Dando prosseguimento nas matérias sobre recursos técnicos do Windows 2000 ("Segredos do Windows 2000"), desta vez com o foco um pouco mais em segurança para redes baseadas em servidores Windows 2000. Está listada nesta matéria uma serie de ferramentas que irão auxiliar administradores de rede e web masters, bem como demais profissionais da área de suporte em redes.
Antes de tudo é importante manter em mente que o foco da segurança não é somente os Web Servers, mas a própria metodologia de administração de rede e até mesmo os procedimentos. O preço a pagar pela segurança da rede é eterno, diretamente proporcional ao grau de complexidade da mesma. Pensando desta forma, não basta se preocupar somente com porta de entrada da sua rede (web servers), mas sim com toda a infra-estrutura envolvida (roteadores, domain controllers, dns servers, etc).
Antes de falarmos sobre as ferramentas, é importante seguir a regra básica de segurança (criada por um monge chinês Tungstênio MCSE especialista em segurança e amigo meu): "Informação de todo mundo não deve ficar aonde todo mundo tem acesso". Isto significa que os servidores Web não devem ser Domain Controllers, mas sim Member Servers. Expor seu banco de dados de usuários na Internet não parece ser uma pratica saudável.
A primeira ferramenta visa comparar as configurações de segurança da maquina com um modelo de segurança pré-definido e aplicar caso necessário. Esta ferramenta chama-se Security Templates e Security Configuration and Analysis. Ambas são gratuitas e acompanham o produto Windows 2000.
Os security Templates são arquivos com a extensão.INF e ficam armazenadas na pasta C:\WINNT\SECURITY\TEMPLATES . Estes templates contem instruções de configuração de Registry para os seguintes valores:
- Account Policies: fornece parâmetros de configuração para contas, como por exemplo, política de senhas (histórico das senhas, tempo máximo da senha, mínimo de caracteres para senhas e complexidade de senhas) política de travamento de contas (tempo de duração de travamento da conta e quantidade de erros seguidos para travamento) e política para Kerberos (tempo de duração do Ticket e tempo de renovação do ticket).
- Local Policies: fornece parâmetros de configuração local, como por exemplo, política de auditoria (objetos que podem ser auditados , como logon, acesso a arquivos e pastas, etc), direitos de usuários (Logon local, logon como serviço, etc) e opções de segurança (nível para autenticação LAN manager, mensagem de aviso de logon, não mostrar ultimo usuário que efetuou logon na maquina, etc).
- EventLog: parâmetros de configuração para o event viewer (tamanho Maximo de log, total de dias para reter log, etc).
- Restricted Groups: neste parâmetro você é obrigado a definir a partir de um grupo especifico, QUEM é que pode pertencer a ele. Caso você defina apenas um único usuário e já existam outros usuários neste grupo, a política remove os demais, deixando apenas o usuário especificado na política. Caso ninguém seja definido explicitamente da regra da política, a mesma retiram do grupo todos os usuários. Esta opção é interessante para grupos que exijam segurança máxima para acesso a dados em pastas protegidas com permissão de grupos (exemplo: diretoria e gerencia). Desta forma, mesmo que os Administradores possam se incluir no grupo, a política definida remove os mesmos, deixando apenas os usuários explícitos na política.
- System Services: define parâmetros de inicialização para serviços (manual, disable ou automatic), bem como permissões de alteração.
- Registry: através desta regra, é possível definir permissões em chaves do Registry. Esta opção é extremamente útil, pois como toda Security Policy é possível aplicar estes parâmetros remotamente em um grupo especifico de maquinas (lembra daquele programa que você tem e que você precisa dar permissão naquela chave de registry, mas esta com preguiça de fazer porque são mais de 200 maquinas?).
- File System: esta regra é muito parecida com a regra de Registry. Aqui é possível dar permissão em diretórios. (mais uma vez você se lembrou daquelas permissões que você estava se perguntando como fazer em mais de 500 maquinas)
Continua na próxima página.
|
|
Mais seções