Linhas de base de segurança (baseline) para o Windows 8.1 , Windows Server 2012 R2 e Internet Explorer 11

Por Aaron Margosis 

 

A Microsoft tem o prazer de anunciar o lançamento da versão final de linha de base de segurança (baseline) das configurações para o Windows 8.1 , o Windows Server 2012 R2 e do Internet Explorer 11. Alguns dos destaques da nova linha de base de segurança (muitos dos quais temos a intenção de fazer melhorias para versões mais antigas do Windows e IE):

• • Use de novas e definições existentes para ajudar a bloquear vetores de ataque através de “Pass the hash”

• • Recomendações para controlar o armazenamento de senhas equivalentes à pleno texto

• • Bloqueio do uso de navegadores da web através dos controladores de domínio.

• • Incorporação do Enhanced Mitigation Experience Toolkit (EMET) como base padrão.

• • Retirada a recomendação para ativar o "modo FIPS" (isto é discutido em maiores detalhes neste post do blog: Por que nós não mais estamos recomendando " “FIPS Mode”.

• • Remoção de quase todos os serviços e configurações de inicialização, e todas as funções de baseline de servidores que contêm apenas o serviço e as configurações de inicialização.

As definições são fornecidas como quatro conjuntos distintos de linhas de base, para as seguintes configurações: Windows 8.1 , Windows Server 2012 R2 como controlador de domínio, Windows Server 2012 R2 como member server, e Internet Explorer 11. O anexo a este post do blog inclui scripts para aplicar essas linhas de base na política local de um computador e backups de GPOs que você pode importar para as Diretivas de Grupo do Active Directory. 

Há algumas variações entre essas recomendações e a versão beta que foi lançada em Abril. Nós discutimos essas mudanças de forma mais detalhada em outros dois posts do blog: um sobre a maioria das mudanças, e outro post detalhado sobre o problemas de bloqueio de contas e recomendações.

Enquanto estamos preparando o conteúdo no formato usado para a inclusão do Security Compliance Manager (SCM), estamos fazendo as baselines disponíveis através de um pacote de download anexado a este blog. O download inclui um documento em Microsoft Word que descreve vários aspectos das mudanças de baseline das versões anteriores do Windows e IE, uma planilha listando todas as configurações da baseline e destacando todas as novas e as configurações atualizadas, Objetos de Diretiva de Grupo (GPOs), utilitários e scripts para importar no total as diretivas de grupo local para avaliação e testes, uma novo ADMX para expor algumas definições importantes que não estão expostos atualmente pelo Windows, como configurações de Diretiva de Grupo e filtros WMI para assegurar que as GPOs sejam somente aplicadas nos sistemas adequados.

Baixe e extraia o arquivo "Win81-WS2012R2-IE11-Linhas-DE-FINAL.zip". Ele contém as seguintes pastas:

• • Documentação: "Configuraçao recomendada da baseline.docx" é um documento do Word que classifica e descreve todas as novas e as configurações atualizadas (provavelmente, você deve começar por aqui); esta pasta contém também "SCM Windows 8.1 e 2012 R2configurações.xlsx", uma planilha Excel que descreve o conjunto completo de configurações recomendadas.

• • Modelo Administrativo: um ADMX e (em inglês) arquivo ADML "passar o hash" - as definições relevantes através do editor de Diretiva de Grupo. (Nota: a pasta de Local_Script contém os scripts que instala esses arquivos no local apropriado.)

• • Relatórios de GP: Relatórios de Diretiva de Grupo formatados como arquivos HTML (para aqueles que preferem outro formato do que em planilhas do Excel).

• • GPOs: Objeto de Diretiva de Grupo backups para os quatro conjuntos distintos de bases descritas anteriormente. Estes podem ser importados na Diretiva de Grupo do Active Directory.

• • Local_Script: Este diretório contém três arquivos batch que aplica as configurações apropriadas na máquina atual: 81_Client_Install.cmd, 2012R2_DomainController_Install.cmd e 2012R2_MemberServer_Install.cmd. 

• • Filtros WMI: Este diretório contém .arquivos MOF que você pode importar para a configuração de Diretiva de Grupo para assegurar que as GPOs são aplicadas apenas em sistemas adequados.

Daremos prosseguimento a este blog quando os arquivos .cab do SCM se tornarem disponíveis.

Gostaríamos de reconhecer e manifestar o nosso apreço ao Center for Internet Security pela sua colaboração no desenvolvimento da presente orientação.

Original: https://blogs.technet.com/b/secguide/archive/2014/08/13/security-baselines-for-windows-8-1-windows-server-2012-r2-and-internet-explorer-11-final.aspx