Guia de Planejamento da Segurança de Contas de Administrador

Capítulo 3 - Diretrizes para tornar as contas de administrador mais seguras

Atualizado em: 25 de maio de 2005

Este capítulo descreve diretrizes de práticas recomendadas a serem seguidas para aprimorar a segurança das contas administrativas. Essas diretrizes obedecem aos princípios introduzidos pelo Capítulo 2, "Abordagem para tornar as contas de administrador mais seguras".

Visão geral das diretrizes para tornar as contas de administrador mais seguras

Toda nova instalação do serviço de diretório Active Directory® envolve a criação de uma conta de administrador para cada domínio. Por padrão, essa conta não pode ser excluída nem bloqueada. No Microsoft® Windows Server™ 2003, a conta Administrador pode ser desativada, porém ela será automaticamente reabilitada quando o computador for iniciado em Modo de Segurança.

Um usuário mal-intencionado que vise a invadir um computador em geral começa por encontrar uma conta válida e, em seguida, tenta aumentar os privilégios daquela conta. Ele pode também utilizar métodos para adivinhar a senha da conta do administrador. Essa conta será o principal alvo de seu ataque por ter vários privilégios e pelo fato de não poder ser bloqueada. O invasor pode também tentar enganar o administrador e fazê-lo executar algum código malicioso que lhe conceda acesso.

Separar as funções de administrador do domínio e administrador de empresa

Uma vez que a função de administrador da empresa tem o privilégio máximo em um ambiente de floresta, é necessário tomar uma ou duas medidas para assegurar-se de que seu uso seja bem controlado. Você pode criar e selecionar uma única conta bem protegida para que faça parte das contas Administração de Empresa, ou então optar por não definir uma conta com essas credenciais e, em vez disso, criar tal conta apenas quando ela for necessária para a realização de uma tarefa autorizada. Após a conclusão da tarefa usando essa conta de Administração de Empresa, você deverá excluí-la imediatamente.

Separar contas de usuário e administrador

É necessário criar duas contas para cada usuário que tiver a função de administrador: uma conta de usuário normal para tarefas diárias, como o uso de email e outros programas, e uma conta administrativa apenas para tarefas administrativas. Você não deve habilitar o recurso de email nessas contas administrativas; utilize-as apenas para executar programas padrão ou navegar pela Internet. Cada conta deve apresentar uma senha exclusiva. Essas precauções simples reduzem a exposição das contas ao mundo exterior e podem diminuir o tempo em que as contas administrativas permanecem conectadas a um computador ou domínio.

Utilize o serviço de logon secundário

No Microsoft Windows® 2000, Windows XP Professional e Windows Server 2003, você pode executar programas como um usuário diferente do usuário que originalmente fez logon no sistema. No Windows 2000, o serviço Executar Como fornece essa função, enquanto que, no Windows XP e Windows Server 2003, isso é proporcionado pelo serviço Logon Secundário. Os serviços Executar Como e Logon Secundário são o mesmo serviço com nomes diferentes.

Logon Secundário permite que administradores façam logon no computador usando uma conta que não seja administrativa e, sem fazer logoff, executem tarefas administrativas usando programas administrativos confiáveis em contextos administrativos.

O serviço de logon secundário oferece uma solução aos riscos de segurança apresentados por administradores que executam programas suscetíveis a códigos mal-intencionados. Por exemplo, um usuário que acessa um site não confiável enquanto está conectado com privilégios administrativos.

O logon secundário destina-se principalmente a administradores de sistema; contudo, qualquer usuário que tenha várias contas e que precise iniciar programas em contextos de contas diferentes poderá usufruir desse serviço.

O serviço Logon Secundário está definido para ser automaticamente iniciado e utiliza a ferramenta Executar Como para interface do usuário e o programa runas.exe para interface de linha de comando. Ao usar Executar Como, você pode executar programas (*.exe), consoles salvos do Console de Gerenciamento Microsoft (MMC) (*.msc), atalhos de programas e itens do Painel de Controle. Você pode executar esses programas como um administrador mesmo que tenha feito logon no computador usando uma conta de usuário padrão sem privilégios administrativos, contanto que insira as credenciais de nome de usuário e senha de conta administrativa ao ser solicitado.

Executar Como permite que você administre um servidor em outro domínio ou floresta caso tenha credenciais da outra conta de administrador do domínio.

Observação: Alguns itens, como a pasta Impressoras, Meu Computador e Meus Locais de Rede na área de trabalho não podem ser iniciados com Executar Como.

Usando o recurso Executar Como

Executar Como pode ser usado de diversas maneiras:

Para usar Executar Como para iniciar um shell de comando usando as credenciais da conta de administrador

1.	Clique em Iniciar e, em seguida, clique em Executar.
2.	Na caixa de diálogo Executar, digite runas /user:<nome_domínio>\administrator cmd (em que <nome_domínio> é o nome de seu domínio) e clique em OK.
3.	Quando solicitado a inserir uma senha para a conta nome_domínio\administrator, digite a senha da conta do administrador e pressione ENTER.
4.	Uma nova janela do console será aberta, sendo executada no contexto administrativo. O título do console será identificado como Sendo executado como nome_domínio\administrator.

Para usar Executar Como para executar um item no Painel de Controle

1.	No Windows XP ou Windows Server 2003, clique em Iniciar e em Painel de Controle.
2.	Enquanto mantém pressionada a tecla SHIFT, clique com o botão direito na ferramenta ou programa que deseja executar no contexto administrativo (por exemplo, Adicionar Hardware).
3.	No menu de atalho, clique em Executar Como.
4.	Na caixa de diálogo Executar Como, clique em O seguinte usuário e digite o nome de domínio, nome da conta do administrador e senha apropriados; por exemplo: CORPDOMAIN\Administrator Senh@123
5.	Clique em OK. O programa é executado no contexto administrativo.

Para usar Executar Como para abrir um programa do menu Iniciar, como Usuário e Computadores do Active Directory

1.	No Windows Server 2003, clique em Iniciar, aponte para Ferramentas Administrativas e clique com o botão direito em Usuário e Computadores do Active Directory.
2.	No menu de atalho, clique em Executar Como.

Você pode também usar o utilitário de linha de comando do executável runas.exe para executar programas e iniciar consoles de gerenciamento a partir da linha de comando.

Para iniciar uma instância do prompt de comando como administrador no computador local

1.	Clique em Iniciar e, em seguida, clique em Executar.
2.	Na caixa de diálogo Executar, digite runas /user:<nome_computador_local>\administrator cmd
3.	Clique em OK.
4.	Quando solicitado, digite a senha do administrador na janela do prompt de comando e pressione ENTER.

Para iniciar uma instância do snap-in Gerenciamento de Computador usando uma conta de administrador chamada admin_domíniono domíniodomínio_corp

1.	Clique em Iniciar e, em seguida, clique em Executar.
2.	Na caixa de diálogo Executar, digite runas /user:<domínio_corp>\<admin_domínio> "mmc %windir%\system32\compmgmt.msc"
3.	Clique em OK.
4.	Quando solicitado, digite a senha da conta na janela do prompt de comando e pressione ENTER.

Você pode também usar o runas.exe para executar programas e iniciar consoles de gerenciamento a partir da linha de comando usando credenciais de cartão inteligente.

Para iniciar uma instância do prompt de comando como administrador no computador local usando credenciais de cartão inteligente

1.	Clique em Iniciar e, em seguida, clique em Executar.
2.	Na caixa de diálogo Executar, digite runas /smartcard /user:<nome_computador_local>\administrator cmd
3.	Clique em OK.
4.	Quando solicitado, digite o número PIN do cartão inteligente na janela do prompt de comando e pressione ENTER.

Observação: Não é possível inserir a senha como um parâmetro de linha de comando em runas.exe, pois esse não seria um procedimento seguro.

Executar uma sessão de serviços de terminal separada para administração

O uso de Executar Como é a abordagem mais comum usada por administradores ao realizarem alterações em seus computadores locais e, possivelmente, ao executarem programas de linha de negócios. No caso de tarefas administrativas de TI, você pode usar os serviços de terminal para conectar-se aos servidores que precisa gerenciar. Será muito mais fácil gerenciar vários servidores remotos se você não tiver de visitar cada um pessoalmente. Além disso, essa abordagem reduz a necessidade de direitos de logon interativo nos servidores. Para utilizar esse método, faça logon usando suas credenciais de conta de usuário normal e, em seguida, execute uma sessão dos Serviços de Terminal como um administrador do domínio. Você deve realizar as tarefas de administração do domínio apenas naquela janela de sessão.

Renomear a conta padrão do administrador

Ao renomear a conta padrão do administrador, você remove a indicação óbvia de que essa conta tem privilégios elevados. Embora um invasor que descobrisse a conta padrão do administrador ainda precise da senha para usá-la, renomear essa conta acrescenta uma camada adicional de proteção contra os ataques de elevação de privilégios. Uma opção seria usar um nome e sobrenome fictícios, no mesmo formato que outros nomes de usuário.

Observação: Renomear a conta padrão do administrador impede apenas determinados tipos de ataques. Um invasor ainda poderia descobrir com facilidade a conta padrão do administrador, pois o identificador de segurança dessa conta permanece o mesmo. Além disso, existem ferramentas que enumeram membros do grupo e que sempre relacionam em primeiro lugar a conta do administrador original. Para obter a melhor proteção contra ataques à conta de administrador interna, crie uma nova conta de administração e desative a conta incorporada.

Para renomear a conta padrão do administrador em um domínio

1.	Faça logon como membro do grupo Admins. do Domínio (porém não use a conta Administrador interna) e abra Usuários e Computadores do Active Directory.
2.	Na árvore do console, clique em Usuários.
3.	No painel de detalhes, clique com o botão direito em Administrador e clique em Renomear.
4.	Digite o nome e o sobrenome fictícios e pressione ENTER.
5.	Na caixa de diálogo Renomear Usuário, altere os valores Nome completo, Nome, Sobrenome, Nome para exibição, Nome de logon do usuário e Nome de logon do usuário (anterior ao Windows 2000) de acordo com seu nome de conta fictício e clique em OK.
6.	No painel de detalhes, clique com o botão direito do mouse no novo nome e clique em Propriedades.
7.	Clique na guia Geral. Na caixa Descrição, exclua Conta interna para a administração do computador/domínio e digite uma descrição que seja semelhante à das outras contas de usuários (para muitas empresas, essa descrição ficará em branco).
8.	Clique em OK.

Para renomear a conta padrão do Administrador local

1.	Faça logon como membro do grupo Administradores local (porém não use a conta Administrador interna) e abra o snap-in Usuários e Grupos Locais no console de Gerenciamento de Computador.
2.	Na árvore do console, expanda Usuários e Grupos Locais e clique em Usuários.
3.	No painel de detalhes, clique com o botão direito em Administrador e clique em Renomear.
4.	Digite o nome e o sobrenome fictícios e pressione ENTER.
5.	No painel de detalhes, clique com o botão direito do mouse no novo nome e clique em Propriedades.
6.	Clique na guia Geral. Na caixa Nome completo, digite o novo nome completo. Na caixa Descrição, exclua Conta interna para a administração do computador/domínio e digite uma descrição que seja semelhante à das outras contas de usuários (para muitas empresas, essa descrição ficará em branco).
7.	Clique em OK.

Observação: Há também uma configuração de Objeto de Diretiva de Grupo (GPO) que você pode usar para renomear a conta padrão do Administrador em um número grande de computadores. No entanto, essa configuração não permite que você modifique a descrição padrão. Para obter mais informações, consulte o artigo HOW TO: Rename the Administrator and Guest Account in Windows Server 2003 (em inglês) da Base de Dados de Conhecimento em http://support.microsoft.com/default.aspx?scid=kb;en-us;816109.

Criar uma conta de Administrador "chamariz"

A criação de uma conta de Administrador chamariz representa uma camada adicional de proteção. Isso pode enganar um invasor que planeje um ataque de senha na conta do Administrador para que acabe atacando uma conta sem privilégios especiais, de forma a reduzir as chances de que ele descubra sua conta Administrador renomeada. Além disso, para garantir que o invasor passe algum tempo tentando decifrar essa conta falsa, certifique-se de que ela não esteja bloqueada e defina para ela uma senha de alta segurança. Após criar a conta falsa, assegure-se de que ela não faça parte de nenhum grupo de segurança com privilégios. Em seguida, monitore o uso da conta quanto a atividades inesperadas, como falhas de logon. Para obter mais informações, consulte Securing Active Directory Administrative Groups and Accounts (em inglês) em www.microsoft.com/technet/security/topics/networksecurity/sec_ad_admin_groups.mspx.

Para criar uma conta de Administrador chamariz em um domínio

1.	Faça logon como um membro do grupo Admins. do Domínio e abra Usuários e Computadores do Active Directory.
2.	Clique com o botão direito do mouse no contêiner Usuário, aponte para Novo e clique em Usuário.
3.	Em Nome e Nome de logon do usuário, digite Administrador e clique em Avançar.
4.	Digite e confirme uma senha.
5.	Limpe a caixa de seleção O usuário deve alterar a senha no próximo logon e clique em Avançar.
6.	Verifique se as informações da conta chamariz estão corretas e clique em Concluir.
7.	No painel de detalhes, clique duas vezes em Administrador e clique em Propriedades.
8.	Clique na guia Geral. Na caixa Descrição, digite Conta interna para a administração do computador/domínio e clique em OK.

Para criar uma conta de Administrador chamariz

1.	Faça logon como membro do grupo Administradores local e abra o snap-in Usuários e Grupos Locais no console de Gerenciamento de Computador.
2.	Na árvore do console, expanda Usuários e Grupos Locais.
3.	Clique com o botão direito do mouse no contêiner Usuários e, em seguida, clique em Novo Usuário.
4.	Na caixa Nome de usuário, digite Administrador. Na caixa Descrição, digite Conta interna para a administração do computador/domínio.
5.	Digite e confirme uma senha.
6.	Limpe a caixa de seleção O usuário deve alterar a senha no próximo logon.
7.	Clique em Criar.

Criar uma conta de administrador secundária e desativar a conta interna

Mesmo que você não utilize os Serviços de Terminal para administração nem permita que usuários não administrativos acessem seus servidores, é recomendável criar um usuário adicional como uma conta de administrador secundário para administrar seus servidores. Você deve fazer logon como membro do grupo Administradores. Após criar a conta secundária, você poderá desativar a conta Administrador interna.

Para criar uma conta de administrador secundária

1.	Faça logon como Administrador e abra Usuários e Computadores do Active Directory.
2.	Clique com o botão direito do mouse no contêiner Usuário, aponte para Novo e clique em Usuário.
3.	Em Nome e Nome de logon do usuário, digite <nome_do_usuário> e clique em Avançar.
4.	Digite e confirme uma senha de alta segurança.
5.	Limpe a caixa de seleção O usuário deve alterar a senha no próximo logon e clique em Avançar.
6.	Verifique se as informações da conta estão corretas e clique em Concluir.
7.	No painel de detalhes, clique com o botão direito do mouse em nome de usuário e clique em Propriedades.
8.	Clique na guia Membro de, clique em Adicionar, digite administradores, clique em Verificar Nomese clique em OK.
9.	Clique novamente em OK para fechar a página Propriedades.

Para desativar a conta Administrador interna

1.	Faça logon usando a conta de administrador secundária que acabou de criar e abra Usuários e Computadores do Active Directory.
2.	Clique no contêiner Usuários, clique com o botão direito do mouse no nome da conta de administrador interna e clique em Propriedades.
3.	Clique na guia Conta.
4.	Em Opções da conta, role para baixo e marque a caixa de seleção Conta desativada.
5.	Clique em OK.

Aviso: Esteja certo de que haja outra conta com privilégios de administrador apropriados antes de desativar a conta Administrador interna. Se você desativar a conta sem que haja outra conta disponível, poderá perder o controle administrativo sobre o domínio, o que poderá exigir uma operação de restauração do sistema ou sua reinstalação.

Ativar o bloqueio de conta em logons de administrador remoto

Um modo de impedir que invasores utilizem as credenciais e a senha da conta Administrador interna é fazer com que a conta Administrador seja bloqueada na rede por uma diretiva de conta após um número específico de tentativas fracassadas de logon. Por padrão, a conta Administrador interna não pode ser bloqueada; no entanto, você pode usar passprop.exe, um programa de linha de comando do Microsoft Windows 2000 Server Resource Kit, para permitir o bloqueio da conta durante o logon remoto que utilize a conta Administrador. Ao executar o utilitário passprop com a opção /ADMINLOCKOUT, você sujeita a conta Administrador às diretivas de bloqueio de conta. No Windows 2000 Server, isso se aplica somente a logons remotos, e uma vez que a conta Administrador interna nunca pode ser bloqueada a partir do computador local, esse programa permite proteger a conta Administrador contra um ataque na rede porém ainda permite o acesso interativo.

Aviso: No Windows Server 2003, passprop permite que a conta Administrador interna seja bloqueada contra logons interativos e logons remotos.

Você pode usar as seguintes opções de bloqueio de conta com passprop:

passprop [/adminlockout] [/noadminlockout]

A opção /adminlockout mantém bloqueado o administrador.

A opção /noadminlockout remove o bloqueio do administrador.

Observação: Quando você ativar essa configuração e a conta ficar bloqueada, ninguém poderá realizar tarefas de administração remota usando a conta Administrador.

Criar uma senha de alta segurança para a conta Administrador

Use uma senha de alta segurança para a conta Administrador interna. Uma senha de alta segurança reduz a ameaça de um invasor adivinhar a senha e obter as credenciais da conta Administrador. Uma senha de alta segurança da conta Administrador deve:

•	Conter no mínimo 15 caracteres.
•	Não conter um nome de conta, nome real nem nome da empresa.
•	Não conter uma palavra completa, nem mesmo gíria ou jargão, em qualquer idioma.
•	Ser significativamente diferente de senhas anteriores. Senhas incrementais (Senha1, Senha2, Senha3 ...) não são seguras.
•	Conter caracteres de, no mínimo, três dos cinco grupos relacionados na tabela a seguir.

Tabela 3.1 Tipos de caracteres para uma senha de alta segurança da conta Administrador

Tipos de Caracteres	Exemplo
Letras maiúsculas	A, B, C ...
Letras minúsculas	a, b, c ...
Números	0, 1, 2, 3 ...
Símbolos não alfanuméricos do teclado	` ~ ! @ # $ % ^ & * ( ) _ + - = { } \| [ ] \ : " ; ' < > ? , . /
Caracteres Unicode	€, G, ƒ, ?

Usar frases secretas em vez de senhas

A maneira mais simples de criar uma senha de alta segurança que não tenha de ser anotada é criar uma frase secreta. Uma frase secreta é uma sentença fácil de ser lembrada, como "Meu filho Antônio é três anos mais velho do que minha filha Anna". Você pode criar uma frase secreta razoavelmente forte usando a primeira letra de cada palavra nessa sentença. Por exemplo, "mfaetamvdqmfa". Contudo, você pode tornar isso uma senha de alta segurança usando uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais que se pareçam com letras. Por exemplo, se usar a mesma sentença decorada acima e alguns truques, sua senha poderá ser transformada em mf@e'3@mvdqmf@.

Embora frases secretas sejam vulneráveis a ataques de dicionário, a maioria dos aplicativos comerciais de quebra de senha não verifica senhas com mais de 14 caracteres. Se os usuários tiverem frases secretas compridas, suas senhas estarão menos vulneráveis a serem descobertas e poderão ser lembradas mais facilmente do que as senhas de alta segurança tradicionais. Além disso, é menos provável que os usuários anotem senhas fáceis de serem lembradas. A seguir estão bons exemplos de frases secretas de alta segurança:

•	Eu comi 4 pizz@s hoje no j@nt@r!
•	Eu gost@ria de ter 11 C@chorros!

Esses exemplos contêm mais de 20 caracteres, compõem frases secretas longas e incluem caracteres de quatro dos cinco grupos possíveis. Elas não são frases conhecidas, porém são muito mais fáceis de serem lembradas do que uma senha alfanumérica de 15 caracteres que inclua caracteres não relacionados, símbolos e pontuação sem um sentido intrínseco.

Não utilize senhas em branco ou de baixa segurança para a conta Administrador

Embora isso represente um risco de segurança significativo, algumas organizações ainda usam senhas em branco ou de baixa segurança para as contas de administrador. Senhas em branco ou de baixa segurança são uma das vulnerabilidades mais comuns em uma rede e representam um dos pontos de acesso mais fáceis para os invasores.

Se você definir uma senha em branco ou de baixa segurança para a conta Administrador, usuários mal-intencionados serão capazes de obter acesso por meio de combinações básicas, como “Administrador” para o nome de usuário e um valor em branco ou "administrador" como a senha. Senhas em branco ou de baixa segurança são facilmente descobertas por programas de quebra de senha e estão vulneráveis a ataques de dicionário, que experimentam várias palavras em seqüência, e ataques de força bruta, que utilizam uma lista de caracteres comuns, como combinações lineares de A-Z e 0-9.

Embora uma boa senha não possa garantir que um invasor não obterá acesso à rede, ela proporciona uma excelente primeira linha de defesa.

Garantir o uso de senhas de alta segurança.

Você deve se assegurar de que os administradores de rede de sua organização utilizem senhas de alta segurança. No Windows 2000 Server e Windows Server 2003, você pode usar a Diretiva de Grupo para garantir o uso de senhas de alta segurança.

Para obter mais informações sobre senhas de alta segurança, consulte o documento oficial Enforcing Strong Password Usage Throughout Your Organization (em inglês) em www.microsoft.com/smallbusiness/gtm/securityguidance/articles/enforce_strong_passwords.mspx e o documento oficial Selecting Secure Passwords (em inglês) em www.microsoft.com/smallbusiness/gtm/securityguidance/articles/select_sec_passwords.mspx.

Alterar regularmente as senhas do administrador

Você deve alterar periodicamente as senhas de contas com privilégios. O intervalo entre cada alteração deve ser determinado de acordo com o impacto que o comprometimento dessa conta teria na organização. Para obter diretrizes sobre como determinar esse impacto, consulte Guia de Gerenciamento de Riscos de Segurança em www.microsoft.com/brasil/security/guidance/riscos/default.mspx.

Você deve alterar regularmente as senhas das contas de administrador local. É possível automatizar esse processo em servidores e estações de trabalho com a ferramenta cusrmgr.exe incluída no Microsoft Windows 2000 Server Resource Kit. Para obter mais informações sobre como usar cusrmgr.exe, consulte o artigo da Base de Dados de Conhecimento Como usar a ferramenta Cusrmgr.exe para alterar a senha da conta de administrador em vários computadores em http://support.microsoft.com/default.aspx?scid=kb;pt-br;272530.

Você deve também alterar regularmente a senha do administrador do Modo de Restauração de Serviços de Diretório (DSRM) em controladores de domínio. O Windows 2000 usa o utilitário setpwd para redefinir a senha do DSRM. No Windows Server 2003, a ferramenta Ntdsutil tem essa mesma função. Você pode usar ambas essas ferramentas de modo remoto.

Automatizar a verificação de senhas de baixa segurança

As senhas em branco e de baixa segurança apresentam riscos significativos à segurança geral de uma organização. As organizações devem criar ou adquirir software que verifique ou teste automaticamente senhas em branco e de baixa segurança.

Esse tipo de ferramenta emprega duas abordagens básicas:

•

O registro de várias tentativas de logon online na rede usando senhas comuns de baixa segurança. O Microsoft Baseline Security Analyzer (MBSA) é um exemplo desse tipo de ferramenta. Esse não é o método recomendado, pois a metodologia online pode levar à negação de serviço se você ativar o bloqueio de contas.

•

Verificação de senhas offline. Algumas ferramentas de verificação offline de terceiros, que podem ajudar a reduzir o risco de segurança da organização ao permitir que os administradores identifiquem e tratem vulnerabilidades de segurança que resultam de senhas de baixa segurança ou fáceis de serem adivinhadas. Em geral, essas ferramentas verificam a existência de senhas de baixa segurança e fornecem recursos de classificação de qualidade da senha, relatórios e correção. Esse é o método recomendado para testar senhas de baixa segurança.

Após identificar uma conta com senha de baixa segurança ou em branco, a resposta ao incidente deverá seguir o protocolo de resposta estabelecido na organização. A seguir estão alguns exemplos de protocolo de resposta a incidente:

•	O sistema automático redefine a senha da conta com uma senha de alta segurança.
•	O sistema automático envia um email ao proprietário do servidor para solicitar a redefinição de senha.

Essa última resposta pode prolongar o período de vulnerabilidade do servidor.

Verificar senhas usando o Microsoft Baseline Security Analyzer

Você pode usar a ferramenta Microsoft Baseline Security Analyzer (MBSA), disponível em www.microsoft.com/brasil/technet/seguranca/mbsa, para verificar cada computador na rede e procurar senhas de baixa segurança.

Entre outros testes de segurança, o MBSA pode enumerar todas as contas de usuário e verificar os seguintes pontos fracos quanto a cada senha:

•	A senha está em branco
•	A senha é igual ao nome da conta do usuário
•	A senha é igual ao nome do computador
•	A senha usa a palavra "senha"
•	A senha usa a palavra "admin" ou "administrador"

Como resultado dessa verificação, você será notificado caso haja contas desativadas ou bloqueadas.

Para realizar esse teste, o MBSA tenta alterar a senha no computador de destino usando cada uma dessas senhas. O MBSA não redefine nem altera permanentemente a senha, porém o alertará caso a senha não seja de alta segurança e represente um risco de segurança.

Usar credenciais administrativas apenas em computadores confiáveis

Assegure-se de que os administradores da sua organização nunca usem suas credenciais administrativas para fazer logon em um computador sobre o qual não tenham controle total. Um programa de registro de teclas pressionadas ou screen scraper (interceptação e captura de dados) poderia ser executado no computador para registrar as credenciais de senha do administrador.

Um programa de registro de teclas pressionadas é um spyware silencioso executado em segundo plano no computador do usuário. Os programadores de spyware desenvolvem os registradores de teclas pressionadas para que permaneçam camuflados enquanto registram todas as teclas pressionadas sem o conhecimento ou consentimento do usuário. Em seguida, essas informações são armazenadas para recuperação futura ou transmitidas de volta ao autor do programa de registro de teclas pressionadas. Os programas de registros de tecla podem registrar todas as teclas pressionadas, inclusive informações pessoais como senhas ou números de cartão de crédito. Eles podem também registrar todos os emails escritos ou sessões de bate-papo online.

Um screen scraper é um programa que captura dados de caracteres de um computador ou outro programa ao examinar o conteúdo de uma exibição que, na verdade, não tem por objetivo o transporte de dados ou a inspeção por programas. Em seguida, esses dados são apresentados em um formato de interface de usuário gráfica para facilitar sua compreensão. Os screen scrapers mais recentes apresentam as informações no formato HTML, de modo que possam ser acessadas em um navegador.

Fazer auditoria de contas e senhas regularmente

As auditorias regulares ajudam a assegurar a integridade da segurança do domínio e a proteger contra ataques de elevação de privilégios. A elevação de privilégios pode fornecer privilégios administrativos não autorizados a contas de usuários. A menos que você proteja os privilégios administrativos, os invasores poderão induzir vulnerabilidades e ignorar medidas de segurança. Por exemplo, os invasores com privilégios administrativos podem criar contas de usuário falsas, adicionar contas a grupos sem permissão, elevar privilégios das contas que já existem, adicionar ou modificar diretivas e desativar configurações de segurança.

Você deve fazer periodicamente a auditoria de todos os usuários e grupos administrativos do domínio e de todos os usuários e grupos administrativos locais nos principais servidores. Uma vez que os administradores podem ter a capacidade, mas não a autoridade, de fazer modificações em suas próprias contas administrativas, as organizações devem garantir a conformidade dessas contas com a diretiva de segurança associada aos usuários administrativos do domínio. É importante fazer a auditoria do uso dessas credenciais com privilégios e compreender que essa auditoria não serve apenas para verificar a segurança da senha. Ela serve também como uma ferramenta útil para determinar que tarefas foram realizadas pelas contas administrativas. Use Visualizar Eventos para examinar os logs de segurança criados após você configurar e ativar a auditoria. As auditorias periódicas podem detectar também contas administrativas não usadas no domínio. Contas administrativas do domínio que estejam inativas representam uma vulnerabilidade no ambiente de rede, especialmente se forem comprometidas por um invasor sem o seu conhecimento. Você deve remover quaisquer contas e grupos administrativos não usados no domínio.

Proibir a delegação de conta

Você deve designar todas as contas de usuários administrativos do domínio como A conta é sigilosa e não pode ser delegada. Essa ação ajuda a proteger as credenciais contra a personificação através de um servidor que esteja marcado como confiável para delegação.

A autenticação delegada ocorre quando um serviço de rede aceita uma solicitação de um usuário e assume a identidade daquele usuário para iniciar uma nova conexão a um segundo serviço de rede. A autenticação delegada é útil em aplicativos de múltiplas camadas que utilizam recursos de logon único em diversos computadores. Por exemplo, controladores de domínio são automaticamente considerados como confiáveis para delegação. Se você ativar o Sistema de Arquivos com Criptografia (EFS) em um servidor de arquivos, o servidor deverá ser confiável para delegação para que possa armazenar arquivos criptografados em nome dos usuários. A autenticação delegada também é útil para programas em que os Serviços de Informações da Internet (IIS) oferecem suporte a uma interface da Web com um banco de dados executado em outro computador, como o Microsoft Outlook® Web Access (OWA) no Microsoft Exchange Server, ou para as páginas de Suporte de Registro na Web de uma autoridade de certificação corporativa caso um servidor da Web separado hospede as páginas.

Você deve negar o direito de participar em autenticação delegada a contas de computador no Active Directory, a computadores sem segurança física e a contas de administrador do domínio. As contas de administrador do domínio têm acesso a recursos confidenciais e, se ameaçadas, representam um alto risco à sua organização. Para obter mais informações, consulte o tópico Enabling Delegated Authentication (em inglês)no Windows Server 2003 Deployment Kit em www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dsscc_aut_vwcs.asp.

Controle o processo de logon administrativo

Os membros dos grupos Administradores, Administradores de Empresa e Admins. do Domínio representam as contas mais poderosas da floresta e de cada domínio individual. Para minimizar os riscos de segurança, siga as etapas descritas nas seções subseqüentes deste guia a fim de garantir o uso de credenciais administrativas de alta segurança.

Exigir cartões inteligentes para o logon administrativo

Os administradores do domínio devem ser solicitados a usar a autenticação de dois fatores para todas as funções administrativas. A autenticação de dois fatores exige dois componentes:

•	Algo que pertença ao usuário, como um cartão inteligente
•	Algo que seja de conhecimento do usuário, como um número de identificação pessoal (PIN)

A necessidade de dois fatores atenua os riscos associados ao acesso não autorizado por meio de credenciais de fator único (como nome de usuário e senha) que tenham sido compartilhadas, roubadas ou duplicadas.

A autenticação de dois fatores é um elemento importante para proteger contas de administrador de domínio, pois nomes de usuário e senhas convencionais são credenciais de texto, geralmente formadas por conjuntos de caracteres de idioma natural. Portanto, um usuário mal-intencionado poderá roubar, compartilhar ou duplicar essas credenciais se:

•	Um usuário confiável compartilhar sua senha com um usuário não autorizado ou se registrar a senha de maneira desprotegida (por exemplo, uma nota auto-colante grudada no monitor).
•	A senha for transmitida em formato de texto legível.
•	Um dispositivo de hardware ou software for usado para capturar a entrada de dados no teclado durante o logon.

Se você necessitar que os administradores utilizem cartões inteligentes para o logon interativo, isso forçará os usuários administrativos a possuírem um cartão de logon e garantirá o uso de senhas de alta segurança criptografadas e geradas aleatoriamente com as contas de usuário. Essas senhas de alta segurança ajudam a proteger contra o roubo de senhas de baixa segurança para a obtenção do acesso administrativo.

Você poderá exigir o uso de cartões inteligentes se ativar a opção de conta O cartão inteligente é necessário para o logon interativo para cada conta de usuário administrativo.

O PIN do cartão inteligente é um código criptografado definido pelo proprietário do cartão e armazenado no próprio cartão. Esse PIN é uma seqüência que deve ser fornecida pelo usuário ao autenticar-se usando o cartão inteligente a fim de tornar disponível a chave privada. Cada chave privada em um cartão inteligente é exclusiva, o que garante a que a autenticação também seja exclusiva.

A autenticação de cartão inteligente é especialmente importante quando um administrador de domínio utiliza o logon interativo. Os cartões inteligentes podem facilitar a vida dos administradores de domínio responsáveis por vários servidores, cada um exigindo sua própria autenticação. Em vez de solicitar que um administrador tenha uma senha separada para cada servidor a ser autenticado, é possível proteger os servidores com cartões inteligentes exclusivos que compartilhem o mesmo PIN.

Observação: O Windows 2000 Server oferece suporte ao uso de cartões inteligentes para o acesso remoto; já o Windows Server 2003 oferece suporte ao uso de cartões inteligentes em contas do domínio. O Windows Server 2003 também exige o uso de credenciais de cartões inteligentes com o comando runas do serviço Logon Secundário.

A implantação de cartões inteligentes para administradores de domínio e a adoção dos princípios e práticas descritos neste guia podem ajudar a organização a aprimorar significativamente a segurança de seus ativos de rede.

Para obter mais informações sobre o uso de cartões inteligentes para autenticação, consulte os seguintes recursos:

•	The Smart Card Deployment Cookbook (em inglês) no site da Microsoft TechNet em www.microsoft.com/technet/security/topics/smrtcard/smrtcdcb/default.mspx.
•	Planning a Smart Card Deployment (em inglês) em www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/f65c054e-4cb3-4a6e-84f6-8a9787819df5.mspx.

Compartilhar credenciais de logon de contas administrativas importantes

Para cada conta considerada importante, como uma conta do grupo de Administradores de Empresa ou Admins. do Domínio no domínio raiz da floresta, é possível definir que dois usuários compartilhem essa conta de modo que ambos devam estar presentes para realizar o logon bem-sucedido ao utilizá-la. Ao tornar essas contas compartilhadas, você possibilita a auditoria visual inerente a esse método: Um dos usuários observa as ações que o outro usuário realiza. Além disso, é impossível que um único usuário faça logon de modo privado, acesse o computador como administrador e comprometa a segurança da conta agindo como um administrador desonesto ou sob coerção.

Você pode implementar contas administrativas compartilhadas que usem senhas divididas ou cartões inteligentes e PINs. Se utilizar credenciais com base em senha para as contas administrativas, divida a senha entre os dois usuários que compartilham a conta de modo que cada um deles conheça apenas metade de senha. Cada usuário será responsável pela manutenção de sua metade da senha. Por exemplo, você pode criar uma conta administrativa chamada Admin1 e atribuir dois usuários confiáveis, Jane e Bob, para que compartilhem essa conta. Cada usuário manterá sua metade da senha. Para que um deles faça logon e utilize a conta, o outro deve estar presente e inserir sua metade da senha.

A desvantagem da opção de conta administrativa compartilhada é a falta de responsabilidade inerente durante a auditoria. As organizações deverão manter um determinado controle, como a vigilância por câmera, para assegurar que os usuários não abusem desses privilégios compartilhados.

Se utilizar credenciais com base em cartão inteligente para contas administrativas, divida a responsabilidade sobre o cartão inteligente e seu PIN entre os dois usuários que compartilham a conta, de modo que um deles possua o cartão inteligente e o outro, o PIN. Dessa forma, ambos os usuários devem estar presentes para fazer logon usando a conta.

Restringir o modo e o local de logon dos administradores de domínio

As organizações devem restringir o modo e o local de logon dos administradores de domínio. Se suas tarefas ou funções exigirem, os administradores poderão fazer logon de modo interativo em controladores de domínio sobre os quais tenham privilégios porém, ainda assim, será necessário exigir a autenticação de dois fatores.

Você deve proibir que administradores de domínio façam logon em qualquer computador que não tenha sido aprovado para o uso do administrador de domínio sob as seguintes circunstâncias:

•	Ao usar logons interativos
•	Ao usar a Área de Trabalho Remota
•	Ao fazer logon como um serviço
•	Ao fazer logon como um trabalho em lotes

Início da página

5 de 6

Neste artigo

•	Visão geral
•	Agradecimentos
•	Capítulo 1 - Introdução
•	Capítulo 2 - A abordagem para tornar as contas de administrador mais seguras
•	Capítulo 3 - Diretrizes para tornar as contas de administrador mais seguras
•	Capítulo 4 - Resumo

Download

Guia de Planejamento da Monitoramento de Segurança e Detecção de Ataques