Protegendo Clientes Remotos e Computadores Portáteis
Nesta página
Introdução
Com a crescente popularidade de modems a cabo e DSL que estão sempre conectados à Internet, os sistemas de computadores domésticos e computadores portáteis que são conectados de locais remotos à Internet ou a outras redes por meio da Internet estão cada vez mais vulneráveis a ataques externos a partir da Internet. Com a crescente ameaça de códigos mal–intencionados (como worms e vírus) e de tentativas de acesso ilegal a seu computador, torna–se mais importante do que nunca garantir que seus computadores desktop e portáteis tenham a maior segurança possível.
Este documento oferece um guia com medidas de segurança, que pode ser usado para ajudar a proteger seus computadores domésticos e portáteis que fazem conexões remotas com uma rede corporativa. Ele também contém links para documentos relacionados, com instruções detalhadas para ajudar a proteger os computadores que estejam fora de uma rede corporativa. Embora muitas das recomendações contidas neste documento possam ajudar a proteger computadores clientes em uma rede corporativa, elas destinam–se a computadores que estão sendo conectados de fora de uma intranet corporativa protegida, especialmente computadores portáteis.
O elemento que torna os computadores portáteis vantajosos, a combinação de tamanho reduzido com mobilidade, também os torna fáceis de roubar. Um computador portátil é roubado não apenas pelo computador em si, mas pelas informações que contém. Mais importante, os computadores portáteis são freqüentemente removidos dos limites protetores de uma rede corporativa e conectados a outras redes, como provedores de HotSpot Wi–Fi (Wireless Fidelity) ou cybercafés. Quando os computadores portáteis são conectados a outras redes que usam tecnologias de segurança com problemas de segurança conhecidos, ou sem absolutamente nenhuma segurança, eles podem ficar sujeitos a ataques mal–intencionados ou a infecção por outros computadores que estão na rede desprotegida. Isso se aplica também a redes domésticas ou de pequenos escritórios. Configurar os computadores portáteis de uma maneira "segura" não é o bastante. Os usuários que conectam e desconectam os computadores portáteis da rede corporativa todo o tempo precisam ter o cuidado de não se conectar a redes que não ofereçam os níveis de segurança exigidos pelos padrões corporativos.
O objetivo deste documento é apresentar vários métodos que podem ajudar a proteger os computadores com o sistema operacional Microsoft® Windows® XP Professional instalado. Entretanto, a maioria das informações aplica–se a outros sistemas operacionais Windows.
Protegendo e criptografando dados
Os sistemas operacionais Microsoft Windows 2000 Professional, Microsoft Windows 2000 Server, Windows XP Professional e Microsoft Windows Server™ 2003 contêm duas tecnologias que proporcionam desempenho, segurança, confiabilidade e recursos avançados não encontrados em nenhuma versão do sistema de arquivos FAT: o sistema de arquivos NTFS e o EFS (Sistema de Arquivos Criptografados). O NTFS é um dos métodos de formatação do disco rígido. EFS é uma tecnologia de criptografia que funciona com arquivos que são armazenados em discos rígidos NTFS.
NTFS
O Windows 2000 Professional, o Windows 2000 Server, o Windows XP Professional e o Windows Server 2003 oferecem a capacidade de formatar discos rígidos, bem como pastas e seus conteúdos, usando o sistema de arquivos NTFS. O NTFS é um sistema de arquivos mais avançado que o FAT ou o FAT32. O NTFS garante consistência de volume usando logs de transações e técnicas de recuperação padrão. Se houver falha no sistema, o NTFS usa o arquivo de log e as informações de ponto de verificação para restaurar a consistência do sistema de arquivos. O NTFS também conta com recursos avançados, como permissões e compactação de arquivos e pastas. As versões do NTFS nesses sistemas operacionais também oferecem suporte ao EFS, que pode ser usado para criptografar arquivos individuais ou vários arquivos.
Observação: um invasor com acesso típico à unidade de disco rígido formatada com o NTFS pode contornar as permissões do NTFS, mas vencer a criptografia do EFS será muito mais difícil. O NTFS não oferece proteção contra ataques físicos, mas com o EFS é possível ter alguma proteção, desde que ele seja configurado de maneira adequada.
Para usar o NTFS para ajudar a proteger seus dados, é recomendável executar o Windows 2000 Professional, o Windows 2000 Server, o Windows XP Professional ou o Windows Server 2003 no computador. Os sistemas operacionais Microsoft Windows 95, Microsoft Windows 98 e Microsoft Windows Millennium Edition usam os sistemas de arquivos FAT ou FAT32. O FAT e o FAT32 não oferecem suporte a segurança no nível dos arquivos, por isso, alguém que tenha acesso ao computador poderá ter acesso a todo o sistema. Se o sistema operacional Windows 2000, Windows Server 2003 ou Windows XP não tiver sido formatado usando o NTFS, é recomendável converter o FAT em NTFS usando o procedimento descrito em "How to Convert FAT Disks to NTFS" no site da Microsoft em http://go.microsoft.com/fwlink/?LinkId=22806 (em inglês).
Observação: alguns programas mais antigos podem não ser executados em um volume NTFS, por isso é preciso pesquisar os requisitos atuais de seu software antes de ser feita a conversão.
EFS
Criptografia é um processo de codificação de dados para evitar acesso não autorizado. EFS é uma tecnologia Microsoft incluída nos sistemas operacionais Windows 2000 Server, Windows XP Professional e Windows Server 2003. O EFS usa tecnologia de criptografia de chave simétrica e infra–estrutura de chave pública. Com o EFS, é possível criptografar arquivos e pastas armazenados em volumes NTFS. No caso de roubo do computador, o EFS ajuda a evitar que alguém acesse seus arquivos instalando fisicamente o disco rígido em outro computador e assumindo a posse dos arquivos.
Observação: ative a criptografia nas pastas, e não apenas nos arquivos, para que todos os arquivos nas pastas de seu computador sejam criptografados.
Para obter informações detalhadas sobre a proteção de conexões em computadores que executam o Windows XP Professional, consulte "Protecting Data by Using EFS to Encrypt Hard Drives" no Security Guidance Kit.
Fazendo backup dos arquivos
Fazer backup dos arquivos ajuda a evitar que as informações sejam apagadas acidentalmente ou danificadas por picos de energia, falhas de hardware ou usuários mal–intencionados. Fazer o backup dos arquivos periodicamente é uma forma barata e proativa de proteger dados valiosos. Para obter informações sobre backup e recuperação de dados, consulte "HOW TO: Use Backup to Back Up Files and Folders on Your Computer in Windows XP" no site do TechNet em http://go.microsoft.com/fwlink/?LinkId=22755 (em inglês).
Criando senhas de alta segurança
Uma das maneiras mais fáceis de evitar acesso não autorizado às informações armazenadas em um computador é criar e usar senhas de alta segurança. As senhas de alta segurança são importantes porque as ferramentas de descoberta de senhas continuam a melhorar e os computadores usados para esse fim são mais potentes do que nunca. Usar senhas de alta segurança em computadores em uma rede doméstica ou de escritório, assim como em computadores individuais que não fazem parte de uma rede, pode ajudar a evitar o acesso não autorizado às informações.
Para obter detalhes sobre como estabelecer senhas de alta segurança, consulte "Enforcing Strong Password Usage Throughout Your Organization" no Security Guidance Kit.
Instalando software antivírus atualizado
Os vírus normalmente são transmitidos por email e sites da Internet. Worms e vírus podem fazer com que seu computador perca dados, tenha um desempenho insatisfatório ou errático ou pare completamente de funcionar. Eles também podem oferecer acesso não autorizado a seu computador ou permitir que ele seja usado em um ataque contra outros computadores. Se ainda não tiver um software antivírus instalado em seu computador, há muitas produtos de boa qualidade no mercado atualmente. Empresas parceiras da Microsoft também oferecem algumas soluções grátis no site Protect your PC em http://go.microsoft.com/fwlink/?LinkId=22645 (em inglês).
Você deve analisar a possibilidade de instalar software antivírus em cada um de seus computadores e agendar o programa antivírus para verificar todos os arquivos do computador pelo menos uma vez por semana. Como novos vírus aparecem periodicamente, atualizar as assinaturas de vírus de seu software antivírus regularmente ajuda a manter os computadores livres de infecção. Se for encontrada uma infecção, o software antivírus pode reparar ou colocar em quarentena arquivos específicos.
Observação: você pode usar o Agendador de Tarefas do Windows para agendar verificações de vírus de rotina. Consulte "To schedule a new task" na documentação do produto no site do TechNet em http://go.microsoft.com/fwlink/?LinkId=22646 (em inglês).
Atualizando os computadores
Fazer atualizações regulares do software de sistema operacional e de outros itens de software ajuda a reduzir o risco de acesso não autorizado à sua rede. Uma agenda de manutenção periódica é geralmente a maneira mais eficaz de aplicar atualizações.
Um método eficaz de garantir que o computador tenha as atualizações mais recentes é configurá–lo para atualizar automaticamente o software a partir da Internet ou de um servidor centralizado de atualizações, como o utilitário Atualizações Automáticas do Windows XP. Outros métodos incluem visitar com freqüência o site Microsoft Windows Update em http://go.microsoft.com/fwlink/?linkid=3326 e fazer a instalação das atualizações manualmente.
Para obter instruções passo a passo para ativar as Atualizações Automáticas, consulte "Deploying Patches with Windows Update and Automatic Updates" no Security Guidance Kit e o Protect your PC Web site em http://go.microsoft.com/fwlink/?LinkId=22645 (em inglês).
Usando um firewall de Internet
Os computadores em redes corporativas são protegidos por firewalls que ajudam a evitar que intrusos tenham acesso aos sistemas por meio da conexão de Internet da empresa. Depois que um computador portátil deixa a segurança da estrutura da rede e conecta–se à Internet, tanto os dados quanto a conexão com a Internet ou com a rede corporativa ficam vulneráveis a ataques. Os computadores que se conectam à Internet ou a uma rede corporativa também são vulneráveis.
Se usar um computador para se conectar à Internet ou a uma rede corporativa a partir de qualquer local remoto, você deve usar um firewall. Embora você provavelmente encontre informações em contrário, é recomendável que o ICF (Firewall de Conexão com a Internet) seja ativado em todas as conexões que aparecerem na pasta Conexões de Rede que ainda não tenham um firewall ativado. O Windows XP Professional inclui o software ICF, que você pode usar para restringir as informações que ele comunica entre a Internet e sua rede doméstica. O ICF deve ser usado como a primeira linha de defesa contra vírus e conteúdo potencialmente prejudicial. O ICF não protege contra todas as formas de ataque. Emails e sites mal–intencionados podem conseguir contornar os firewalls.
Observação: o ICF é configurado para cada conexão individualmente. Por exemplo, se você usar um modem dial–up para conectar o computador à Internet parte do tempo e usar um modem DSL para conectar o computador à Internet de outras vezes, você precisará configurar o ICF separadamente para cada conexão.
Para obter informações detalhadas sobre a proteção de conexões em computadores que executam o Windows XP Professional, consulte "Protecting Clients From Network Attacks" no Security Guidance Kit.
Oferecendo segurança para redes sem fio
Nos últimos anos, houve um aumento significativo na implantação de redes sem fio 802.11. Esse aumento pode ser atribuído, em grande parte, ao padrão Wireless Fidelity, que torna simples a implantação de redes sem fio tanto para corporações quanto para usuários domésticos. Os produtos sem fio 802.11 certificados como Wi–Fi são projetados para ser interoperáveis; qualquer adaptador certificado como Wi–Fi deve funcionar com qualquer ponto de acesso certificado como Wi–Fi.
Problemas de segurança podem surgir quando tecnologias de segurança sem fio com problemas conhecidos de segurança são implantadas ou quando os pontos de acesso Wi–Fi são implantados sem que nenhum tipo de segurança sem fio seja ativado. Certifique–se de que os usuários não se conectem a redes com níveis de segurança que não atendam aos padrões corporativos necessários. Muitas pessoas pensam que os sinais sem fio 802.11b podem trafegar apenas até onde podem ser detectados pelas antenas de seus computadores laptops. Elas presumem que a rede está a salvo porque acreditam que o sinal tem um alcance limitado de difusão. A realidade é que os sinais 802.11b podem ser detectados a distâncias significativamente maiores por qualquer pessoa que tenha um computador ativado para Wi–Fi com uma antena de longo alcance.
A interoperabilidade de vários dispositivos Wi–Fi tem simplificado enormemente a implantação de redes sem fio. Se você não habilitou nem configurou nenhuma forma de segurança sem fio, pode ser relativamente fácil para alguém com um computador sem fio ter acesso à sua rede sem fio 802.11b ou coletar informações enviadas entre seus computadores ativados para sem fio e o ponto de acesso.
Para ajudar a proporcionar segurança para uma rede doméstica ou de pequeno escritório que use componentes sem fio 802.11b, siga as etapas em "Configuring Windows XP IEEE 802.11b Wireless Networks for the Home and Small Business" no site do TechNet em http://go.microsoft.com/fwlink/?LinkId=22647 (em inglês).
Usando conexões VPN
Uma VPN (Rede Virtual Privada) é uma conexão virtual segura entre dois ou mais computadores que cruza outra rede. As VPNs combinam certificados digitais, criptografia, autenticação de usuário e autenticação de computador para garantir que a comunicação entre os sistemas permaneça secreta e que os dados não sejam modificados. Uma conexão VPN pode ser conectada a uma rede remota para fazer parecer que você está conectado diretamente àquela rede. Por exemplo, usuários remotos podem se conectar à rede corporativa para verificar email e fazer outros trabalhos. Se sua rede corporativa oferece a VPN a computadores remotos, as seguintes recomendações em "Securing Remote Access" no Security Guidance Kit irão ajudá–lo a proteger seu computador e sua rede.
Observação: se você usar ICS (Compartilhamento de Conexão com a Internet) para permitir que os computadores domésticos compartilhem uma conexão com a Internet, não inicie conexões dial–up nem VPN com a rede corporativa a partir do computador host ICS. Isso roteará todo o tráfego gerado pela rede ICS doméstica para a rede corporativa. Para a maioria das empresa, essa é uma violação da diretiva de segurança corporativa. Como alternativa, é aceitável iniciar as conexões VPN ou dial–up a partir de um computador que seja cliente de uma rede ICS porque a NAT (Conversão de Endereço de Rede) executada pelo ICS oferece segurança adicional. Consultar o pessoal autorizado de TI e o departamento jurídico sobre diretivas eficazes de acesso ao computador freqüentemente pode reduzir os riscos associados a VPNs.
Informações relacionadas
Para obter mais informações sobre firewalls, atualizações do computador e software antivírus, consulte o seguinte:
| • | Microsoft Security no site da Microsoft em http://go.microsoft.com/fwlink/?LinkId=02 (em inglês). |
| • | "5–Minute Security Advisor – The Road Warrior's Guide to Laptop Protection" no site do TechNet Web em http://go.microsoft.com/fwlink/?LinkId=22756 (em inglês). |