Reportagens |
Donwload |
Programas |
|
Tutorial de Segurança para Windows
2000, XP e 2003 |
|
Por ëxþlørër |
|
Fronte ao turbilhão
de reclamações a respeito da segurança dos Windows 2k, XP e 2k3, e analisando
os últimos acontecimentos em relação a ataques de vírus que exploram
vulnerabilidades de certos serviços, descrevo aqui as mais significativas e
importantes configurações de segurança que devem ser imediatamente aplicadas,
a fim de reduzir ao máximo os transtornos a que estamos propensos. |
Desabilitando Serviços
supérfluos
Muitos serviços são
grandes portas abertas para vulnerabilidades. Desabilita-los, além de melhorar
a performance, melhora significativamente a segurança. A lista abaixo pode ser
utilizada em qualquer máquina, sempre lembrando de que se algum dos serviços
for necessário, o mesmo deve ser mantido habilitado.
Iniciar / Executar /
SERVICES.MSC
Serviço |
Sem conexões |
Modem |
Rede/ADSL |
Alerta |
Desativado |
Desativado |
Desativado |
Acesso a dispositivo
de interface humana |
Desativado |
Desativado |
Desativado |
Adaptador de
desempenho WMI |
Manual |
Manual |
Manual |
Agendador de Tarefas |
Desativado |
Desativado |
Desativado |
Ajuda do cartão inteligente |
Desativado |
Desativado |
Desativado |
Alocador Remote Procedure Call (RPC) |
Desativado |
Desativado |
Desativado |
Aplicativo de sistema
COM+ |
Manual |
Manual |
Manual |
Área de armazenamento |
Desativado |
Desativado |
Desativado |
Armazenamento
protegido |
Automático |
Automático |
Automático |
Armazenamento
removível |
Desativado |
Desativado |
Desativado |
Assistente de
aquisição de imagens do Windows (WIA) |
Desativado |
Desativado |
Desativado |
Atualizações
Automáticas |
Desativado |
Desativado |
Desativado |
Ajuda e Suporte |
Manual |
Manual |
Manual |
Áudio do Windows |
Automático |
Automático |
Automático |
Auxiliar NetBIOS
TCP/IP |
Desativado |
Desativado |
Desativado |
Carregar Gerenciador |
Desativado |
Desativado |
Desativado |
Cartão inteligente |
Desativado |
Desativado |
Desativado |
Chama de procedimento
remoto (RPC) |
Automático |
Automático |
Automático |
Cliente da Web |
Desativado |
Desativado |
Desativado |
Cliente de rastreamento
de link distribuído |
Desativado |
Desativado |
Desativado |
Cliente DHCP |
Desativado |
Desativado |
Automático |
Cliente DNS |
Desativado |
Desativado |
Automático |
Compartilhamento de
conexão com a Internet |
Desativado |
Desativado |
Desativado |
Compartilhamento
remoto da área de trabalho do NetMeeting |
Desativado |
Desativado |
Desativado |
Compatibilidade com
'Troca rápida de usuário' |
Desativado |
Desativado |
Desativado |
Conexões de rede |
Desativado |
Manual |
Manual |
Configuração zero sem
fio |
Desativado |
Desativado |
Desativado |
Coordenador de
transações distribuídas |
Desativado |
Desativado |
Desativado |
Cópia de volume em
memória |
Desativado |
Desativado |
Desativado |
DDE de rede |
Desativado |
Desativado |
Desativado |
Detecção do hardware
do shell |
Manual |
Manual |
Manual |
Directory Replicator |
Desativado |
Desativado |
Desativado |
DSDM de DDE de rede |
Desativado |
Desativado |
Desativado |
Erro ao informar o
serviço |
Desativado |
Desativado |
Desativado |
Estação de trabalho |
Automático |
Automático |
Automático |
Extensões de driver
de instrum. gerenc. do Windows |
Manual |
Manual |
Manual |
File Replication |
Desativado |
Desativado |
Desativado |
Firewall de conexão
com a Internet (FCI) / Compartilhamento de conexão com a Internet (CCI) |
Manual |
Manual |
Manual |
Fornecedor de suporte
de segurança NT LM |
Manual |
Manual |
Manual |
Gerenciador de
conexão de acesso remoto |
Desativado |
Automático |
Automático |
Gerenciador de
conexão de acesso remoto automático |
Desativado |
Desativado |
Desativado |
Gerenciador de contas
de segurança |
Manual |
Manual |
Manual |
Gerenciador de discos
lógicos |
Manual |
Manual |
Manual |
Gerenciador de sessão
de ajuda de área de trabalho remota |
Desativado |
Desativado |
Desativado |
Gerenciador de
utilitários |
Desativado |
Desativado |
Desativado |
Gerenciamento de
aplicativo |
Desativado |
Desativado |
Desativado |
Horário do Windows |
Desativado |
Desativado |
Desativado |
Host de dispositivo
Plug and Play universal |
Desativado |
Desativado |
Desativado |
HTTP SSL |
Manual |
Manual |
Manual |
IMAPI CD-Burning COM Service |
Manual |
Manual |
Manual |
Intersite Messaging |
Desativado |
Desativado |
Desativado |
IPSEC Policy Agent |
Desativado |
Desativado |
Desativado |
Keberos Key
Distribution Center |
Desativado |
Desativado |
Desativado |
License Logging
Service |
Manual |
Manual |
Manual |
Localizador de
computadores |
Desativado |
Desativado |
Automático |
Log de eventos |
Automático |
Automático |
Automático |
Logon de rede |
Manual |
Manual |
Manual |
Logon secundário |
Manual |
Manual |
Manual |
Logs e alertas de
desempenho |
Desativado |
Desativado |
Desativado |
Mensageiro |
Desativado |
Desativado |
Desativado |
MS Software Shadow Copy Provider |
Desativado |
Desativado |
Desativado |
Notificação de
eventos de sistema |
Desativado |
Desativado |
Manual |
Número de série de
mídia portátil |
Desativado |
Desativado |
Desativado |
Plug and Play |
Automático |
Automático |
Automático |
QoS RSVP |
Manual |
Manual |
Manual |
Reconhecimento de
local da rede (NLA) |
Desativado |
Desativado |
Desativado |
Registro remoto |
Desativado |
Desativado |
Desativado |
Resultant Set of Policy Provider |
Manual |
Manual |
Manual |
Roteamento e acesso
remoto |
Desativado |
Desativado |
Desativado |
Serviço
administrativo do gerenciador de disco lógico |
Desativado |
Desativado |
Desativado |
Serviço de descoberta
SSDP |
Desativado |
Desativado |
Desativado |
Serviço de FAX |
Desativado |
Desativado |
Desativado |
Serviço de indexação |
Desativado |
Desativado |
Desativado |
Serviço de
restauração do sistema |
Desativado |
Desativado |
Desativado |
Serviço de transferência
inteligente de plano de fundo |
Desativado |
Desativado |
Desativado |
Serviço 'Gateway de
camada de aplicativo' |
Desativado |
Desativado |
Desativado |
Serviço RunAs |
Manual |
Manual |
Manual |
Serviços de
criptografia |
Automático |
Automático |
Automático |
Serviços de terminal |
Desativado |
Desativado |
Desativado |
Serviços IPSEC |
Manual |
Manual |
Manual |
Servidor |
Desativado |
Desativado |
Automático |
Sistema de
alimentação ininterrupta |
Manual |
Manual |
Manual |
Sistema de arquivos
distribuídos (DFS) |
Desativado |
Desativado |
Desativado |
Sistema de eventos
COM+ |
Manual |
Manual |
Manual |
Special
Administration Console Helper |
Manual |
Manual |
Manual |
Spooler de impressão
¹ |
Manual |
Manual |
Manual |
Telefonia |
Manual |
Automático |
Manual |
Telnet |
Desativado |
Desativado |
Desativado |
Temas |
Desativado |
Desativado |
Desativado |
Terminal Services
Session Directory |
Desativado |
Desativado |
Desativado |
Testador de instrumentação
de gerenciam. do Windows |
Automático |
Automático |
Automático |
Virtual Disk Service |
Manual |
Manual |
Manual |
Windows Installer |
Manual |
Manual |
Manual |
WinHTTP Web Proxy Auto-Discovery Service |
Manual |
Manual |
Manual |
WMDM PMSP Service |
Manual |
Manual |
Manual |
¹ Se você utiliza a
impressora com pouca freqüência, deixe o serviço de spooler em manual,
habilitando-o apenas quando precisar imprimir (isto lhe poupará aproximadamente
4 MB de memória). Se a impressora for utilizada com muita freqüência, a melhor
opção é deixa-lo automático.
Definindo políticas de
grupo
Abaixo a
relação de algumas configurações que ajudam a melhorar a segurança do sistema.
Iniciar / Executar / GPEDIT.MSC
Configuração do computador / Configurações do Windows / Configurações de
segurança / Diretivas locais / Atribuição de direitos de usuários
*Acesso a este computador pela rede: Negar a todos (remover todos).
*Forçar o desligamento a partir de um sistema remoto: Negar a todos (remover
todos).
*Negar acesso a este computador pela rede: Negar a todos (incluir todos).
*Negar logon pelos serviços de terminal: Negar a todos (incluir todos).
*Permitir logon pelos serviços de terminal: Negar a todos (remover todos).
Configuração do computador / Modelos administrativos / Sistema
*Fazer o download de componentes COM que estão faltando: Desativado
Configuração do computador / Modelos administrativos / Sistema / Assistência
remota
*Assistência remota solicitada: Desativado
*Oferecer assistência remota: Desativado
Configuração do computador / Modelos administrativos / Sistema / Erro ao
relatar
*Exibir notificação de erros: Desativado
*Relatar erros: Desativado
Configuração do computador / Modelos administrativos / Componentes do
Windows / Netmeeting
*Desativar o compartilhamento remoto da área de trabalho: Ativado
Configuração do usuário / Modelos administrativos / Sistema
*Fazer o download de componentes COM que estão faltando: Desativado
*Atualizações automáticas do Windows: Desativado
Desabilitando download
de componentes COM
O Windows está
configurado por padrão para fazer o download de componentes COM (DLLs ou EXEs)
pela internet. Nem é preciso lembrar que isto representa um grave problema de
segurança. Vejamos como solucionar isto:
Iniciar / Executar /
REGEDIT
*Para o usuário atual:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\App
Management
COMClassStore=0
(Valor DWORD)
*Para todos os usuários:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\App
Management
COMClassStore=0
(Valor DWORD)
Se preferir, baixe aqui
o arquivo .REG que fará as duas modificações acima:
Desabilitando o DCOM
O DCOM (Distributed
Component Object Model) é um protocolo que permite a comunicação de componentes
diretamente em uma rede. Alguns vírus, como o msblast, exploram
vulnerabilidades do DCOM, portanto, é uma boa idéia mantê-lo desabilitado.
Iniciar / Executar /
REGEDIT
*Para desabilitar o
DCOM:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableDCOM=N
(Valor de seqüência)
*Para desabilitar o acesso remoto a servidores DCOM:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableRemoteConnect=N
(Valor de seqüência)
*Para implementar segurança adicional, impedindo que uma aplicação cliente
possa finalizar o processo no servidor:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
LegacySecureReferences=Y
(Valor de seqüência)
Se preferir, baixe aqui
o arquivo .REG que fará as três modificações acima:
Desabilitando os
protocolos do RPC
Iniciar /
Executar / REGEDIT
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc
Na direita, de um duplo clique sobre "DCOM Protocols", e
apague todos os valores.
Isto desabilita o DCOM sobre os protocolos, o que faz com que quando se utilize
determinado protocolo, o DCOM não estará habilitado para o mesmo.
Se preferir, baixe aqui
o arquivo .REG que fará a modificação acima:
Desinstalando o COM+
Para reforçar a
segurança, podemos desinstalar o COM+, através do seguinte comando:
Iniciar / Executar
RunDll32 advpack.dll,LaunchINFSection
%windir%\INF\comnt5.inf,com_uninstall
TCP/IP
Painel de controle / Conexões de rede
Nas propriedades da sua conexão, na guia Rede, selecione o Protocolo TCP/IP e
clique em Propriedades, e na próxima janela, em Avançado. Na guia Wins,
desmarque a opção "Ativar exame de LMHosts" e marque a opção
"Desativar NetBios sobre TCP/IP" (somente utilize estas opções
em casos de força maior, do contrário, configure como descrito anteriormente).
Desinstale o
compartilhamento de arquivos e impressão e o cliente para redes Microsoft
Vá até a pasta de conexões de rede, e acesse as propriedades da sua conexão.
Na guia REDE, desinstale o Cliente para redes Microsoft, e também o Compartilhamento
de arquivos e impressoras (a menos que você necessite destes serviços).
Ao desinstalar estes dois itens, os serviços Estação de trabalho e Servidor são
removidos da lista de serviços do sistema. Ao realizar esta dica em conjunto
com as dicas de desabilitar o DCOM, desabilitar o netbios sobre tcp/ip (Porta
445) e remover os protocolos do rpc, a porta 135 passará a não mais ficar em
estado de "escuta", o que aumenta o nível de segurança
consideravelmente.
Fechando a porta 445
Iniciar /
Executar / DEVMGMT.MSC
Vá em Exibir / Mostrar dispositivos ocultos
Expanda "Drivers que não são Plug and Play"
Duplo clique sobre "NetBios sobre Tcpip"
Na guia DRIVER, configure o modo de inicialização para "desativado"
Desabilitar acesso do
Convidado ao Log de eventos:
Ocultar máquina na rede
e desabilitar compartilhamentos administrativos:
Desabilitar
compartilhamento de arquivos e impressoras:
XP-AntySpy
Programa que realiza
diversas configurações "ocultas". Muito útil. Inicie o programa e dê
um clique no menu Especial / Habilitar configurações avançadas. Recomendo que
você aplique todas as opções, exceto "Limpar pagefile ao desligar"
(pois esta torna o desligamento do Windows um pouco demorado, apesar de ser uma
ótima configuração em alguns casos). Após selecionadas todas as opções, basta
dar um clique em "Aplicar configurações".
DCOM Bobulator
Programa que testa a
vulnerabilidade do DCOM localmente e remotamente, e também desabilita o mesmo.
Autoruns
Programa que monitora a
inicialização do sistema e permite desabilitar programas "xeretas".
Muito mais eficaz que o msconfig.
TCPView
Programa que monitora
as conexões abertas, e mostra quais programas estão realizando-as.
Spywares
É muito útil termos em
mãos um bom anti-spyware, e mantê-lo sempre atualizado.
Escolha o seu aqui:
Teste a vulnerabilidade
de seu PC on-line
Seguindo as dicas
acima, você pode manter-se livre de várias ameaças, sem a necessidade de
utilizar um firewall, e nem de instalar as correções disponibilizadas pela
Microsoft.
Um abraço a todos.