Início > Uncategorized > Medidas preventivas de segurança – Instalação de hardware não autorizado

Medidas preventivas de segurança – Instalação de hardware não autorizado

.
Instalação de hardware não autorizado
Com a disseminação de dispositivos USB, instalar, configurar e alterar os dados em um computador (ou na rede) é muito fácil de ser realizado e muito difícil de ser monitorado. O arquivo XYZ foi copiado para a unidade G: do computador B154… E daí? A unidade G era um pen drive. Sabe lá de quem era aquele pendrive! Ah, mas estava na senha do CICLANO… Então culpemos o Ciclano. Foi ele! O computador registrou! E aqui estamos com a síndrome do bode espiatório. Se houver alguém para culpar, problema resolvido. E os arquivos que foram roubados??? Deixa pra lá, já culpamos alguém.
 
A restrição para ações do usuário pode ser feita de várias formas, para vários tipos definidos. Seguem algumas sugestões e soluções.
 
Impedir acesso ao computador/servidor
Como administrador, execute o GPEDIT.MSC e na diretiva de segurança local ‘Usuários podem efetuar logon interativamente’ defina somente aqueles que podem acessar o computador.
 
Impedir acesso a configurações no Windows NT
Acesse o Police Editor (no Server) e defina o que será mostrado para o usuário. No Workstation, acesse o gerenciador de usuários da estação e defina os ‘direitos dos usuários’. Ou ainda usar o TweakUI, para outras versões do Windows, que é freeware, disponível para download em http://baixaki.ig.com.br/site/detail4089.htm
 
Impedir o acesso a certas páginas de Internet
Podemos instalar o Microsoft ISA Server ou o Squid no micro responsável pelo roteamento da conexão de Internet. O bloqueio por palavras chaves no Squid é o mais eficiente. Mas podemos também definir os endereços no arquivo HOSTS (e obviamente proteger o arquivo contra alteração e deleção pelas propriedades NTFS da unidade), criando blacklists no Active Directory em uma política de grupo (como sites restritos do IE), usar programas de bloqueio específicos (como o Scua, TerminatorX, iBlocker, WebFi – mais informações sobre estes aplicativos no tópico http://mediugorie.spaces.msn.com/blog/cns!1E5807A6D5723B60!302.entry)
 
Impedir acesso ao MSN Messenger em micros Windows XP
 
Impedir acesso a itens do Painel de Controle pelo registro do Windows
 
Impedir acesso a itens do Painel de Controle por GPO no Active Directory
 
Impedir a instalação de programas por usuários do XP/2000
Acesse o Painel de Controle e coloque o usuário como ‘Usuário Restrito’ nas propriedades da sua conta
 
Impedir acesso a determinado programa EXE
Podemos fazer alterando as propriedades NTFS do arquivo ou da pasta onde está o aplicativo, impedindo a leitura e execução. Se possui servidor, pode configurar no Active Directory (ou no GPEDIT.MSC local) o nome do arquivo EXE que deve ser proibida a execução. Ideal para bloquear a execução do Internet Explorer e dos jogos do Windows para determinados grupos de usuários sem a necessidade de desinstalação do aplicativo, mantendo disponível para outros usuários que podem executá-los.
Pode fazer através de diretivas locais de restrição de software, como mostrado em http://www.babooforum.com.br/idealbb/view.asp?topicID=152143
 
Impedir usuários de deletar/copiar e instalar/desinstalar programas
Se fosse apenas para impedir a ação de instalar/desinstalar, devemos adicionar ele no grupo de usuários restritos. Mas se queremos impedir a deleção e cópia, insira ele no grupo Convidados (Guest). Podemos ainda usar programas de terceiros, como o ProtectME, por exemplo.
 
Impedir downloads pelo Internet Explorer
Através das configurações do IE é possível. Entre em Ferramentas, Opções de Internet, Segurança, Zonas de Segurança, clique no ícone Internet e a seguir em Definir nível personalizado. Então escolha Bloquear para o item downloads (tanto de fontes como de arquivos). Se quiser outras informações sobre como bloquear downloads pelo Squid, AD, etc, veja o tópico http://mediugorie.spaces.msn.com/blog/cns!1E5807A6D5723B60!852.entry
 
Impedir o acesso a certas pastas e arquivos do computador
Altere as propriedades de Segurança NTFS do arquivo/pasta. Clique com o botão direito, escolha a aba Segurança, e adicione somente os usuários que podem ter acesso. Se a guia não aparece, vá em Painel de Controle, Opções de Pastas, Modos de Exibição, e desmarque ‘Usar compartilhamento simples de arquivos’. Não aparecerá senha, mas apenas os usuários listados acessarão. E somente administradores poderão se apropriar da pasta.
Existem aplicativos que fazem isto, como o Folderguard (versão lite para apenas uma pasta em http://www.winability.com/ ). Existe também outra opcão tupiniquim, o programa MV Folder Protector 3.04 – português – http://www.velasco.com.br/mvfolder-installer.zip (solicite por e-mail para mediugorie@hotmail.com porque não está disponível no site do autor…)
 
Impedir logon simultâneo em mais de uma estação da rede
No Windows 2000, podemos usar o CCONNECT, que faz parte do Resource Kit, para efetuar o controle de acessos de um mesmo login em mais de um computador. Para mais detalhes, veja http://support.microsoft.com/?kbid=237282
É necessário ter um servidor SQL instalado para poder gerenciar o controle de logins.
Outra forma é usar o compartilhamento de rede para limitar o login simultâneo. A sua vantagem é dispensar o uso do banco de dados SQL, mas não é recomendado quando se trata de empresas que exigem maior nível de segurança de sua network. Veja http://support.microsoft.com/default.aspx?scid=kb;en-us;260364 para mais informações.
Paleativamente, podemos usar o Active Directory para implementar um controle de acesso mais específico, máquina por máquina. Acesse as propriedades do usuário, guia Conta (Account), Logon on to…, e adicione o computador que a pessoa pode logar. Isto restringe a mobilidade da pessoa na rede, mas garante que somente um micro poderá ser acessado com aquele nome de usuário.
No Windows 2003, já tem a ferramenta LimitLogin disponível nativamente.
 
Impedir que o administrador de um computador tenha as restrições GPEDIT.MSC sobre ele também
 
Impedir o acesso ao compartilhamento padrão do Windows
Certifique-se que está certo desta ação, pois existem serviços que o utilizam na rede, principalmente se for no Windows 2000 Server. Acesse o registro do Windows (Iniciar/Executar/REGEDIT) e acesse a chave "HKLMSYSTEMCurrentControlSetServicesLanManServerParameters" Crie uma nova chave chamada "AutoShareWks", tipo DWORD com o valor 0 (zero), para Windows das versões Professional, tanto 2000 como do XP. Já a chave "AutoShareServer", com valor DWORD zero, é para Windows 2000 Server. Quer saber mais??? <http://support.microsoft.com/default.aspx?scid=kb;pt-br;314984>
 
Impedir acesso a dispositivos USB via software
Abra as Diretivas de Grupo indo em Iniciar > Executar GPEDIT.MSC, e abra a pasta de diretivas:
-> Configurações do UsuárioModelos AdministrativosComponentes do WindowsWindows Explorer
Localize entre as opções mostradas a sua direita a diretiva: Ocultar estas unidades especificadas em Meu Computador, dê dois cliques sobre essa diretiva e marque-a como ativada, então marque as unidades relacionadas no filtro, clique em Aplicar e esta pronto.
 
Impedir acesso a dispositivos USB via hardware
Em cada terminal, entre como administrador; Acesse as propriedades do sistema (Win+Pause); Desative os dispositivos USB; Importante – não deixe usuários com perfil administrativo ou PowerUsers, porque eles poderiam ativar novamente a porta USB.
 
Bloquear a execução de determinados arquivos executáveis
 
Não permitir que um usuário acesse a máquina com sua senha
Acesse o computador como administrador. Entre no GPEDIT.MSC. Na chave Configuração do Computador, Configuração do Windows, Políticas locais de segurança, direitos do usuário, Logon local, informe o nome dos usuários que podem acessar o computador. Os que não estiverem na lista, estes não podem efetuar logon no computador.
 
Forçar o usuário a efetuar o login somente em determinados computadores da rede
Além da configuração descrita no item anterior, no Active Directory do servidor, acesse o usuário. Na sua guia de profile, no botão Logon on to… informe o nome dos computadores que ele pode efetuar login. Se o micro que ele tentar acessar não estiver nesta lista, ele não poderá efetuar login no domínio. Por este motivo é importante usar o item anterior, para evitar o login local, pois ele poderia fazer isto em outro micro sem ‘autorização’.
Categorias:Uncategorized
  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: