Manual de Configuracao de Maquina - Versao 0008

CONFIGURAÇÃO DE MÁQUINAS DAS AUTORIDADES DE REGISTRO
Controle de Versão
ITEM DESCRIÇÃO DA ALTERAÇÃO
Todo documento Atualizado layout desde documento.
Item 12.1 - Alterado endereço de NTP para
Procedimentos sincronização de hora de 200.20.186.75 ou
200.20.186.94 para ntp.certisign.com.br.
Sumário
Propósito e Usuários ....................................................................................................................................... 3

Documentos de Referência ............................................................................................................................. 3
Definições ........................................................................................................................................................ 3
1. Antivírus .............................................................................................................................................. 4
2. Sistema Operacional, atualizações e licenciamento ........................................................................... 4
2.1. Verificando a versão do Sistema Operacional.................................................................................. 4
2.2. Alterando o modo de exibição no Painel de Controle ..................................................................... 5
3. Procedimento para atualização do Sistema Operacional ................................................................... 6
4. Configurações Mínimas de Segurança ................................................................................................ 9
4.1 Proteção de Tela................................................................................................................................ 9
4.2 Impedimento de login remoto. ....................................................................................................... 11
5. Senha forte na estação de trabalho da AR ........................................................................................ 12
6. Bloqueio de conta ............................................................................................................................. 13
7. Auditoria nas estações de trabalho da AR ........................................................................................ 14
7.1 Procedimento para configuração de logs de auditoria nas estações da AR ................................... 14
8. Configuração de Contas de Usuários do Sistema Operacional ......................................................... 18
8.1 Procedimento para configurar as contas dos usuários ................................................................... 18
8.1.1 Desabilitar o usuário “convidado” na estação da AR ................................................................... 18
8.1.2 Contas de Agentes de Registro (Usuários Ativos) ........................................................................ 20
9. Visualizador de Eventos .................................................................................................................... 21
9.1 Procedimento para configurar as opções do Event Viewer ............................................................ 21
10. Firewall .......................................................................................................................................... 22
10.1. Procedimento para configuração de firewall pessoal na estação da AR ..................................... 22
11. Ferramenta Anti-Spyware ............................................................................................................. 27
12. Sincronismo de hora ..................................................................................................................... 27
Revisão: 007
Aprovação: 12/05/2020 - Próxima Revisão: 12/05/2021 DOCUMENTO
INTERNO
Página 1 de 45
Número de Referência: 4701
12.1 Sincronismo de hora...................................................................................................................... 27

13. Configurações Obrigatórias de Criptografia .................................................................................. 29
13.1 Preparativos para configuração do Bitlocker ................................................................................ 29
13.2. Configurando o aplicativo do Bitlocker ........................................................................................ 32
14. Configurações Obrigatórias de Integridade .................................................................................. 36
14.1. Procedimento de registro em caso de alteração do conteúdo .................................................... 36
15. Download necessários................................................................................................................... 42
15.1 Configurações do navegador Internet Explorer ............................................................................ 43
16. Biometria. ...................................................................................................................................... 45
Revisão: 007
INTERNO
Página 2 de 45
Propósito e Usuários
O propósito deste manual é descrever os procedimentos mínimos a serem adotados pelas Autoridades de
Registros e fazer com que o ambiente lógico de uma AR atenda a todos os requisitos propostos pelo
Instituto Nacional de Tecnologia da Informação – ITI no DOC-ICP-03.01 Características Mínimas de
Segurança para as AR da ICP-Brasil – v3.1.
Este manual é de propriedade da Certisign Certificadora Digital S.A e de acordo com sua política de
classificação da informação, este documento é classificado como RESTRITO e sua divulgação, reprodução
ou cópia de forma parcial ou integral são proibidas.
Este documento pode ser alterado sem aviso prévio. Após a alteração, a Certisign se compromete a
divulgá-lo às suas Autoridades de Registro.
Este manual é aplicado a todas as Autoridades de Registro.
Usuários deste documento são todas as Autoridades de Registro, Infraestrutura de TI e Suporte ao

Agente, Serviços ICP, Operacional Canais, Segurança.
Documentos de Referência
 ABNT NBR ISO 9001:2015 - Sistemas de Gestão da Qualidade
 ABNT NBR ISO/IEC 27001:2013 – Sistemas de Gestão da Segurança da Informação
 DOC-ICP-03.01 – Características mínimas de segurança para as AR´S da ICP-BRASIL
Definições
 AR: Autoridade de Registro consiste em regular o tráfego de dados
entre redes distintas e impedir a
 Anti-Spywares: São programas utilizados transmissão e/ou recepção de acessos
para combater programas espiões. nocivos ou não autorizados de uma rede
para outra (invasão), protegendo assim
 Bitlocker: Recurso disponível em algumas os recursos de hardware e software.
versões de Sistema Operacional que
criptografa volumes de disco.  Sistema Operacional: É um programa ou
um conjunto de programas cuja função é
 Event Viewer: Permite que as logs de gerenciar os processos e operações do
eventos sejam exibidas aos sistema de um computador.
administradores e usuários em uma
máquina local ou por meio remoto.  Senha forte: São senhas que contêm
números, letras (maiúsculas e minúsculas) e
 Firewall: É um dispositivo ou software de caracteres especiais.
uma rede de computadores ou de um
computador que tem por objetivo
aplicar uma política de segurança a um
determinado ponto da rede. Sua função
Revisão: 007
INTERNO
Página 3 de 45
1. Antivírus
É obrigatória a instalação de uma ferramenta Antivírus licenciada para uso corporativo nas máquinas
designadas para as operações da Autoridade de Registro. Esta ferramenta deve ser atualizada
diariamente, de maneira automática via internet ou manualmente pelo administrador responsável
pelo ambiente de rede da AR.
2. Sistema Operacional, atualizações e licenciamento

Os sistemas operacionais, bem como seus aplicativos, devem ser licenciados e mantidos atualizados
sempre que publicadas novas correções de segurança que possam afetar seu funcionamento. Os
sistemas operacionais homologados pela Certisign são: Windows 8.1 Pro e Windows 10 Pro (versão
1809; 1903).
2.1. Verificando a versão do Sistema Operacional
Antes de prosseguir com as configurações, certifique-se do Sistema Operacional utilizado

acessando “Executar” pressionando simultaneamente os botões em seu teclado.
Em seguida digite o comando “winver” e pressione “Ok”.
Revisão: 007
INTERNO
Página 4 de 45
A imagem a seguir será exibida de acordo com seu Sistema Operacional
 Windows 8.1 Pro
 Windows 10 Pro – 1809 e 1903
2.2. Alterando o modo de exibição no Painel de Controle
No decorrer do documento, é necessário acessar o “Painel de Controle” para acesso a alguns

menus de configuração, no entanto o modo de exibição poderá não exibir o menu descrito na
seção. Para que os ícones de menus necessários sejam exibidos, altere o modo de exibição
conforme abaixo:
Revisão: 007
INTERNO
Página 5 de 45
No “Painel de
Controle”, altere a
opção “Exibir por:
Categoria”
Para “Exibir por:

Ícones grandes”
3. Procedimento para atualização do Sistema Operacional
Para manter o sistema operacional atualizado, o administrador responsável pela estação da AR deve
configurá-la para que o mesmo seja atualizado automaticamente ou então, se preferir, executá-las
manualmente.
As seguintes configurações devem ser executadas:
 Windows 8.1
Executar o aplicativo “Windows Update” através do caminho “Iniciar > Painel de Controle >
Segurança > Windows Update”.
Clicar em “Alterar configurações”.
Modificar os parâmetros de acordo com a figura a seguir:
Revisão: 007
INTERNO
Página 6 de 45
 Windows 10 – versão 1809
Executar o aplicativo “Windows Update” através do caminho “Iniciar > Configurações >
Atualização e Segurança > Windows Update”.
Clicar em “Opções Avançadas”.
Na opção “Atualizar opções” ative o item “Fornecer atualizações para outros produtos
Microsoft quando eu atualizar o Windows” e na opção “Pausar Atualizações” mantenha o
item “Desativado”.
Revisão: 007
INTERNO
Página 7 de 45
Na opção “Escolher quando as atualizações são instaladas” selecione a opção “Canal

Semestral”. Mantenha as opções de adiamento das atualizações como zero.
 Windows 10 – versão 1903
Executar o aplicativo “Windows Update” através do caminho “Iniciar > Configurações >
Atualização e Segurança > Windows Update”.
Clicar em “Opções Avançadas”.
Na opção “Opções de atualização” ative o item “Receba atualizações para outros produtos
Microsoft quando você atualizar o Windows” e na opção “Pausar Atualizações” mantenha o
item “Selecionar data”.
Revisão: 007
INTERNO
Página 8 de 45
Na opção “Escolher quando as atualizações são instaladas”. Mantenha as opções de

adiamento das atualizações como “zero”.
4. Configurações Mínimas de Segurança
De acordo com o DOC-ICP-03.01 (Características Mínimas de Segurança para a AR da ICP-Brasil), item

4.1. Estações de Trabalho:
4.1.1. As estações de trabalho da AR, incluindo equipamentos portáteis, devem estar

protegidas contra ameaças e ações não autorizadas, bem como contra o acesso, uso
ou exposição indevidos
4.1 Proteção de Tela
As estações de trabalho da AR devem possuir proteção de tela acionada em até dois minutos de
inatividade no máximo, exigindo senha do usuário para desbloqueio. Este procedimento deve
ser executado como Administrador Local da Máquina e deve ser repetido no perfil de cada
agente.
 Windows 8.1
Clicar com o botão direito na área de trabalho > Opção "Personalizar"
Clicar em “Proteção de Tela”
Selecionar a opção “Nenhum”
Nota: Caso a opção acima não esteja disponível, selecione uma proteção de tela de
sua preferência, aplique as configurações, e em seguida selecione a opção “Nenhum”
Marcar a opção “Ao reiniciar, exibir tela de logon”
Revisão: 007
INTERNO
Página 9 de 45
Configurar a opção “Aguardar” para 2 minutos
 Windows 10 – (Poderão haver ligeiras diferenças nas telas de acordo com a versão do
Windows 10 utilizado, sem alteração do resultado final)
Clicar com botão direito na área de trabalho > Opção “Personalizar”.
Clicar “Tela de Bloqueio > Configurações de proteção de tela”.
Selecionar a opção “Nenhum”.
Nota: Caso a opção acima não esteja disponível, selecione uma proteção de tela de
sua preferência, aplique as configurações, e em seguida selecione a opção “Nenhum”
Revisão: 007
INTERNO
Página 10 de 45
Marcar a opção “Ao reiniciar, exibir tela de logon”.
Configurar a opção “Aguardar” para 2 minutos.
4.2 Impedimento de login remoto.
As estações de trabalho da AR devem possuir impedimento de login remoto, via outro

equipamento ligado à rede de computadores utilizada pela AR, exceto para as atividades de
suporte remoto. Este procedimento deve ser executado como Administrador Local da Máquina.
Acessar “Painel de Controle > Sistema e Segurança > Sistema”
Clicar no menu “Configurações Remotas”
Revisão: 007
INTERNO
Página 11 de 45
Modificar os parâmetros da aba “Remoto” conforme imagem seguinte.
5. Senha forte na estação de trabalho da AR

As estações de trabalho da AR, incluindo equipamentos portáteis, devem exigir senhas fortes para o
login dos usuários.
Este procedimento deve ser executado como Administrador Local da Máquina.
Nota: Caso necessário alterar o modo de exibição do “Painel de Controle”, consulte a seção 2.2.
Alterando o modo de exibição no Painel de Controle
Executar o aplicativo “Política de Segurança Local” em “Iniciar > Painel de Controle > Ferramentas
administrativas > Política de Segurança Local”.
Modificar os parâmetros referentes a “Políticas de Senha”, de acordo com a figura seguinte, em

“Configurações de Segurança" > "Política de conta" > "Política de senha”
Revisão: 007
INTERNO
Página 12 de 45
6. Bloqueio de conta
As estações de trabalho da AR, incluindo equipamentos portáteis, devem possuir políticas de senha e
de bloqueio de conta.
Atenção: Cada agente de registro deve possuir uma conta/senha individual para execução de suas
atividades.
Este procedimento deve ser executado como Administrador Local da Máquina.
Executar o aplicativo “Política de Segurança Local” em “Iniciar > Painel de Controle > Ferramentas
administrativas > Política de Segurança Local”.
Modificar os parâmetros referentes à “Política de bloqueio de conta”, de acordo com a figura

seguinte, em “Configurações de Segurança" > Política de conta > "Política de bloqueio de conta”.
Revisão: 007
INTERNO
Página 13 de 45
7. Auditoria nas estações de trabalho da AR

As estações de trabalho da AR, incluindo equipamentos portáteis, devem possuir logs de auditoria do
sistema operacional ativados, registrando:
 Iniciação e desligamento do sistema;
 Tentativas de criar, remover, definir senhas ou mudar privilégios de usuários;
 Mudanças na configuração da estação;
 Tentativas de acesso (login) e de saída do sistema (logoff);
 Tentativas não autorizadas de acesso aos arquivos de sistema;
 Tentativas de iniciar, remover, habilitar e desabilitar usuários e de atualizar e recuperar suas

chaves;
7.1 Procedimento para configuração de logs de auditoria nas estações da AR
As “Configurações Avançadas de Política de Auditora” oferecem controle detalhado sobre as

políticas de auditoria. Para aferir sua configuração poderá ser usado o comando auditpol/get
/category:* através do Prompt de Comando com permissões administrativas. A imagem abaixo
é meramente ilustrativa.
Este procedimento deve ser executado como Administrador Local da Máquina:
Revisão: 007
INTERNO
Página 14 de 45
Executar o aplicativo “Política de Segurança Local” em “Iniciar > Painel de Controle >
Ferramentas Administrativas > Política de Segurança Local”
Modificar os parâmetros referentes à “Opções de segurança”, de acordo com a figura abaixo,

em “Configurações de Segurança > Políticas Locais > Opções de segurança> Auditoria: forçar
configurações de subcategorias de políticas de auditoria (Windows Vista ou superior) para
substituir configurações de categorias de políticas de auditoria”
Modificar os parâmetros referentes à “Política de Auditoria”, de acordo com a figura abaixo, em

“Configurações de Segurança > Políticas Locais > Políticas de Auditoria”
Revisão: 007
INTERNO
Página 15 de 45
Modificar os parâmetros referentes à “Políticas de Auditoria de Sistema- Objeto de Política de

Grupo Local”, de acordo com a figura abaixo, em “Configurações de Segurança > Configuração
Avançada de Política de Auditoria > Políticas de Auditoria de Sistema- Objeto de Política de
Grupo Local”
Os logs de auditoria que devem ser configurados foram descritos abaixo. Alguns itens abaixo
podem estar diferentes de acordo com o Sistema Operacional utilizado.
Nota: Os itens marcados com asterisco (*), estão disponíveis somente para o Windows 10.
Logon de Conta
Política Configuração
Auditoria de Validação de Credenciais Falha
Auditoria de Serviço de Autenticação Kerberos Não Configurado
Auditoria de Operações do Tíquete de Serviço Kerberos Não Configurado
Auditoria de Outros Eventos de Logon de Conta Falha
Gerenciamento de Conta
Auditoria de Gerenciamento de Grupo de Aplicativos Não Configurado
Auditoria de Gerenciamento de Conta de Computador Êxito. Falha
Revisão: 007
INTERNO
Página 16 de 45
Auditoria de Gerenciamento de Grupo de Distribuição Não Configurado

Auditoria de Outros Eventos de Gerenciamento de
Êxito. Falha
Contas
Auditoria de Gerenciamento de Grupo de Segurança Êxito. Falha
Auditoria de Gerenciamento de Conta de Usuário Êxito. Falha
Monitoração Detalhada
Auditoria de Atividade DPAPI Não Configurado
Auditar Atividade PNP* Não Configurado
Auditoria de Criação de Processo Não Configurado
Auditoria de Terminação de Processo Falha
Auditoria de Eventos de RPC Êxito. Falha
Auditar Direito de Token Ajustado* Não Configurado
Logon/ Logoff
Auditoria de Bloqueio de Conta Êxito
Auditar Declarações do Usuário/Dispositivo Não Configurado
Audita Associação de Grupo* Não Configurado
Auditoria de Modo Estendido do IPsec Não Configurado
Auditoria de Modo Principal do IPsec Não Configurado
Auditoria de Modo Rápido do IPsec Não Configurado
Logoff de Auditoria Êxito
Logon de Auditoria Falha
Auditoria de Servidor de Política de Rede Não Configurado
Auditoria de Outros Eventos de Logon/ Logoff Não Configurado
Auditoria de Logon Especial Não Configurado
Acesso a Objeto
Auditoria de Aplicativo Gerado Êxito. Falha
Auditoria de Serviços de Certificação Êxito. Falha
Compartilhamento de Arquivos de Auditoria Detalhado Êxito. Falha
Auditoria de Compartilhamento de Arquivos Êxito. Falha
Auditoria de Sistema de Arquivos Êxito. Falha
Auditoria de Conexão de Plataforma de Filtragem Êxito. Falha
Auditoria de Descarte de Pacote de Plataforma de
Êxito. Falha
Filtragem
Auditoria de Manipulação de Identificador Êxito. Falha
Auditoria de Objeto Kernel Êxito. Falha
Auditoria de Outros Eventos de Acesso a Objetos Êxito
Auditoria de Registro Êxito. Falha
Auditoria de Armazenamento Removível Êxito
Auditoria de SAM Êxito. Falha
Preparo de Política de Acesso Central de Auditoria Êxito
Revisão: 007
INTERNO
Página 17 de 45
Alteração de Política
Auditoria de Alteração de Políticas de Auditoria Êxito. Falha
Auditoria de Alteração de Políticas de Autenticação Êxito. Falha
Auditoria de Alteração de Políticas de Autorização Êxito. Falha
Auditoria de Alteração na Políticas da Plataforma de
Não Configurado
Filtragem
Auditoria de Alteração na Políticas de Nível de Regra
Não Configurado
MPSSVC
Auditoria de Outros Eventos de Alteração de Políticas Não Configurado
Uso de Privilégio
Auditoria de Uso de Privilégio Não Importante Não Configurado
Auditoria de Outros Eventos de Uso de Privilégios Não Configurado
Auditoria de Uso de Privilégio Importante Falha
Sistema
Auditoria de Driver IPsec Não Configurado
Auditoria de Outros Eventos do Sistema Não Configurado
Auditoria de Alteração no Estado de Segurança Êxito. Falha
Auditoria de Extensão do Sistema de Segurança Não Configurado
Auditoria de Integridade do Sistema Êxito. Falha
8. Configuração de Contas de Usuários do Sistema Operacional
O agente de registro não deve possuir perfil de administrador das estações de trabalho da AR,
incluindo equipamentos portáteis, essa tarefa fica delegada a terceiros da própria organização, para
permitir a segregação de funções.
8.1 Procedimento para configurar as contas dos usuários
8.1.1 Desabilitar o usuário “convidado” na estação da AR
 Editar as propriedades do Usuário Convidado:
Executar o “Gerenciamento do Computador” em “Iniciar > Painel de Controle >
Ferramentas Administrativas > Gerenciamento do Computador”.
Clique em “Ferramentas do Sistema > Usuários e Grupos Locais > Usuários”.
Revisão: 007
INTERNO
Página 18 de 45
Clicar com o botão direito no “Usuário Convidado” e selecionar a opção:

“Propriedades”.
Desativar a conta, conforme a figura a seguir. Em seguida, clicar em OK.
Por motivos de segurança, desative a conta de administrador e crie um novo usuário

com permissão de administrador, essa conta não deve possuir o nome
“administrador”. Sugerimos que esta conta seja criada com o nome da AR, por
exemplo: “AR Certisign”.
IMPORTANTE: Apenas as contas do Administrador e de Agentes “ativos” devem estar

cadastradas e disponíveis, as demais contas devem ser excluídas ou bloqueadas.
Revisão: 007
INTERNO
Página 19 de 45
8.1.2 Contas de Agentes de Registro (Usuários Ativos)
Executar o “Gerenciamento do Computador” em “Iniciar > Painel de Controle >

Ferramentas Administrativas > Gerenciamento do Computador”
Clique em “Ferramentas de Sistema > Usuários e Grupos Locais > Usuários”
Clicar com o botão direito na pasta “Usuários” e selecionar a opção “Novo Usuário”
As contas devem ser configuradas individualmente da seguinte forma:
Atentar para o perfil do agente, que deverá estar sempre como Membro do Grupo
“Usuários”, conforme mostrado na figura a seguir:
Revisão: 007
INTERNO
Página 20 de 45
9. Visualizador de Eventos
Os logs de auditoria do sistema operacional devem registrar os acessos aos equipamentos e devem
ficar armazenados localmente para avaliação pela auditoria operacional ou equipe de segurança.
A análise desses logs deve ser realizada em caso de suspeitas quanto a acessos não autorizados ou
para dirimir outros tipos de dúvidas que possam surgir sobre a utilização dos equipamentos.
9.1 Procedimento para configurar as opções do Event Viewer
Atenção: Este procedimento deve ser executado como Administrador Local da Máquina.
Executar o aplicativo “Visualizador de Eventos” em “Iniciar > Painel de Controle > Ferramentas
Administrativas > Visualizador de Eventos”
Modificar os parâmetros das “Propriedades de Log”, de acordo com as figuras abaixo:
Clicar com o botão direito do mouse sobre o “Log de Segurança” e selecionar a opção
“Propriedades”
Configurar o sistema conforme descrito abaixo, essa configuração deve ser replicada para os
“Logs de Aplicativo” e “Logs de Sistema”:
Revisão: 007
INTERNO
Página 21 de 45
10. Firewall
As estações de trabalho da AR, incluindo equipamentos portáteis, devem possuir firewall pessoal
ativado, com permissões de acesso mínimas necessárias às atividades, podendo esse ser substituído
por firewall corporativo para equipamentos instalados em redes que possuam esse dispositivo.
10.1. Procedimento para configuração de firewall pessoal na estação da AR
Este procedimento é obrigatório somente para as estações de trabalho das Autoridades de

Registro que não estejam protegidas por um Firewall Corporativo:
Executar o aplicativo “Firewall do Windows” ou “Windows Defender Firewall” de acordo com o

Sistema Operacional utilizado. As imagens a seguir são ilustrativas.
Revisão: 007
INTERNO
Página 22 de 45
 Windows 8.1
“Iniciar > Painel de Controle > Firewall do Windows”
Clicar em “Ativar ou Desativar o Firewall do Windows”
Configurar o Firewall do Windows conforme imagem abaixo:
Revisão: 007
INTERNO
Página 23 de 45
No “Firewall do Windows”, clicar em “Configurações Avançadas > Propriedades do Firewall do

Windows”
No campo “Log > Personalizar”, modifique os parâmetros de acordo com a figura abaixo:
Revisão: 007
INTERNO
Página 24 de 45
 Windows 10
“Iniciar > Painel de Controle > Windows Defender Firewall”
Clicar em “Ativar ou Desativar o Windows Defender Firewall”
Configurar o “Windows Defender Firewall” conforme imagem abaixo (caso também esteja
disponível, ativar o “Windows Defender Firewall” para rede de domínio):
No “Windows Defender Firewall”, clicar em “Configurações Avançadas > Propriedades do

Windows Defender Firewall”
Revisão: 007
INTERNO
Página 25 de 45
No campo “Log > Personalizar”, modifique os parâmetros de acordo com a figura abaixo:
Revisão: 007
INTERNO
Página 26 de 45
11. Ferramenta Anti-Spyware

As estações de trabalho da AR, incluindo equipamentos portáteis, devem estar protegidas por uma
ferramenta anti-trojan e anti-spyware licenciada para uso corporativo, que devem estar habilitadas e
atualizadas.
Nota: Esta ferramenta deve ser instalada caso não esteja incluída na solução de Antivírus.
12. Sincronismo de hora
As estações de trabalho da AR, incluindo equipamentos portáteis, devem estar configuradas para
utilizarem a data e hora da Fonte Confiável do Tempo (FCT) ICP-Brasil, conforme previsto na DOC-ICP-
07.
12.1 Sincronismo de hora
Clique em “Iniciar > Painel de Controle > Data e Hora”.
Selecione a guia “Horário na Internet”, em seguida clique em “Alterar configurações”
Revisão: 007
INTERNO
Página 27 de 45
Selecione a opção “Sincronizar com um servidor de horário na Internet” e altere o valor da

caixa de texto “Servidor” para ntp.certisign.com.br conforme a imagem abaixo:
Nota: Caso o computador pertença a um domínio, a guia “Horário na Internet” não será exibida,
neste caso, as configurações de horário deverão ser realizadas no “Controlador de Domínio”.
Execute o “Editor de Registro do Windows” através do “Iniciar > Executar” e realize as

alterações conforme imagem abaixo para o que o sincronismo ocorra a cada 1 hora.
Revisão: 007
INTERNO
Página 28 de 45
13. Configurações Obrigatórias de Criptografia
De acordo com o DOC-ICP-03.01, é obrigatório nas Estações de Trabalho da AR a criptografia do

Hardware que contém componentes da aplicação da AC/AR ou que armazenem dados de solicitantes
de certificados digitais e será explanado neste item como realizar a configuração do Bitlocker para
esta finalidade.
13.1 Preparativos para configuração do Bitlocker
O Bitlocker é um recurso nativo de alguns sistemas operacionais e seu propósito é proteger,

criptografando os dados. Para manter o sistema operacional criptografado, o administrador
responsável pela estação da AR deve configurá-la utilizando o recurso Bitlocker com senha e
neste modo a senha é necessária sempre que ocorrer a inicialização.
As seguintes configurações devem ser executadas como preparativos para o Bitlocker:
Executar o aplicativo “Editor de Política de Grupo Local” através do caminho “Iniciar >
Executar”.
Digitar “gpedit.msc” e pressionar a tecla Enter.
Editar o item através do caminho “Configuração do Computador > Modelos Administrativos >
Componentes do Windows > Criptografia da Unidade de Disco Bitlocker > Unidades do
Sistema Operacional > Exigir autenticação adicional na inicialização”.
Revisão: 007
INTERNO
Página 29 de 45
Sistema Operacional > Proibir que usuários padrão alterem o PIN ou a senha”.
Revisão: 007
INTERNO
Página 30 de 45
Sistema Operacional > Configurar uso de senhas para unidades do sistema operacional”.
Revisão: 007
INTERNO
Página 31 de 45
13.2. Configurando o aplicativo do Bitlocker
Clicar em “Gerenciar Bitlocker” através do caminho “Iniciar > Painel de Controle > Sistema e
Segurança > Criptografia de Unidade de Disco Bitlocker”.
Clicar em “Ligar Bitlocker”:
Escolher a opção “Inserir uma senha”:
Digitar uma senha, confirmar a senha e clicar em "Avançar" conforme figura a seguir:
Revisão: 007
INTERNO
Página 32 de 45
NOTA: A senha será utilizada obrigatoriamente em todas as ocasiões que o computador for
reiniciado ou ligado.
Faça o backup, usando uma das opções que aparecerem disponíveis:
IMPORTANTE: A chave de recuperação é a única forma de recuperar o acesso em caso de

problemas com a senha de início, portanto, faça o backup em todas as opções possíveis e
Revisão: 007
INTERNO
Página 33 de 45
armazene-o em local seguro. Caso haja problemas com a senha e não tenha salvo o backup da
chave de recuperação, as informações salvas na estação de trabalho e o Sistema Operacional
serão perdidos e conteúdo será irrecuperável.
Clicar na opção conforme figura a seguir e depois clicar em "Avançar":
Clicar na opção conforme figura a seguir e depois clicar em "Avançar"
Revisão: 007
INTERNO
Página 34 de 45
Clique em "Continuar" conforme figura a seguir:
Em seguida, o computador deverá ser reiniciado.
Após o computador reiniciar, inserir a senha que foi definida em "Ligar Bitlocker"; pressione a
tecla “Enter” no teclado para continuar:
Ao carregar o Sistema Operacional, o processo de criptografia terá início, sendo este

transparente ao usuário e que não impede o uso da estação enquanto ele estiver em processo.
Revisão: 007
INTERNO
Página 35 de 45
14. Configurações Obrigatórias de Integridade

A configuração de Integridade de Aplicação é feita pela Auditoria de Acesso a Objetos do Windows.
O administrador deve especificar se deseja fazer a auditoria de êxitos, falhas, êxitos e falhas ou
nenhum tipo de evento (por exemplo, nenhum êxito e nenhuma falha).
Se a Auditoria de êxitos estiver habilitada, uma entrada de auditoria será gerada sempre que uma
conta acessar com êxito um objeto que não pertence ao Diretório com uma lista de controle de
acesso ao sistema especificada.
O Sistema Operacional deverá ter as opções de Auditoria habilitadas nas pastas críticas apontadas
neste manual, de forma a poder garantir a Integridade da Aplicação.
Nota: A configuração de Integridade disposta neste item teve início de suas configurações no item 7.
Auditoria nas estações de trabalho da AR, adicionando “Êxito” ao “Acesso a Objetos”. Sua
configuração é obrigatória.
14.1. Procedimento de registro em caso de alteração do conteúdo
O procedimento a seguir habilita o registro de modificação em pastas, isto significa que em caso
de modificação do conteúdo da pasta que estiver habilitado a auditoria, será criado um registro
dentro do Sistema Operacional.
As pastas que deverão estar obrigatoriamente com as configurações descritas neste item são:
a) "C:\Program Files (x86)\Certibio\BiometricLocalServicePlataform"
b) "C:\Users\Public\Documents\BiometricLocalServicePlataform"
Dessa forma, deverá ser feito o procedimento abaixo, em uma pasta por vez.
Clicar com o botão direito do mouse em cima da pasta e clicar em “propriedades”.
Clicar na aba "Segurança" conforme figura a seguir:
Revisão: 007
INTERNO
Página 36 de 45
Clicar no botão "Avançadas" conforme figura a seguir:
Revisão: 007
INTERNO
Página 37 de 45
Clicar na aba "Auditoria" conforme figura a seguir:
Clicar no botão "Continuar" conforme figura a seguir:
Revisão: 007
INTERNO
Página 38 de 45
Clicar no botão "Adicionar" conforme figura a seguir:
Clicar na opção "Selecionar uma entidade de segurança" conforme figura a seguir:
Digitar "todos" e clicar em "Verificar nomes" conforme figura a seguir:

Revisão: 007
INTERNO
Página 39 de 45
Clicar em "OK" conforme figura a seguir:
Clicar em "OK" conforme figura a seguir:
Clicar em "Mostrar permissões avançadas" conforme figura a seguir:

Revisão: 007
INTERNO
Página 40 de 45
Configure as opções conforme figura a seguir:
Clicar no botão "OK":
Revisão: 007
INTERNO
Página 41 de 45
15. Download necessários
Para preparar o seu computador para o certificado digital, acesse o link:

https://www.certisign.com.br/duvidas-suporte e instale, usando permissões administrativas, o
seguinte programa:
Revisão: 007
INTERNO
Página 42 de 45
 Certiinstaller
15.1 Configurações do navegador Internet Explorer
O primeiro acesso ao GAR deverá ser efetuado através da conta de usuário Administrador da
máquina.
Após o primeiro acesso ao GAR, deve-se alterar o perfil de usuário do Windows para o perfil do
agente de registro. Efetuar as seguintes configurações no navegador Internet Explorer (Com o
perfil de usuário do agente):
Executar o “Microsoft Internet Explorer > Menu Ferramentas” clicar na opção “Opções da
Internet”
Em seguida, selecionar a guia “Segurança” e clicar em “Sites Confiáveis”, após no ícone “Sites”,
caso o site https://gestaoar.certisign.com.br esteja inserido nesta zona como site confiável é
necessário removê-lo.
Revisão: 007
INTERNO
Página 43 de 45
Remova o site HTTPS://gestaoar.certisign.com.br do modo de compatibilidade conforme o

caminho: “ferramentas > Configuração do Modo de Compatibilidade”
Revisão: 007
INTERNO
Página 44 de 45
IMPORTANTE: As configurações apresentadas neste manual devem ser aplicadas a todas as

máquinas utilizadas pelos agentes de registro no atendimento ao cliente.
16. Biometria.
As estações de trabalho da AR, incluindo os equipamentos portáteis, devem receber, pelo menos, as
seguintes configurações de segurança:
 Equipamentos de coleta biométrica, em atendimento aos padrões da ICP-Brasil.
 Equipamentos que exijam a identificação biométrica do agente de registro durante a

identificação biométrica do requerente do certificado.
Revisão: 007
INTERNO
Página 45 de 45

Manual de Configuracao de Maquina - Versao 0008

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Manual de Configuracao de Maquina - Versao 0008

Enviado por

Direitos autorais:

Formatos disponíveis

CONFIGURAÇÃO DE MÁQUINAS DAS AUTORIDADES DE REGISTRO

Propósito e Usuários ....................................................................................................................................... 3

12.1 Sincronismo de hora...................................................................................................................... 27

Este manual é aplicado a todas as Autoridades de Registro.

Usuários deste documento são todas as Autoridades de Registro, Infraestrutura de TI e Suporte ao

 ABNT NBR ISO/IEC 27001:2013 – Sistemas de Gestão da Segurança da Informação

 DOC-ICP-03.01 – Características mínimas de segurança para as AR´S da ICP-BRASIL

2. Sistema Operacional, atualizações e licenciamento

2.1. Verificando a versão do Sistema Operacional

Antes de prosseguir com as configurações, certifique-se do Sistema Operacional utilizado

Em seguida digite o comando “winver” e pressione “Ok”.

A imagem a seguir será exibida de acordo com seu Sistema Operacional

 Windows 8.1 Pro

 Windows 10 Pro – 1809 e 1903

2.2. Alterando o modo de exibição no Painel de Controle

No decorrer do documento, é necessário acessar o “Painel de Controle” para acesso a alguns

Para “Exibir por:

3. Procedimento para atualização do Sistema Operacional

As seguintes configurações devem ser executadas:

Clicar em “Alterar configurações”.

Modificar os parâmetros de acordo com a figura a seguir:

 Windows 10 – versão 1809

Clicar em “Opções Avançadas”.

Na opção “Escolher quando as atualizações são instaladas” selecione a opção “Canal

 Windows 10 – versão 1903

Clicar em “Opções Avançadas”.

Na opção “Escolher quando as atualizações são instaladas”. Mantenha as opções de

4. Configurações Mínimas de Segurança

De acordo com o DOC-ICP-03.01 (Características Mínimas de Segurança para a AR da ICP-Brasil), item

4.1.1. As estações de trabalho da AR, incluindo equipamentos portáteis, devem estar

4.1 Proteção de Tela

Clicar com o botão direito na área de trabalho > Opção "Personalizar"

Clicar em “Proteção de Tela”

Selecionar a opção “Nenhum”

Marcar a opção “Ao reiniciar, exibir tela de logon”

Configurar a opção “Aguardar” para 2 minutos

Clicar com botão direito na área de trabalho > Opção “Personalizar”.

Clicar “Tela de Bloqueio > Configurações de proteção de tela”.

Selecionar a opção “Nenhum”.

Marcar a opção “Ao reiniciar, exibir tela de logon”.

Configurar a opção “Aguardar” para 2 minutos.

4.2 Impedimento de login remoto.

As estações de trabalho da AR devem possuir impedimento de login remoto, via outro

Acessar “Painel de Controle > Sistema e Segurança > Sistema”

Clicar no menu “Configurações Remotas”

Modificar os parâmetros da aba “Remoto” conforme imagem seguinte.

5. Senha forte na estação de trabalho da AR

Este procedimento deve ser executado como Administrador Local da Máquina.

Modificar os parâmetros referentes a “Políticas de Senha”, de acordo com a figura seguinte, em

Este procedimento deve ser executado como Administrador Local da Máquina.

Modificar os parâmetros referentes à “Política de bloqueio de conta”, de acordo com a figura

7. Auditoria nas estações de trabalho da AR

 Iniciação e desligamento do sistema;

 Tentativas de criar, remover, definir senhas ou mudar privilégios de usuários;

 Mudanças na configuração da estação;

 Tentativas de acesso (login) e de saída do sistema (logoff);

 Tentativas não autorizadas de acesso aos arquivos de sistema;

 Tentativas de iniciar, remover, habilitar e desabilitar usuários e de atualizar e recuperar suas

7.1 Procedimento para configuração de logs de auditoria nas estações da AR

As “Configurações Avançadas de Política de Auditora” oferecem controle detalhado sobre as

Este procedimento deve ser executado como Administrador Local da Máquina:

Modificar os parâmetros referentes à “Opções de segurança”, de acordo com a figura abaixo,

Modificar os parâmetros referentes à “Política de Auditoria”, de acordo com a figura abaixo, em