Algumas dicas de Hardening

Atenção: Atualizei o artigo para dividi-lo em 2 partes, devido ao tamanho

O Hardening, em tradução literal “endurecimento”, são procedimentos que devem ser adotados de forma a aumentar a segurança de um aplicativo ou sistema operacional.

Segue abaixo, alguns itens de hardening a serem seguidos para aumentar a sua segurança no Windows XP:

Item 1

O que é:

A funcionalidade de se executar um CD de forma automática (auto-reprodução) quando o mesmo é colocado no drive correspondente. Caso este CD tenha um conteúdo malicioso o executável será executado de forma automática.

O que se deve fazer:

Deve-se desabilitar esta funcionalidade.
Observação: ao realizar esta alteração o recurso de reprodução automática estará desabilitada para todos os drives.

Como:

Para desabilitar a  funcionalidade pode se proceder da seguinte maneira:

1 – Abrir o registro do Windows.
2 – Para a entrada do registro abaixo, o valor do registro deve ser alterado para 255:

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
NoDriveTypeAutoRun

Item 2

O que é:

O valor do registro da entrada: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon quando habilitado  permite que o sistema de login possa ser “contornado” usando uma senha armazenada, sem criptografia, dentro do registro. Esta senha pode ser visualizada por usuários locais do computador. Além disso, uma pessoa não autorizada que ganha acesso físico ao computador poderá obter acesso sem fornecer nenhuma autenticação para isso.
O que se deve fazer:

Deve-se desabilitar esta funcionalidade.
Como:

Para desabilitar a  funcionalidade pode se proceder da seguinte maneira:

1 – Abrir o registro do Windows.
2 – Para a entrada do registro abaixo, o valor do registro deve ser alterado para 0:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon

Item 3

O que é:

Cada tipo de arquivo tem uma extensão diferente sendo muitos destas extensões utilizados para fins maliciosos. No Windows pode-se associar os tipos de arquivos (extensões)  com  aplicativo padrão para a sua execução, o uso dessa funcionalidade pode reduzir ou neutralizar possíveis ataques.

O que se deve fazer:

Devem ser  associados ao aplicativo Bloco de Notas, como programa padrão para execução, as extensões de arquivos que não são utilizadas em funções legitimas da máquina.
Como:

Para desabilitar a  funcionalidade pode se proceder da seguinte maneira:

1 – No Menu Iniciar clicar em Painel de Controle.
2 – No Painel de Controle selecionar a opção Opções de Pasta.
3 – Na aba Tipo de arquivos, para cada um dos tipos de arquivo: JSE, OTF,
REG, SCT, SHB, SHS, VBE, VBS, WSC, WSF, and WSH e JS, repetir os
passos a seguir:
4 – Selecionar a extensão do arquivo.
5 – Clicar em alterar e escolher o Bloco de Notas como programa padrão e clicar OK.
6 – Depois de finalizado para todas as extensões citadas clicar em OK para fechar a opção Opções de Pasta.

Item 4

O que é:

Exibir a extensão oculta dos arquivos. Alguns arquivos permanecem com a extensão oculta mesmo quando a opção para esconder a extensão de tipos de arquivo conhecidos esteja desabilitada. Há muitos anos os invasores se aproveitam desta característica enviando arquivos maliciosos que utilizam extensões ocultas para iludir o usuário de que aquele arquivo é seguro.

O que se deve fazer:

Deve-se apagar todos os valores NeverShowExt do registro. Se este valor estiver ativo no registro, o Windows continuará a esconder a extensão de arquivos conhecidos independente da configuração realizada.
Como:

Deve-se adotados os seguintes procedimentos:

1 – No Menu Iniciar clicar em executar, digitar regedit e clicar em OK.
2 – No Registro, clicar em Meu Computador e pressionar Ctrl+F. Apagar as caixas de seleção Chave e Dados , no texto a ser localizado digitar NeverShowExt e clicar em Localizar Próxima.
3 – Para cada valor encontrado, clicar com o botão direito e selecionar a opção Excluir. Clicar em Sim, para confirmar a exclusão.
4 – Ao excluir todas, sair do Registro e reiniciar o computador.

Item 5

O que é:

Quando da ocorrência de um “Crash” da máquina, quando habilitada esta opção, é criado um arquivo de despejo da memória. Este arquivo contém tudo que estava na memória naquele momento, como senhas por exemplo.
O que se deve fazer:

Deve-se desabilitar esta funcionalidade.
Observação: Esta funcionalidade pode ser útil para solucionar um problema recorrente.

Como:

Para desabilitar a  funcionalidade pode se proceder da seguinte maneira:

1 – Abrir o registro do Windows.
2 – Para a entrada do registro abaixo, o valor do registro deve ser alterado para 0:

HKLM\Software\Microsoft\DrWatson\CreateCrashDump

Item 6

O que é:

Impedir que qualquer usuário efetue alterações no registro.
O que se deve fazer:

Deve-se verificar se apenas o administrador possui o controle total sobre o registro.

Como:

Para verificar se apenas o administrador possui os acessos necessários, pode-se:

1 – Entrar no registro
2 – Localizar a chave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg.
3 – Clicar com o botão direito sobre o winreg e selecionar Permissões. Na aba Segurança verificar se apenas o administrador possui controle total sobre o registro.

Item 7

O que é:

O Windows XP têm um método particular para realizar buscas em diretórios quando
está a procura de um arquivo para executar. Por padrão, o Windows procura o arquivo no diretório corrente antes do que nos diretórios do sistema e do Windows. Como exemplo de exploração desta propriedade, um usuário mal-intencionado em um sistema poderia colocar um cavalo de Tróia em um diretório compartilhado. Se a ordem de pesquisa padrão é utilizada, um outro usuário ao tentar executar um programa com o mesmo nome poderá estar executando o cavalo de Tróia em vez disso.

O que se deve fazer:

Trocar a ordem de busca de diretórios do Windows, fazendo com que o arquivo a ser executado seja pesquisado primeiramente nos diretórios do sistema ou do Windows. Estes diretórios são usualmente mais restritivos do que o diretório corrente.

Como:

Para mudar a ordem de busca pode-se proceder da seguinte maneira:

1 – Entrar no registro
2 – Para a entrada do registro abaixo, o valor do registro deve ser alterado para 0:

HKLM\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode

Item 8

O que é:

O AutoReboot permite ao sistema reiniciar de forma automática após a ocorrência de uma falha ou defeito. Com este  recurso ativado, o usuário pode  não ficar ciente da ocorrência de um problema operacional ou mesmo de uma violação de segurança. O AutoReboot pode até mesmo dificultar ou impedir rastrear as possíveis evidências de um crime cometido.

O que se deve fazer:

Desabilitar este recurso.

Como:

Para desativar esta funcionalidade pode-se proceder da seguinte maneira:

1 – Entrar no registro
2 – Para a entrada do registro abaixo, o valor do registro deve ser alterado para 0:

HKLM\System\CurrentControlSet\Control\CrashControl\AutoReboot

Item 9

O que é:

Em termos de segurança, o sistema de arquivos NTFS é muito superior as outras opções de sistemas de arquivos como: FAT16 e FAT32, pois o mesmo fornece, entre outras coisas, recursos como: estabelecer controle de acesso a arquivos e criptografia de arquivos.
O que se deve fazer:

1 – Deve-se primeiramente verificar  qual é o tipo de sistema de arquivo utilizado.
2 – Caso não seja NTFS, deve-se adotar os procedimentos para utilizar este sistema de arquivos.

Como:

Para verificar se o sistema de arquivos utilizados é NTFS:

1 – Botão direito sobre Meu Computador e clicar na opção Gerenciar.
2 – Clicar na opção Gerenciamento de Disco. Aqui você poderá verificar cada umas das partições e os respectivos sistemas de arquivos utilizados.

Caso a partição não esteja com o sistema de arquivos NTFS, pode-se proceder da seguinte maneira:

1 – Primeiramente deve-se fazer um Backup do sistema.
2 – No Menu Iniciar clicar em Executar e digitar: cmd.exe. Clicar em OK para
abrir o prompt de comando.
3 – Executar o comando de conversão com os parâmetros apropriados para a situação
desejada. Por exemplo, para converter o Drive D para NTFS deve se digitar na linha de comando: convert D: /FS:NTFS /V.
Obs: Para alguns ambientes a recomendação é a reconstrução do sistema de arquivos em NTFS e não a conversão de um tipo de sistema para o NTFS.

One comment

Deixe sua opinião!

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s