Com o Assistente de Configuração de Segurança (ACS), você pode criar, editar e aplicar uma diretiva de segurança. Você também pode reverter a última diretiva de segurança aplicada se ela não funcionar conforme esperado.
O ACS inclui uma ferramenta de linha de comando, Scwcmd, que pode ser usada para executar várias tarefas. Para obter mais informações, consulte
Criação de uma nova diretiva de segurança
Você pode criar uma diretiva de segurança que configura serviços, Firewall do Windows com Segurança Avançada, configurações de diretivas de auditoria e configurações específicas do Registro. A diretiva de segurança é um arquivo .xml que pode ser editado e aplicado com o ACS. A diretiva pode ser transformada em um GPO (objeto de diretiva de grupo), usando a ferramenta de linha de comando Scwcmd. Uma vez iniciado o ACS, não é necessário concluir todas as seções na mesma sessão. Para ignorar seções, marque a caixa de seleção Ignorar esta seção no início de cada seção não completada, salve a diretiva e use o ACS para editar a diretiva mais tarde. Se você marcar a caixa de seleção Ignorar esta seção depois de configurar parte de uma seção, suas alterações não serão salvas ou aplicadas. As configurações nas seções ignoradas permanecem indefinidas até você editar a diretiva de segurança e definir essas configurações.
Edição de uma diretiva de segurança existente
Você pode editar uma diretiva de segurança já criada com o ACS. Você deve clicar em Editar diretiva de segurança existente antes de poder navegar até o local da diretiva de segurança que deseja editar. A diretiva editada pode ser armazenada no local ou em uma rede. Você pode usar o ACS para editar diretivas com extensão de nome de arquivo .xml. Os modelos de segurança com extensão .inf não podem ser editados com o ACS.
Não há suporte para a edição manual da diretiva de segurança. Você deve usar o ACS para editar uma diretiva de segurança criada com o ACS.
Aplicando uma diretiva de segurança existente
Ao criar uma diretiva de segurança com o ACS, você pode aplicá-la a um servidor de teste ou ao seu ambiente de produção. Você pode usar a ferramenta de linha de comando Scwcmd para aplicar a mesma diretiva a vários servidores. Você pode usar o comando scwcmd transform para criar GPOs. Somente diretivas de segurança no formato .xml podem ser aplicadas com a ACS.
Quando o servidor selecionado é membro de um domínio Active Directory, a diretiva de segurança do GPO baseada em domínio geralmente substitui configurações do Registro que foram diretamente definidas com o ACS. Para evitar que isso ocorra, você pode criar um GPO usando o comando scwcmd transform e aplicar o GPO por meio dos Serviços de Domínio Active Directory (AD DS).
Para obter mais informações sobre os valores do Registro configurados com o ACS, consulte Configurações do Registro.
Importante | |
É altamente recomendável que você teste uma diretiva de segurança recém-criada ou modificada antes de aplicá-la a seu ambiente de produção. O teste minimiza a possibilidade de que a nova diretiva cause um comportamento inesperado, como questões de compatibilidade, no ambiente de produção. |
Revertendo a última diretiva de segurança aplicada
Se você aplicou uma diretiva de segurança com o ACS que provoca a diminuição da funcionalidade de um servidor ou produz outros resultados indesejadas, é possível reverter a diretiva de segurança para que ela não seja mais aplicada ao servidor. No entanto, se a diretiva for editada na Diretiva de Segurança Local depois que você aplicá-la, as alterações não poderão ser revertidas e permanecerão em sua configuração atual.
Para valores do Registro e de serviços, o processo de reversão restaura configurações que foram alteradas durante o processo de configuração. Para o Firewall do Windows com Segurança Avançada, o processo de reversão remove qualquer diretiva do ACS atualmente em uso e aplica a diretiva anterior, que era usada no momento da configuração.