Configurações de segurança administrativas do Windows
As tabelas a seguir fornecem as configurações administrativas recomendadas disponíveis em um sistema Microsoft Windows para reforço adicional de segurança.
Consulte a documentação do Windows Server para obter informações sobre essas configurações.
As configurações da Política Local são descritas nas seguintes tabelas:
Política | Configurações de segurança recomendadas |
|---|---|
Duração do bloqueio de conta | 0 |
Limite de bloqueio de conta | 3 tentativas inválidas de logon |
Zerar contador de bloqueios de conta após | 15 minutos |
Política de senha | Configurações de segurança recomendadas |
|---|---|
Impor histórico de senha | 24 senhas lembradas |
Tempo de vida máximo da senha | 60 dias |
Tempo de vida mínimo da senha | 2 dias |
Comprimento mínimo da senha | 10 caracteres |
A senha deve satisfazer a requisitos de complexidade | Ativado |
Armazenar senhas usando criptografia reversível | Desativado |
Auditoria local | Configurações de segurança recomendadas |
|---|---|
Auditoria de eventos de logon de conta | Êxito, Falha |
Auditoria de gerenciamento de conta | Êxito, Falha |
Auditoria de acesso ao serviço de diretório | Êxito, Falha |
Auditoria de eventos de logon | Êxito, Falha |
Auditoria de acesso a objetos | Êxito, Falha |
Auditoria de alteração de políticas | Êxito, Falha |
Auditoria de uso de privilégios | Êxito, Falha |
Auditoria de acompanhamento de processos | Sem auditoria |
Auditoria de eventos de sistema | Êxito, Falha |
Atribuição de direitos de usuário | Configurações de segurança recomendadas |
|---|---|
Restaurar arquivos e pastas | Administradores, operadores de backup |
Desligar o sistema | Administradores, usuários avançados, operadores de backup |
Sincronizar dados do serviço de diretório | |
Apropriar-se de arquivos ou de outros objetos | Administradores |
Acesso a este computador pela rede | Todos, administradores, usuários, usuários avançados, operadores de backup |
Atuar como parte do sistema operacional | |
Adicionar estações de trabalho ao domínio | |
Ajustar quotas de memória para um processo | SERVIÇO LOCAL, SERVIÇO DE REDE, Administradores |
Permitir logon local | Administradores, usuários, usuários avançados, operadores de backup |
Permitir logon pelos Serviços de Terminal | Administradores, Usuários da área de trabalho remota |
Fazer backup de arquivos e pastas | Administradores, operadores de backup |
Ignorar a verificação completa | Todos, administradores, usuários, usuários avançados, operadores de backup |
Alterar a hora do sistema | Administradores, usuários avançados |
Criar um arquivo de página | Administradores |
Criar um objeto token | |
Criar objetos globais | Administradores, SERVIÇO |
Criar objetos compartilhados permanentemente | |
Depurar programas | Administradores |
Negar acesso a este computador pela rede | |
Negar logon como um trabalho em lotes | |
Negar logon como um serviço | |
Negar logon local | |
Negar logon pelos serviços de área de trabalho remota | |
Habilitar computador e contas de usuário para serem confiáveis para delegação | |
Forçar o desligamento a partir de um sistema remoto | Administradores |
Gerar auditoria de segurança | SERVIÇO LOCAL, SERVIÇO DE REDE |
Representar um cliente após autenticação | Administradores, SERVIÇO |
Aumentar a prioridade de planejamento | Administradores |
Carregar e descarregar drivers de dispositivos | Administradores |
Bloquear páginas na memória | |
Fazer logon como um trabalho em lotes | SERVIÇO LOCAL |
Fazer logon como um serviço | SERVIÇO DE REDE |
Gerenciar a auditoria e o log de segurança | Administradores |
Alterar valores de ambiente de firmware | Administradores |
Executar tarefas de manutenção de volume | Administradores |
Traçar um perfil de um único processo | Administradores, usuários avançados |
Traçar um perfil do desempenho do sistema | Administradores |
Remover o computador da base de encaixe | Administradores, usuários avançados |
Substituir um token no nível de processo | SERVIÇO LOCAL, SERVIÇO DE REDE |
Restaurar arquivos e pastas | Administradores, operadores de backup |
Desligar o sistema | Administradores, usuários avançados, operadores de backup |
Sincronizar dados do serviço de diretório | |
Apropriar-se de arquivos ou de outros objetos | Administradores |
Opções de segurança | Configurações de segurança recomendadas |
|---|---|
Contas: status de conta de administrador | Ativado |
Contas: status de conta de convidado | Desativado |
Contas: limite o uso em contas locais de senhas em branco somente ao logon no console | Ativado |
Contas: renomear conta do administrador | protectdemo |
Contas: renomear conta do convidado | Convidado |
Auditoria: fazer auditoria do acesso a objetos do sistema global | Desativado |
Auditoria: fazer auditoria do uso dos privilégios backup e restauração | Desativado |
Auditoria: desligar o sistema imediatamente se não for possível o log de auditorias de segurança | Desativado |
Dispositivos: permitir desencaixe sem fazer logon | Ativado |
Dispositivos: permite formatar e ejetar a mídia removível | Administradores |
Dispositivos: evita que usuários instalem drivers de impressora | Ativado |
Dispositivos: restringir acesso ao CD-ROM apenas aos usuários com logon local | Ativado |
Dispositivos: restringir acesso ao disquete apenas aos usuários com logon local | Ativado |
Dispositivos: comportamento de instalação de driver não assinado | Não permitir a instalação |
Controlador do domínio: permitir que operadores do servidor agendem tarefas | Ativado |
Controlador de domínio: requisitos de assinatura de servidor LDAP | Não definido |
Controlador do domínio: recusar alterações de senha de conta de computador | Não definido |
Membro do domínio: criptografar ou assinar digitalmente os dados do canal seguro (sempre) | Ativado |
Membro do domínio: criptografar digitalmente dados do canal seguro (quando for possível) | Ativado |
Membro do domínio: assinar digitalmente dados do canal seguro (quando for possível) | Ativado |
Membro do domínio: desativar alterações de senha de conta da máquina | Desativado |
Membro do domínio: duração máxima de senha de conta de computador | 30 dias |
Membro do domínio: requer uma chave de sessão de alta segurança (Windows 2000 ou posterior) | Ativado |
Logon interativo: não exibir o último nome do usuário | Ativado |
Logon interativo: não exigir Ctrl+Alt+Del | Desativado |
Logon interativo: texto de mensagem para usuários tentando fazer logon | |
Logon interativo: título da mensagem para usuários tentando fazer logon | Não definido |
Logon interativo: número de logons anteriores para armazenar em cache (caso o controlador de domínio não esteja disponível) | 10 logons |
Logon interativo: pedir que o usuário altere a senha antes que ela expire | 14 dias |
Logon interativo: exigir autenticação de controlador de domínio para desbloqueio de estação de trabalho | Desativado |
Logon interativo: requer um cartão inteligente | Desativado |
Logon interativo: comportamento de remoção de cartão inteligente | Forçar logoff |
Cliente de rede Microsoft: assinar digitalmente a comunicação (sempre) | Ativado |
Cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar) | Ativado |
Cliente de rede Microsoft: enviar senha não criptografada para conectar-se a servidores SMB de outro fabricante | Desativado |
Servidor da rede Microsoft: período de tempo ocioso necessário antes de desconectar a sessão | 15 minutos |
Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre) | Ativado |
Servidor de rede Microsoft: assinar digitalmente a comunicação (se o cliente concordar) | Ativado |
Servidor de rede Microsoft: desconectar clientes após o término do tempo de logon | Ativado |
Acesso à rede: permitir SID anônimo/Conversão de nomes | Desativado |
Acesso à rede: não permitir enumeração anônima de contas SAM | Ativado |
Acesso à rede: não permitir enumeração anônima de contas e compartilhamentos SAM | Desativado |
Acesso à rede: não permitir o armazenamento de credenciais ou Passports .NET para autenticação de rede | Desativado |
Acesso à rede: deixar que as permissões de todos os usuários sejam aplicadas a usuários anônimos | Desativado |
Acesso à rede: pipes nomeados acessíveis anonimamente | COMNAP, COMNODE, SQL\QUERY, SPOOLSS, EPMAPPER, LOCATOR, TrkWks, TrkSvr |
Acesso à rede: caminhos do Registro acessíveis remotamente | System\CurrentControlSet\Control\ProductOptions, System\CurrentControlSet\Control\Server Applications, Software\Microsoft\Windows NT\CurrentVersion |
Acesso à rede: caminhos e subcaminhos do Registro acessíveis remotamente | System\CurrentControlSet\Control\Print\Printers, System\CurrentControlSet\Services\Eventlog |