Algumas dicas de hardening – Parte 2

Em continuação a parte-1, continuamos a dar outras dicas de hardening para Windows XP:

Item 10

O que é:

Ao obter acesso com a conta do Administrador o invasor poderá obter acesso total ao sistema. Desta forma, a conta de Administrador é muito visada em ataques de força bruta que tentam encontrar a senha para este tipo de usuário.

O que se deve fazer:

Criar uma nova conta que tenha privilégios de administrador e renomear a conta de Administrador original para um nome não padrão  , bem como editar a sua descrição de forma que a sua real identidade não seja revelada

 

Como:

1 – Entrar em Painel de Controle/Ferramentas Administrativas/Gerenciamento do Computador.

2 – Expandir o item Usuários e Grupos Locais e selecionar a pasta Grupos.

3 – Clicar no grupo de Administrador.

4 – Verificar se este grupo é composto pela conta de Administrador padrão e pela conta de usuário que está sendo utilizada no momento. Se uma conta de usuário não estiver presente, criar uma nova conta de usuário e adicioná-la ao grupo de Administradores.

5 – Voltar para Usuários e Grupos Locais e selecionar a pasta Usuários.

6 – Clicar com o botão direito sobre a conta de Administrador  e selecionar renomear. Renomear para um nome que não indique que o usuário seja um Administrador. Clicar em OK.

7 – Duplo clique novamente na conta, agora renomeada, do Administrador e trocar a descrição da conta de forma que não indique que a conta seja de um Administrador. 

8 – Verificar se as caixas: “Usuário não pode trocar a senha”, “Senha nunca expira” e “Conta está desativada” estejam marcadas. Se estiverem clicar em OK para salvar as alterações.

 Item 11

O que é:

O EFS permite criptografar arquivos e pastas NTFS usando chaves públicas. Um possível invasor não conseguirá ver os dados de pastas ou arquivos criptografados mesmo tendo acesso a todo o sistema de armazenamento do computador.

O que se deve fazer:

Pode-se criptografar os arquivos que tenham informações sensíveis.

 

Como:

1 – Clicar com o botão direito sobre a pasta/arquivo que deseja-se criptografar.

2 – Escolher a opção Propriedades, entrar na aba Geral, e clicar em Avançado.

3 – Marcar a opção “Criptografar o conteúdo para proteger os dados” e clicar em OK para salvar as alterações.

Item 12

O que é:

A conta de convidado permite que usuários acessem o sistema mesmo sem uma conta.

O que se deve fazer:

A conta de convidado deve ser desativada, renomeada e protegida por uma senha.

 

Como:

Para verificar se conta de convidado está desativada:

1 – Entrar em Painel de Controle/Ferramentas Administrativas/Gerenciamento do Computador.

2 – Voltar para Usuários e Grupos Locais e selecionar a pasta Usuários.

3 – Clicar com o botão direito sobre a conta de Convidado  e selecionar renomear. Renomear para um nome que não indique que o usuário seja um Convidado. Clicar em OK.

4 – Clicar com botão direito sobre a conta de Convidado, agora renomeada, e escolher a opção “Definir uma Senha”. Digitar uma senha “forte” e clicar em OK.

7 – Duplo clique novamente na conta do Convidado e trocar a descrição da conta de forma que não indique que a conta seja de um Convidado. 

8 – Verificar se as caixas: “Usuário não pode trocar a senha”, “Senha nunca expira” e “Conta está desativada” estejam marcadas. Se estiverem clicar em OK para salvar as alterações.

Item 13

O que é:

O protetor de tela pode bloquear um sistema automaticamente, após um período de inatividade, exigindo a digitação da senha do usuário para realizar o desbloqueio do mesmo. Isto pode impedir o acesso ao sistema por pessoas não autorizadas na ausência do usuário legitimo.

O que se deve fazer:

Ativar o bloqueio automático da sessão, pelo protetor de tela, após um período de inatividade

 

Como:

1 – Clicar como botão direito sobre o Desktop e selecionar Propriedades.

2 – Clicar na aba Proteção de Tela.

3 – Definir a Proteção de Tela para algo diferente do que “Nenhum”.

4 – Definir a espera para 15 minutos.

5 – Marcar a caixa: “ Ao reiniciar, exibir tela de logon”.

6 – Clicar em OK.

 Item 14

O que é:

Apagar todos os dados do arquivo de paginação do Windows durante o processo de

Desligamento.  Desta forma evita-se que um usuário, com acesso físico a máquina, possa acessar possíveis informações sensíveis que este arquivo pode conter.

O que se deve fazer:

Deve-se configurar o sistema para que o mesmo apague todos os dados do arquivo de paginação ao desligar a máquina. Ao ativar este recurso o tempo para desligar a máquina pode aumentar.

 

Como:

1 – Clicar no menu Iniciar, ir em Executar e digitar “regedit”.

2 – Alterar o valor dos dados de “ClearPageFileAtShutdown” na seguinte chave do

Registro para 1:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

 Item 15 ( Para Windows XP SP2)

O que é:

Prevenir que dados sejam copiados para dispositivos USB. Em algumas empresas, a política corporativa pode restringir a cópia de arquivos confidenciais para dispositivos móveis.

O que se deve fazer:

Nestes casos, deve-se alterar o registro de forma que o dispositivo USB seja utilizado para apenas leitura.

Obs: No documento fonte de nossa pesquisa, “CIS_WindowsXP_Benchmark_

v2.01.pdf” há uma observação citando que esta alteração pode não funcionar para todos os drivers de USB.

 

Como:

1 – Clicar no menu Iniciar, ir em Executar e digitar “regedit”.

2 – Para a entrada do registro abaixo, o valor do registro deve ser alterado para 1:

HKLM\System\CurrentControlSet\Control\StorageDevicePolicies

 Item 16

O que é:

O depurador de sistema quando iniciado pode fazer com que um aplicativo, inicialmente executado em uma memória não privilegiada, passe a executar em um espaço de memória reservado. Isto pode ser um problema se o aplicativo em questão for malicioso.

O que se deve fazer:

Deve-se configurar o depurador de sistema para que o mesmo não inicie automaticamente.

 

Como:

1 – Clicar no menu Iniciar, ir em Executar e digitar “regedit”.

2 – Para a entrada do registro abaixo, o valor do registro deve ser alterado para 0:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\AEDebug\Auto

  Item 17 ( Para Windows XP SP2)

O que é:

A prevenção de dados (DEP) é um recurso de segurança que monitora a atividade dos programas para verificar se os mesmos não estão tentando executar códigos em locais de memória reservados, podendo assim danificar o sistema. É recomendável ativar o DEP para todos os programas e serviços.

O que se deve fazer:

Deve-se ativar a proteção DEP para todos os programas e serviços caso o sistema não esteja configurado desta maneira.

 

Como:

1 – Ir no menu Iniciar e clicar na opção Configurações->Painel de Controle.

2 – Clicar na opção Sistema.

3 – Ir para a aba “Avançado” e clicar na opção Configurações na parte de Desempenho.

4 – Ir na aba “Prevenção de Execução de Dados” e escolher a opção “Ativar a DEP para todos os programas e serviços, exceto os que eu selecionar”. Clicar em “Aplicar” e depois em OK para salvar a nova configuração.

 Item 18

O que é:

É importante manter o sistema atualizado com freqüência. O Windows possui um sistema automático que pode corrigir as vulnerabilidades do sistema.

O que se deve fazer:

Ativar o serviço  do Windows Update para verificar se há novas atualizações disponíveis.

 

Como:

1 – Clicar no menu Iniciar e selecionar Painel de Controle.

2 – Duplo-clique em Atualizações Automáticas.

3 – Escolher a opção desejada .

Obs: O usuário pode escolher em instalar as atualizações em outro momento, ou mesmo apenas verificar as novas atualizações. O recomendado é que as instalações sejam baixadas e instaladas 

One comment

Deixe sua opinião!

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s