Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE PAULISTA-EAD PROJETO INTEGRADO MULTIDICIPLINAR CURSOS SUPERIORES DE TECNOLOGIA Projeto – Gestão de pessoas que estão em acesso remoto externo - VPN em Home Office Sob o Prisma da Segurança da informação- UNIP- PIM VI UNIP Araçatuba polo Planalto 2021 UNIP EaD Projeto Integrado Multidisciplinar Cursos Superiores de Tecnologia Projeto – Gestão de pessoas que estão em acesso remoto externo - VPN em Home Office Sob o Prisma da Segurança da informação- UNIP- PIM VI Nome(s) Jorge Cury Sayeg RA(s): 0593420 Curso: Segurança da Informação. Semestre: 1º semestre de 2021. Prof. Ricardo Sewaybriker UNIP Araçatuba polo Planalto 2021 RESUMO O presente projeto tem como objetivo principal apresentar os resultados de pesquisa realizada com o intuito de desenvolver e estabelecer as melhores práticas para um acesso remoto um plano de conscientização, além de treinamento para política de acesso remoto visando prevenir os principais ataques que ocorrem na web. Se faz necessário propor configurações técnicas de segurança para os sistemas operacionais das estações de trabalho, eliminando de maneira eficaz quaisquer possíveis fontes de vulnerabilidade, identificando as principais ameaças e vulnerabilidades existentes e, mais evidentes no momento atual. Através da identificação destas ameaças e vulnerabilidades, estabelecemos a exposição de configurações de segurança para os sistemas operacionais que fazem parte da composição das estações de trabalho que foram destinadas para o acesso remoto externo. Dentro deste projeto, foram aplicados os fundamentos dos conhecimentos adquiridos nas disciplinas de Segurança e Sistemas Operacionais (Windows/Linux), Segurança no Ambiente Web, Gestão Estratégica de Recursos Humanos, que foram primordiais para o desenvolvimento deste projeto. Palavras Chaves: Segurança de Sistemas Operacionais, Segurança no ambiente Web, Gestão Estratégica de Recursos Humanos, Ameaças e vulnerabilidades na Web, Home Office. ABSTRACT The main objective of this Project is to present the results of research carried out in order to develop and establish the best practices for remote access, an awareness plan, in addition to training for remote access policy aimed at preventing the main attacks that occur on the web. It is necessary to propose technical security configurations for the operating systems of workstations, effectively eliminating any possible sources of vulnerability, identifying the main threats and vulnerabilities existing and most evident at the present time. Through the identification of these threats and vulnerabilities, we established the exposure of security settings for the operating systems that are part of the composition of the workstations that were destined for external remote access. Within this project, the foundations of knowledge acquired in the disciplines Security of Operating Systems (Windows / Linux), Security in the Web Environment, Strategic Management of Human Resources were applied, which were essential for the development of this Project. Keywords: Security of Operating Systems, Security in the Web environment, Strategic Management of Human Resources, Threats and Vulnerabilities on the Web, Home Office . SUMÁRIO RESUMO..................................................................................................................... 3 ABSTRACT ................................................................................................................. 4 INTRODUÇÃO ............................................................................................................ 6 1- GESTÃO DE PESSOAS QUE ESTÃO EM ACESSO REMOTO EXTERNO ........ 6 2- TRANSFORMAÇÃO DIGITAL .............................................................................. 7 3- O FATOR DA DESINFORMAÇÃO HUMANA ....................................................... 7 4- FATORES HUMANOS E AMEAÇAS .................................................................... 8 5- ESTEGANOGRAFIA .............................................................................................. 8 6- TESTES DE APLICAÇÕES PARA MELHORAR A SEGURANÇA ..................... 11 7- CINCO PILARES DA SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS ...... 12 8- A IMPORTÂNCIA DA COMUNICAÇÃO INTERNA ............................................... 13 9- MÁQUINA VIRTUAL OU VM, COMO CRIAR E UTILIZAR? ................................. 14 10- PASSOS PARA CRIAÇÃO DA MAQUINA VIRTUAL NO WINDOWS ................ 15 11- CRIANDO A MÁQUINA VIRTUAL ...................................................................... 18 12- CONFIGURAÇÃO DE SEGURANÇA NO WINDOWS ........................................ 21 13- COMO CRIAR E UTILIZAR GPO NO ACTIVE DIRECTORY ............................. 24 14- A IMPORTÂNCIA EM REFORÇAR AS SENHAS ............................................... 26 CONCLUSÃO ............................................................................................................ 27 REFERÊNCIAS ......................................................................................................... 27 6 INTRODUÇÃO Devido à Pandemia do Covid-19, as empresas tiveram que adotar de forma imediata o trabalho remoto – home office, para a maioria dos seus funcionários. Devido à urgência do projeto, a segurança da informação ficou em segundo plano mesmo sendo fundamental e, com isso, o número de ataques a esse formato de acesso se multiplicou exponencialmente. Se o trabalho remoto precisa ser seguro, como garantir a segurança da informação? Existem uma série de características para tornar o home office seguro e, uma delas estará sendo abordado neste Projeto é a Gestão de pessoas no Trabalho Remoto e em Home Office. 1- GESTÃO DE PESSOAS QUE ESTÃO EM ACESSO REMOTO EXTERNO O fator humano representa grande responsabilidade nas medidas de cybersegurança, por isso, as campanhas de conscientização em segurança da informação são tão importantes. Com o alto crescimento de aderência ao trabalho remoto, diversas empresas passaram a se preocupar com a segurança desse modelo de trabalho nos últimos anos. Dentre os ataques mais populares da atualidade estão os causados por engenharia social. Esses ataques abusam de erros humanos para causar danos ou roubar informações do alvo. O ser humano está fadado a cometer erros pelo fato de nem sempre ter a atenção dedicada ao que está sendo realizada, diferente de máquinas que podem ser programadas para realizar uma mesma ação por um longo período de tempo e sem interrupções. Para combater diversas vulnerabilidades humanas, também conhecidas como fator humano, uma das grandes armas é a prevenção. Uma das maneiras de fazer isso em uma organização, é com campanhas de conscientização, que alinhadas ao cenário empresarial, podem reduzir ocorrências. Seu objetivo é fazer com que os usuários de tecnologia em determinado ambiente adquiram plena consciência sobre a melhor maneira de utilizar os recursos e a importância de seus atos nesse ecossistema, reconhecendo também as consequências do não cumprimento de práticas específicas (como o roubo de informações). Para que possa existir êxito nas campanhas de conscientização é preciso definir as metodologias e processos que deverão ser adotados para uma transformação digital. A fase mais sensível na transformação digital é o envolvimento humano. A adesão de 7 pessoas é uma importante fase para o sucesso de um projeto como esse. Uma boa maneira de garantir que todos os colaboradores estejam nos mesmos termos em relaçãoao processo, é através de reuniões de equipes, para que cada grupo possa compreender como isso irá impactar seu dia a dia ou ainda, campanhas de conscientização para que a informação seja sempre alinhada entre todos os setores. Outro ponto positivo, é a possibilidade de antecipar riscos e os potenciais problemas que o novo sistema possa apresentar, já que a estrutura base para a mudança pode não ser totalmente compatível com as mudanças e por isso precisa ocorrer de maneira gradual ou exija um maior investimento. Uma das maiores transformações que deve ocorrer para a grande maioria das empresas é a digitalização de processos que antes eram realizados de maneira analógica, demandando tempo de trabalho dos funcionários, o que hoje em dia já existe esse método no Tribunal de Justiça de São Paulo. 2- TRANSFORMAÇÃO DIGITAL A indústria 4.0, também conhecida como “quarta revolução”, como sendo um termo que define a nova realidade da relação entre humanos e tecnologia. Formalmente, a ideia implica que ao conectar máquinas, sistemas e ativos, empresas são capazes de controlar toda a cadeia de valor que podem controlar módulos da produção de forma independente, mais capacidade e autonomia para controlar sua produção, agendar manutenção e prever falhas no processo. Os dados podem ser coletados e utilizados em um curto período de tempo, permitindo decisões assertivas. Aumento de visibilidade e monitoramento remoto de todos os processos que ocorrem no ambiente empresarial. Os softwares são orientados a serviços aliados ao sub conceito de Internet of Services (IoS). As produções serão orientadas pela demanda, tornando possível desabilitar ou habilitar módulos específicos. IoT é a conexão em rede de aparelhos que até então eram totalmente desconectados, como um simples eletrodoméstico, permitindo a otimização de seu uso. 3- O FATOR DA DESINFORMAÇÃO HUMANA Embora muitas vulnerabilidades tenham origem tecnológica, essa não é sua única fonte. A mudança de comportamento humano, com a adoção de dispositivos móveis, é cada vez menos segregada entre vida pessoal e profissional, especialmente 8 com o crescimento trabalho remoto. Com a combinação de dispositivos – muitas vezes desprotegidos e a desinformação em cibersegurança, essas pessoas tornam-se alvos fáceis de criminosos sendo uma vulnerabilidade para seus dados pessoais e corporativos. Uma das melhores maneiras de remediar essas novas vulnerabilidades são as campanhas de conscientização sobre segurança da informação. 4- FATORES HUMANOS E AMEAÇAS A Engenharia Social representa uma série de ameaças que possuem como vítima uma pessoa, sendo o phishing a ameaça mais popular do mundo, além de funcionar a partir até mesmo de abordagens não eletrônicas. Roubo de senhas: enganado por páginas muito semelhantes a serviços de consumo, usuários podem enviar suas informações de credenciamento para servidores de cybercriminosos ou realizar downloads com arquivos maliciosos. Roubo de Informações: usuários podem enviar dados e informações sigilosas ao serem solicitados por contatos que acreditem ser verdadeiros. Perda de Privacidade: Cybercriminosos podem monitorar as ações, ler e-mails com credenciais comprometidas e até mesmo ter acesso a câmera e gravar ou fotografar suas vítimas sem serem notados. Furto de Identidade: Muitas abordagens de phishing partem de e-mails, telefonemas ou domínios falsos, mas também é possível que parta de um contato real, exceto que essa pessoa sofreu um ataque e alguém pode estar se passando por ela. Essa é considerada uma das práticas mais sérias em cybersegurança por envolver o crime de estelionato. Spearphishing é um ataque altamente segmentado com objetivo de atingir funcionários e, até mesmo executivos que podem enganar-se com telefonemas ou e-mails com conteúdo e contexto que parecem muito confiáveis. 5- ESTEGANOGRAFIA A esteganografia é o conceito de esconder mensagens, isso pode ocorrer em imagens e também arquivos. Essa técnica muito antiga é uma área de estudos que analisa além de arquivos audiovisuais e softwares e meios como os protocolos TCP e documentos de texto. Imagine que a partir disso, é possível esconder informações em recursos visualizados amplamente por todos dentro de uma organização, sendo 9 que somente os interessados poderão entender a mensagem oculta já que saberão onde procurar por ela. Diferente da criptografia, prática em que os dados estão ininteligíveis por todos de maneira publica, a esteganografia esconde esse fator, tornando-se algo ainda mais secreto. Dentre os principais métodos para realizá-la tal é a substituição de bits menos significativos e, por ser camuflada, também limita-se ao máximo de dados que podem ser escondidos sem que outras pessoas percebam. Ocorre geralmente em: Comunicações secretas: Cybercriminosos inseridos no mesmo ambiente de ataque podem utilizar a técnica para comunicar suas ações a partir da prática ou até mesmo expor dados de maneira silenciosa. Códigos Maliciosos: partindo dessa técnica também é possível inserir códigos maliciosos em arquivos aparentemente seguros, como uma simples imagem. Vírus e Malwares: diversos tipos de vírus e malwares podem se beneficiar da prática, sendo o cavalo de troia um formato que trabalha com o uso do mesmo conceito. Os cookies podem armazenar informações de credenciamento, e isso pode resultar em situações de preenchimento automático em alguns ambientes, por exemplo, tornando o recurso uma vulnerabilidade caso o dispositivo esteja nas mãos de outras pessoas, além da possibilidade de memorizar informações pessoais e hábitos. O Cache Poisoning é a corrupção dos dados temporários armazenados de um site, a partir de seu servidor de nomes, com a substituição de um endereço seguro por outro não autorizado. Sendo frequentemente associado a URL poisoning, um método para monitorar os comportamentos de um usuário a partir de um identificador invisível a vítima, essas vulnerabilidades podem reconhecer ações de usuários sem o consentimento. Basta um pixel com o código de tracking de entrega para que seja possível descobrir a abertura de um e-mail, por exemplo. Sequestro de navegador: ao assumir os controles de DNS, o “cybercriminoso” pode direcionar a vítima que tenta acessar determinado link para o destino desejado. Códigos Móveis: são os recursos utilizados por desenvolvedores para trazer funcionalidades e melhorar a aparência de páginas web, o que apesar de parecer inofensivo, pode trazer vulnerabilidades. Dentre os mais famosos, estão - programas e Applets Java, JavaScripts e Controles ActiveX. Janelas pop-up: muitas vezes invasivas, as janelas pop-up não são as queridinhas da internet, mas ao carregar recursos automaticamente podem apresentar conteúdos indesejados, resultam em cliques involuntários ou até mesmo códigos maliciosos. 10 Os plugins são normalmente disponibilizados em marketplaces verificados pelos próprios navegadores, mas isso não é motivo para não serem alvos de vulnerabilidades disfarçadas ou rastreadores de comportamento. Links patrocinados e anúncios gráficos: alguns sites podem utilizar serviços como o Google Ads como forma de remuneração. O problema é quando esses anúncios são colocados em posições estratégicas para induzir o clique por ser confundido como páginas do próprio site, levando a anunciantes que nem sempre terão a mesma confiabilidade do site de origem. Existem diversas maneiras de compartilhar recursos de um usuário para o outro, desde um compartilhamento por aplicativos como o WhatsApp, até versões mais tradicionais como os serviços de Torrent. Mas essas trocas podem resultar também na transferência de infecções que nem mesmo a fonte (usuário que está enviando o arquivo) tinha o conhecimento. É necessário configurar os dispositivos dos colaboradores com a implementaçãode softwares, atualizações e sistemas operacionais atualizados. Quando tratar-se de um dispositivo que não é da empresa, precisa-se analisar sua condição até entender o melhor a ser implementado. O roubo de senhas pode ser uma tarefa fácil em navegadores como Microsoft Edge e Google Chrome: Esses navegadores seguem a política da GPO. No método contra usuários mais vulneráveis – com pouco conhecimento técnico e o acesso ao computador da vítima, basta um simples acesso a área de contas salvas para visualizar a senha de cada conta de usuário, ou, utilizar a inspeção de páginas até encontrar os valores das credenciais. Existem diversos sites agregadores de links que servem de intermediário para a realização de downloads de aplicações que não precisariam de um, pois já estão plenamente disponíveis em seus servidores oficiais, é o caso de utilitários como o Winrar, Adobe Acrobat, e WhatsApp. Além de desnecessários, os servidores podem carregar códigos maliciosos em seus downloads, softwares adicionais, propaganda e versões atualizadas de um arquivo disponível no site oficial dos fabricantes, com a exibição de anúncios que não remuneram os fabricantes e ainda podem realmente conter códigos comprometidos. O fato é que muitos usuários, na pressa por um download, recorrem ao primeiro link, sem as devidas verificações ou buscam alternativas se fabricantes de software tornam o download, ainda que gratuito, mais burocráticos, como a necessidade de envio de e-mails ou o cadastramento de contas. 11 A conscientização é especialmente sobre isso: mostrar aos usuários que os atalhos não representam as melhores ações para situações como essa, não vale o risco. Os erros de muitos usuários, seja em suas redes corporativas ou pessoais, começa na criação de senhas, pois as pessoas ainda querem lembrar de suas senhas e por isso acabam repetindo as mesmas em diversos serviços. Isso é fatal, se o cybercriminoso descobre uma, ganha acesso a todas as outras. 6- TESTES DE APLICAÇÕES PARA MELHORAR A SEGURANÇA Scanning de vulnerabilidades: um teste realizado para identificar as principais vulnerabilidades de um sistema ou rede, como portas abertas que não precisariam estar. Scanning de segurança: envolve a identificação de vulnerabilidades de rede e sistema para apresentar as melhores soluções para redução de danos. Teste de Penetração (PenTest): nesse tipo de teste ocorre um ataque simulado, do mesmo nível que potencialmente ocorreria por um hacker, é normalmente utilizado para testar sistemas específicos e em menor escala. Análise de Riscos: esse teste de rotina ajuda na classificação das vulnerabilidades atuais da empresa, tornando mais fácil a definição de prioridades nas soluções ao decorrer de uma estratégia de segurança e a necessidade de campanhas de conscientização. Auditoria de Segurança: representa uma inspeção interna de aplicações e sistemas operacionais para garantir que não existam falhas eminentes em seus sistemas de segurança. Hacking ético: é parecido com um PenTest, tendo a função de criação de ataques reais, contra softwares da empresa, partindo de pessoas que não têm intenção de causar danos reais a empresa em questão, funcionando apenas para o encontro de vulnerabilidades. Análise de Postura: reconhece diversos fatores da segurança, como os resultados do hacking ético, o scanning de segurança e a análise de riscos para estudar o estado e maturidade do nível de proteção da empresa contra os principais tipos de ataque conhecidos no mercado, é uma maneira de reunir os dados relevantes para a criação ou adaptação de estratégias. Para muitos gestores a testagem de vulnerabilidades pode soar apenas como uma maneira de gastar dinheiro, mas isso está longe de ser realidade, sendo uma ação recomendada por diversos especialistas. Toda empresa precisa de uma política de dados, inclusive o início é o melhor momento para se criar aplicar uma. Os testes de segurança podem evitar que sua 12 empresa precise pagar para solucionar problemas reais, sendo essencial para o investimento em melhores estruturas e upgrades. Desligar o sistema jamais impede que um ataque aconteça, até porque eventualmente ele será ativado novamente. A melhor maneira de impedir ataques é implementando um sistema de segurança que funcione, não basta apenas implementar softwares de segurança mas também ensinar pessoas como utilizar as ferramentas da melhor maneira. O investimento em boas soluções de segurança é importante, mas o conhecimento de aplicação de práticas seguras, é essencial. 7- CINCO PILARES DA SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS 1. Confidencialidade: é o primeiro pilar da segurança da informação, pois garante que os dados estejam acessíveis a determinados usuários e protegidos contra pessoas não autorizadas, que se aplica especialmente a dados pessoais, sensíveis, financeiros, psicográficos e outras informações sigilosas. Para garantir a segurança, você deve incluir medidas de proteção como controle de acesso, criptografia, senhas fortes, entre outras estratégias. Inclusive, a confidencialidade dos dados pessoais de usuários é um dos requisitos centrais de conformidade com a GPDR (General Data Protection Regulation) e LGPD (Lei Geral de Proteção de Dados Pessoais). 2. Integridade: a integridade na segurança da informação diz respeito à preservação, precisão, consistência e confiabilidade dos dados durante todo o seu ciclo de vida, é preciso implementar mecanismos de controle para evitar que as informações sejam alteradas ou deletadas por pessoas não autorizadas. Geralmente, a integridade dos dados é afetada por erros humanos, políticas de segurança inadequadas, processos falhos e ataques. 3. Disponibilidade: É fundamental que seus dados estejam disponíveis sempre que necessário. É preciso garantir a estabilidade e acesso permanente às informações dos sistemas, por meio de processos de manutenção rápidos, eliminação de falhas de software, atualizações constantes e planos para administração de crises. Os sistemas são vulneráveis a desastres naturais, ataques de negação de serviço, blecautes, incêndios e diversas outras ameaças que prejudicam sua disponibilidade. 13 4. Autenticidade: autenticidade é o pilar que valida a autorização do usuário para acessar, transmitir e receber determinadas informações. Seus mecanismos básicos são logins e senhas, mas também podem ser utilizados recursos como a autenticação biométrica, por exemplo. 5. Irretratabilidade: é também chamado de “não repúdio”, do inglês “non-repudiation”, esse pilar é inspirado no princípio jurídico da irretratabilidade. Garante que uma pessoa ou entidade não possa negar a autoria da informação fornecida, como no caso do uso de certificados digitais para transações online e assinatura de documentos eletrônicos. 8- A IMPORTÂNCIA DA COMUNICAÇÃO INTERNA Uma boa cultura organizacional pode definir como a empresa funciona no dia- a-dia, seus processos, comportamento esperado e as rotinas que, somadas ao trabalho dos gestores de cada setor podem resultar no sucesso esperado. Além das melhorias de rotina, também espera-se que uma boa cultura sirva para potenciar e desenvolver a empatia, comunicação, organização e flexibilidade, de todos os envolvidos. De todos os recursos de uma empresa, a comunicação interna é um dos principais responsáveis pelo sucesso ou fracasso de uma estratégia de grande impacto como a cultura organizacional. Reconhecer e avaliar o trabalho dos diferentes profissionais de todos os setores para garantir que determinadas medidas façam sentido para suas rotinas. O gestor de campanha de conscientização compreende o ponto de partida institucional da empresa, checando se todos os funcionários estão cientes da política de proteção de dados da empresa, ou até mesmo se a empresa já possui algum. Umacaracterística importante do gestor de conscientização é a criatividade e capacidade de tornar os planos contínuos e interessantes ao longo do tempo, reconhecendo que é um trabalho que na maioria dos casos não deveria ter um prazo para terminar. A inclusão de ações interativas, no modelo de “jogos” para determinado fim. Treinamentos constantes com vídeo conferências, reuniões periódicas e especificas à segurança da Informação nível usuário. Existem diversas ferramentas 14 que auxiliam nessa tarefa como por exemplo: Teams da Microsoft, ou meet da Google, entre outras. Fazer com que todos entendam as ameaças e riscos que seus setores e a empresa como um todo estão sujeitos no dia a dia. Tornar público a importância do comportamento e ações de cada um no processo para manter a empresa mais segura. Despertar nos funcionários de outros setores o interesse em aprender mais sobre segurança da informação e a avaliarem seu atual conhecimento sobre essas vulnerabilidades. Manter os colaboradores informados sobre as melhores práticas do momento e traduzi-las da melhor maneira para o setor da empresa. Auxiliar na atualização, ou até mesmo na criação da política de proteção de dados organizacional. Garantir que a conscientização seja constante, mantendo os picos de informação sempre equilibrados para que ninguém ache que foi apenas uma ação passageira. 9- MÁQUINA VIRTUAL OU VM, COMO CRIAR E UTILIZAR? Máquina virtual (VM) é um ambiente de uso criado por software que simula um computador ou servidor físico dentro de outro computador, proporcionando ao usuário a mesma experiência que usar um equipamento real. Para criar máquinas virtuais num servidor é necessário um software de virtualização (hypervisor). As empresas desenvolvedoras de softwares de virtualização mais conhecidas são a Vmware, do grupo Dell-EMC, Citrix, Oracle e Microsoft Hyper-V. A tecnologia de criar uma ou mais máquinas virtuais dentro do mesmo hardware é a melhor resposta para otimizar o uso de equipamentos que possuem alto poder de processamento, mas encontram-se parcialmente ociosos. Assim, um único servidor pode hospedar várias máquinas virtuais num único hardware, geralmente executando tarefas mais rápido que um computador comum. Processos que exigem alto poder de processamento em várias estações, mas não acontecem continuamente, podem ser agrupados e virtualizados num único servidor. Essa solução dispensa investimentos desnecessários em várias estações de trabalho de alto valor, uma vez que qualquer computador pode acessar um ambiente virtualizado. Uma VM não tem acesso ao sistema operacional do servidor hospedeiro. O usuário que acessa uma VM só tem acesso ao seu ambiente virtual. Como diversas 15 máquinas virtuais, com diferentes sistemas operacionais, podem ser executadas num único servidor físico, cada máquina virtual recebe seu “hardware virtual” que inclui CPU, memória, hard disks, sistemas de armazenamento e outros dispositivos. Esses softwares basicamente gerenciam o hardware físico, distribuindo recursos como processamento, disco e conexões de rede entre as diversas máquinas virtuais. Assim, várias máquinas virtuais podem utilizar a mesma CPU, memória, disco rígido, rede e outros recursos de hardware de uma única máquina física. Hyper-V é um recurso de máquina virtual embutido no windows. No entanto, esse recurso só está disponível para usuários das versões Pro e Enterprise. Após ativar o recurso e criar a máquina virtual, será necessário instalar um sistema operacional, Windows server 2012 por exemplo na máquina virtual. 10- PASSOS PARA CRIAÇÃO DA MAQUINA VIRTUAL NO WINDOWS A tecnologia Hyper V Manager vem embutida no Windows 10, mas não vem ativada por padrão e para ativá-la é preciso gerenciador HYPER-v. Passo 1- Clique na caixa de busca do Windows 10 e dentro dela digite “recursos do windows”. Quando aparecer o resultado, clique no item “Ativar ou desativar recursos do Windows.” Passo 2. Na janela que “Recursos do Windows”, procure pelo item “Hyper-V”. Em seguida, clique no quadro ao lado desse item, para ativá-lo. Para efetivar a mudança, clique no botão “OK”. Aguarde até que o Windows instale o Hyper-V.” 16 Passo 3: No final do processo, clique no botão “OK”. Se aparecer a opção de reiniciar, confirme e aguarde a reinicialização do sistema; Passo 4: Com a tecnologia Hyper-V já está instalada, clique na caixa de busca do Windows 10 e dentro dela digite “hyper”. Quando aparecer o resultado, clique no item “Gerenciador do Hyper-V” Antes de criar a máquina virtual, é preciso criar um comutador (switch) de rede virtual para que a máquina virtual que você criar, possa acessar a Internet. Para isso, faça o seguinte: Passo 1. Na tela do Gerenciador do Hyper-V, clique com o botão direito do mouse no nome do servidor. No menu que aparece, clique na opção “Gerenciador de Comutador Virtual.” 17 Passo 2. Na tela que será exibida, clique em “Externo” e depois no botão “Criar Comutador Virtual”. Passo 3. Em seguida, digite um nome e marque a opção “Rede externa”. Clique em “OK” para confirmar os dados. Passo 4. Será exibida uma pequena tela pedindo para confirmar as alterações. Clique no botão “Sim”. 18 11- CRIANDO A MÁQUINA VIRTUAL Feito esses passos, agora é criar uma máquina virtual no Gerenciador do Hyper-V: Passo 1. Na tela do Gerenciador do Hyper-V, clique com o botão direito do mouse no nome do servidor. No menu que aparece, clique na opção “Novo” e depois em “Máquina Virtual…”. Passo 2. Na primeira tela apenas, clique no botão “Avançar”. Passo 3. Em seguida, digite um nome para a máquina virtual. Pra continuar, clique no botão “Avançar”. 19 Passo 4. Na próxima etapa, selecione a geração da máquina virtual. As duas opções são autoexplicativas. Se o sistema operacional convidado que você deseja instalar é de 64 bits, marque a opção “Geração 2.”, caso contrário, selecione a opção “Geração 1″. Depois, clique no botão “Avançar”. Passo 5. Defina a quantidade de memória e clique no botão “Avançar”. Passo 6. Em “Configurar Rede”, clique na seta ao lado de “Conexão:” e selecione o comutador de rede virtual que você criou anteriormente. Mesmo se você não tiver 20 selecionado qualquer conexão de rede, você sempre poderá configurar essa opção depois a criação da máquina virtual. Passo 7. Marque o item “Criar um disco virtual” e configures as opções do novo disco. Novamente, clique no botão “Avançar”. Passo 8. Em “Opções de Instalação”, escolha entre instalar mais tarde ou usar uma imagem ISO (informando o endereço dela) e começar a instalação depois de criar a máquina virtual. Em seguida, clique no botão “Avançar”. Passo 9. Finalmente, confira o resumo da nova máquina virtual e confirme a criação dela, clicando no botão “Concluir”. 21 12- CONFIGURAÇÃO DE SEGURANÇA NO WINDOWS Windows Server 2012 – Firewall com segurança avançada Para acessar o firewall do Windows com segurança avançada, basta procurar por Firewall. Firewall do Windows está separada em três perfis: Perfil Domínio:Para ligações entre máquinas do domínio Perfil Privado: Para ligações entre máquinas na rede interna, mas que não fazem parte do domínio Perfil Público: Para ligações exteriores (ex. Internet) 22 Tal como acontece em outros mecanismos de firewall, os perfis têm uma configuração pré-definida. Para visualizar essa configuração, basta aceder as propriedades da Firewall como mostra a imagem seguinte. Por exemplo, no caso do Perfil de Domínio, o firewall está ligado para esse perfil e todas as comunicações à entrada da máquina são bloqueadas e permitidas todas as ligações à saída. De maneira que tais configurações podem ser alteradas de personalizadas com maior detalhe.No separador Definições do IPSec, podemos por exemplo “cortar” os pings para o servidor, ou então definir vários parâmetros associados ao protocolo IPSec, que é uma suite de protocolos que permitem a construção de túneis cifrados sobre redes de comunicação. 23 Criar regras de entrada e de saída, ou seja, como controlar (permitir ou negar) o tráfego à entrada ou à saída do servidor. Na figura abaixo, na parte direita podemos temos a indicação para as Regras de Entrada e Regras de Saída. O firewall do Windows traz já uma lista extensa de regras pré-definidas, podendo o administrador ativá-las ou desativá-las facilmente. Editando uma regra, é possível definir facilmente também qual a ação da mesma. Como podemos ver na figura abaixo, para cada regra é possível definir um conjunto de parâmetros, como por exemplo os programas/serviços a negar ou permitir, computador remotos permitidos, protocolos e portas, etc. 24 Esta forma apresentada é o básico de uma configuração de segurança para servidor Windows para começar um trabalho. Conforme as necessidades da Empresa, as regras vão sendo modificadas para uma maior segurança. 13- COMO CRIAR E UTILIZAR GRUPO DE USUÁRIOS NO ACTIVE DIRECTORY O Active Directory (AD) é uma ferramenta da Microsoft utilizada para o gerenciamento de usuários de rede, denominada serviço de diretório. Um diretório nada mais é do que um banco de dados contendo informações dos usuários de uma organização, tais como nome, login, senha, cargo, perfil e etc. . Dentro da concepção de um Serviço de diretório, um grupo é um conjunto de usuários, contatos e computadores que podem ser gerenciados como uma única unidade. Os grupos são gerenciados como objetos de diretório e, normalmente são atribuídos a elementos que compartilham propriedades semelhantes em relação a atributos como permissões de acesso. Por exemplo: em uma determinada empresa, analistas financeiros de um departamento financeiro possuem as mesmas permissões a serviços/sistemas utilizados por este setor. Um grupo também pode ser formado por dois ou mais grupos. Os grupos em diretórios facilitam o trabalho do administrador de redes, através de facilidades como a simplificação de permissões em um recurso compartilhado a um grupo: em vez de atribuir a mesma permissão a diversos usuários, um a um, é atribuída a permissão ao grupo de usuários que compartilham esta propriedade. Ao atribuir os direitos de usuário a um grupo, novos os membros adicionados recebem as mesmas permissões de forma automática. Auxilia ao administrador a criar listas de distribuição por e-mail, já que podem ser utilizados os grupos como base para as 25 listas. Quando um usuário troca de setor, basta trocar ele de grupo. Os usuários podem ser membros de vários grupos. Contas de computadores podem ser membros de grupos. Grupos podem ser membros de outros grupos. Grupos de domínio local: os membros podem receber permissões somente em um único domínio. Grupos globais: são compostos por membros que podem receber permissões em qualquer domínio na floresta. Grupos universais: os membros desses grupos podem receber permissões em qualquer domínio na árvore de domínio ou floresta. Há dois tipos de grupos no AD: Grupos de distribuição: a principal função está em criar listas de distribuição por e-mail. Grupos de segurança: usados para atribuir permissões aos recursos compartilhados. VMs possibilitam executar diferentes sistemas operacionais no mesmo servidor. O hypervisor cria e mantém várias máquinas virtuais isoladas umas das outras, permitindo assim que cada VM execute seu próprio sistema operacional. Assim é plenamente possível manter sistemas operacionais Linux, MacOS e Windows num único host físico e funcionando ao mesmo tempo. É especialmente útil para ambientes de teste, pois as máquinas virtuais não têm acesso ao sistema operacional hospedeiro (SO + hypervisor). Isso significa que qualquer instabilidade no sistema sempre acontecerá no nível da máquina virtual, nunca no servidor host. A Virtualização reduz custos, pois diminui a quantidade de hosts (servidores) físicos. As máquinas virtuais fazem melhor aproveitamento do hardware, o que reduz a quantidade de equipamentos instalados nas infraestruturas de TI e datacenters Máquinas Virtuais também facilitam o gerenciamento, pois podem ser implementadas em sistemas de alta disponibilidade, onde estão menos sujeitas a problemas técnicos. Os ambientes virtuais simplificam muito operações de backup, recuperação de desastres, novas implantações e tarefas básicas como a administração do sistema. Para executar um software hypervisor que permite a criação de uma VM no servidor não é necessário nenhum tipo de hardware especializado. No entanto, dependendo da aplicação, da quantidade de máquinas virtuais e do software hypervisor escolhido, o ambiente virtualizado exigirá mais largura de banda, armazenamento e capacidade de processamento do que um servidor ou computador desktop tradicional. É possível distribuir recursos personalizados para cada VM, profissionais de TI familiarizados em administrar softwares de virtualização podem configurar o hypervisor para distribuir os recursos de hardware físico existentes entre as VMs, de acordo com o que cada 26 máquina virtual exigir. Mesmo em ambientes virtualizados é importante considerar possíveis riscos de interrupção dos serviços, incluindo a possibilidade de sobrecarga de recursos ou a ocorrência de interrupções em várias VMs devido a problemas físicos (hardware) do servidor. Em tempos de trabalho remoto, um sistema de virtualização permite que funcionários em home office possam acessar aplicativos corporativos por qualquer computador doméstico. Como o processamento fica por conta do hardware que compõe o ambiente de virtualização, soluções baseadas em VPN associada a storages e servidores responderão mais rápido do que soluções improvisadas ou incompletas. 14- A IMPORTÂNCIA EM REFORÇAR AS SENHAS A autenticação em duas etapas(2FA), consiste em um acesso onde primeiramente informa-se a senha cadastrada e na sequência um método adicional de autenticação, e existem diversos tipos: Tokens de hardware – a forma mais antiga de autenticação de dois fatores, dispositivos físicos que agem como chaves eletrônicas que geram um código numérico válido no tempo para acessar contas de usuário. Tokens de software – um dos formulários 2FA mais populares. Ele usa uma senha única baseada em tempo, gerada por software (também chamada de TOTP ou “token suave”). Um usuário precisa ter um aplicativo 2FA gratuito em seu telefone ou desktop. No login, o usuário primeiro insere um nome de usuário e uma senha e, quando solicitado, insere o código exibido no aplicativo. Notificações push – sites e aplicativos agora podem enviar ao usuário uma notificação por push quando houver uma tentativa de autenticação. É uma autenticação sem senha, sem códigos para entrar, e nenhuma interação adicional é necessária. Biométrico 2FA – esta técnica inclui a verificação da identidade de uma pessoa através de impressões digitais, padrões de retina e reconhecimento facial, ruído ambiente, pulso, padrões de digitação e impressões vocais. Utilizar tokens de software pode ser a maneira mais rápida e fácil de habilitar 2FA, após informar a senha cadastrada no serviço, pede-se um código único, temporário e renovado a cada 30 segundos por um software que somente o usuário tem acesso. Em conjunto com a ativação do serviço, é necessário o uso de um software ou app para smartphone, responsável pelo gerenciamento dessas contas e 27 gerar os códigos exigidos na autenticação, os mais conhecidos são o Google Authenticator e o Authy. CONCLUSÃO Todos os colaboradores desempenham papéis importantes na administração de uma empresa de sucesso e, por isso é importantementalizar que se sua equipe não está sendo conscientizada sobre suas ações, a organização estará vulnerável as consequências de suas falhas nesse sentido. E baseado nas disciplinas de segurança de informação, vejo que é uma tarefa tão essencial para as empresas a adoção de programas de treinamento e conscientização sobre segurança da informação que inclua as diretrizes essenciais e necessárias para impedir incidentes cibernéticos iminentes. Esse processo não deve ser em resposta a casos isolados, mas sim, fazer parte da cultura empresarial, no intuito de não só combater mas, prevenir disponibilizando novos materiais, implementando soluções na medida em que novidades apareçam e compartilhar os resultados como incentivo a todos. Autenticação em duas etapas para todos os processos críticos, desde e-mail, CRM, banco de dados a armazenamentos em nuvem, é primordial para segurança das informações e dos clientes da Empresa, assim como uma infraestrutura de equipamentos (hardwares) e softwares sempre atualizados. Plataformas da web como HP, microfocus smax, Fresshdeske, desk manager, e muitas outras contribuem para esse trabalho em home office. REFERÊNCIAS Mais da metade dos brasileiros usa dispositivos pessoais para trabalho remoto. Disponível em:<https://www.kaspersky.com.br/blog/brasileiros-dispositivos-pessoais- trabalho-remoto/15697/>.acesso em: 28 de maio de 2021. Home office: como manter a segurança de seus dados trabalhando em casa. Disponível em: <https://blog.nec.com.br/home-office-como-manter-a-seguranca-de- seus-dados-trabalhando-em-casa> . acesso em: 28 de maio de 2021. 28 Segurança digital no Home Office – veja como proteger os dados de sua empresa. Disponível em:< https://www.microcity.com.br/home-office/>. acesso em: 28 de maio de 2021. Melhores políticas de segurança de dados para home office. Disponível em:< https://blog.runrun.it/seguranca-da-informacao-home-office/>. acesso em: 28 de maio de 2021. Segurança da informação nas empresas: as diferenças entre educar, treinar e conscientizar.Disponível em:<https://www.proof.com.br/blog/seguranca-da- informacao-nas-empresas/>. acesso em: 28 de maio de 2021. Reforçe a segurança de suas senhas. Disponívem em: https://hftecnologia.com.br/reforce-seguranca-das-suas-senhas/>. acesso em: 28 de maio de 2021. Windows Server 2012 – Firewall com segurança avançada. Disponível em: https://pplware.sapo.pt/tutoriais/windows-server-2012-firewall-com-seguranca- avancada/. acesso em: 28 de maio de 2021. 5 pilares da segurança da informação nas empresas. Disponível em: <https://www.gat.digital/blog/5-pilares-da-seguranca-da-informacao/>. acesso em: 28 de maio de 2021. Como criar uma maquina virtual. Disponível em: https://www.techtudo.com.br/dicas-e- tutoriais/noticia/2016/09/como-criar-uma-maquina-virtual-com-o-hyper-v-do-windows- 10.html. acesso em: 28 de maio de 2021. Máquina virtual ou VM, o que é e para que serve? Disponível em: https://www.controle.net/faq/maquina-virtual-vm-o-que-e-para-que-serve. acesso em: 28 de maio de 2021.
Compartilhar