1. Curso Técnico de Manutenção e Suporte em Informática
Segurança da Informação
Prof. Leandro Almeida
Roteiro – Hardening pós-instalação em Windows
Obs: este hardening é uma adaptação do disponível em http://www.csirt.pop-
mg.rnp.br/docs/hardening/windows.html
1 Atualizações e Pacthes
Todo sistema operacional deve ser atualizado com frequência, assim como seus
componentes, programas e serviços instalados. O Windows possui um sistema automático
para verificar se os pacotes estão desatualizados e passíveis de falhas - o Windows Update.
Além disto, existem vários gerenciadores de versões de programas comerciais, Freewares e
Sharewares instalados na máquina, que auxiliam o usuário final a manter seu sistema sempre
atualizado.
Para manter um sistema Windows atualizado, siga os procedimentos abaixo:
• Windows Update: O Windows Update é um serviço de atualização dos sistemas
operacionais da Microsoft (a partir do Windows 98) responsável por atualizar o
sistema. A cada mês, a Microsoft lança um “pacote” de atualizações, que pode consistir
em correções de bugs, falhas de segurança e outras melhorias. Entretanto, se houver
uma falha de segurança muito crítica, a correção é expedida o mais brevemente
possível. Manter o sistema atualizado com os últimos patches é de extrema
importância, já que um usuário mal-intecionado pode usar falhas recentes para
comprometer um sistema. O Windows Update verifica a versão de seus produtos da
Microsoft. Se houver uma versão mais antiga que a atual, é “liberado” no site uma
atualização. Assim, o usuário pode atualizar somente os produtos de que necessita. No
Windows Update também é possível transferir produtos em fase beta, bastando para
isso que o usuário ative esta opção. Para o acesso ao Windows Update, é necessário o
sistema operacional Windows 98 ou mais atual, e o navegador Internet Explorer a
partir da versão 6. Além do Windows Update, há também o Microsoft Update, que
fornece atualização para outros aplicativos da microsoft, como o Microsoft Office. Para
2. configurar vá em Iniciar > Painel de Controle > Atualizações automáticas - Deixe
marcado a opção Automática(recomendado).
• UpdateStar: O UpdateStar é um gerenciador gratuito que pode ser usado para manter
seu sistema atualizado com as últimas versões de programas comerciais, Freewares e
Sharewares. Ele tem uma base com mais de 80.000 softwares cadastrados e foi eleito
o melhor programa do gênero em uma comparação realizada pelo site ghacks.net. Para
instalar, faça o download em http://www.updatestar.com
2 Firewall
Existe uma quantidade grande de soluções firewall disponível. Para usuários
domésticos que usam o sistema Windows, um dos mais conhecidos é o ZoneAlarm, que dispõe
de uma versão gratuita e outra paga, com mais recursos. Em ambos os casos, é possível
utilizar configurações pré-definidas, que oferecem bons níveis de segurança. O site para fazer
o download do software é o www.zonealarm.com.
Vale citar que o Windows XP já vem com um firewall, que apesar de não ser tão
eficiente, é um bom aliado na segurança. Para ativá-lo, vá em Iniciar > Configurações >
Conexões de Rede > Conexão Local > Avançado e habilite o Firewall de Conexão com a
Internet. Caso sua internet chegue por uma placa wireless você deve habilitar o firewall para
Conexão de Rede Sem Fio.
O uso de mais de um firewall ao mesmo tempo é desaconselhável. Em muitos casos,
isto irá gerar um conflito entre os programas, tornando a conexão com a internet instável,
além de prejudicar a performance do sistema. Para proteger a rede com várias camadas, o uso
de um Firewall baseado em Hardware pode ser interessante.
3 Netbios
Um item importante que deve ser observado é a presença do protocolo NetBios. O
NetBios é uma interface que fornece às aplicações de rede um serviço de transmissão
orientada à conexão, um serviço de nomes para identificar seus usuários na rede, e
opcionalmente um serviço de transmissão de datagramas não confiável. Em outras palavras,
com esse protocolo ativado, algumas portas de sua máquina ficam em estado de escuta
(abertas), e através dessas portas que são feitas invasões, além é claro, do alto tráfego de vírus
que passam pelas mesmas. O NetBios usa as seguintes portas UDP/137, UDP/138, UDP/139.
Para desabilitar a interface NetBios:
1.Na área de trabalho, clique com o botão direito do mouse em Meu Computador e
clique em Propriedades.
2.Clique na alça Hardware e clique no botão Gerenciador de Dispositivos.
3.Clique no menu Exibir e depois em Mostrar dispositivos ocultos.
4.Expanda (clique no símbolo +) Drivers que não são Plug and Play.
5.Clique com o botão direito em NetBT (NetBios) em TCP/IP e clique em Desinstalar.
O serviço de nomes NetBios permite a resolução de nomes sem usar um servidor WINS.
O Serviço Transmissão de Datagramas NetBios é usado por aplicações como o serviço
Mensageiro e serviço do Browser, além de outras aplicações que usam a interface de
Mailslots. O Serviço de Seção NetBios está presente na maior parte das redes, e é responsável
pelas transferências/impressões pela rede, e por aplicações remotas como o Gerenciador do
3. Servidor e o Gerenciador de Usuários. Desativar a interface pode prejudicar e até mesmo
parar totalmente estes serviços.
4 SMB
Um outro vilão, e que trabalha junto com o NetBios, é o SMB (Bloco de Mensagem de
Servidor), que opera na porta 445, porta essa que passa tráfego de muitos vírus. O fato de
desabilitarmos as portas que o NetBios trabalha, não resolve o problema, pois na ausência das
mesmas todo o tráfego da interface NetBios é direcionado para essa porta. Portanto, esses
serviços devem ser desabilitados. A interface NetBios deve ser desabilitada nas propriedades
de rede, e o SMB, removendo o Compartilhamento de Arquivos e Impressoras para Rede
Microsoft e Cliente para Redes Microsoft. Vale lembrar que o item Cliente para Redes
Microsoft deve ser desabilitado somente se você não possuir uma rede local. Já o item
Compartilhamento de Arquivos e Impressoras pode ser desabilitado mesmo você tendo uma
rede local, desde que não haja a necessidade de compartilhamento de impressora e arquivos
na rede.
Para desabilitar o SMB:
1. No menu Iniciar, aponte para Configurações e, em seguida, clique em Conexões de
Rede.
2. Clique com o botão direito do mouse na conexão com a Internet e clique em
Propriedades.
3. Selecione Cliente para Redes Microsoft e clique em Desinstalar.
4. Siga as etapas de instalação.
5. Selecione Compartilhamento de Arquivos e Impressoras para Redes Microsoft e clique
em Desinstalar.
6. Siga as etapas de instalação.
Esses passos desabilitam a escuta no host direto SMB nas portas TCP/445 e UDP 445.
Observação: esse procedimento desabilita o driver nbt.sys. A guia WINS da caixa de
diálogo Configurações TCP/IP Avançadas contém uma opção Desativar NetBios sobre TCP/IP.
Selecionar essa opção somente desabilita o Serviço de Sessão NetBIOS (que escuta na porta
TCP 139). Ela não desabilita o SMB completamente. Para isso, siga as etapas descritas acima.
Como um impacto inicial, nenhum sistema poderá se conectar com o servidor via SMB.
Os servidores não poderão acessar pastas compartilhadas na rede e muitas
ferramentas de gerenciamento não conseguirão se conectar aos servidores.
5 Contas de usuário
O uso de contas não administrativas garante uma proteção eficaz contra Malwares. A
maioria das atividades diárias (navegar na Internet, ler E-mail, mensageiros instantâneos etc)
não necessitam de privilégios administrativos: pode-se restringir a conta do administrador
para tarefas de manutenção, instalação e configuração do sistema. Esta medida restringe
drasticamente a exposição a Malwares.
O simples fato de limitar a conta do usuário inibe a ação de vários exploits (falhas),
que necessitam de privilégios elevados para explorar falhas remotas. De posse da conta de
administrador, um intruso pode:
4. •Instalar rootkits no kernel, além keyloggers
•Instalar e executar serviços
•Instalar controles do ActiveX, incluindo add-ins para o IE(infectados com spyware e
adware)
•Acessar dados de outros usuários
•Capturar/Registrar as ações de todos os usuários
•Substituir os Arquivos de Programas do sistema operacional com Trojans
•Acessar os LSA Secrets,além de informações sensíveis das contas de usuários
•Desabilitar/Desinstalar anti-vírus
•Cobrir os rastros apagando logs do sistema
•Desativar o boot do sistema
•Se a mesma conta for usada em outros computadores da sub-rede, o intruso pode
ganhar controle sobre várias máquinas
Uma conta de Convidado permite que usuários sem conta no sistema acessem o
computador. Na instalação padrão do Windows, ela já vem desabilitada. Além de desabilitar a
conta Guest, é possível renomear e/ou proteger a conta com uma senha. Entre no Painel de
Controle > Ferramentas Administrativas > Gerenciamento do Computador.
A conta de Administrador é capaz de modificar quaisquer permissão e configuração do
sistema. A contas padrão “Administrator” e/ou “Administrador” são altamente visadas nos
ataques de força bruta. Para evitar que intrusos ganhem privilégios administrativos usando a
conta de Administrador, é altamente recomendável renomeá-la:
1.Vá em Painel de Controle > Ferramentas Administrativas > Gerenciamento do
Computador
5. 2.Entre na aba Usuários e Grupos Locais, clique com o botão direito em “Administrador”
(ou “Administrator” para sistemas em inglês) e clique em renomear.
3.Em seguida, clique novamente com o botão direito no “Administrador” e vá até
Propriedades e edite a descrição para a conta de usuário, para não revelar sua
identidade.
Se a conta de Administrador não estiver protegida por senha, ajuste-a nesse momento.
Para verificar todos os usuários pertencentes ao grupo de administradores, pode-se usar o
utilitário net, no Prompt de Comando:
Para Sistemas em Inglês:
net localgroup administrators
Para Sistemas em Português:
net localgroup administradores