Cap 12

Prévia do material em texto

Segurança
Para proteger com sucesso os computadores e a rede, um técnico deve entender os dois tipos
de ameaças à segurança dos computadores:
Física- Eventos ou ataques que roubam, danificam, ou destroem equipamentos, como
servidores, switches e cabeamento
Dos dados- Eventos ou ataques que removem, corrompem, negam acesso a usuários
autorizados, permitem o acesso a usuários não autorizados ou roubam informações.
Malwares
Os computadores e os dados contidos neles devem ser protegidos contra malware:
O malware é qualquer software criado para realizar atos mal-intencionados. A palavra malware
é uma abreviação de software mal-intencionado.
É comumente instalado em um computador sem o conhecimento do usuário. Esses programas
abrem janelas adicionais ou alteram a configuração do comutador.
O malware pode modificar navegadores web para abrir páginas específicas que não são as
páginas desejadas. Isso é conhecido como redirecionamento do navegador.
Também pode coletar informações armazenadas no computador, sem o consentimento do
usuário.
O primeiro e o mais comum tipo de malware é um vírus de computador. Um vírus é
transferido para um outro computador por e-mail, unidades USB, transferências de arquivos e,
até mesmo, por meio de mensagens instantâneas. O vírus se esconde conectando-se a código
de computador, software ou documentos no computador. Quando o arquivo é acessado, o vírus
é executado e infecta o computador. 
Outro tipo de malware é um Cavalo de Troia. Um cavalo de Troia geralmente parece com um
programa útil, mas carrega código mal-intencionado. Por exemplo, cavalos de Troia
geralmente estão incluídos em jogos on-line gratuitos. Esses jogos são baixados para o
computador do usuário, mas também contêm um cavalo de Troia. Ao se jogar o jogo, o cavalo
de Troia é instalado no sistema do usuário e continua a operar, mesmo depois que o jogo foi
fechado. 
Ao longo dos anos, o malware continuou a evoluir. 
Para detectar, desativar, e remover o malware antes que ele infecte um computador, sempre use
o software antivírus, o antispyware e as ferramentas de remoção de adwares.
É importante saber que esses programas ficam desatualizados rapidamente. Portanto, é
responsabilidade do técnico aplicar as atualizações, patches e as definições de vírus mais
recentes, como parte de uma programação de manutenção regular. Muitas empresas
estabelecem uma política de segurança por escrito que indica que os funcionários não têm
permissão para instalar nenhum software que não seja fornecido pela empresa.
Phishing
O phishing é quando uma pessoa mal-intencionada envia um e-mail, chamadas de telefone ou
coloca um texto com a intenção de fazer o destinatário fornecer informações pessoais ou
financeiras. Os ataques de phishing também são usados para levar os usuários a instalar, sem
saber, o malware em seus dispositivos.
Por exemplo, um usuário recebeu um e-mail que parece ter vindo de uma empresa externa
legítima, como um banco. A pessoa que ataca pode solicitar a verificação das informações,
como um nome de usuário, uma senha ou um número PIN, para evitar, possivelmente, que
algum resultado ruim ocorra. Se o usuário fornecer as informações solicitadas, o ataque de
phishing será bem-sucedido.
Uma das formas de ataque de phishing é chamado de spear phishing. Isso ocorre quando um
ataque de phishing é direcionado a um indivíduo ou a uma empresa específica.
As empresas devem educar seus usuários, com relação aos ataques de phishing. Raramente há
necessidade de fornecer informações pessoais ou financeiras on-line. As empresas legítimas
não pedirão informações confidenciais por e-mail. Desconfie. Em caso de dúvida, faça contato
por correio ou telefone, para garantir a validade da solicitação.
Spam
Spam, também conhecido como lixo eletrônico, é e-mail não solicitado, nem autorizado. Na
maioria dos casos, o spam é usado como um método de anúncio. Entretanto, o spam pode ser
usado para enviar links perigosos, malware ou conteúdo enganoso. O objetivo é obter
informações confidenciais, como o número na previdência social ou informações da conta no
banco. A maioria dos spams é enviada por vários computadores em redes que foram infectadas
por um vírus ou por um worm. Esses computadores infectados enviam o máximo de lixo
eletrônico possível.
O spam não pode ser interrompido, mas seus efeitos podem ser reduzidos. Por exemplo, a
maioria dos ISPs filtram os spams, antes que eles atinjam a caixa de entrada do usuário.
Muitos programas antivírus e de e-mail executam automaticamente a filtragem de e-mail. Isso
significa que detectam e removem spam de uma caixa de entrada.
Mesmo com essas funcionalidades de segurança implementadas, alguns spams ainda podem
passar. Observe alguns dos indicadores mais comuns de Spam:
Um e-mail sem assunto.
Um e-mail solicitando uma atualização de uma conta.
Um e-mail cheio de palavras escritas incorretamente ou pontuação estranha.
Links no e-mail são longos e/ou incompreensíveis.
Um e-mail disfarçado como correspondência de uma empresa legítima.
Um e-mail que solicita que você abra um anexo.
As empresas também devem conscientizar os funcionários sobre os perigos de se abrir anexos
de e-mail que possam conter um vírus ou um worm. Não presuma que os anexos de e-mail são
seguros, mesmo quando são enviados de um contato confiável. O computador do remetente
pode estar infectado por um vírus que está tentando se espalhar. Sempre varra anexos de e-
mail, antes de abri-los.
Ataques TCP/IP
Para controlar a comunicação na Internet, o computador usa o suite de protocolos TCP/IP.
Infelizmente, algumas funcionalidades do TCP/IP podem ser manipuladas, resultando em
vulnerabilidades na rede.
O TCP/IP é vulnerável aos seguintes tipos de ataques:
Negação de Serviço (DoS) – O DoS (Denial of Service, Negação de Serviço) é um tipo de
ataque que cria, anormalmente, uma grande quantidade de requisições aos servidores de rede,
como e-mail ou servidores web. O objetivo do ataque é sobrecarregar, completamente, o
servidor, com requisições falsas, criando uma negação de serviço para usuários legítimos.
DoS Distribuído (DDoS )– Um ataque DDoS (Distributed DoS, DoS Distribuído) é como um
ataque DoS, mas é criado usando muito mais computadores, algumas vezes em milhares, para
iniciar o ataque. Os computadores são infectados, primeiro, com malware, depois, se tornam
zumbis, um exército de zumbis, ou botnets. Depois que os computadores são infectados, ficam
dormentes, até que precisem criar um ataque DDoS. Os computadores zumbis que estão em
diferentes localizações geográficas dificultam o rastreamento da origem do ataque.
Inundação de SYN – Uma requisição SYN é a comunicação inicial enviada para estabelecer
uma conexão TCP. Um ataque de inundação de SYN abre, aleatoriamente, portas TCP na
origem do ataque e prende o equipamento de rede ou o computador com uma grande
quantidade de requisições SYN falsas. Isso faz com que sessões sejam negadas para os outros.
Um ataque de inundação de SYN é um tipo de ataque DoS.
Spoofing - Em um ataque de spoofing, um computador finge ser um computador confiável,
para obter acesso aos recursos. O computador usa um endereço MAC ou um endereço IP
forjado para representar um computador que é confiável na rede.
Man-in-the-Middle – Um invasor executa um ataque Man-in-the-Middle (MitM) com a
intercepção de comunicações entre computadores para roubar informações que transitam por
toda a rede. Um ataque de MitM também pode ser usado para manipular mensagens e
transmitir informações falsas entre hosts, pois os hosts não reconhecem que as mensagens
foram alteradas.
Replay - Para executar um ataque de replay, as transmissões de dados são interceptadas e
registradas por um invasor. Essas transmissões são reenviadas para o computador destino. O
computador destino processa essas transmissões repetidascomo autênticas e enviadas pela
fonte original.
Envenenamento de DNS - Os registros DNS de um sistema são alterados para apontar para
servidores impostores. O usuário tenta acessar um site legítimo, mas o tráfego é desviado para
um site impostor. O site impostor é usado para capturar informações confidenciais, como
nomes de usuário e senhas. Um invasor poderá, assim, recuperar os dados desse local.
Ataques de Dia Zero
Um ataque de dia zero, às vezes conhecido como uma ameaça de dia zero, é um ataque de
computador que tenta explorar as vulnerabilidades do software que são desconhecidas ou não
divulgadas pelo fornecedor do software. O termo hora zero descreve o momento em que a
exploração é descoberta. Durante o tempo que os fornecedores de software demoram para
desenvolver e liberar um patch, a rede está vulnerável a essas explorações. A defesa contra
esses ataques rápidos requer que os profissionais de rede adotem uma visão mais sofisticada da
arquitetura da rede. Não é mais possível conter as intrusões em alguns pontos da rede.
Engenharia Social
A engenharia social ocorre quando um invasor tenta acessar o equipamento ou uma rede,
enganando as pessoas para que forneçam as informações necessárias para o acesso. O
engenheiro social ganha a confiança do funcionário e o convence a divulgar as informações de
nome de usuário e senha.
Aqui estão algumas precauções básicas para ajudar a proteger contra engenharia social:
Nunca forneça suas credenciais de login (por exemplo, nome de usuário, senha, PIN).
Nunca publique as informações de credenciais em sua área de trabalho.
Bloqueie o computador quando deixar sua mesa.
Para proteger um local físico, a empresa deve:
Implementar uma lista de controle de acesso ou de entrada contendo aqueles que tem a entrada
permitida.
Não deixe que ninguém o acompanhe por meio de uma porta que requer um cartão de acesso.
Sempre peça a identificação de pessoas desconhecidas.
Restrinja o acesso aos visitantes.
Acompanhe todos os visitantes.
O Que é Uma Política de Segurança?
Uma política de segurança é um conjunto de objetivos de segurança que garantem a segurança
de uma rede, dos dados e dos sistemas de computacionais de uma empresa. A política de
segurança é um documento em constante desenvolvimento, baseado em mudanças na
tecnologia, nos negócios e nas necessidades dos funcionários.
Acessando a Diretiva de Segurança Local do Windows
Na maioria das redes que usam computadores Windows, o Active Directory é configurado com
domínios em um servidor Windows. Computadores Windows são membros de um domínio. O
administrador configura uma diretiva de segurança de domínio que se aplica a todos os
computadores que participam do domínio. As diretivas de contas são configuradas
automaticamente, quando um usuário faz login no Windows.
Nomes de Usuário e Senhas
O administrador do sistema geralmente define uma convenção de nomenclatura para nomes de
usuário para criar logins de rede. Um exemplo comum de nome de usuário é a primeira letra
do nome da pessoa e depois todo o sobrenome. Mantenha a convenção de nomenclatura
simples, para que as pessoas não tenham dificuldade de lembrar. Os nomes de usuário e as
senhas são informações importantes e não devem ser revelados.
As diretrizes de senha são um componente importante de uma política de segurança. Qualquer
usuário que fizer logon em um computador ou se conectar a um recurso de rede deve ter uma
senha. As senhas ajudam a evitar roubo de dados e atos mal-intencionados. As senhas também
ajudam a confirmar se o registro de eventos é válido, garantindo a identidade do usuário.
Três níveis de proteção de senha são recomendados:
BIOS - Impede que o sistema operacional seja inicializado e que as configurações da BIOS
sejam alteradas, sem a senha adequada.
Login - Impede o acesso não autorizado ao computador local.
Rede - Impede o acesso aos recursos de rede por pessoal não autorizado.
Configurações de Segurança para Diretivas de Conta
Ao atribuir senhas, o nível de controle de senha deve corresponder ao nível de proteção necessário. Atribua
senhas fortes, sempre que possível.
Use a Diretiva de Senha em Diretivas de Conta para aplicar requisitos de senha. As configurações na Figura
2 atendem aos seguintes requisitos:
Aplicar histórico de senhas- O usuário pode reutilizar uma senha depois que 24 senhas exclusivas tenham sido
salvas.
Validade máxima da senha- O usuário deve mudar a senha depois de 90 dias.
Validade mínima da senha- O usuário deve esperar um dia, antes de alterar a senha novamente. Isso evita que
os usuários digitem uma senha diferente 24 vezes para usar novamente uma senha anterior.
Tamanho mínimo da senha- A senha deve ter pelo menos oito caracteres.
A senha deve atender aos requisitos de complexidade- A senha não deve conter o nome da conta do usuário ou
as partes do nome completo do usuário que excedam dois caracteres consecutivos. A senha deve conter três
das seguintes quatro categorias: letras maiúsculas, letras minúsculas, números e símbolos.
Armazenar as senhas usando criptografia reversível- Armazenar senhas usando criptografia reversível é
essencialmente o mesmo que armazenar versões de texto simples das senhas. Por esse motivo, esta política
nunca deve ser ativada, a menos que os requisitos de aplicativos superem a necessidade de proteger as
informações de senha.
Use a Diretiva de Bloqueio de Conta em Diretivas de Conta, para impedir tentativas de login por força
bruta, permite que o usuário digite o nome de usuário e/ou senha errados cinco vezes. Depois de cinco
tentativas, a conta é bloqueada por 30 minutos. Depois de 30 minutos, o número de tentativas é redefinido para
zero e o usuário pode tentar entrar novamente. Essa política também protegeria contra um ataque de
dicionário, onde cada palavra do dicionário é utilizada para tentar obter acesso.
Gerenciamento Local de Senha
O gerenciamento de senha para computadores Windows independentes é feita localmente pela
de Usuário. Para criar, remover ou modificar uma senha no Windows, use o seguinte
caminho:
Painel de Controle > Contas de Usuário
Para impedir que usuários não autorizados acessem computadores e recursos de rede locais,
bloqueie a estação de trabalho, notebook ou servidor, quando não estiver presente.
É importante garantir que os computadores estejam seguros, quando os usuários estiverem
ausentes. Uma política de segurança deve conter uma regra sobre a necessidade de se bloquear
um computador, quando a proteção de tela for iniciada. Isso garantirá que, depois de um curto
período de tempo longe do computador, a proteção de tela será iniciada e o computador não
poderá ser usado, até que o usuário faça login novamente.
Em todas as versões do Windows, use o seguinte caminho:
Painel de Controle > Personalização > Proteção de tela. Escolha uma proteção de tela e um
tempo de espera e selecione a opção Ao reiniciar, exibir tela de logon.
Exportando a Diretiva de Segurança Local
Se a Diretiva de Segurança Local em cada computador independente for a mesma, use a
funcionalidade Exportar Diretiva, como mostrado na figura. Salve a diretiva com um nome,
como workstation.inf . Depois, copie o arquivo da diretiva para uma mídia externa ou unidade
de rede, para usar em outros computadores independentes. Isso é particularmente útil quando o
administrador precisa configurar diretivas locais abrangentes para direitos de usuário e opções
de segurança.
Segurança da Web
Há várias ferramentas web (por exemplo, ActiveX, Flash) que podem ser usadas por invasores
para instalar um programa em um computador.
Para evitar isso, os navegadores têm funcionalidades que podem ser usadas para aumentar a
segurança da web:
Filtragem ActiveX
Bloqueador de Pop-ups
Filtro SmartScreen
Navegação InPrivate
Filtragem ActiveX
Ao navegar na web, algumas páginas podem não funcionar corretamente, a menos quevocê
instale um controle ActiveX. Alguns controles ActiveX são escritos por terceiros e podem ser
mal-intencionados. A filtragem ActiveX permite a navegação na web sem execução de
controles ActiveX.
Depois que um controle ActiveX tiver sido instalado para um site, o controle será executado
em outros sites também. Isso pode prejudicar o desempenho ou apresentar riscos à segurança.
Quando a filtragem ActiveX está ativada, você pode escolher os sites nos quais é permitida a
execução de controles ActiveX. Os sites que não forem aprovados não poderão executar esses
controles e o navegador não mostrará notificações para que você os instale ou os ative.
Bloqueador de Pop-ups
Um pop-up é uma janela do navegador web que é aberta sobre outra janela do navegador web.
Alguns pop-ups são iniciados durante a navegação, como um link em uma página que abre um
pop-up para fornecer informações adicionais ou um close de uma imagem. Outros pop-ups são
iniciados por um site ou por um anunciante e são, geralmente, indesejados ou irritantes,
especialmente quando vários pop-ups são abertos ao mesmo tempo em uma página web.
A maioria dos navegadores web oferece a capacidade de bloquear janelas pop-up. Isso permite
que um usuário limite ou bloqueie a maioria dos pop-ups que ocorrem durante a navegação na
web.
Filtro SmartScreen
Os navegadores web também podem oferecer funcionalidades adicionais de filtragem web. Por
exemplo, o Internet Explorer 11 fornece a funcionalidade de filtro SmartScreen. Essa
funcionalidade detecta sites de phishing, analisa sites em busca de itens suspeitos e verifica
downloads em uma lista que contém sites e arquivos conhecidos por serem mal-intencionados.
Navegação InPrivate
Os navegadores web mantêm informações sobre as páginas web que você visita, as pesquisas
que você realiza e outras informações identificáveis, incluindo nomes de usuário, senhas e
mais. Esta é uma funcionalidade conveniente ao se usar um computador em casa que esteja
protegido com uma senha. Entretanto, essa é uma preocupação ao usar um computador
público, como um computador em uma biblioteca, em um centro empresarial de um hotel ou
em um cibercafé.
As informações retidas pelos navegadores web podem ser recuperadas e exploradas por outros.
Eles podem usar essas informações para roubar sua identidade, para roubar seu dinheiro ou
para alterar as senhas em contas importantes.
Para melhorar a segurança ao usar um computador público, os navegadores web fornecem o
recurso de navegação anônima na web, sem retenção das informações. Por exemplo, a
funcionalidade de Navegação InPrivate, no Internet Explorer 11, impede o armazenamento das
informações. Ao navegar, o Navegador InPrivate armazena, temporariamente, os arquivos e
cookies e os exclui quando a sessão InPrivate é concluída.
Firewalls por Software
Um firewall por software é um programa que é executado em um computador para permitir ou
negar tráfego entre o computador e outros computadores aos quais ele está conectado. O
firewall por software aplica um conjunto de regras a transmissões de dados por meio da
inspeção e filtragem de pacotes de dados. O firewall do Windows é um exemplo de um
firewall por software. Ele é instalado, por padrão, quando o sistema é instalado.
Você pode controlar o tipo de dados enviados de e para o computador selecionando quais
portas serão abertas e o que será bloqueado. Os firewalls bloqueiam conexões de rede de
entrada e de saída, a menos que sejam definidas exceções para abrir e fechar as portas
necessárias para um programa. 
Biometria e Cartões Inteligentes
Os métodos adicionais de proteger o acesso a dispositivos incluem:
Segurança por Biometria - A segurança por biometria compara as características físicas com
perfis armazenados, para autenticar pessoas. Um perfil é um arquivo de dados que contém
características conhecidas de uma pessoa. O usuário tem o acesso concedido, se suas
características corresponderem às configurações salvas. Um leitor de impressão digital é um
dispositivo biométrico comum.
Segurança por Cartão Inteligente - O cartão inteligente é um cartão de plástico pequeno, do
tamanho de um cartão de crédito, com um chip pequeno incorporado nele. Um chip é um
portador de dados inteligente, capaz de processar, de armazenar, e de proteger os dados. Os
cartões inteligentes armazenam informações privadas, como números de conta bancária, a
identificação pessoal, os registros médicos e as assinaturas digitais. Os cartões inteligentes
fornecem autenticação e criptografia para manter os dados seguros.
Segurança por Chave Fob - Uma chave fob de segurança é um dispositivo que é pequeno
suficiente para ser colocado em um chaveiro. Usa um processo chamado autenticação por dois
fatores, que é mais seguro que uma combinação de nome de usuário e senha. Primeiro, o
usuário digita um número de identificação pessoal (PIN ). Se inserido corretamente, a chave
fob de segurança exibirá um número. Este é o segundo fator que o usuário deve inserir para
entrar no dispositivo ou rede.
Backups de Dados
Os dados podem ser perdidos ou danificados em condições como roubo, falha do equipamento,
ou um desastre. Por isso, é importante realizar, regularmente, um backup de dados.
O backup de dados armazena uma cópia das informações de um computador em uma mídia
removível de backup que pode ser guardada em um local seguro. Fazer backup de dados é uma
das formas mais eficazes de proteção contra perda de dados. Se o hardware do computador
falhar, os dados podem ser restaurados do backup para um hardware funcional.
Os backups de dados devem ser realizados regularmente e incluídos na política de segurança.
Os backups de dados são, normalmente, armazenados em outro local, para proteger a mídia de
backup, se algo acontecer com a instalação principal. A mídia de backup é reutilizada com
frequência para economizar custos de mídia. Siga sempre as diretrizes de rotação de mídia da
organização.
Estas são algumas considerações para backup de dados:
Frequência- Os backups podem levar muito tempo. Às vezes é mais fácil fazer um backup
completo mensal ou semanal, e depois backups parciais frequentes de todos os dados que
tiverem mudado, desde o último backup completo. No entanto, ter muitos backup parciais
aumenta o tempo necessário para restaurar os dados.
Armazenamento- Para segurança adicional, os backups devem ser transportados para um
local de armazenamento externo aprovado em uma rotação diária, semanal ou mensal,
dependendo das necessidades da política de segurança.
Segurança- Backups podem ser protegidos com senhas. A senha é inserida, antes que os dados
nas mídias de backup possam ser restaurados.
Validação- Valide sempre os backups para garantir a integridade dos dados.
Permissões de Arquivos e de Pastas
As permissões são regras que você configura para limitar o acesso à pasta ou ao arquivo para
um indivíduo ou para um grupo de usuários. A figura lista as permissões disponíveis para
arquivos e pastas. Para configurar permissões no nível de arquivo ou de pasta em todas as
versões do Windows, use o seguinte caminho:
Clique com o botão direito do mouse no arquivo ou na pasta e selecione 
Propriedades > Segurança > Editar…
Princípio de Menos Privilégio
Os usuários devem ser limitados apenas aos recursos que precisam em um sistema
computacional ou em uma rede. Por exemplo, não devem poder acessar todos os arquivos de
um servidor se só precisarem acessar uma única pasta. Pode ser mais fácil fornecer acesso de
usuários à unidade inteira, mas é mais seguro limitar o acesso somente à pasta que é necessária
para realizar seu trabalho. Isso é conhecido como o princípio de menos privilégio. Limitar o
acesso aos recursos também evita que os programas mal-intencionados acessem esses
recursos, se o computador do usuário ficar infectado.
Restringindo Permissões de UsuárioPermissões de compartilhamento de arquivos e de rede podem ser concedidas a indivíduos ou
com a participação em um grupo. Essas permissões de compartilhamento são muito diferentes
das permissões NTFS de nível de arquivo e de pasta. Se um indivíduo ou um grupo tiverem as
permissões negadas para um compartilhamento de rede, essa negação se sobreporá a qualquer
outra permissão concedida. Por exemplo, se você negar a alguém permissão para um
compartilhamento de rede, o usuário não poderá acessar esse compartilhamento, mesmo se o
usuário for o administrador ou fizer parte do grupo administrador. A política de segurança local
deve descrever quais recursos e o tipo de acesso são permitidos para cada usuário e grupo.
Quando as permissões de uma pasta são alteradas, tem-se a opção de aplicar as mesmas
permissões para todas as subpastas. Isso é conhecido como propagação de permissões. A
propagação de permissões é uma maneira fácil de aplicar permissões rapidamente a vários
arquivos e pastas. Depois que as permissões da pasta pai tiverem sido definidas, as pastas e os
arquivos criados dentro da pasta pai herdam as permissões da pasta pai.
Além disso, a localização dos dados e a ação realizada nos dados determinam como as
permissões são propagadas:
Dados movidos para o mesmo volume – Manterão as permissões originais
Dados copiados para o mesmo volume – Herdarão novas permissões
Dados movidos para um volume diferente – Herdarão novas permissões
Dados copiados para um volume diferente – Herdarão novas permissões
Criptografia de Arquivos e de Pastas
A criptografia é, geralmente, usada para proteger os dados. Criptografia é onde os dados são
transformados usando um algoritmo complicado para torná-los ilegíveis. Uma chave especial
deve ser usada para transformar as informações ilegíveis, novamente em dados legíveis.
Programas de software são usados para criptografar arquivos, pastas e, até mesmo, unidades
inteiras.
O EFS (Encrypting File System, Sistema de Criptografia de Arquivos) é uma característica do
Windows que pode criptografar dados. O EFS está vinculado diretamente a uma conta de
usuário específica. Apenas o usuário que criptografou os dados poderá acessá-los depois de
eles terem sido criptografados usando EFS. Para criptografar os dados usando EFS em todas as
versões do Windows, siga estes passos:
Passo 1. Selecione um ou mais arquivos ou pastas.
Passo 2. Clique com o botão direito nos dados selecionados>Propriedades.
Passo 3. Clique em Avançado...
Passo 4. Marque a caixa de seleção Criptografar conteúdo para proteger os dados.
Passo 5. Os arquivos e as pastas que foram criptografados com EFS são exibidos em verde.
BitLocker do Windows
Você também pode escolher criptografar um disco rígido inteiro, usando um recurso chamado
BitLocker. Para usar BitLocker, pelo menos dois volumes devem estar presentes em um disco
rígido. Um volume do sistema é deixado não criptografado e deve ser de pelo menos 100 MB.
Esse volume mantém os arquivos necessários para o Windows inicializar.
Antes de usar o BitLocker, o TPM (Trusted Platform Module, Módulo de Plataforma
Confiável) deve ser ativado na BIOS. O TPM é um chip especializado instalado na placa-mãe.
O TPM armazena informações específicas do sistema host, como chaves de criptografia,
certificados digitais e senhas. Os aplicativos, como o BitLocker, que usam criptografia, podem
usar o chip de TPM.
Nota: a criptografia BitLocker também pode ser usada em unidades removíveis usando o
BitLocker To Go. O BitLocker To Go não usa um chip de TPM, mas ainda fornece criptografia
dos dados e exige uma senha. 
A proteção dos dados também inclui a remoção de arquivos de dispositivos de armazenamento
quando não são mais necessários. Simplesmente excluir os arquivos ou reformatar a unidade
pode não ser o suficiente para garantir a privacidade. Por exemplo, a exclusão de arquivos de
uma unidade de disco rígido não os remove completamente. O sistema operacional remove
apenas a referência ao arquivo na tabela de alocação de arquivos (FAT). No entanto, os dados
ainda permanecerão na unidade. Esses dados não são removidos completamente, até que o
disco rígido armazene outros dados no mesmo local, substituindo os dados anteriores.
Por esse motivo, as ferramentas de software podem ser usadas para recuperar pastas, arquivos,
e, até mesmo, partições inteiras. Podem ser uma bênção, se a exclusão tiver sido acidental.
Mas também podem ser desastrosas se os dados forem recuperados por um usuário mal-
intencionado.
Por esse motivo, a mídia de armazenamento deve ser totalmente apagada usando um ou mais
dos seguintes métodos:
Software para apagamento de dados - Também conhecido como apagamento seguro,
consiste em uma ferramenta de software projetada, especificamente, para sobrescrever dados
repetidamente, tornando-os ilegíveis.
Varinha de desmagnetização – (Figura 1) consiste em uma varinha com ímãs muito
poderosos que é colocada sobre os pratos expostos do disco rígido, para destruir ou eliminar o
campo magnético de um disco rígido.
Dispositivo de desmagnetização eletromagnética - Consiste em um ímã com uma corrente
elétrica aplicada a ele para criar um campo magnético muito forte. O dispositivo pode destruir
ou eliminar, muito rapidamente, o campo magnético de um disco rígido.
Reciclagem e Destruição do Disco Rígido
Empresas com dados confidenciais devem sempre criar políticas claras para descarte de mídia
de armazenamento. Há duas opções disponíveis, quando uma mídia de armazenamento não é
mais necessária.
As mídias podem ser:
Recicladas- Discos rígidos que foram apagados podem ser reutilizados em outros
computadores. A unidade pode ser reformatada e um novo sistema operacional instalado. Dois
tipos de formatação podem ser realizados.
Destruídas- A destruição completa do disco rígido garante, completamente, que os dados não
sejam recuperados de um disco rígido. Os dispositivos especificamente projetados como
esmagadores de disco rígido, trituradores de disco rígido, incineradores, etc, podem ser usados
para grandes volumes de unidades. Danificar a unidade fisicamente, com martelo, também é
eficaz.
Uma empresa pode escolher um fornecedor externo para destruir suas mídias de
armazenamento. Esses fornecedores geralmente têm algum vínculo e seguem regulamentações
governamentais rígidas. Eles também podem oferecer um certificado de destruição. Esse
certificado fornece evidências de que a mídia foi completamente destruída.
Programas de Proteção Contra Software Mal-Intencionado
Malware inclui vírus, worms, cavalos de Troia, keyloggers, spyware, e adware. Eles foram
criados para invadir a privacidade, roubar informações, danificar o sistema ou excluir dados
corrompidos.
É importante que você proteja os computadores e dispositivos móveis com software
antimalware de qualidade. Os seguintes tipos de programas antimalware estão disponíveis:
Proteção antivírus- Programa que monitora, continuamente, por vírus. Quando um vírus é
detectado, o usuário é avisado e o programa tenta colocar o vírus em quarentena ou excluí-lo.
Proteção contra adware– o programa procura continuamente por programas que indicam
publicidade em seu computador.
Proteção contra phishing– O programa bloqueia endereços IP de sites de phishing
conhecidos na web e avisa o usuário sobre sites suspeitos.
Proteção contra spyware– Programa que varre o computador em busca de keyloggers e ouros
tipos de spyware.
Fontes confiáveis/não confiáveis– Programa que avisa sobre programas não seguros prestes a
serem instalados ou sobre sites não seguros na web, antes de serem visitados.
Pode ser necessário usar vários programas diferentes e fazer várias varreduras para remover
completamente todos os softwares mal-intencionados. Execute apenas um programa de
proteção contra malware por vez.
Desconfie de produtos antivírusfalsos mal-intencionados que podem aparecer durante a
navegação na Internet. A maioria desses produtos antivírus falso exibe um anúncio ou um pop-
up que parece como uma janela de aviso real do Windows. Eles geralmente afirmam que o
computador está infectado e deve ser limpo. Clicar em qualquer lugar na janela pode iniciar o
download e a instalação do malware.
Quando se deparar com uma janela de aviso suspeita, nunca clique na janela de aviso. Feche a
guia ou o navegador para ver se a janela de aviso some. Se a guia ou o navegador não fechar,
pressione ALT+F4 para fechar a janela ou use o Gerenciador de Tarefas para encerrar o
programa. Se a janela de aviso não sumir, varra o computador usando um bom programa
antivírus ou de proteção contra adware conhecido, para garantir que o computador não esteja
infectado.
Software não aprovado ou não compatível não é apenas um software que é instalado de forma
não intencional em um computador. Também pode vir de usuários que queriam instalá-lo.
Pode não ser mal-intencionado, mas ainda pode violar a política de segurança. Esse tipo de
sistema não compatível pode interferir no software da empresa ou nos serviços de rede. O
software não aprovado precisa ser removido imediatamente.
Reparando Sistemas Infectados
Quando um programa de proteção contra malware detecta que um computador está infectado,
ele remove a ameaça ou a coloca em quarentena. Mas o computador provavelmente ainda está
em risco. A primeira etapa para reparar um computador infectado é remover o computador de
rede, para evitar que outros computadores sejam infectados. Desconecte fisicamente todos os
cabos de rede do computador e desative todas as conexões sem fio.
A próxima etapa é seguir todas as políticas de resposta a incidentes que estejam em vigor. Isso
pode incluir notificação da equipe de TI, salvar arquivos de log em mídia removível, ou
desligar o computador. Para um usuário doméstico, atualizar os programas de proteção contra
software mal-intencionado instalados e realizar varreduras completas de todas as mídias
instaladas no computador. Muitos programas antivírus podem ser configurados para serem
executados na inicialização do sistema, antes de carregar o Windows. Isso permite que o
programa acesse todas as áreas do disco, sem ser afetado pelo sistema operacional ou por
qualquer malware.
Pode ser difícil remover vírus e worms de um computador. Ferramentas de software são
necessárias, para eliminar os vírus e reparar o código de computador que o vírus modificou.
Essas ferramentas de software são fornecidas pelos fabricantes do sistema operacional e por
empresas de software de segurança. Baixe essas ferramentas de um site legítimo.
Inicialize o computador no modo de segurança, para evitar que a maioria dos drivers sejam
carregados. Instale programas adicionais de proteção contra malware e realize varreduras
completas para remover ou colocar em quarentena malwares adicionais. Pode ser necessário
entrar em contato com um especialista para garantir que o computador tenha sido
completamente limpo. Em alguns casos, o computador deve ser reformatado e restaurado de
um backup, ou o sistema operacional pode precisar ser reinstalado.
O serviço de restauração do sistema pode incluir arquivos infectados em um ponto de
restauração. Depois de o computador ter sido limpo de todo malware, os arquivos de
restauração do sistema devem ser excluídos.
Atualizações dos Arquivos de Assinatura
Os fabricantes de software devem criar e distribuir, regularmente, novos patches para corrigir
falhas e vulnerabilidades nos produtos. Como novos vírus estão sempre sendo desenvolvidos,
o software de segurança deve ser continuamente atualizado. Esse processo pode ser realizado
automaticamente, mas um técnico deve saber atualizar manualmente qualquer tipo de software
de proteção e todos os programas de aplicativos do cliente.
Os programas de detecção de malware procuram padrões no código de programação do
software em um computador. Esses padrões são determinados analisando vírus que são
interceptados na Internet e em redes locais. Esses padrões de código são chamados assinaturas.
Os produtores de software de proteção compilam as assinaturas em tabelas de definição de
vírus. Para atualizar arquivos de assinatura do software antivírus, primeiro verifique se os
arquivos de assinatura são os arquivos mais recentes. Você pode verificar o status do arquivo,
navegando para a opção “Sobre” do software de proteção ou iniciando a ferramenta de
atualização do software de proteção.
Sempre recupere os arquivos de assinatura do site do fabricante, para garantir que a
atualização seja autêntica e não esteja corrompida por vírus. Isso pode colocar grande
demanda no site do fabricante, especialmente quando vírus novos são lançados. Para evitar
criar muito tráfego em um único site, alguns fabricantes distribuem seus arquivos de assinatura
para download em vários sites de download. Esses sites de download são chamadas espelhos.
CUIDADO: ao baixar arquivos de assinatura de um espelho, certifique-se de que o site
espelho seja um site legítimo. Sempre siga um link para o site espelho vindo do site do
fabricante.
Tipos Comuns de Criptografia de Comunicação
A comunicação entre dois computadores pode exigir uma comunicação segura. Para isso, os
seguintes protocolos são necessários:
Codificação hash
Criptografia simétrica
Criptografia assimétrica
A codificação hash, ou hashing, garante a integridade da mensagem. Isso significa que garante
que a mensagem não seja corrompida ou modificada durante a transmissão. Hashing usa uma
função matemática para criar um valor numérico, chamado resumo da mensagem que é
exclusivo para os dados. Se mesmo um único caractere for alterado, a saída da função não será
a mesma. A função pode ser usada apenas em um sentido. Portanto, saber o resumo da
mensagem não permite a um invasor recriar a mensagem, tornando difícil que alguém
intercepte e altere as mensagens. A codificação hash está ilustrada na Figura 1. O algoritmo de
hash mais popular agora é o SHA (Algoritmo de Hash Seguro) que está substituindo o
algoritmo MD5 (Resumo de Mensagem 5).
A criptografia simétrica garante a confidencialidade da mensagem. Se uma mensagem
criptografada for interceptada, ela não poderá ser entendida. Ela só poderá ser descriptografada
(ou seja, lida), usando a senha (ou seja, chave) com a qual foi criptografada. A criptografia
simétrica requer que os dois lados de uma conversa criptografada use uma chave de
criptografia para codificar e decodificar os dados. O remetente e o receptor devem usar chaves
idênticas. A criptografia AES (Advanced Encryption Standard, Padrão de Criptografia
Avançada) e o algoritmo de criptografia de dados triplo mais antigo (3DES) são exemplos de
criptografia simétrica.
A criptografia assimétrica também garante a confidencialidade da mensagem. Requer duas
chaves, uma chave privada e uma chave pública. A chave pública pode ser amplamente
distribuída, incluindo ser enviada por e-mails em texto simples ou publicada na web. A chave
privada é mantida por uma pessoa e não deve ser divulgada a nenhuma outra pessoa. Essas
chaves podem ser usadas de duas maneiras:
A criptografia de chave pública é usada quando uma única organização precisa receber o texto
criptografado de várias fontes. A chave pública pode ser amplamente distribuída e usada para
criptografar as mensagens. O destinatário é o único participante que tem a chave privada,
usada para descriptografar as mensagens. A criptografia assimétrica que usa uma chave
pública.
No caso das assinaturas digitais, uma chave privada é necessária para criptografar uma
mensagem e uma chave pública é necessária para decodificar a mensagem.Essa abordagem
permite que o destinatário tenha confiança sobre a origem da mensagem, pois somente uma
mensagem criptografada usando a chave privada do autor pode ser descriptografada pela chave
pública. RSA é o exemplo mais popular de criptografia assimétrica.
Nota: a criptografia simétrica requer que os dois sistemas sejam pré-configurados com uma
chave secreta. A criptografia assimétrica exige que apenas um sistema tenha a chave privada.
Service Set Identifiers (SSIDs)
Como as ondas de rádio são usadas para transmitir dados em redes sem fio, é fácil para os
invasores monitorar e coletar dados sem se conectar, fisicamente, a uma rede. Os invasores
têm acesso a uma rede, estando dentro do alcance de uma rede sem fio desprotegida. Um
técnico precisa configurar access points e placas de rede sem fio com um nível de segurança
apropriado.
Ao instalar serviços sem fio, aplique técnicas de segurança sem fio, imediatamente, para evitar
acesso não desejado à rede. Os access points sem fio devem ser configurados com segurança
básica compatível com a segurança da rede existente.
O SSID (Service Set Identifier, Identificador do Conjunto de Serviços) é o nome da rede sem
fio. Um roteador ou access point sem fio transmite o SSID por padrão, para que os dispositivos
sem fio possam detectar a rede sem fio. Quando a transmissão do SSID tiver sido desativada
no roteador ou access point sem fio, como mostra a figura, insira manualmente o SSID em
dispositivos sem fio, para se conectar à rede sem fio.
Desativar a transmissão do SSID oferece muito pouca segurança. Se a transmissão do SSID
estiver desativada, um usuário que quiser se conectar à rede sem fio e que conheça o SSID da
rede pode, simplesmente, inseri-lo manualmente. Quando um computador estiver procurando
uma rede sem fio, ele transmitirá o SSID. Um hacker avançado pode facilmente interceptar
essas informações e usá-las para representar o roteador e capturar suas credenciais.
Modos de Segurança Sem Fio
Use um sistema de criptografia sem fio para codificar a informação que está sendo enviada
para evitar captura e uso indesejados de dados. A maioria dos access points sem fio é
compatível com vários modos diferentes de segurança, como mostra a figura. Como discutido
em um capítulo anterior, sempre implemente o modo de segurança mais forte (WPA2)
possível.
Muitos roteadores oferecem WPS (Wi-Fi Protected Setup, Configuração Protegida de Wi-Fi).
O WPS permite a configuração muito fácil de segurança Wi-Fi. Com o WPS, o roteador e o
dispositivo sem fio terão um botão que, quando os dois forem pressionados, a segurança Wi-Fi
entre os dispositivos será automaticamente configurada. Uma solução de software que usa um
PIN também é comum. É importante saber que o WPS não é seguro. É vulnerável a ataques de
força bruta. O WPS deve ser desligado como uma prática recomendada de segurança.
Plug and Play Universal
UPnP (Universal Plug and Play, Plug and Play Universal) é um protocolo que permite que
dispositivos se adicionem dinamicamente a uma rede, sem a necessidade de intervenção ou
configuração do usuário. Embora conveniente, o UPnP não é seguro. O protocolo UPnP não
tem nenhum método para autenticar dispositivos. Portanto, ele considera cada dispositivo
como confiável. Além disso, o protocolo UPnP tem várias vulnerabilidades de segurança. Por
exemplo, um malware pode usar o protocolo UPnP para redirecionar o tráfego para endereços
IP diferentes fora da rede, enviando potencialmente, informações confidenciais para um
hacker.
Muitos roteadores sem fio domésticos e de pequenos escritórios têm o UPnP ativado por
padrão. Verifique, portanto essa configuração e desative-a.
Atualizações de Firmware
A maioria dos roteadores sem fio oferece firmware que pode ser atualizado. As versões de
firmware podem conter correções para problemas comuns apresentados por clientes, além de
vulnerabilidades de segurança. Você deve verificar periodicamente o site do fabricante do
firmware, para ver se há atualizações. Depois que for baixada, você pode usar o GUI para
carregar o firmware no roteador sem fio, como mostra a figura. Os usuários devem ficar
desconectados da WLAN e da Internet, até que a atualização seja concluída. O roteador sem
fio pode precisar ser reinicializado várias vezes antes, que as operações normais de rede sejam
restauradas.
Firewalls
Um firewall por hardware é um componente de filtragem físico que inspeciona os pacotes de
dados da rede, antes que atinjam os computadores e outros dispositivos de uma rede. Um
firewall por hardware é uma unidade autônoma que não usa os recursos dos computadores que
está protegendo, portanto, não há nenhum impacto no desempenho do processamento. O
firewall pode ser configurado para bloquear várias portas individuais, um intervalo de portas
ou, até mesmo, o tráfego específico de um aplicativo. A maioria dos roteadores sem fio
também incluem um firewall por hardware integrado.
Um firewall por hardware passa dois tipos diferentes de tráfego para a rede:
Respostas a tráfego que se origina de dentro da rede
Tráfego destinado a uma porta que você deixou intencionalmente aberta
Existem vários tipos de configurações de firewall por hardware:
Filtro de pacotes- Os pacotes não podem passar pelo firewall, a menos que correspondam ao
conjunto de regras estabelecido configurado no firewall. O tráfego pode ser filtrado, com base
em atributos diferentes, como o endereço IP origem, a porta origem ou o endereço IP ou a
porta destino. O tráfego pode também ser filtrado, com base em serviços ou protocolos de
destino, como WWW ou FTP.
SPI (Stateful packet inspection, Inspeção de Pacotes Stateful)- Este é um firewall que
controla o estado das conexões de rede que passam pelo firewall. Os pacotes que não fazem
parte de uma conexão conhecida são descartados.
Camada de aplicação- Todos os pacotes que vão para uma aplicação ou que saem de uma
aplicação são interceptados. Evita-se que todo o tráfego externo indesejado chegue aos
dispositivos protegidos.
Proxy- este é um firewall instalado em um servidor proxy que inspeciona todo o tráfego e
permite ou nega pacotes, com base em regras configuradas. Um servidor proxy é um servidor
que é uma retransmissão entre um cliente e um servidor de destino na Internet.
Firewalls por hardware e por software protegem dados e equipamentos de uma rede contra
acesso não autorizado. Um firewall deve ser usado em conjunto com software de segurança. 
Zona Desmilitarizada
Uma DMZ (Demilitarized Zone, Zona Desmilitarizada) é uma sub-rede que fornece serviços a
uma rede não confiável. Um servidor de e-mail, web, ou um servidor FTP são colocados
geralmente na DMZ, para que o tráfego que usa o servidor não venha para dentro da rede
local. Isso protege a rede interna contra ataques desse tráfego, mas não protege os servidores
na DMZ, de qualquer maneira. É comum para um firewall ou um proxy gerenciar o tráfego de
e para a DMZ.
Em um roteador sem fio, você pode criar uma DMZ para um dispositivo, encaminhando todas
as portas de tráfego da Internet para um endereço IP ou um endereço MAC específico. Um
servidor, uma máquina de jogo, ou uma câmera web podem estar na DMZ, para que o
dispositivo possa ser acessado por qualquer pessoa. O dispositivo na DMZ, no entanto, está
exposto a ataques de hackers na Internet.
Port Forwarding e Port Triggering
Firewalls por hardware podem ser usados para bloquear portas para impedir o acesso não
autorizado dentro e fora da LAN. No entanto, há situações em que portas específicas precisam
ser abertas, para que determinados programas e aplicativos possam se comunicar com
dispositivos em redes diferentes. Port forwarding (encaminhamento de portas) é um método
baseado em regras de direcionamento de tráfego entre dispositivos em redes separadas.
Quando o tráfego chega no roteador, o roteador determina se o tráfego deverá ser encaminhado
para um determinadodispositivo, com base no número da porta encontrado com o tráfego. Os
números de porta são associados aos serviços específicos, como FTP, HTTP, HTTPS e POP3.
As regras determinam que tráfego é enviado para a LAN. Por exemplo, um roteador pode ser
configurado para encaminhar a porta 80, que é associada ao HTTP. Quando o roteador recebe
um pacote com a porta destino 80, o roteador encaminha o tráfego para o servidor na rede que
serve páginas web. Na figura, o port forwarding está ativado para a porta 80 e associado ao
servidor web no endereço IP 192.168.1.254.
O port triggering permite que o roteador encaminhe, temporariamente, os dados, pelas portas
de entrada, para um dispositivo específico. Você pode usar o port triggering para encaminhar
dados a um computador, apenas quando um intervalo designado de portas é usado para fazer
uma requisição de saída. Por exemplo, um videogame pode usar as portas 27000 a 27100 para
se conectar com outros participantes. Essas são as portas para o port triggering. Um cliente de
bate-papo pode usar a porta 56 para conectar os mesmos jogadores para que possam interagir
uns com os outros. Nesse caso, se houver tráfego de jogos em uma porta de saída no intervalo
de porta configurado do port triggering, o tráfego de bate-papo de entrada na porta 56 é
encaminhado para o computador que está sendo usado para executar o videogame e o bate-
papo com amigos. Quando o jogo acaba e as portas não estão mais sendo usadas, a porta 56
não tem mais permissão para enviar tráfego de nenhum tipo a esse computador.
Métodos de Proteção dos Equipamentos Físicos
A segurança física é tão importante quanto a segurança dos dados. Quando um computador é
levado, os dados são roubados também. É importante restringir o acesso às instalações usando
cercas, travas de porta, e portões. Por exemplo, uma armadilha é frequentemente usada para
evitar tailgating (utilização não autorizada). É uma pequena sala, com duas portas, sendo que
uma deve ser fechada, antes que a outra possa ser aberta. Proteja a infraestrutura de rede, como
o cabeamento, equipamentos de telecomunicações e os dispositivos de rede, com o seguinte:
Salas de telecomunicações, gabinetes de equipamentos e racks protegidos
Cadeados e parafusos de segurança para dispositivos de hardware
Detecção sem fio de access points não autorizados
Firewalls por hardware
Sistema de gerenciamento de rede que detecta mudanças no cabeamento e nos patch panels
Dispositivos sem fio prevenidos contra reinicializações físicas
Senhas da BIOS/UEFI
A senha de usuário do Windows, do Linux ou do Mac para fazer login em seu computador não
impede que alguém inicialize o computador com um CD ou um pen drive com um sistema
operacional diferente. Depois de ser inicializado, o usuário mal-intencionado poderia acessar
ou apagar seus arquivos. Você pode impedir que alguém inicialize seu PC ou notebook
introduzindo a senha da BIOS ou da UEFI. Embora a criptografia de seu disco rígido seja uma
solução melhor, há situações em que você pode considerar a configuração de uma senha da
BIOS ou da UEFI. Por exemplo, os computadores usados regularmente pelo público ou em um
lugar de trabalho público seriam candidatos para uma senha da BIOS ou da UEFI. Depois de
configurada, a senha da BIOS ou da UEFI é relativamente difícil de ser apagada. Portanto,
certifique-se de lembrá-la.
AutoRun e Reprodução Automática
AutoRun é uma funcionalidade do Windows que segue, automaticamente, as instruções em um
arquivo especial chamado autorun.inf quando novas mídias, como um CD, um DVD ou um
pen drive, são inseridos no computador. Reprodução Automática é diferente de AutoRun. A
funcionalidade Reprodução Automática é uma forma conveniente de identificar,
automaticamente, quando novas mídias, como discos óticos, discos rígidos externos, ou pen
drives, são inseridas ou conectadas no computador. A Reprodução Automática solicita que o
usuário escolha uma ação, com base no conteúdo da nova mídia, como executar um programa,
tocar música ou explorar a mídia.
No Windows, o AutoRun é executado primeiro, a menos que seja desativado. Se o AutoRun
não estiver desativado, ele segue as instruções no arquivo autorun.inf. Começando com
Windows Vista, o AutoRun não tem permissão para ignorar a Reprodução Automática. No
entanto, você está, ainda, a apenas um clique de executar, sem saber, um malware na caixa de
diálogo da Reprodução Automática. Portanto, é uma boa prática de segurança determinar quais
programas usarão a Reprodução Automática. A solução mais segura é desativar a Reprodução
Automática. A Reprodução Automática é encontrada em Painel de Controle > Reprodução
Automática em todas as versões do Windows, a partir do Vista.
Autenticação de Vários Fatores
Anteriormente, discutimos autenticação de dois fatores, usando uma chave de segurança fob.
Os dois fatores são algo que você sabe, como uma senha, e algo que você tem, como uma
chave de segurança fob. A autenticação de vários fatores adiciona algo que você é, como uma
varredura de impressão digital. Ao considerar um programa de segurança, o custo de
implementação deve ser equilibrado, com relação ao valor dos dados ou do equipamento a
serem protegidos.
Bring Your Own Device (BYOD)
Os dispositivos móveis pessoais e corporativos também devem ser protegidos. Antigamente, os
únicos dispositivos que tinham permissão para ser usados dentro da infraestrutura corporativa
eram os que a empresa comprava. Com o crescente aumento drástico nos dispositivos pessoais,
quase todas as empresas agora devem criar e seguir uma política de BYOD (Traga o Seu
Próprio Dispositivo). Um dos maiores desafios para a empresa é até que ponto a empresa pode
controlar o dispositivo. Informações sensíveis, confidenciais ou privilegiadas devem ser
protegidas, independentemente de quem tem o dispositivo. Uma política de BYOD pode
economizar muito dinheiro para a empresa, mas o usuário deve concordar com a política e
segui-la. Outro desafio para esse recurso é a privacidade dos funcionários. Quando o
funcionário abre mão de algum controle do seu dispositivo, pode também estar abrindo mão de
um pouco da sua privacidade.
Requisitos do Perfil de Segurança
Uma boa prática de segurança é criar e aplicar perfis de segurança a dispositivos móveis. Um
perfil de segurança é, geralmente, um arquivo texto que define as configurações de segurança
e especifica as configurações de um dispositivo. Essas configurações podem ser aplicadas
diretamente a um dispositivo, a um usuário específico, ou a um grupo de usuários. Vários
perfis podem ser aplicados ao mesmo tempo também. É comum haver perfis de segurança para
dispositivos BYOD diferentes dos perfis para dispositivos corporativos. Os requisitos desses
perfis de segurança variam, de acordo com a função de um indivíduo ou grupo, com o tipo de
dispositivo ou com o sistema operacional e também com as políticas da organização.
Hardware de Segurança
As medidas de controle de acesso de segurança física incluem trancas, vigilância por vídeo e
guardas de segurança. Cartões de acesso protegem áreas físicas. Se um cartão de acesso for
perdido ou roubado, apenas esse cartão deverá ser desativado. O sistema de cartão de acesso é
mais caro que trancas e cadeados, mas quando uma chave convencional é perdida, a tranca
deverá ser substituída ou a fechadura deverá ser trocada.
Equipamentos de rede devem ser montados em áreas protegidas. Todo o cabeamento deve ser
embutido em conduítes ou por dentro das paredes internas, para impedir o acesso ou
modificação não autorizado. O conduíte é um invólucro, que protege a mídia de infraestrutura
contra danos e acesso não autorizado. As portas de rede que não estiverem em uso devem ser
desativadas.
Dispositivos biométricos, que medem informações físicas de um usuário, são ideais para áreas
altamente seguras. Entretanto, para a maioria das pequenas empresas, esse tipo de solução é
caro. A política de segurançadeve identificar o hardware e o equipamento que podem ser
usados para evitar roubo, vandalismo e perda de dados. A segurança física envolve quatro
aspectos relacionados: acesso, dados, infraestrutura e o computador físico.
Existem vários métodos de proteger fisicamente o hardware:
Usar cabos de segurança nos equipamentos.
Mantenha as salas de telecomunicações trancadas.
Fixe os equipamentos no local com parafusos de segurança.
Use gaiolas de segurança ao redor do equipamento.
Rotule e instale sensores, como tags RFID ( Radio Frequency Identification, Identificação por
Radiofrequência), no equipamento.
Instale alarmes físicos, acionados por sensores de detecção de movimento.
Use webcams com software de detecção de movimento e de vigilância.
Para acesso às instalações, há vários meios de proteção:
Cartões de acesso que armazenam dados de usuário, incluindo o nível de acesso
Crachás de identificação com fotos
Sensores biométricos que identificam características físicas do usuário, como impressões
digitais
Guarda de segurança em um posto
Sensores, como crachás RFID, para monitorar o local e o acesso
Use caixas com trava, cabos de segurança e travas de docking station para notebooks, para
evitar que computadores sejam movidos. Use estojos de disco rígido que podem ser trancados
e proteja o armazenamento e o transporte da mídia de backup para proteger os dados e a mídia
contra roubo.
Protegendo os Dados Quando Em Uso
As informações nas telas dos computadores podem ser protegidas contra olhos curiosos com
uma tela de privacidade. Uma tela de privacidade é um painel que é, geralmente, feito de
plástico. Impede que a luz se projete em ângulos agudos, de modo que somente o usuário que
olha em ângulo reto pode ver o que está na tela. Por exemplo, em um avião, um usuário pode
impedir que a pessoa sentada no assento do lado veja o que está em uma tela de computador.
A Combinação Certa de Segurança
Os fatores que determinam o equipamento mais eficiente de segurança a ser usado para
proteger os equipamentos e os dados incluem:
Como o equipamento é usado
Onde o equipamento está localizado
Que tipo de acesso a dados é necessário
Por exemplo, um computador em um lugar público cheio, como uma biblioteca, precisa de
proteção adicional contra roubo e vandalismo. Em um call center cheio, um servidor precisa
ser protegido em uma sala de equipamentos trancada. Onde é necessário usar um notebook em
um lugar público, um dongle de segurança e uma chave fob garantem que o sistema seja
bloqueado, se o usuário e o notebook forem separados.
Service Packs e Patches de Segurança do Sistema Operacional
Os patches são atualizações de código que os fabricantes fornecem para evitar que um vírus ou
um worm recém-descoberto façam um ataque bem-sucedido. De tempos em tempos, os
fabricantes combinam patches e atualizações em uma aplicação completa de atualização
chamada de service pack. Muitos ataques devastadores de vírus poderiam ter sido muito
menos graves, se mais usuários tivessem baixado e instalado o service pack mais recente.
O Windows verifica, regularmente, o site Windows Update, por atualizações de alta prioridade
e que podem ajudar a proteger o computador contra as mais recentes ameaças de segurança.
Essas atualizações incluem atualizações de segurança, atualizações críticas e service packs.
Dependendo da configuração escolhida, o Windows baixa e instala, automaticamente, todas as
atualizações de alta prioridade que o computador precisar, ou notifica o usuário, conforme
essas atualizações estiverem disponíveis.
Backups de Dados
Você pode fazer um backup do Windows manualmente ou agendar a frequência com que o
backup deve ocorrer automaticamente. Para fazer backup e restaurar dados com sucesso no
Windows, os direitos e permissões de usuário apropriados são necessários.
Todos os usuários podem fazer backup de seus arquivos e pastas. Podem também fazer backup
de arquivos para os quais têm permissão de leitura.
Todos os usuários podem restaurar arquivos e pastas para os quais têm permissão de gravação.
Os membros dos grupos administradores, operadores de backup e operadores de servidores (se
estiverem em um domínio) podem fazer backup e restaurar todos os arquivos,
independentemente das permissões atribuídas. Por padrão, os membros desses grupos têm os
direitos de usuário dos arquivos e diretórios de backup e dos arquivos e diretórios de
restauração.
Firewall do Windows
Um firewall nega, seletivamente, o tráfego a um computador ou a um segmento de rede. Os
firewalls trabalham, geralmente, abrindo e fechando as portas usadas por vários aplicativos. Ao
abrir apenas as portas necessárias em um firewall, você está implementando uma política de
segurança restritiva. Qualquer pacote não explicitamente permitido é negado. Ao contrário,
uma política de segurança permissiva permite acesso por todas as portas, exceto aquelas
explicitamente negadas. Antigamente, software e hardware eram enviados com configurações
permissivas. Como os usuários negligenciavam a configuração do equipamento, as
configurações permissivas padrão deixavam muitos dispositivos expostos a invasores. Agora, a
maioria dos dispositivos é enviada com configurações o mais restritivas possível, mesmo que
permitindo ainda uma configuração fácil.
A configuração do firewall do Windows pode ser concluída de duas maneiras:
Automaticamente- O usuário recebe as mensagens Continuar Bloqueando, Desbloquear ou
Pergunte-me Depois, sobre requisições não autorizadas. Essas requisições podem ser de
aplicações legítimas que não foram configuradas antes ou de um vírus ou worm que infectou o
sistema.
Gerenciar Configurações de Segurança- O usuário adiciona manualmente o programa ou as
portas necessários para as aplicações em uso na rede.
Manutenção de Contas
Os funcionários de uma empresa, geralmente, precisam de diferentes níveis de acesso aos
dados. Por exemplo, um gerente e um contador podem ser os únicos funcionários em uma
empresa com acesso a arquivos de folha de pagamento.
Os funcionários podem ser agrupados por requisitos de trabalho e o acesso fornecido aos
arquivos, de acordo com permissões de grupo. Esse processo ajuda a gerenciar o acesso dos
funcionários à rede. Contas temporárias podem ser configuradas para funcionários que
precisam de acesso de curto prazo. O controle rígido do acesso à rede pode ajudar a limitar as
áreas de vulnerabilidades que podem permitir que um vírus ou software mal-intencionado
entre na rede.
Encerramento do Acesso do Funcionário
Quando um funcionário deixa uma empresa, o acesso aos dados e ao hardware na rede deve
ser encerrado imediatamente. Se o ex-funcionário tiver armazenado arquivos em um espaço
pessoal em um servidor, elimine o acesso desativando a conta. Se a substituição do funcionário
exigir o acesso a aplicativos e ao espaço de armazenamento pessoal, você pode reativar a conta
e alterar o nome para o nome do novo funcionário.
Contas de Convidado
Os funcionários temporários e convidados podem precisar de acesso à rede. Por exemplo, os
visitantes podem precisar de acesso a e-mails, à Internet, e a uma impressora na rede. Esses
recursos podem ser disponibilizados para uma conta especial chamada Convidado. Quando
convidados estão presentes, pode-se atribuir a eles uma conta de convidado. Quando nenhum
convidado estiver presente, a conta pode ser desativada, até que o próximo convidado chegue.
Algumas contas de convidado exigem acesso amplo a recursos, como no caso de um consultor
ou um auditor financeiro. Esse tipo de acesso deve ser concedido somente pelo período
necessário para concluir o trabalho.
Horário de Login
Em algumas situações, convém que os funcionários tenham permissão para fazer login apenas
durante horas específicas, como de 7:00 às 18:00. Logins seriam bloqueados durante outras
horas do dia.
Tentativas de Login com Falha
Convém configurarum limite para o número de vezes que é permitido a um usuário tentar
fazer login. Por padrão no Windows, as tentativas de login com falha são configuradas como
zero, o que significa que o usuário nunca será bloqueado, até que essa configuração seja
alterada.
Limite de Tempo de inatividade e Bloqueio de Tela
Os funcionários podem ou não podem fazer logoff do computador quando saem do local de
trabalho. Portanto, é uma boa prática de segurança configurar um temporizador de inatividade
que fará, automaticamente, o logoff do usuário e bloqueará a tela, depois de um período
especificado. O usuário deve fazer login novamente para desbloquear a tela.
Gerenciando Usuários
Uma tarefa de manutenção regular para administradores é criar e remover usuários da rede,
alterar as senhas das contas ou alterar as permissões de usuário.
Os seguintes itens podem ser feitos ao gerenciar contas de usuários locais:
Criar uma conta de usuário local, Redefinir a senha de uma conta de usuário local, Desativar
ou ativar uma conta de usuário local, Excluir uma conta de usuário local, Renomear uma conta
de usuário local, Atribuir um script de logon para uma conta de usuário local, e Atribuir uma
pasta base para uma conta de usuário local.
Há duas ferramentas que podem ser usadas para realizar essas tarefas:
Controle de Conta de Usuário (UAC, User Account Control)– Use esta opção para
adicionar, remover ou alterar atributos de usuários individuais. Quando conectado como
administrador, use o UAC para definir configurações para evitar que o código mal-
intencionado tenha privilégios administrativos.
Gerenciador de Usuários e Grupos Locais– Pode ser usado para criar e gerenciar usuários e
grupos armazenados localmente em um computador.
Nota: você deve ter privilégios de administrador para gerenciar usuários.
Na janela Usuários e Grupos Locais, clique duas vezes em Usuários. Há duas contas
incorporadas:
Administrador– Esta conta está desativada por padrão. Quando ativada, a conta tem controle
total do computador e pode atribuir direitos de usuário e permissões de controle de acesso a
usuários, conforme necessário. A conta de administrador é membro do grupo Administradores
no computador. A conta de administrador nunca pode ser excluída ou removida do grupo
Administradores, mas pode ser renomeada ou desativada.
Convidado– Esta conta é desativada por padrão. Esta conta é usada por usuários que não têm
uma conta no computador. Por padrão, a conta não requer uma senha. Ela é membro do grupo
padrão Convidados, que permite que o usuário faça login em um computador.
Nota: há também um outro tipo de conta importante, chamado Usuário Avançado. Essa conta
tem a maioria dos poderes de um administrador, como a instalação de programas ou a
alteração de configurações de firewall, mas não tem alguns dos privilégios de administrador,
por motivos de segurança. 
Gerenciando Grupos
Os usuários podem ser atribuídos a grupos para gerenciamento mais fácil.
Os seguintes itens podem ser feitos ao gerenciar grupos locais:
Criar um grupo local, adicionar um membro a um grupo local, identificar membros de um
grupo local, excluir um grupo local e criar uma conta de usuário local.
os três grupos mais comumente usados são:
Administradores– Os membros desse grupo têm controle total do computador e podem
atribuir direitos de usuário e permissões de controle de acesso a usuários, conforme necessário.
A conta Administrador é um membro padrão desse grupo. Como esse grupo tem controle total
do computador, tenha cuidado ao adicionar usuários a esse grupo.
Convidado- Os membros deste grupo têm um perfil temporário criado no logon e quando o
membro faz logoff, o perfil é excluído. A conta Convidado (que está desativada por padrão)
também é um membro padrão desse grupo.
Usuários– Os membros deste grupo podem realizar tarefas comuns, como executar
aplicativos, usar impressoras locais e de rede e bloquear o computador. Os membros não
podem compartilhar diretórios ou criar impressoras locais.
Identificar o Problema
O processo de solução de problemas é usado para ajudar a resolver problemas de segurança.
Esses problemas variam de simples, como evitar que alguém observe sobre seu ombro, a mais
complexos, como a remoção manual de arquivos infectados de vários computadores ligados
em rede. Use as etapas de solução de problemas como orientação para ajudá-lo a diagnosticar
e resolver problemas.
Os técnicos de computadores devem conseguir analisar uma ameaça à segurança e determinar
o método adequado para proteger e reparar danos. A primeira etapa no processo de solução de
problemas é identificar o problema. A figura mostra uma lista de perguntas abertas e fechadas
para fazer ao cliente.
Criar uma Teoria de Causas Prováveis
Depois de falar com o cliente, você pode começar a criar uma teoria de causas prováveis. Você
pode precisar realizar pesquisa interna ou externa adicional, com base na descrição dos
sintomas do cliente. A figura mostra uma lista de algumas causas prováveis comuns dos
problemas de segurança.
Testar a Teoria para Determinar a Causa
Depois que você tiver desenvolvido algumas teorias sobre o que está errado, teste-as para
determinar a causa do problema. A figura mostra uma lista de procedimentos rápidos que
podem determinar a causa exata do problema ou até corrigi-lo. Se um procedimento rápido
corrigir problema, você poderá verificar a funcionalidade total do sistema. Caso um
procedimento rápido não corrija o problema, talvez seja necessário pesquisar mais para
estabelecer a causa exata dele.
Estabelecer um Plano de Ação para Resolver o Problema e Implementar a Solução
Depois de determinar a causa exata do problema, estabeleça um plano de ação para resolvê-lo
e implementar a solução. A figura mostra algumas fontes que você pode usar para reunir
informações adicionais para resolver um problema.
Verificar a Funcionalidade Total do Sistema e, Se Aplicável, Implementar Medidas Preventivas
Depois que você tiver corrigido o problema, verifique a funcionalidade completa e, se
aplicável, implemente medidas preventivas. A figura mostra uma lista das etapas para verificar
a solução.
Documentar Descobertas, Ações e Resultados
Na última etapa do processo de solução de problemas, você deve documentar suas descobertas,
ações e resultados. A figura mostra uma lista das tarefas necessárias para documentar o
problema e a solução.