Arquivo

Archive for maio \25\UTC 2007

Medidas preventivas de segurança II

25 de maio de 2007 Deixe um comentário
Dando continuidade aos comentários sobre medidas de segurança que podem ser adotadas como forma de prevenir invasões e ataques de hackers, seguem novas postagens sobre o tema.
 
Firewall corporativo
Um firewall (barreira de fogo) tem a finalidade de proteger a rede de ataques externos. Entretanto, configurados basicamente ou erroneamente, eles são a mesma coisa que nada. Opte por usar programas firewall de inspeção stateful, ou seja, que só permite a entrada de dados que sejam resposta de uma solicitação proveniente da rede interna. Assim, as possibilidades de invasão diminuem drasticamente. Exemplos: SMB Cisco (http://teste.b2bis.com.br/global/br/smb/produtos_smb_pix501.shtml), Roteador 3Com (http://www.imagemrio.com.br/descricao.asp?CodProd=3CR85891), IPtables (http://www.linuxchix.org.br/palestras/iptablespalestra.pdf), Red Hat (http://www.br.redhat.com/training/course/RHS342), Astaro Security (http://terrabrasil.softonic.com/ie/30546/Astaro_Security_Linux).
Observação: O ISA Server não executa inspeção stateful em pacotes SSL
 
Firewall pessoal
O anterior deve ser implementado a nível de servidor e roteador. E no seu computador, o uso de um firewall pessoal aumenta a dificuldade de invasão (ps.: não existe proteção total, assim como existem pessoas motivadas o suficiente para conseguir invadir um sistema, custe o que custar). Exemplos: Kerio Personal Firewall (freeware – http://info.abril.com.br/download/2186.shtml), Xeon Personal Firewall (shareware – http://portugues.softpicks.net/software/Xeon-Personal-Firewall_pt-8979.htm), Comodo Personal Firewall (freeware – http://baixaki.ig.com.br/download/Comodo-Personal-Firewall.htm), entre outros.
 
Varredura de porta
São 65536 portas disponíveis no PC que se conecta a uma rede ou à Internet. Uma varredura de porta busca portas altas não protegidas pelo firewall, e na maioria dos casos, obtém sucesso. Para entender melhor, veja http://www.4linux.com.br/pdf/pentest20061221.pdf. Para fazer uma varredura de portas, SecurWall (http://baixaki.ig.com.br/download/SecurWall.htm) e SuperScan (http://www.boadica.com.br/prgconteudo.asp?codigo=598), ambos freewares. Para saber as portas que estão abertas em seu sistema, veja Windows Live Safety – http://baixaki.ig.com.br/download/Windows-Live-Safety-Center.htm e Angry IP Scanner – http://baixaki.ig.com.br/download/Angry-IP-Scanner.htm
 
Conheça o seu sistema
Inspecionar a lista de processos, examinar os programas instalados, verificar o sistema de arquivos, suspeitar de alterações no espaço livre de unidades, contas de usuários esquecidas, contas especiais instaladas por default, permissões de acesso às pastas, checar os logs de acessos no servidor Web, verificar log de sistema, verificar permissões em servidores que rodam FrontPage ou WebDav, permissões em servidores FTP e SMTP… Conhecer o sistema é administrar ele. Administrador de Redes não é ficar sentado navegando na Internet. É trabalhar ativamente para garantir a segurança digital da empresa. Conforme diria SunTzu, conhece a ti mesmo e ao inimigo, e vencerás todas as batalhas, em seu livro A Arte da Guerra.
 
Resposta alerta a incidentes
Saber quando o sistema está sendo invadido, ou sofrendo tentativa de invasão, no momento em que acontece, é importante. Monitorar o evento 681 dos logs de segurança do Visualizador de evento, e informar alguém via mensagem de e-mail. O evento 681 indica que houve uma tentativa de acesso ao sistema através de um login que não existe, ou através de login válido mas com senha errada ou através de uma conta desativada. Quando um IP está forçando acesso ao seu sistema, verifique o que ele anda fazendo… O site http://www.trustedsource.org/query.php?q=207.68.0.0/16 mostra a atividade de e-mails enviados a partir de uma range de IPs. Por aí dá para identificar se é um spammer xarope.
 
Detectar mudanças em aplicativos
O programa Tripwire (http://sourceforge.net/projects/tripwire/) monitora alterações em arquivos cadastrados. Um arquivo alterado pode ter um spyware embutido, ou alterações no código de máquina do executável existam para permitir acesso onde deveria estar bloqueado.
 
Permissões
Sabe onde estão armazenadas as informações confidenciais de sua empresa? Se você sabe, alguém poderá encontrar elas. E se as permissões foram definidas no modo default, então elas são públicas. Vejo muitos técnicos se gabarem de montar uma rede inteira em menos de dois dias. E as configurações de permissões? Deixou tudo no default. E as senhas de acesso? Deixou tudo no default. Um erro que provoca outro, que provoca outro, e assim a empresa inteira é invadida… Mas o importante é que a rede foi montada em apenas dois dias.
 
Aplicativos de terceiros
Muitas medidas de segurança podem ser implementadas diretamente no sistema operacional do servidor, sem a necessidade de instalação de aplicativos de terceiros. Você sabia? Pois é, vou fazer minha tese na faculdade sobre este tema, e provar por A+B que um administrador de redes competente consegue proteger toda a rede usando somente o pacote básico da instalação do Windows Server.
Mas como a maioria das pessoas não quer ter o trabalho de mudar chaves, configurações e permissões com tanto detalhamento, optam por aplicativos de terceiros, e confiam a sua empresa a uma outra que sequer ouviram falar. Os aplicativos de terceiros podem ter backdoor instalados internamente, podem possuir uma configuração default fraca, ou ainda registrarem informações que não deveriam ser registradas. Veja por exemplo o popular WS-FTP, que por default salva arquivos LOG indicando quais arquivos foram transferidos, quando foram, qual servidor recebeu os arquivos e em qual pasta foram gravados.
2006.03.26 14:05 B C:Documents and SettingsAdministratorinicial.htm –> 164.146.106.10 /httpdocs inicial.htm
Este é um exemplo da linha do WS-FTP.LOG…
 
Senhas
Os arquivos de senha, mesmo criptografados, podem ser copiados para fora de sua rede e submetidos a programas de descoberta de senha por meio de força bruta. O que estes programas fazem é testar cada palavra de dicionário, sequencialmente. Portanto, a primeira deve ser algo como AAAAAA (se foi atribuído 6 dígitos para teste), depois AAAAAB, e assim sucessivamente. O interessante nestes porgramas, além de ‘descobrir’ a senha é o modo de funcionamento. Então, quando é uma senha numérica, depois de 6 tentativas, ele descobre a 123456. Porque ao descobrir o primeiro valor, 1, o segundo que será testado é 11, e assim, 12, acertando, passa para 122, depois 123… Mais um, além dos N motivos, para não usar senhas óbvias.
Uma forma de se proteger é usar senhas com caracteres não imprimíveis, como ALT+219 por exemplo. Em cada fonte de letras é um caracter diferente, mas o que você vai decorar para sua senha é o código. Assim fica bem mais difícil descobrir através da força bruta, pois os programas não costumam usar caracteres extendidos em grego, latim, etc.
 
Proteger shares (compartilhamentos)
Os compartilhamentos não devem ser abertos para Todos (EveryOne). O administrador deve, quando possível, adicionar um por um os usuários que podem ter acesso a eles. Assim, diminui as possibilidades de acesso. A menos que sofram ataques de engenharia social e alguém entregue a senha (ou use uma senha óbvia demais).
 
Impedir adivinhação de DNS
O que seria a adivinhação? É quando o administrador usa nomes-padrão na definição dos micros e servidores da empresa. Por exemplo, qual o nome do servidor de backup de sua empresa? Backup? Legal… Qual o nome do micro da diretora? Diretora? Muito bem… E o servidor de e-mails? SMTP? Parabéns, você acaba de ser invadido.
Baseado no endereço web de seu domínio, montamos o caminho backup.seudominio.com.br e conseguimos acesso a ele. Ou então, diretora.seudominio.com.br
Mudar o domínio não dá, portanto, mude o nome da máquina. Uma codificação previsível, mas segura, é o número de série do PC. BR148912.1252B.PN4.seudominio.com.br alguém adivinharia? Talvez não…
 
Proteger servidores SQL
Em especial a porta 1433, que deve ser filtrada. A partir do backup do correio eletrônico e um servidor Web que usa Microsoft SQL Server, podemos acessar através de senhas esquecidas no Include da programação. Muitas invasões não acontecem por perícia dos invasores, mas por falta de profissionalismo dos administradores. As invasões se concentram em erros de programação que todos cometem, em nomes de servidores que todos usam, em comportamentos previsíveis daqueles que não deveriam ter um comportamento tão esperado assim.
 
Protegendo arquivos confidenciais
Mais importante do que atribuir senhas para os arquivos confidenciais é criptografar eles. Através de chaves PHP ou com as opções existentes nos próprios sistemas operacionais. E importante, faça backup (e proteja-o), pois a descriptografia é praticamente impossível.
 
Protegendo backups
Muitas pessoas realizam backup com perfil de administrador e depois largam ele com acesso full para Todos. Qual a utilidade de um backup assim? Ocupar mídias ociosas? Quem deve fazer o backup é alguém com o perfil de operador de backup, e além do mais, retirar as permissões de acesso. Assim, se alguém conseguir acessar o backup dos arquivos, não conseguirá (pelo menos vai demorar para) acessar os dados. Os administradores acham que o acesso ao backup não tem tanto risco assim, mas da mesma forma que existem aqueles que reviram latas de lixo de astros em Hollywood, existem os garimpeiros digitais, que fazem a mesma coisa com os arquivos de backup considerados ‘lixo digital’.
 
Protegendo-se contra ataques de injeção SQL
Não execute um servidor SQL sob o contexto de sistema, produza códigos que não gerem solicitações SQL dinâmicas e use os procedimentos armazenados para executar solicitações SQL. Tudo isto em uma conta que seja usada apenas para executar esses procedimentos e configure adequadamente as permissões para realizar somente as tarefas necessárias.
 
Serviços VPN
Como forma de autenticação, o VPN usa as senhas do Windows para realizar a autenticação. E isto, quando se tem senhas fracas, é um convite para a invasão dos servidores da empresa. Não se esqueça de remover as contas inativas do sistema e desativar as contas de funcionários que saíram da empresa, além de restringir o horário de acesso ao VPN e se possível, restringir o acesso ao número de IP do funcionário.
 
Arquivos de instalação esquecidos
Para ‘facilitar’ a instalação, muitos usam scripts para automatizar o processo. Muito bem. Mas apague-os após o uso. Com acesso ao script podemos conhecer a estrutura da rede, obter números seriais dos softwares, e talvez descobrir a senha/perfil que está sendo usado para proceder a instalação.
 
Renomear as contas de administrador
Quando possível, trocar o nome da conta de administrador para outro menos previsível é altamente recomendável. ADMIN, INFO, ADMINISTRADOR, ADMINISTRATOR, ROOT, estes são os primeiros que são tentados em uma invasão através de acesso remoto, explorando o IUSR_Servidor, ou a conta Convidado, ou a conta Anonymous… Enfim, dificultar a identificação das contas de sua rede, a começar pela conta do administrador.
 
Desativar o armazenamento de senhas do Windows
Por default, Internet Explorer e Outlook podem armazenar suas senhas no registro do Windows. Através de acesso remoto, uma pessoa poderia executar o REGEDIT por linha de comando e exportar uma cópia .REG do seu registro. Depois com os aplicativos apropriados, os hashes de senhas seriam quebrados, e como 99% das pessoas usam a mesma senha para tudo, de servidor de domínio até site pornô, o acesso a sua rede seria questão de minutos.
 
Defesa interna
Muito se fala e muito se faz com relação a ataques externos, e os ataques provenientes de dentro do perímetro? São computadores esquecidos com a senha aberta, pontos de rede esquecidos, portas USB ativadas, etc. Veja lá em Medidas preventivas de segurança I como evitar que estes problemas aconteçam. Este tópico aparece aqui apenas para lembrar de ler a parte I.
 
A seguir, comentários mais detalhados sobre cada item listados aqui neste post. Aguardem.
Categorias:Uncategorized

Bloquear navegação na Internet e liberar apenas um site

15 de maio de 2007 Deixe um comentário
Para o computador operar como um quiosque de navegação, onde todos os sites são bloqueados e somente um é liberado (ou alguns).
Lembrando que o critério de bloqueio/liberação é o seguinte: primeiro são bloqueados, e depois os liberados são acessados. É o critério usado pelo NTFS, ou seja primeiro Deny, depois Allow. Mas lembre-se que um determinado URL pode ter arquivos, imagens e outras informações dispersas em outros sites. O bloqueio de todos os sites e a liberação de apenas um, pode não ser suficiente para a navegação.
 
 
Enfim, vale a dica inicial, bloqueie tudo (endereços que comecem com A, B, C, … , 1, 2, 3, …, &, #, etc) e depois libere somente aqueles que são autorizados. Controle total? Mais ou menos. Foi assim que o governo Bill Clinton tentou bloquear parte da rede mundial para evitar a disseminação das chaves de criptografia (que poderiam cair nas mãos erradas, e o sistema de 128bits das empresas norte-americanas seriam invadidos).
Categorias:Uncategorized

Medidas preventivas de segurança – Privilégios excessivos

15 de maio de 2007 Deixe um comentário
.
Privilégios excessivos
Quando um diretor aparece com um novo programa para instalar no computador e pede para o CPD, o que você faz? Vai até lá, instala e volta para o CPD? Ou promove a conta dele para privilégios de administrador? É mais fácil a segunda opção… E então você passa a ter alguém na rede com os mesmos poderes que você… E se alguém acessar o terminal deste diretor, certamente ele não bloqueia o micro a cada levantada da cadeira, não é mesmo…
 
Abusar dos privilégios para contas de pessoas que não precisam destes privilégios, é entregar as chaves para o ladrão. Usuário é usuário, e ponto final. Para que promover ele para administrador local, ou então, para operador de backup, ou pior, para controlador de domínio? Em um destes acessos remotos ele poderia deletar toda a sua estrutura do Active Directory, e ainda dizer: "não está na lixeira?" Não se engane, certamente você (técnico e administrador da rede) é que será demitido, e não ele. Por dois motivos: ter promovido um usuário comum para privilégios administrativos e por não haver protegido a rede adequadamente. É como cercar a casa com cerca elétrica e deixar suas jóias sobre a mesa da sala. Proteção externa total, interna, nenhuma.
 
Categorias:Uncategorized

Medidas preventivas de segurança – Auditoria de sistemas

14 de maio de 2007 Deixe um comentário
.
Auditoria de sistemas
Faça uma conta de usuário comum, saia do CPD, sente-se em um terminal, e tente invadir seu servidor. Se conseguir, parabéns, você é um bom profissional (foi capaz de invadir um servidor). E também você é um incompetente, pois seu servidor tem vulnerabilidades que qualquer usuário comum pode explorar.
 
A auditoria de sistemas consiste em analisar todas as permissões existentes em compartilhamentos, pastas e arquivos, e confrontá-las com uma conta de usuário comum. Se este usuário consegue acessar alguma área do servidor que ele não deveria, então você precisa rever suas configurações. Uma dica é usar o software que comentei em http://mediugorie.spaces.live.com/blog/cns!1E5807A6D5723B60!366.entry , o AccessEnum. Este programinha era da Sysinternals, e foi adquirido pela Microsoft. Mas não se preocupe, é free. Download em http://www.microsoft.com/technet/sysinternals/utilities/AccessEnum.mspx
Com esta lista de permissões em mãos, sente-se em um computador da rede, acesse com a conta de teste restrita e faça diversas tentativas de acesso ao servidor, seja pelo Iniciar/Executar ou pelo Prompt de Comandos, ou pelo Telnet (é, vai que você esquecer de bloquear o acesso via Telnet no seu servidor), o acesso via FTP, acesso via Terminal Service, enfim, as várias formas de acesso ‘conhecidas’ por todos. E não se esqueça das portas que podem estar abertas. Achar que existe ‘segurança pela ignorância’, ou seja, ‘se ninguém sabe ninguém usa’, é a maior armadilha que qualquer administrador de redes poderia cair.
 
Categorias:Uncategorized

Medidas preventivas de segurança – Software de inventário e auditoria

14 de maio de 2007 Deixe um comentário
.
Software de inventário e auditoria
Se você não sabe o que tem, como pode controlar? É preciso inventariar tudo na sua estrutura, desde cabos de rede e conectores sobresalentes, até softwares, mesmo os abandoneware (que nem são mais fabricados ou atualizados). Estar em dia com a receita federal? Não, identificar qualquer vulnerabilidade na sua estrutura.
 
A Microsoft oferece o MBSA para auxiliar no procedimento de auditoria dos softwares instalados, apontando cópias irregulares na rede. Ele é um bom começo. Tem também o Belarc Advisor, que monta em um HTML a lista de todos os softwares e usuários do micro, com suas respectivas atualizações.
A auditoria de usuários deve ser levada em consideração, porque uma conta abandonada (de um funcionário que foi demitido) ainda aberta e operacional, pode ser a porta de entrada para um invasor.
Softwares que não são usados devem ser removidos. O gerenciamento de licenças dos novos aplicativos se encarrega da tarefa de atualizações do pack. E softwares ‘genéricos’, tanto os freewares e sobretudo os sharewares, devem ser removidos caso não estejam sendo usados. Um belo exemplo é o WS-FTP. Nada contra ele, pelo contrário, já usei muito ele. Só que ele cria arquivos WSFTP.LOG em cada pasta enviada para o servidor na Internet. Com base nestas informações, um invasor conhecerá o IP de sua rede e o IP de seu servidor, além é claro dos nomes dos arquivos que foram enviados. Parece bobagem? Que nada. Sabendo que foi enviado um arquivo CGI ou PHP ou ASP, podemos explorar eles através da injeção de comandos SQL, forçando a rotina a retornar informações de outras pastas, inclusive oferecendo o download do arquivo de senhas do servidor.
Categorias:Uncategorized

Medidas preventivas de segurança – Política de visitantes

11 de maio de 2007 Deixe um comentário
.
Política de visitantes
A segurança virtual não é nada sem segurança física, e vice-versa. A entrada de visitantes na empresa deve ser restrito ao extremo. Até o filhinho do diretor. Lembra que os maiores hackers do mundo são adolescentes e pré-adolescentes? Então, aquele pivete que gosta de Rebeldes pode sentar no micro do diretor da empresa (seu papaizinho) dizendo que vai "jogar joguinho", e enquanto isto, envia o que puder via e-mail/FTP, instala um sniffer (com autorização da senha do diretor, quem contestaria, não é mesmo), enfim, acaba com a empresa, e tudo para ele não passa de uma brincadeira…
 
O computador que está disponível para o alto escalão, na maioria das vezes tem privilégios administrativos, porque: o diretor não gosta de chamar o CPD a cada mensagem de erro no seu micro e o CPD não gosta de ficar entrando e saindo das salas da direção (vai que ele se estressa e demite o primeiro que ver). O comportamento humano, a previsibilidade das ações dos administradores da rede comprometem a segurança, tanto interna quanto externa.
E com a popularização dos notebooks, o uso SOHO se torna cada vez mais explícito. O notebook vai para casa, volta, conecta-se na rede da empresa, e vai para a casa do funcionário, etc… Em um destes passeios, o notebook pode ser roubado. E com algumas técnicas de manutenção, podemos acessar e quabrar os hashes de senhas (inclusive do Linux – quer saber mais? Veja http://janelasepinguins.blogspot.com/2007/04/hackeando-as-senhas-no-windows-guia.html ). Com as senhas de acesso a sua rede, fazemos uma conexão virtual por FTP ou TS, ou até mesmo HTTP, nos identificamos, e pronto, acesso full a sua rede da empresa. E sem contar os dados e arquivos que já estão no notebook.
Outro problema é que o notebook, passeando de um lado para outro, pode ser usado em casa para acessar sites pornográficos, pegar vírus, sniffers, spywares, e todo tipo de tranqueira digital (afinal de contas, o funcionário está em casa, em seu horário de lazer…). Quando o note volta para a empresa e se conecta, pronto, é apenas uma questão de dias para que toda sua rede esteja infestada de pragas virtuais. Os notes devem ter proteção ativa (configuração de políticas de segurança, firewall, antivírus, login de funcionário restrito – que não permita instalação) e não proteção passiva (firewall, anti vírus e login de funcionário com perfil de administrador).
O acesso a empresa deve ser restrito. A entrada de equipamentos eletrônicos de dados, como MP3, MP4, pen drive, CDs, notebooks, palm, celulares, câmeras fotográficas, tudo deve ser barrado na portaria. Isto diminui um pouco as chances de pirataria. Mas o pendrive é pequeno demais!!! Instale uma porta detectora de metais, e ela funcionará como uma ressonância magnética, destruindo qualquer aparelho eletrônico que a pessoa tente passar para dentro da empresa ou para fora dela, sem autorização. Tem empresa de celular que faz isto, e funciona.
E a criançada? Tão inocentes! Tão inofensivos! Ops… Inofensivos? Os maiores hackers da história começaram a agir quando tinham 10, 12 anos de idade. E os funcionários, para não terem que ser babás dos pivetes, ou por não suportarem crianças correndo e chorando pela empresa, logo arrumam um computador com joguinho para ela se divertir. Se você leu o link sobre quebrar senhas, vai poder perceber que mesmo sendo um usuário comum e restrito, é possível quebrar as senhas sim. E para a criança isto é apenas uma brincadeira, um desafio. Quais seriam as consequências? A falência da empresa? Cabeças que vão rolar??? Se achas que não gosto de crianças ou que estou exagerando, recomendo a leitura atenta do livro "A Arte de Invadir" de Kevin Mitnick, e depois conversamos….
Categorias:Uncategorized

Medidas preventivas de segurança – Instalação de hardware não autorizado

9 de maio de 2007 Deixe um comentário
.
Instalação de hardware não autorizado
Com a disseminação de dispositivos USB, instalar, configurar e alterar os dados em um computador (ou na rede) é muito fácil de ser realizado e muito difícil de ser monitorado. O arquivo XYZ foi copiado para a unidade G: do computador B154… E daí? A unidade G era um pen drive. Sabe lá de quem era aquele pendrive! Ah, mas estava na senha do CICLANO… Então culpemos o Ciclano. Foi ele! O computador registrou! E aqui estamos com a síndrome do bode espiatório. Se houver alguém para culpar, problema resolvido. E os arquivos que foram roubados??? Deixa pra lá, já culpamos alguém.
 
A restrição para ações do usuário pode ser feita de várias formas, para vários tipos definidos. Seguem algumas sugestões e soluções.
 
Impedir acesso ao computador/servidor
Como administrador, execute o GPEDIT.MSC e na diretiva de segurança local ‘Usuários podem efetuar logon interativamente’ defina somente aqueles que podem acessar o computador.
 
Impedir acesso a configurações no Windows NT
Acesse o Police Editor (no Server) e defina o que será mostrado para o usuário. No Workstation, acesse o gerenciador de usuários da estação e defina os ‘direitos dos usuários’. Ou ainda usar o TweakUI, para outras versões do Windows, que é freeware, disponível para download em http://baixaki.ig.com.br/site/detail4089.htm
 
Impedir o acesso a certas páginas de Internet
Podemos instalar o Microsoft ISA Server ou o Squid no micro responsável pelo roteamento da conexão de Internet. O bloqueio por palavras chaves no Squid é o mais eficiente. Mas podemos também definir os endereços no arquivo HOSTS (e obviamente proteger o arquivo contra alteração e deleção pelas propriedades NTFS da unidade), criando blacklists no Active Directory em uma política de grupo (como sites restritos do IE), usar programas de bloqueio específicos (como o Scua, TerminatorX, iBlocker, WebFi – mais informações sobre estes aplicativos no tópico http://mediugorie.spaces.msn.com/blog/cns!1E5807A6D5723B60!302.entry)
 
Impedir acesso ao MSN Messenger em micros Windows XP
 
Impedir acesso a itens do Painel de Controle pelo registro do Windows
 
Impedir acesso a itens do Painel de Controle por GPO no Active Directory
 
Impedir a instalação de programas por usuários do XP/2000
Acesse o Painel de Controle e coloque o usuário como ‘Usuário Restrito’ nas propriedades da sua conta
 
Impedir acesso a determinado programa EXE
Podemos fazer alterando as propriedades NTFS do arquivo ou da pasta onde está o aplicativo, impedindo a leitura e execução. Se possui servidor, pode configurar no Active Directory (ou no GPEDIT.MSC local) o nome do arquivo EXE que deve ser proibida a execução. Ideal para bloquear a execução do Internet Explorer e dos jogos do Windows para determinados grupos de usuários sem a necessidade de desinstalação do aplicativo, mantendo disponível para outros usuários que podem executá-los.
Pode fazer através de diretivas locais de restrição de software, como mostrado em http://www.babooforum.com.br/idealbb/view.asp?topicID=152143
 
Impedir usuários de deletar/copiar e instalar/desinstalar programas
Se fosse apenas para impedir a ação de instalar/desinstalar, devemos adicionar ele no grupo de usuários restritos. Mas se queremos impedir a deleção e cópia, insira ele no grupo Convidados (Guest). Podemos ainda usar programas de terceiros, como o ProtectME, por exemplo.
 
Impedir downloads pelo Internet Explorer
Através das configurações do IE é possível. Entre em Ferramentas, Opções de Internet, Segurança, Zonas de Segurança, clique no ícone Internet e a seguir em Definir nível personalizado. Então escolha Bloquear para o item downloads (tanto de fontes como de arquivos). Se quiser outras informações sobre como bloquear downloads pelo Squid, AD, etc, veja o tópico http://mediugorie.spaces.msn.com/blog/cns!1E5807A6D5723B60!852.entry
 
Impedir o acesso a certas pastas e arquivos do computador
Altere as propriedades de Segurança NTFS do arquivo/pasta. Clique com o botão direito, escolha a aba Segurança, e adicione somente os usuários que podem ter acesso. Se a guia não aparece, vá em Painel de Controle, Opções de Pastas, Modos de Exibição, e desmarque ‘Usar compartilhamento simples de arquivos’. Não aparecerá senha, mas apenas os usuários listados acessarão. E somente administradores poderão se apropriar da pasta.
Existem aplicativos que fazem isto, como o Folderguard (versão lite para apenas uma pasta em http://www.winability.com/ ). Existe também outra opcão tupiniquim, o programa MV Folder Protector 3.04 – português – http://www.velasco.com.br/mvfolder-installer.zip (solicite por e-mail para mediugorie@hotmail.com porque não está disponível no site do autor…)
 
Impedir logon simultâneo em mais de uma estação da rede
No Windows 2000, podemos usar o CCONNECT, que faz parte do Resource Kit, para efetuar o controle de acessos de um mesmo login em mais de um computador. Para mais detalhes, veja http://support.microsoft.com/?kbid=237282
É necessário ter um servidor SQL instalado para poder gerenciar o controle de logins.
Outra forma é usar o compartilhamento de rede para limitar o login simultâneo. A sua vantagem é dispensar o uso do banco de dados SQL, mas não é recomendado quando se trata de empresas que exigem maior nível de segurança de sua network. Veja http://support.microsoft.com/default.aspx?scid=kb;en-us;260364 para mais informações.
Paleativamente, podemos usar o Active Directory para implementar um controle de acesso mais específico, máquina por máquina. Acesse as propriedades do usuário, guia Conta (Account), Logon on to…, e adicione o computador que a pessoa pode logar. Isto restringe a mobilidade da pessoa na rede, mas garante que somente um micro poderá ser acessado com aquele nome de usuário.
No Windows 2003, já tem a ferramenta LimitLogin disponível nativamente.
 
Impedir que o administrador de um computador tenha as restrições GPEDIT.MSC sobre ele também
 
Impedir o acesso ao compartilhamento padrão do Windows
Certifique-se que está certo desta ação, pois existem serviços que o utilizam na rede, principalmente se for no Windows 2000 Server. Acesse o registro do Windows (Iniciar/Executar/REGEDIT) e acesse a chave "HKLMSYSTEMCurrentControlSetServicesLanManServerParameters" Crie uma nova chave chamada "AutoShareWks", tipo DWORD com o valor 0 (zero), para Windows das versões Professional, tanto 2000 como do XP. Já a chave "AutoShareServer", com valor DWORD zero, é para Windows 2000 Server. Quer saber mais??? <http://support.microsoft.com/default.aspx?scid=kb;pt-br;314984>
 
Impedir acesso a dispositivos USB via software
Abra as Diretivas de Grupo indo em Iniciar > Executar GPEDIT.MSC, e abra a pasta de diretivas:
-> Configurações do UsuárioModelos AdministrativosComponentes do WindowsWindows Explorer
Localize entre as opções mostradas a sua direita a diretiva: Ocultar estas unidades especificadas em Meu Computador, dê dois cliques sobre essa diretiva e marque-a como ativada, então marque as unidades relacionadas no filtro, clique em Aplicar e esta pronto.
 
Impedir acesso a dispositivos USB via hardware
Em cada terminal, entre como administrador; Acesse as propriedades do sistema (Win+Pause); Desative os dispositivos USB; Importante – não deixe usuários com perfil administrativo ou PowerUsers, porque eles poderiam ativar novamente a porta USB.
 
Bloquear a execução de determinados arquivos executáveis
 
Não permitir que um usuário acesse a máquina com sua senha
Acesse o computador como administrador. Entre no GPEDIT.MSC. Na chave Configuração do Computador, Configuração do Windows, Políticas locais de segurança, direitos do usuário, Logon local, informe o nome dos usuários que podem acessar o computador. Os que não estiverem na lista, estes não podem efetuar logon no computador.
 
Forçar o usuário a efetuar o login somente em determinados computadores da rede
Além da configuração descrita no item anterior, no Active Directory do servidor, acesse o usuário. Na sua guia de profile, no botão Logon on to… informe o nome dos computadores que ele pode efetuar login. Se o micro que ele tentar acessar não estiver nesta lista, ele não poderá efetuar login no domínio. Por este motivo é importante usar o item anterior, para evitar o login local, pois ele poderia fazer isto em outro micro sem ‘autorização’.
Categorias:Uncategorized