|
Reportagens |
|
Donwload |
|
Programas |
|
|
|
Tutorial de Segurança para Windows
2000, XP e 2003 |
|
|
Por ëxþlørër |
|
|
Fronte ao turbilhão
de reclamações a respeito da segurança dos Windows 2k, XP e 2k3, e analisando
os últimos acontecimentos em relação a ataques de vírus que exploram
vulnerabilidades de certos serviços, descrevo aqui as mais significativas e
importantes configurações de segurança que devem ser imediatamente aplicadas,
a fim de reduzir ao máximo os transtornos a que estamos propensos. |
|
Desabilitando Serviços
supérfluos
Muitos serviços são
grandes portas abertas para vulnerabilidades. Desabilita-los, além de melhorar
a performance, melhora significativamente a segurança. A lista abaixo pode ser
utilizada em qualquer máquina, sempre lembrando de que se algum dos serviços
for necessário, o mesmo deve ser mantido habilitado.
Iniciar / Executar /
SERVICES.MSC
|
Serviço |
Sem conexões |
Modem |
Rede/ADSL |
|
Alerta |
Desativado |
Desativado |
Desativado |
|
Acesso a dispositivo
de interface humana |
Desativado |
Desativado |
Desativado |
|
Adaptador de
desempenho WMI |
Manual |
Manual |
Manual |
|
Agendador de Tarefas |
Desativado |
Desativado |
Desativado |
|
Ajuda do cartão inteligente |
Desativado |
Desativado |
Desativado |
|
Alocador Remote Procedure Call (RPC) |
Desativado |
Desativado |
Desativado |
|
Aplicativo de sistema
COM+ |
Manual |
Manual |
Manual |
|
Área de armazenamento |
Desativado |
Desativado |
Desativado |
|
Armazenamento
protegido |
Automático |
Automático |
Automático |
|
Armazenamento
removível |
Desativado |
Desativado |
Desativado |
|
Assistente de
aquisição de imagens do Windows (WIA) |
Desativado |
Desativado |
Desativado |
|
Atualizações
Automáticas |
Desativado |
Desativado |
Desativado |
|
Ajuda e Suporte |
Manual |
Manual |
Manual |
|
Áudio do Windows |
Automático |
Automático |
Automático |
|
Auxiliar NetBIOS
TCP/IP |
Desativado |
Desativado |
Desativado |
|
Carregar Gerenciador |
Desativado |
Desativado |
Desativado |
|
Cartão inteligente |
Desativado |
Desativado |
Desativado |
|
Chama de procedimento
remoto (RPC) |
Automático |
Automático |
Automático |
|
Cliente da Web |
Desativado |
Desativado |
Desativado |
|
Cliente de rastreamento
de link distribuído |
Desativado |
Desativado |
Desativado |
|
Cliente DHCP |
Desativado |
Desativado |
Automático |
|
Cliente DNS |
Desativado |
Desativado |
Automático |
|
Compartilhamento de
conexão com a Internet |
Desativado |
Desativado |
Desativado |
|
Compartilhamento
remoto da área de trabalho do NetMeeting |
Desativado |
Desativado |
Desativado |
|
Compatibilidade com
'Troca rápida de usuário' |
Desativado |
Desativado |
Desativado |
|
Conexões de rede |
Desativado |
Manual |
Manual |
|
Configuração zero sem
fio |
Desativado |
Desativado |
Desativado |
|
Coordenador de
transações distribuídas |
Desativado |
Desativado |
Desativado |
|
Cópia de volume em
memória |
Desativado |
Desativado |
Desativado |
|
DDE de rede |
Desativado |
Desativado |
Desativado |
|
Detecção do hardware
do shell |
Manual |
Manual |
Manual |
|
Directory Replicator |
Desativado |
Desativado |
Desativado |
|
DSDM de DDE de rede |
Desativado |
Desativado |
Desativado |
|
Erro ao informar o
serviço |
Desativado |
Desativado |
Desativado |
|
Estação de trabalho |
Automático |
Automático |
Automático |
|
Extensões de driver
de instrum. gerenc. do Windows |
Manual |
Manual |
Manual |
|
File Replication |
Desativado |
Desativado |
Desativado |
|
Firewall de conexão
com a Internet (FCI) / Compartilhamento de conexão com a Internet (CCI) |
Manual |
Manual |
Manual |
|
Fornecedor de suporte
de segurança NT LM |
Manual |
Manual |
Manual |
|
Gerenciador de
conexão de acesso remoto |
Desativado |
Automático |
Automático |
|
Gerenciador de
conexão de acesso remoto automático |
Desativado |
Desativado |
Desativado |
|
Gerenciador de contas
de segurança |
Manual |
Manual |
Manual |
|
Gerenciador de discos
lógicos |
Manual |
Manual |
Manual |
|
Gerenciador de sessão
de ajuda de área de trabalho remota |
Desativado |
Desativado |
Desativado |
|
Gerenciador de
utilitários |
Desativado |
Desativado |
Desativado |
|
Gerenciamento de
aplicativo |
Desativado |
Desativado |
Desativado |
|
Horário do Windows |
Desativado |
Desativado |
Desativado |
|
Host de dispositivo
Plug and Play universal |
Desativado |
Desativado |
Desativado |
|
HTTP SSL |
Manual |
Manual |
Manual |
|
IMAPI CD-Burning COM Service |
Manual |
Manual |
Manual |
|
Intersite Messaging |
Desativado |
Desativado |
Desativado |
|
IPSEC Policy Agent |
Desativado |
Desativado |
Desativado |
|
Keberos Key
Distribution Center |
Desativado |
Desativado |
Desativado |
|
License Logging
Service |
Manual |
Manual |
Manual |
|
Localizador de
computadores |
Desativado |
Desativado |
Automático |
|
Log de eventos |
Automático |
Automático |
Automático |
|
Logon de rede |
Manual |
Manual |
Manual |
|
Logon secundário |
Manual |
Manual |
Manual |
|
Logs e alertas de
desempenho |
Desativado |
Desativado |
Desativado |
|
Mensageiro |
Desativado |
Desativado |
Desativado |
|
MS Software Shadow Copy Provider |
Desativado |
Desativado |
Desativado |
|
Notificação de
eventos de sistema |
Desativado |
Desativado |
Manual |
|
Número de série de
mídia portátil |
Desativado |
Desativado |
Desativado |
|
Plug and Play |
Automático |
Automático |
Automático |
|
QoS RSVP |
Manual |
Manual |
Manual |
|
Reconhecimento de
local da rede (NLA) |
Desativado |
Desativado |
Desativado |
|
Registro remoto |
Desativado |
Desativado |
Desativado |
|
Resultant Set of Policy Provider |
Manual |
Manual |
Manual |
|
Roteamento e acesso
remoto |
Desativado |
Desativado |
Desativado |
|
Serviço
administrativo do gerenciador de disco lógico |
Desativado |
Desativado |
Desativado |
|
Serviço de descoberta
SSDP |
Desativado |
Desativado |
Desativado |
|
Serviço de FAX |
Desativado |
Desativado |
Desativado |
|
Serviço de indexação |
Desativado |
Desativado |
Desativado |
|
Serviço de
restauração do sistema |
Desativado |
Desativado |
Desativado |
|
Serviço de transferência
inteligente de plano de fundo |
Desativado |
Desativado |
Desativado |
|
Serviço 'Gateway de
camada de aplicativo' |
Desativado |
Desativado |
Desativado |
|
Serviço RunAs |
Manual |
Manual |
Manual |
|
Serviços de
criptografia |
Automático |
Automático |
Automático |
|
Serviços de terminal |
Desativado |
Desativado |
Desativado |
|
Serviços IPSEC |
Manual |
Manual |
Manual |
|
Servidor |
Desativado |
Desativado |
Automático |
|
Sistema de
alimentação ininterrupta |
Manual |
Manual |
Manual |
|
Sistema de arquivos
distribuídos (DFS) |
Desativado |
Desativado |
Desativado |
|
Sistema de eventos
COM+ |
Manual |
Manual |
Manual |
|
Special
Administration Console Helper |
Manual |
Manual |
Manual |
|
Spooler de impressão
¹ |
Manual |
Manual |
Manual |
|
Telefonia |
Manual |
Automático |
Manual |
|
Telnet |
Desativado |
Desativado |
Desativado |
|
Temas |
Desativado |
Desativado |
Desativado |
|
Terminal Services
Session Directory |
Desativado |
Desativado |
Desativado |
|
Testador de instrumentação
de gerenciam. do Windows |
Automático |
Automático |
Automático |
|
Virtual Disk Service |
Manual |
Manual |
Manual |
|
Windows Installer |
Manual |
Manual |
Manual |
|
WinHTTP Web Proxy Auto-Discovery Service |
Manual |
Manual |
Manual |
|
WMDM PMSP Service |
Manual |
Manual |
Manual |
¹ Se você utiliza a
impressora com pouca freqüência, deixe o serviço de spooler em manual,
habilitando-o apenas quando precisar imprimir (isto lhe poupará aproximadamente
4 MB de memória). Se a impressora for utilizada com muita freqüência, a melhor
opção é deixa-lo automático.
Definindo políticas de
grupo
Abaixo a
relação de algumas configurações que ajudam a melhorar a segurança do sistema.
Iniciar / Executar / GPEDIT.MSC
Configuração do computador / Configurações do Windows / Configurações de
segurança / Diretivas locais / Atribuição de direitos de usuários
*Acesso a este computador pela rede: Negar a todos (remover todos).
*Forçar o desligamento a partir de um sistema remoto: Negar a todos (remover
todos).
*Negar acesso a este computador pela rede: Negar a todos (incluir todos).
*Negar logon pelos serviços de terminal: Negar a todos (incluir todos).
*Permitir logon pelos serviços de terminal: Negar a todos (remover todos).
Configuração do computador / Modelos administrativos / Sistema
*Fazer o download de componentes COM que estão faltando: Desativado
Configuração do computador / Modelos administrativos / Sistema / Assistência
remota
*Assistência remota solicitada: Desativado
*Oferecer assistência remota: Desativado
Configuração do computador / Modelos administrativos / Sistema / Erro ao
relatar
*Exibir notificação de erros: Desativado
*Relatar erros: Desativado
Configuração do computador / Modelos administrativos / Componentes do
Windows / Netmeeting
*Desativar o compartilhamento remoto da área de trabalho: Ativado
Configuração do usuário / Modelos administrativos / Sistema
*Fazer o download de componentes COM que estão faltando: Desativado
*Atualizações automáticas do Windows: Desativado
Desabilitando download
de componentes COM
O Windows está
configurado por padrão para fazer o download de componentes COM (DLLs ou EXEs)
pela internet. Nem é preciso lembrar que isto representa um grave problema de
segurança. Vejamos como solucionar isto:
Iniciar / Executar /
REGEDIT
*Para o usuário atual:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\App
Management
COMClassStore=0
(Valor DWORD)
*Para todos os usuários:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\App
Management
COMClassStore=0
(Valor DWORD)
Se preferir, baixe aqui
o arquivo .REG que fará as duas modificações acima: 
Desabilitando o DCOM
O DCOM (Distributed
Component Object Model) é um protocolo que permite a comunicação de componentes
diretamente em uma rede. Alguns vírus, como o msblast, exploram
vulnerabilidades do DCOM, portanto, é uma boa idéia mantê-lo desabilitado.
Iniciar / Executar /
REGEDIT
*Para desabilitar o
DCOM:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableDCOM=N
(Valor de seqüência)
*Para desabilitar o acesso remoto a servidores DCOM:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableRemoteConnect=N
(Valor de seqüência)
*Para implementar segurança adicional, impedindo que uma aplicação cliente
possa finalizar o processo no servidor:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
LegacySecureReferences=Y
(Valor de seqüência)
Se preferir, baixe aqui
o arquivo .REG que fará as três modificações acima:
Desabilitando os
protocolos do RPC
Iniciar /
Executar / REGEDIT
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc
Na direita, de um duplo clique sobre "DCOM Protocols", e
apague todos os valores.
Isto desabilita o DCOM sobre os protocolos, o que faz com que quando se utilize
determinado protocolo, o DCOM não estará habilitado para o mesmo.
Se preferir, baixe aqui
o arquivo .REG que fará a modificação acima:
Desinstalando o COM+
Para reforçar a
segurança, podemos desinstalar o COM+, através do seguinte comando:
Iniciar / Executar
RunDll32 advpack.dll,LaunchINFSection
%windir%\INF\comnt5.inf,com_uninstall
TCP/IP
Painel de controle / Conexões de rede
Nas propriedades da sua conexão, na guia Rede, selecione o Protocolo TCP/IP e
clique em Propriedades, e na próxima janela, em Avançado. Na guia Wins,
desmarque a opção "Ativar exame de LMHosts" e marque a opção
"Desativar NetBios sobre TCP/IP" (somente utilize estas opções
em casos de força maior, do contrário, configure como descrito anteriormente).
Desinstale o
compartilhamento de arquivos e impressão e o cliente para redes Microsoft
Vá até a pasta de conexões de rede, e acesse as propriedades da sua conexão.
Na guia REDE, desinstale o Cliente para redes Microsoft, e também o Compartilhamento
de arquivos e impressoras (a menos que você necessite destes serviços).
Ao desinstalar estes dois itens, os serviços Estação de trabalho e Servidor são
removidos da lista de serviços do sistema. Ao realizar esta dica em conjunto
com as dicas de desabilitar o DCOM, desabilitar o netbios sobre tcp/ip (Porta
445) e remover os protocolos do rpc, a porta 135 passará a não mais ficar em
estado de "escuta", o que aumenta o nível de segurança
consideravelmente.
Fechando a porta 445
Iniciar /
Executar / DEVMGMT.MSC
Vá em Exibir / Mostrar dispositivos ocultos
Expanda "Drivers que não são Plug and Play"
Duplo clique sobre "NetBios sobre Tcpip"
Na guia DRIVER, configure o modo de inicialização para "desativado"
Desabilitar acesso do
Convidado ao Log de eventos:
Ocultar máquina na rede
e desabilitar compartilhamentos administrativos:
Impedir desligamento
remoto:
Desabilitar
compartilhamento de arquivos e impressoras:
XP-AntySpy
Programa que realiza
diversas configurações "ocultas". Muito útil. Inicie o programa e dê
um clique no menu Especial / Habilitar configurações avançadas. Recomendo que
você aplique todas as opções, exceto "Limpar pagefile ao desligar"
(pois esta torna o desligamento do Windows um pouco demorado, apesar de ser uma
ótima configuração em alguns casos). Após selecionadas todas as opções, basta
dar um clique em "Aplicar configurações".
Download:
DCOM Bobulator
Programa que testa a
vulnerabilidade do DCOM localmente e remotamente, e também desabilita o mesmo.
Download:
Autoruns
Programa que monitora a
inicialização do sistema e permite desabilitar programas "xeretas".
Muito mais eficaz que o msconfig.
Download:
TCPView
Programa que monitora
as conexões abertas, e mostra quais programas estão realizando-as.
Download:
Spywares
É muito útil termos em
mãos um bom anti-spyware, e mantê-lo sempre atualizado.
Escolha o seu aqui:
Teste a vulnerabilidade
de seu PC on-line
Seguindo as dicas
acima, você pode manter-se livre de várias ameaças, sem a necessidade de
utilizar um firewall, e nem de instalar as correções disponibilizadas pela
Microsoft.
Um abraço a todos.
