22/12/2016 Windows Server 2012 R2 Hardening Checklist ­ ISO ­ Serviço de Segurança da Informação ­ UT Austin Wikis

ISO ­ Gabinete de Segurança da Informação /  Listas de verificação de endurecimento do sistema operacional

Windows Server 2012 R2 Hardening lista de verificação
Criado por Tarek W Moussa , modificada pela última vez por Jason M Ragland em 08 de setembro de 2015

As listas de verificação de endurecimento baseiam­se nas listas de verificação abrangentes produzidas pelo CIS. O Gabinete de
Segurança da Informação tem destilada nas listas da CEI para baixo para as etapas mais críticas para os seus sistemas, com foco
especial em questões de configuração que são exclusivos para o ambiente de computação da Universidade do Texas em Austin.

Como usar a lista de verificação
Imprima a lista de verificação e verifique cada item que você concluiu para garantir que você cobre os passos críticos para proteger seu
servidor. O Information Security Office usa esta lista de verificação durante as avaliações de risco como parte do processo para verificar se
os servidores estão seguros.

Como ler a lista de verificação
Passo ­ O número passo do procedimento. Se houver um UT Nota para esta etapa, o número de nota corresponde ao número do passo. 
Verifique (√) ­ Esta é para os administradores a verificar a quando ela / ele completar esta parte.  
Que fazer ­ instruções básicas sobre o que fazer para endurecer o respectivo sistema 
CIS ­ Referência no Center for Internet Security Windows Server 2012 R2 Referência v1.1.0 . O documento da CIS esboça em detalhes
muito mais detalhados como concluir cada etapa. 
UT Nota ­ A Nota UT na parte inferior da página fornece detalhes adicionais sobre o passo para o ambiente de computação da
universidade. 
Cat I ­ Para sistemas que incluem dados de categoria I , passos necessários são indicados com o ! símbolo. Todos os passos são
recomendados. 
Cat II / III ­ Para os sistemas que incluem dados ­III­Categoria II ou , todos os passos são recomendadas, e alguns são necessários
(denotado pelo ! ). 
Min Std ­ Este links da coluna à exigência específica para a universidade nas normas mínimas de segurança para sistemas documento.

Informações sobre o servidor

Endereço MAC                                                                                                                                

Endereço IP  

Nome da máquina  

Tag do recurso  

Nome do Administrador  

Encontro  

Passo √ Façam CIS UT Gato Cat Min

Nota I II Std
Cat
III

    Preparação e Instalação          

1   Se a máquina for uma nova instalação, proteja­a do tráfego de rede hostil,   § !  ! 5.1
até que o sistema operacional seja instalado e endurecido.

2   Considere usar o Assistente de Configuração de Segurança para auxiliar   §      
no endurecimento do host.

    Service Packs e Hotfixes          

3   Instale os service packs mais recentes e os hotfixes da Microsoft.   § ! ! 5.2

4   Ative a notificação automática da disponibilidade de patch.   § ! ! 5,3

    Políticas de conta de usuário          

5   Definir o comprimento mínimo da senha. 1.1.4 § ! !  

6   Ativar requisitos de complexidade de senha. 1.1.5 § !    

7   Não armazene senhas usando criptografia reversível. (Padrão) 1.1.6 § ! !  

8   Configurar a diretiva de bloqueio de conta. 1.2 § ! !  

    Atribuição de direitos de usuário          

9   Restringir a capacidade de acessar este computador da rede para 2.2.2        
Administradores e Usuários Autenticados.

10   Não conceda a nenhum usuário o direito de "agir como parte do sistema 2.2.3   ! !  
operacional". (Padrão)

11   Restringir o acesso de logon local aos administradores. 2.2.6 §      

12   Negar contas de convidado a capacidade de logon como um serviço, um 2.2.18­21   !    
trabalho em lote, localmente ou via RDP.

    Configurações de segurança          

13   Coloque o banner de aviso da Universidade no Texto da Mensagem para 2.3.7.4 § ! ! 5,10

usuários que tentam fazer logon.

14   Impedir que os usuários criem e façam login com as contas da Microsoft. 2.3.1.1 § ! !  

15   Desative a conta de convidado. (Padrão) 2.3.1.2   ! !  

16   Exigir Ctrl + Alt + Del para logons interativos. (Padrão) 2.3.7.2   ! !  

17   Configure o limite de inatividade da máquina para proteger sessões 2.3.7.3   ! !  
interativas inativas.
18   Configure o Microsoft Network Client para assinar sempre as 2.3.8.1   !    
comunicações digitalmente.

19   Configure o Microsoft Network Client para assinar digitalmente as 2.3.8.2   ! !  
comunicações se o servidor concordar. (Padrão)

20   Desabilite o envio de senhas não criptografadas para servidores SMB de 2.3.8.3   ! ! 5,6

terceiros.

21   Configurar o Microsoft Network Server para sempre assinar digitalmente 2.3.9.2   !    
as comunicações.

22   Configure o Microsoft Network Server para assinar digitalmente as 2.3.9.3   !    
comunicações se o cliente concordar.
https://wikis.utexas.edu/display/ISO/Windows+Server+2012+R2+Hardening+Checklist 1/5
22/12/2016 Windows Server 2012 R2 Hardening Checklist ­ ISO ­ Serviço de Segurança da Informação ­ UT Austin Wikis
comunicações se o cliente concordar.

    Controles de acesso à rede          

23   Desabilite a tradução SID / Nome anônima. (Padrão) 2.3.11.1   ! !  

24   Não permitir enumeração anônima de contas SAM. (Padrão) 2.3.11.2   ! ! 5.5

25   Não permitir enumeração anônima de contas SAM e compartilhamentos. 2.3.11.3   !   5.5

26   Não permita que todas as permissões se apliquem a usuários anônimos. 2.3.11.4   ! ! 5,12

(Padrão)

27   Não permita que os pipes nomeados sejam acessados   anonimamente. 2.3.11.5   !   5,12

28   Restringir acesso anônimo a pipes nomeados e compartilhamentos. 2.3.11.8   ! ! 5,12

(Padrão)

29   Não permita que ações sejam acessadas anonimamente. 2.3.11.9   !    

30   Exigir o modelo de compartilhamento e segurança "clássico" para contas 2.3.11.10   ! ! 5,12

locais. (Padrão)

    Configurações de segurança de rede          

31   Permitir sistema local para usar identidade de computador para NTLM. 2.3.12.1        

32   Desativar fallback de sessão do sistema local NULL. 2.3.12.2        

33   Configurar tipos de criptografia permitidos para Kerberos. 2.3.12.4        

34   Não armazenar valores hash LAN Manager. 2.3.12.5   ! ! 5,13

35   Defina o nível de autenticação LAN Manager para permitir apenas NTLMv2 2.3.12.7   !   5,13

e recusar LM e NTLM.

36   Ative o Firewall do Windows em todos os perfis (domínio, privado, 9. [1­3]   ! ! 5.5

público). (Padrão) .1

37   Configure o Firewall do Windows em todos os perfis para bloquear o 9. [1­3]   ! !  
tráfego de entrada por padrão. (Padrão) .2

    Configurações de segurança de membro de domínio do Active     !   5,12
Directory

38   Criptografar digitalmente ou assinar dados de canal seguro (sempre). 2.3.6.1   !   5,6

(Padrão)

39   Criptografar digitalmente dados de canal seguro (quando possível). 2.3.6.2   ! ! 5,6

(Padrão)

40   Assinar digitalmente os dados do canal seguro (quando possível). 2.3.6.3   ! ! 5,6

(Padrão)

41   Exigir chaves de sessão fortes (Windows 2000 ou posterior). 2.3.6.6   !    

42   Configure o número de logons anteriores para armazenar em cache. 2.3.7.6 §      

    Configurações da Política de Auditoria          

43   Configurar política de auditoria de logon de conta. 17,1 § !    

44   Configurar a diretiva de auditoria do Gerenciamento de Contas. 17,2 § ! !  

45   Configure a política de auditoria Logon / Logoff. 17,5 § ! !  

46   Configurar política de auditoria de alteração de política. 17,7 § ! !  

47   Configurar Privilégio Use a diretiva de auditoria. 17,8 § !    

    Configurações do Registro de Eventos          

48   Configurar o método e o tamanho de retenção do log de eventos. 18.7.19 § !  ! 6.1

49   Configurar o envio de log (por exemplo, para Splunk).   §      

    Proteção de segurança adicional          

50   Desativar ou desinstalar serviços não utilizados.     !   5.4

51   Desativar ou excluir usuários não utilizados.     !   5.4

52   Configure os Direitos do Usuário para serem o mais seguros possível.   § !    

53   Verifique se todos os volumes estão usando o sistema de arquivos NTFS.   § !    

54   Configurar permissões do sistema de arquivos.   § !    

55   Configurar permissões do Registro.   § !    

56   Não permitir acesso remoto ao registro, se não for necessário. 2.3.11.6 §      

    Etapas Adicionais          

57   Defina a data / hora do sistema e configure­a para sincronizar com os   § !    
servidores de horário do campus.

58   Instale e ative o software antivírus.   § ! ! 3.1

59   Instale e ative o software anti­spyware.   § !   3.2

60   Configure o software anti­vírus para atualizar diariamente.   § ! ! 3,3

61   Configure o software anti­spyware para atualizar diariamente.   § !   3,3

62   Fornecer armazenamento seguro para dados da Categoria­I conforme   § !   5,7
exigido pelas necessidades de confidencialidade, integridade e
disponibilidade. A segurança pode ser fornecida por meios tais como,
mas não limitado a, criptografia, controles de acesso, auditorias de
sistema de arquivos, fisicamente protegendo os meios de
armazenamento, ou qualquer combinação deles como julgado apropriado.

63   Instale o software para verificar a integridade dos arquivos críticos do   § !   5,8
sistema operacional.

64   Se o RDP for utilizado, defina o nível de criptografia da conexão RDP   § !   5,6
como alto.

    Segurança física          
https://wikis.utexas.edu/display/ISO/Windows+Server+2012+R2+Hardening+Checklist 2/5
22/12/2016 Windows Server 2012 R2 Hardening Checklist ­ ISO ­ Serviço de Segurança da Informação ­ UT Austin Wikis
    Segurança física          

65   Defina uma senha de BIOS / firmware para evitar alterações nas         4.1
configurações de inicialização do sistema.

66   Desative o logon administrativo automático no console de recuperação. 2.3.13.1   !    

67   Não permita que o sistema seja encerrado sem ter que fazer logon. 2.3.14.1   ! !  
(Padrão)

68   Configure a ordem de inicialização do dispositivo para impedir a     !   4.1
inicialização não autorizada de suportes alternativos.

69   Configure um protetor de tela para bloquear a tela do console   § ! !  
automaticamente se o host for deixado sem supervisão.

UT Nota: Adendo

Esta lista fornece tarefas específicas relacionadas ao ambiente computacional da Universidade do Texas em Austin.

1 Se outras alternativas não estiverem disponíveis, isso pode ser feito instalando um roteador / firewall SOHO entre a rede eo host a ser
protegido.

2 O Assistente de configuração de segurança pode simplificar consideravelmente o endurecimento do servidor. Uma vez definida a função para o
host, o Assistente de configuração de segurança pode ajudar a criar uma configuração de sistema baseada especificamente nessa função. Ele
não completamente se livrar da necessidade de fazer outras alterações de configuração, no entanto. Mais informações estão disponíveis em:
Assistente de Configuração de Segurança .

3 Existem vários métodos disponíveis para ajudá­lo na aplicação de patches em tempo hábil:
Serviço Microsoft Update
Microsoft Update verifica a sua máquina para identificar correções ausentes e permite que você baixe e instale­os.
Isso é diferente do "Windows Update" que é o padrão no Windows. O Microsoft Update inclui atualizações para muitos outros produtos da
Microsoft, como o Office e Forefront Client Security.
Este serviço é compatível apenas com o Internet Explorer. 

Janelas atualização automática via WSUS
ITS oferece uma Windows Server Update Services Server para uso campus usando os próprios servidores de atualização da Microsoft. Ele
inclui atualizações para produtos Microsoft adicionais, assim como o Microsoft Update, e fornece controle administrativo adicional para
implantação de software. 

Microsoft Baseline Security Analyzer
Esta é uma aplicação baseada em host livre que está disponível para download no Microsoft . Além de detalhar patches ausentes, esta
ferramenta também executa verificações em configurações básicas de segurança e fornece informações sobre como remediar quaisquer
problemas encontrados.

4 Configurar atualizações automáticas a partir do painel de controle Atualizações automáticas
Na maioria dos servidores, você deve escolher "Fazer download de atualizações para mim, mas deixe­me escolher quando instalá­las" ou
"Notificar­me, mas não baixe ou instale­as automaticamente".
O campus servidor Windows Server Update Services pode ser usado como a fonte de atualizações automáticas.

5 Configurar as definições de comprimento mínimo de senha só é importante se outro método de assegurar a conformidade com padrões de
senha universidade não está no lugar. A Política de Uso e Segurança de Recursos de Informações exige que as senhas tenham no mínimo 8
caracteres. É fortemente recomendado que as senhas ter pelo menos 14 caracteres de comprimento (que é também a recomendação do
CIS).

6 Configurar a definição de complexidade de senha só é importante se outro método de assegurar a conformidade com padrões de senha
universidade não está no lugar. A Política de Uso e Segurança de Recursos de Informação requer que as senhas contenham letras, números e
caracteres especiais.

7 Se esta opção estiver ativada, o sistema armazenará senhas usando uma forma fraca de criptografia suscetível de comprometimento. Esta
configuração é desativada por padrão.

8 Em vez dos valores recomendados pelo CIS, a diretiva de bloqueio de conta deve ser configurada da seguinte maneira:
Duração do bloqueio de conta ­ 5 minutos
Limite de bloqueio de conta ­ 5 tentativas falhadas
Redefinir contador de bloqueio de conta ­ 5 minutos

11 Qualquer conta com esta função tem permissão para fazer login no console. Por padrão, isso inclui usuários nos grupos Administradores,
Usuários e Operadores de Backup. É improvável que usuários não administrativos exijam esse nível de acesso e, nos casos em que o servidor
não esteja fisicamente seguro, a concessão desse direito pode facilitar um comprometimento do dispositivo.
13 O texto da bandeira aviso oficial da universidade podem ser encontrados no site ITS. Você pode adicionar informações localizadas ao banner,
desde que o banner da universidade esteja incluído.

14 O uso de contas da Microsoft pode ser bloqueado configurando o objeto de diretiva de grupo em: 

Computer Configuration\Windows Settings\Security Settings\Local Policies\
Security Options\Accounts: Block Microsoft accounts

 
Esta configuração pode ser verificada através da auditoria da chave de registo:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoConnectedUser

42 As informações de logon para contas de domínio podem ser armazenadas em cache localmente para permitir que usuários que tenham
autenticado anteriormente façam novamente, mesmo que um controlador de domínio não possa ser contatado. Por padrão, 10 contas serão
armazenadas em cache localmente, mas existe o risco de que, em caso de comprometimento, um invasor possa localizar as credenciais
armazenadas em cache e usar um ataque de força bruta para descobrir as senhas. Portanto, recomenda­se que esse valor seja reduzido para
que menos credenciais sejam colocadas em risco e as credenciais serão armazenadas em cache por períodos mais curtos no caso de
dispositivos que são registrados com freqüência por vários usuários.
O objeto de diretiva de grupo abaixo deve ser definido como 4 ou menos logons:

Computer Configuration\Windows Settings\Security Settings\Local Policies\
Security Options\Interactive logon: Number of previous logons to cache (in
case domain controller is not available)

43 A diretiva de auditoria de logon de conta registra os resultados dos testes de validação de credenciais enviadas para solicitações de logon de
conta de usuário. O servidor que é autoritário para as credenciais deve ter essa diretiva de auditoria habilitada. Para máquinas com membros de
domínio, esta diretiva registrará apenas eventos para contas de usuário local.
Configure o objeto de diretiva de grupo abaixo para corresponder às configurações de auditoria listadas:

https://wikis.utexas.edu/display/ISO/Windows+Server+2012+R2+Hardening+Checklist 3/5
22/12/2016 Windows Server 2012 R2 Hardening Checklist ­ ISO ­ Serviço de Segurança da Informação ­ UT Austin Wikis

Computer Configuration\Windows Settings\Security Settings\
Advanced Audit Policy Configuration\Audit Policies\Account Logon\

Validação de Credenciais ­ Sucesso e Falha

44 Configure o objeto de diretiva de grupo abaixo para corresponder às configurações de auditoria listadas:

Computer Configuration\Windows Settings\Security Settings\
Advanced Audit Policy Configuration\Audit Policies\Account Management\

Gerenciamento de contas de computadores ­ sucesso e falha
Outros Eventos de Gerenciamento de Contas ­ Sucesso e Falhas
Gerenciamento de Grupo de Segurança ­ Sucesso e Falha
Gerenciamento de Conta de Usuário ­ Sucesso e Falha

45 Configure o objeto de diretiva de grupo abaixo para corresponder às configurações de auditoria listadas:

Computer Configuration\Windows Settings\Security Settings\
Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\

Bloqueio de conta ­ Sucesso
Logoff ­ Sucesso
Logon ­ sucesso e falha
Outros Logon / Logoff Eventos ­ Sucesso e Falha
Início de sessão especial ­ Sucesso

46 Configure o objeto de diretiva de grupo abaixo para corresponder às configurações de auditoria listadas:

Computer Configuration\Windows Settings\Security Settings\
Advanced Audit Policy Configuration\Audit Policies\Policy Change\

Mudança de Política de Auditoria ­ Sucesso e Falha
Alteração da política de autenticação ­ sucesso

47 Configure o objeto de diretiva de grupo abaixo para corresponder às configurações de auditoria listadas:

Computer Configuration\Windows Settings\Security Settings\
Advanced Audit Policy Configuration\Audit Policies\Privilege Use\

Uso de Privilégios Sensíveis ­ Sucesso e Fracasso

48 A universidade requer as seguintes configurações de log de eventos em vez das recomendadas pelo Benchmark do CIS:
Aplicação: o tamanho máximo do log ­ 32.768 KB
Segurança: Tamanho máximo do log ­ 196.608 KB
Configuração: Tamanho máximo do log ­ 32.768 KB
Sistema: o tamanho máximo do log ­ 32.768 KB
O método de retenção recomendado para todos os logs é: Substituir eventos com mais de 14 dias
 
Estes são requisitos mínimos. O registro mais importante aqui é o log de segurança. 100 MB é um mínimo sugerido, mas se você tiver um
serviço de alto volume, faça o arquivo tão grande quanto necessário para se certificar de pelo menos 14 dias de logs de segurança estão
disponíveis. Você pode aumentar o número de dias que você manter, ou você pode definir os arquivos de log para não substituir eventos.
Observe que se o log de eventos atingir seu tamanho máximo e nenhum evento mais antigo do que o número de dias que você especificou
existir para ser excluído ou se você tiver desabilitado a substituição de eventos, nenhum novo evento será registrado. Isso pode acontecer
deliberadamente como uma tentativa de um atacante para cobrir suas faixas. Para serviços críticos que trabalham com Cat 1 ou outros dados
confidenciais, você deve usar syslog, Splunk, Intrust ou um serviço semelhante para enviar logs para outro dispositivo.
Outra opção é configurar o Windows para rodar arquivos de log de eventos automaticamente quando um log de eventos atinge seu tamanho
máximo, conforme descrito no artigo http://support.microsoft.com/kb/312571 usando a entrada do Registro AutoBackupLogFiles.

49 É altamente recomendável que os logs sejam enviados de qualquer dispositivo da categoria I para um serviço como o Splunk, que fornece
agregação de log, processamento e monitoramento em tempo real de eventos entre muitas outras coisas. Isso ajuda a garantir que os logs
sejam preservados e inalterados no caso de um compromisso, além de permitir a análise proativa de log de vários dispositivos.
Licenças Splunk estão disponíveis através do ITS sem custo. O ITS também mantém um serviço Splunk gerenciado centralmente que pode ser
alavancado.

52 Configure os direitos de usuário para serem o mais seguros possível, seguindo as recomendações da seção 2.2 do benchmark CIS. Todas as
tentativas devem ser feitas para remover convidado, todos e logon anônimo das listas de direitos de usuário.

53 Volumes formatados como FAT ou FAT32 podem ser convertidos para NTFS, usando o utilitário convert.exe fornecido pela Microsoft. A
Microsoft forneceu instruções sobre como realizar a conversão. Os servidores Windows usados   com dados da Categoria I devem usar o
sistema de arquivos NTFS para todas as partições onde os dados da Categoria I devem ser armazenados.

54 Seja extremamente cuidadoso, como definir permissões incorretas em arquivos de sistema e pastas pode tornar um sistema
inutilizável.

55 Seja extremamente cuidadoso, como definir permissões incorretas em entradas de registro pode tornar um sistema inutilizável.

56 Algumas ferramentas de administração remota, como o Microsoft Systems Management Server, requerem acesso remoto ao registro para
dispositivos gerenciados. Desativar o acesso remoto ao registro pode fazer com que esses serviços falhem. Se o acesso remoto ao registro
não for necessário, é recomendável que o serviço de registro remoto seja interrompido e desabilitado.
Se o acesso remoto ao registro for necessário, os caminhos de registro remotamente acessíveis ainda devem ser configurados para serem o
mais restritivos possível. O objeto de diretiva de grupo abaixo controla quais caminhos de registro estão disponíveis remotamente:

Computer Configuration\Windows Settings\Security Settings\Local Policies\
Security Options\Network access: Remotely accessible registry paths

Este objeto deve ser definido para permitir o acesso apenas a:
System \ CurrentControlSet \ Control \ ProductOptions
Aplicações System \ CurrentControlSet \ Control \ Server
Software \ Microsoft \ Windows NT \ CurrentVersion
Outras restrições nos caminhos de registro e subcaminhos que são remotamente acessíveis podem ser configurados com o objeto de diretiva
de grupo:

https://wikis.utexas.edu/display/ISO/Windows+Server+2012+R2+Hardening+Checklist 4/5
22/12/2016 Windows Server 2012 R2 Hardening Checklist ­ ISO ­ Serviço de Segurança da Informação ­ UT Austin Wikis
Computer Configuration\Windows Settings\Security Settings\Local Policies\
Security Options\Network access: Remotely accessible registry paths and sub‐paths

57 Por padrão, os membros do domínio sincronizar seu tempo com controladores de domínio usando o Microsoft Windows Time Service . O
controlador de domínio deve ser configurado para sincronizar seu tempo com uma fonte de tempo externa, como os servidores de horário de
rede da universidade. 

ITS Networking opera duas estrato 2 NTPv4 (NTP versão 4) servidores para serviços de sincronização de tempo de rede para administradores
de rede da universidade .

58 O ITS fornece o FireAMP, um serviço antivírus gerenciado, baseado na nuvem, gratuitamente para todos os dispositivos pertencentes à
universidade. Mais informações sobre como obter e usar FireAMP está em  http://www.utexas.edu/its/products/antivirus/ .

59 O software anti­spyware só é necessário para ser instalado se o servidor é usado para navegar em sites da Web não especificamente
relacionadas com a administração do servidor, que não é recomendado . ITS fornece software anti­spyware sem custo adicional. No mínimo, o
SpyBot Search and Destroy deve ser instalado. Também recomendamos a instalação de um aplicativo anti­spyware secundário, como
SpyWare Blaster, EMS Free Surfer ou AdAware. Ambos SpyWare Blaster e EMS gratuito Surfer estão disponíveis a partir BevoWare .
Uma medida adicional que pode ser tomada é instalar o Firefox com o NoScript e uBlock add­ons.

60 FireAMP é a solução AV recomendada. Microsoft Forefront também pode ser usado, e pode ser configurado directamente ou através da
utilização de GPO , o que pode simplificar a gestão de vários servidores.

61 Spyware Blaster ­ Ativação da funcionalidade de atualização automática requer a compra de uma subscrição adicional. 
SpyBot Search and Destroy ­ tarefas de atualização automáticas podem ser criados dentro do próprio programa e estão programados usando
o Agendador de Tarefas do Windows.
1. No aplicativo Spybot, clique em Mode ­> Advanced View.
2. Clique em Configurações no lado esquerdo da janela.
3. Agora você deve ver uma opção chamada "Agendador". Selecione essa opção.
4. Adicionar a tarefa para atualizar automaticamente é relativamente simples. 
Clique em Adicionar para criar uma tarefa.
Clique em Editar para editar o agendamento da tarefa.
Na janela de tarefas agendadas que aparece, digite o seguinte na Run campo:

C:\Program Files\Spybot ‐ Search & Destroy\SpybotSD.exe" /AUTOUPDATE /TASKBARHIDE /AUTOCLOSE

Clique no Calendário guia e escolher um tempo para ele para atualizar. A duração da atualização é muito breve, mas é intensiva de
processador, por isso considere a sua programação para ocorrer durante períodos de baixa utilização. A tarefa deve ser agendada
diariamente.

62 O Windows fornece o Sistema de Arquivos de Criptografia como um mecanismo embutido para permitir a criptografia de arquivos e pastas de
usuários individuais. Esteja ciente das advertências envolvidas no uso do EFS antes de implementá­lo para uso geral, no entanto. Outras
opções, como PGP e GNUPG também existem.
Outra opção de criptografia a ser considerada é a criptografia de todo o disco, que criptografa todo o conteúdo da unidade em vez de apenas
arquivos e pastas específicos. O Windows vem com o BitLocker para isso.
Se a criptografia está sendo usado em conjunto com os dados de categoria I, uma das soluções listadas nos métodos de criptografia
aprovados (EID necessário) deve ser implementado.

63 O Windows tem um recurso chamado Proteção de Recursos do Windows que verifica automaticamente determinados arquivos de chaves e os
substitui se eles ficarem corrompidos. É ativado por padrão.
Você pode auditar em muito mais em profundidade usando Tripwire. Versões modernas do Tripwire requerem a compra de licenças para poder
usá­lo. O console de gerenciamento Tripwire pode ser muito útil para gerenciar instalações mais complexas.

64 Essa configuração é configurada pelo objeto de diretiva de grupo em:

\Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\
Remote Desktop Session Host\Security

Este objeto de diretiva deve ser configurado como abaixo:
Definir nível de criptografia de conexão do cliente ­ Alto
Exigir o uso de camada de segurança específica para conexões remotas (RDP) ­ SSL (TLS 1.0)
Exigir autenticação de usuário para conexões remotas usando autenticação de nível de rede ­ ativado

69 1. Abra o painel de controle Propriedades de vídeo.
2. Selecione a guia Protetor de tela.
3. Selecione um protetor de tela da lista. Embora existam vários disponíveis, considere o uso de um simples, como "em branco."
4. O valor para Wait deve ser não mais do que 15 minutos.
5. Seleccione a reiniciar, proteger com senha opção.

Copyright © 2001­2011 Serviços de Tecnologia da Informação. Todos os direitos reservados.

https://wikis.utexas.edu/display/ISO/Windows+Server+2012+R2+Hardening+Checklist 5/5