Make your own free website on Tripod.com

 

Reportagens

HAcker

Modem

Dicas de XP

Donwload

HAcker

Programas

 

Fale conosco

 

Tutorial de Segurança para Windows 2000, XP e 2003

Por ëxþlørër

Fronte ao turbilhão de reclamações a respeito da segurança dos Windows 2k, XP e 2k3, e analisando os últimos acontecimentos em relação a ataques de vírus que exploram vulnerabilidades de certos serviços, descrevo aqui as mais significativas e importantes configurações de segurança que devem ser imediatamente aplicadas, a fim de reduzir ao máximo os transtornos a que estamos propensos.

 

 

Desabilitando Serviços supérfluos

Muitos serviços são grandes portas abertas para vulnerabilidades. Desabilita-los, além de melhorar a performance, melhora significativamente a segurança. A lista abaixo pode ser utilizada em qualquer máquina, sempre lembrando de que se algum dos serviços for necessário, o mesmo deve ser mantido habilitado.

Iniciar / Executar / SERVICES.MSC

Serviço

Sem conexões

Modem

Rede/ADSL

Alerta

Desativado

Desativado

Desativado

Acesso a dispositivo de interface humana

Desativado

Desativado

Desativado

Adaptador de desempenho WMI

Manual

Manual

Manual

Agendador de Tarefas

Desativado

Desativado

Desativado

Ajuda do cartão inteligente

Desativado

Desativado

Desativado

Alocador Remote Procedure Call (RPC)

Desativado

Desativado

Desativado

Aplicativo de sistema COM+

Manual

Manual

Manual

Área de armazenamento

Desativado

Desativado

Desativado

Armazenamento protegido

Automático

Automático

Automático

Armazenamento removível

Desativado

Desativado

Desativado

Assistente de aquisição de imagens do Windows (WIA)

Desativado

Desativado

Desativado

Atualizações Automáticas

Desativado

Desativado

Desativado

Ajuda e Suporte

Manual

Manual

Manual

Áudio do Windows

Automático

Automático

Automático

Auxiliar NetBIOS TCP/IP

Desativado

Desativado

Desativado

Carregar Gerenciador

Desativado

Desativado

Desativado

Cartão inteligente

Desativado

Desativado

Desativado

Chama de procedimento remoto (RPC)

Automático

Automático

Automático

Cliente da Web

Desativado

Desativado

Desativado

Cliente de rastreamento de link distribuído

Desativado

Desativado

Desativado

Cliente DHCP

Desativado

Desativado

Automático

Cliente DNS

Desativado

Desativado

Automático

Compartilhamento de conexão com a Internet

Desativado

Desativado

Desativado

Compartilhamento remoto da área de trabalho do NetMeeting

Desativado

Desativado

Desativado

Compatibilidade com 'Troca rápida de usuário'

Desativado

Desativado

Desativado

Conexões de rede

Desativado

Manual

Manual

Configuração zero sem fio

Desativado

Desativado

Desativado

Coordenador de transações distribuídas

Desativado

Desativado

Desativado

Cópia de volume em memória

Desativado

Desativado

Desativado

DDE de rede

Desativado

Desativado

Desativado

Detecção do hardware do shell

Manual

Manual

Manual

Directory Replicator

Desativado

Desativado

Desativado

DSDM de DDE de rede

Desativado

Desativado

Desativado

Erro ao informar o serviço

Desativado

Desativado

Desativado

Estação de trabalho

Automático

Automático

Automático

Extensões de driver de instrum. gerenc. do Windows

Manual

Manual

Manual

File Replication

Desativado

Desativado

Desativado

Firewall de conexão com a Internet (FCI) / Compartilhamento de conexão com a Internet (CCI)

Manual

Manual

Manual

Fornecedor de suporte de segurança NT LM

Manual

Manual

Manual

Gerenciador de conexão de acesso remoto

Desativado

Automático

Automático

Gerenciador de conexão de acesso remoto automático

Desativado

Desativado

Desativado

Gerenciador de contas de segurança

Manual

Manual

Manual

Gerenciador de discos lógicos

Manual

Manual

Manual

Gerenciador de sessão de ajuda de área de trabalho remota

Desativado

Desativado

Desativado

Gerenciador de utilitários

Desativado

Desativado

Desativado

Gerenciamento de aplicativo

Desativado

Desativado

Desativado

Horário do Windows

Desativado

Desativado

Desativado

Host de dispositivo Plug and Play universal

Desativado

Desativado

Desativado

HTTP SSL

Manual

Manual

Manual

IMAPI CD-Burning COM Service

Manual

Manual

Manual

Intersite Messaging

Desativado

Desativado

Desativado

IPSEC Policy Agent

Desativado

Desativado

Desativado

Keberos Key Distribution Center

Desativado

Desativado

Desativado

License Logging Service

Manual

Manual

Manual

Localizador de computadores

Desativado

Desativado

Automático

Log de eventos

Automático

Automático

Automático

Logon de rede

Manual

Manual

Manual

Logon secundário

Manual

Manual

Manual

Logs e alertas de desempenho

Desativado

Desativado

Desativado

Mensageiro

Desativado

Desativado

Desativado

MS Software Shadow Copy Provider

Desativado

Desativado

Desativado

Notificação de eventos de sistema

Desativado

Desativado

Manual

Número de série de mídia portátil

Desativado

Desativado

Desativado

Plug and Play

Automático

Automático

Automático

QoS RSVP

Manual

Manual

Manual

Reconhecimento de local da rede (NLA)

Desativado

Desativado

Desativado

Registro remoto

Desativado

Desativado

Desativado

Resultant Set of Policy Provider

Manual

Manual

Manual

Roteamento e acesso remoto

Desativado

Desativado

Desativado

Serviço administrativo do gerenciador de disco lógico

Desativado

Desativado

Desativado

Serviço de descoberta SSDP

Desativado

Desativado

Desativado

Serviço de FAX

Desativado

Desativado

Desativado

Serviço de indexação

Desativado

Desativado

Desativado

Serviço de restauração do sistema

Desativado

Desativado

Desativado

Serviço de transferência inteligente de plano de fundo

Desativado

Desativado

Desativado

Serviço 'Gateway de camada de aplicativo'

Desativado

Desativado

Desativado

Serviço RunAs

Manual

Manual

Manual

Serviços de criptografia

Automático

Automático

Automático

Serviços de terminal

Desativado

Desativado

Desativado

Serviços IPSEC

Manual

Manual

Manual

Servidor

Desativado

Desativado

Automático

Sistema de alimentação ininterrupta

Manual

Manual

Manual

Sistema de arquivos distribuídos (DFS)

Desativado

Desativado

Desativado

Sistema de eventos COM+

Manual

Manual

Manual

Special Administration Console Helper

Manual

Manual

Manual

Spooler de impressão ¹

Manual

Manual

Manual

Telefonia

Manual

Automático

Manual

Telnet

Desativado

Desativado

Desativado

Temas

Desativado

Desativado

Desativado

Terminal Services Session Directory

Desativado

Desativado

Desativado

Testador de instrumentação de gerenciam. do Windows

Automático

Automático

Automático

Virtual Disk Service

Manual

Manual

Manual

Windows Installer

Manual

Manual

Manual

WinHTTP Web Proxy Auto-Discovery Service

Manual

Manual

Manual

WMDM PMSP Service

Manual

Manual

Manual

¹ Se você utiliza a impressora com pouca freqüência, deixe o serviço de spooler em manual, habilitando-o apenas quando precisar imprimir (isto lhe poupará aproximadamente 4 MB de memória). Se a impressora for utilizada com muita freqüência, a melhor opção é deixa-lo automático.


Definindo políticas de grupo

Abaixo a relação de algumas configurações que ajudam a melhorar a segurança do sistema.

Iniciar / Executar / GPEDIT.MSC

Configuração do computador / Configurações do Windows / Configurações de segurança / Diretivas locais / Atribuição de direitos de usuários

*Acesso a este computador pela rede: Negar a todos (remover todos).

*Forçar o desligamento a partir de um sistema remoto: Negar a todos (remover todos).

*Negar acesso a este computador pela rede: Negar a todos (incluir todos).

*Negar logon pelos serviços de terminal: Negar a todos (incluir todos).

*Permitir logon pelos serviços de terminal: Negar a todos (remover todos).


Configuração do computador / Modelos administrativos / Sistema

*Fazer o download de componentes COM que estão faltando: Desativado


Configuração do computador / Modelos administrativos / Sistema / Assistência remota

*Assistência remota solicitada: Desativado

*Oferecer assistência remota: Desativado


Configuração do computador / Modelos administrativos / Sistema / Erro ao relatar

*Exibir notificação de erros: Desativado

*Relatar erros: Desativado


Configuração do computador / Modelos administrativos / Componentes do Windows / Netmeeting

*Desativar o compartilhamento remoto da área de trabalho: Ativado


Configuração do usuário / Modelos administrativos / Sistema

*Fazer o download de componentes COM que estão faltando: Desativado

*Atualizações automáticas do Windows: Desativado


Desabilitando download de componentes COM

O Windows está configurado por padrão para fazer o download de componentes COM (DLLs ou EXEs) pela internet. Nem é preciso lembrar que isto representa um grave problema de segurança. Vejamos como solucionar isto:

Iniciar / Executar / REGEDIT

*Para o usuário atual:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\App Management
COMClassStore=0 (Valor DWORD)

*Para todos os usuários:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\App Management
COMClassStore=0 (Valor DWORD)

Se preferir, baixe aqui o arquivo .REG que fará as duas modificações acima:


Desabilitando o DCOM

O DCOM (Distributed Component Object Model) é um protocolo que permite a comunicação de componentes diretamente em uma rede. Alguns vírus, como o msblast, exploram vulnerabilidades do DCOM, portanto, é uma boa idéia mantê-lo desabilitado.

Iniciar / Executar / REGEDIT

*Para desabilitar o DCOM:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableDCOM=N (Valor de seqüência)

*Para desabilitar o acesso remoto a servidores DCOM:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableRemoteConnect=N (Valor de seqüência)

*Para implementar segurança adicional, impedindo que uma aplicação cliente possa finalizar o processo no servidor
:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
LegacySecureReferences=Y (Valor de seqüência)

Se preferir, baixe aqui o arquivo .REG que fará as três modificações acima:


Desabilitando os protocolos do RPC

Iniciar / Executar / REGEDIT

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc

Na direita, de um duplo clique sobre "DCOM Protocols", e apague todos os valores.
Isto desabilita o DCOM sobre os protocolos, o que faz com que quando se utilize determinado protocolo, o DCOM não estará habilitado para o mesmo.

Se preferir, baixe aqui o arquivo .REG que fará a modificação acima:


Desinstalando o COM+

Para reforçar a segurança, podemos desinstalar o COM+, através do seguinte comando:

Iniciar / Executar

RunDll32 advpack.dll,LaunchINFSection %windir%\INF\comnt5.inf,com_uninstall


TCP/IP

Painel de controle / Conexões de rede

Nas propriedades da sua conexão, na guia Rede, selecione o Protocolo TCP/IP e clique em Propriedades, e na próxima janela, em Avançado. Na guia Wins, desmarque a opção "Ativar exame de LMHosts" e marque a opção "Desativar NetBios sobre TCP/IP" (somente utilize estas opções em casos de força maior, do contrário, configure como descrito anteriormente).


Desinstale o compartilhamento de arquivos e impressão e o cliente para redes Microsoft

Vá até a pasta de conexões de rede, e acesse as propriedades da sua conexão.
Na guia REDE, desinstale o Cliente para redes Microsoft, e também o Compartilhamento de arquivos e impressoras (a menos que você necessite destes serviços).

Ao desinstalar estes dois itens, os serviços Estação de trabalho e Servidor são removidos da lista de serviços do sistema. Ao realizar esta dica em conjunto com as dicas de desabilitar o DCOM, desabilitar o netbios sobre tcp/ip (Porta 445) e remover os protocolos do rpc, a porta 135 passará a não mais ficar em estado de "escuta", o que aumenta o nível de segurança consideravelmente.


Fechando a porta 445

Iniciar / Executar / DEVMGMT.MSC

Vá em Exibir / Mostrar dispositivos ocultos

Expanda "Drivers que não são Plug and Play"

Duplo clique sobre "NetBios sobre Tcpip"

Na guia DRIVER, configure o modo de inicialização para "desativado"


Desabilitar acesso do Convidado ao Log de eventos:


Ocultar máquina na rede e desabilitar compartilhamentos administrativos:


Impedir desligamento remoto:


Desabilitar compartilhamento de arquivos e impressoras:


XP-AntySpy

Programa que realiza diversas configurações "ocultas". Muito útil. Inicie o programa e dê um clique no menu Especial / Habilitar configurações avançadas. Recomendo que você aplique todas as opções, exceto "Limpar pagefile ao desligar" (pois esta torna o desligamento do Windows um pouco demorado, apesar de ser uma ótima configuração em alguns casos). Após selecionadas todas as opções, basta dar um clique em "Aplicar configurações".

Download:


DCOM Bobulator

Programa que testa a vulnerabilidade do DCOM localmente e remotamente, e também desabilita o mesmo.

Download:


Autoruns

Programa que monitora a inicialização do sistema e permite desabilitar programas "xeretas". Muito mais eficaz que o msconfig.

Download:


TCPView

Programa que monitora as conexões abertas, e mostra quais programas estão realizando-as.

Download:


Spywares

É muito útil termos em mãos um bom anti-spyware, e mantê-lo sempre atualizado.

Escolha o seu aqui:


Teste a vulnerabilidade de seu PC on-line

Gibson Research Corporation

Symantec Security Check


Seguindo as dicas acima, você pode manter-se livre de várias ameaças, sem a necessidade de utilizar um firewall, e nem de instalar as correções disponibilizadas pela Microsoft.

Um abraço a todos.

Home