Configurações de segurança padrão

Antes de modificar qualquer configuração de segurança, é importante levar em consideração as configurações padrão.

Existem três níveis fundamentais de segurança concedidos aos usuários. Esses níveis são concedidos aos usuários finais como membros dos grupos Usuários, Usuários avançados ou Administradores.Administradores

Adicionar usuários ao grupo Usuários é a opção mais segura, porque as permissões padrão alocadas para esse grupo não permitem que os membros modifiquem as configurações do sistema operacional ou os dados de outro usuário. No entanto, as permissões de nível de usuário muitas vezes não permitem que o usuário execute com êxito os aplicativos legados. A única garantia dos membros do grupo Usuários é de que poderão executar programas que foram certificados para o Microsoft Windows. Para obter mais informações sobre os programas certificados para o Microsoft Windows, consulte o site da Microsoft (http://msdn.microsoft.com). Como resultado, somente funcionários confiáveis devem ser membros desse grupo.

Seria ideal que o acesso administrativo fosse usado apenas para:

• Instalar o sistema operacional e seus componentes (como drivers de hardware, serviços do sistema etc.).
• Instalar Service Packs e Microsoft Windows Packs.
• Atualizar o sistema operacional.
• Reparar o sistema operacional.
• Configurar parâmetros críticos do sistema operacional (como diretivas de senha, controle de acesso, diretivas de auditoria, configuração do driver do modo de núcleo etc.).
• Apropriar-se de arquivos que se tornaram inacessíveis.
• Gerenciar os logs de segurança e de auditoria.
• Fazer backup e restaurar o sistema.

Na prática, as contas Administrador muitas vezes precisam ser utilizadas para instalar e executar programas desenvolvidos para versões anteriores ao Microsoft Windows.Usuários avançados

O grupo Usuários avançados proporciona principalmente compatibilidade com versões anteriores para execução de aplicativos não certificados. As permissões padrão alocadas para esse grupo permitem que seus membros modifiquem configurações de todo o computador. Se houver necessidade de suporte a aplicativos que não sejam certificados, os usuários finais precisarão fazer parte do grupo Usuários avançados.

Os membros do grupo Usuários avançados têm mais permissões do que os membros do grupo Usuários e menos permissões do que o grupo Administradores. Os Usuários avançados podem executar qualquer tarefa do sistema operacional, com exceção das tarefas reservadas ao grupo Administradores. As configurações de segurança padrão do Microsoft Windows e Microsoft Windows para Usuários avançados são bastante semelhantes às configurações de segurança padrão para Usuários no Microsoft Windows NT 4.0. Qualquer programa que pode ser executado por um usuário no Microsoft Windows NT 4.0, poderá ser executado pelo Usuário avançado no Microsoft Windows ou Microsoft Windows.

Os Usuários avançados podem:

• Executar aplicativos legados além dos aplicativos certificados para Microsoft Windows ou Microsoft Windows.
• Instalar programas que não modificam arquivos do sistema operacional ou instalar serviços de sistema.
• Personalizar recursos gerais do sistema, inclusive impressoras, data, hora, opções de energia e outros recursos do Painel de controle.
• Criar e gerenciar grupos e contas de usuários locais.
• Parar e iniciar serviços do sistema que não são iniciados por padrão.

Os Usuários avançados não têm permissão para adicionar eles mesmos ao grupo Administradores. Os Usuários avançados não têm acesso aos dados de outros usuários em um volume NTFS, a menos que esses usuários concedam a eles essa permissão.

Cuidado

• Executar programas legados no Microsoft Windows ou Microsoft Windows normalmente requer que você modifique o acesso a determinadas configurações do sistema. As mesmas permissões padrão que permitem aos Usuários avançados executarem programas legados também possibilitam a um Usuário avançado obter privilégios adicionais no sistema, até mesmo controle administrativo completo. Assim, é importante implantar programas certificados para o Microsoft Windows a fim de obter o máximo de segurança sem sacrificar a funcionalidade do programa. Os programas certificados podem ser executados com êxito com a configuração segura fornecida pelo grupo Usuários. Para obter mais informações, consulte a página sobre segurança no site da Microsoft (http://www.microsoft.com).
• Como os Usuários avançados podem instalar ou modificar programas, executar como um Usuário avançado quando conectado à Internet poderia tornar o sistema vulnerável a programas do tipo "Cavalo de Tróia" e a outros riscos de segurança.

O grupo Usuários é o mais seguro porque as permissões padrão alocadas para esse grupo não permitem que os membros modifiquem as configurações do sistema operacional ou dados de outros usuários.

O grupo Usuários proporciona o ambiente mais seguro para execução de programas. Em um volume formatado com NTFS, as configurações de segurança padrão em um sistema instalado recentemente (mas não em um sistema atualizado) destinam-se a impedir que membros desse grupo comprometam a integridade do sistema operacional e de programas instalados. Os membros do grupo Usuários não podem modificar as configurações de Registro, arquivos do sistema operacional ou arquivos de programa de todo o sistema. Eles podem desligar as estações de trabalho, mas não os servidores. Os membros do grupo Usuários podem criar grupos locais, mas podem gerenciar somente os grupos locais que criaram. Eles podem executar programas certificados para o Microsoft Windows que foram instalados ou implantados por administradores. Os membros do grupo Usuários têm controle total sobre todos seus próprios arquivos de dados (%userprofile%) e sua própria parte do Registro (HKEY_CURRENT_USER).

No entanto, as permissões de nível de usuário muitas vezes não permitem que o usuário execute com êxito aplicativos legados. Somente os membros do grupo Usuários têm a garantia de poder executar aplicativos certificados para o Microsoft Windows. Para obter mais informações, consulte programas certificados para o Microsoft Windows no site da Microsoft. (http://msdn.microsoft.com/)

Para proteger um sistema que esteja executando o Microsoft Windows ou o Microsoft Windows, um administrador deve:

• Certificar-se de que os usuários finais são membros somente do grupo Usuários.
• Implantar programas, como programas certificados para o Microsoft Windows ou o Microsoft Windows, que os membros do grupo Usuários podem executar com êxito.

Os membros do grupo Usuários não poderão executar a maioria dos programas desenvolvidos para versões do Microsoft Windows anteriores ao Microsoft Windows porque eles não davam suporte à segurança do Registro e do sistema de arquivos (Windows 95 e Microsoft Windows 98) ou foram desenvolvidos com configurações de segurança padrão deficientes (Windows NT). Se você tiver problemas para executar aplicativos legados em sistemas NTFS instalados recentemente, siga um destes procedimentos:

1. Instale versões novas dos aplicativos certificados para o Microsoft Windows .
2. Mova os usuários finais do grupo Usuários para o grupo Usuários avançados.
3. Reduza as permissões de segurança padrão para o grupo Usuários. Para isso, use o modelo de segurança compatível.

Os membros do grupo Operadores de cópia podem fazer backup e restaurar arquivos no computador, independentemente das permissões que protegem esses arquivos. Eles também podem fazer logon no computador e desligá-lo, mas não podem alterar as configurações de segurança.

Cuidado

• Fazer backup e restaurar arquivos de dados e arquivos do sistema requer permissões para ler e gravar esses arquivos. As mesmas permissões padrão concedidas ao grupo Operadores de cópia que permitem que eles façam backup e restauração de arquivos, também possibilitam que eles usem as permissões do grupo para outros propósitos, como ler arquivos de outros usuários ou instalar programas do tipo "Cavalo de Tróia". É possível usar as configurações de diretiva de grupo para criar um ambiente no qual os Operadores de cópia possam executar somente um programa de backup. Para obter mais informações, consulte a página Microsoft Security no site da Microsoft (http://www.microsoft.com).

Grupos especiais

Vários grupos adicionais são criados automaticamente pelo Microsoft Windows e Microsoft Windows.

Quando um sistema Microsoft Windows é atualizado para o Microsoft Windows, os recursos com entradas de permissão para o grupo Todos (e não explicitamente para o grupo Logon anônimo) não estarão mais disponíveis para usuários anônimos após a atualização. Na maioria dos casos, esta é uma restrição apropriada ao acesso anônimo. Talvez seja necessário permitir acesso anônimo a fim de oferecer suporte a aplicativos pré-existentes que necessitem desse suporte. Se precisar conceder acesso ao grupo Logon anônimo, você deverá adicionar explicitamente o grupo de segurança Logon anônimo e suas permissões.

No entanto, em algumas situações nas quais talvez seja difícil determinar e modificar as entradas de permissão em recursos hospedados em computadores com o Microsoft Windows, você poderá alterar a configuração de segurança Acesso à rede: deixar que as permissões de todos sejam aplicadas a usuários anônimos.

• Interativo. Este grupo contém o usuário que está conectado ao computador no momento. Durante uma atualização para Microsoft Windows ou Microsoft Windows, os membros do grupo Interativo também serão adicionados ao grupo Usuários avançados, assim o funcionamento dos aplicativos legados permanecerá igual ao que era antes da atualização.
• Rede. Este grupo contém todos os usuários que estão acessando o sistema através da rede nesse momento.
• Usuário do Terminal Server. Quando o Terminal Server está instalado no modo de serviço de aplicativo, esse grupo contém todos os usuários que estão conectados no momento ao sistema usando o Terminal Server. Qualquer programa que um usuário possa executar no Windows NT poderá ser executado para um Usuário do Terminal Server no Microsoft Windows ou Microsoft Windows. As permissões padrão atribuídas ao grupo foram escolhidas para permitir que um Usuário do Terminal Server execute a maioria dos programas legados.

Cuidado

• Executar programas legados no Microsoft Windows ou Microsoft Windows requer permissão para modificar determinadas configurações do sistema. As mesmas permissões padrão que permitem que um Usuário do Terminal Server execute programas legados também possibilitam que ele obtenha privilégios adicionais no sistema, até mesmo completo controle administrativo. Os aplicativos certificados para Microsoft Windows ou Microsoft Windows podem ser executados com êxito na configuração segura fornecida pelo grupo Usuários. Para obter mais informações, consulte a página Microsoft Security no site da Microsoft (http://www.microsoft.com).
• As contas locais em computadores locais são criadas sem senhas e são adicionadas ao grupo Administradores por padrão. Se isso for um problema, o Gerenciador de configuração de segurança permitirá que você controle os membros do grupo Administradores (ou de qualquer outro grupo) com a diretiva de grupos restritos. Para obter mais informações, consulte Grupos restritos.

Quando o Terminal Server estiver instalado no modo de administração remota, os usuários conectados usando Terminal Server não serão membros desse grupo.