conceitos básicos de seguranca

para maiores detalhes. 
 
Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material 
para maiores detalhes. 
 
 
Pasta Permissão 
\WINNT e todas as sub-pastas. Administrators: Full Control 
CREATOR OWNER: Full Control 
Everyone: Read 
SYSTEM: Full Control 
 
 Uma vez aplicadas as permissões acima, as seguintes permissões devem ser feitas: 
 
Pasta Permissão 
\WINNT\REPAIR Administrators: Full Control 
\WINNT\SYSTEM32\CONFIG Administrators: Full Control 
CREATOR OWNER: Full Control 
Everyone: List 
SYSTEM: Full Control 
\WINNT\SYSTEM32\SPOOL Administrators: Full Control 
CREATOR OWNER: Full Control 
Everyone: Read 
Power Users: Change 
SYSTEM: Full Control 
\WINNT\COOKIES 
\WINNT\FORMS 
\WINNT\HISTORY 
\WINNT\OCCACHE 
\WINNT\PROFILES 
\WINNT\SENDTO 
\WINNT\Temporary Internet Files 
Administrators: Full Control 
CREATOR OWNER: Full Control 
Everyone: Add 
System : Full Control 
 
 Observação: as permissões acima só necessitam ser aplicadas caso o computador em questão possua 
o Service Pack 5 ou anterior. 
 
 Caso deseje rever as permissões de um ambiente Windows 2000, a tabela acima pode servir de guia, 
apenas alterando o diretório “\WINNT\PROFILES” para “\Documents and Setings” na mesma partição em que 
o sistema está instalado. 
 
 Também é recomendado que, caso deseje testar permissões em arquivos de sistema, que seja feito 
em um computador para esta finalidade, pois como visto anteriormente, a aplicação de uma ACL incorreta em 
arquivos usados pelo sistema operacional pode deixar o computador bloqueado. Neste caso, o disco com o 
sistema deve ser colocado em outro computador com o mesmo sistema operacional, e ter suas permissões 
revogadas para “Everyone – full Control” 
 
 
Auditoria 
 
 Em um sistema seguro, é primordial que exista algum tipo de auditoria, onde certos erros de 
permissão sejam armazenados para análise. É recomendado que no NT/2000/XP, todos os objetos sejam 
auditados quanto à falha de acesso. No caso do objeto “Logon/Logoff”, é também recomendado que o 
sucesso seja auditado, para que uma análise de quem efetuou ou não logon no computador, localmente ou 
via rede, seja possível. Não acione a auditoria em processos ou em arquivos, a não ser que seja para 
depuração de um problema de segurança eminente. Estes dois objetos causam muita atividade de log, 
deixando o computador / servidor mais lento. 
Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material 
para maiores detalhes. 
 
Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material 
para maiores detalhes. 
 
 
Parando / desabilitando serviços desnecessários 
 
 Alguns serviços que são instalados por padrão são considerados ou vulneráveis a ataque, ou serviços 
que podem divulgar informações reservadas do sistema, via rede. É recomendado parar tais serviços para 
impedir que isto ocorra. 
 
Os seguintes serviços precisam ser parados, e configurados para inicialização Manual: 
 
Alerter 
Permite que um suposto “hacker” envie mensagens de alerta para a console 
 
Messenger 
Permite que um suposto “hacker” via rede visualize o nome do usuário atualmente logado na console, através 
do comando nbtstat. Isso dá ao “hacker” um nome de usuário válido para um ataque de força bruta em 
sua senha. 
 
Clipbook Server 
Permite que um usuário via rede visualize o conteúdo da área de trabalho 
 
Index Server 
É um serviço geralmente instalado juntamente com o pacote de serviços de Internet (Option Pack no caso do 
Windows NT 4.0), ou por padrão, no Windows 2000/XP. Permite a pesquisa via string de texto em qualquer 
arquivo indexado. É recomendado não usar tal serviço (no Windows 2000/XP, se chama “Indexing Service”). 
Vulnerabilidades conhecidas, como o caso do CodeRed I e II, worm que assolou a Internet em Julho de 2001, 
são baseadas em falhas deste componente. 
 
Spooler / Print spooler 
É o serviço de impressão. Em servidores que ficam expostos à Internet diariamente, e não possuam nenhum 
serviço de impressão ativo, é recomendado que seja desabilitado (no Windows 2000/XP, se chama “Print 
Spooler”). Existem ataques do tipo DoS contra este serviço. 
 
SNMP Service / SNMP Trap Service 
São dois serviços que pemitem a utilização do Simple Network Management Protocol. Se não possuírem uma 
intenção específica (como instalado pelo administrador para monitoração do computador) ou se não estiver 
corretamente configurado, podem revelar muitas informações sobre o computador em si, como interfaces de 
rede, rotas padrão, entre outros dados. É recomendado ter cautela com tais serviços. Mesmo que exista a 
necessidade de monitorar, por exemplo, o tráfego nas interfaces de rede, neste caso, é recomendado que o 
tráfego seja monitorado a partir do swith ou roteador. 
 
Perceba que não existem falhas correntes publicadas para este serviço, mas o seu uso em si pode divulgar 
informações sobre o computador. Maiores detalhes em “Ferramentas” / Services Fingerprinting. 
 
 
Scheduler 
É um serviço que permite o agendamento de tarefas no sistema. Você pode programar para que tarefas sejam 
executadas numa determinada hora. Cuidado: por padrão, qualquer pograma iniciado pelo sistema de 
agendamento, possuirá o contexto de segurança do próprio sistema, tendo acesso à praticamente qualquer 
informação (no caso do Windows NT 4.0). Caso seja realmente necessário, crie um usuário sem direitos (com 
direito apenas de executar a tarefa desejada) e programe este serviço para ser inciado no contexto de 
segurança deste usuário criado. Em relação ao Windows 2000 e ao XP, não existe esta preocupação. Contudo, 
não é recomendado dar ao grupo “Server Administrators” o poder de agendar tarefas. Apenas o administrador 
deve possuir este direito. (no Windows 2000, o serviço se chama “Task Scheduler”). 
 
Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material 
para maiores detalhes. 
 
Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material 
para maiores detalhes. 
No Windows XP, parar este serviço pode prejudicar a performance do sistema. Diversas tarefas internas de 
otimização de performance, como desfragmentação das unidades de disco são agendadas através deste 
serviço. Portanto, no caso específico do Windows XP, não é recomendado pará-lo. 
 
 Em computadores que são usados exclusivamente em casa, e que não participam de nenhuma rede, 
apenas acessam a Internet através de um modem, é recomendado também parar os seguintes serviços: 
 
Computer Browser 
Serviço essencial a uma rede Microsoft. Permite que este computador seja eleito um “Browser Master”, ou 
controlador de lista de recursos de um grupo de trabalho ou domínio. Numa configuração de apenas uma 
máquina, não é necessário estar no ar. 
 
Server 
O “Server Service” é o equivalente no Windows NT/2000, ao “Compartilhamento de arquivos e impressoras 
para redes Microsoft”, do Windows 9x. Da mesma forma, se seu computador não participa de nenhuma rede, 
e apenas acessa a Internet via modem, este serviço pode ser parado, e configurado para não iniciar 
automaticamente, assim como os demais. 
 
 Para interromper os serviços, no Windows NT 4.0, basta ir ao painel de controle, “Serviços”. No caso 
do Windows 2000 / XP, clique com o botão direito no “Meu Computador”, escolha “Gerenciar”. Depois, 
expanda a opção “Serviços e aplicativos”. Veja: 
 
 
 
Alteração das configurações de rede 
 
 Caso você se enquadre no tipo de usuário que possui um computador Windows NT, sem estar 
conectado a nenhuma rede, e apenas acessa a Internet via modem, este passo não é necessário. Contudo, 
caso seu computador faça parte de uma rede, os serviços “Computer Browser” e