Dando prosseguimento nas matérias sobre recursos técnicos do Windows 2000
("Segredos do Windows 2000"), desta vez com o foco um pouco mais em
segurança para redes baseadas em servidores Windows 2000. Está listada
nesta matéria uma serie de ferramentas que irão auxiliar administradores de rede e web masters, bem como demais profissionais da área de suporte em redes.

Antes de tudo é importante manter em mente que o foco da segurança não é somente os Web Servers, mas a própria metodologia de administração de rede e até mesmo os
procedimentos. O preço a pagar pela segurança da rede é eterno, diretamente proporcional ao grau de complexidade da mesma. Pensando desta forma, não basta se preocupar somente com porta de entrada da sua rede (web servers), mas sim com toda a infra-estrutura envolvida (roteadores, domain controllers, dns servers, etc).

Antes de falarmos sobre as ferramentas, é importante seguir a regra básica de
segurança (criada por um monge chinês Tungstênio MCSE especialista em
segurança e amigo meu): " Informação de todo mundo não deve ficar aonde todo mundo tem acesso". Isto significa que os servidores Web não devem ser Domain Controllers, mas sim Member Servers. Expor seu banco de dados de usuários na Internet
não parece ser uma pratica saudável.

A primeira ferramenta visa comparar as configurações de segurança da maquina com um modelo de segurança pré-definido e aplicar caso necessário. Esta ferramenta chama-se Security Templates e Security Configuration and Analysis. Ambas são gratuitas e acompanham o produto Windows 2000.

Os security Templates são arquivos com a extensão.INF e ficam armazenadas
na pasta C:\WINNT\SECURITY\TEMPLATES . Estes templates contem
instruções de configuração de Registry para os seguintes valores:

Account Policies:
fornece parâmetros de configuração para contas, como por exemplo,
política de senhas (histórico das senhas, tempo máximo da senha, mínimo
de caracteres para senhas e complexidade de senhas) política de
travamento de contas (tempo de duração de travamento da conta e
quantidade de erros seguidos para travamento) e política para Kerberos
(tempo de duração do Ticket e tempo de renovação do ticket).

Local Policies:
fornece parâmetros de configuração local, como por exemplo, política de
auditoria (objetos que podem ser auditados , como logon, acesso a
arquivos e pastas, etc), direitos de usuários (Logon local, logon como
serviço, etc) e opções de segurança (nível para autenticação LAN
manager, mensagem de aviso de logon, não mostrar ultimo usuário que
efetuou logon na maquina, etc).

EventLog: parâmetros de configuração para o event viewer (tamanho Maximo de log, total de dias para reter log, etc).

Restricted Groups:
neste parâmetro você é obrigado a definir a partir de um grupo
especifico, QUEM é que pode pertencer a ele. Caso você defina apenas um
único usuário e já existam outros usuários neste grupo, a política
remove os demais, deixando apenas o usuário especificado na política.
Caso ninguém seja definido explicitamente da regra da política, a mesma
retiram do grupo todos os usuários. Esta opção é interessante
para grupos que exijam segurança máxima para acesso a dados em pastas
protegidas com permissão de grupos (exemplo: diretoria e gerencia).
Desta forma, mesmo que os Administradores possam se incluir no grupo, a
política definida remove os mesmos, deixando apenas os usuários
explícitos na política.

System Services: define parâmetros de inicialização para serviços (manual, disable ou automatic), bem como permissões de alteração.

Registry:
através desta regra, é possível definir permissões em chaves do
Registry. Esta opção é extremamente útil, pois como toda Security
Policy é possível aplicar estes parâmetros remotamente em um grupo
especifico de maquinas (lembra daquele programa que você tem e que você
precisa dar permissão naquela chave de registry, mas esta com preguiça
de fazer porque são mais de 200 maquinas?).

File System:
esta regra é muito parecida com a regra de Registry. Aqui é possível
dar permissão em diretórios. (mais uma vez você se lembrou daquelas
permissões que você estava se perguntando como fazer em mais de 500
maquinas).

Todos
estes parâmetros dos security templates podem ser aplicados
remotamente, através de Group Policy (vale a pena lembrar que Group
policy só funciona Com Domain Controllers Windows 2000 executando
Active Directory e estações com Windows 2000 / Windows XP). Os
parâmetros de Account Policies quando aplicados sob Organizational
Units (com exceção da OU Domain Controllers), Sites ou Maquinas Locais
atingem apenas as contas locais. Para implementar estas regras utilize
o Domain Security Policy, localizado em Administrative Tools de
qualquer Domain Controller. Um ponto interessante para seu planejamento
de Web Servers é criar uma Organization Unit exclusivamente para seus
servidores de Internet Information Services 5.0 e aplicar tais
políticas.

Após aplicar as políticas é sempre recomendável
analisar regularmente as opções aplicadas, para saber se as mesmas
ainda estão aplicadas ou foram alteradas. Para isto o Security
Configuration and Analysis torna-se perfeito para tal tarefa. Esta
ferramenta realiza testes comparativos de uma política existente com as
configurações locais da maquina, além de poder aplicar políticas de
segurança.




Após
definir as opções de segurança que melhor se encaixam no seu ambiente,
é importante definir onde devem permanecer estes servidores. Neste caso
o modelo mais comum é a utilização de DMZ´s (Zonas Desmilitarizadas).
As DMZ´s são segmentos físicos de rede separada da rede corporativa. A ideia
é colocar os servidores web fora do segmento de rede, dificultando a
invasão da rede corporativa. Em geral estas implementações são feitas
utilizando Firewalls.

A próxima ferramenta chama-se Microsoft
Baseline Security Analyzer. Esta ferramenta gratuita da Microsoft tem
como objetivo testar vulnerabilidades em servidores, listando as falhas
e explicando como resolvê-las. Através dela, é possível realizar o Scan
tanto em um quanto em varias maquinas. São verificadas vulnerabilidades
de Sistema Operacional, Senhas "Fracas" (senhas em branco, com poucos
caracteres ou ausência de números, maiúsculas, minúsculas e símbolos
especiais), Internet Information Server, SQL e HotFixes instalados. Ao
final da analise é possível obter um relatório via Browser.




Na próxima edição estaremos dando continuidade sobre esta matéria, mostrando mais ferramentas para a segurança da sua rede.


Autor original: Fabio Hara
Direitos Autorais: Fabio Hara


Fabio Hara
é MVP de Windows Server, MCSE e MCT e trabalha como consultor de redes
e instrutor na Brás e Figueiredo. Atualmente ministra palestras mensais
na Microsoft sobre os recursos do Windows 2000 e em projetos de
migração de Windows NT 4.0 para Windows 2000.

é muita coisa!

Raygodness escreveu:

é muita coisa!

Hum, é claro que é muita coisa, por isso que tiveram que separar em aulas XD
Ah, tente por mais coisas quando for comentar, por favor.

oks, mas é muita coisa mesmo!