As diretivas de segurança local fornecem opções para configurar questões de segurança relacionadas com o Windows 7. Por exemplo, por padrão o usuário pode errar diversas vezes a senha que a sua conta não será bloqueada. Com as diretivas locais de segurança, nós podemos definir que se um usuário errar a senha três vezes, dentro de um período de meia hora, a sua conta deve ficar bloqueada até que um Administrador desbloqueie a conta ou deve ficar bloqueada por um período definido de, digamos, 24 horas.

A diretiva de segurança é uma combinação das configurações de segurança que permitem configurações detalhadas e avançadas de itens que afetam a segurança do Windows como um todo. Dependendo de como foram configuradas as diretivas locais de segurança, um computador pode ser extremamente seguro quanto pode ser extremamente vulnerável. Para editar e configurar as diretivas de segurança, nos usaremos o console Diretiva de segurança local, o qual é acessado através da Ferramentas Administrativas, do Painel de Controle.

Com o uso de diretivas de segurança local, você pode controlar, dentre outras coisas:

• Quem pode acessar o seu computador.

• Padrões para as senhas das contas dos usuários, tais como tamanho mínimo de senha, se deve ou não exigir critérios de complexidade, se deve ou não bloquear a conta após x tentativas de logon sem sucesso e assim por diante.

• Quais usuários e quais recursos cada usuário e/ou grupo estão autorizados a usar no computador.

• Se as ações de um usuário ou grupo são registradas ou não no log de eventos.

Nota: Se o computador faz parte de um domínio, em uma rede empresarial, ao ingressar em um domínio, o computador poderá receber diretivas de segurança dos servidores do domínio ou na diretiva de qualquer unidade organizacional da qual faça parte.  Para um estudo completo sobre Políticas de Domínio (GPOs), em redes baseadas no Active Directory e no Windows Server 2008, consulte o seguinte livro, de minha autoria em parceria com o colega Fabiano Santana: Windows Server 2008 – Guia Completo de Estudos, 1800 páginas.

Se você estiver obtendo diretiva em mais de um local (por exemplo do computador local e também dos servidores do domínio), quaisquer conflitos serão resolvidos nesta ordem de precedência, de cima para baixo:

• Diretiva da unidade organizacional
• Diretiva do domínio
• Diretiva do site
• Diretiva do computador local

Nota: Para maiores detalhes sobre Domínios e Workgroups, Active Directory, sites e Unidades
Organizacionais, consulte o Anexo, no final do livro e também o seguinte livro, de minha autoria em parceria com o colega Fabiano Santana: Windows Server 2008 – Guia Completo de Estudos, 1800 páginas

 Nota: Quando você modifica as configurações de segurança em seu computador local usando o console Diretiva de segurança local, da opção Ferramentas administrativas do Painel de controle, você está modificando configurações locais do seu computador. Portanto, as configurações entram em vigor imediatamente, mas isso pode ser apenas temporário. Na verdade, as configurações permanecerão em vigor no computador local até a próxima atualização das configurações de segurança Diretiva de grupo, carregadas a partir dos servidores do domínio, momento em que as configurações de segurança que forem recebidas a partir dos servidores do Domínio (caso o seu computador faça parte de uma rede empresarial, baseada em um domínio com servidores baseados no Windows Server 2003 ou Windows Server 2008), substituirão as configurações locais onde houver conflitos, conforme ordem de prioridade listada anteriormente. As configurações de segurança são atualizadas a cada 90 minutos em uma estação de trabalho ou em um servidor e a cada 5 minutos em um controlador de domínio. As configurações também são atualizadas a cada 16 horas, mesmo que nenhuma alteração tenha sido feita. Claro que este papo todo só vale se o seu computador fizer parte de uma rede empresarial, baseada no Active Directory e com servidores baseados no Windows Server 2003 ou Windows Server 2008. Se for uma rede local ou um micro isolado em casa, existem apenas as diretivas de segurança locais, as quais serão aplicadas localmente e imediatamente após configuradas.

As diretivas locais de segurança são divididas em grupos/categorias, conforme veremos no exemplo prático a seguir.

Exemplo prático: Para verificar os grupos/categorias disponíveis para as diretivas locais de segurança, siga os passos indicados a seguir:

1.         Faça o logon como Administrador ou com uma conta com permissão de Administrador.

2.         Abra o Painel de controle. Na lista Exibir por selecione a opção Ícones pequenos.

3.         Abra a opção Ferramentas administrativas.

4.         Abra o console Diretiva de segurança local. Caso seja exibida a janela de Controle de Contas do Usuário (a qual será detalhada no Capítulo 10), pedindo que sua permissão para Continuar. Clique no botão Sim.

5.         Observe as categorias disponíveis, conforme indicado na Figura 6.20.

Neste capítulo vamos descrever apenas as categorias relacionadas com contas de usuários e senhas. A seguir uma descrição e exemplos detalhados.

Figura 6.20 – O console Diretiva de segurança local.

Diretivas de Conta: Estas diretivas afetam o modo como as contas de usuário podem interagir com o computador ou o domínio. As diretivas de conta contêm dois subconjuntos:

• Diretivas de senha
• Diretivas de bloqueio de conta

Diretivas de Conta -> Diretiva de Senha: Usadas para contas de domínio ou de usuário local. As diretivas desta sub-categoria determinam configurações para senhas, como aplicação e vida útil, comprimento mínimo, etc.

Nesta categoria temos as seguintes diretivas:

• A senha deve satisfazer os requisitos de complexidade: Por padrão esta diretiva está Desabilitada. Ela determina se as senhas devem satisfazer a requisitos de complexidade. Se esta diretiva estiver ativada, as senhas precisarão atender aos seguintes requisitos mínimos:

1.         Não conter todo ou parte do nome da conta do usuário.
2.         Ter pelo menos seis caracteres de comprimento.
3.         Conter caracteres de três das quatro categorias a seguir:
3.1       Caracteres maiúsculos do inglês (A-Z)
3.2       Caracteres minúsculos do inglês (a-z)
3.3       10 dígitos básicos (0-9)
3.4.      Caracteres não alfanuméricos (por exemplo, !, $, #, %)

Os requisitos de complexidade são impostos quando as senhas são criadas ou alteradas.

• Aplicar histórico de senhas: Determina o número de senhas novas e exclusivas que precisam ser associadas a uma conta de usuário antes que uma senha antiga possa ser reutilizada. O valor deve estar entre 0 e 24 senhas. Esta diretiva permite que os administradores aprimorem a segurança garantindo que as senhas antigas não sejam reutilizadas continuamente. Por exemplo, se o valor desta diretiva estiver definido em 3, ao trocar a senha, o usuário não poderá utilizar uma senha igual às três últimas senhas utilizadas. Para que esta diretiva tenha eficácia ela deve ser combinada com a diretiva Tempo de vida mínimo da senha (descrita mais adiante), pois se não o usuário pode trocar a senha várias vezes no mesmo dia, até que ele possa voltar a utilizar a senha antiga. Com isso o efeito é que o usuário poderá utilizar sempre a mesma senha.

• Armazenar senha usando criptografia reversível: Determina se o Windows 2000 Server, o Windows 2000 Professional, Windows Server 2003, o Windows XP Professional, o Windows Vista, o Windows Server 2008 ou o Windows 7, armazenam senhas usando criptografia reversível. Esta diretiva oferece suporte a aplicativos que usam protocolos que exigem o conhecimento da senha do usuário para fins de autenticação. Armazenar senhas usando criptografia reversível é basicamente o mesmo que armazenar versões das senhas em texto sem formatação. Por esse motivo, a diretiva jamais deve ser ativada, a menos que os requisitos de um aplicativo que você precisa usar sejam mais importantes que a necessidade de proteger as informações sobre as senhas dos usuários. Se esta diretiva for ativada, um usuário com um programa de captura de pacotes na rede poderá descobrir a senha dos usuários da rede (e isso não é nada bom). Por padrão está desativada.

• Comprimento mínimo da senha: Determina o número mínimo de caracteres que uma senha de uma conta de usuário deve conter. Você pode definir um valor entre 1 e 14 caracteres, ou pode estabelecer que não é necessária senha definindo o número de caracteres como 0; neste caso o usuário poderá deixar a senha em branco. Não é uma boa idéia em termos de segurança permitir senhas em branco, embora esta seja a configuração padrão do Windows 7. No exemplo prático da próxima lição vamos alterar esta diretiva.

• Tempo de vida máximo da senha: Determina o período de tempo (em dias) durante o qual uma senha pode ser utilizada antes que o sistema solicite ao usuário a sua alteração. Você pode definir que senhas expirem após um número de dias entre 1 e 999, ou pode especificar que elas jamais expirem definindo o número de dias como 0. 42 dias é a configuração padrão. Os valores normalmente adotados giram entre 30 e 45 dias, ou seja, após este período quando o usuário fizer o logon, será solicitado que ele troque a senha.

• Tempo de vida mínimo da senha: Determina o período de tempo (em dias) que uma senha deve ser utilizada antes que o usuário possa alterá-la. Você pode definir um valor entre 1 e 999 dias, ou pode permitir alterações imediatas definindo o número de dias como 0. A duração mínima da senha deve ser inferior à Duração máxima da senha. Esta diretiva deve ser utilizada em conjunto com a diretiva Aplicar histórico de senhas, conforme explicado anteriormente. Configure a duração mínima da senha para ser superior a 0 se você desejar que a diretiva Aplicar histórico de senhas tenha efeito prático. Sem uma duração mínima da senha, os usuários podem alterar a senha repetidas vezes até chegarem a uma senha antiga de sua preferência, a qual eles voltam a utilizar.

Diretivas de Conta -> Diretiva de Bloqueio de Conta: Esta sub-categoria apresenta diretivas que determinam se uma conta será ou não bloqueada, se o usuário errar a senha um determinado número de vezes, dentro de um determinado período. Nesta categoria temos as seguintes diretivas:

• Duração do bloqueio de conta: Determina quantos minutos uma conta permanece bloqueada antes de ser automaticamente desbloqueada. O intervalo disponível é de 1 a 99.999 minutos. É possível especificar que a conta fique bloqueada até um administrador desbloqueá-la explicitamente definindo o valor desta diretiva como 0. Caso seja definido um limite de bloqueio de conta, a sua duração deverá ser superior ou igual ao tempo de redefinição. Por padrão esta diretiva não é definida e ela só tem sentido quando um limite de bloqueio de conta (explicada a seguir) é especificado.

• Limite de bloqueio de conta: Determina o número de tentativas de logon com falha que ira causar o bloqueio de uma conta de usuário. Uma conta bloqueada não pode ser usada até ser desbloqueada por um administrador ou até o período de bloqueio da conta expirar. Você pode definir um valor de tentativas de logon com falha entre 1 e 999, ou especificar que a conta jamais seja bloqueada definindo o valor como 0. O valor normalmente utilizado é 3, ou seja, após três tentativas de logon sem sucesso, dentro de um determinado período (período este definido na diretiva “Zerar contador de bloqueio de conta após”, explicada logo a seguir) a conta será bloqueada. Por padrão esta diretiva está desativada.

• Zerar contador de bloqueio de conta após: Determina quantos minutos devem decorrer entre a última tentativa de logon com falha e a redefinição do contador dessa tentativa como 0 tentativas de logon inválidas. O intervalo disponível é de 1 a 99.999 minutos. Caso seja definido um limite de bloqueio de conta, o tempo de redefinição deverá ser inferior ou igual à Duração do bloqueio de conta. Por padrão esta diretiva não é definida. Essa configuração de diretiva só tem sentido quando um limite de bloqueio de conta é especificado.

As Demais Categorias de Diretivas: Neste capítulo descrevemos em detalhes apenas as Diretivas de contas. As demais categorias serão descritas nos demais capítulos deste livro, onde as respectivas diretivas forem utilizadas. Na próxima lição faremos um exercício prático, onde iremos configurar as Diretivas de senha e as Diretivas de bloqueio de conta.