conceitos básicos de seguranca
Pré-visualização43 páginas
para maiores detalhes. Romulo Moacyr Cholewa \u2013 http://www.rmc.eti.br, agosto de 2001. Vide \u201cDistribuição / Cópia\u201d neste material para maiores detalhes. Pasta Permissão \WINNT e todas as sub-pastas. Administrators: Full Control CREATOR OWNER: Full Control Everyone: Read SYSTEM: Full Control Uma vez aplicadas as permissões acima, as seguintes permissões devem ser feitas: Pasta Permissão \WINNT\REPAIR Administrators: Full Control \WINNT\SYSTEM32\CONFIG Administrators: Full Control CREATOR OWNER: Full Control Everyone: List SYSTEM: Full Control \WINNT\SYSTEM32\SPOOL Administrators: Full Control CREATOR OWNER: Full Control Everyone: Read Power Users: Change SYSTEM: Full Control \WINNT\COOKIES \WINNT\FORMS \WINNT\HISTORY \WINNT\OCCACHE \WINNT\PROFILES \WINNT\SENDTO \WINNT\Temporary Internet Files Administrators: Full Control CREATOR OWNER: Full Control Everyone: Add System : Full Control Observação: as permissões acima só necessitam ser aplicadas caso o computador em questão possua o Service Pack 5 ou anterior. Caso deseje rever as permissões de um ambiente Windows 2000, a tabela acima pode servir de guia, apenas alterando o diretório \u201c\WINNT\PROFILES\u201d para \u201c\Documents and Setings\u201d na mesma partição em que o sistema está instalado. Também é recomendado que, caso deseje testar permissões em arquivos de sistema, que seja feito em um computador para esta finalidade, pois como visto anteriormente, a aplicação de uma ACL incorreta em arquivos usados pelo sistema operacional pode deixar o computador bloqueado. Neste caso, o disco com o sistema deve ser colocado em outro computador com o mesmo sistema operacional, e ter suas permissões revogadas para \u201cEveryone \u2013 full Control\u201d Auditoria Em um sistema seguro, é primordial que exista algum tipo de auditoria, onde certos erros de permissão sejam armazenados para análise. É recomendado que no NT/2000/XP, todos os objetos sejam auditados quanto à falha de acesso. No caso do objeto \u201cLogon/Logoff\u201d, é também recomendado que o sucesso seja auditado, para que uma análise de quem efetuou ou não logon no computador, localmente ou via rede, seja possível. Não acione a auditoria em processos ou em arquivos, a não ser que seja para depuração de um problema de segurança eminente. Estes dois objetos causam muita atividade de log, deixando o computador / servidor mais lento. Romulo Moacyr Cholewa \u2013 http://www.rmc.eti.br, agosto de 2001. Vide \u201cDistribuição / Cópia\u201d neste material para maiores detalhes. Romulo Moacyr Cholewa \u2013 http://www.rmc.eti.br, agosto de 2001. Vide \u201cDistribuição / Cópia\u201d neste material para maiores detalhes. Parando / desabilitando serviços desnecessários Alguns serviços que são instalados por padrão são considerados ou vulneráveis a ataque, ou serviços que podem divulgar informações reservadas do sistema, via rede. É recomendado parar tais serviços para impedir que isto ocorra. Os seguintes serviços precisam ser parados, e configurados para inicialização Manual: Alerter Permite que um suposto \u201chacker\u201d envie mensagens de alerta para a console Messenger Permite que um suposto \u201chacker\u201d via rede visualize o nome do usuário atualmente logado na console, através do comando nbtstat. Isso dá ao \u201chacker\u201d um nome de usuário válido para um ataque de força bruta em sua senha. Clipbook Server Permite que um usuário via rede visualize o conteúdo da área de trabalho Index Server É um serviço geralmente instalado juntamente com o pacote de serviços de Internet (Option Pack no caso do Windows NT 4.0), ou por padrão, no Windows 2000/XP. Permite a pesquisa via string de texto em qualquer arquivo indexado. É recomendado não usar tal serviço (no Windows 2000/XP, se chama \u201cIndexing Service\u201d). Vulnerabilidades conhecidas, como o caso do CodeRed I e II, worm que assolou a Internet em Julho de 2001, são baseadas em falhas deste componente. Spooler / Print spooler É o serviço de impressão. Em servidores que ficam expostos à Internet diariamente, e não possuam nenhum serviço de impressão ativo, é recomendado que seja desabilitado (no Windows 2000/XP, se chama \u201cPrint Spooler\u201d). Existem ataques do tipo DoS contra este serviço. SNMP Service / SNMP Trap Service São dois serviços que pemitem a utilização do Simple Network Management Protocol. Se não possuírem uma intenção específica (como instalado pelo administrador para monitoração do computador) ou se não estiver corretamente configurado, podem revelar muitas informações sobre o computador em si, como interfaces de rede, rotas padrão, entre outros dados. É recomendado ter cautela com tais serviços. Mesmo que exista a necessidade de monitorar, por exemplo, o tráfego nas interfaces de rede, neste caso, é recomendado que o tráfego seja monitorado a partir do swith ou roteador. Perceba que não existem falhas correntes publicadas para este serviço, mas o seu uso em si pode divulgar informações sobre o computador. Maiores detalhes em \u201cFerramentas\u201d / Services Fingerprinting. Scheduler É um serviço que permite o agendamento de tarefas no sistema. Você pode programar para que tarefas sejam executadas numa determinada hora. Cuidado: por padrão, qualquer pograma iniciado pelo sistema de agendamento, possuirá o contexto de segurança do próprio sistema, tendo acesso à praticamente qualquer informação (no caso do Windows NT 4.0). Caso seja realmente necessário, crie um usuário sem direitos (com direito apenas de executar a tarefa desejada) e programe este serviço para ser inciado no contexto de segurança deste usuário criado. Em relação ao Windows 2000 e ao XP, não existe esta preocupação. Contudo, não é recomendado dar ao grupo \u201cServer Administrators\u201d o poder de agendar tarefas. Apenas o administrador deve possuir este direito. (no Windows 2000, o serviço se chama \u201cTask Scheduler\u201d). Romulo Moacyr Cholewa \u2013 http://www.rmc.eti.br, agosto de 2001. Vide \u201cDistribuição / Cópia\u201d neste material para maiores detalhes. Romulo Moacyr Cholewa \u2013 http://www.rmc.eti.br, agosto de 2001. Vide \u201cDistribuição / Cópia\u201d neste material para maiores detalhes. No Windows XP, parar este serviço pode prejudicar a performance do sistema. Diversas tarefas internas de otimização de performance, como desfragmentação das unidades de disco são agendadas através deste serviço. Portanto, no caso específico do Windows XP, não é recomendado pará-lo. Em computadores que são usados exclusivamente em casa, e que não participam de nenhuma rede, apenas acessam a Internet através de um modem, é recomendado também parar os seguintes serviços: Computer Browser Serviço essencial a uma rede Microsoft. Permite que este computador seja eleito um \u201cBrowser Master\u201d, ou controlador de lista de recursos de um grupo de trabalho ou domínio. Numa configuração de apenas uma máquina, não é necessário estar no ar. Server O \u201cServer Service\u201d é o equivalente no Windows NT/2000, ao \u201cCompartilhamento de arquivos e impressoras para redes Microsoft\u201d, do Windows 9x. Da mesma forma, se seu computador não participa de nenhuma rede, e apenas acessa a Internet via modem, este serviço pode ser parado, e configurado para não iniciar automaticamente, assim como os demais. Para interromper os serviços, no Windows NT 4.0, basta ir ao painel de controle, \u201cServiços\u201d. No caso do Windows 2000 / XP, clique com o botão direito no \u201cMeu Computador\u201d, escolha \u201cGerenciar\u201d. Depois, expanda a opção \u201cServiços e aplicativos\u201d. Veja: Alteração das configurações de rede Caso você se enquadre no tipo de usuário que possui um computador Windows NT, sem estar conectado a nenhuma rede, e apenas acessa a Internet via modem, este passo não é necessário. Contudo, caso seu computador faça parte de uma rede, os serviços \u201cComputer Browser\u201d e