PIM VI

Prévia do material em texto

UNIVERSIDADE PAULISTA-EAD 
PROJETO INTEGRADO MULTIDICIPLINAR 
CURSOS SUPERIORES DE TECNOLOGIA 
 
 
 
 
 
 
 
 
 
 
 
 
 
Projeto – Gestão de pessoas que estão em acesso remoto externo 
- VPN em Home Office Sob o Prisma da Segurança da informação- UNIP- 
PIM VI 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
UNIP Araçatuba polo Planalto 
2021 
 
UNIP EaD 
Projeto Integrado Multidisciplinar 
Cursos Superiores de Tecnologia 
 
 
 
 
 
 
 
 
 
 
Projeto – Gestão de pessoas que estão em acesso remoto externo 
- VPN em Home Office Sob o Prisma da Segurança da informação- UNIP- 
PIM VI 
 
 
 
 
 
 
 
 
 
 
Nome(s) Jorge Cury Sayeg 
RA(s): 0593420 
Curso: Segurança da Informação. 
Semestre: 1º semestre de 2021. 
 
 
 Prof. Ricardo Sewaybriker 
 
 
 
 
 
 
 
 
 
 
UNIP Araçatuba polo Planalto 
2021 
 
 
 
 
RESUMO 
 
 
 
 
O presente projeto tem como objetivo principal apresentar os resultados de 
pesquisa realizada com o intuito de desenvolver e estabelecer as melhores práticas 
para um acesso remoto um plano de conscientização, além de treinamento para 
política de acesso remoto visando prevenir os principais ataques que ocorrem na web. 
Se faz necessário propor configurações técnicas de segurança para os sistemas 
operacionais das estações de trabalho, eliminando de maneira eficaz quaisquer 
possíveis fontes de vulnerabilidade, identificando as principais ameaças e 
vulnerabilidades existentes e, mais evidentes no momento atual. Através da 
identificação destas ameaças e vulnerabilidades, estabelecemos a exposição de 
configurações de segurança para os sistemas operacionais que fazem parte da 
composição das estações de trabalho que foram destinadas para o acesso remoto 
externo. Dentro deste projeto, foram aplicados os fundamentos dos conhecimentos 
adquiridos nas disciplinas de Segurança e Sistemas Operacionais (Windows/Linux), 
Segurança no Ambiente Web, Gestão Estratégica de Recursos Humanos, que foram 
primordiais para o desenvolvimento deste projeto. 
 
Palavras Chaves: Segurança de Sistemas Operacionais, Segurança no ambiente 
Web, Gestão Estratégica de Recursos Humanos, Ameaças e vulnerabilidades na 
Web, Home Office. 
 
 
 
 
 
 
 
ABSTRACT 
 
The main objective of this Project is to present the results of research carried 
out in order to develop and establish the best practices for remote access, an 
awareness plan, in addition to training for remote access policy aimed at preventing 
the main attacks that occur on the web. It is necessary to propose technical security 
configurations for the operating systems of workstations, effectively eliminating any 
possible sources of vulnerability, identifying the main threats and vulnerabilities 
existing and most evident at the present time. Through the identification of these 
threats and vulnerabilities, we established the exposure of security settings for the 
operating systems that are part of the composition of the workstations that were 
destined for external remote access. Within this project, the foundations of knowledge 
acquired in the disciplines Security of Operating Systems (Windows / Linux), Security 
in the Web Environment, Strategic Management of Human Resources were applied, 
which were essential for the development of this Project. 
 
Keywords: Security of Operating Systems, Security in the Web environment, Strategic 
Management of Human Resources, Threats and Vulnerabilities on the Web, Home 
Office 
 
 
 
 
 
 
 
 
 
 
 
. 
 
 
SUMÁRIO 
RESUMO..................................................................................................................... 3 
ABSTRACT ................................................................................................................. 4 
INTRODUÇÃO ............................................................................................................ 6 
1- GESTÃO DE PESSOAS QUE ESTÃO EM ACESSO REMOTO EXTERNO ........ 6 
2- TRANSFORMAÇÃO DIGITAL .............................................................................. 7 
3- O FATOR DA DESINFORMAÇÃO HUMANA ....................................................... 7 
4- FATORES HUMANOS E AMEAÇAS .................................................................... 8 
5- ESTEGANOGRAFIA .............................................................................................. 8 
6- TESTES DE APLICAÇÕES PARA MELHORAR A SEGURANÇA ..................... 11 
7- CINCO PILARES DA SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS ...... 12 
8- A IMPORTÂNCIA DA COMUNICAÇÃO INTERNA ............................................... 13 
9- MÁQUINA VIRTUAL OU VM, COMO CRIAR E UTILIZAR? ................................. 14 
10- PASSOS PARA CRIAÇÃO DA MAQUINA VIRTUAL NO WINDOWS ................ 15 
11- CRIANDO A MÁQUINA VIRTUAL ...................................................................... 18 
12- CONFIGURAÇÃO DE SEGURANÇA NO WINDOWS ........................................ 21 
13- COMO CRIAR E UTILIZAR GPO NO ACTIVE DIRECTORY ............................. 24 
14- A IMPORTÂNCIA EM REFORÇAR AS SENHAS ............................................... 26 
CONCLUSÃO ............................................................................................................ 27 
REFERÊNCIAS ......................................................................................................... 27 
 
 
 
6 
 
INTRODUÇÃO 
 
 
Devido à Pandemia do Covid-19, as empresas tiveram que adotar de forma imediata 
o trabalho remoto – home office, para a maioria dos seus funcionários. Devido à urgência 
do projeto, a segurança da informação ficou em segundo plano mesmo sendo fundamental 
e, com isso, o número de ataques a esse formato de acesso se multiplicou 
exponencialmente. Se o trabalho remoto precisa ser seguro, como garantir a segurança da 
informação? Existem uma série de características para tornar o home office seguro e, uma 
delas estará sendo abordado neste Projeto é a Gestão de pessoas no Trabalho Remoto e 
em Home Office. 
 
1- GESTÃO DE PESSOAS QUE ESTÃO EM ACESSO REMOTO EXTERNO 
 
O fator humano representa grande responsabilidade nas medidas de 
cybersegurança, por isso, as campanhas de conscientização em segurança da informação 
são tão importantes. Com o alto crescimento de aderência ao trabalho remoto, diversas 
empresas passaram a se preocupar com a segurança desse modelo de trabalho nos 
últimos anos. Dentre os ataques mais populares da atualidade estão os causados 
por engenharia social. Esses ataques abusam de erros humanos para causar danos ou 
roubar informações do alvo. O ser humano está fadado a cometer erros pelo fato de nem 
sempre ter a atenção dedicada ao que está sendo realizada, diferente de máquinas que 
podem ser programadas para realizar uma mesma ação por um longo período de tempo e 
sem interrupções. Para combater diversas vulnerabilidades humanas, também conhecidas 
como fator humano, uma das grandes armas é a prevenção. Uma das maneiras de fazer 
isso em uma organização, é com campanhas de conscientização, que alinhadas ao cenário 
empresarial, podem reduzir ocorrências. Seu objetivo é fazer com que os usuários de 
tecnologia em determinado ambiente adquiram plena consciência sobre a melhor maneira 
de utilizar os recursos e a importância de seus atos nesse ecossistema, reconhecendo 
também as consequências do não cumprimento de práticas específicas (como o roubo de 
informações). 
Para que possa existir êxito nas campanhas de conscientização é preciso definir as 
metodologias e processos que deverão ser adotados para uma transformação digital. A 
fase mais sensível na transformação digital é o envolvimento humano. A adesão de 
7 
 
pessoas é uma importante fase para o sucesso de um projeto como esse. Uma boa maneira 
de garantir que todos os colaboradores estejam nos mesmos termos em relaçãoao 
processo, é através de reuniões de equipes, para que cada grupo possa compreender como 
isso irá impactar seu dia a dia ou ainda, campanhas de conscientização para que a 
informação seja sempre alinhada entre todos os setores. Outro ponto positivo, é a 
possibilidade de antecipar riscos e os potenciais problemas que o novo sistema possa 
apresentar, já que a estrutura base para a mudança pode não ser totalmente compatível 
com as mudanças e por isso precisa ocorrer de maneira gradual ou exija um maior 
investimento. Uma das maiores transformações que deve ocorrer para a grande maioria 
das empresas é a digitalização de processos que antes eram realizados de maneira 
analógica, demandando tempo de trabalho dos funcionários, o que hoje em dia já existe 
esse método no Tribunal de Justiça de São Paulo. 
 
2- TRANSFORMAÇÃO DIGITAL 
 
A indústria 4.0, também conhecida como “quarta revolução”, como sendo um termo 
que define a nova realidade da relação entre humanos e tecnologia. Formalmente, a ideia 
implica que ao conectar máquinas, sistemas e ativos, empresas são capazes de controlar 
toda a cadeia de valor que podem controlar módulos da produção de forma independente, 
mais capacidade e autonomia para controlar sua produção, agendar manutenção e prever 
falhas no processo. 
Os dados podem ser coletados e utilizados em um curto período de tempo, 
permitindo decisões assertivas. Aumento de visibilidade e monitoramento remoto de todos 
os processos que ocorrem no ambiente empresarial. Os softwares são orientados a 
serviços aliados ao sub conceito de Internet of Services (IoS). As produções serão 
orientadas pela demanda, tornando possível desabilitar ou habilitar módulos específicos. 
IoT é a conexão em rede de aparelhos que até então eram totalmente desconectados, como 
um simples eletrodoméstico, permitindo a otimização de seu uso. 
 
3- O FATOR DA DESINFORMAÇÃO HUMANA 
 
Embora muitas vulnerabilidades tenham origem tecnológica, essa não é sua 
única fonte. A mudança de comportamento humano, com a adoção de dispositivos 
móveis, é cada vez menos segregada entre vida pessoal e profissional, especialmente 
8 
 
com o crescimento trabalho remoto. Com a combinação de dispositivos – muitas vezes 
desprotegidos e a desinformação em cibersegurança, essas pessoas tornam-se alvos 
fáceis de criminosos sendo uma vulnerabilidade para seus dados pessoais e 
corporativos. Uma das melhores maneiras de remediar essas novas vulnerabilidades 
são as campanhas de conscientização sobre segurança da informação. 
 
4- FATORES HUMANOS E AMEAÇAS 
 
A Engenharia Social representa uma série de ameaças que possuem como 
vítima uma pessoa, sendo o phishing a ameaça mais popular do mundo, além de 
funcionar a partir até mesmo de abordagens não eletrônicas. 
Roubo de senhas: enganado por páginas muito semelhantes a serviços de 
consumo, usuários podem enviar suas informações de credenciamento para 
servidores de cybercriminosos ou realizar downloads com arquivos maliciosos. 
Roubo de Informações: usuários podem enviar dados e informações sigilosas ao 
serem solicitados por contatos que acreditem ser verdadeiros. Perda de Privacidade: 
Cybercriminosos podem monitorar as ações, ler e-mails com credenciais 
comprometidas e até mesmo ter acesso a câmera e gravar ou fotografar suas vítimas 
sem serem notados. Furto de Identidade: Muitas abordagens de phishing partem de 
e-mails, telefonemas ou domínios falsos, mas também é possível que parta de um 
contato real, exceto que essa pessoa sofreu um ataque e alguém pode estar se 
passando por ela. Essa é considerada uma das práticas mais sérias em 
cybersegurança por envolver o crime de estelionato. Spearphishing é um ataque 
altamente segmentado com objetivo de atingir funcionários e, até mesmo executivos 
que podem enganar-se com telefonemas ou e-mails com conteúdo e contexto que 
parecem muito confiáveis. 
 
5- ESTEGANOGRAFIA 
 
A esteganografia é o conceito de esconder mensagens, isso pode ocorrer em 
imagens e também arquivos. Essa técnica muito antiga é uma área de estudos que 
analisa além de arquivos audiovisuais e softwares e meios como os protocolos TCP 
e documentos de texto. Imagine que a partir disso, é possível esconder informações 
em recursos visualizados amplamente por todos dentro de uma organização, sendo 
9 
 
que somente os interessados poderão entender a mensagem oculta já que saberão 
onde procurar por ela. Diferente da criptografia, prática em que os dados estão 
ininteligíveis por todos de maneira publica, a esteganografia esconde esse fator, 
tornando-se algo ainda mais secreto. 
Dentre os principais métodos para realizá-la tal é a substituição de bits menos 
significativos e, por ser camuflada, também limita-se ao máximo de dados que podem 
ser escondidos sem que outras pessoas percebam. 
Ocorre geralmente em: Comunicações secretas: Cybercriminosos inseridos no 
mesmo ambiente de ataque podem utilizar a técnica para comunicar suas ações a 
partir da prática ou até mesmo expor dados de maneira silenciosa. 
Códigos Maliciosos: partindo dessa técnica também é possível inserir códigos 
maliciosos em arquivos aparentemente seguros, como uma simples imagem. Vírus e 
Malwares: diversos tipos de vírus e malwares podem se beneficiar da prática, sendo 
o cavalo de troia um formato que trabalha com o uso do mesmo conceito. Os cookies 
podem armazenar informações de credenciamento, e isso pode resultar em situações 
de preenchimento automático em alguns ambientes, por exemplo, tornando o recurso 
uma vulnerabilidade caso o dispositivo esteja nas mãos de outras pessoas, além da 
possibilidade de memorizar informações pessoais e hábitos. 
O Cache Poisoning é a corrupção dos dados temporários armazenados de um 
site, a partir de seu servidor de nomes, com a substituição de um endereço seguro 
por outro não autorizado. Sendo frequentemente associado a URL poisoning, um 
método para monitorar os comportamentos de um usuário a partir de um identificador 
invisível a vítima, essas vulnerabilidades podem reconhecer ações de usuários sem o 
consentimento. Basta um pixel com o código de tracking de entrega para que seja 
possível descobrir a abertura de um e-mail, por exemplo. 
Sequestro de navegador: ao assumir os controles de DNS, o “cybercriminoso” 
pode direcionar a vítima que tenta acessar determinado link para o destino desejado. 
Códigos Móveis: são os recursos utilizados por desenvolvedores para trazer 
funcionalidades e melhorar a aparência de páginas web, o que apesar de parecer 
inofensivo, pode trazer vulnerabilidades. Dentre os mais famosos, estão - programas 
e Applets Java, JavaScripts e Controles ActiveX. Janelas pop-up: muitas vezes 
invasivas, as janelas pop-up não são as queridinhas da internet, mas ao carregar 
recursos automaticamente podem apresentar conteúdos indesejados, resultam em 
cliques involuntários ou até mesmo códigos maliciosos. 
10 
 
Os plugins são normalmente disponibilizados em marketplaces verificados 
pelos próprios navegadores, mas isso não é motivo para não serem alvos de 
vulnerabilidades disfarçadas ou rastreadores de comportamento. Links patrocinados 
e anúncios gráficos: alguns sites podem utilizar serviços como o Google Ads como 
forma de remuneração. O problema é quando esses anúncios são colocados em 
posições estratégicas para induzir o clique por ser confundido como páginas do 
próprio site, levando a anunciantes que nem sempre terão a mesma confiabilidade do 
site de origem. 
Existem diversas maneiras de compartilhar recursos de um usuário para o 
outro, desde um compartilhamento por aplicativos como o WhatsApp, até versões 
mais tradicionais como os serviços de Torrent. Mas essas trocas podem resultar 
também na transferência de infecções que nem mesmo a fonte (usuário que está 
enviando o arquivo) tinha o conhecimento. É necessário configurar os dispositivos 
dos colaboradores com a implementaçãode softwares, atualizações e sistemas 
operacionais atualizados. 
Quando tratar-se de um dispositivo que não é da empresa, precisa-se analisar sua 
condição até entender o melhor a ser implementado. O roubo de senhas pode ser 
uma tarefa fácil em navegadores como Microsoft Edge e Google Chrome: Esses 
navegadores seguem a política da GPO. No método contra usuários mais vulneráveis 
– com pouco conhecimento técnico e o acesso ao computador da vítima, basta um 
simples acesso a área de contas salvas para visualizar a senha de cada conta de 
usuário, ou, utilizar a inspeção de páginas até encontrar os valores das credenciais. 
 
Existem diversos sites agregadores de links que servem de intermediário para 
a realização de downloads de aplicações que não precisariam de um, pois já estão 
plenamente disponíveis em seus servidores oficiais, é o caso de utilitários como o 
Winrar, Adobe Acrobat, e WhatsApp. Além de desnecessários, os servidores podem 
carregar códigos maliciosos em seus downloads, softwares adicionais, propaganda e 
versões atualizadas de um arquivo disponível no site oficial dos fabricantes, com a 
exibição de anúncios que não remuneram os fabricantes e ainda podem realmente 
conter códigos comprometidos. O fato é que muitos usuários, na pressa por um 
download, recorrem ao primeiro link, sem as devidas verificações ou buscam 
alternativas se fabricantes de software tornam o download, ainda que gratuito, mais 
burocráticos, como a necessidade de envio de e-mails ou o cadastramento de contas. 
11 
 
A conscientização é especialmente sobre isso: mostrar aos usuários que os 
atalhos não representam as melhores ações para situações como essa, não vale o 
risco. Os erros de muitos usuários, seja em suas redes corporativas ou pessoais, 
começa na criação de senhas, pois as pessoas ainda querem lembrar de suas senhas 
e por isso acabam repetindo as mesmas em diversos serviços. Isso é fatal, se o 
cybercriminoso descobre uma, ganha acesso a todas as outras. 
 
6- TESTES DE APLICAÇÕES PARA MELHORAR A SEGURANÇA 
 
Scanning de vulnerabilidades: um teste realizado para identificar as principais 
vulnerabilidades de um sistema ou rede, como portas abertas que não precisariam 
estar. Scanning de segurança: envolve a identificação de vulnerabilidades de rede e 
sistema para apresentar as melhores soluções para redução de danos. Teste de 
Penetração (PenTest): nesse tipo de teste ocorre um ataque simulado, do mesmo 
nível que potencialmente ocorreria por um hacker, é normalmente utilizado para testar 
sistemas específicos e em menor escala. Análise de Riscos: esse teste de rotina ajuda 
na classificação das vulnerabilidades atuais da empresa, tornando mais fácil a 
definição de prioridades nas soluções ao decorrer de uma estratégia de segurança e 
a necessidade de campanhas de conscientização. 
Auditoria de Segurança: representa uma inspeção interna de aplicações e 
sistemas operacionais para garantir que não existam falhas eminentes em seus 
sistemas de segurança. Hacking ético: é parecido com um PenTest, tendo a função 
de criação de ataques reais, contra softwares da empresa, partindo de pessoas que 
não têm intenção de causar danos reais a empresa em questão, funcionando apenas 
para o encontro de vulnerabilidades. 
Análise de Postura: reconhece diversos fatores da segurança, como os 
resultados do hacking ético, o scanning de segurança e a análise de riscos para 
estudar o estado e maturidade do nível de proteção da empresa contra os principais 
tipos de ataque conhecidos no mercado, é uma maneira de reunir os dados relevantes 
para a criação ou adaptação de estratégias. Para muitos gestores a testagem de 
vulnerabilidades pode soar apenas como uma maneira de gastar dinheiro, mas isso 
está longe de ser realidade, sendo uma ação recomendada por diversos especialistas. 
Toda empresa precisa de uma política de dados, inclusive o início é o melhor 
momento para se criar aplicar uma. Os testes de segurança podem evitar que sua 
12 
 
empresa precise pagar para solucionar problemas reais, sendo essencial para o 
investimento em melhores estruturas e upgrades. Desligar o sistema jamais impede 
que um ataque aconteça, até porque eventualmente ele será ativado novamente. A 
melhor maneira de impedir ataques é implementando um sistema de segurança que 
funcione, não basta apenas implementar softwares de segurança mas também 
ensinar pessoas como utilizar as ferramentas da melhor maneira. O investimento em 
boas soluções de segurança é importante, mas o conhecimento de aplicação de 
práticas seguras, é essencial. 
 
7- CINCO PILARES DA SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS 
 
1. Confidencialidade: é o primeiro pilar da segurança da informação, pois garante que 
os dados estejam acessíveis a determinados usuários e protegidos contra pessoas 
não autorizadas, que se aplica especialmente a dados pessoais, sensíveis, 
financeiros, psicográficos e outras informações sigilosas. Para garantir a segurança, 
você deve incluir medidas de proteção como controle de acesso, criptografia, senhas 
fortes, entre outras estratégias. Inclusive, a confidencialidade dos dados pessoais de 
usuários é um dos requisitos centrais de conformidade com a GPDR (General Data 
Protection Regulation) e LGPD (Lei Geral de Proteção de Dados Pessoais). 
 
2. Integridade: a integridade na segurança da informação diz respeito à preservação, 
precisão, consistência e confiabilidade dos dados durante todo o seu ciclo de vida, é 
preciso implementar mecanismos de controle para evitar que as informações sejam 
alteradas ou deletadas por pessoas não autorizadas. Geralmente, a integridade dos 
dados é afetada por erros humanos, políticas de segurança inadequadas, processos 
falhos e ataques. 
 
3. Disponibilidade: É fundamental que seus dados estejam disponíveis sempre que 
necessário. É preciso garantir a estabilidade e acesso permanente às informações 
dos sistemas, por meio de processos de manutenção rápidos, eliminação de falhas 
de software, atualizações constantes e planos para administração de crises. Os 
sistemas são vulneráveis a desastres naturais, ataques de negação de serviço, 
blecautes, incêndios e diversas outras ameaças que prejudicam sua disponibilidade. 
 
13 
 
4. Autenticidade: autenticidade é o pilar que valida a autorização do usuário para 
acessar, transmitir e receber determinadas informações. Seus mecanismos básicos 
são logins e senhas, mas também podem ser utilizados recursos como a autenticação 
biométrica, por exemplo. 
 
5. Irretratabilidade: é também chamado de “não repúdio”, do inglês “non-repudiation”, 
esse pilar é inspirado no princípio jurídico da irretratabilidade. Garante que uma 
pessoa ou entidade não possa negar a autoria da informação fornecida, como no caso 
do uso de certificados digitais para transações online e assinatura de documentos 
eletrônicos. 
 
8- A IMPORTÂNCIA DA COMUNICAÇÃO INTERNA 
 
 
Uma boa cultura organizacional pode definir como a empresa funciona no dia-
a-dia, seus processos, comportamento esperado e as rotinas que, somadas ao 
trabalho dos gestores de cada setor podem resultar no sucesso esperado. 
Além das melhorias de rotina, também espera-se que uma boa cultura sirva para 
potenciar e desenvolver a empatia, comunicação, organização e flexibilidade, de 
todos os envolvidos. De todos os recursos de uma empresa, a comunicação interna é 
um dos principais responsáveis pelo sucesso ou fracasso de uma estratégia de grande 
impacto como a cultura organizacional. 
Reconhecer e avaliar o trabalho dos diferentes profissionais de todos os setores 
para garantir que determinadas medidas façam sentido para suas rotinas. O gestor de 
campanha de conscientização compreende o ponto de partida institucional da 
empresa, checando se todos os funcionários estão cientes da política de proteção de 
dados da empresa, ou até mesmo se a empresa já possui algum. 
Umacaracterística importante do gestor de conscientização é a criatividade e 
capacidade de tornar os planos contínuos e interessantes ao longo do tempo, 
reconhecendo que é um trabalho que na maioria dos casos não deveria ter um prazo 
para terminar. A inclusão de ações interativas, no modelo de “jogos” para determinado 
fim. Treinamentos constantes com vídeo conferências, reuniões periódicas e 
especificas à segurança da Informação nível usuário. Existem diversas ferramentas 
14 
 
que auxiliam nessa tarefa como por exemplo: Teams da Microsoft, ou meet da Google, 
entre outras. 
Fazer com que todos entendam as ameaças e riscos que seus setores e a 
empresa como um todo estão sujeitos no dia a dia. Tornar público a importância do 
comportamento e ações de cada um no processo para manter a empresa mais segura. 
Despertar nos funcionários de outros setores o interesse em aprender mais sobre 
segurança da informação e a avaliarem seu atual conhecimento sobre essas 
vulnerabilidades. Manter os colaboradores informados sobre as melhores práticas do 
momento e traduzi-las da melhor maneira para o setor da empresa. Auxiliar na 
atualização, ou até mesmo na criação da política de proteção de dados 
organizacional. Garantir que a conscientização seja constante, mantendo os picos de 
informação sempre equilibrados para que ninguém ache que foi apenas uma ação 
passageira. 
 
9- MÁQUINA VIRTUAL OU VM, COMO CRIAR E UTILIZAR? 
 
Máquina virtual (VM) é um ambiente de uso criado por software que simula um 
computador ou servidor físico dentro de outro computador, proporcionando ao usuário 
a mesma experiência que usar um equipamento real. 
 Para criar máquinas virtuais num servidor é necessário um software de 
virtualização (hypervisor). As empresas desenvolvedoras de softwares 
de virtualização mais conhecidas são a Vmware, do grupo Dell-EMC, Citrix, Oracle e 
Microsoft Hyper-V. A tecnologia de criar uma ou mais máquinas virtuais dentro do 
mesmo hardware é a melhor resposta para otimizar o uso de equipamentos que 
possuem alto poder de processamento, mas encontram-se parcialmente ociosos. 
Assim, um único servidor pode hospedar várias máquinas virtuais num único 
hardware, geralmente executando tarefas mais rápido que um computador comum. 
Processos que exigem alto poder de processamento em várias estações, mas 
não acontecem continuamente, podem ser agrupados e virtualizados num único 
servidor. Essa solução dispensa investimentos desnecessários em várias estações de 
trabalho de alto valor, uma vez que qualquer computador pode acessar um ambiente 
virtualizado. Uma VM não tem acesso ao sistema operacional do servidor hospedeiro. 
O usuário que acessa uma VM só tem acesso ao seu ambiente virtual. Como diversas 
15 
 
máquinas virtuais, com diferentes sistemas operacionais, podem ser executadas num 
único servidor físico, cada máquina virtual recebe seu “hardware virtual” que inclui 
CPU, memória, hard disks, sistemas de armazenamento e outros dispositivos. 
Esses softwares basicamente gerenciam o hardware físico, distribuindo recursos 
como processamento, disco e conexões de rede entre as diversas máquinas virtuais. 
Assim, várias máquinas virtuais podem utilizar a mesma CPU, memória, disco rígido, 
rede e outros recursos de hardware de uma única máquina física. Hyper-V é um 
recurso de máquina virtual embutido no windows. No entanto, esse recurso só está 
disponível para usuários das versões Pro e Enterprise. Após ativar o recurso e criar a 
máquina virtual, será necessário instalar um sistema operacional, Windows server 
2012 por exemplo na máquina virtual. 
 
10- PASSOS PARA CRIAÇÃO DA MAQUINA VIRTUAL NO WINDOWS 
 
A tecnologia Hyper V Manager vem embutida no Windows 10, mas não vem 
ativada por padrão e para ativá-la é preciso gerenciador HYPER-v. 
Passo 1- Clique na caixa de busca do Windows 10 e dentro dela digite “recursos do 
windows”. Quando aparecer o resultado, clique no item “Ativar ou desativar recursos 
do Windows.” 
 
 
Passo 2. Na janela que “Recursos do Windows”, procure pelo item “Hyper-V”. Em seguida, 
clique no quadro ao lado desse item, para ativá-lo. Para efetivar a mudança, clique no 
botão “OK”. Aguarde até que o Windows instale o Hyper-V.” 
16 
 
 
 
Passo 3: No final do processo, clique no botão “OK”. Se aparecer a opção de reiniciar, 
confirme e aguarde a reinicialização do sistema; 
 
 
 
Passo 4: Com a tecnologia Hyper-V já está instalada, clique na caixa de busca do 
Windows 10 e dentro dela digite “hyper”. Quando aparecer o resultado, clique no item 
“Gerenciador do Hyper-V” 
 
 
Antes de criar a máquina virtual, é preciso criar um comutador (switch) de rede 
virtual para que a máquina virtual que você criar, possa acessar a Internet. Para isso, 
faça o seguinte: 
Passo 1. Na tela do Gerenciador do Hyper-V, clique com o botão direito do mouse no 
nome do servidor. No menu que aparece, clique na opção “Gerenciador de Comutador 
Virtual.” 
17 
 
 
 
Passo 2. Na tela que será exibida, clique em “Externo” e depois no botão “Criar 
Comutador Virtual”. 
 
 
Passo 3. Em seguida, digite um nome e marque a opção “Rede externa”. Clique em 
“OK” para confirmar os dados. 
 
Passo 4. Será exibida uma pequena tela pedindo para confirmar as alterações. Clique no 
botão “Sim”. 
18 
 
 
 
11- CRIANDO A MÁQUINA VIRTUAL 
 
Feito esses passos, agora é criar uma máquina virtual no Gerenciador do 
Hyper-V: Passo 1. Na tela do Gerenciador do Hyper-V, clique com o botão direito do 
mouse no nome do servidor. No menu que aparece, clique na opção “Novo” e depois 
em “Máquina Virtual…”. 
 
Passo 2. Na primeira tela apenas, clique no botão “Avançar”. 
 
Passo 3. Em seguida, digite um nome para a máquina virtual. Pra continuar, clique no 
botão “Avançar”. 
19 
 
 
Passo 4. Na próxima etapa, selecione a geração da máquina virtual. As duas opções 
são autoexplicativas. Se o sistema operacional convidado que você deseja instalar é 
de 64 bits, marque a opção “Geração 2.”, caso contrário, selecione a opção “Geração 
1″. Depois, clique no botão “Avançar”. 
 
 
 
 
Passo 5. Defina a quantidade de memória e clique no botão “Avançar”. 
 
Passo 6. Em “Configurar Rede”, clique na seta ao lado de “Conexão:” e selecione o 
comutador de rede virtual que você criou anteriormente. Mesmo se você não tiver 
20 
 
selecionado qualquer conexão de rede, você sempre poderá configurar essa opção 
depois a criação da máquina virtual. 
 
 
Passo 7. Marque o item “Criar um disco virtual” e configures as opções do novo disco. 
Novamente, clique no botão “Avançar”. 
Passo 8. Em “Opções de Instalação”, escolha entre instalar mais tarde ou usar uma 
imagem ISO (informando o endereço dela) e começar a instalação depois de criar a 
máquina virtual. Em seguida, clique no botão “Avançar”. 
 
 
Passo 9. Finalmente, confira o resumo da nova máquina virtual e confirme a criação dela, 
clicando no botão “Concluir”. 
21 
 
 
 
 
12- CONFIGURAÇÃO DE SEGURANÇA NO WINDOWS 
 
Windows Server 2012 – Firewall com segurança avançada 
Para acessar o firewall do Windows com segurança avançada, basta 
procurar por Firewall. 
 
Firewall do Windows está separada em três perfis: 
 Perfil Domínio:Para ligações entre máquinas do domínio 
 Perfil Privado: Para ligações entre máquinas na rede interna, mas que não 
fazem parte do domínio 
 Perfil Público: Para ligações exteriores (ex. Internet) 
 
 
22 
 
Tal como acontece em outros mecanismos de firewall, os perfis têm uma 
configuração pré-definida. Para visualizar essa configuração, basta aceder as 
propriedades da Firewall como mostra a imagem seguinte. 
 
Por exemplo, no caso do Perfil de Domínio, o firewall está ligado para esse 
perfil e todas as comunicações à entrada da máquina são bloqueadas e permitidas 
todas as ligações à saída. De maneira que tais configurações podem ser alteradas de 
personalizadas com maior detalhe.No separador Definições do IPSec, podemos por exemplo “cortar” os pings para 
o servidor, ou então definir vários parâmetros associados ao protocolo IPSec, que é 
uma suite de protocolos que permitem a construção de túneis cifrados sobre redes de 
comunicação. 
23 
 
 
 
Criar regras de entrada e de saída, ou seja, como controlar (permitir ou negar) o 
tráfego à entrada ou à saída do servidor. Na figura abaixo, na parte direita podemos 
temos a indicação para as Regras de Entrada e Regras de Saída. 
 
 
O firewall do Windows traz já uma lista extensa de regras pré-definidas, podendo o 
administrador ativá-las ou desativá-las facilmente. 
 
Editando uma regra, é possível definir facilmente também qual a ação da 
mesma. Como podemos ver na figura abaixo, para cada regra é possível definir um 
conjunto de parâmetros, como por exemplo os programas/serviços a negar ou 
permitir, computador remotos permitidos, protocolos e portas, etc. 
24 
 
 
Esta forma apresentada é o básico de uma configuração de segurança para 
servidor Windows para começar um trabalho. Conforme as necessidades da Empresa, 
as regras vão sendo modificadas para uma maior segurança. 
 
13- COMO CRIAR E UTILIZAR GRUPO DE USUÁRIOS NO ACTIVE DIRECTORY 
 
O Active Directory (AD) é uma ferramenta da Microsoft utilizada para o 
gerenciamento de usuários de rede, denominada serviço de diretório. Um diretório 
nada mais é do que um banco de dados contendo informações dos usuários de uma 
organização, tais como nome, login, senha, cargo, perfil e etc. 
. Dentro da concepção de um Serviço de diretório, um grupo é um conjunto de 
usuários, contatos e computadores que podem ser gerenciados como uma única 
unidade. Os grupos são gerenciados como objetos de diretório e, normalmente são 
atribuídos a elementos que compartilham propriedades semelhantes em relação a 
atributos como permissões de acesso. Por exemplo: em uma determinada empresa, 
analistas financeiros de um departamento financeiro possuem as mesmas permissões 
a serviços/sistemas utilizados por este setor. Um grupo também pode ser formado por 
dois ou mais grupos. 
Os grupos em diretórios facilitam o trabalho do administrador de redes, através 
de facilidades como a simplificação de permissões em um recurso compartilhado a 
um grupo: em vez de atribuir a mesma permissão a diversos usuários, um a um, é 
atribuída a permissão ao grupo de usuários que compartilham esta propriedade. Ao 
atribuir os direitos de usuário a um grupo, novos os membros adicionados recebem 
as mesmas permissões de forma automática. Auxilia ao administrador a criar listas de 
distribuição por e-mail, já que podem ser utilizados os grupos como base para as 
25 
 
listas. Quando um usuário troca de setor, basta trocar ele de grupo. Os usuários 
podem ser membros de vários grupos. Contas de computadores podem ser membros 
de grupos. Grupos podem ser membros de outros grupos. Grupos de domínio local: 
os membros podem receber permissões somente em um único domínio. 
Grupos globais: são compostos por membros que podem receber permissões 
em qualquer domínio na floresta. Grupos universais: os membros desses grupos 
podem receber permissões em qualquer domínio na árvore de domínio ou floresta. 
Há dois tipos de grupos no AD: Grupos de distribuição: a principal função está 
em criar listas de distribuição por e-mail. Grupos de segurança: usados para atribuir 
permissões aos recursos compartilhados. VMs possibilitam executar diferentes 
sistemas operacionais no mesmo servidor. O hypervisor cria e mantém várias 
máquinas virtuais isoladas umas das outras, permitindo assim que cada VM execute 
seu próprio sistema operacional. Assim é plenamente possível manter sistemas 
operacionais Linux, MacOS e Windows num único host físico e funcionando ao mesmo 
tempo. 
É especialmente útil para ambientes de teste, pois as máquinas virtuais não 
têm acesso ao sistema operacional hospedeiro (SO + hypervisor). Isso significa que 
qualquer instabilidade no sistema sempre acontecerá no nível da máquina virtual, 
nunca no servidor host. A Virtualização reduz custos, pois diminui a quantidade de 
hosts (servidores) físicos. As máquinas virtuais fazem melhor aproveitamento do 
hardware, o que reduz a quantidade de equipamentos instalados nas infraestruturas 
de TI e datacenters Máquinas Virtuais também facilitam o gerenciamento, pois podem 
ser implementadas em sistemas de alta disponibilidade, onde estão menos sujeitas a 
problemas técnicos. 
Os ambientes virtuais simplificam muito operações de backup, recuperação de 
desastres, novas implantações e tarefas básicas como a administração do sistema. 
Para executar um software hypervisor que permite a criação de uma VM no servidor 
não é necessário nenhum tipo de hardware especializado. No entanto, dependendo 
da aplicação, da quantidade de máquinas virtuais e do software hypervisor escolhido, 
o ambiente virtualizado exigirá mais largura de banda, armazenamento e capacidade 
de processamento do que um servidor ou computador desktop tradicional. É possível 
distribuir recursos personalizados para cada VM, profissionais de TI familiarizados em 
administrar softwares de virtualização podem configurar o hypervisor para distribuir os 
recursos de hardware físico existentes entre as VMs, de acordo com o que cada 
26 
 
máquina virtual exigir. Mesmo em ambientes virtualizados é importante considerar 
possíveis riscos de interrupção dos serviços, incluindo a possibilidade de sobrecarga 
de recursos ou a ocorrência de interrupções em várias VMs devido a problemas físicos 
(hardware) do servidor. Em tempos de trabalho remoto, um sistema de virtualização 
permite que funcionários em home office possam acessar aplicativos corporativos por 
qualquer computador doméstico. Como o processamento fica por conta do hardware 
que compõe o ambiente de virtualização, soluções baseadas em VPN associada 
a storages e servidores responderão mais rápido do que soluções improvisadas ou 
incompletas. 
14- A IMPORTÂNCIA EM REFORÇAR AS SENHAS 
 
A autenticação em duas etapas(2FA), consiste em um acesso onde 
primeiramente informa-se a senha cadastrada e na sequência um método adicional 
de autenticação, e existem diversos tipos: 
Tokens de hardware – a forma mais antiga de autenticação de dois fatores, 
dispositivos físicos que agem como chaves eletrônicas que geram um código 
numérico válido no tempo para acessar contas de usuário. 
Tokens de software – um dos formulários 2FA mais populares. Ele usa uma senha 
única baseada em tempo, gerada por software (também chamada de TOTP ou “token 
suave”). Um usuário precisa ter um aplicativo 2FA gratuito em seu telefone ou 
desktop. No login, o usuário primeiro insere um nome de usuário e uma senha e, 
quando solicitado, insere o código exibido no aplicativo. 
Notificações push – sites e aplicativos agora podem enviar ao usuário uma notificação 
por push quando houver uma tentativa de autenticação. É uma autenticação sem 
senha, sem códigos para entrar, e nenhuma interação adicional é necessária. 
Biométrico 2FA – esta técnica inclui a verificação da identidade de uma pessoa através 
de impressões digitais, padrões de retina e reconhecimento facial, ruído ambiente, 
pulso, padrões de digitação e impressões vocais. 
Utilizar tokens de software pode ser a maneira mais rápida e fácil de habilitar 
2FA, após informar a senha cadastrada no serviço, pede-se um código único, 
temporário e renovado a cada 30 segundos por um software que somente o usuário 
tem acesso. Em conjunto com a ativação do serviço, é necessário o uso de um 
software ou app para smartphone, responsável pelo gerenciamento dessas contas e 
27 
 
gerar os códigos exigidos na autenticação, os mais conhecidos são o Google 
Authenticator e o Authy. 
 
CONCLUSÃO 
 
Todos os colaboradores desempenham papéis importantes na administração 
de uma empresa de sucesso e, por isso é importantementalizar que se sua equipe 
não está sendo conscientizada sobre suas ações, a organização estará vulnerável as 
consequências de suas falhas nesse sentido. E baseado nas disciplinas de segurança 
de informação, vejo que é uma tarefa tão essencial para as empresas a adoção de 
programas de treinamento e conscientização sobre segurança da informação que 
inclua as diretrizes essenciais e necessárias para impedir incidentes cibernéticos 
iminentes. Esse processo não deve ser em resposta a casos isolados, mas sim, fazer 
parte da cultura empresarial, no intuito de não só combater mas, prevenir 
disponibilizando novos materiais, implementando soluções na medida em que 
novidades apareçam e compartilhar os resultados como incentivo a todos. 
Autenticação em duas etapas para todos os processos críticos, desde e-mail, CRM, 
banco de dados a armazenamentos em nuvem, é primordial para segurança das 
informações e dos clientes da Empresa, assim como uma infraestrutura de 
equipamentos (hardwares) e softwares sempre atualizados. Plataformas da web como 
HP, microfocus smax, Fresshdeske, desk manager, e muitas outras contribuem para 
esse trabalho em home office. 
 
 
 
REFERÊNCIAS 
 
 
Mais da metade dos brasileiros usa dispositivos pessoais para trabalho remoto. 
Disponível em:<https://www.kaspersky.com.br/blog/brasileiros-dispositivos-pessoais-
trabalho-remoto/15697/>.acesso em: 28 de maio de 2021. 
Home office: como manter a segurança de seus dados trabalhando em casa. 
Disponível em: <https://blog.nec.com.br/home-office-como-manter-a-seguranca-de-
seus-dados-trabalhando-em-casa> . acesso em: 28 de maio de 2021. 
28 
 
Segurança digital no Home Office – veja como proteger os dados de sua empresa. 
Disponível em:< https://www.microcity.com.br/home-office/>. acesso em: 28 de maio 
de 2021. 
Melhores políticas de segurança de dados para home office. Disponível em:< 
https://blog.runrun.it/seguranca-da-informacao-home-office/>. acesso em: 28 de maio 
de 2021. 
Segurança da informação nas empresas: as diferenças entre educar, treinar 
e conscientizar.Disponível em:<https://www.proof.com.br/blog/seguranca-da-
informacao-nas-empresas/>. acesso em: 28 de maio de 2021. 
Reforçe a segurança de suas senhas. Disponívem em: 
https://hftecnologia.com.br/reforce-seguranca-das-suas-senhas/>. acesso em: 28 de 
maio de 2021. 
Windows Server 2012 – Firewall com segurança avançada. Disponível em: 
https://pplware.sapo.pt/tutoriais/windows-server-2012-firewall-com-seguranca-
avancada/. acesso em: 28 de maio de 2021. 
5 pilares da segurança da informação nas empresas. Disponível em: 
<https://www.gat.digital/blog/5-pilares-da-seguranca-da-informacao/>. acesso em: 28 
de maio de 2021. 
Como criar uma maquina virtual. Disponível em: https://www.techtudo.com.br/dicas-e-
tutoriais/noticia/2016/09/como-criar-uma-maquina-virtual-com-o-hyper-v-do-windows-
10.html. acesso em: 28 de maio de 2021. 
Máquina virtual ou VM, o que é e para que serve? Disponível em: 
https://www.controle.net/faq/maquina-virtual-vm-o-que-e-para-que-serve. acesso em: 
28 de maio de 2021.