Modelos de Segurança no Windows Server 2003: Guia Completo

Classificado em Computação

Escrito em em português com um tamanho de 11,25 KB

Utilizamos os modelos de segurança para implementar segurança no Windows Server 2003, tanto a nível local quanto a nível de domínio. Os modelos de segurança são nada mais do que várias diretivas de segurança (as mesmas utilizadas pelas GPOs) configuradas em um arquivo. Podemos utilizar os modelos de segurança padrão do Windows Server 2003 ou criar um novo modelo de segurança.

Antes de aplicarmos os modelos de segurança, devemos verificar quais alterações serão feitas em nosso sistema e se os modelos padrão atendem às nossas necessidades. Os modelos de segurança estão armazenados na pasta %systemroot%\security\templates.

Modelos de Segurança Padrão do Windows Server 2003

Básico

Esses modelos definem a segurança padrão do Windows 2003. Esse modelo pode ser utilizado em:

  • Estação de trabalho: basicwk.inf.
  • Servidor básico: basicsv.inf.
  • Controlador de Domínio básico: basicdc.inf.

Compatível

Esses modelos diminuem as configurações de segurança com o intuito de permitir que os usuários executem aplicativos que não sejam do Windows 2003. Podem ser utilizados em:

  • Servidor ou estação de trabalho: compatws.inf.

Seguro

Esses modelos aumentam a segurança do sistema operacional. Podem ser utilizados em:

  • Estação de trabalho ou servidor seguro: securews.inf.
  • Controlador de Domínio seguro: securedc.inf.

Alto

Esse modelo é o mais seguro de todos. Quando utilizamos esse modelo, todas as comunicações na rede serão criptografadas e assinadas digitalmente. Somente deve ser utilizado quando todos os computadores da rede forem Windows 2000. Podem ser utilizados em:

  • Estação de trabalho ou servidor altamente seguro: hisecws.inf.
  • Controlador de Domínio altamente seguro: hisecdc.inf.

Modelos de Segurança Padrão: Detalhes dos .inf

  • Compatws: Aplica permissões em alguns arquivos e registros do Windows com o intuito de permitir a execução de aplicativos legados. Com isso, o nível de segurança do Windows Server 2003 é reduzido.
  • DC Security: Aplica as configurações padrão de um Controlador de Domínio.
  • Hisecdc: É um modelo de segurança extremamente forte, que aumenta o nível de segurança do NTLM, desabilita serviços não necessários e aplica permissões em arquivos e no registro do Windows. Além disso, remove todos os usuários que estão no grupo Power Users.
  • Hisecws: É um modelo de segurança extremamente forte, que aumenta o nível de segurança do NTLM, aplica permissões em arquivos e no registro do Windows, remove todos os usuários que estão no grupo Power Users e limita o grupo local Administrators aos membros Domain Admins e Administrator.
  • Iesacls: Aplica permissões em chaves do registro do Windows relacionadas ao Internet Explorer. Adiciona a permissão Read e Full Control para o grupo Everyone.
  • Rootsec: Aplica permissões na raiz do drive do sistema.
  • Securedc: Aplica diversas configurações de segurança, aumentando a complexidade das políticas de senhas. Aplica também restrições ao Lan Manager.
  • Securews: Aplica diversas configurações de segurança, aumentando a complexidade das políticas de senhas. Aplica também restrições ao Lan Manager.
  • Setup security: Aplica as configurações padrão do Windows, configuradas logo após a instalação do Windows.

Gerenciando Modelos de Segurança: Console e GPOs

Através do console Security Configuration and Analysis (Configuração e Análise de Segurança), podemos analisar um modelo de segurança, comparando-o com as configurações já definidas em um computador. Podemos também aplicar um modelo de segurança no computador.

Quando estamos utilizando as diretivas de segurança de domínio (GPOs), podemos importar um modelo de segurança para uma GPO e aplicar esse modelo em todos os computadores do domínio.

Comando Secedit: Parâmetros e Uso

Contamos ainda com um comando utilizado para configurarmos os modelos de segurança. Esse comando é o secedit. Com a utilização desse comando teremos alguns recursos adicionais.

Apresentamos abaixo alguns parâmetros que podem ser utilizados com o secedit:

  • Secedit /analyze

    Esse comando analisa a segurança do sistema. Podemos utilizar os seguintes parâmetros:

    • /db: Fornece o caminho para um banco de dados que contém a configuração armazenada, na qual a análise será executada. Esse é um argumento necessário.
    • /cfg: Este argumento é válido somente quando for utilizado com o parâmetro /db. É o caminho para o modelo de segurança que será importado no banco de dados para análise. Se este argumento não for especificado, a análise é executada em relação a qualquer configuração já armazenada no banco de dados.
    • /log: O caminho para o arquivo de log para o processo. Se este não for fornecido, o arquivo padrão é usado.
    • /quiet: Suprime a saída de log e de tela. Você ainda poderá ver resultados da análise usando o console Configuração e Análise de Segurança.

  • Secedit /configure

    Esse comando configura a segurança do sistema aplicando um modelo de segurança. Podemos utilizar todos os parâmetros utilizados no comando secedit /analyze, e mais os seguintes parâmetros:

    • /overwrite: Este argumento é válido somente quando o parâmetro /CFG também for usado. Especifica se o modelo de segurança no argumento /CFG deve sobrescrever qualquer modelo ou modelo composto armazenado no banco de dados, em vez de acrescentar os resultados ao modelo armazenado. Se este argumento não for especificado, o modelo no argumento /CFG será acrescentado ao modelo armazenado.
    • /areas: Especifica as áreas de segurança a serem aplicadas ao sistema. O padrão é "todas as áreas". Cada área deve ser separada por um espaço. As áreas podem ser:
      • SECURITYPOLICY: Diretiva local e diretiva de domínio para o sistema, incluindo diretivas de conta, de auditoria e assim por diante.
      • GROUP_MGMT: Definições de grupo restritas para quaisquer grupos especificados no modelo de segurança.
      • USER_RIGHTS: Direitos de logon de usuário e concessão de privilégios.
      • REGKEYS: Segurança em chaves de registro local.
      • FILESTORE: Segurança no armazenamento de arquivo local.
      • SERVICES: Segurança para todos os serviços definidos.

  • Secedit /refreshpolicy

    Esse comando não existe mais no Windows Server 2003. Foi substituído pelo comando gpupdate.

  • Secedit /export

    Esse comando exporta um modelo armazenado em um banco de dados para um arquivo de modelo de segurança. Podemos utilizar todos os parâmetros utilizados no comando secedit /analyze, acrescido do parâmetro /areas, e mais o seguinte parâmetro:

    • /mergedpolicy: Mescla e exporta configurações de segurança de diretiva local e de domínio.

  • Secedit /validate

    Esse comando valida a sintaxe de um modelo de segurança que você deseja importar para um banco de dados para análise ou aplicação no sistema. O único parâmetro utilizado é:

    • Nome_do_arquivo: nome do arquivo do modelo de segurança.

Atenção: Restrições do Modelo Compatível

O modelo Compatível não deve ser aplicado a controladores de domínio. Por exemplo, não importe o modelo Compatível para a Política de domínio predefinida nem para a Política de controlador de domínio predefinida.

Atenção Geral sobre Modelos de Segurança

Estes modelos de segurança são construídos com a suposição de que serão aplicados a computadores que utilizam as predefinições de segurança. Por outras palavras, estes modelos modificam por incrementos as predefinições de segurança, se estiverem no computador. Não instalam as predefinições de segurança antes de executar as modificações.

Os modelos de segurança predefinidos não deverão ser aplicados a sistemas de produção sem a realização de testes para assegurar que é mantido o nível de funcionalidade de aplicação correto para a rede e arquitetura do sistema.

As definições de modelos de segurança podem ser visualizadas através de Modelos de Segurança. Os arquivos *.inf também podem ser visualizados como arquivos de texto. Estes arquivos encontram-se em:

%windir%\Security\Templates

Limitação: Windows XP e Sistemas de Arquivos FAT

Não é possível proteger sistemas Windows XP Professional instalados em sistemas de arquivos da tabela de alocação para arquivos (FAT, file allocation table).

Windows vs. Linux: Ferramentas e Segurança

Windows e Linux não são times de futebol, são ferramentas.

O pessoal do Linux diz que não usa o Windows porque ele é inseguro, pago e proprietário, e o pessoal do Windows diz que não usa o Linux porque ele é complicado e sem suporte de qualidade.

Mais uma vez, recorrendo às palavras de Glebe Jr., Windows e Linux são ferramentas; elas foram feitas para resolver problemas. Se uma resolve, ótimo. Se não, troque-a e tente usar a outra. Nenhuma empresa – que não seja de TI – chega para você pedindo para instalar o Linux ou o Windows no servidor; ela pede para você resolver o problema dela. Como? Cabe a você escolher a melhor ferramenta, a que você mais conhece. Se você só conhece uma tecnologia, cuidado! Você está no caminho errado e deve logo buscar conhecer outras ferramentas e o que elas têm de melhor, utilizando-as nos casos onde você perceber a necessidade.

Segurança em Sistemas Operacionais: Uma Perspectiva

Nenhum sistema operacional é 100% seguro – e o Linux não é exceção. Mas o Linux oferece segurança excelente a seus usuários. Das atualizações regulares do kernel a uma lista quase diária de atualizações de segurança, os mantenedores do código mantêm os sistemas Linux bastante seguros. Os donos de empresas que se apoiam em sistemas Linux com suporte comercial terão acesso a todas as correções de segurança disponíveis. Com Linux, você tem uma comunidade mundial de provedores de correções de segurança, e não uma única empresa com código-fonte fechado. Você está completamente dependente da resposta de uma só empresa para lhe fornecer correções de segurança quando usa Windows.

Karma: 4%
Visitas: 0

Entradas relacionadas:

Etiquetas:
não existem arquivos INF validos para este sistema operacional ? não existem arquivos inf válidos windows server 2003 modelo de segurança serve 2003 dc security comando secedit - windows server 2003 windows 2003 basicdc .inf windows 2003 questionário de windows 2003 trabalho de modelo de segurança diretiva local comando