Windows Server 2003
Modelos de segurança
Autor: Fabiano de Santana
Certificações: MVP – MCSA 2000/2003 Security – MCSE 2000/2003 Security – ITIL Foundation
Data de criação: 10/12/2008
Introdução
Utilizamos os modelos de segurança para implementar segurança no Windows Server 2003, tanto a nível local quanto a nível de domínio. Os modelos de segurança são nada mais do que várias diretivas de segurança (as mesmas utilizadas pelas GPOs) configuradas em um arquivo. Podemos utilizar os modelos de segurança padrões do Windows Server 2003 ou criar um novo modelo de segurança.
Antes de aplicarmos os modelos de segurança, devemos verificar quais alterações serão feitas em nosso sistema, e se os modelos padrões atendem nossas necessidades. Os modelos de segurança estão armazenados na pasta %systemroot%\security\templates.
Figura 1 – Modelos de Segurança
Os modelos padrões são os seguintes:
- Compatws – Aplica permissões em alguns arquivos e registros do Windows com o intuito de permitir a execução de aplicativos legados. Com isso, o nível de segurança do Windows Server 2003 é reduzido.
- DC Security – Aplica as configurações padrões de um Controlador de Domínio.
- Hisecdc – É um modelo de segurança extremamente forte, que aumenta o nível de segurança do NTLM, desabilita serviços não necessários e aplica permissões em arquivos e no registro do Windows. Além disso, remove todos os usuários que estão no grupo Power Users.
- Hisecws – É um modelo de segurança extremamente forte, que aumenta o nível de segurança do NTLM, aplica permissões em arquivos e no registro do Windows, remove todos os usuários que estão no grupo Power Users e limita o grupo local Administrators aos membros Domain Admins e Administrator.
- Iesacls – Aplica permissões em chaves do registro do Windows relacionadas ao Internet Explorer. Adiciona a permissão Read e Full Control para o grupo Everyone.
- Rootsec – Aplica permissões na raiz do drive do sistema.
- Securedc – Aplica diversas configurações de segurança, aumentando a complexidade das políticas de senhas. Aplica também restrições ao Lan Manager.
- Securews – Aplica diversas configurações de segurança, aumentando a complexidade das políticas de senhas. Aplica também restrições ao Lan Manager.
- Setup security – Aplica as configurações padrões do Windows, configuradas logo após a instalação do Windows.
Através do console Security Configuration and Analysis (Configuração e Análise de Segurança), podemos analisar um modelo de segurança, comparando-o com as configurações já definidas em um computador. Podemos também aplicar um modelo de segurança no computador.
Exemplo prático – Analisar um modelo de segurança e salvar o console.
- Clique em Iniciar, Executar, digite mmc e tecle Enter.
- No menu Arquivo clique em Adicionar/remover snap-in.
- Clique sobre Configuração e análise de segurança e clique em Adicionar.
Figura 2 – Configuração e análise de segurança
- Clique com o botão direito sobre Configuração e análise de segurança e clique em Abrir banco de dados.
- Digite teste.sdb e clique em Abrir.
- Escolha o modelo de segurança que deseja analisar e clique em Abrir. Para o nosso exemplo escolha o modelo de segurança hisecdc.
Figura 3 – Modelos de segurança
- Agora clique com o botão direito sobre Configuração e análise de segurança e clique em Analisar computador agora.
- Clique em OK e aguarde até que a análise seja executada.
- Expanda todas as opções do lado esquerdo da tela e verifique do lado direito as diferenças entre as configurações do modelo de segurança escolhido (hisecdc) e as configurações do computador.
Figura 4 – Configuração e Análise de Segurança
- Verifique que aparecerão várias diretivas com um “X” vermelho. Isso significa que as configurações do modelo de segurança e as configurações aplicadas no computador estão diferentes.
- Agora vamos salvar esse console. Para isso clique no menu Arquivo e clique em Salvar.
- Defina o nome do console e o local onde este será salvo. Clique em Salvar.
Exemplo prático – Aplicar um modelo de segurança.
- Abra o console criado anteriormente.
- Clique com o botão direito sobre Configuração e análise de segurança.
- Clique em Configurar computador agora. Lembre-se que o modelo de segurança que será aplicado é o hisecdc, o qual selecionamos e efetuamos a análise no exercício anterior.
- Aguarde até o que novo modelo seja aplicado e feche o console mmc.
- Para visualizar todas as configurações de segurança do Windows Server 2003 utilizamos o console Diretivas de segurança local, localizado em Ferramentas administrativas.
Figura 5 – Diretivas de segurança local
Para visualizarmos todos os modelos de segurança disponíveis e suas configurações, utilizamos o console Modelos de segurança. Nesse console podemos também criar um novo modelo de segurança a partir de um modelo pronto.
Exemplo prático – Visualizar os modelos de segurança padrão e suas configurações e criar um novo modelo de segurança.
- Clique em Iniciar, Executar, digite mmc e tecle Enter.
- No menu Arquivo clique em Adicionar/remover snap-in.
- Clique sobre Modelos de segurança e clique em Adicionar.
- Expanda as opções até que os modelos de segurança sejam exibidos. Verifique as configurações das diretivas de segurança de cada modelo de segurança.
Figura 6 – Modelos de Segurança
- Clique com o botão direito sobre o modelo de segurança hisecdc e clique em Salvar como.
- Digite o nome do arquivo e clique em Salvar. Para esse exemplo digite ModeloCustomizado e clique em Salvar.
Figura 7 – Salvar um novo modelo de segurança
- Observe que o novo modelo de segurança foi criado e já aparece na lista de modelos de segurança.
Figura 8 – Novo modelo de segurança
- Agora é só fazer as configurações desejadas no novo modelo de segurança e fechar o console. Ao fechar o console será perguntado se deseja salvar as alterações feitas no novo modelo de segurança, caso alguma alteração tenha sido feita. Clique em Sim para salvar ou em Não para descartar as alterações.
Figura 9 – Salvar alterações no novo modelo de segurança
Quando estamos utilizando as diretivas de segurança de domínio (GPO’s), podemos importar um modelo de segurança para uma GPO e aplicar esse modelo em todos os computadores do domínio.
Exemplo prático – Importar um modelo de segurança para uma GPO.
- Efetue logon com uma conta de usuário com direitos administrativos.
- Abra o console Usuários e Computadores do Active Directory.
- Clique com o botão direito sobre o domínio e escolha a opção Propriedades.
- Clique na aba Diretiva de grupo.
Figura 10 – Diretiva de grupo de domínio
- Dê 2 cliques sobre a GPO desejada ou selecione a GPO e clique em Editar.
- Acesse a opção Configuração do computador, Configurações do Windows, Configurações de segurança.
Figura 11 – Diretiva de grupo de domínio
- Clique com o botão direito sobre Configurações de segurança e escolha a opção Importar diretiva.
Figura 12 – Importar Diretiva
- Será exibida a tela acima, com todos os modelos de segurança disponíveis. Selecione o modelo de segurança desejado (que será importado para a diretiva de segurança do domínio) e clique em Abrir.
- Pronto, agora todas as configurações do modelo de segurança selecionado acima serão aplicadas em todos os computadores do domínio, via GPO. Percebam como é bem mais fácil importar um modelo de segurança para uma GPO do que configurar diretiva por diretiva em uma GPO.
Contamos ainda com um comando utilizado para configurarmos os modelos de segurança. Esse comando é o secedit. Com a utilização desse comando teremos alguns recursos adicionais.
Apresentamos abaixo alguns parâmetros que podem ser utilizados com o secedit:
- Secedit /analyze – esse comando analisa a segurança do sistema. Podemos utilizar os seguintes parâmetros:
- /db – Fornece o caminho para um banco de dados que contém a configuração armazenada, na qual a análise será executada. Esse é um argumento necessário.
- /cfg – Este argumento é válido somente quando for utilizado com o parâmetro /db. É o caminho para o modelo de segurança que será importado no banco de dados para análise. Se este argumento não for especificado, a análise é executada em relação a qualquer configuração já armazenada no banco de dados.
- /log – O caminho para o arquivo de log para o processo. Se este não for fornecido, o arquivo padrão é usado.
- /quiet – Suprime a saída de log e de tela. Você ainda poderá ver resultados da análise usando o console Configuração e análise de segurança.
- Secedit /configure – esse comando configura a segurança do sistema aplicando um modelo de segurança. Podemos utilizar todos os parâmetros utilizados no comando secedit /analyze, e mais os seguintes parâmetros:
- /overwrite – Este argumento é válido somente quando o parâmetro /CFG também for usado. Especifica se o modelo de segurança no argumento /CFG deve sobrescrever qualquer modelo ou modelo composto armazenado no banco de dados, em vez de acrescentar os resultados ao modelo armazenado. Se este argumento não for especificado, o modelo no argumento /CFG será acrescentado ao modelo armazenado.
- /areas – Especifica as áreas de segurança a serem aplicadas ao sistema. O padrão é "todas as áreas". Cada área deve ser separada por um espaço. As áreas podem ser:
- SECURITYPOLICY – Diretiva local e diretiva de domínio para o sistema, incluindo diretivas de conta, de auditoria e assim por diante.
- GROUP_MGMT – Definições de grupo restritas para quaisquer grupos especificados no modelo de segurança.
- USER_RIGHTS – Direitos de logon de usuário e concessão de privilégios.
- REGKEYS – Segurança em chaves de registro local.
- FILESTORE – Segurança no armazenamento de arquivo local.
- SERVICES – Segurança para todos os serviços definidos.
- Secedit /refreshpolicy – esse comando não existe mais no Windows Server 2003. Foi substituído pelo comando gpupdate.
- Secedit /export – esse comando exporta um modelo armazenado em um banco de dados para um arquivo de modelo de segurança. Podemos utilizar todos os parâmetros utilizados no comando secedit /analyze, acrescido do parâmetro /areas, e mais o seguinte parâmetro:
- /mergedpolicy – Mescla e exporta configurações de segurança de diretiva local e de domínio.
- Secedit /validate – esse comando valida a sintaxe de um modelo de segurança que você deseja importar para um banco de dados para análise ou aplicação no sistema. O único parâmetro utilizado é:
- Nome_do_arquivo: nome do arquivo do modelo de segurança.
Para maiores informações sobre os modelos de segurança, visite os sites abaixo:
Conclusão
É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicado neste site, entre com contato através de e-mail: fabianodesantana@terra.com.br. ou contato@fabianosantana.com.br.
_____________________________________________________________________________
Fabiano de Santana, bacharelado em Análise de Sistemas, trabalha com TI a mais de 7 anos. Atualmente é membro do time de Windows Security da IBM Brasil. Realizou vários projetos, entre eles implementação do WSUS, migração de correio eletrônico, implementação do ISA Server 2004, implementação de Lotus Notes, implementação de políticas de segurança, entre outros. Possui as certificações MCP, MCSA / MCSE 2000 Security, MCSA 2003 Security, MCSE 2003, Itil Foundation e IBM Certified System Administrator – Lotus Notes and Domino 7.
Autor de ebooks e artigos em parceria com o Julio Battisti há mais de 2 anos, moderador do Fórum de Windows e Certificações do site www.juliobattisti.com.br. Autor de artigos para o Technet Brasil e iMasters. Atua também como professor e autor de cursos para o site iPED.
Visite o site do autor: www.juliobattisti.com.br/fabiano