Linhas de base de segurança
Usando linhas de base de segurança em sua organização
A Microsoft dedica-se a fornecer aos seus clientes sistemas operativos seguros, como o Windows e o Windows Server, e aplicações seguras, como aplicações do Microsoft 365 para empresas e o Microsoft Edge. Além da garantia de segurança de seus produtos, a Microsoft também fornece vários recursos de configuração para permitir que você tenha o controle preciso dos seus ambientes.
Mesmo que o Windows e Windows Server sejam projetados para oferecer segurança integrada, muitas organizações ainda querem um controle mais granular de suas configurações de segurança. Para navegar por esse grande número de controles, as organizações precisam de diretrizes para configurar vários recursos de segurança. A Microsoft fornece essas diretrizes na forma de linhas de base de segurança.
É recomendável implementar uma configuração padrão do setor que seja amplamente conhecida e testada, como a linha de base de segurança da Microsoft, em vez de criar uma por conta própria. Esta configuração padrão do setor ajuda a aumentar a flexibilidade e a reduzir os custos.
Para obter mais informações, consulte a seguinte mensagem de blogue: Manter soluções bem conhecidas e comprovadas.
O que são linhas de base de segurança?
Todas as organizações enfrentam ameaças à segurança. No entanto, os tipos de ameaças de segurança que são mais preocupantes para uma organização podem ser diferentes de outra organização. Por exemplo, uma empresa de comércio eletrónico pode concentrar-se em proteger as suas aplicações Web com acesso à Internet, enquanto um hospital pode concentrar-se na proteção de informações confidenciais dos pacientes. O único aspecto que todas as organizações têm em comum é a necessidade de manter seus aplicativos e dispositivos seguros. Esses dispositivos devem ser compatíveis com os padrões de segurança (ou linhas de base de segurança) definidos pela organização.
Uma linha de base de segurança é um grupo de definições de configuração recomendadas pela Microsoft que explica as implicações de segurança. Essas configurações são baseadas nos comentários de equipes de engenharia de segurança, grupos de produtos, parceiros e clientes da Microsoft.
Por que as linhas de base de segurança são necessárias?
As linhas de base de segurança são um benefício essencial para os clientes porque reúnem o conhecimento especializado de parceiros e clientes da Microsoft.
Por exemplo, existem mais de 3000 definições de política de grupo para o Windows 10, que não incluem mais de 1800 definições do Internet Explorer 11. Dessas 4.800 configurações, apenas algumas são relacionadas à segurança. Embora a Microsoft ofereça extensas diretrizes sobre diferentes recursos de segurança, explorar cada uma pode levar muito tempo. Teria de determinar a implicação de segurança de cada definição por conta própria. Em seguida, ainda terá de determinar o valor adequado para cada definição.
Nas organizações modernas, o panorama das ameaças de segurança está em constante evolução e os responsáveis pelas políticas e profissionais de TI têm de acompanhar as ameaças de segurança e fazer as alterações necessárias às definições de segurança para ajudar a mitigar estas ameaças. Para permitir implementações mais rápidas e facilitar a gestão de produtos Microsoft, a Microsoft fornece aos clientes linhas de base de segurança disponíveis em formatos consumíveis, como cópias de segurança de objetos de política de grupo.
Edição do Windows e requisitos de licenciamento
A tabela seguinte lista as edições do Windows que suportam linhas de base de Segurança:
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
Sim | Sim | Sim | Sim |
Os direitos de licença das linhas de base de segurança são concedidos pelas seguintes licenças:
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
Sim | Sim | Sim | Sim | Sim |
Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.
Princípios de linha de base
As nossas recomendações seguem uma abordagem simplificada e eficiente às definições de linha de base. A base desta abordagem é essencialmente:
- As linhas de base foram concebidas para organizações bem geridas e conscientes da segurança em que os utilizadores finais padrão não têm direitos administrativos.
- Uma linha de base impõe uma definição apenas se mitigar uma ameaça de segurança contemporânea e não causar problemas operacionais que sejam piores do que os riscos que mitigam.
- Uma linha de base impõe uma predefinição apenas se for provável que seja definida como um estado inseguro por um utilizador autorizado:
- Se um não administrador puder definir um estado inseguro, imponha a predefinição.
- Se a definição de um estado inseguro exigir direitos administrativos, aplique a predefinição apenas se for provável que um administrador mal informado escolha incorretamente.
Como você pode usar linhas de base de segurança?
Você pode usar linhas de base de segurança para:
- Garantir que as definições de configuração de usuários e dispositivos sejam compatíveis com a linha de base.
- Definir configurações. Por exemplo, pode utilizar a política de grupo, o Microsoft Configuration Manager ou o Microsoft Intune para configurar um dispositivo com os valores de definição especificados na linha de base.
Onde posso obter as linhas de base de segurança?
Existem várias formas de obter e utilizar linhas de base de segurança:
As diretrizes de segurança podem ser baixadas no Centro de Download da Microsoft. Esta página de transferência destina-se ao Toolkit de Conformidade de Segurança (SCT), que inclui ferramentas que podem ajudar os administradores a gerir linhas de base, além das linhas de base de segurança. O SCT também inclui ferramentas para o ajudar a gerir as linhas de base de segurança. Também pode obter suporte para as linhas de base de segurança
As linhas de base de segurança de gestão de dispositivos móveis (MDM) funcionam como as linhas de base de segurança baseadas em políticas do grupo microsoft e podem facilmente integrar estas linhas de base numa ferramenta de gestão mdm existente.
As linhas de base de segurança mdm podem ser facilmente configuradas no Microsoft Intune em dispositivos com o Windows 10 e o Windows 11. Para obter mais informações, veja Lista das definições na linha de base de segurança mdm do Windows 10/11 no Intune.