MS: 5 áreas de configuração de segurança para W7 e 2008 R2

Jeremy Moskowitz apresenta-nos, na TechNet da Microsoft, a sua selecção de cinco áreas de configuração de segurança por Group Policy Objects (GPOs), para Windows 7 e Server 2008 R2. O artigo intitula-se Top five security-related Group Policy settings e as áreas seleccionadas, descritas de forma breve, são as seguintes:

  1. Windows firewall com segurança avançada. Este controlo permite definir, com uma granulosidade muito fina, as comunicações autorizadas a partir de (e para) cada uma das máquinas configuradas. É possível definir as entradas e saídas admissíveis em função da rede em que estão localizadas, e os programas que estão autorizados a estabelecer as comunicações;
  2. Restrições de hardware. Estas restrições permitem-nos definir quais são os componentes que podem (ou não podem) ser ligados a um computador. Como exemplo, é possível autorizar (ou negar) a utilização de dispositivos USB, e.g. discos e canetas externas;
  3. AppLocker. O AppLocker é um sucessor das antigas Software Restriction Policies (que ainda estão disponíveis, note-se) e que nos permite definir, sem ambiguidades, quais são os programas que podem ser executados em cada máquina. Uma configuração possível poderia incluir, por exemplo, a autorização de execução de programas pré-instalados — e apenas esses — rejeitando todas as aplicações que fossem transferidas pelos utilizadores, pela Internet ou através de quaisquer dispositivos externos;
  4. Configuração avançada de políticas de auditoria. As novas versões destes sistemas operativos permitem-nos definir, ao contrário dos seus antecessores, um conjunto de políticas de auditoria muito finas, que registem apenas os eventos que queremos, efectivamente, auditar. Por exemplo, podemos optar por registar os logons mas não registar os logoffs, independentemente de serem (ou não serem) sucedidos; e, finalmente,
  5. Controlo de Conta de Utilizadores (UAC), com maior controlo. A parametrização deste controlo permite-nos exigir, por exemplo, que sejam sempre apresentadas credenciais quando são utilizados privilégios administrativos, e.g. quando alguém pretende instalar uma aplicação, ou quando são executadas operações de manutenção de contas. Para além desta funcionalidade, este controlo pode impedir sumariamente a invocação de privilégios a utilizadores standard.

All in all, o artigo apresenta um conjunto de sugestões interessantes, que podem e devem ser exploradas pelos administradores de sistemas (ou pelos utilizadores com conhecimentos e experiência mais avançados, nas máquinas lá de casa), tendo em vista reforçar a segurança dos equipamentos, e ir ao encontro das políticas de segurança das suas organizações.

Esta exploração depende da utilização de GPOs; Para quem não conhece a forma de configurar estes objectos e quer experimentar as sugestões, basta invocar as consolas gpedit.msc ou gpmc.msc1, através de uma linha de comandos, para trabalhar sobre, respectivamente, a política local da máquina ou as políticas definidas no Domínio.

Go for it! ; )

1 A consola para gestão avançada e consolidada num Domínio, Group Policy Management Console, pode ser transferida a partir do site da Microsoft em www.microsoft.com/downloads/...