As Diretivas Locais de Seguranças nada mais são do que centenas de configurações de segurança, através das quais podemos configurar os mais variados itens de segurança do Windows 7.

As diretivas são diferentes das permissões de acesso (tais como permissões NTFS e permissões de compartilhamento, que vimos no Capítulo 7). As diretivas definem quais usuários podem executar quais ações no computador. Por exemplo, tem uma diretiva que define quais usuários poderão ter acesso ao drive de disquete do computador, outra que define quais usuários poderão acessar recursos compartilhados do computador, através da rede, quais usuários poderão fazer o logon e assim por diante. Existem também diretivas relacionadas as contas de usuários, as quais podem ser utilizadas, por exemplo, para definir um tamanho mínimo para a senha, o tempo de validade de uma senha e assim por diante. Nós inclusive já utilizamos estas diretivas de contas de usuário, no Capítulo 6, o qual faz parte do Volume 2, desta série de livros sobre o Windows 7.

Nota: Quanto eu cito “quais usuários”, estou querendo dizer “quais contas de usuários”.

Com o uso das diretivas de segurança local, podemos implementar, dentre outros, os seguintes controles e configurações de segurança:

• Quem pode acessar o seu computador através da rede.

• Quais usuários estão autorizados a usar seu computador, fazendo o logon localmente.

• Se as ações de um usuário ou grupo são registradas ou não no log de eventos.

• Quais eventos de segurança devem ser registrados nos Logs de Eventos.

• Quais usuários terão acesso ao drive de disquete e ao drive de CD.

Nota: Caso o computador faça parte de um domínio, baseado no Windows Server e no Active Directory, o computador receberá, diretamente dos servidores da rede, configurações das chamadas GPOs – Group Policy Objects. O uso de GPOs permite ao administrador da rede, manter de maneira centralizada, diversas configurações. Por exemplo, o Administrador da rede pode determinar que um determinado grupo de Usuários não deve ter acesso a opção Ferramentas administrativas do Painel de controle. O administrador poderá fazer estas configurações via GPO, centralizadamente nos servidores da rede e ter estas configurações aplicadas, automaticamente, em todas as estações de trabalho da rede. As configurações serão, automaticamente, aplicadas pela rede. Para uma descrição completa e vários exemplos do uso de GPOs, consulte o Capítulo 18 do livro: “Windows Server 2003 – Curso Completo, 1568 páginas”, de minha autoria, publicado pela Axcel Books:  https://juliobattisti.com.br/loja/detalheproduto.asp?CodigoLivro=CWIN000019

Diretivas Locais de Segurança – Conceito:

As diretivas locais de segurança fornecem opções para configurar centenas de tópicos de segurança do Windows 7. Por exemplo,  por padrão o usuário pode errar diversas vezes a senha, que a sua conta não será bloqueada. Com as diretivas locais de segurança, nós podemos definir que, por exemplo, se um usuário errar a senha três vezes, dentro de um período de meia hora, a sua conta deve ficar bloqueada até que um Administrador desbloqueie a conta ou deve ficar bloqueada por um período definido, digamos 24 horas. Nós vimos exemplos do uso deste tipo de diretiva no Capítulo 6, o qual faz parte do Volume 2 desta série de livros sobre o Windows 7, onde tratei sobre contas de usuários e grupos de usuários.

Com o uso de Diretiva Locais de Segurança, o administrador pode controlar, dezenas de configurações de segurança, tais como:

• Quem pode acessar o computador localmente.
• Quem pode acessar o computador através da rede.
• Se as ações de um usuário ou grupo são registradas ou não no log de eventos.

Importante: Se o computador faz parte de um domínio, em uma rede empresarial, ao ingressar em um domínio, o computador poderá receber diretivas de segurança dos servidores do domínio (as GPOs já citadas anteriormente) ou na diretiva de qualquer unidade organizacional da qual o computador faça parte. Se você estiver obtendo diretiva em mais de uma origem, quaisquer conflitos serão resolvidos nesta ordem de precedência, de cima para baixo:

• Diretiva da unidade organizacional
• Diretiva do domínio
• Diretiva do site
• Diretiva do computador local

Nota: Quando você modifica as configurações de segurança local do seu computador, usando o console Diretiva de segurança local, da opção Ferramentas administrativas do Painel de controle, você está modificando diretamente as configurações de seu computador. Portanto, as configurações entram em vigor imediatamente, mas isso pode ser apenas temporário. Na verdade, as configurações permanecerão em vigor no computador local até a próxima atualização das configurações de segurança das GPOs, carregadas a partir dos servidores do domínio (para o caso de computadores que fazem parte de um domínio baseado no Active Directory), momento em que as configurações de segurança que forem recebidas via GPOs, substituirão as configurações locais onde houver conflitos, conforme ordem de prioridade listada anteriormente. As configurações de segurança de um domínio são atualizadas, por padrão, a cada 90 minutos em uma estação de trabalho ou em um servidor e a cada 5 minutos em um controlador de domínio. As configurações também são atualizadas a cada 16 horas, mesmo que nenhuma alteração tenha sido feita. Se o seu computador não faz parte de uma grande rede, baseada no Active Directory, isso não irá ocorrer, ou seja, somente as diretivas de segurança local serão aplicadas.

Categorias de diretivas disponíveis:

Exemplo Prático: As diretivas locais de segurança são divididas em grupos/categorias. Para verificar os grupos categorias disponíveis, siga os passos indicados a seguir:

1.         Faça o logon como Administrador ou com uma conta com permissão de Administrador.

2.         Abra o Painel de controle. Na lista Exibir por selecione a opção Ícones pequenos.

3.         Abra a opção Ferramentas administrativas.

4.         Abra o console Diretiva de Segurança Local.

5.         Observe as categorias disponíveis, conforme exemplo indicado na Figura 18.1:

Figura 18.1 - O console Configurações locais de segurança.

A seguir vamos descrever as  diversas categorias disponíveis. Dentro de cata categoria, apresento a descrição das principais diretivas, descrição esta apresentada na Ajuda do Windows 7. Juntamente com a descrição contida na ajuda, adiciono comentários para esclarecer pontos que possam gerar dúvidas sobre a aplicação da respectiva diretiva.

Diretivas de conta:

Estas diretivas afetam o modo como as contas de usuário podem interagir com o computador ou o domínio. As diretivas de conta contêm dois subconjuntos:

1.         Diretiva de senha:

Usadas para contas de domínio ou de usuário local. Determina configurações para senhas, como aplicação e vida útil, tamanho mínimo da senha, etc.  Nesta categoria temos as seguintes diretivas:

1.1)      A senha deve satisfazer os requisitos de complexidade: Por padrão esta diretiva está desativada. Ela determina se as senhas devem satisfazer a requisitos de complexidade. Se esta diretiva for ativada, as senhas precisarão atender aos seguintes requisitos mínimos:

• Não conter todo ou parte do nome da conta do usuário
• Ter pelo menos seis caracteres de comprimento
• Conter caracteres de três das quatro categorias a seguir:
• Caracteres maiúsculos do inglês (A-Z)
• Caracteres minúsculos do inglês (a-z)
• 10 dígitos básicos (0-9)
• Caracteres não alfanuméricos (por exemplo, !, $, #, %)

Os requisitos de complexidade são impostos quando as senhas são criadas ou alteradas. O uso de requisitos de complexidade é recomendado em ambientes que necessitem de nível elevado de segurança, onde devam ser utilizadas senhas que sejam praticamente impossíveis de serem descobertas com o uso de programas de quebra de senhas, através da chamada técnica de força bruta (ou o popular tentativa e erro).

1.2)      Aplicar histórico de senhas: Determina o número de senhas novas e exclusivas que precisam ser associadas a uma conta de usuário antes que uma senha antiga possa ser reutilizada. O valor deve estar entre 0 e 24 senhas.  Esta diretiva permite que os administradores aprimorem a segurança garantido que as senhas antigas não sejam reutilizadas continuamente. Por exemplo, se o valor desta diretiva estiver definido em 3, ao trocar a senha, o usuário não poderá utilizar uma senha igual as três últimas senhas utilizadas. Para que esta diretiva tenha eficácia, ela deve ser combinada com a diretiva duração mínima da senha (descrita logo a seguir), pois senão o usuário pode trocar a senha várias vezes no mesmo dia, até que ele possa voltar a utilizar a senha antiga, ou seja, o usuário poderia utilizar sempre a mesma senha.

1.3)      Armazena senhas usando criptografia reversível: Determina se o Windows 2000 Server, o Windows 2000 Professional,  o Windows XP Professional, o Windows Vista, o Windows Server 2008, o Windows Server 2012 ou o Windows 7 armazenam senhas usando criptografia reversível. Esta diretiva oferece suporte a aplicativos que usam protocolos que exigem o conhecimento da senha do usuário para fins de autenticação. Armazenar senhas usando criptografia reversível é basicamente o mesmo que armazenar versões das senhas em texto sem formatação. Por esse motivo, a diretiva jamais deve ser ativada, a menos que os requisitos de um aplicativo que você usa sejam mais importantes que a necessidade de proteger as informações sobre a senha. Se esta diretiva for ativada, um usuário com um programa de captura de pacotes na rede, poderá capturar informações sobre a senha dos usuários. Por padrão esta diretiva está desativada. Esta diretiva só deve ser ativada se você utiliza um ou mais programas, os quais precisam ter esta diretiva ativada, para poderem funcionar. Mesmo nestes casos, você deve pensar em substituir os programas que dependam desta diretiva por outros ou por versões mais novas dos programas, de tal maneira que esta diretiva possa ser desativada. Esta é uma questão importante de segurança e deve ser considerada.

1.4)      Comprimento mínimo da senha: Determina o número mínimo de caracteres que uma senha de uma conta de usuário pode conter. Você pode definir um valor entre 1 e 14 caracteres, ou pode estabelecer que não é necessário senha definindo o número de caracteres como 0, neste caso o usuário poderá deixar a senha em branco. Não é uma boa ideia permitir senhas em branco. No exemplo prático do próximo item, vamos alterar esta diretiva. Um valor sugerido é usar um tamanho mínimo de oito caracteres. Usando um tamanho mínimo de oito caracteres, em conjunto com os requisitos de complexidade, descritos anteriormente, é possível criar senhas seguras, que dificilmente poderão ser “descobertas” por programas de quebra de senhas.

1.5)      Tempo de vida máximo da senha: Determina o período de tempo (em dias) durante o qual uma senha pode ser utilizada antes que o sistema solicite ao usuário que a senha seja alterada. Você pode definir que senhas expirem após um número de dias entre 1 e 999, ou pode especificar que elas jamais expirem definindo o número de dias como 0. Zero é a configuração padrão. Os valores normalmente adotados ficam entre 30 e 45 dias, ou seja, após este período quando o usuário fizer o logon, será solicitado que ele troque a senha.

1.6)      Tempo de vida mínimo da senha: Determina o período de tempo (em dias) que uma senha deve ser utilizada antes que o usuário possa alterá-la. Você pode definir um valor entre 1 e 999 dias, ou pode permitir alterações imediatas definindo o número de dias como 0. A duração mínima da senha deve ser inferior à Duração máxima da senha. Esta diretiva que deve ser utilizada em conjunto com a diretiva Aplicar histórico de senhas, conforme explicado anteriormente.  Configure a duração mínima da senha para ser superior a 0 se você desejar que a diretiva Aplicar histórico de senhas tenha efeito prático. Sem uma duração mínima da senha, os usuários podem alterar a senha repetidas vezes, no mesmo dia, até chegarem a uma senha antiga de sua preferência.

2.         Diretiva de bloqueio de conta: Esta seção apresenta diretivas que determinam se uma conta será ou não bloqueada, se o usuário errar a senha um determinado número de vezes, dentro de um determinado período de tempo.  Nesta categoria temos as seguintes diretivas:

2.1)      Duração do bloqueio de conta: Determina quantos minutos uma conta permanece bloqueada antes de ser automaticamente desbloqueada. O intervalo disponível é de 1 a 99.999 minutos. É possível especificar que a conta fique bloqueada até um administrador desbloqueá-la explicitamente definindo o valor desta diretiva como 0. Caso seja definido um limite de bloqueio de conta, a sua duração deverá ser superior ou igual ao tempo de redefinição. Por padrão esta diretiva não é definida e ela só tem sentido quando um Limite de bloqueio de conta (explicada a seguir) é especificado.

2.2)      Limite de bloqueio de conta: Determina o número de tentativas de logon com falha, dentro de um determinado período, que causa o bloqueio da conta do usuário. Uma conta bloqueada não pode ser usada até ser desbloqueada por um administrador ou até o período de bloqueio da conta expirar. Você pode definir um valor de tentativas de logon com falha entre 1 e 999, ou especificar que a conta jamais seja bloqueada definindo o valor como 0. O valor normalmente utilizado é 3, ou seja, após três tentativas de logon sem sucesso, dentro de um determinado período de tempo (definido pela diretiva Zerar contador de bloqueios de conta após, explicada logo a seguir) a conta será bloqueada. Por padrão esta diretiva está desativada.

2.3)      Zerar contador de bloqueios de conta após: Determina quantos minutos devem decorrer entre uma tentativa de logon com falha e a redefinição do contador dessa tentativa como 0 tentativas de logon inválidas. O intervalo disponível é de 1 a 99.999 minutos. Caso seja definido um limite de bloqueio de conta, o tempo de redefinição deverá ser inferior ou igual à Duração do bloqueio de conta. Por padrão esta diretiva não é definida Essa configuração de diretiva só tem sentido quando um Limite de bloqueio de conta é especificado.

Diretivas locais:

As diretivas deste grupo afetam uma série de configurações do computador. Através desta categoria temos opção para configurar os logs de auditoria do Windows 7 (para mais detalhes sobre os logs de auditoria, consulte o Capítulo 11, o qual faz parte do Volume 3, desta série de livros sobre o Windows 7), temos opções para configurar os chamados direitos dos usuários, tais como quem pode fazer o logon, quem pode usar o drive de disquete e assim por diante e também temos opções avançadas de segurança, tais como se a conta Administrador pode ou não ser renomeada, se é permitido o acesso remoto à Registry do computador e assim por diante. As diretivas locais contêm três subconjuntos:

1.         Diretiva de Auditoria:

As diretivas deste grupo definem configurações que estão relacionados aos logs do Windows 7, tais como os logs de Aplicativo, Segurança e Sistema. Com estas diretivas é possível configurar opções tais como: tamanho máximo do log, direitos de acesso a cada log, configurações e métodos de retenção dos eventos nos logs e assim por diante. O log do aplicativo registra eventos gerados por programas; o log de segurança registra eventos de segurança, inclusive tentativas de logon com ou sem sucesso, acesso a objetos (pastas, impressoras, etc.) e alterações em segurança, dependendo do que é auditado; e o log do sistema registra eventos de sistema operacional.

Nesta categoria temos as seguintes diretivas:

1.1)      Acesso ao servidor de diretório de auditoria: Esta tradução supera, em ruindade, todas as demais que eu já vi na Ajuda do Windows. Esta é uma configuração de segurança que determina a necessidade ou não de auditar o evento de um usuário acessando um objeto do Active Directory que tenha sua própria lista de controle de acesso do sistema (SACL) especificada. Por padrão, esse valor é definido como Sem auditoria no objeto de Diretiva de Grupo (GPO) Controlador de Domínio Padrão e permanece indefinido em estações de trabalho e servidores nos quais não tem significado. Se você definir essa configuração de diretiva, poderá especificar se deseja auditar êxitos, falhas ou nenhum tipo de evento. As auditorias de êxitos geram uma entrada de auditoria quando um usuário acessa com êxito um objeto do Active Directory que tem uma SACL especificada. As auditorias de falhas geram uma entrada de auditoria quando um usuário tenta sem êxito acessar um objeto do Active Directory que tem uma SACL especificada. Para definir esse valor como Sem auditoria, na caixa de diálogo Propriedades dessa configuração de diretiva, marque a caixa de seleção Definir estas configurações de diretivas e desmarque as caixas de seleção Êxito e Falha. Esta diretiva é mais utilizada em redes com um domínio baseado no Active Directory. Não tem aplicações práticas para um computador que não faz parte de um domínio.

1.2)      Auditoria de acesso a objetos: Configuração de segurança que determina a necessidade ou não de auditar eventos de acesso a objetos (arquivos, pastas, chave do Registro, impressoras etc.). Caso você queira fazer o registro dos acessos a uma pasta ou impressora compartilhada, o primeiro passo será habilitar esta diretiva. Depois você terá que configurar nas propriedades do recurso a ser auditado, quais usuários ou grupos você quer monitorar, conforme descrevi em detalhes no Capítulo 11 e no Capítulo 7. Se você definir essa configuração de diretiva, poderá especificar se deseja auditar êxitos, falhas ou nenhum evento. As auditorias de êxitos geram uma entrada de auditoria quando um usuário acessa com êxito um objeto que tem especificada uma SACL apropriada. As auditorias de falhas geram uma entrada de auditoria quando um usuário tenta sem êxito acessar um objeto que tem uma SACL especificada. Padrão: Sem auditoria.

1.3)      Auditoria de acompanhamento de processos: A configuração desta diretiva determina a necessidade ou não de auditar informações detalhadas de controle de eventos, como ativação de um programa, saída de processo, duplicação e acesso indireto a objetos. Se você definir essa configuração de diretiva, poderá especificar se irá auditar êxitos, falhas ou nenhum tipo de evento. As auditorias de êxitos geram uma entrada de auditoria quando o processo que está sendo controlado é bem-sucedido. As auditorias de falhas geram uma entrada de auditoria quando o processo que está sendo controlado falha. Padrão: Sem auditoria

1.4) Auditoria de alteração de diretivas: Este diretiva deve ser habilitada quando o Administrador quer que seja registrado no log de eventos, alterações que sejam feitas nas diretivas de atribuição de direitos, diretivas de auditoria ou diretivas de confiança de um usuário. É uma maneira do Administrador acompanhar quais usuários estão tentando alterar quais diretivas. Em ambientes de alta segurança esta diretiva pode ser de grande utilidade para ajudar a identificar usuários que estejam tentando alterar configurações de segurança, para tornar o computador mais vulnerável a ataques e a instalação de programas não autorizados. Se você definir essa configuração de diretiva, poderá especificar se irá auditar êxitos, falhas ou nenhum tipo de evento.

1.5) Auditoria de eventos de sistema: Esta diretiva é usada para determinar a necessidade ou não de um usuário reiniciar ou desligar o computador quando ocorrer um evento que afete a segurança do sistema ou o log de segurança.

1.6) Auditoria de uso de privilégios: Esta diretiva pode ser habilitada caso seja necessário auditar cada instância de um usuário exercendo seu direito. Por exemplo, Alterar o fuso horário do computador é um direito que pode ser restringido para somente um determinado grupo de usuários. Você pode habilitar esta diretiva, para que seja gravado um evento no log de eventos de segurança, sempre que um usuário usar um determinado direito, tal como alterar o fuso horário. Se esta diretiva for habilitada você poderá acompanhar, de perto, quais usuários estão utilizando quais direitos a eles atribuídos. E também é possível habilitar que seja gerado um evento tanto para sucesso quanto para falha, ou só para sucesso ou só para falha. Por exemplo, você pode querer acompanhar somente usuários que estão tentando utilizar direitos os quais não são permitidos para o respectivo usuário. Por exemplo, um usuário pode tentar alterar o fuso horário sem ter este direito. Neste caso, será gerada uma mensagem de Falta de Privilégios. Você pode configurar esta diretiva para auditar somente evento de falhas, para poder acompanhar quais usuários estão tentando utilizar direitos que eles não possuem. Padrão: Sem auditoria.

Nota: Não são geradas auditorias de uso dos direitos a seguir, mesmo que sejam especificadas auditorias de êxitos ou falhas em Auditoria de uso de privilégios. Habilitar auditoria desses direitos do usuário costuma gerar muitos eventos no log de segurança, o que pode prejudicar o desempenho do computador. Para auditar os seguintes direitos de usuário, você terá que editar a Registry do Windows 7 manualmente, para habilitar a chave FullPrivilegeAuditing:

• Ignorar a verificação completa
• Depurar programas
• Criar um objeto token
• Substituir um token no nível de processo
• Gerar auditorias de segurança
• Fazer backup de arquivos e diretórios
• Restaurar arquivos e diretórios

Nota: A chave FullPrivilegeAuditing, fica no seguinte caminho:

HKEY_LOCAL_MACHINE\
 SOFTWARE\
  Microsoft\
   WindowsNT\
    CurrentVersion\
     SeCEdit\
      RegValues\
       MACHINE/System/CurrentControlSet/Control/Lsa/FullPrivilegeAuditing

1.7) Auditoria de Eventos de logon: Esta diretiva é utilizada para habilitar ou não a auditoria de eventos de logon. Você pode definir que seja gravado um evento no log de segurança sempre que um usuário fizer o logon com sucesso, sempre que houver falha no logon ou em ambos os casos. O mais comum é habilitar a auditoria para falhas de logon, para tentar detectar usuários que estão tentando fazer o logon e estão falhando, normalmente por informar a senha incorreta. Pode ser até o caso de alguém tentando fazer o logon com a conta de outro usuário. Caso você necessite ter o acompanhamento de todos os eventos de logon, inclusive os com sucesso, você pode habilitar esta diretiva para Sucesso e Falha. Os eventos de logon da conta são gerados em controladores de domínio para atividades de conta de domínio e em computadores locais para atividades de conta local. Se ambas as categorias de diretiva de logon de conta e logon de auditoria estiverem habilitadas, os logons que usarem uma conta de domínio gerarão um evento de logon ou logoff na estação de trabalho ou no servidor e um evento de logon de conta no controlador de domínio. Além disso, logons interativos em um servidor ou estação de trabalho membro do domínio, que use uma conta de domínio gerarão um evento de logon no controlador de domínio, pois scripts e diretivas de logon são recuperados quando um usuário faz logon.  Padrão: Êxito.

1.8) Auditoria de eventos de logon de conta: Configuração de segurança que determina a necessidade ou não de auditar cada instância de logon ou logoff de um usuário em outro computador no qual este computador é usado para validar a conta. Eventos de logon de conta são gerados quando uma conta de usuário de domínio é autenticada em um controlador de domínio. O evento é registrado no log de segurança do controlador de domínio. Eventos de logon são gerados quando um usuário local é autenticado em um computador local. O evento é registrado no log de segurança local. Os eventos de logoff da conta não são gerados. Esta é uma diretiva que se aplica mais a redes baseadas em um domínio com o Active Directory instalado. Padrão: Êxito.

1.9) Auditoria de gerenciamento de contas: Configuração de segurança que determina a necessidade ou não de auditar cada evento de gerenciamento de contas de um computador. Exemplos de eventos de gerenciamento de contas incluem: Uma conta de usuário ou grupo é criada, alterada ou excluída; Uma conta de usuário é renomeada, desabilitada ou habilitada; Uma senha é definida ou alterada. Se você definir essa configuração de diretiva, poderá especificar se deseja auditar êxitos, falhas ou nenhum tipo de evento. As auditorias de êxitos geram uma entrada de auditoria quando qualquer evento de gerenciamento de contas é bem-sucedido. As auditorias de falhas geram uma entrada de auditoria quando qualquer evento de gerenciamento de contas falha. as de seleção Êxito e Falha. Padrão: Êxito em controladores de domínio e Sem auditoria em servidores membros.

2.         Atribuições de direitos de usuários:

Um “direito de usuário” é uma ação que o usuário pode ou não executar. Por exemplo, fazer o logon no computador localmente, acessar o computador pela rede, Alterar a hora do sistema, Alterar o fuso-horário do sistema, acessar o drive de disquete, acessar o drive de CD-ROM ou DVD e assim por diante. Através deste grupo de diretivas é possível configurar dezenas de direitos. Por exemplo, posso definir que somente os membros do grupo Administradores, terão o direito de alterar a hora do computador. Como este grupo contém um grande número de diretivas, não vou descrever todas. Apresentarei a descrição somente das diretivas mais utilizadas. Você encontra a descrição completa, de todas as diretivas, diretamente na janela de cada diretiva. Dê um clique duplo na diretiva desejada e, na janela que é exibida, dê um clique na guia Explicar.

Nota: Tem algumas diretivas que não tem a guia Explicar. Não sei se é uma falha na documentação do Windows 7 ou se são diretivas para as quais não tem uso prático ou algo parecido. Sempre que eu fico em dúvidas sobre uma determinada diretiva eu me socorro no bom e velho Google. Muitas vezes eu encontra um artigo ou algum fórum, com explicações sobre a diretiva.

Principais diretivas desta categoria:

2.1)      Acesso a este computador pela rede: É utilizada para determinar quais usuários e grupos têm permissão para se conectar ao computador através rede. Por exemplo, para acessar uma pasta compartilhada ou em uma impressora compartilhada em um computador, o usuário precisa ter este direito.

Por padrão os seguintes usuários e grupos tem esta permissão:

Em estações de trabalho e servidores:

• Administradores
• Operadores de cópia
• Usuários
• Todos

Em controladores de domínio:

• Administradores
• Usuários autenticados
• Controladores de Domínio da Empresa
• Todos

2.2)      Adicionar estações de trabalho ao domínio: Determina quais grupos ou usuários podem adicionar estações de trabalho a um domínio baseado no Active Directory. Esta diretiva é válida somente em controladores de domínio. Por padrão, qualquer usuário autenticado tem esse direito e pode criar até 10 contas de computador no domínio. Ao adicionar uma conta de computador ao domínio, o computador poderá participar de uma rede baseada no Active Directory. Por exemplo, adicionar uma estação de trabalho a um domínio permite que a estação de trabalho reconheça contas e grupos existentes no Active Directory. Os usuários com a permissão Criar objetos de computador no recipiente de computadores do Active Directory também podem criar contas de computador no domínio. A diferença é que os usuários com permissões no recipiente não estão restritos à criação de apenas 10 contas de computador. Além disso, as contas de computador criadas através da diretiva "Adicionar estações de trabalho ao domínio" têm os administradores do domínio como o proprietário da conta do computador, enquanto as contas de computador criadas por meio de permissões no recipiente dos computadores têm o criador como proprietário. Se um usuário tiver permissões no recipiente e também tiver o direito de usuário da diretiva "Adicionar estações de trabalho ao domínio", o computador será adicionado com base nas permissões de recipiente de computador e não no direito do usuário.

2.3) Alterar a hora do sistema: Determina quais usuários e grupos podem alterar a data e a hora no relógio interno do computador. Os usuários que têm esse direito atribuído podem afetar a aparência dos logs de eventos. Se a data e a hora do sistema forem alteradas, os eventos registrados refletirão essa data e hora novas e não aquelas em que os eventos realmente ocorreram. Esse direito do usuário é definido no objeto de Diretiva de Grupo Controlador de Domínio Padrão e na diretiva de segurança local de estações de trabalho e servidores.

Em estações de trabalho e servidores, este direito é atribuído aos seguintes grupos:

• Administradores
• Serviço Local

Em controladores de domínio este direito é atribuído aos seguintes grupos:

• Administradores
• Operadores de Servidor
• Serviço Local

2.4) Apropriar-se de arquivos ou de outros objetos: Esta diretiva determina quais usuários podem se apropriar de qualquer objeto protegido por uma lista de acesso, incluindo objetos do Active Directory, arquivos e pastas, impressoras, chaves do Registro, processos e threads. Este direito deve ser atribuído com muito cuidado, pois como os proprietários dos objetos têm controle total sobre eles, atribua esse direito somente a usuários confiáveis. Ou seja, o usuário que tiver este direito, poderá tornar-se dono de qualquer recurso do computador e dar permissões totais para si mesmo. O exemplo mais conhecido é dar um Take Ownership em pastas e arquivos, conforme descrito no Capítulo 7. Por padrão somente o grupo Administradores tem este direito.

2.5) Criar Links Simbólicos: Os links simbólicos, conforme descrito no Capítulo 17, são uma das novidades do Windows 7. Esta diretiva, determina quais usuários podem criar links simbólicos. Padrão: Somente para a conta Administrador. Esse privilégio só deve ser concedido a usuários extremamente confiáveis e conhecidos. Os links simbólicos podem expor vulnerabilidades de segurança em aplicativos que não são projetados para lidar com eles. Essa configuração pode ser usada com uma configuração de sistema de arquivos de links simbólicos que pode ser manipulada com o utilitário de linha de comando para controlar os tipos de links simbólicos permitidos no computador. Use o comando "fsutil behavior set symlinkevalution /?" para obter mais informações sobre fsutil e links simbólicos.

2.6)      Desligar o sistema: Esta diretiva determina quais usuários com logon local no computador podem desligar o sistema operacional usando o comando Desligar. Esta diretiva tem as seguintes configurações, por padrão:

Estações de trabalho e servidores:

• Administradores
• Operadores de Backup
• Usuários

Controladores de domínio:

• Operadores de Contas
• Administradores
• Operadores de Backup
• Operadores de Servidores
• Operadores de Impressão

2.7)      Fazer backup de arquivos e pastas: Determina quais usuários podem ignorar as permissões de arquivo e pasta com a finalidade de fazer backup do sistema. Esta diretiva deve ser atribuída a conta configurada para executar as tarefas de backup. Se esta conta não tiver a permissão “Fazer backup de arquivos e pastas”, não será possível fazer o backup de pastas e arquivos para as quais a conta não tenha as devidas permissões NTFS. É muito mais seguro dar esta permissão para a conta responsável pela execução do Backup, do que atribuir permissões NTFS em todas as pastas e arquivos que farão parte do backup.

Especificamente, esse privilégio é semelhante a conceder ao usuário ou grupo em questão as permissões a seguir sobre todos os arquivos e pastas no sistema (somente em termos de Backup, não em termos de ter acesso a todas as pastas no sistema):

• Desviar Pasta/Executar Arquivo
• Listar Pasta/Ler Dados
• Ler Atributos
• Ler Atributos Estendidos
• Permissões de Leitura

Padrão em estações de trabalho e servidores:

• Administradores
• Operadores de Backup

Padrão em controladores de domínio:

• Administradores
• Operadores de Backup
• Operadores de Servidores

2.8)      Negar acesso a este computador pela rede: Determina quais usuários são impedidos de acessar o computador pela rede. Esta diretiva prevalecerá sobre a configuração de diretiva Acesso a este computador pela rede se uma conta de usuário estiver sujeita às duas diretivas. O acesso pode ser negado para usuários ou grupos. Se o acesso for negado para um grupo, todos os membros do grupo terão o acesso negado.

2.9)      Negar logon local: Determina quais usuários são impedidos de fazer logon no computador. Esta diretiva prevalecerá sobre a configuração de diretiva Fazer logon local se uma conta estiver sujeita às duas diretivas. O acesso pode ser negado para usuários ou grupos. Se o acesso for negado para um grupo, todos os membros do grupo terão o acesso negado.

2.10)    Permitir Logon Local: Determina quais usuários podem fazer logon no computador. Esta diretiva tem as seguintes configurações, por padrão:

Em estações de trabalho e servidores:

• Administradores
• Operadores de cópia
• Usuários

Em controladores de domínio:

• Administradores
• Operadores de Backup
• Operadores de impressão
• Operadores de Servidores

2.11)    Gerenciar a auditoria e o log de segurança: Esta diretiva determina quais usuários podem especificar opções de auditoria de acesso a objetos para recursos individuais, como arquivos, impressoras, objetos do Active Directory e chaves da Registry. Esta diretiva não permite que um usuário ative a auditoria de acesso a objetos e arquivos de um modo geral. Para que esse tipo de auditoria seja ativado, a configuração de Auditoria de acesso a objetos em Configuração do computador\Configurações do Windows\Configurações de segurança\Diretivas locais\Diretivas de auditoria precisa estar definida. Você pode exibir os eventos em que ocorreu auditoria no log de segurança do console Visualizar eventos. Um usuário com esse privilégio também pode exibir e limpar o log de segurança. Por padrão este direito somente é atribuído ao grupo Administradores.

2.12)    Restaurar arquivos e pastas: Esta diretiva determina quais usuários podem ignorar permissões de acesso a arquivos e pastas (permissões NTFS, conforme descrito no Capítulo 7) ao restaurar arquivos e pastas usando o utilitário de backup do Windows 7. Além disso, determina quais usuários podem definir qualquer objeto de segurança válido como o proprietário de um objeto. Esta diretiva tem as seguintes configurações, por padrão:

Estações de trabalho e servidores:

• Administradores
• Operadores de cópia

Controladores de domínio:

• Administradores
• Operadores de cópia
• Operadores de servidores

3. Opções de segurança:

Este grupo contém uma série de diretivas que podem ser utilizadas para tornar o Windows 7 ainda mais seguro. Por exemplo, você pode usar a diretiva “Contas: Status da conta de administrador”, para determinar se a conta Administrador estará ativada ou desativada durante a operação normal. Na inicialização no modo de segurança, a conta Administrador estará sempre ativada, independentemente da configuração deste diretiva. A seguir apresenta a descrição das principais diretivas deste grupo.

Principais diretivas desta categoria:

3.1)      Contas: status de conta de administrador: Determina se a conta Administrador estará ativada ou desativada durante a operação normal. Na inicialização no modo de segurança, a conta Administrador estará sempre ativada, independentemente da configuração desta diretiva. O padrão é: Ativado. Se você tentar ativar novamente a conta Administrador após ela ter sido desativada e a senha de administrador atual não atender aos requisitos de senha, você não conseguirá ativar novamente a conta. Nesse caso, um outro membro do grupo Administradores precisará definir a senha da conta Administrador usando o console de Administração de Usuários e grupos locais, descrito no Capítulo 6. 

3.2)      Contas: status de conta de convidado: Determina se a conta Convidado estará ativada ou desativada. O padrão é: Desabilitada. Se a conta Convidado estiver desativada e a opção de segurança "Acesso à rede: Compartilhamento e modelo de segurança para contas locais" estiver definida como "Somente convidado", os logons de rede, como os executados pelo servidor de rede Microsoft (serviço SMB para compartilhamento de pastas e arquivos), falharão.

3.3)      Contas: renomear conta do administrador: Determina se um nome de conta diferente poderá ser associado ao identificador de segurança (SID) da conta "Administrador". Como é notória a existência da conta Administrador em todos os computadores com o Windows 2000 Server, Windows 2000 Professional e Server, Windows XP, Windows Server 2003, Windows Server 2008, Windows Server 2012, Windows 7 e Windows 8, renomear a conta torna um pouco mais difícil para usuários não autorizados, tentarem adivinhar a combinação de senha e nome, pois além da senha, terão também que “adivinhar”, qual o novo nome da conta Administrador.

3.4)      Contas: renomear conta do convidado: Determina se um nome de conta diferente poderá ser associado ao identificador de segurança (SID) da conta "Convidado". Como é notória a existência da conta Convidado em todos os computadores com o com o Windows 2000 Server, Windows 2000 Professional e Server, Windows XP, Windows Server 2003, Windows Server 2008, Windows Server 2012, Windows 7 e Windows 8, renomear a conta torna um pouco mais difícil para usuários não autorizados, tentarem adivinhar essa combinação de nome de usuário e senha.

3.5)      Dispositivos: evita que usuários instalem drivers de impressora: Para um computador imprimir em uma impressora de rede, é necessário que o driver dessa impressora esteja instalado no computador local. Esta configuração de segurança determina quem tem permissão para instalar um driver de impressora como parte do processo de adição de uma impressora de rede. Se essa configuração estiver ativada, somente Administradores e Usuários avançados poderão instalar um driver de impressora como parte desse processo de adição de impressora de rede. Se ela estiver desativada, qualquer usuário poderá instalar um driver de impressora como parte desse processo. A configuração pode ser usada para impedir que usuários sem privilégios façam download e instalem um driver de impressora não confiável.

Se um administrador tiver configurado um caminho confiável para o download de drivers, essa configuração não terá impacto. Quando caminhos confiáveis são usados, o subsistema de impressão tenta usar o caminho confiável para o download do driver, independentemente das configurações desta diretiva. Se o download de caminho confiável tiver êxito, o driver será instalado em nome de qualquer usuário. Se o download de caminho confiável falhar, o driver não será instalado e a impressora de rede não poderá ser instalada.

Se a configuração estiver ativada, mas o driver de uma impressora de rede já existir na máquina local, os usuários poderão ainda assim adicionar a impressora de rede. Esta configuração não afeta a capacidade de adicionar uma impressora local.

3.6)      Dispositivos: restringir o acesso ao CD ROM apenas aos usuários com logon local: Determina se o drive de CD-ROM está acessível a usuários locais e remotos simultaneamente. Se esta diretiva estiver ativada, permitirá que somente o usuário que tenha feito um logon localmente no computador, tenha acesso a mídia de CD-ROM removível. Se a diretiva estiver ativada e não houver usuário com logon interativo, o CD-ROM poderá ser acessado pela rede. O padrão é: Desativado.

3.7)      Dispositivos: restringir acesso ao disquete apenas aos usuários com logon local: Determina se a mídia de disquete removível estará disponível para usuários locais e remotos simultaneamente. Se esta diretiva estiver ativada, permitirá que somente o usuário com logon local tenha acesso à mídia de disquete removível. Se a diretiva estiver ativada e não houver usuário com logon interativo, o disquete poderá ser acessado pela rede. O padrão é: Desativado.

3.8)      Logon interativo: não exibir o último nome do usuário: Determina se o nome do último usuário a fazer logon no computador será exibido na tela de logon do Windows. Se esta diretiva estiver ativada, o nome do último usuário a fazer logon com êxito não será exibido na caixa de diálogo Logon no Windows. Se a diretiva estiver desativada, o nome do último usuário a fazer logon será exibido. O padrão é: Desativado. Inicialmente cabe salientar que esta diretiva só tem efeito quando é exibida a caixa tradicional de logon, a qual o usuário tem acesso pressionando Ctrl+Alt+Del. Esta caixa é exibida quando o computador faz parte de um domínio baseado no Active Directory, conforme descreverei, em detalhes, no Capítulo 19.

3.9)      Logon interativo: não exigir Ctrl+Alt+Del: Determina se um usuário precisará pressionar CTRL+ALT+DEL para fazer logon. Se esta diretiva estiver ativada em um computador, o usuário não será obrigado a pressionar CTRL+ALT+DEL para fazer logon. Sem o pressionamento das teclas CTRL+ALT+DEL , o usuário ficará suscetível a ataques que tentam interceptar suas senhas, tais como programas que tentam detectar o que o usuário digita no teclado (Keyloggers). A obrigatoriedade do uso dessas teclas antes do logon dos usuários garante a comunicação por meios confiáveis e seguros quando eles digitam suas senhas. Se essa diretiva estiver desativada, qualquer usuário será obrigado a pressionar CTRL+ALT+DEL para fazer logon no Windows (a não ser que esteja usando um cartão inteligente para logon do Windows). Por padrão é: Desativado em estações de trabalho e servidores contidos em um domínio e Ativado em estações de trabalho autônomas.

3.10) Logon interativo: texto de mensagem para usuários tentando fazer logon: Especifica uma mensagem de texto que será exibida para os usuários quando eles fizerem logon. Esse texto muitas vezes é usado por razões legais, por exemplo, para notificar os usuários sobre as implicações da utilização incorreta de informações da empresa ou para avisá-los de que é possível que seja feita auditoria de suas ações.

Padrão: Nenhuma mensagem.

Importante: A partir do Windows XP Professional, existe suporte à configuração de textos de logon que podem exceder 512 caracteres de comprimento e também podem conter sequencias de retorno de carro e avanço de linha. No entanto, clientes Windows 2000 não podem interpretar e exibir texto de mensagem criado por computadores com o Windows XP Professional ou com o Windows 7. É necessário usar um computador com o Windows 2000 para criar uma diretiva de mensagem de logon que se aplique a computadores com o Windows 2000. Se você por engano criar uma diretiva de mensagem de logon usando um computador com o Windows XP Professional ou com o Windows 7 e descobrir que a mensagem não é exibida corretamente em computadores com o Windows 2000, siga os passos indicados a seguir:

• Cancele a definição da configuração.
• Defina novamente a configuração usando um computador com o Windows 2000.

Apenas alterar uma diretiva de mensagem de logon definida no Windows XP Professional ou no Windows 7, usando um computador com o Windows 2000 não funciona. É necessário primeiro cancelar a configuração.

3.11)    Logon interativo: título da mensagem para usuários tentando fazer logon: Permite a especificação de um título que é exibido na barra de título da janela que contém o Logon interativo. O padrão é: Nenhuma mensagem.

3.12)    Logon interativo: número de logons anteriores para colocar em cache (caso o controlador de domínio não esteja disponível): Determina o número de vezes que um usuário pode fazer logon em um domínio do Windows usando informações da sua conta de usuário, armazenadas no cache local do computador. As informações de logon para contas de domínio podem ser armazenadas no cache localmente para que, caso um controlador de domínio não possa ser contatado para logons subsequentes, um usuário que já fez o logon anteriormente, ainda assim possa fazer logon. Essa configuração determina o número de senhas do usuário que serão armazenadas no cache localmente. Por exemplo as duas últimas senhas, ou as três últimas e assim por diante.

Se um controlador de domínio não estiver disponível e as informações de logon de um usuário estiverem armazenadas no cache, será exibida a seguinte mensagem de aviso ao usuário:

Não foi possível conectar-se a um servidor para confirmar suas configurações de logon. O logon foi feito com as informações da conta previamente armazenadas. Se você tiver alterado as informações da conta desde a última vez em que fez logon neste computador, as alterações não se refletirão nesta sessão..

Se não houver um controlador de domínio disponível e as informação de logon de um usuário não estiverem armazenadas no cache, esta mensagem de aviso será exibida ao usuário:

O sistema não pode fazer logon porque o domínio <NOME_DO_DOMÍNIO> não está disponível.

O padrão para este diretiva é: 10.

Definir esse valor como 0 desativa o armazenamento de informações de logon no cache.

O valor máximo para essa configuração é 50.

3.13)    Logon interativo: pedir que o usuário altere a senha antes que ela expire: Determina com quanto tempo de antecedência (em dias) os usuários serão avisados de que sua senha está prestes a expirar. Com esse aviso antecipado, o usuário tem tempo para criar uma senha que seja suficientemente segura, respeitando as políticas de segurança definidas no computador, tais como o número mínimo de caracteres e a imposição de critérios de complexidade para a senha. O padrão é: 14 dias.

3.14)    Logon interativo: exigir autenticação de controlador de domínio para desbloqueio de estação de trabalho: Será necessário fornecer informações de logon para desbloquear um computador bloqueado. Para contas de domínio, esta configuração determina se será necessário contatar um controlador de domínio para desbloquear um computador. Se a configuração estiver desativada, um usuário poderá desbloquear o computador usando credenciais armazenadas no cache local de senhas. Se a configuração estiver ativada, um controlador de domínio precisará autenticar a conta do domínio que está sendo usada para desbloquear o computador. O padrão é: Desativado.

3.15)    Desligamento: permitir que o sistema seja encerrado sem a necessidade de fazer logon: Determina se um computador pode ser desligado sem que haja a necessidade de fazer logon no Windows. Quando esta diretiva está ativada, o comando Desligar fica disponível na tela de logon do Windows. Quando a diretiva está desativada, a opção para desligar o computador não é exibida na tela de logon do Windows. Nesse caso, os usuários precisam fazer logon no computador com êxito e ter o direito de usuário Desligar o sistema para poderem desligar o sistema.

Padrão:

• Ativado em estações de trabalho.
• Desativado em servidores.

Nota: As opções do grupo Firewall do Windows com Segurança Avançada serão vistas em tópico específico, mais adiante, ainda neste capítulo. A opção Diretiva de Chave Pública foi vista no Capítulo 7, na parte sobre Criptografia. As opções Diretivas de restrição de software e Diretivas de Segurança IP em Computador local, serão vistas em tópicos específicos, mais adiante, neste capítulo.