Mundo Tecnológico

O que o SCW faz?

O SCW guia você através do processo de criação, edição, aplicação, ou remoção de uma política de segurança. Ele fornece uma caminho fácil para criar ou modificar uma política de segurança para o seu servidor baseado em seu papel. Você pode usar Group Policy para aplicar a política de segurança para múltiplos servidores que executam a mesma função. Você pode também usar o SCW para fazer um o rollback de uma política de segurança. Com o SCW, você pode comparar as configurações de segurança de um servidor com uma política de segurança desejada, para verificar as possíveis vulnerabilidades de configurações existentes no servidor.

Nota

A política de segurança criada com o SCW em um computador executando o Windows Server 2008 pode ser aplicada somente em computadores executando o Windows Server 2008 [This link is external to TechNet Wiki. It will open in a new window.] . O SCW não pode ser usado com sistemas operacionais clientes ou Windows Small Business Server.

Instalação

O SCW é instalado automaticamente com o Windows Server 2008 não sendo necessário nenhuma ação do administrador. A instalação do SCW também inclui a ferramenta de linha de comando Scwcmd.

Criando uma política de segurança com o SCW

Para iniciar a criação de uma política de segurança do SCW siga os passos a seguir:

1 – Clique em Start, All Programs, Administrative Tools e selecione Security Configuration Wizard. Será carrega uma janela conforme mostra a figura.

Clique em leia mais para continuar lendo.

2 – Clique no botão Next para continuar. Será carrega uma janela conforme mostra a figura.

3 – Na janela Configuration Action você tem as opções de criar uma nova política de segurança, editar uma política de segurança existente, aplicar uma política de segurança existente ou fazer o rollback da última política de segurança aplicada. Em nosso exemplo iremos escolher a opção Create a new security policy para criar uma nova política de segurança. Em seguida clique no botão Next para continuar. Será carrega uma janela conforme mostra a figura.

4 – Na janela Select Server você seleciona o servidor que será utilizado como baseline para criar a política de segurança. Você pode selecionar o servidor por nome DNS, nome NETBIOS ou endereço IP. Em nosso exemplo iremos utilizar o servidor local com o nome WIN-X9E5TL3GBSF. Após selecionar o servidor clique no botão Next para continuar. Será carrega uma janela conforme mostra a figura.

5 – Na janela Processing Security Configuration Database você tem a opção de visualizar o banco de dados de configuração, o qual contém informações sobre os server roles, client features, administration options, services, windows firewall e outras configurações. Clique no botão View Configuration Database para maiores detalhes. Será carrega uma janela conforme mostra a figura.

6 – Clique nos links da janela acima para obter maiores detalhes sobres os server roles, client features, administration options, services e windows firewall. Após consultar as opções mencionadas acima feche a janela do SCW Viewer e volte na janela do assistente do SCW. Na janela Processing Security Configuration Database clique no botão Next para continuar. Será carrega uma janela conforme mostra a figura.

7 – A partir desse ponto você precisa ficar atento com as respostas que você irá fornecer para o assistente do SCW, porque se você responder incorretamente as questões os serviços ou funcionalidades poderão ser desabilitadas ou habilitadas incorretamente. Tenha certeza que você tem o conhecimento necessário sobre os papéis dos servidores que irão receber essa política de segurança para que você não cause nenhuma indisponibilidade no seu ambiente de produção. Por isso, faça sempre os testes em ambiente de homologação. Clique no botão Next para continuar. Será carrega uma janela conforme mostra a figura.

8 – Na janela Select Server Roles você tem a opção de ativar ou desativar papéis do servidor que receberá a política de segurança. Baseado na sua escolha os serviços e portas serão ativados. No menu View você tem as opções:

• All roles (exibe todos os papéis disponíveis para configuração).
• Installed roles (exibe todos os papéis instalados).
• Uninstalled roles (exibe todos os papéis desinstalados).
• elected roles (exibe todos os papéis selecionados).

Em nosso exemplo iremos selecionar os papéis File Server e Print Server e em seguida escolher a opção Selected roles. A janela Select Server Roles ficará semelhante a figura.

9 – Clique em Next para continuar. Será carrega uma janela conforme mostra a figura.

10 – Na janela Select Client Features você tem a opção de ativar ou desativar os client features do servidor que receberá a política de segurança, porque os servidores também atuam como clientes. Baseado na sua escolha serviços e portas serão ativados. No menu View você tem as opções:

• All roles (exibe todos os papéis disponíveis para configuração).
• Installed roles (exibe todos os papéis instalados).
• Uninstalled roles (exibe todos os papéis desinstalados).
• Selected roles (exibe todos os papéis selecionados).

Em nosso exemplo iremos selecionar os client features: Background Intelligent Transfer Service (BITS), DNS Client, Domain Member, Microsoft Networking Client, Network Discovery, Time Synchronization, Windows Update e em seguida escolha a opção Selected roles. A janela Select Server Roles ficará semelhante a figura.

11 – Clique em Next para continuar. Será carrega uma janela conforme mostra a figura.

12 – Na janela Select Administration and Other Options selecione as opções de administração e outros. No menu View você tem as opções:

• All options (exibe todas as opções disponíveis para configuração).
• Installed options (exibe todas as opções instaladas).
• Uninstalled options (exibe todas as opções desinstaladas).
• Selected options (exibe todas as opções selecionadas).
• Remote Administration options (exibe todas as opções de administração remota).
• Domain Member options (exibe todas as opções de membros de domínio).
• Background Intelligent Transfer Service (BITS) options (exibe todas as opções do BITS).
• Microsoft Networking Client options (exibe todas as opções do cliente para redes Microsoft).
• Volume Shadow Copy options (exibe todas opções do Volume Shadow Copy).

Em nosso exemplo iremos selecionar as opções Browse Master, Local Application Installation, Microsoft Fibre Channel Plataform Registration Service, Offline Files, Remote Desktop e em seguida escolha a opção Selected options. A janela Select Administration and Other Options ficará semelhante a figura.

13 – Clique em Next para continuar. Será carrega uma janela conforme mostra a figura.

14 – Na janela Select Additional Services é informado os serviços adicionais que estão instalados no servidor. Em nosso exemplo, como estamos utilizando uma máquina virtual os serviços Virtual Machine Additions Services Application e Virtual Machine Addtions Shared Folder Service são listados. Dependendo da configuração do seu servidor outros serviços serão listados e você precisará decidir se esse serviços estarão presentes na sua política de segurança. Faça sua escolhe e em seguida clique no botão Next para continuar. Será carrega uma janela conforme mostra a figura.

15 – Na janela Handling Unspecified Services você define o tratamento dos serviços inesperados que não estão listados no servidor selecionado e não estão listados no banco de dados de configuração de segurança. Você tem duas opções:

• Do not change the startup mode of the service
• Disable the service

Em nosso exemplo iremos selecionar a opção Disable the service em seguida clique em Next para continuar. Será carrega uma janela conforme mostra a figura.

16 – Na janela Confirm Service Changes é exibido uma lista dos serviços no seu estado atual e como eles ficarão após a política de segurança ser aplicada. Antes de continuar, confirme que as alterações dos serviços estão corretas para atender os papéis que o seu servidor executará. Clique no botão Next para continuar. Será carrega uma janela conforme mostra a figura.

17 – Na seção Network Security você pode configurar as regras do Windows Firewall com segurança avançada baseado nas regras e opções administrativas. Caso você não queira configura essa seção é só selecionar a opção Skip this section e em seguida clicar no botão Next. Em nosso exemplo iremos pular essa seção. Será carrega uma janela conforme mostra a figura.

18 – Na seção Registry Settings você tem a opção de configurar os protocolos que serão utilizados para comunicação com outros computadores. Caso você não queira configura essa seção é só selecionar a opção Skip this section e em seguida clicar no botão Next. Em nosso exemplo iremos pular essa seção. Será carrega uma janela conforme mostra a figura.

19 – Na seção Audit Policy você tem a opção de configurar a política de auditoria para o servidor. Caso você não queira configura essa seção é só selecionar a opção Skip this section e em seguida clicar no botão Next. Em nosso exemplo iremos configurar essa seção. Será carrega uma janela conforme mostra a figura.

20 – Na janela System Audit Policy selecione uma das três opções:

• Do not audit (essa opção não executa nenhuma auditoria).
• Audit successfull activities (essa opção audita alterações de configurações com sucesso para o sistema e arquivos configurados para auditoria).
• Audit succefull and unsuccessfull activities (essa opção audita alterações de configurações com sucesso e insucesso para o sistema e arquivos configurados para auditoria).

Em nosso exemplo selecione a opção Audit succefull and unsuccessfull activities e em seguida clique em Next. Será carrega uma janela conforme mostra a figura.

21 – Na janela Audit Policy Summary você tem uma visão geral das configurações de auditoria atual e como as configurações de auditoria ficarão após aplicar a política de segurança. Antes de continuar, confirme que as configurações de auditoria estão corretas e em seguida clique no botão Next. Será carrega uma janela conforme mostra a figura.

22 – Na seção Save Security Policy você pode salvar a política de segurança que você criou e também aplicar a política de segurança para o servidor selecionado agora, ou aplicar para um outro servidor mais tarde. Clique no botão Next para continuar. Será carrega uma janela conforme mostra a figura.

23 – Na janela Security Policy File Name você define o nome da política de segurança e uma descrição para identificar a política. Você também tem a opção de visualizar a política de segurança clicando no botão View Security Policy e incluir um template de segurança clicando no botão Include Security Templates. Defina um nome e descrição para a sua política de segurança e em seguida clique em Next. Será carrega uma janela conforme mostra a figura.

24 – Na janela Apply Security Policy você tem a opção de aplicar a política de segurança para o servidor selecionado agora ou mais tarde. Em nosso exemplo iremos aplicar agora. Selecione a opção Apply now e em seguida clique no botão Next. Após a política de segurança ser aplicada será carrega uma janela conforme mostra a figura.

25 – Na janela Applying Security Policy clique no botão Next. Será carrega uma janela conforme mostra a figura.

Na janela Completing the Security Configuration Wizard é informado que o SCW finalizou com sucesso. É informado também o local onde a política de segurança foi salva e que para aplicar essa mesma política de segurança para outros servidores é só executar o assistente novamente. Clique no botão Finish para encerrar.

Este artigo foi originalmente escrito por:

Luciano Lima
[MVP Enterprise Security]-[MCSA Security]-[MCSE Security]