Modelos de segurança predefinidos

Os modelos de segurança predefinidos são fornecidos como um ponto de partida para a criação de diretivas de segurança que são personalizadas a fim de atender aos diferentes requisitos organizacionais. Você pode personalizar os modelos com o snap-in Modelos de segurança. Depois de personalizados, esses modelos de segurança podem ser usados para configurar um computador individual ou milhares de computadores. É possível configurar computadores individuais com o snap-in Configuração e análise de segurança, a ferramenta de prompt de comando Secedit.exe ou através da importação do modelo para Diretiva de segurança local. Você pode configurar várias máquinas importando um modelo para Configurações de segurança, que é uma extensão da diretiva de grupo. Também pode usar um modelo de segurança como uma linha de base para a análise de um sistema em busca de possíveis falhas de segurança ou violações de diretivas usando o snap-in Configuração e análise de segurança. Por padrão, os modelos de segurança predefinidos estão armazenados em:

systemroot\Security\Templates

• Segurança padrão (Setup security.inf)
• O modelo Setup security.inf é específico de computador e representa as configurações padrão de segurança aplicadas durante a instalação do sistema operacional, inclusive as permissões de arquivo para a raiz da unidade do sistema. Você pode usar esse modelo, ou partes dele, para fins de recuperação de desastres. O modelo Setup security.inf nunca deve ser aplicado usando a diretiva de grupo.
• Compatível (Compatws.inf)
• As permissões padrão para estações de trabalho e servidores são concedidas principalmente a três grupos locais: Administradores, Usuários avançados e Usuários. Os Administradores têm a maioria dos privilégios enquanto os Usuários têm a menor quantidade de privilégios. Por essa razão, é possível melhorar de forma significativa a segurança, a confiabilidade e o custo total de propriedade do sistema:
  • Certificando-se de que os usuários finais são membros do grupo Usuários.
  • Implantando aplicativos que podem ser executados com êxito por membros do grupo Usuários.

  Pessoas com privilégios de Usuário podem executar com êxito os aplicativos que fazem parte dos programas certificados para o Microsoft Windows. Entretanto, é provável que você não consiga executar aplicativos que não sejam certificados em um contexto de Usuário. Caso haja necessidade de suporte para aplicativos não certificados, existem duas opções:

  1. Permitir que os membros do grupo Usuários sejam membros do grupo Usuários avançados.
  2. Relaxar as permissões padrão concedidas ao grupo Usuários.

  Como os Usuários avançados têm recursos inerentes, como criação de usuários, grupos, impressoras e compartilhamentos, alguns administradores preferem relaxar as permissões padrão de Usuário em vez de permitir que os usuários finais sejam membros do grupo Usuários avançados. É essa exatamente a finalidade do modelo compatível. Esse modelo altera as permissões padrão de arquivo e Registro concedidas a Usuários a fim de que sejam consistentes com os requisitos da maioria dos aplicativos não certificados. Além disso, como presume-se que o administrador que está aplicando o modelo compatível não deseja que os usuários finais sejam Usuários avançados, o modelo compatível também remove todos os membros do grupo Usuários avançados. Para obter mais informações, consulte Configurações de segurança padrão.

  Para obter mais informações sobre programas certificados para o Microsoft Windows, consulte o site da Microsoft na Web. (http://msdn.microsoft.com)

  O modelo compatível não deve ser aplicado a controladores de domínio. Por exemplo, não importe o modelo compatível para diretiva de domínio padrão ou diretiva de controlador de domínio padrão.

• Seguro (secure*.inf)
• Os modelos seguros definem configurações de segurança avançadas com menos probabilidade de impactar na compatibilidade de aplicativos. Por exemplo, os modelos seguros definem configurações de senha, bloqueio e auditoria mais rígidas.

  Além disso, os modelos seguros limitam o uso de protocolos de autenticação NTML e LAN Manager configurando clientes para enviar somente respostas NTLMv2 e configurando servidores para recusar respostas LAN Manager.

  • Para aplicar o modelo Securews.inf a uma máquina membro, todos os controladores de domínio com as contas de todos os usuários que fazem logon no cliente precisam executar o Windows NT Service Pack 4 ou superior.
  • Se um servidor estiver configurado com o modelo Securews.inf, um cliente com uma conta local nesse servidor não poderá conectar-se a ele a partir de um computador cliente executando o LAN Manager que esteja usando essa conta local.
  • Se um controlador de domínio estiver configurado com o modelo Securedc.inf, um usuário com uma conta nesse domínio não poderá se contectar a qualquer servidor membro a partir de um computador cliente executando o LAN Manager que use sua conta de domínio.
  • Os clientes que executam o LAN Manager incluem o Microsoft Windows for Workgroups bem como as plataformas Microsoft Windows 95 e Microsoft Windows 98 que não têm o DS Client Pack instalado. Se o DS Client Pack estiver instalado no Microsoft Windows 95 ou Microsoft Windows 98, esses clientes poderão usar o NTLMv2. o Microsoft Windows Millennium Edition oferece suporte a NTLMv2 sem modificação adicional.

  Os modelos seguros também oferecem mais restrições para usuários anônimos (como usuários de domínios não confiáveis) impedido-os de:

  • Enumerar compartilhamentos e nomes de conta.
  • Executar conversões de SID em nome ou de nome em SID.

  Finalmente, os modelos seguros ativam a assinatura de pacote SMB do lado do servidor, que é desativada por padrão para estações de trabalho e servidores. Como a assinatura de pacote SMB do lado do cliente é ativada por padrão, a assinatura de pacote SMB será sempre negociada quando estações de trabalho e servidores estiverem operando no nível seguro.

• Altamente seguro (hisec*.inf)
• Os modelos altamente seguros têm superconjuntos de modelos seguros que impõem mais restrições nos níveis de criptografia e assinatura necessários para a autenticação e fluxo de dados por canais seguros e entre servidores e clientes SMB. Por exemplo, enquanto os modelos seguros fazem os servidores recusarem respostas de LAN Manager, os modelos altamente seguros fazem os servidores recusarem tanto respostas de LAN Manager como de NTLM. Enquanto o modelo seguro ativa a assinatura de pacote SMB do lado do servidor, o modelo altamente seguro exige essa assinatura. Além disso, os modelos altamente seguros exigem criptografia de alta segurança e assinatura para os dados de canal seguro que constituem relacionamentos de confiança de domínio para membro e de domínio para domínio.
  • Para aplicar o modelo Hisecws.inf a um computador:
  • • Todos os controladores de domínio que contêm as contas de todos os usuários que farão logon no cliente precisam executar o Windows NT Service Pack 4 ou posterior.
    • Todos os controladores do domínio em que o cliente ingressou precisam executar o Microsoft Windows.
  • Para aplicar o modelo Hisecdc.inf a um controlador de domínio, todos os controladores de domínio em todos os domínios confiáveis e confiantes precisam executar o Microsoft Windows.
  • Se um servidor for configurado com o modelo Hisecws.inf, um cliente com uma conta local nesse servidor não poderá conectar-se a ele a partir de um cliente que não ofereça suporte a NTLMv2.
  • Se um servidor for configurado com o modelo Hisecws.inf, todos os clientes que desejarem usar o SMB para se conectar com esse servidor precisarão ativar a assinatura de pacote SMB do lado do cliente. Todos os computadores que estiverem executando o Microsoft Windows e o Microsoft Windows ativam a assinatura de pacote SMB do lado do cliente por padrão.
  • Se um controlador de domínio estiver configurado com o modelo Hisecdc.inf, um usuário com uma conta nesse domínio não poderá se conectar com qualquer servidor membro a partir de um cliente que não ofereça suporte a NTLMv2.
  • Se um controlador de domínio estiver configurado com Hisecdc.inf, os clientes do protocolo de acesso a pastas leves (LDAP) não conseguirão se ligar ao servidor LDAP do Active Directory sem negociar assinatura de dados. Serão rejeitadas as solicitações de ligação que utilizem ldap_simple_bind ou ldap_simple_bind_s. Por padrão, todos os clientes LDAP da Microsoft fornecidos com o Microsoft Windows solicitarão assinatura de dados se a TLS\SSL não estiver sendo usada. Caso a TLS/SSL esteja sendo usada, uma assinatura de dados poderá ser negociada.

  Os clientes que não oferecem suporte a NTLMv2 incluem o Microsoft Windows for Workgroups, clientes de Microsoft Windows NT anteriores ao Service Pack 4 e plataformas do Microsoft Windows 95 e Microsoft Windows 98 que não têm o DS Client Pack instalado.

  Além de mais restrições ao uso de protocolos LAN Manager e dos requisitos para criptografia e assinatura de canal seguro e tráfego SMB, os modelos altamente seguros também limitam o uso de dados de logon armazenados em cache, como dados armazenados pelo Winlogon e pelo Nomes de usuário e senhas armazenados.

  Finalmente, Hisecws.inf utiliza configurações de grupo restritas para:

  • remover todos os membros do grupo Usuários avançados.
  • assegurar que somente Admins. do Domínio e a conta do Administrador local sejam membros do grupo Administradores local.
  O Hisecws define essas restrições de grupo a partir do pressuposto de que somente aplicativos certificados para o Microsoft Windows são implantados. Com aplicativos certificados, nem o modelo compatível nem o grupo Usuários avançados, ambos pouco seguros, são necessários. Em vez disso, os usuários podem executar aplicativos certificados com êxito no contexto seguro de um usuário normal que é definido pelas configurações de segurança padrão do sistema de arquivos e do Registro.
• Segurança de raiz do sistema (Rootsec.inf)
• O modelo Rootsec.inf especifica as novas permissões de raiz introduzidas no Microsoft Windows. Por padrão, o modelo Rootsec.inf define essas permissões para a raiz da unidade do sistema. Esse modelo pode ser usado para reaplicar as permissões do diretório raiz, caso elas sejam alteradas por engano, ou o modelo pode ser modificado para aplicar as mesmas permissões de raiz a outros volumes. Conforme especificado, o modelo não substitui permissões explícitas definidas em objetos filho; ele propaga somente as permissões que sejam herdadas por objetos filho.
• Nenhum SID de usuário de Terminal Server (Notssid.inf)
• As listas de controle de acesso do Registro e sistema de arquivos padrão que estão em servidores concedem permissões para um SID do Terminal Server. O SID do Terminal Server é usado somente quando o Terminal Server está executando no modo de compatibilidade de aplicativo. Se o Terminal Server não estiver sendo usado, esse modelo pode ser aplicado para remover os SIDs do Terminal Server desnecessários dos locais do Registro e sistema de arquivos. No entanto, remover a entrada de controle de acesso do SID do Terminal Server desses locais padrão do Registro e sistema de arquivos não aumenta a segurança do sistema. Em vez de remover o SID do Terminal Server, simplesmente execute o Terminal Server no modo de segurança máxima. Quando executado no modo de segurança máxima, o SID do Terminal Server não é usado.

Cuidado

• Esses modelos de segurança são criados presumindo-se que serão aplicados a computadores que usam as configurações de segurança padrão. Em outras palavras, esses modelos modificam de forma incremental as configurações de segurança padrão, caso elas estejam no computador. Eles não instalam as configurações de segurança padrão antes de executar as modificações.
• Os modelos de segurança predefinidos não devem ser aplicados a sistemas de produção sem terem sido testados para assegurar que seja mantido o nível correto de funcionalidade para a sua arquitetura de rede e sistema.

As configurações de modelo de segurança podem ser mostradas através dos Modelos de segurança. Os arquivos *.inf também podem ser exibidos como arquivos de texto. Esses arquivos estão localizados em:

%windir%\Security\Templates

Você não pode proteger sistemas Microsoft Windows que estejam instalados em sistemas de arquivos FAT.