "Configurações de segurança do Windows 2000". |
| • | Use a lista de verificação "Lista de verificação da configuração de segurança do Windows 2000". Esse módulo contém listas de verificação de segurança que podem ser usadas ao se avaliar um sistema para assegurar que todas as alterações de configuração tenham sido feitas. |
| • | Baixe os modelos de configuração de segurança. Baixe os modelos de segurança que acompanham este guia de http://www.microsoft.com/downloads/details.aspx?FamilyID=15e83186-a2c8-4c8f-a9d0-a0201f639a56&displaylang=en. |
Modelos de configuração do Guia de Proteção do Windows 2000
Por conveniência, o Guia de Proteção do Windows 2000 inclui um conjunto de modelos de configuração de segurança do Windows 2000. Você pode usar esses modelos para automatizar a aplicação das configurações de segurança recomendadas definidas neste documento. No entanto, você deve rever cuidadosamente todas as configurações antes de aplicar um modelo de configuração de segurança, já que as diretivas de segurança locais de uma organização podem requerer ajustes dos valores recomendados ou das configurações de segurança definidas nos modelos.
Os modelos são cumulativos, no sentido do modelo da linha de base aplicar-se a todos os sistemas enquanto que os modelos individuais devem ser usados somente nos sistemas para os quais foram projetados. O modelo da linha de base não foi projetado para ser aplicado isoladamente. Ele deve ser aplicado sempre junto com outros modelos, conforme necessário. Em um ambiente de domínio, o modelo de linha de base contém configurações que precisam ser aplicadas à diretiva do domínio, enquanto os outros modelos possuem configurações que devem ser aplicadas a várias OUs do domínio.
Os modelos a seguir são incluídos:
| • | W2KHG_baseline.inf – Configurações comuns que devem ser aplicadas a todos os computadores. |
| • | W2KHG_MemberWks.inf – Configurações exclusivas de estações de trabalho membros de um domínio. |
| • | W2KHG_MemberLaptop.inf – Configurações exclusivas de laptops membros de um domínio. |
| • | W2KHG_MemberServer.inf – Configurações exclusivas de um servidor colocado em um domínio. |
| • | W2KHG_DomainController.inf – Configurações exclusivas de controladores de domínio. |
| • | W2KHG_StandaloneWKS.inf – Configurações exclusivas de estações de trabalho autônomas. |
| • | W2KHG_StandaloneSrv.inf – Configurações exclusivas de servidores autônomos. |
Em um ambiente de domínio, recomenda-se usar a Diretiva de Grupo para implementar as configurações.
Modificações de modelos e configurações manuais
Você deve modificar manualmente as configurações mostradas abaixo. São mostradas configurações padrão que você deve modificar para refletir a diretiva de segurança de sua organização. Você pode realizar essas modificações através da ferramenta Snap–in Modelos de Segurança, conforme descrito na seção "Exibindo e editando um modelo de configuração de segurança" abaixo. Como alternativa, também é possível modificar os arquivos INF diretamente, apesar disso não ser recomendável, a menos que você esteja familiarizado no formato.
Aviso: A modificação incorreta dos arquivos INF pode resultar em problemas sérios com o sistema!
| • | Título de mensagem para usuários tentando fazer logon. O texto dos modelos é um espaço reservado que você deve editar para adequar aos requisitos locais de sua organização. Consulte a seção "Modificar opções de segurança" para obter detalhes. |
| • | Texto de mensagem para usuários tentando fazer logon. O texto dos modelos é um espaço reservado que você deve editar para adequar aos requisitos locais de sua organização. Consulte a seção "Modificar opções de segurança" para obter detalhes. |
Você deve aplicar as seguintes modificações recomendadas de conta de usuário e de grupo:
| • | TsInternetUser. A menos que você use o Conector da Internet dos Serviços de Terminal, desative a conta TsInternetUser nos servidores e controladores de domínio do Windows 2000. Um modelo de segurança não pode desativar a conta. Consulte a seção "Contas de usuário padrão" para obter detalhes. |
| • | Usuários de domínio. Remova as contas Convidado e TSInternetUser do grupo Usuários de domínio. Os modelos de segurança permitem a configuração de grupos restritos com um conjunto de membros definido permitido. No entanto, o grupo Usuários de domínio precisa permitir que todos os novos usuários tornem-se automaticamente membros e torná-lo um grupo restrito funciona somente se você puder enumerar todos os usuários que precisam entrar nele. Consulte a seção "Contas de grupo padrão" para obter detalhes. |
Procedimentos de configuração adicionais:
| • | Ativar a proteção automática de bloqueio de tela. Os procedimentos estão disponíveis na seção "Ativar proteção automática de bloqueio de tela" neste documento. |
| • | Atualizar o disco de reparo de emergência. Os procedimentos estão disponíveis na seção "Ações recomendadas antes da instalação das atualizações de service pack e hotfix" deste documento. |
| • | Fazer o backup dos certificados de criptografia do administrador de domínio. Os procedimentos recomendados estão disponíveis na seção "Sistema de arquivos com criptografia" deste documento. |
Ferramentas de aplicação de modelo de configuração de segurança
Os administradores autorizados podem usar as ferramentas a seguir para editar e aplicar os modelos de configuração de segurança.
| • | Snap–in Modelos de Segurança. |
| • | Snap–in Configuração e Análise de Segurança. |
No nível do domínio, os modelos Diretiva de segurança de domínio e Diretiva de segurança de controlador de domínio devem ser aplicados através das interfaces com o usuário Diretiva de segurança de domínio e Diretiva de segurança de controlador de domínio do controlador de domínio, conforme descrito na seção "Diretivas de segurança do Windows 2000" deste documento.
Gerenciando e aplicando modelos de segurança de configuração de segurança
Esta seção fornece procedimentos para editar e aplicar os modelos de configuração de segurança.
Estendendo a interface do editor de configuração de segurança
Você pode estender a interface do SCE para exibir e permitir a definição das configurações de segurança que não são exibidas por padrão, mas que podem ser relevantes para sua organização. Para fazer isso, você pode usar um novo modelo sceregvl.inf. Para obter mais informações sobre isso, consulte o artigo do Microsoft Knowledge Base 214752, "How to Add Custom Registry Settings to Security Configuration Editor". Um modelo que inclui as configurações realizadas neste guia está incluso no pacote para download do guia. Para instalá-lo, simplesmente execute o arquivo em lotes "installSceregvl.bat", também incluído no guia. Observe que você precisa instalar esse modelo somente no computador usado para realizar as configurações. Ele não precisa ser instalado em todos os computadores de destino.
Exibindo e editando de um modelo de configuração de segurança
Você pode editar os modelos de configuração de segurança abrindo-os em um editor de texto, como o Notepad.exe, ou abrindo-os na ferramenta snap–in Modelos de Segurança. O Notepad.exe é recomendado se configurações adicionais recomendadas do Registro que não são visíveis através da ferramenta snap–in Modelos de Segurança forem ser adicionadas ao modelo, como as definidas na seção "Configurações adicionais de segurança" deste documento.
| • | Para editar um modelo usando a ferramenta snap–in Modelos de Segurança
|
Aplicando um modelo de segurança a um computador local
Use o seguinte procedimento para aplicar os modelos de segurança localmente em um computador executando o Windows 2000 Server ou Professional. Se computadores que são membros do domínio devem herdar todas as configurações de segurança do domínio, esse procedimento não é necessário no computador local.
| • | Para aplicar os modelos de segurança localmente a um computador executando o Windows 2000 Server ou Professional
|
Uma maneira mais rápida para configurar um computador depois de um modelo ter sido criado é usando a ferramenta da linha de comando secedit.exe.
| • | Para usar a ferramenta da linha de comando secedit.exe
|
Para obter detalhes mais completos sobre como usar a ferramenta da linha de comando secedit, digite secedit /? em um prompt de comando.
Implantando um modelo de segurança para uma diretiva de segurança de objeto do Active Directory
O procedimento a seguir importa os modelos de segurança incluídos com este guia na estrutura recomendada da OU. Antes de implementar o procedimento a seguir em um controlador de domínio, você deve localizar os arquivos de diretiva específicos (.inf) em um Windows 2000 Server em seu ambiente.
Aviso: os modelos de segurança deste guia foram criados para aumentar a segurança do ambiente. É bem possível que, com a instalação dos modelos incluídos neste guia, alguma funcionalidade do ambiente da organização seja perdida. Isso pode incluir a falha de aplicativos críticos.
Portanto, é essencial testar rigorosamente esses modelos antes de implantá-los em um ambiente de produção. Faça backup de todos os DCs e servidores do ambiente antes de aplicar novas configurações de segurança. Verifique se o estado do sistema está incluído no backup para permitir que configurações do Registro ou objetos do Microsoft Active Directory® sejam restaurados.
Antes de prosseguir com o procedimento de importação dos modelos de segurança, se os servidores do ambiente não estiverem executando pelo menos o Windows 2000 SP3, conforme recomendado neste guia, aplique o hotfix discutido no artigo 295444 do Knowledge Base, "SCE Cannot Alter a Service's SACL Entry in the Service's Registry Key".
Se esse hotfix não for aplicado, os modelos de Diretiva de Grupo não poderão desativar nenhum serviço. Um hotfix é um pacote cumulativo único composto por um ou mais arquivos usados para corrigir um defeito em um produto. Os hotfixes tratam de situações específicas do cliente e não podem ser distribuídos fora da organização do cliente sem o consentimento legal por escrito da Microsoft. Os termos QFE, patch e atualização também foram usados como sinônimos de hotfix.
| • | Para importar a diretiva
|
Secedit.exe é uma ferramenta de linha de comando que, ao ser chamada de um arquivo em lotes ou de um agendador de tarefas automático, pode ser usada para criar e aplicar modelos automaticamente, além de analisar a segurança do sistema. Você também pode executar essa ferramenta de forma dinâmica a partir de uma linha de comando.
É importante notar que você deve importar essa diretiva para os domínios adicionais da organização. No entanto, não é difícil encontrar ambientes em que a diretiva de senha do domínio raiz seja muito mais estrita do que as dos outros domínios. Além disso, você deve garantir que todos os outros domínios que usarão essa mesma diretiva tenham os mesmos requisitos de negócios. Como a diretiva de senha só pode ser definida no nível de domínio, talvez haja requisitos legais ou de negócios que segmentem alguns usuários em um domínio separado, simplesmente para impor o uso de uma diretiva de senha mais estrita nesse grupo.
Importar um modelo de configuração de segurança de domínio
| • | Para importar um modelo de segurança para Domínios
Siga os procedimentos abaixo para importar um modelo de segurança para controladores de domínio. |
Importar um modelo de configuração de segurança de controlador de domínio
| • | Para importar um modelo de segurança para controladores de domínios
|