Unidade6 roteiro
Upcoming SlideShare
Loading in...5
×
 

Unidade6 roteiro

on

  • 405 views

 

Statistics

Views

Total Views
405
Views on SlideShare
405
Embed Views
0

Actions

Likes
0
Downloads
12
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Unidade6 roteiro Unidade6 roteiro Document Transcript

  • Curso Técnico de Manutenção e Suporte em Informática Segurança da Informação Prof. Leandro Almeida Roteiro – Hardening pós-instalação em WindowsObs: este hardening é uma adaptação do disponível em http://www.csirt.pop-mg.rnp.br/docs/hardening/windows.html 1 Atualizações e Pacthes Todo sistema operacional deve ser atualizado com frequência, assim como seuscomponentes, programas e serviços instalados. O Windows possui um sistema automáticopara verificar se os pacotes estão desatualizados e passíveis de falhas - o Windows Update.Além disto, existem vários gerenciadores de versões de programas comerciais, Freewares eSharewares instalados na máquina, que auxiliam o usuário final a manter seu sistema sempreatualizado. Para manter um sistema Windows atualizado, siga os procedimentos abaixo: • Windows Update: O Windows Update é um serviço de atualização dos sistemas operacionais da Microsoft (a partir do Windows 98) responsável por atualizar o sistema. A cada mês, a Microsoft lança um “pacote” de atualizações, que pode consistir em correções de bugs, falhas de segurança e outras melhorias. Entretanto, se houver uma falha de segurança muito crítica, a correção é expedida o mais brevemente possível. Manter o sistema atualizado com os últimos patches é de extrema importância, já que um usuário mal-intecionado pode usar falhas recentes para comprometer um sistema. O Windows Update verifica a versão de seus produtos da Microsoft. Se houver uma versão mais antiga que a atual, é “liberado” no site uma atualização. Assim, o usuário pode atualizar somente os produtos de que necessita. No Windows Update também é possível transferir produtos em fase beta, bastando para isso que o usuário ative esta opção. Para o acesso ao Windows Update, é necessário o sistema operacional Windows 98 ou mais atual, e o navegador Internet Explorer a partir da versão 6. Além do Windows Update, há também o Microsoft Update, que fornece atualização para outros aplicativos da microsoft, como o Microsoft Office. Para
  • configurar vá em Iniciar > Painel de Controle > Atualizações automáticas - Deixe marcado a opção Automática(recomendado). • UpdateStar: O UpdateStar é um gerenciador gratuito que pode ser usado para manter seu sistema atualizado com as últimas versões de programas comerciais, Freewares e Sharewares. Ele tem uma base com mais de 80.000 softwares cadastrados e foi eleito o melhor programa do gênero em uma comparação realizada pelo site ghacks.net. Para instalar, faça o download em http://www.updatestar.com 2 Firewall Existe uma quantidade grande de soluções firewall disponível. Para usuáriosdomésticos que usam o sistema Windows, um dos mais conhecidos é o ZoneAlarm, que dispõede uma versão gratuita e outra paga, com mais recursos. Em ambos os casos, é possívelutilizar configurações pré-definidas, que oferecem bons níveis de segurança. O site para fazero download do software é o www.zonealarm.com. Vale citar que o Windows XP já vem com um firewall, que apesar de não ser tãoeficiente, é um bom aliado na segurança. Para ativá-lo, vá em Iniciar > Configurações >Conexões de Rede > Conexão Local > Avançado e habilite o Firewall de Conexão com aInternet. Caso sua internet chegue por uma placa wireless você deve habilitar o firewall paraConexão de Rede Sem Fio. O uso de mais de um firewall ao mesmo tempo é desaconselhável. Em muitos casos,isto irá gerar um conflito entre os programas, tornando a conexão com a internet instável,além de prejudicar a performance do sistema. Para proteger a rede com várias camadas, o usode um Firewall baseado em Hardware pode ser interessante. 3 Netbios Um item importante que deve ser observado é a presença do protocolo NetBios. ONetBios é uma interface que fornece às aplicações de rede um serviço de transmissãoorientada à conexão, um serviço de nomes para identificar seus usuários na rede, eopcionalmente um serviço de transmissão de datagramas não confiável. Em outras palavras,com esse protocolo ativado, algumas portas de sua máquina ficam em estado de escuta(abertas), e através dessas portas que são feitas invasões, além é claro, do alto tráfego de vírusque passam pelas mesmas. O NetBios usa as seguintes portas UDP/137, UDP/138, UDP/139. Para desabilitar a interface NetBios: 1.Na área de trabalho, clique com o botão direito do mouse em Meu Computador e clique em Propriedades. 2.Clique na alça Hardware e clique no botão Gerenciador de Dispositivos. 3.Clique no menu Exibir e depois em Mostrar dispositivos ocultos. 4.Expanda (clique no símbolo +) Drivers que não são Plug and Play. 5.Clique com o botão direito em NetBT (NetBios) em TCP/IP e clique em Desinstalar. O serviço de nomes NetBios permite a resolução de nomes sem usar um servidor WINS.O Serviço Transmissão de Datagramas NetBios é usado por aplicações como o serviçoMensageiro e serviço do Browser, além de outras aplicações que usam a interface deMailslots. O Serviço de Seção NetBios está presente na maior parte das redes, e é responsávelpelas transferências/impressões pela rede, e por aplicações remotas como o Gerenciador do
  • Servidor e o Gerenciador de Usuários. Desativar a interface pode prejudicar e até mesmoparar totalmente estes serviços. 4 SMB Um outro vilão, e que trabalha junto com o NetBios, é o SMB (Bloco de Mensagem deServidor), que opera na porta 445, porta essa que passa tráfego de muitos vírus. O fato dedesabilitarmos as portas que o NetBios trabalha, não resolve o problema, pois na ausência dasmesmas todo o tráfego da interface NetBios é direcionado para essa porta. Portanto, essesserviços devem ser desabilitados. A interface NetBios deve ser desabilitada nas propriedadesde rede, e o SMB, removendo o Compartilhamento de Arquivos e Impressoras para RedeMicrosoft e Cliente para Redes Microsoft. Vale lembrar que o item Cliente para RedesMicrosoft deve ser desabilitado somente se você não possuir uma rede local. Já o itemCompartilhamento de Arquivos e Impressoras pode ser desabilitado mesmo você tendo umarede local, desde que não haja a necessidade de compartilhamento de impressora e arquivosna rede.Para desabilitar o SMB: 1. No menu Iniciar, aponte para Configurações e, em seguida, clique em Conexões de Rede. 2. Clique com o botão direito do mouse na conexão com a Internet e clique em Propriedades. 3. Selecione Cliente para Redes Microsoft e clique em Desinstalar. 4. Siga as etapas de instalação. 5. Selecione Compartilhamento de Arquivos e Impressoras para Redes Microsoft e clique em Desinstalar. 6. Siga as etapas de instalação. Esses passos desabilitam a escuta no host direto SMB nas portas TCP/445 e UDP 445. Observação: esse procedimento desabilita o driver nbt.sys. A guia WINS da caixa dediálogo Configurações TCP/IP Avançadas contém uma opção Desativar NetBios sobre TCP/IP.Selecionar essa opção somente desabilita o Serviço de Sessão NetBIOS (que escuta na portaTCP 139). Ela não desabilita o SMB completamente. Para isso, siga as etapas descritas acima. Como um impacto inicial, nenhum sistema poderá se conectar com o servidor via SMB. Os servidores não poderão acessar pastas compartilhadas na rede e muitasferramentas de gerenciamento não conseguirão se conectar aos servidores. 5 Contas de usuário O uso de contas não administrativas garante uma proteção eficaz contra Malwares. Amaioria das atividades diárias (navegar na Internet, ler E-mail, mensageiros instantâneos etc)não necessitam de privilégios administrativos: pode-se restringir a conta do administradorpara tarefas de manutenção, instalação e configuração do sistema. Esta medida restringedrasticamente a exposição a Malwares. O simples fato de limitar a conta do usuário inibe a ação de vários exploits (falhas),que necessitam de privilégios elevados para explorar falhas remotas. De posse da conta deadministrador, um intruso pode:
  • •Instalar rootkits no kernel, além keyloggers •Instalar e executar serviços •Instalar controles do ActiveX, incluindo add-ins para o IE(infectados com spyware e adware) •Acessar dados de outros usuários •Capturar/Registrar as ações de todos os usuários •Substituir os Arquivos de Programas do sistema operacional com Trojans •Acessar os LSA Secrets,além de informações sensíveis das contas de usuários •Desabilitar/Desinstalar anti-vírus •Cobrir os rastros apagando logs do sistema •Desativar o boot do sistema •Se a mesma conta for usada em outros computadores da sub-rede, o intruso pode ganhar controle sobre várias máquinas Uma conta de Convidado permite que usuários sem conta no sistema acessem ocomputador. Na instalação padrão do Windows, ela já vem desabilitada. Além de desabilitar aconta Guest, é possível renomear e/ou proteger a conta com uma senha. Entre no Painel deControle > Ferramentas Administrativas > Gerenciamento do Computador. A conta de Administrador é capaz de modificar quaisquer permissão e configuração dosistema. A contas padrão “Administrator” e/ou “Administrador” são altamente visadas nosataques de força bruta. Para evitar que intrusos ganhem privilégios administrativos usando aconta de Administrador, é altamente recomendável renomeá-la: 1.Vá em Painel de Controle > Ferramentas Administrativas > Gerenciamento do Computador
  • 2.Entre na aba Usuários e Grupos Locais, clique com o botão direito em “Administrador” (ou “Administrator” para sistemas em inglês) e clique em renomear. 3.Em seguida, clique novamente com o botão direito no “Administrador” e vá até Propriedades e edite a descrição para a conta de usuário, para não revelar sua identidade. Se a conta de Administrador não estiver protegida por senha, ajuste-a nesse momento.Para verificar todos os usuários pertencentes ao grupo de administradores, pode-se usar outilitário net, no Prompt de Comando: Para Sistemas em Inglês: net localgroup administrators Para Sistemas em Português: net localgroup administradores