Modelos de Segurança Predefinidos: Guia Completo e Aplicação

Escrito em 6 de Agosto de 2025 em português com um tamanho de 17,03 KB

Modelos de Segurança Predefinidos: Conceitos e Aplicação

Os modelos de segurança predefinidos são fornecidos como ponto de partida para a criação de políticas de segurança que são personalizadas para preencher vários requisitos organizacionais. Pode personalizar os modelos com o snap-in 'Modelos de Segurança'. Depois de personalizar os modelos de segurança predefinidos, pode utilizá-los para configurar a segurança num computador individual ou em milhares de computadores.

Pode configurar computadores individuais das seguintes formas:

Com o snap-in Análise e Configuração da Segurança (http://technet.microsoft.com/pt-pt/library/cc742482(WS.10).aspx).
Com a ferramenta de linha de comandos Secedit (http://technet.microsoft.com/pt-pt/library/cc742472(WS.10).aspx).
Importando o modelo para a Política de Segurança Local (http://technet.microsoft.com/pt-pt/library/cc755686(WS.10).aspx).

Pode configurar vários computadores importando um modelo para a extensão de Definições de Segurança da Política de Grupo (http://technet.microsoft.com/pt-pt/library/dd349323(WS.10).aspx).

Também pode utilizar um modelo de segurança como linha de base para analisar se um sistema terá potenciais falhas de segurança ou violações de política, através do snap-in Análise e Configuração da Segurança. Por predefinição, os modelos de segurança predefinidos estão armazenados em: pastadosistema\Security\Templates

Segurança Predefinida (security.inf do Programa de Configuração)

O modelo security.inf do programa de configuração é criado durante a instalação de cada computador. Pode variar de computador para computador, dependendo se a instalação foi de raiz ou uma atualização. O modelo security.inf do programa de configuração representa as predefinições de segurança aplicadas durante a instalação do sistema operativo, incluindo as permissões de ficheiro para a raiz da unidade de sistema. Pode ser utilizado em servidores e computadores cliente, não podendo ser aplicado a controladores de domínio.

Pode aplicar partes deste modelo para fins de recuperação de falhas.

O modelo security.inf do programa de configuração nunca deve ser aplicado através da Política de Grupo. Isso deve-se ao facto de conter uma grande quantidade de dados e de poder danificar gravemente o desempenho se for aplicado através da Política de Grupo, uma vez que a política é atualizada periodicamente e uma grande quantidade de dados seria movida no domínio.

É aconselhável aplicar o modelo security.inf do programa de configuração por partes. Uma vez que a ferramenta de linha de comandos Secedit lhe fornece esta opção, é aconselhável utilizá-la.

Para mais informações, consulte Automatizar Tarefas de Configuração de Segurança.

Segurança Predefinida do Controlador de Domínio (DC security.inf)

Este modelo é criado quando um servidor é promovido a controlador de domínio. Reflete predefinições de segurança de ficheiros, registo e serviços do sistema. Se o aplicar novamente, serão repostos os valores predefinidos destas áreas, mas poderá substituir permissões em novos ficheiros, chaves de registo e serviços do sistema criados por outras aplicações. Pode ser aplicado utilizando o snap-in Análise e Configuração da Segurança ou a ferramenta de linha de comandos Secedit.

Compatível (Compatws.inf)

As predefinições para estações de trabalho e servidores são essencialmente concedidas a três grupos locais: Administradores, Utilizadores Avançados e Utilizadores. Os Administradores são os que têm mais privilégios, enquanto que os Utilizadores são os que têm menos. Por este motivo, pode melhorar significativamente a segurança, fiabilidade e custo total da propriedade do sistema da seguinte forma:

Certifique-se de que os utilizadores finais são membros do grupo Utilizadores.
Implemente aplicações que podem ser executadas com êxito por membros do grupo Utilizadores.

As pessoas com privilégios de Utilizador podem executar com êxito aplicações incluídas no programa de Logótipo Windows para Software. No entanto, os utilizadores poderão não conseguir executar aplicações que não preencham os requisitos do programa. Se for necessário suportar outras aplicações, existem duas opções:

Permitir que os membros do grupo Utilizadores sejam membros do grupo Utilizadores Avançados.
Alargar as permissões predefinidas concedidas ao grupo Utilizadores.

Uma vez que os Utilizadores Avançados têm capacidades inerentes, tais como criar utilizadores, grupos, impressoras e partilhas, alguns administradores preferem expandir as permissões predefinidas de utilizador a permitir que utilizadores finais sejam membros do grupo Utilizadores Avançados. É precisamente para isto que o modelo Compatível foi concebido. O modelo Compatível altera as permissões predefinidas de ficheiro e de registo concedidas a Utilizadores de um modo consistente com os requisitos da maior parte das aplicações não pertencentes ao programa de Logótipo Windows para Software. Além disso, como se assume que o administrador que está a aplicar o modelo Compatível não pretende que os utilizadores finais sejam Utilizadores Avançados, o modelo Compatível remove também todos os membros do grupo Utilizadores Avançados. Para mais informações, consulte Predefinições de Segurança para Grupos.

Para mais informações sobre o programa de Logótipo Windows para Software, consulte o website da Microsoft.

O modelo Compatível não deve ser aplicado a controladores de domínio. Por exemplo, não importe o modelo Compatível para a Política de Domínio Predefinida nem para a Política de Controlador de Domínio Predefinida.

Seguro (Secure*.inf)

Os modelos Seguro estipulam definições de segurança avançadas com menos possibilidades de causar impacto na compatibilidade de aplicações. Por exemplo, os modelos Seguro estipulam definições de palavras-passe, bloqueio e auditoria mais fortes.

Além disso, os modelos Seguro limitam a utilização dos protocolos de autenticação NTLM e LAN Manager configurando os clientes para enviarem apenas respostas NTLMv2 e configurando os servidores para recusarem respostas do LAN Manager.

Para aplicar o Securews.inf a um computador membro, todos os controladores de domínio que contenham as contas de todos os utilizadores que iniciam sessão no cliente terão de executar o Windows NT 4.0 Service Pack 4 ou superior.

Para aplicar o Securews.inf a um computador membro de um domínio que contenha controladores de domínio com o Windows NT 4.0, os relógios entre os controladores de domínio com o Windows NT 4.0 e os computadores membros não podem ter uma diferença superior a 30 minutos entre si.

Considerações ao usar Securews.inf:

Se um cliente estiver configurado com o Securews.inf, não conseguirá estabelecer ligação com servidores que só utilizem o protocolo de autenticação LAN Manager ou que executem o Windows NT 4.0 anterior ao Service Pack 4 utilizando uma conta local definida no servidor de destino.
Se um cliente estiver configurado com o Securews.inf, não conseguirá estabelecer ligação com servidores com o Windows 2000 ou o Windows NT 4.0 utilizando uma conta local definida no servidor de destino, a não ser que o relógio no servidor de destino não tenha uma diferença superior a 30 minutos em relação ao relógio no cliente.
Se um cliente estiver configurado com o Securews.inf, não conseguirá estabelecer ligação com um computador que execute o Windows XP ou superior utilizando uma conta local definida no servidor de destino, a não ser que o relógio no servidor de destino não tenha uma diferença superior a 20 horas em relação ao relógio no cliente.
Se um cliente estiver configurado com o Securews.inf, não conseguirá estabelecer ligação com servidores que executem o LAN Manager a funcionar em modo de segurança a nível de partilha.
Se um servidor estiver configurado com o Securews.inf, um cliente com uma conta local nesse servidor não conseguirá estabelecer ligação a partir de um computador cliente que execute apenas o LAN Manager que estiver a utilizar essa conta local.
Se um servidor com o Windows 2000 estiver configurado com o securews.inf, um cliente com uma conta local nesse servidor que também esteja configurado para utilizar a autenticação NTLMv2 não conseguirá estabelecer ligação, a não ser que os relógios nos dois computadores não tenham uma diferença superior a 30 minutos entre si.
Se um servidor com o Windows XP estiver configurado com o securews.inf, um cliente com uma conta local nesse servidor que também esteja configurado para utilizar a autenticação NTLMv2 não conseguirá estabelecer ligação, a não ser que os relógios nos dois computadores não tenham uma diferença superior a 20 horas entre si.
Se um controlador de domínio estiver configurado com Securedc.inf, um utilizador com uma conta nesse domínio não conseguirá estabelecer ligação com nenhum servidor membro a partir de um computador cliente que execute apenas o LAN Manager utilizando essa conta de domínio.

Os computadores com o LAN Manager incluem as plataformas Windows for Workgroups, bem como Windows 95 e Windows 98 que não tenham o Active Directory Client Extensions Pack instalado. Se o Active Directory Client Extensions Pack estiver instalado no Windows 95 ou no Windows 98, esses clientes poderão utilizar a autenticação NTLMv2. O Windows Millennium Edition suporta NTLMv2 sem modificações adicionais.

Os computadores com o Windows NT Service Pack 4 ou superior podem ser configurados para enviar apenas respostas NTLMv2 definindo HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel como igual ou maior que 3.

Os computadores com o Windows NT Service Pack 4 ou superior podem ser configurados para enviar apenas respostas NTLMv2 especificando esta preferência na opção de segurança Segurança de Rede: Nível de Autenticação do LAN Manager.

Os modelos Seguro também fornecem mais restrições para utilizadores anónimos (como utilizadores de domínios não fidedignos), impedindo-os de:

Enumerar partilhas e nomes de contas.
Executar conversões de SID para nome ou de nome para SID.

Por último, os modelos Seguro ativam a assinatura de pacotes de blocos de mensagens de servidor (SMB, Server Message Block) do lado do servidor, desativada por predefinição para servidores. Uma vez que a assinatura de pacotes SMB do lado do cliente está ativada por predefinição, esta será sempre negociada quando as estações de trabalho e os servidores estiverem a funcionar no nível Seguro.

Muito Seguro (hisec*.inf)

Os modelos Muito Seguro são superconjuntos dos modelos Seguro que impõem ainda mais restrições aos níveis de encriptação e de assinatura necessários para autenticação e para os dados que circulam em canais privados e entre clientes e servidores SMB. Por exemplo, enquanto que os modelos Seguro fazem com que os servidores recusem respostas do LAN Manager, os modelos Muito Seguro fazem com que os servidores recusem respostas de NTLM e do LAN Manager. Enquanto que o modelo Seguro permite a assinatura de pacotes SMB do lado do servidor, o modelo Muito Seguro exige-o. Além disso, os modelos Muito Seguro requerem assinatura e encriptação forte para os dados de canal seguro que constituem relações de fidedignidade de domínio para membro e entre domínios. Assim, para aplicar o hisecws.inf a um computador membro:

Todos os controladores de domínio que contenham as contas de todos os utilizadores que vão iniciar sessão no cliente têm de estar a executar o Windows NT 4.0 Service Pack 4 ou superior.
Todos os controladores do domínio do qual o cliente é membro têm de executar o Windows 2000 ou posterior.

Considerações ao usar Hisecws.inf:

Os clientes configurados com o Hisecws.inf não podem estabelecer ligação com computadores que executem apenas o LAN Manager ou com computadores com o Windows NT 4.0, Service Pack 3 ou anterior, utilizando uma conta local definida no servidor de destino.
Os clientes configurados com o Hisecws.inf não podem estabelecer ligação com servidores que executem o Windows 2000 ou o Windows NT 4.0 Service Pack 4 utilizando uma conta local definida no servidor de destino, a não ser que o relógio no servidor de destino não tenha uma diferença superior a 30 minutos em relação ao relógio no cliente.
Os clientes configurados com o Hisecws.inf não podem estabelecer ligação com computadores que executem o Windows XP ou superior utilizando uma conta local definida no computador de destino, a não ser que o relógio no computador de destino não tenha uma diferença superior a 20 horas em relação ao relógio no cliente.
Os clientes configurados com o Hisecws.inf não podem estabelecer ligação com servidores do LAN Manager que funcionem em modo de segurança a nível de partilha.

Para aplicar o Hisecdc.inf a um controlador de domínio, todos os controladores de domínio em todos os domínios fidedignos ou confiantes têm de utilizar sistemas operativos Windows 2000 ou da família Windows Server.

Mais considerações ao usar Hisecws.inf/Hisecdc.inf:

Se um servidor estiver configurado com o Hisecws.inf, um utilizador com uma conta local nesse servidor não conseguirá estabelecer ligação com o servidor a partir de um cliente que não suporte NTLMv2.
Se um servidor estiver configurado com o Hisecws.inf, um cliente com uma conta local nesse servidor não conseguirá estabelecer ligação com o servidor a não ser que o computador do cliente esteja configurado para enviar respostas NTLMv2.
Se um servidor estiver configurado com Hisecws.inf, todos os clientes que pretendam utilizar SMB para estabelecer ligação com esse servidor terão de ativar a assinatura de pacotes SMB do lado do cliente. Todos os computadores com os sistemas operativos Windows 2000 e Windows XP ativam, por predefinição, a assinatura de pacotes SMB do lado do cliente.
Se um controlador de domínio estiver configurado com o Hisecdc.inf, um utilizador com uma conta nesse domínio não conseguirá estabelecer ligação com servidores membro utilizando essa conta de utilizador de domínio se ligar a partir de um cliente que utilize apenas o protocolo de autenticação LAN Manager.
Se um controlador de domínio estiver configurado com o Hisecdc.inf, um utilizador com uma conta nesse domínio só conseguirá estabelecer ligação com servidores membros utilizando essa conta de domínio se:
- Tanto o cliente como o servidor de destino estiverem a executar o Windows 2000 ou superior e conseguirem utilizar a autenticação baseada em Kerberos, em vez da autenticação baseada no LAN Manager.
- O cliente estiver configurado para enviar respostas NTLMv2.

Atenção

Estes modelos de segurança são construídos com a suposição de que serão aplicados a computadores que utilizam as predefinições de segurança. Por outras palavras, estes modelos modificam por incrementos as predefinições de segurança, se estiverem no computador. Não instalam as predefinições de segurança antes de executar as modificações.

Os modelos de segurança predefinidos não deverão ser aplicados a sistemas de produção sem a realização de testes para assegurar que é mantido o nível de funcionalidade de aplicação correto para a rede e arquitetura do sistema.

As definições de modelos de segurança podem ser visualizadas através de Modelos de Segurança. Os ficheiros .inf também podem ser visualizados como ficheiros de texto. Estes ficheiros encontram-se em: %windir%\Security\Templates

Não pode proteger sistemas Windows XP Professional instalados em sistemas de ficheiros da tabela de alocação de ficheiros (FAT).

Entradas relacionadas:

Etiquetas:

gestão de segurança usando o modelo securews.inf em windows secure.inf security.inf op informatica hisec.inf segurança windows políticas de segurança compatws.inf SMB quando computador é cliente autenticação NTLMv2 configuração de segurança modelos de segurança dc security.inf