As configurações ou diretivas de segurança são regras configuradas em um ou vários computadores para a proteção de recursos em um computador ou rede. As configurações de segurança podem controlar:

• Como os usuários são autenticados em uma rede ou computador.
• Quais recursos os usuários estão autorizados a usar.
• Se as ações de um usuário ou grupo serão ou não registradas no log de eventos.

Por exemplo, podemos utilizar estas configurações para definir que somente determinados usuários possam fazer o logon no computador, podemos limitar quais usuários podem acessar o computador através da rede (pastas e impressoras compartilhadas) e assim por diante.

Neste item veremos as configurações do grupo Atribuição de direitos de usuário e no próximo item falaremos sobre o grupo Opções de segurança.

Os administradores podem atribuir direitos específicos a contas de grupos ou a contas de usuários individuais. Esses direitos autorizam os usuários a executarem ações específicas, como fazer logon em um sistema interativamente ou fazer backup de arquivos e pastas. Os direitos do usuário diferem das permissões, porque os direitos se aplicam a contas de usuário e as permissões são anexadas a objetos tais como pastas, arquivos (permissões NTFS ou de compartilhamento) e impressoras (permissões de Impressão).

Os direitos do usuário definem recursos no acesso ao computador local. Apesar de os direitos do usuário se aplicarem a contas de usuário individuais, eles são melhor administrados se atribuídos a grupos de usuários, ao invés de atribuir para cada usuário, individualmente. Isso garante que um usuário que esteja fazendo logon como um membro de um grupo herde automaticamente os direitos associados a esse grupo. Com a atribuição de direitos do usuário a grupos e não a usuários individualmente, você simplifica a tarefa de administração de contas de usuário. Quando todos os usuários de um grupo precisam dos mesmos direitos, você pode atribuir o conjunto de direitos de usuário uma vez ao grupo todo, em vez de atribuir o mesmo conjunto de direitos repetidamente a cada conta de usuário. Se um usuário não precisa mais de um determinado direito, basta retirá-lo do grupo que recebeu o direito. O mecanismo de herança é o mesmo das permissões NTFS, permissões de compartilhamento e permissões de impressão.

Os direitos do usuário atribuídos a um grupo serão aplicados a todos os membros do grupo, enquanto eles fizerem parte do grupo. Se um usuário for membro de diversos grupos, os direitos serão cumulativos, o que significa que o usuário possuirá mais de um conjunto de direitos. O único momento em que os direitos atribuídos a um grupo podem entrar em conflito com os direitos atribuídos a outro grupo será no caso de determinados direitos de logon. Em geral, os direitos do usuário atribuídos a um grupo não entram em conflito com os direitos atribuídos a um outro grupo. Para remover direitos de um usuário, o administrador simplesmente remove o usuário do grupo. Nesse caso, o usuário deixa de ter os direitos atribuídos ao grupo.

Há dois tipos de direitos do usuário: privilégios, como o direito de fazer backup de arquivos e pastas, e direitos de logon, como o direito de fazer logon em um sistema localmente. Todas estas opções são configuradas utilizando-se o console Configurações locais de segurança, na opção Atribuição de direitos de usuário, que está dentro do grupo Diretivas locais.

A seguir teremos um exemplo prático, onde também apresentaremos a descrição de todas as diretivas do grupo Atribuições de direitos do usuário.

Exemplo – Limitando quais usuários podem acessar o computador pela rede e quais usuários podem fazer o logon localmente.

Neste exemplo, além da descrição de todas as diretivas disponíveis, aprenderemos a limitar quais usuários podem fazer o logon localmente no computador e quais podem acessar os recursos compartilhados do computador, através da rede. A descrição apresentada para cada diretiva é a descrição contida na Ajuda do Windows XP, com a adição de comentários deste autor, sempre que necessário, para um melhor entendimento da respectiva diretiva.

Para fazer as configurações propostas, siga os passos indicados a seguir:

1.       Faça o logon como Administrador ou com uma conta do tipo Administrador do computador.

2.       Abra o Painel de controle. Dentro do Painel de controle abra a opção Ferramentas administrativas e dê um clique duplo no console Configurações locais de segurança.

3.       Clique no sinal de + ao lado da opção Diretivas locais, para abri-la.

4.       Nas opções que são exibidas, clique na opção Atribuição de direitos de usuário. Serão exibidas as diretivas que definem Privilégios e Direitos de logon, conforme indicado na Figura 12.37. Observe a coluna Configuração de segurança, a qual define as configurações atuais para cada uma das diretivas deste grupo.

Figura 12.37 Diversas opções do grupo Atribuição de direitos dos usuários.

A seguir temos a descrição de cada uma destas opções:

• Acesso a este computador pela rede: Define quais usuários podem se conectar ao computador através da rede. Se um usuário não tiver este direito, ele não poderá acessar pastas e impressoras compartilhadas no computador, nem fazer qualquer outro tipo de conexão. Configuração padrão: Administradores, Todos, Usuários, Usuários avançados e Operadores de cópia. Observe que o grupo Todos tem este direito, ou seja, por padrão, todos os usuários podem acessar o computador através da rede. Esta é uma das diretivas que utilizaremos no nosso exemplo, sendo que vamos limitar o acesso ao computador apenas para o grupo Administradores. Depois retornaremos à configuração original.
• Funcionar como parte do Sistema Operacional (Act as part of the operating system):  Permite a um processo ser autenticado como um usuário e, assim, obter acesso aos mesmos recursos que um usuário. Apenas os serviços de autenticação de nível inferior (nível de Kernel do Sistema Operacional) devem requerer esse privilégio. Os processos que exigem esse privilégio devem usar a conta LocalSystem, que já inclui esse privilégio, em vez de usar uma conta de usuário separada com esse privilégio atribuído especialmente a ela. Configuração padrão: Ninguém. Este é um privilégio, digamos, “muito poderoso” e somente deve ser alterado em situações específicas, onde a conta System não puder ser utilizada.
• Adicionar estações de trabalho ao domínio: Permite ao usuário adicionar um computador a um domínio específico. Para o privilégio ter efeito, ele precisará ser atribuído ao usuário como parte da diretiva de controladores de domínio padrão do domínio. Um usuário com esse privilégio pode adicionar até 10 estações de trabalho ao domínio. Os usuários também podem ter permissão para adicionar um computador a um domínio se receberem a permissão para criar objetos de computador para uma unidade organizacional ou para o recipiente de computadores no Active Directory. Os usuários com permissão para criar objetos de computador podem adicionar um número ilimitado de computadores ao domínio, independentemente de terem recebido ou não a atribuição do privilégio Adicionar estações de trabalho a um domínio. Configuração padrão: Ninguém.
• Aumentar cota da memória: Determina as contas que podem usar um processo com acesso de propriedade de gravação para outro processo, a fim de aumentar a cota de processador atribuída ao outro processo.  Esse direito de usuário é definido no objeto de diretiva de grupo (GPO) do controlador do domínio padrão e na diretiva de segurança local de estações de trabalho e servidores. Configuração padrão: Administradores.
• Fazer backup de arquivos e diretórios: Permite ao usuário ignorar permissões de arquivo e pasta para fazer backup do sistema. O privilégio é selecionado somente quando o aplicativo tenta acesso através da interface de programação de aplicativo (API) de backup do NTFS. Caso contrário, as permissões normais de arquivo e pasta se aplicam. Este privilégio permite que um usuário faça backup, mesmo dos arquivos e pastas para os quais ele não tem permissão de acesso. Podem existir situações em que o acesso a determinadas pastas deve ser restringido, mesmo para o Administrador do computador, porém este deve ter permissão para fazer o Backup. Para isso, basta atribuir esta permissão para o grupo Administradores, o que já acontece por padrão. Configuração padrão: Administradores e Operadores de cópia.
• Ignorar verificação de desvio: Permite que o usuário passe por pastas às quais, de outra forma, ele não teria acesso ao percorrer um caminho de objeto em qualquer sistema de arquivos NTFS ou no Registro. Esse privilégio não permite ao usuário listar o conteúdo de uma pasta, mas apenas atravessar as pastas. Por exemplo, vamos supor que o usuário tenha que abrir um arquivo C:\Documentos\Ofícios\oficio120.doc. Vamos supor que o usuário tenha permissões NTFS na pasta Ofícios, mas não tenha na pasta Documentos. Com o privilégio Ignorar verificação de desvio, este usuário poderia “passar” pela pasta Documentos, para chegar até a pasta Ofícios, mesmo sem ter permissão de acesso na pasta Documentos. Configuração padrão: Administradores, Operadores de cópia, Usuários avançados, Usuários e Todos em servidores e estações de trabalho membros. Em controladores de domínio, é atribuído aos grupos Administradores, Usuários autenticados e Todos.
• Alterar a hora do sistema: Permite a um usuário configurar a hora do relógio interno do computador. Configuração padrão: Administradores, Usuários avançados, LocalService e NetworkService em servidores e estações de trabalho membros. Em controladores de domínio, é atribuído a Administradores, Operadores de servidor, LocalService e NetworkService.
• Criar arquivo de paginação: Permite ao usuário criar e alterar o tamanho de um arquivo de paginação. Isso é feito especificando-se um tamanho de arquivo de paginação para uma determinada unidade em Opções de desempenho na guia Avançado, de Propriedades do sistema. O arquivo de paginação é utilizado pelo gerenciador de memória do Windows XP, para deslocar para o disco páginas de memória que não estão sendo muito utilizadas. Desta forma o arquivo em disco funciona como uma memória virtual adicional. Quando uma página que está no disco é requisitada por um programa, o gerenciador de memória do Windows XP localiza a página e a carrega de volta para a memória. Configuração padrão: Administradores.
• Criar um objeto identificador: Permite a um processo criar um símbolo que ele poderá usar para obter acesso a todos os recursos locais quando o processo utilizar NtCreateToken() ou outras APIs de criação de símbolos. É recomendável que os processos que exigem esse privilégio usem a conta LocalSystem, que já inclui esse privilégio, em vez de usar uma conta de usuário separada com esse privilégio atribuído especialmente a ela. Configuração padrão: Ninguém.
• Criar objetos compartilhados permanentes: Permite a um processo criar um objeto de diretório no gerenciador de objetos do Windows XP Professional. Esse privilégio é útil em componentes do modo de núcleo que estendem o espaço de nome do objeto. Os componentes executando no modo de núcleo já têm, por natureza, esse privilégio; não é necessário atribuir a eles o privilégio. Configuração padrão: Ninguém.
• Depurar programas: Permite ao usuário anexar um depurador a qualquer processo. Esse privilégio fornece acesso avançado a componentes importantes do sistema operacional. Pode ser útil para computadores utilizados para o desenvolvimento de aplicações, onde são feitos testes de desempenho e stress da aplicação. Configuração padrão: Administradores.
• Ativar computador e contas de usuário como confiáveis para delegação: Permite ao usuário alterar a configuração Confiável para delegação em um objeto do usuário ou do computador no Active Directory. O usuário ou computador que recebe esse privilégio também deve ter acesso de gravação para os sinalizadores de controle de contas no objeto. A delegação de autenticação é um recurso usado por aplicativos cliente/servidor em vários níveis. Ela permite que um serviço front-end (cliente) use as credenciais de um cliente na autenticação para um serviço back-end (servidor). Para isso ser possível, tanto o cliente como o servidor precisam estar em execução com contas confiáveis para delegação. O uso incorreto desse privilégio ou das configurações de Confiável para delegação pode tornar a rede vulnerável a ataques sofisticados no sistema que utilizam programas do tipo “Cavalo de Tróia”, que simulam clientes de entrada e usam suas credenciais para obter acesso a recursos da rede.  Configuração padrão: Esse privilégio não é atribuído a ninguém em servidores e estações de trabalho membros, uma vez que não tem sentido nesses contextos. Em controladores de domínio, ele é atribuído por padrão ao grupo Administradores.
• Fazer logon como um serviço: Permite que um objeto de segurança faça logon como um serviço. Os serviços podem ser configurados para serem executados em contas LocalSystem, LocalService ou NetworkService, que têm um direito interno para fazer logon como um serviço. Qualquer serviço executado em uma conta de usuário separada precisa ter o direito atribuído. Por exemplo, a conta com a qual é inicializado o IIS – Internet Information Services precisa ter este privilégio. Configuração padrão: Ninguém.
• Fazer logon como um trabalho em lotes: Permite que um usuário faça logon usando um recurso de fila em lotes. Configuração padrão: Ninguém. Se o Internet Information Services (IIS) estiver instalado, o direito será automaticamente atribuído a uma conta interna para acesso anônimo ao IIS.
• Fazer logon local: Permite que um usuário faça logon pelo teclado do computador, ou seja, localmente no computador. Esta é uma das opções que utilizaremos para o nosso exemplo. Configuração padrão: Administradores, Usuários avançados, Usuários, Convidado e Operadores de cópia.
• Forçar desligamento de um sistema remoto: Permite a um usuário desligar um computador a partir de um local remoto na rede, utilizando um programa para desligamento remoto. Configuração padrão: grupo Administradores em servidores e estações de trabalho membros. Em controladores de domínio, ele é atribuído aos grupos Administradores e Operadores de servidor.
• Gerar auditorias de segurança: Permite que um processo gere entradas no log de segurança. O log de segurança é usado para controlar o acesso não autorizado ao sistema, conforme explicado anteriormente neste capítulo. Configuração padrão: LocalService e NetworkService.
• Aumentar prioridade de agendamento: Permite a um processo com propriedade de gravação acessar um outro processo de forma a aumentar a prioridade de execução do outro processo. Um usuário com esse privilégio pode alterar a prioridade de agendamento de um processo no Gerenciador de tarefas. Configuração padrão: Administradores.
• Carregar e descarregar drivers de dispositivo: Permite a um usuário instalar e desinstalar drivers de dispositivos Plug and Play. Esse privilégio não afeta a capacidade de instalar drivers para dispositivos que não sejam Plug and Play. Somente Administradores podem instalar drivers para dispositivos que não sejam Plug and Play. Configuração padrão: Administradores. É recomendável que você não atribua esse privilégio a qualquer outro usuário. Os drivers de dispositivo executam como programas confiáveis (ou altamente privilegiados). Um usuário com privilégio Carregar e descarregar drivers de dispositivo poderia utilizá-lo erradamente ou de propósito, instalando código mal-intencionado disfarçado de driver de dispositivo. Presume-se que os administradores terão maior cuidado e instalarão somente drivers com assinaturas digitais confirmadas. Um driver incorretamente configurado pode fazer com que o Windows XP deixe de funcionar sendo, em muitos casos, necessária uma reinstalação do Sistema Operacional.
• Bloquear páginas na memória: Permite a um processo manter dados na memória física, evitando que o sistema pagine os dados na memória virtual em disco (arquivo de troca). Atribuir esse privilégio pode resultar em degradação significativa no desempenho do sistema. Configuração padrão: Não ser atribuído a ninguém. Determinados processos do sistema têm o privilégio por padrão.
• Gerenciar log de auditoria e de segurança: Permite a um usuário especificar opções de auditoria de acesso a objeto para recursos individuais, como arquivos, objetos do Active Directory e chaves do Registro. A auditoria de acesso a objeto não será realmente executada a menos que ela esteja ativada na diretiva de auditoria (em Configurações de segurança, Diretivas locais), conforme visto anteriormente. Um usuário com esse privilégio também pode exibir e limpar o log de segurança do recurso Visualizar eventos. Configuração padrão: Administradores. Conforme descrito nos itens sobre Auditoria, somente o Administrador é capaz de gerenciar o log de segurança, a não ser que este privilégio seja atribuído a outro usuário ou grupo.
• Modificar valores de ambiente de firmware: Permite a modificação de variáveis de ambiente do sistema, seja por um processo por meio de uma API, seja por um usuário através de Propriedades do sistema. Configuração padrão: Administradores.
• Negar acesso a este computador pela rede: Proíbe um usuário ou grupo de conectar-se ao computador a partir da rede. Configuração padrão: Ninguém. Utilizamos esta diretiva para negar, explicitamente, acesso ao computador através da rede, para um usuário ou grupos de usuários.
• Negar logon como um serviço: Proíbe um usuário ou grupo de fazer logon como um serviço. Configuração padrão: Ninguém.
• Negar logon como um trabalho em lotes: Proíbe um usuário ou grupo de fazer logon através de um recurso de fila em lotes. Configuração padrão: Ninguém.
• Negar logon local: Proíbe um usuário ou grupo de fazer logon diretamente do teclado, isto é, localmente no computador. Configuração padrão: Ninguém.
• Negar logon pelos serviços de terminal: Proíbe um usuário ou grupo de fazer logon como um cliente de serviços de terminal. No Capítulo 17 veremos como fazer uma conexão remota, utilizando o Terminal Services Client. Configuração padrão: Ninguém.
• Executar tarefas de manutenção de volume: Determina quais usuários e grupos têm autoridade para executar tarefas de manutenção de volume, como Limpeza de disco e Desfragmentador de disco. Padrão: Administradores.
• Permitir logon pelos serviços de terminal: Permite que um usuário faça logon nesse computador através de uma conexão de área de trabalho remota. Configuração padrão: Administradores e Usuários de área de trabalho remota.
• Traçar um perfil de um único processo: Determina quais usuários podem usar ferramentas de monitoramento de desempenho para monitorar o desempenho de processos que não sejam do sistema. Padrão: Administradores, Sistema local.
• Traçar um perfil do desempenho do sistema: Determina quais usuários podem usar ferramentas para monitorar o desempenho de processos do sistema. Padrão: Administradores, Sistema local.
• Remover o computador da estação de encaixe: Determina se um usuário poderá desencaixar um computador portátil de sua estação de encaixe sem fazer logon. Se esta diretiva estiver ativada, o usuário precisará fazer logon antes de remover o computador portátil de sua estação de encaixe. Se estiver desativada, o usuário poderá remover o computador portátil da estação de encaixe sem fazer logon. Padrão: Desativado.
• Substituir um símbolo de nível de processo: Determina as contas de usuário que podem iniciar um processo para substituir o símbolo padrão associado a um sub-processo iniciado. Padrão: Sistema local.
• Restaurar arquivos e pastas: Determina quais usuários podem ignorar permissões de arquivo e pasta ao restaurar arquivos e pastas com backup. Além disso, determina quais usuários podem definir qualquer objeto de segurança válido como o proprietário de um objeto. Padrão: Em estações de trabalho e servidores - Administradores, Operadores de cópia e em Controladores de domínio - Administradores, Operadores de cópia, Operadores de servidores.
• Desligar o sistema: Determina quais usuários com logon local no computador podem desligar o sistema operacional usando o comando Desligar. Por padrão em Estações de trabalho e servidores: Administradores, Operadores de cópia, Usuários avançados, Usuários. E em Controladores de domínio: Operadores de contas, Administradores, Operadores de cópia, Operadores de servidores e Operadores de impressão.
• Sincronizar dados do serviço de diretório: Determina quais usuários e grupos têm autoridade para sincronizar dados do serviço de diretório. Isso também é conhecido como sincronização do Active Directory. Padrões: Nenhum.
• Apropriar-se de arquivos ou de outros objetos: Determina quais usuários podem apropriar-se de qualquer objeto que possa ser assegurado no sistema, incluindo objetos do Active Directory, arquivos e pastas, impressoras, chaves do Registro, processos e segmentos. É o famoso Take Ownership, já descrito anteriormente. Padrão: Administradores.

Com isso encerramos a descrição das diretivas deste grupo.

5.      Localize a diretiva Acesso a este computador pela rede e dê um clique duplo nela para abri-la. Será aberta uma janela onde são exibidos os usuários/grupos que têm este privilégio, conforme indicado na Figura 12.38.

Figura 12.38 Usuários/grupos com o privilégio Acesso a este computador pela rede.

Para adicionar novos usuários/grupos utilize o botão Adicionar usuário ou grupo. Para remover um usuário/grupo, clique no usuário/grupo a ser removido e depois clique no botão Remover.

6.       Adicione ou remova os usuários/grupos desejados em clique em OK.

Com esta diretiva podemos limitar os usuários que podem acessar o computador através da rede. Com isso podemos criar uma estação altamente segura, que somente pode ser acessada pela rede, por um ou mais usuários devidamente autorizados.

7.       Localize a diretiva Fazer logon local e dê um clique duplo nela para abri-la. Será aberta uma janela onde são exibidos os usuários/grupos que têm este privilégio, conforme indicado na Figura 12.39.

Figura 12.39 Usuários/grupos com o privilégio Fazer logon local.

Para adicionar novos usuários/grupos utilize o botão Adicionar usuário ou grupo. Para remover um usuário/grupo, clique no usuário/grupo a ser removido e depois clique no botão Remover.

8.       Adicione ou remova os usuários/grupos desejados em clique em OK.

Com esta diretiva podemos limitar os usuários que podem fazer o logon no computador. Com isso podemos criar uma estação altamente segura; somente podem fazer o logon usuários autorizados pelo Administrador.

9.       Feche o console Configurações locais de segurança.

A seguir veremos as principais diretivas do grupo Opções de segurança.