Assistente de Configuração de Segurança(ACS)

Publicado em:

05/12/2011

Fonte: http://comunidadewindows.blogspot.com

Neste artigo vou falar sobre a nova ferramenta do Windows Server 2008, o Assistente de Configuração de Segurança, este assistente o ajuda a configurar determinadas configurações do servidor para deixá-lo mais seguro, um ponto chave do assistente é que ele é baseado em funções que o servidor executa, ou seja, dependendo das funções e recursos que estiverem instalados, o assistente ajustará configurações para torná-lo menos vulnerável a ataques, com esse assistente é possível configurar:

  • Serviços
  • Segurança de rede (portas do firewall)
  • Chaves de registro relacionadas à autenticação
  • Diretivas de auditoria

Pontos a serem observados em relação ao Assistente de Configuração de Segurança (ACS)

  • Não se deve confundir as diretivas de segurança criadas pelo assistente com as GPOs, embora seja possível converter uma diretiva de segurança criada pelo ACS em uma GPO, neste artigo demonstrarei como fazer isso.
  • A extensão da diretiva gerada pelo ACS é (.xml).
  • O ACSnão instala ou desinstala componentes de Servidor, para isso você deve usar o Server Manager.
  • Como o ACS se baseia no estado atual do servidor, é altamente recomendável que todos os aplicativos que forem ser executados no servidor estejam em execução no momento em que o ACS estiver gerando a diretiva.

Para iniciar o ACS clique em Iniciar>Ferramentas Administrativas>Assistente de Configuração de Segurança. A tela de boas vindas do ACS é mostrada.

Clique em Avançar nesta tela.
Aqui você pode escolher se deseja criar uma nova diretiva de segurança, editar uma já existente, aplicar uma diretiva criada anteriormente ou se preferir pode desfazer a aplicação da última diretiva de segurança. Após selecionar clique em Avançar.
Como o ACS se baseia na configuração atual do servidor, você deve selecionar qual servidor será usado como referencia para gerar o banco de dados de configuração, vale lembrar que você deve ter privilégios administrativos em relação ao servidor referencia. Após selecionado clique em Avançar para gerar o banco de dados de configuração.
Depois que o banco de dados de configuração é gerado, você pode clicar no botão Exibir banco de dados de configuração, para ver os detalhes sobre as funções, recursos e outros componentes instalados no servidor. Examine as configurações atuais e clique em Avançar.
Como o ACS se baseia nas funções que o servidor executa, você deve selecionar todas as funções e recursos que o servidor necessitará para sua execução. Você deve ter bastante cautela com o que vai e não vai selecionar, uma vez que é com base nestas escolhas que o ACS vai habilitar ou desabilitar serviços que suportam as funções. Após selecionar clique em Avançar.
Embora você esteja configurando um servidor, vale lembrar que em certos momentos ele age também como um cliente de algum serviço, por isso é importante que você selecione quais recursos de cliente gostaria de habilitar, com isso o ACS habilitará os serviços que suportam esses recursos. Após selecionar clique em Avançar.
Com base nas funções de servidor que você selecionou anteriormente, você pode selecionar opções que são utilizadas para habilitar serviços e abrir portas no firewall. Por exemplo, supondo que você selecionou a função de Servidor DNS em telas anteriores, aqui você terá a oportunidade de configurar, por exemplo, a opção de administração remota do DNS, com isso uma regra no Firewall vai ser criada para habilitar tal administração. Após selecionar clique em Avançar.
Serviços que não são padrão do Windows e não foram detectados quando o banco de dados de configuração estava sendo gerado, devem ser selecionados aqui para que sejam habilitados. Após selecionar clique em Avançar.
Aqui você define qual será o tratamento para os serviços que não foram especificados pela diretiva de segurança. Você pode escolher em desabilitar o serviço ou não alterar o seu modo de inicialização. Após selecionar clique em Avançar.
Tela de resumo sobre os serviços que sofrerão alteração no seu modo de inicialização. Verifique e clique em Avançar.
Com base nas funções, recursos e opções que você selecionou, o ACS irá configurar o firewall do Windows para abrir as portas necessárias para que os serviços funcionem corretamente. Caso queira, você pode adicionar regras personalizadas. Clique em Avançar quando pronto.
Nessa tela é possível configurar quais são os requisitos mínimos de versão de sistema operacional suportado e também se o tráfego SMB deve ser assinado digitalmente para evitar que pacotes SMB sejam interceptados e modificados em transito. Vale lembrar que a assinatura de pacotes SMB pode degradar o desempenho das transações em até 15%. Todos os sistemas operacionais Windows oferecem suporte ao SMB, para que a assinatura SMB funcione, os pares envolvidos na comunicação devem ter a opção de assinatura habilitada ou exigida.
Nessa tela é possível selecionar como será realizada a autenticação do protocolo LAN Manager com o computador remoto, você pode selecionar se será usado contas de domínio ou contas do computador remoto para autenticação, essa configuração determina qual o protocolo de desafio/resposta utilizado.
Nessa tela é possível configurar se a comunicação com computadores que exigem o LAN Manager será permitida e se a comunicação com computadores que não suportam o NTLMv2 será permitida.
Essa tela apresenta um resumo das configurações de segurança, mostra as chaves de registro que serão alteradas, após verificar, clique em Avançar.
Aqui você pode definir o nível de auditoria em relação a alterações ou tentativas de alterações em arquivos de configuração ou do sistema, bem como o acesso a objetos do sistema e serviço de diretório. Lembrando que o processo de auditoria consome recursos do sistema. Clique em Avançar quando selecionar.
Revise as configurações de auditoria e clique em Avançar quando pronto.
Nessa tela você fornece um nome e local para a sua diretiva de segurança, que é salva com a extensão .Xml tem a possibilidade de exibir as configurações da diretiva resultante, e pode também incluir um modelo de segurança (arquivo .inf). Você pode aplicar pela linha de comando “Scwcmd”
ex: scwcmd register /kbname:MyACSPolicy /kbfile:%windir%\System32\Security\MyACSPolicy.xml
Clique em Avançar quando pronto.
Escolha se deseja aplicar a diretiva agora ou mais tarde. Após selecionar clique em Avançar.
Clique em Concluir para finalizar o Assistente
Após concluir o assistente, vamos agora converter a diretiva gerada pelo ACS em uma GPO. Para isso abra um prompt de comandos e navegue até a pasta onde salvou a diretiva, no meu caso salvei em C:\ACS. Digite o seguinte comando e tecle Enter.
Agora vamos verificar a GPO criada.
Bem, chegamos ao fim de mais um artigo(na verdade ficou um tutorial do ACS), espero poder ter ajudado em mais uma ferramenta do Windows Server 2008.
Um abraço e até o próximo artigo
[ ]’s

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s