SEGURANÇA SISTEMAS OPERACIONAISBRUNA SOUZA DA SILVA – 4º SEMESTRE

DIRETIVAS LOCAIS DE SEGURANÇA – CONCEITO

As diretivas locais de segurança fornecem opções para configurar questões de segurança relacionadas com o Windows. Por exemplo, por padrão o usuário pode errar diversas vezes a senha que a sua conta não será bloqueada. Com as diretivas locais de segurança, nós podemos definir que seum usuário errar a senha três vezes, dentro de um período de meia hora, a sua conta deve bloqueada até que um Administrador desbloqueie a conta ou deve ficar bloqueada por um período definido de, digamos, 24 horas.

A diretiva de segurança é uma combinação das configurações de segurança que permitem configurações detalhadas e avançadas de itens que afetam a segurança do Windows como um todo. Dependendo de como foram configuradas as diretivas locais de segurança, um computador pode ser extremamente seguro quanto pode ser extremamente vulnerável. Para editar e configurar as diretivas de segurança, usa-se o console Diretiva de segurança local, acessado através das Ferramentas Administrativas, do Painel de controle.

Diretivas de Conta: estas diretivas afetam omodo como as contas de usuário podem interagir com o computador ou o domínio. As diretivas de conta contêm dois subconjuntos:

Diretivas de senha - usadas para contas de domínio ou de usuário local. As diretivas desta sub-categoria determinam configurações para senhas, como aplicação e vida útil, comprimento mínimo, etc. A senha deve satisfazer os requisitos de complexidade:por padrão esta diretiva está desabilitada. Ela determina se as senhas devem satisfazer a requisitos de complexidade. Se esta diretiva estiver ativada, as senhas precisarão atender aos seguintes requisitos mínimos:1. Não conter todo ou parte do nome da conta do usuário;2. Ter pelo menos seis caracteres de comprimento;3. Conter caracteres de três das quatro categorias a seguir;

3.1. Caracteres maiúsculos do inglês(A-Z);3.2. Caracteres minúsculos do inglês (a-z);3.3. 10 dígitos básicos (0-9)3.4. Caracteres não alfanuméricos (por exemplo, !, %, #).

Os requisitos de complexidade são impostos quando as senhas são criadas ou alteradas. Aplicar histórico de senhas: determina o numero de senhas novas e exclusiva que precisam ser associadas a uma conta de usuário antes qe uma senha antiga possa ser reutilizada. O valor deve estar entre 0 e 24 senhas. Esta diretiva permite que os administradores aprimorem a

segurança garantindo que as senhas antigas não sejam reutilizadas continuamente. Armazenar senha usando criptografia reversível:determina se o Windows 2000 Server, o Windows 2000 Professional, Windows Server 2003, o Windows XP Profissional, o Windows Vista, o Windows Server 2008 ou o Windows 7, armazenam senhas usando criptografia reversível. Esta diretiva oferece suporte a aplicativos que usam protocolos que exigem o conhecimento da senha do usuário para fins de autenticação. Armazenar senha usando criptografia reversível é basicamente o mesmo que armazenar versões das senhas em texto sem formatação. Por esse motivo a diretiva jamais deve ser ativada, a menos que os requisitos de um aplicativo que você precisa usar sejam mais importantes que a necessidade de proteger as informações sobre as senhas dos usuários. Se esta diretiva for ativada, um usuário com um programa de captura de pacotes na rede poderá descobrir a senha dos usuários da rede. Por padrão fica desativada.

Diretivas de bloqueio de conta - esta sub- categoria apresenta diretivas que determinam se uma conta será ou não bloqueada, se o usuário errar a senha um determinado numero de vezes, dentro de um determinado período. Nesta categoria temos as seguintes diretivas: Duração do bloqueio de conta: determinam quantos minutos uma conta permanece bloqueada antes de ser automaticamente desbloqueada. O intervalo disponível é de 1 a 99.999 minutos. É possível especificar que a conta fique bloqueada até um administrador desbloqueá-la explicitamente definindo o valor desta diretiva como 0. Por padrão ela não é definida e ela só tem sentido quando um limite de bloqueio de conta é especificado. Limite de bloqueio de conta: Determina o numero de tentativas de logon com falha que ira causar o bloqueio de uma conta de usuário. Uma conta bloqueada não pode ser usada ate ser desbloqueada por um administrador ou ate o período de bloqueio da conta expirar. Zerar contador de bloqueio de conta após: determina quantos minutos devem decorrer entre a ultima tentativa de logon com falha e a redefinição do contador dessa tentativa como 0 tentativas de logon inválidos.

Diretivas Locais: as diretivas deste grupo afetam uma serie de configurações do computador. Através desta categoria temos opção para configurar os logs de auditoria do Windows, temos opções para configurar os chamados direitos dos usuários, tais como quem pode fazer o logon, quem pode ou não usar o drive de disquete e assim por diante e também temos opções avançada de segurança, tais como se a conta Administrador ou não ser renomeada, se é permitido o acesso remoto à Registry do computador. As diretivas locais contêm três subconjuntos:

Diretiva de Auditoria: as diretivas deste grupo definem configurações que estão relacionados aos logs do Windows, tais como os logs de Aplicativos, Segurança e Sistema. Com estas diretivas é possível configurar opções tais

como: tamanho máximo do log, direitos de acesso a cada log, configurações e métodos de retenção dos eventos nos logs e assim por diante. O log do aplicativo registra eventos gerados por programas, o log de segurança registra eventos de segurança, inclusive tentativas de logon com ou sem sucesso acesso a objetos(pastas, impressoras, etc) alterações em segurança, dependendo do que é auditado; e o log do sistema registra eventos de sistema operacional.

Nesta categoria temos as seguintes diretivas: Auditoria de eventos de sistema: esta diretiva é usada para determinar a

necessidade ou não de um usuário reiniciar ou desligar o computador quando ocorrer um evento que afete a segurança do sistema ou o log de segurança.

Auditoria de acompanhamento de processos: a configuração desta diretiva determina a necessidade ou não de auditar informações detalhadas de controle de eventos, como ativação de um programa, saída de processo, duplicação e acesso indireto a objetos. Se você definir essa configuração de diretiva, poderá especificar se ira auditar êxitos, falhas ou nenhum tipo de evento. As auditorias de êxitos geram uma entrada de auditoria quando o processo que está sendo controlado é bem- sucedido. As auditorias de falhas geram uma entrada de auditoria quando o processo que está sendo controlado falha. Padrão: sem auditoria.

Auditoria de alteração de diretivas: esta diretiva desse ser habilitada quando o Administrador quer que seja registrado no log de eventos, alterações que sejam feitas nas diretivas de atribuição de direitos, diretivas de auditoria ou diretivas de confiança de um usuário. É uma maneira do Administrador acompanhar quais usuários estão tentando alterar quais diretivas. Em ambientes de alta segurança esta diretiva pode ser de grande utilidade para ajudar a identificar usuários que estejam tentando alterar configurações de segurança, para tornar o computador mais vulnerável a ataques e a instalação de programas não autorizado. Se definir essa configuração de diretiva, poderá especificar se irá auditar êxitos, falhas ou nenhum tipo de evento.

Atribuições de direitos de usuários: um “direito de usuário” é uma ação que o usuário pode ou não executar. Por exemplo, fazer logon no computador localmente, acessar o computador pela rede, alterar a hora do sistema, alterar fuso-horário e acessar drive de CD-Rom.

Principais diretivas desta categoria: Acesso a este computador pela rede: é utilizada para determinar quais

usuários e grupos têm permissão para se conectar ao computador através rede.

Alterar a hora do sistema:determina quais usuários e grupos podem alterar a data e a hora no relógio interno do computador. Os usuários que têm esse direito atribuído podem afetar a aparência dos logs de eventos. Se a data e hora do sistema forem alteradas, os eventos registrados refletirão essa data e hora novas e não aquelas em que os eventos realmente ocorreram. Esse direito do usuário é definido no objeto de Diretivas de

Grupo de Domínio Padrão e na diretiva de segurança local de estações de trabalho e servidores.

Desligar o sistema: esta diretiva determina quais usuários com logon local no computador podem desligar o sistema operacional usando o comando Desligar.

Opções de segurança: este grupo contém uma serie de diretivas que podem ser utilizadas para tomar o Windows ainda mais seguro.

Principais diretivas desta categoria: Contas: renomear conta do administrador: determina se um nome de

conta diferente poderá ser associado ao identificador de segurança (SID) da conta “Administrador”. Como é notória a existência da conta Administrador em todos os computadores com o Windows 2000 Server , Windows 2000 Professional e Server, Windows XP, Windows Server 2003, Windows Server 2008, Windows Server 2012, Windows 7 e Windows 8, renomear a conta torna um pouco mais difícil para usuários não autorizados, tentarem adivinhar a combinação de senha e nome, pois além da senha, terão também que “adivinhar”, qual o novo nome da conta Administrador.

Logon interativo: texto de mensagem para usuários tentando fazer logon: especifica uma mensagem de texto que será exibida para os usuários quando eles fizerem logon. Esse texto muitas vezes é usado por razões legais, por exemplo, para notificar os usuários sobre as implicações da utilização incorreta de informações da empresa ou para avisá-los de que é possível que seja feita auditoria de suas ações.

Logon interativo: pedir que o usuário altere a senha antes que ela expire: determina com quanto tempo de antecedência (em dias) os usuários serão avisados de que sua senha está prestes a expirar. Com esse aviso antecipado, o usuário tem tempo para criar uma senha que seja suficientemente segura, respeitando as políticas de segurança definidas no computados tais como o numero mínimo de caracteres e a imposição de critérios de complexidade para a senha. O padrão é : 14 dias.

Referência

http://juliobattisti.com.br/artigos/windows7/capitulo06/cap06_19.asp

http://juliobattisti.com.br/artigos/windows7/capitulo18/02.asp