Lista de Verificação de Segurança do Windows 2000 Server
Tópicos nesta página
Configuração do Windows 2000 Server
Lista de verificação dos detalhes de configuração do Windows 2000 Server
Esta lista de verificação define as ações que devem ser tomadas para aumentar a segurança de computadores que executam o Windows 2000 Server e que façam parte ou não de um domínio Windows NT, Windows 2000 ou Windows Server 2003. Estes passos são aplicados ao Windows 2000 Server e Windows 2000 Advanced Server.
Importante O propósito desta lista de verificação é oferecer instruções para a configuração de uma referência no nível de segurança de sistemas Windows 2000. Configurações de segurança podem ser configuradas e aplicadas a servidores locais através da Ferramenta de Diretiva de Segurança. Diretivas de segurança para um domínio podem ser criadas através da Ferramenta de Diretiva de Segurança e através de Diretivas de Grupos. Este guia fornece configurações recomendadas de segurança para o Windows 2000. Um guia passo a passo sobre configurações de diretivas corporativas de segurança utilizando a Ferramenta de Diretiva de Segurança pode ser encontrada no site do Technet.
Esta lista de verificação contém informações sobre a edição do registro. Antes de editar o registro, tenha a certeza de que você entendeu como proceder uma restauração se algum problema ocorrer. Para informações sobre como executar uma restauração, leia o tópico da Ajuda "Restaurando o registro" em Regedit.exe ou o tópico da Ajuda "Restaurando uma chave do registro" em Regedt32.exe.
Configuração do Windows 2000 Server
| Verifique se todas as partições estão formatadas com NTFS |
| Verifique se a conta Administrador possui uma senha forte |
| Desabilite serviços desnecessários |
| Desabilite ou apague contas desnecessárias |
| Proteja arquivos e diretórios |
| Tenha certeza de que a conta Convidado está desabilitada |
| Proteja o registro de acesso anônimo |
| Aplique listas de controle de acesso apropriadas no registro |
| Restrinja acesso às informações públicas do LSA (Local Security Authority, Autoridade de Segurança Local) |
| Defina diretivas de senhas fortes |
| Defina a diretiva de bloqueio de conta |
| Configure a conta Administrador |
| Revogue os direitos do usuário tratar (debug) programas |
| Remova todos os compartilhamentos de rede desnecessários |
| Defina listas de controle de acesso apropriados em todos os compartilhamentos de rede |
| Habilite a auditoria de eventos de segurança |
| Defina o log de avisos críticos |
| Instale um software antivírus e suas atualizações |
| Instale Service Packs e atualizações críticas |
| Automatize a implementação de correções (patches) |
| Faça uma varredura em sistemas usando o Baseline Security Analyzer |
| Configure itens adicionais de segurança |
| Instale o Service Pack mais recente |
| Instale as correções pós-SP mais recentes |
Lista de verificação dos detalhes de configuração do Windows 2000 Server
------------------------------------------------------------------------
Partições NTFS oferecem controle de acesso e proteções que não estão disponíveis em sistemas de arquivos FAT, FAT32 ou FAT32x. Certifique-se de que todas as partições no servidor estejam formatadas com NTFS. Se necessário, utilize o utilitário CONVERT para converter sem a perda de dados suas partições FAT para NTFS.
**Cuidado** Se você utilizar o utilitário CONVERT, será definido no controle de acesso da partição convertida permissão para Controle Total por Todos. Utilize o utilitário FIXACLS.EXE, presente no Windows NT Resource Kit para substituir estas permissões por outras mais seguras.
### Verifique se a conta Administrador possui uma senha forte
O Windows 2000 permite que as senhas tenham até 127 caracteres. Em geral, senhas maiores são mais difíceis de serem quebradas e senhas com vários tipos de caracteres (letras, números, marcas de pontuação e caracteres ASCII não imprimíveis gerados através da tecla ALT e 3 dígitos no teclado númerico) são mais fortes do que senhas com apenas caracteres alfanuméricos. Para proteção máxima, certifique-se de que a conta Administrador possua pelo menos nove caracteres e inclua pelo menos uma marca de pontuação ou um caracter ASCII não imprimível nos primeiros sete caracteres. Além disso, a conta Administrador não deverá ser sincronizada entre múltiplos servidores. Senhas diferentes podem ser utilizadas para aumentar o nível de segurança em grupos de trabalho ou em um domínio.
### Desabilite serviços desnecessários
Após instalar o Windows 2000 Server, você deve desabilitar todos os serviços de rede não necessários para o computador. Em particular, você deve considerar desabilitar os seguintes serviços se possível:
- Serviços (Internet Information Server) IIS: Serviço de Publicação do FTP, Serviço de Administração do IIS, Network News Transport Protocol (NNTP), Simple Mail Transport Protocol (SMTP) e o Serviço de Publicação do World Wide Web.
- Serviço Servidor. Desabilite-o se o servidor não for utilizado para compartilhamentos de arquivos e impressoras.
- Serviço SNMP. Desabilite-o se o monitoramento SNMP não for necessário.
Você também deve evitar instalar aplicações no servidor a menos que sejam absolutamente necessárias ao seu funcionamento. Por exemplo, não instale clientes de e-mail, ferramentas de produtividade ou utlitários que não sejam de uso necessário ao servidor.
Após instalar o Windows 2000 Server, você deve desabilitar todos os serviços que não forem necessários para função do servidor. Em particular, você deve considerar a necessidade real dos componentes do IIS e se precisa ou não executar o serviço Servidor, usado para compartilhar arquivos e impressoras.
### Desative ou apague contas desnecessárias
Você deve rever a lista de contas ativas (tanto para usuários como aplicações) do sistema no snap-in Gerenciamento do Computador e desativar as contas inativas, apagando contas que não forem mais necessárias.
### Proteger arquivos e pastas
Sistemas instalados na configuração padrão possuem um controle de acesso seguro por padrão no sistema de arquivos. Entretanto, atualizações a partir de versões anteriores (como Windows NT 4.0) não modificam as configurações anteriores de segurança e devem ter suas configurações corrigidas. Leia o documento em