Guia para atenuação de ameaças no Windows NT 4.0 e Windows 98

Capítulo 5: Protegendo o Microsoft Windows 98

Publicado em: 13 de Setembro de 2004

A maioria das empresas que usa versões anteriores do sistema operacional Windows possui um número considerável de estações de trabalho e portáteis clientes com Microsoft® Windows® 98, Windows 98 Second Edition (SE) ou Windows Millennium Edition (Me). (Este capítulo se refere a todas essas versões como “Windows 98.”) Este capítulo enfatiza o que pode ser feito para melhorar (ou proteger) a segurança desses clientes para aumentar a segurança da rede como um todo.

Os clientes Windows 98 são implantados em diversas funções que inviabilizam a atualização do sistema operacional. Por exemplo, o Windows 98 atua como plataforma para diversos quiosques e terminais de ponto de venda, aplicativos personalizados e estações de trabalho de alunos. O ajuste adequado das configurações de segurança nesses computadores garante a contínua confiabilidade dos aplicativos de linhas de negócios, evitando a exposição da estação de trabalho ou de outros computadores da rede.

Este capítulo trata da execução das seguintes tarefas:

•	Instalação do Windows 98 e criação de uma linha de base de patch.
•	Instalação de um firewall de Internet.
•	Proteção da seqüência de inicialização.
•	Implantação de configurações de linha de base do Microsoft Internet Explorer.
•	Instalação das extensões de cliente de serviço do diretório Microsoft Active Directory®.
•	Configuração da assinatura SMB (Server Message Block).
•	Escolha do nível de autenticação NTLM (NT LAN Manager) do Windows.
•	Definição de diretivas do sistema eficazes.

Nesta página

	Design de segurança do Windows 98
	Implementação
	Testando a solução
	Resumo

Design de segurança do Windows 98

Grande parte do projeto de instalação segura do Windows 98 envolve a identificação de configurações que podem ser facilmente alteradas. Em um ambiente seguro, essas configurações seguem especificações corporativas e são bloqueadas para que permaneçam inalteradas.

Instalando o Windows 98 e criando uma linha de base de patch

A implantação de uma linha de base do Windows 98 com patches de segurança atuais oferece um ponto de partida conhecido para a implantação de uma diretiva de plataforma segura. Você pode encontrar uma lista completa dos patches do Windows 98 no site de download do Microsoft Windows 98 em http://www.microsoft.com/windows98
/downloads/corporate.asp (site em inglês). (O capítulo 6, "Gerenciamento de patches", neste guia, analisa detalhadamente os patches). A implantação inicial da estação de trabalho Windows 98 em uma rede deve incluir ações corretivas de vulnerabilidades conhecidas. Por exemplo:

•	Todas as estações de trabalho Windows 98 devem ser configuradas usando apenas as opções necessárias para o desempenho adequado da rede. Por exemplo, se o compartilhamento de arquivos locais e impressora não for necessário, as opções em Compartilhamento de Arquivos e Impressoras não devem ser especificadas na configuração da rede.
•	Verifique se você aplicou todas as atualizações críticas do site da Microsoft nas estações de trabalho e se instalou as atualizações recomendadas, caso sejam aplicáveis ao ambiente de computação local.
•	O Microsoft Internet Explorer 6 Service Pack 1 (SP1) contém os aprimoramentos no desempenho da navegação segura e as correções mais recentes. Você deve instalá-lo em qualquer computador conectado à Internet. Você pode instalá-lo diretamente do site do Microsoft Internet Explorer em http://www.microsoft.com/ie (site em inglês), solicitá-lo em CD-ROM ou instalá-lo em uma configuração personalizada usando o IEAK (Internet Explorer Administration Kit).
•	Um método muito eficaz para instalar uma configuração recente de linha de base segura é usar o CD do Windows Security Update da Microsoft, disponível no site Trustworthy Computing da Microsoft em http://www.microsoft.com/security/protect/ (site em inglês), ou através de ligação telefônica ao Serviço de Suporte ao Produto Microsoft.

A Trey escolheu criar seus computadores a partir de uma imagem comum aplicada a novas estações de trabalho com a ferramenta de imagem Ghost. A imagem comum foi criada instalando o Windows 98, o Internet Explorer 6.0 e todos os patches e pacotes de serviço lançados, além do conteúdo do CD do Windows Security Update.

Instalando um firewall de Internet

Um firewall é uma solução de segurança que separa uma parte da rede de outra parte, permitindo somente o fluxo de tráfego de rede autorizado segundo regras de filtragem de tráfego. Os firewalls podem ser baseados em hardware ou em software. O firewall de Internet é o que existe entre a rede do computador local e a Internet a fim de oferecer proteção contra ataques mal-intencionados, negando acesso ao tráfego de rede de entrada. Em um ambiente de rede, a própria rede deve possuir um firewall de hardware ou um produto de segurança similar, como o Microsoft Internet Security and Acceleration (ISA) Server, para oferecer proteção contra ameaças externas. Você pode proteger estações de trabalho individuais instalando produtos de firewall de software disponibilizados por vários fornecedores; consulte a seção “Mais informações” ao final deste capítulo.

Proteção da seqüência de inicialização

Uma falha de segurança em potencial no Windows 98 é a seqüência de inicialização, que pode ser interrompida para permitir o acesso ao sistema antes que as diretivas sejam aplicadas. Para garantir que o sistema não seja comprometido dessa forma, você deve proteger o processo de inicialização editando o arquivo de sistema Msdos.sys com o Bloco de Notas ou outro editor de texto (você encontrará instruções específicas mais adiante neste capítulo). Os administradores do sistema devem estar cientes de que essa configuração desativará o recurso de inicialização do computador no modo de segurança, o que é desejável a fim de evitar que usuários mal-intencionados contornem as medidas de segurança. No entanto, essa configuração dificultará a solução de problemas e deverá ser redefinida a fim de se utilizarem seqüências de inicialização alternadas para a manutenção do sistema.

Como o processo de inicialização pode ser interrompido através da inicialização a partir de armazenamento removível, a configuração do BIOS (basic input/output system) deverá ser definida para inicializar somente a partir do disco rígido principal. A maioria dos computadores permite a entrada nas configurações do BIOS com uma tecla de controle durante a inicialização do sistema. Após configurar o BIOS para inicialização segura, você pode protegê-lo ainda mais definindo uma senha administrativa. Essa abordagem não é totalmente segura; muitas configurações do BIOS do sistema podem ser redefinidas com uma seqüência de teclas de “emergência”, geralmente publicada nos sites, e quase todas podem ser redefinidas abrindo-se o gabinete e mudando-se a posição de um jumper do hardware. Em configurações onde a segurança física do computador é duvidosa, você deve bloquear fisicamente o chassi do sistema.

Os engenheiros da Trey alteraram o valor do tempo limite de inicialização em todos os computadores com Windows 98 no domínio. Todos os usuários de desktops e computadores móveis receberam trancas de cabo para proteger seus computadores. Além disso, as configurações do BIOS foram alteradas nos computadores capazes de oferecer suporte para restringir a inicialização alternada.

Implantando configurações de linha de base do Internet Explorer

O IEAK contém várias ferramentas para personalização, implantação e manutenção do Internet Explorer 6. Com o IEAK, os administradores de rede podem identificar configurações seguras a serem implantadas em clientes de rede. As implantações podem incluir aplicativos personalizados, listas de favoritos pré-criadas, configurações de privacidade e segurança, especificações do servidor proxy e quase qualquer outra personalização do Internet Explorer. A manutenção dessas configurações facilita a atualização de qualquer componente de segurança à medida que aparecem novas vulnerabilidades na Internet.

O Internet Explorer permite a configuração de zonas de segurança que permitem ou bloqueiam downloads ou conteúdo ativo. As quatro zonas que podem ser configuradas são:

•	Internet. Contém todos os sites não incluídos nas outras zonas.
•	Intranet local. Contém todos os sites das redes locais.
•	Sites confiáveis. Contém sites supostamente livres de conteúdo mal-intencionado.
•	Sites restritos. Contém sites cujo conteúdo é potencialmente mal-intencionado.

Você pode definir as configurações de segurança personalizadas em cada uma dessas zonas de segurança ou selecionar níveis de segurança predefinidos variando de “baixo” a “alto” na lista suspensa.

Para implantar o Internet Explorer 6.0, a Trey criou uma configuração personalizada com o IEAK (um processo descrito em detalhes na documentação do IEAK, disponível em http://www.microsoft.com/windows/ieak/ (site em inglês)) que inclui uma lista completa das configurações de zona de segurança para hosts confiáveis.

Alguns códigos mal-intencionados são provenientes de um conteúdo ativo que abre novas sessões do Internet Explorer ou janelas “pop-up”. Muitos pop-ups tentam enganar os usuários instalando cavalos de Tróia (programas que parecem úteis mas que possuem um código oculto para explorar ou danificar sistemas de computadores), vírus (programas criados para se duplicarem em vários computadores) ou spyware (programas que realizam certas atividades em um computador sem o devido consentimento do usuário). Uma forma simples de combater a onda de pop-ups é a instalação de um bloqueador de pop-ups. A Microsoft oferece gratuitamente um bom bloqueador como parte da barra de ferramentas do MSN, disponível em http://toolbar.msn.com. A Trey implantou a barra de ferramentas do MSN como parte da atualização da imagem do Windows 98.

Instalando extensões de cliente do Active Directory

Os clientes Windows 98 não possuem todos os recursos dos sistemas operacionais mais recentes, que foram criados para aproveitar os serviços do Active Directory. A Microsoft publicou um complemento de extensão de cliente Active Directory (DSClient) para Windows 98, a fim de permitir o acesso às redes do Active Directory. Os seguintes recursos do Active Directory tornam-se disponíveis para os clientes Windows 98 através do uso do DSClient:

•	Conhecimento dos sites do Active Directory. Esse conhecimento permite que o cliente faça o logon no controlador de domínio mais próximo ao cliente na rede, em vez do controlador de domínio primário (PDC) ou do detentor do papel de emulador do PDC. Ele também permite que o cliente redefina senhas contra qualquer controlador de domínio. Nos domínios da versão 4.0 do Windows NT o PDC controla todas as alterações de senha, mas no Active Directory qualquer controlador de domínio pode atender a essas solicitações. O DSClient estende essa funcionalidade aos clientes Windows 98. Esses aperfeiçoamentos ajudam a reduzir o tráfego e a carga da rede no PDC.
•	Autenticação NTLMv2 (versão 2 do NTLM). A autenticação NTLMv2 é muito mais segura do que a autenticação LM (LAN Manager) fornecida com o Windows 98. Embora não seja tão forte quanto a autenticação Kerberos, a NTLMv2 é muito mais segura do que a LM.
•	ADSI (Active Directory Services Interface). A ADSI oferece uma API (application programming interface) comum para aplicativos e fornece uma interface de scripts para o Active Directory.
•	Tolerância à falhas do DFS (Distributed File System). O DSClient permite o compartilhamento de failovers do DFS do Windows 2000 e do Microsoft Windows Server™ 2003, conforme especificado no Active Directory.
•	Propriedades do Catálogo de Endereços do Windows do Active Directory. O DSClient estende o ambiente Windows 98 para expor elementos de esquema estendidos do Active Directory através do comando Pesquisar no menu Iniciar. Ele também permite que usuários autorizados editem propriedades em objetos de usuário no Active Directory.

Os seguintes recursos do Active Directory não são disponibilizados através das extensões de cliente Active Directory:

•	Suporte para Kerberos. O suporte completo para Kerberos está disponível somente nos clientes Windows 2000 e posteriores.
•	Suporte para Diretiva de Grupo. A participação na Diretiva de Grupo e o gerenciamento de objetos no IntelliMirror não estão disponíveis para clientes com versões de sistemas operacionais anteriores.
•	Suporte a IPSec (Internet Protocol Security) e L2TP. Esses protocolos de rede protegida avançados não estão disponíveis.
•	SPN (Service Principle Name) ou autenticação mútua. Esses recursos não são ativados através do DSClient.

É importante obter a versão mais recente do DSClient no site Serviços de Suporte ao Produto Microsoft. O DSClient 2003 está disponível como hotfix; você pode obter mais informações no artigo 323455 do KB (Knowledge Base), "Directory Services Client Update for Windows 98" em http://support.microsoft.com/?id=323455 (site em inglês). Antes de instalar o DSClient, verifique se as estações de trabalho possuem o Internet Explorer 6 com SP1 ou posterior.

A equipe de TI da Trey implantou o DSClient manualmente em todos os computadores com Windows 98 no domínio. Eles fizeram isso para permitir a integração com a autenticação Kerberos e para permitir que os computadores com Windows 98 usassem um nível de autenticação NTLM mais elevado.

Configurando a assinatura SMB

A assinatura SMB é uma técnica de criptografia que permite que cada pacote enviado entre um cliente e um servidor seja assinado digitalmente para verificação de autenticidade. Essa técnica evita a imitação do cliente ou do servidor na rede por computadores que queiram intrometer-se na comunicação e verifica a origem de todas as comunicações da rede.

A assinatura SMB foi introduzida com o Windows NT 4.0 Service Pack 3 (SP3) e é descrita no artigo 161372 do KB, "How to Enable SMB Signing in Windows NT" em http://support.microsoft.com/?id=161372 (site em inglês). Para ativá-la no Windows 98, você deve fazer uma entrada de Registro DWORD na chave HKLM\SYSTEM\CurrentControlSet\Services\VxD\VNetsup para solicitar a assinatura ou para oferecer suporte à assinatura, caso o parceiro de comunicação a solicite. São dois os valores DWORD que, juntos, controlam o uso da assinatura SMB:

•	Se você configurar EnableSecuritySignature como 1 e RequireSecuritySignature como 0, a assinatura SMB será usada caso o cliente e o servidor ofereçam suporte à assinatura. Essa configuração permite que o uso oportunista da assinatura não impeça que o cliente se conecte a outros clientes ou servidores que não ofereçam suporte à assinatura.
•	Se você configurar RequireSecuritySignature como 1 e EnableSecuritySignature como 0, o cliente se comunicará somente com os servidores que ofereçam suporte à assinatura SMB.

Quando usada, a assinatura SMB deve ser configurada em todos os computadores da rede. Os computadores que não possuírem essas entradas de Registro não poderão se comunicar com outros hosts da rede. A sobrecarga da assinatura SMB resulta geralmente em um decréscimo de 10 a 15% no desempenho da rede.

A Trey decidiu desativar o uso da assinatura SMB para os clientes Windows 98 para permitir total compatibilidade com o ambiente existente. A assinatura SMB é ativada, mas não é necessária, para servidores e controladores de domínio e para clientes Windows NT e Windows 2000. Nos clientes Windows 98, as configurações de cliente usadas foram EnableSecuritySignature=0 e RequireSecuritySignature=0, o que impede que os clientes Windows 98 solicitem ou aceitem conexões assinadas. Embora essa abordagem não forneça segurança adicional contra falsificação e ataques por interceptação a esses clientes, a desativação da assinatura SMB preserva a compatibilidade, considerada mais importante para as operações comerciais da Trey do que a segurança adicional. Essa alteração também exigiu que a Trey alterasse a configuração dos controladores de domínio do Windows Server 2003, uma vez que o Windows Server 2003 ativa a assinatura SMB por padrão.

Escolhendo o nível de autenticação NTLM

O Windows 98 usa criptografia de autenticação LM mais antiga e menos segura por padrão. Foram publicadas vulnerabilidades e explorações contra eles e a Microsoft reforçou os protocolos de segurança de autenticação para atenuar essas vulnerabilidades. Após configurar o complemento do DSClient, você pode configurá-lo para usar o método de autenticação NTLMv2 mais seguro.

Com o DSClient instalado, o Windows 98 oferece suporte a dois níveis de autenticação NTLM e NTLMv2 controlados pelo valor de Registro LMCompatibility, descrito mais adiante neste capítulo. Esses valores são:

•	0 (Enviar respostas LM e NTLM). Oferece a maior interoperabilidade. Os clientes podem usar o LM ou uma das versões do NTLM para a autenticação.
•	3 (Enviar somente resposta NTLMv2). Use esse valor somente se todos os clientes com versões anteriores do sistema operacional tiverem o DSClient instalado.

A Trey implantou inicialmente a chave de Registro com um valor 0, espelhando o ambiente existente. Após a atualização dos servidores Windows NT 4.0 da Trey, conforme descrito no capítulo 4, "Protegendo o Microsoft Windows NT 4.0", a Trey redefiniu o valor LMCompatibility nos computadores com Windows 98 para 3.

A instalação padrão da criptografia NTLMv2 fornece tamanhos de chave de 56 bits em sistemas onde a versão de 56 bits do Internet Explorer está instalada. É possível que os sistemas onde o Internet Explorer foi instalado após 1999 possuam a versão de 128 bits; os clientes mais antigos podem ser atualizados com a criptografia de 128 bits, conforme descrito no capítulo anterior. Se a versão de 128 bits do Internet Explorer tiver sido instalada antes do DSClient, a autenticação NTLMv2 de 128 bits será ativada. Conforme descrito no capítulo 4, “Protegendo o Microsoft Windows NT 4.0”, a Trey instalou a atualização de 128 bits nos computadores com Windows 98 e implantou o suporte para autenticação NTLMv2 em todos os computadores. Após efetuar essas alterações, a Trey prosseguiu com a ativação do suporte NTLMv2 nos servidores e controladores de domínio.

Definindo diretivas do sistema eficazes

As diretivas do sistema permitem que você aplique diretivas de segurança de maneira centralizada para sobrescrever configurações padrão no Registro do computador local. Os administradores de rede podem identificar áreas de vulnerabilidade nos computadores com Windows 98 e aumentar o máximo possível a segurança de várias configurações.

Os clientes Windows 98 aplicam diretivas no arquivo Config.pol localizado no compartilhamento Netlogon do PDC (pois computadores com Windows 98 só podem enumerar participações em grupo de um usuário de domínio no PDC e não em qualquer controlador de domínio de backup (BDCs)). O fato de os controladores de domínio da Trey usarem o Windows Server 2003 não representa um problema para o ambiente; os sites que ainda usam os controladores de domínio do Windows NT® 4.0 podem seguir as recomendações do artigo 150687 do KB, “Group Policies Not Applied on Windows NT Domain” em http://support.microsoft.com/?id=150687 (site em inglês) para implantar diretivas específicas do usuário.

A maioria das diretivas do Windows 98 são voltadas para a restrição da alteração do ambiente de desktop pelo usuário. A Trey decidiu não usar essas diretivas, pois elas não contribuem muito para a eficácia da segurança. Em vez disso, a Trey decidiu aplicar configurações de diretiva que reduziriam os danos causados por invasores mal-intencionados, ou a possibilidade de um usuário inocente, porém mal treinado, prejudicar a funcionalidade necessária. A Trey decidiu aplicar diretivas para:

•	Exigir segurança no logon e apresentar uma manchete de logon descrevendo as diretivas organizacionais.
•	Definir uma diretiva de senhas que oculte as senhas do usuário durante a digitação e exija senhas alfanuméricas.
•	Desativar o compartilhamento de arquivos e impressão e o acesso remoto por discagem.
•	Evitar que usuários executem as ferramentas de edição de Registro.

Lembre-se de que um erro pode proteger demais o computador e bloquear a funcionalidade necessária para o uso ou a administração do computador. Por isso, a prática recomendada é usar um computador que não seja a estação de trabalho principal e que possa ser reconfigurado. Também é uma boa idéia criar diretivas específicas de grupo ou de usuário para os administradores que abrandem algumas restrições, de forma que eles possam acessar as ferramentas de edição de Registro e solução de problemas facilmente. A Trey desenvolveu uma programação de testes que implantou configurações de diretivas propostas em um ambiente de laboratório, com computadores criados para representar com exatidão os hosts de produção; essas programações de teste foram usadas para verificar se as diretivas funcionavam como previsto sem efeitos colaterais indesejados.

Início da página

Implementação

O Windows 98 não dispõe da maioria das ferramentas de configuração e gerenciamento introduzidas nas versões mais recentes do Windows. Devido a essa limitação, a equipe de pesquisa da Trey foi forçada a escolher entre criar uma configuração segura do Windows 98 e implementá-la através da criação de imagens para todas as estações de trabalho atuais, ou aplicar manualmente as configurações de segurança. Como eles já estavam planejando a implantação do Windows XP Service Pack 2 em todos os computadores, como parte do plano de modernização da área de TI da Trey, decidiram usar a configuração manual para evitar a recriação dos computadores afetados, embora isso significasse um aumento na complexidade a curto prazo.

Pré-requisitos para a implementação

Para que esses detalhes da implementação funcionem corretamente, você deve implementar uma infra-estrutura básica da Trey Research, conforme apresentado no capítulo 2, "Aplicando a Disciplina de Gerenciamento de Riscos de Segurança ao cenário da Trey Research".

Visão geral da implementação

A implementação dessa situação de solução envolverá a realização das seguintes atividades:

•	Instalação do Windows 98 e criação de uma linha de base de patch.
•	Instalação de um firewall de Internet.
•	Proteção da seqüência de inicialização.
•	Implantação do Internet Explorer.
•	Instalação das extensões de cliente do Active Directory para Windows 98.
•	Configuração da assinatura SMB.
•	Escolha do nível de autenticação NTLM.
•	Definição de diretivas de sistema eficazes.

Instalando o Windows 98 e criando uma linha de base de patch

A Trey criou uma configuração padrão para o Windows 98 reinstalando o Windows 98 com seus padrões em um computador de teste, instalando patches do Security Update Kit e, em seguida, adicionando o conjunto de patches mais atualizado do Windows Update. Após a conclusão da instalação, a Trey usou a ferramenta de catálogo do Windows Update para analisar o sistema de teste e imprimir um relatório com a lista dos patches aplicados. Essa lista de patches foi usada para atualizar outros sistemas Windows 98 para a mesma linha de base.

Instalando um firewall de Internet

Após analisar diversos produtos de firewall pessoal, o diretor de TI da Trey optou pelo que permitiu a configuração centralizada e o relato das tentativas de ataque e invasão. Esse produto de firewall foi implantado em todos os desktops e computadores móveis com Windows 98. A Microsoft não recomenda ou endossa produtos de firewall específicos, mas alguns produtos disponíveis estão listados na seção “Mais informações” ao final deste capítulo.

Proteção da seqüência de inicialização

Para proteger um computador com Windows 98 contra a interrupção da inicialização do sistema operacional, você deve modificar o arquivo de sistema Msdos.sys e configurar o BIOS do computador para remover o acesso à mídia removível como dispositivos de inicialização.

Protegendo o processo de inicialização

Para evitar que a seqüência de inicialização seja interrompida antes que as diretivas de segurança sejam aplicadas, você deve editar o arquivo de sistema Msdos.sys para desativar o recurso de alteração do comportamento da inicialização e das diretivas de fraude. O artigo 118579 do KB, "Contents of the Windows Msdos.sys File" em http://support.microsoft.com/?kbid=118579 (site em inglês) explica como localizar e editar esse arquivo.

Como o arquivo Msdos.sys está oculto e marcado como somente leitura, você deve modificá-lo para remover esses atributos até que o arquivo seja editado.

Para modificar o Msdos.sys com o Bloco de Notas

Clique em Iniciar, aponte para Pesquisar e, em seguida, clique em Arquivos ou Pastas.

Na caixa Nome, digite msdos.sys.

Na caixa Examinar, clique na unidade de inicialização (geralmente a unidade C).

Clique no botão Localizar Agora.

Clique com o botão direito do mouse no arquivo Msdos.sys e selecione Propriedades.

Desmarque as caixas de seleção Somente Leitura e Oculto para remover esses atributos do arquivo e, em seguida, clique em OK.

Clique com o botão direito do mouse no arquivo Msdos.sys e selecione Abrir com.

Na caixa Escolha o programa que deseja usar, clique no Bloco de Notas e, em seguida, clique em OK.

Adicione as duas linhas seguintes na seção [Opções]:

•	BootKeys=0
•	BootSafe=0

O valor booleano BootKeys especifica se as teclas de função do teclado podem ser usadas na inicialização do sistema. Como várias dessas teclas podem ser usadas para interromper o processo de inicialização, um sistema protegido desativa as teclas atribuindo o valor 0.

BootSafe é outro valor booleano que permite a inicialização no modo de segurança. Configurar BootSafe como 0 bloqueia a inicialização do computador no modo de segurança.

10.

Salve o arquivo e feche o Bloco de Notas.

11.

Clique com o botão direito do mouse no arquivo Msdos.sys e selecione Propriedades.

12.

Marque as caixas de seleção Somente Leitura e Oculto para definir os atributos do arquivo e, em seguida, clique em OK. Feche a caixa de diálogo Pesquisar.

13.

Reinicialize o computador para que as alterações sejam efetivadas.

Observação: Mais informações sobre o conteúdo do Msdos.sys estão disponíveis no artigo do KB mencionado anteriormente.

Removendo o acesso à mídia removível como dispositivos de inicialização

Se um computador puder ser inicializado a partir de mídia removível, as configurações de segurança do sistema poderão ser totalmente ignoradas e reconfiguradas. Consulte o guia do fabricante do sistema para obter instruções sobre como acessar o BIOS do sistema.

Para desativar a inicialização a partir de mídia removível

1.	Defina o disco rígido principal como primeiro dispositivo de inicialização.
2.	Desative a inicialização a partir dos dispositivos de disquete e CD-ROM.
3.	Considere a possibilidade de desativar as portas USB e FireWire caso não sejam necessárias no ambiente de negócios.
4.	Defina a senha do BIOS (se disponível) para evitar que essas medidas de segurança sejam redefinidas.

Implantando o Internet Explorer

Os administradores de grandes redes podem criar instalações personalizadas do Internet Explorer 6.0 SP1 com o Internet Explorer Administration Kit (disponível em http://www.microsoft.com/windows/ieak/ (site em inglês)) para garantir que as estações de trabalho executem a compilação mais recente do Internet Explorer. O IEAK permite que os administradores definam perfis administrativos para predeterminar as configurações de segurança do Internet Explorer, bloquear o Microsoft NetMeeting® e o Microsoft Outlook® Express e controlar os recursos que podem ser alterados pelos usuários.

Observação: A versão mais atualizada das extensões de cliente do Active Directory requer o Internet Explorer 6.0, conforme descrito no artigo 555038 do KB “How to enable Windows 98/ME/NT clients to logon to Windows 2003 based Domains” em http://support.microsoft.com/?kbid=555038 (site em inglês).

Instalando extensões de cliente do Active Directory para Windows 98

A Microsoft criou extensões para Windows 98 para permitir a participação nos domínios do Active Directory. Esse cliente deve estar instalado em todas as estações de trabalho com Windows 98 nesses ambientes. Embora as extensões de cliente do Active Directory para Windows 98 tenham sido distribuídas com o Windows 2000, uma nova atualização está disponível no site Serviços de Suporte ao Produto Microsoft como hotfix gratuito.

Configurando a assinatura SMB para comunicações em rede

A assinatura SMB garante que cada pacote transmitido através de uma rede seja assinado digitalmente, oferecendo um elevado nível de segurança que pode resultar na queda de 10 a 15% no desempenho da rede. Se a assinatura SMB estiver configurada, todos os sistemas da rede deverão ser configurados para usá-la. No entanto, para garantir máxima compatibilidade à custa de um pouco de segurança, a Trey decidiu obrigar os clientes Windows 98 a desativarem a assinatura SMB. Sua configuração pode ser implementada da seguinte maneira.

Para desativar a assinatura SMB no cliente Windows 98

Inicie o Editor do Registro digitando Regedit.exe no prompt de comando e pressione ENTER.

Localize a chave HKEY_LOCAL_MACHINE\System\CurrentControlSet
\Services\VxD\VNetsup

Adicione dois valores a essa chave:

•

Nome do Valor: EnableSecuritySignature

Tipo de Dados: REG_DWORD

Valor: 0 (desativa o uso da assinatura quando o servidor oferece suporte à assinatura)

•

Nome do Valor: RequireSecuritySignature

Tipo: REG_DWORD

Valor: 0 (permite a comunicação mesmo quando o servidor não oferece suporte à assinatura)

Saia do Editor do Registro.

Reinicie o computador.

Para alterar a configuração padrão do Windows Server 2003 que requer assinatura SMB

1.	Faça o logon no controlador de domínio do Windows Server 2003 usando uma conta com privilégios administrativos no domínio.
2.	Inicie o Console de Gerenciamento Microsoft (MMC.exe) e adicione o snap-in Editor de objeto de diretiva de grupo. Aponte para o snap-in Editor de objeto de diretiva de grupo no objeto Diretiva de Controladores de Domínio Padrão do domínio e, em seguida, clique em Concluir.
3.	Expanda o objeto Diretiva de Controladores de Domínio Padrão e, em seguida, expanda Configuração do Computador\Configuração do Windows\Configuração de Segurança\Diretivas Locais\Opções de Segurança.
4.	Clique duas vezes em Servidor da Rede Microsoft: assinar digitalmente a comunicação (sempre).
5.	Marque a caixa de seleção Definir a configuração da diretiva e, em seguida, verifique se o botão Desativada está selecionado. Clique em OK.
6.	Feche a janela Console de Gerenciamento Microsoft.

Escolhendo o nível de autenticação NTLM

Após a instalação das extensões de cliente do Active Directory, você deve ativar a autenticação NTLMv2. O artigo 239869 do KB, "How to enable NTLM 2 authentication", fornece as diretrizes para ativar essas configurações.

Para definir o nível de autenticação NTLMv2

1.	Inicie o Editor do Registro digitando Regedit.exe no prompt de comando e pressione ENTER.
2.	Localize e clique na seguinte chave do Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
3.	Crie uma nova sub-chave de Controle chamada LSA.
4.	Crie um valor DWORD chamado LMCompatibility e o configure como 3 (consulte “Escolhendo o nível de autenticação NTLM” anteriormente neste capítulo para obter uma discussão dos valores permitidos).
5.	Reinicie o computador.

Observação: Você não deve configurar o valor de LMCompatibility como 3 antes de atualizar os servidores Windows NT para permitir o uso do NTLMv2. Se houver computadores no ambiente que não estejam configurados para usar o NTLMv2, a comunicação falhará. Certifique-se de planejar essas configurações na sua empresa para garantir a comunicação contínua. Para obter mais informações sobre a restrição do nível de compatibilidade LM no Windows NT, consulte o capítulo 4, "Protegendo o Microsoft Windows NT 4.0".

Configurando as diretivas do sistema para segurança

O Editor de Diretivas do Sistema é uma ferramenta poderosa que pode ser usada para limitar o acesso a um computador com Windows 98 de forma precisa, evitando que os usuários alterem as configurações de segurança, embora lhes permita realizar seu trabalho. Você deve criar diretivas do sistema para ajudar a proteger as estações de trabalho contra violações e aplicar configurações de segurança personalizadas.

Instalando o Editor de Diretivas do Sistema

Você deve instalar o Editor de Diretivas do Sistema na mesma plataforma em que deseja criar as diretivas. Ou seja, se desejar criar diretivas para sistemas Windows 98, você deve editar e salvar o arquivo de diretiva em uma estação de trabalho Windows 98.

Para instalar o editor de diretivas do sistema a partir do CD-ROM do Windows 98

1.	Clique em Iniciar, aponte para Configurações e clique em Painel de Controle.
2.	Clique em Adicionar ou Remover Programas.
3.	Clique na guia Instalação do Windows e, em seguida, clique em Com Disco.
4.	Insira o disco do Windows 98 na unidade de CD-ROM.
5.	Na caixa de diálogo Instalar a partir do disco, procure a pasta \Tools\Reskit\Netadmin\Poledit no CD, selecione o arquivo Poledit.inf e, em seguida, clique em OK.
6.	Na caixa de diálogo Com Disco, marque o componente Editor de Diretivas do Sistema e, em seguida, clique em Instalar.

Essa instalação copia o arquivo Poledit.exe para a pasta Windows e Windows.adm, Common.adm e Poledit.inf para a pasta \Windows\Inf. Ela também faz as alterações necessárias no Registro e adiciona um item do menu iniciar à pasta Programas\Acessórios\Ferramentas do Sistema

Aviso: Antes de editar o Registro, você deve fazer primeiro cópias de backup dos arquivos do Registro (System.dat e User.dat), que estão ocultos na pasta Windows\System.

Configurações de diretiva recomendadas

Após a instalação do Editor de Diretivas do Sistema, você poderá usá-lo para criar uma diretiva para instalação local ou distribuição. Observe que, à medida que você altera as configurações da diretiva, as caixas de seleção de cada configuração de diretiva assumem três estados: marcada, desmarcada e desativada (esmaecida). Se a caixa de seleção estiver marcada, a diretiva será aplicada como especificado. Se a caixa de seleção estiver esmaecida, a configuração de diretiva será ignorada. Se a caixa de seleção estiver desmarcada, as configurações de Registro da diretiva poderão ser apagadas sem querer.

Para criar uma diretiva usando as configurações no nível do computador recomendadas

Clique duas vezes em C:\Windows\poledit.exe.

Clique em Arquivo e, em seguida, clique em Nova Diretiva.

Clique duas vezes no ícone Computador Padrão. A caixa de diálogo Propriedades do Computador Padrão será exibida.

Expanda o nó Windows 98 Network. As configurações a seguir são recomendadas para as propriedades da rede.

Em Logon, marque as seguintes caixas de seleção:

•	Manchete de logon. Adiciona uma faixa de inicialização que descreve a diretiva organizacional sobre o uso do computador.
•	Exigir validação pela rede para o acesso ao Windows. Exige a autenticação dos usuários na rede e não nos computadores locais.
•	Não exibir o último usuário no logon. Obriga os usuários a digitarem um nome de usuário válido em vez de exibir um valor prévio.
•	Não exibir progresso do logon. Oculta o progresso da sessão de logon.

Em Senha, marque as seguintes caixas de seleção:

•	Ocultar senha de compartilhamento com asteriscos. Mascara as senhas durante a digitação.
•	Desativar armazenamento de senhas em cache. Obriga o cliente a fazer a autenticação em um controlador de rede mais seguro, em vez de armazenar senhas localmente em um cache menos seguro.
•	Exigir senha alfanumérica do Windows. Impõe um nível mais elevado de complexidade para as senhas locais.
•	Comprimento mínimo da senha do Windows. Permite que você especifique o número de caracteres necessários para uma senha. A configuração 8 é um comprimento de senha relativamente seguro.

Em Cliente Microsoft para Redes Windows, marque as seguintes caixas de seleção:

•	Fazer logon no Windows NT. Permite que o administrador codifique o domínio em que a estação de trabalho está autorizada a fazer logon.
•	Desativar armazenamento de senha de domínio em cache. Minimiza a exposição de senhas armazenadas em cache localmente.
•	Grupo de trabalho. Permite que o administrador codifique o domínio em que a estação de trabalho fará o logon. Essa configuração é necessária para o logon no domínio.
•	Desmarque a caixa de seleção Grupo de trabalho alternativo para impedir que o usuário faça logon em grupos de trabalho específicos.

Em Compartilhamento de arquivos e impressoras para redes Microsoft, desmarque todas as caixas de seleção. Os recursos de compartilhamento de arquivos e impressões devem ser desativados em estações de trabalho locais. Caso os usuários necessitem compartilhar arquivos ou impressoras, use servidores dedicados e os proteja de maneira adequada.

Em Acesso à Rede dial-up, marque a caixa de seleção Desativar discagem para garantir que o computador não possa ser acessado remotamente.

Clique em OK.

Para criar uma diretiva usando configurações no nível do usuário recomendadas

Este procedimento exige que você conclua o procedimento anterior e que o editor de diretivas do sistema esteja aberto. O Windows 98 oferece suporte somente para o download de uma única diretiva do controlador de domínio, portanto as configurações no nível do usuário e no nível do computador devem ser combinadas.

1.	Clique duas vezes em Usuário Padrão.
2.	Na caixa de diálogo Propriedades do Usuário Padrão, clique duas vezes em Sistema Windows 98.
3.	Clique duas vezes em Painel de Controle.
4.	Expanda Rede e, em seguida, clique em Restringir opção 'Rede' do 'Painel de Controle'.
5.	Expanda Sistema e, em seguida, clique em Restringir opção 'Sistema' do 'Painel de Controle'.
6.	Expanda Restrições e, em seguida, clique em Desativar ferramentas de edição do Registro.
7.	Clique em OK.
8.	Salve a diretiva no local adequado.

Implantando diretivas

Após configurar as diretivas da organização, conclua as seguintes etapas para nomear o arquivo de diretiva Config.pol e salvá-lo no local da rede correto, de modo que as estações de trabalho clientes possam fazer download e aplicar as configurações automaticamente.

Para implantar diretivas

No menu Arquivo, selecione Salvar como.

Nomeie o arquivo Config.pol e armazene-o nos seguintes locais:

•	Para controladores de domínio do Windows NT 4.0, salve o arquivo como %systemroot%\WINNT\System32\Repl\Import\Scripts\Config.pol
•	Para controladores de domínio do Windows 2000 e do Windows Server 2003, salve o arquivo como %systemroot%\sysvol\sysvol\domainName\scripts\Config.pol

Para ativar o download automático da diretiva para o cliente Windows 98

1.	Faça o logon no computador com Windows 98.
2.	Abra o Painel de Controle.
3.	Clique duas vezes em Rede.
4.	Verifique se na lista suspensa Logon Primário da Rede está marcada a opção Clientes para Redes Microsoft.
5.	Clique na guia Identificação, verifique se o valor do campo Grupo de Trabalho corresponde ao nome do domínio e, em seguida, clique em OK.

Início da página

Testando a solução

Após concluir a implementação da situação, você está pronto para validar a implementação para garantir que ela atenda aos requisitos.

Validação

Você pode usar a informação da tabela seguinte para testar a situação da Trey e validar a implementação dessa diretriz.

Tabela 5.1: Testes de validação

Descrição	Etapas de teste	Resultado esperado
Valide a instalação de hotfixes	Execute o utilitário QFECheck.exe (localizado na pasta de instalação do Windows).	Você pode obter uma lista dos hotfixes atuais que correspondem à linha de base estabelecida.
Valide a instalação do Internet Explorer 6 SP1	Inicie o Internet Explorer e no menu Ajuda, clique em Sobre o Internet Explorer.	A informação sobre a versão deve exibir 6.0.2800.xxxx.
Valide aquele DSClient instalado com êxito	Clique em Iniciar e, em seguida, clique em Pesquisar e Pessoas.	A possibilidade de pesquisar o Active Directory indica a instalação bem-sucedida do DSClient.
Valide a autenticação NTLMv2	Defina o controlador de domínio que exige autenticação NTLMv2.	O cliente pode fazer o logon com êxito.
Valide a assinatura SMB	Defina os recursos de rede para exigir assinatura SMB para a comunicação.	O cliente pode acessar o recurso da rede com êxito.
Valide as diretivas do sistema	Tente acessar os recursos restritos pelas diretivas do sistema.	Você não pode acessar recursos proibidos.
Valide a segurança do BIOS do sistema	Tente acessar o BIOS do sistema com a seqüência de escape especificada pelo fabricante.	Será solicitada uma senha.
Tente contornar o dispositivo de inicialização	Insira um disquete e CD inicializáveis.	O cliente não inicializa a partir da mídia removível.
Tente contornar a seqüência de inicialização	Pressione F5 ou F8 durante a inicialização do sistema.	O cliente não fornece um menu que permite alternar a inicialização.
Tente ignorar o logon da rede	Tente pressionar ESC quando o logon for solicitado.	A área de trabalho do Windows 98 não é disponibilizada antes da apresentação bem-sucedida das credenciais do domínio.

Início da página

Resumo

Muitas organizações possuem investimentos significativos em sistemas Windows 98 e, por vários motivos, não podem atualizá-los para sistemas operacionais mais recentes com maior segurança interna. Com a atenção adequada, esses sistemas podem se tornar relativamente protegidos de vulnerabilidades que poderiam gerar impacto em uma empresa. As práticas recomendadas determinam uma postura proativa de gerenciamento de segurança e atenuação de ameaças, pois o mantêm atualizado, com patches de segurança para sistema operacional e aplicativos após uma instalação e configuração inicial bem elaborada. As extensões de cliente do Active Directory para Windows 98 permitem que essas estações de trabalho obtenham alguns dos benefícios de participar em um domínio Active Directory fornecendo autenticação segura com NTLMv2. Os ataques por interceptação de computadores que se apresentam com clientes válidos podem ser interrompidos usando a assinatura SMB. Além disso, você pode usar o Editor de Diretivas do Sistema do Windows 98 para implementar diretivas fortes que permitam aos funcionários executar suas funções de trabalho ao mesmo tempo que protegem seus computadores de uma configuração errônea acidental ou intencional.

Após a instalação de uma base robusta, você pode proteger seu investimento com práticas de gerenciamento de patches e tecnologia antivírus, descritas nos capítulos 6, "Gerenciamento de Patches" e 7 "Proteção antivírus" deste guia, respectivamente.

Mais informações

•	Para obter uma lista atual das correções de segurança para Windows 98, consulte o site de download do Microsoft Windows 98 em http://www.microsoft.com/windows98 /downloads/corporate.asp (site em inglês).
•	O CD do Windows Security Update está disponível no site Trustworthy Computing da Microsoft em http://www.microsoft.com/security/protect/ (site em inglês)
•	Para obter mais informações sobre o Internet Explorer, consulte o site do Microsoft Internet Explorer em http://www.microsoft.com/windows/ie/ (site em inglês)
•	Para obter mais informações sobre o IEAK, consulte o site do Internet Explorer Administration Kit em http://www.microsoft.com/windows/ieak/ (site em inglês)
•	Para obter mais informações e fazer download das extensões de cliente do Active Directory, consulte "Active Directory Client Extensions for Windows 95/98 and Windows NT 4.0" em http://www.microsoft.com/windows2000/server/evaluation/ news/bulletins/adextension.asp (site em inglês).
•	Para obter uma lista dos fornecedores de software de firewall de Internet, consulte "Use an Internet Firewall" em http://www.microsoft.com/security/protect /windows2000/firewall.asp (site em inglês).
•	Para obter mais informações sobre diretivas do sistema, consulte o "Chapter 8, System Policies" do Microsoft Windows 98 Resource Kit em http://www.microsoft.com/resources /documentation/windows/98/all/reskit/ en-us/part2/wrkc08.mspx (site em inglês).

Início da página

7 de 10

Neste artigo

•	Visão geral
•	Agradecimentos
•	Capítulo 1: Introdução
•	Capítulo 2: Aplicando a Disciplina de Gerenciamento de Riscos de Segurança ao cenário da Trey Research
•	Capítulo 3: Proteção e segurança de rede
•	Capítulo 4: Protegendo o Microsoft Windows NT 4.0
•	Capítulo 5: Protegendo o Microsoft Windows 98
•	Capítulo 6: Gerenciamento de patches
•	Capítulo 7: Proteção antivírus
•	Capítulo 8: Conclusão