Escolar Documentos
Profissional Documentos
Cultura Documentos
BRASÍLIA
2007
RUBENS JOSÉ DE SOUZA
BRASÍLIA
2007
SOUZA, Rubens José.
Implementação de servidor web seguro com
windows server 2003 para a Caixa Econômia
Federal / Rubens José de Souza ; Professor
orientador Cid Bendahan Coelho Cintra. – Guará :
[s. n.], 2007.
134f; il.
_____________________________________________________________
Prof. MSc. Cid Bendahan Coelho Cintra - Orientador
_____________________________________________________________
Prof. Charles Fernando Alves
_____________________________________________________________
Prof. Flávio Pelegrinelli
_____________________________________________________________
Prof. MSc. Paulo Hansen
Coordenador do Curso de Tecnologia Em Segurança Da Informação
FACCIG/UnICESP
RESULTADO
( X ) APROVADO
( ) REPROVADO
________________________________ ________________________________
Rubens José de Souza Prof. MSc. Cid Bendahan Coelho
Cintra
AGRADECIMENTOS
Obrigado a todos.
RESUMO
This work presents and it analyzes the safety of the information in servers that
possess information of the intranet of Caixa Econômica Federal. Firstly, the concepts
of several topics approached in the healthy work presented, as nets of computers,
protocols, internet, intranet, extranet, politics of safety of the information, access
control, and infrastructure of public key, operating system and services of information
for intranet. The emphasis of the work is the questionnaire application and analysis of
risks and flaws through comparison of the results obtained with the risk head office. I
concluded that effective situation of safety doesn't exist in the servers of information
and I propose recommendations with base in safety's NBR ISO/IEC 17799:2005
norms and in the orientations emitted by Microsoft Corporation.
Lista de tabelas
Lista de Figuras
AD Active Directory
ADSL Asymmetric Digital Subscriber Line
ANSI American National Standards Institute
ARPA Advanced Research Project Agency
ARPANET Advanced Research Projects Agency Network
ASCII American Standard Code for Information Interchange
ASP Active Server Pages
CEN Comité Européen de Normalisation
CENELEC Comité Européen de Normalisation Eléctrotechnique
COM Component Object Model
CPF Cadastro de Pessoas Físicas
CSP Cryptographic Service Provider
CTL Certificate Trust List
DC Domain Controler
DHCP Dynamic Host Configuration Protocol
DLL Dynamically Linked Library
DNS Domain Name System
DSA Digital Signature Algorithm
EAP Extensible Authentication Protocol
ECDH Elliptic Curve Diffie-Hellman
ECDSA Elliptic Curve Digital Signature Algorithm
ETSI European Telecommunications Standards Institute
EUA Estados Unidos da América
FAT File Allocation Table
FTP File Transfer Protocol
GUID Globally Unique Identifier
HD Hard Disk
HDS Hitachi Data Systems
HTML Hyper Text Markup Language
HTTP Hypertext Transfer Protocol
HTTPS Hypertext Transfer Protocol Secure
11
Sumário
1 INTRODUÇÃO .......................................................................................................20
2 PROCEDIMENTOS METODOLÓGICOS...............................................................21
4 REFERENCIAL TEÓRICO.....................................................................................27
5 CONCLUSÃO ......................................................................................................121
GLOSSÁRIO...........................................................................................................124
ANEXO A ................................................................................................................126
20
1 INTRODUÇÃO
Nesta ordem de idéias, e, como objetivo geral, propõe-se neste trabalho nova
política de segurança para os servidores que disponibilizam serviços voltados para
Intranet da CEF, a fim de que se imprima confidencialidade e integridade aos
respectivos conteúdos. Para esse efeito, cuidados de levar a cabo as seguintes e
específicas tarefas:
- Análise do problema apresentado;
- levantamento da estrutura da empresa;
- levantamento de risco e vulnerabilidades com aplicação de questionário;
- avaliação de risco utilizando matriz de risco;
- análise dos resultados da avaliação de risco; e
- apresentação das soluções propostas e recomendações para o problema
apresentado.
2 PROCEDIMENTOS METODOLÓGICOS
3 ESTRUTURA ORGANIZACIONAL
3.1 A Empresa
3.2 Missão
3.3 Organograma
como prestar todo o suporte aos usuários finais com relação às ocorrências ligadas
a hardware e software da baixa plataforma.
A seguir, podemos observar a estrutura organizacional da CEF. Nela,
encontra-se destacada, a repartição foco deste projeto (CAIXA, 2006).
26
4 REFERENCIAL TEÓRICO
4.1 Fundamentos de Redes
4.1.1 Introdução
Servidor de Servidor de
aplicações banco de dados
Cliente Cliente
FONTE: Battisti (2003, p. 33)
Cliente Cliente
FONTE: Battisti (2003, p. 34)
4.2 Protocolos
4.2.1 Fundamentos
IP: 10.192.168.1
Subnet: 255.255.255.0
ROTEADOR
IP: 10.10.168.1
Subnet: 255.255.255.0
IP: 10.10.168.2 IP: 10.10.168.3 IP: 10.10.168.4
Subnet: 255.255.255.0 Subnet: 255.255.255.0 Subnet: 255.255.255.0
Gateway: 10.10.168.1 Gateway: 10.10.168.1 Gateway: 10.10.168.1
REDE B
Outro parâmetro importante que deverá está presente nas redes empresarial
e que é comum seu uso na Internet é o DNS. O DNS é o serviço de rede
responsável pela resolução de nomes na rede.
4.3 Internet/Intranet/Extranet
4.3.1 Internet
extinguiu esse pensamento, pois esta possibilitava uma maior interação entre seus
usuários, tornando o computador uma eficiente fonte comunicação mundial.
A Internet surgiu por projetos desenvolvidos pelo Departamento de Defesa
dos Estados Unidos que visavam à comunicação entre os centros militares e a
criação de uma rede de computadores capaz de resistir a um ataque nuclear. Hoje,
é uma enorme rede mundial de computadores, em que pode se conectar através de:
- linha telefônica - com o uso de um MODEM você se comunica a um
provedor de acesso via conexão discada;
- fibra ótica – o uso destas conexões são as que mais crescem atualmente
devidos principalmente à velocidade de conexão e a vantagem de não utilização da
linha de telefone convencional. Seu serviço mais utilizado é o Asymmetric Digital
Subscriber Line (ADSL);
- cabo - o tipo de conexão a cabo no Brasil é fornecido pelos operadores de
TV por assinatura aproveitando a mesma rede física;
- rádio e satélite - as comunicações de rádio e satélite necessitam de uma
antena para envio e recebimento. A comunicação por satélite é a forma mais rápida
de conexão e também a mais cara;
- provedores de acesso - são empresas que conectam usuários à Internet
cobrando uma taxa mensal, hora/uso ou uma taxa fixa para acesso por tempo
indeterminado.
Há ainda dois tipos de conexão: as diretas, que são indicadas aos
fornecedores de serviços que vendem conexões de todos os tipos para pessoas e
organizações, e as conexões dial-up.
A Internet tem se tornado cada vez mais comum e necessária. É um mundo
virtual onde não há diferenças de cor, raça e idade. Ninguém a controla. Para sua
organização, existem associações e grupos que se dedicam para suportar, ratificar
padrões e resolver questões operacionais, visando promover os objetivos da
Internet.
A World Wide Web (WWW) possibilita a manipulação multimídia da
informação através de hipertextos (sistemas em que texto, imagens, som e vídeo
são acessados juntos de maneira arbitrária), que são exibidos em “páginas Web”
interligadas entre si através de links. Atualmente, seu uso é fácil, o contrário de
quando foi criada, que exibia apenas textos em uma interface não tão acessiva.
Qualquer pessoa pode ter sua página na Internet e falar do assunto que desejar e as
40
4.3.2 Intranet
4.3.3 Extranet
Extranet (ou extended Internet) é a ligação das redes Intranet entre duas
empresas parceiras de negócios.
Com o advento da Internet e o crescimento das redes internas nas empresas,
verificou-se que seria vantajoso interligar empresa e fornecedores que compartilham
objetivos comuns e assim facilitar a troca de informações entre estas empresas.
4.4.5 Ativos
47
4.4.6 Riscos
4.4.7 Ameaças
4.4.8 Ataques
49
De acordo com Dias (2000, p. 84), “A primeira coisa a fazer, quando se trata
de controles de acesso, é determinar o que se pretende proteger”.
4.5.1 Lógico
São todas as informações que foram transformadas para código binário e que
estão armazenados em algum meio físico e são passíveis de trafegar em uma rede
de computadores.
Segundo Dias (2000, p. 84), “O acesso lógico nada mais é do que um
processo em que um sujeito ativo deseja acessar um objeto passivo [...]”.
Dias (2000, p. 84), “[...] ressalta que, mesmo que os controles de acesso
sejam ultra-sofisticados, seu ponto fraco será sempre o usuário”.
Na elaboração da política de controle de acesso, os seguintes elementos
deverão ser levados em consideração: processo de logon, identificação de usuário,
autenticação de usuário, senhas, tokens e sistemas biométricos.
4.5.2 Físico
4.5.3 Ambiental
4.6.2.1 Criptografia
Chave simétrica, também conhecida por chave única, utiliza à mesma chave
tanto para a cifragem como para a decifragem, conforme podemos observar na
figura 10. Este método é bastante limitado, pois emissor e receptor devem conhecer
antecipadamente a chave, e é bastante difícil de se conseguir um meio seguro de se
passar a chave secreta.
Segundo Silva (2004, 44), “Mais conhecida como chave secreta. A chave é
compartilhada pelos dois pontos, ou seja, o destinatário sabe qual é a chave que
utilizará para voltar a informação a sua forma original [...]”.
54
4.6.2.1.3 Algoritmos
4.6.2.2 Autenticação
definido”.
De acordo com Dias (2000, p. 87), “[...] O sistema confirma se o usuário é ele
mesmo”.
Ao combinarmos métodos de autenticação, obtemos a chamada autenticação
forte. Se a informação estiver sob controle do autenticado e do autenticador, o
esquema é chamado de Two-Party Authentication. De acordo com Silva (2004, p.
67), “Outro fator importante a ser destacado é manter a integridade e
confidencialidade da informação de autenticação. É necessário que a informação
usada na autenticação seja segura e não possa ser obtida por pessoas não
autorizadas”.
A seguir, serão apresentados os tipos de autenticação mais relevantes para a
ICP.
4.6.2.2.1 Sign-on
Também conhecido como login, é o processo pelo qual o usuário fornece uma
identificação e uma informação de autenticação (normalmente nome de usuário e
senha).
Pode ser usado seguramente, mas a escolha de senhas difíceis que induzem
os usuários a deixarem escritas em algum lugar ou fáceis que podem ser facilmente
deduzidas pode dificultar o processo da segurança.
O servidor precisa de um lugar seguro para armazenar a senha e compará-la
com a fornecida pelo usuário. Pode-se utilizar a função hash, que embaralhará a
forma original. Porém, por ser uma função conhecida produz um resultado que pode
ser descoberto após a utilização de um ataque de força bruta por um invasor.
A esse processo chamamos Single Singn-One (SSO), que pode ser usado
por todos os dispositivos dentro da ICP, quando e onde for necessário.
4.6.2.3.1 Tokens
4.6.2.3.2 Smartcards
4.6.2.3.3 Biometria
4.6.3.1 Privacidade
Para garantir que usuários da Internet tentem capturar dados que não lhes
pertencem, deve-se “[...] usar técnicas modernas de criptografia e mecanismos
matemáticos, embaralhando a informação de tal forma que leve centenas ou
milhares de anos para que o dado criptografado volte à sua forma original” (SILVA,
2004, p. 26), sendo a maior força da criptografia, o seu tamanho, e não o algoritmo.
4.6.3.2 Integridade
4.6.3.3 Autenticidade
4.6.4.3 Não-repúdio
Segundo Silva (2004, p. 40), “Os certificados podem ser usados para garantir
a identidade de um usuário e também estabelecer privilégios que foram concedidos
a ele. Os privilégios podem incluir autorização para o acesso a informações sigilosas
ou para modificar arquivos em um servidor Web, além de outros”.
De acordo com Silva (2004, p. 90), “A maioria dos hackers é jovem. São
pessoas que trabalham em projetos de computadores e técnicos altamente
especializados”.
Segundo Silva (2004, p. 91), “São crackers que não fazem nada original,
apenas usam informações, ferramentas e programas desenvolvidos por terceiros
para realizar suas invasões. A maioria das tentativas de invasão é feita por Script
kiddies”.
Segundo Silva (2004, p. 91), “Grande parte das invasões bem-sucedidas vem
de dentro da própria empresa. A disponibilidade de informações sensíveis na rede
para diversos funcionários [...] pode comprometer bastante a política de segurança
implementada.”.
Silva (2004, p. 114), “Na prática, todas essas contas com senha fracas, senhas-
padrão ou sem senhas devem ser removidas do seu sistema”.
Ao se filtrar o tráfego que entra na rede (ingress filtering) e o que sai (egress
filtering), pode-se ajudar a elevar o nível de proteção. As regras básicas de
filtragem são:
- Nenhum pacote que entra na rede pode ter como endereço de origem
qualquer IP da sua rede interna, porque não é possível que um usuário da
rede interna esteja conectado simultaneamente à rede externa.
- Todo pacote que entra em sua rede deve ter como endereço de destino
algum endereço pertencente à sua rede interna.
- Qualquer pacote que sai da sua rede deve ter como endereço de origem
algum IP que pertença à sua rede interna.
- Nenhum pacote que sai da sua rede deve ter como endereço de destino
algum IP de sua rede interna.
- Bloqueie qualquer pacote que tenha a opção "source routing" ativada ou o
campo "IP Options" ativado.
- Endereços reservados de autoconfiguração DHCP e Multicast também
devem ser bloqueados, tais como: 0.0.0.0/8, 169.254.0.0/16, 192.0.2.0/24,
224.0.0.0/4, 240.0.0.0/4 (SILVA, 2004, p. 119).
64
RPC é um dos recursos mais utilizado em uma rede e sua função é permitir
que programas de um computador executem outro programa, em outro computador.
65
5.6.7.2.1 X.509
Segundo Silva (2004, p. 144), “O padrão X.509 surgiu em 1988, como uma
camada de autenticação recomendada para o padrão de diretório X.500, pelo
CCITT, posteriormente ITU-T. Podemos definir diretório como uma base de dados
on-line contendo várias informações”.
As principais variáveis do padrão X.509 são o certificado, o algoritmo da
assinatura do certificado e a assinatura digital.
O certificado é descrito por atributos tais como a versão, o algoritmo ID, o
número de série, assunto, validez, a chave pública, dentre outros.
O SSL/TLS, IPSec, S/MIME, Secure Sockets Layer (SSH), LDAPv3,
Extensible Authentication Protocol (EAP), HyperText Transfer Protocol Secure
(HTTPS), são protocolos que suportam os certificados X.509
De acordo com Silva (2004, p. 156), “Os PKCS visam a preencher o vazio que
existe nas normas internacionais relativas a formatos para transferência de dados
68
Tabela 1 – Recursos mínimos de hardwares para as diferentes edições do Windows Server 2003
Recurso Web Standard Enterprise Data Center
CPU Mínima 133 MHZ 133 MHZ 133 MHZ P/ X86 400 MHZ p/ X86
733 MHZ P/ Intel Itanium 733 MHZ p/ Intel Itanium
CPU Recomendada 550 MHZ 550 MHZ 733 MHZ 733 MHZ Recomendada
RAM Mínima 128 MB 128 MB 128 MB 512 MB
RAM Recomendada 256 MB 256 MB 256 MB 1024 MB
Espaço em 1,5 GB 1,5 GB 2,0 GB 2,0 GB
Disco p/ instalar
FONTE: Battisti (2003, p. 12)
4.8.2 Segurança
Você pode exigir que, antes que acessem qualquer informação no seu
servidor, os usuários forneçam um nome e uma senha de conta de usuário. Esse
processo é conhecido como Autenticação.
A seguir é apresentada uma lista das contas internas usadas pelo IIS, assim
como das contas específicas do IIS e seus direitos de usuário associados:
Sistema Local: Uma conta interna com um alto nível de direitos de acesso.
Se uma identidade de processo do operador for executada como a conta do
sistema local, esse processo terá acesso total a todo o sistema.
Serviço de Rede: Uma conta interna com menos direitos de acesso no
sistema do que a conta do sistema local, mas que ainda pode interagir em
toda a rede com as credenciais da conta do computador. Para o IIS 6.0, é
recomendável que a identidade de processo do operador definida para
pools de aplicativos seja executada como a conta Serviço de rede. Por
padrão, a identidade do processo do operador é executada como Serviço
de rede.
Direitos de usuário padrão:
Substituir um token no nível de processo (SeAssignPrimaryTokenPrivilege)
Ajustar quotas de memória para um processo (SeIncreaseQuotaPrivilege)
Gerar auditoria de segurança (SeAuditPrivilege)
Ignorar a verificação completa (SeChangeNotifyPrivilege)
Acesso a este computador pela rede (SeNetworkLogonRight)
Fazer logon como um trabalho em lotes (SeBatchLogonRight)
Fazer logon como um serviço (SeInteractiveLogonRight)
Permitir logon local (SeInteractiveLogonRight)
Serviço Local: Uma conta interna com menos direitos de acesso no
computador do que a conta do serviço de rede e cujos direitos de usuário se
limitam ao computador local. A conta do serviço local será usada se o
processo do operador não exigir acesso externo ao servidor no qual está
sendo executada.
Direitos de usuário padrão:
Substituir um token no nível de processo (SeAssignPrimaryTokenPrivilege)
Ajustar quotas de memória para um processo (SeIncreaseQuotaPrivilege)
Gerar auditoria de segurança (SeAuditPrivilege)
Ignorar a verificação completa (SeChangeNotifyPrivilege)
Acesso a este computador pela rede (SeNetworkLogonRight)
Fazer logon como um trabalho em lotes (SeBatchLogonRight)
IIS_WPG: Uma conta de grupo do IIS que recebeu as permissões e os
direitos de usuários mínimos necessários para inicializar e executar um
processo do operador em um servidor Web.
Direitos de usuário padrão:
Ignorar a verificação completa (SeChangeNotifyPrivilege)
Fazer logon como um trabalho em lotes (SeBatchLogonRight)
Acesso a este computador pela rede (SeNetworkLogonRight)
IUSR_nome_do_computador: Uma conta do IIS para acesso anônimo ao
IIS. Por padrão, quando um usuário acessa um site definido como
Autenticação anônima, ele é mapeado para a conta
IUSR_nome_do_computador. O usuário tem os mesmos direitos no
computador que essa conta.
77
O IIS 6.0 utiliza uma nova conta interna do serviço de rede, oferecendo maior
segurança que suas versões anteriores. Nelas, a mesma conta tinha acesso a quase
todos os recursos operacionais. No IIS 6.0, pode ser usada uma das três contas
predefinidas ou criar uma conta própria.
O grupo IIS_WPG é um grupo de usuários fornecido pelo IIS 6.0, cujos
membros possuem um conjunto mínimo de permissões e direitos para executar um
aplicativo. Essa participação oferece uma maneira conveniente de usar uma conta
de usuário específica sem ter que atribuir manualmente a ela permissões e direitos
de usuário. O processo do operador será iniciado somente se a mesma estiver no
grupo IIS_WPG e tiver as permissões adequadas.
4.8.2.5 Criptografia
81
Todo provedor de criptografia pode criar uma chave pública e uma chave
particular para criptografar os dados que o servidor Web envia e recebe.
Conforme a Microsoft (2003), “Um provedor de serviços de criptografia (CSP)
selecionável permite que você selecione um provedor de criptografia para lidar com
a criptografia e com o gerenciamento de certificados”.
É o processo por meio do quais vários sites da Web inserem dados de log
binários sem formatação em um único arquivo de log. Quando habilitado, todos os
sites no servidor Web que executam o IIS inserem dados de log em um único
arquivo de log, o que preserva os recursos de memória. Normalmente, a maior parte
dos métodos de log cria um arquivo de log por site, o que pode consumir
rapidamente valiosos recursos de CPU e memória nos servidores que executam o
IIS, gerando problemas de desempenho.
Segundo Microsoft (2003), “O log binário centralizado é uma propriedade do
servidor, e não do site. [...]. Depois que esse tipo de log é habilitado no servidor que
executa o IIS, você não pode configurar a criação de log em outro formato para sites
específicos”.
4.8.4.1 Estrutura
4.8.4.2 Segurança
4.8.4.3 Backup
- 5 servidores Manaus/AM;
- 30 servidores em Porto Alegre/RS;
- 79 servidores em Recife/PE;
- 31 servidores em Rio de Janeiro/RJ;
- 21 servidores em Salvador/BA;
- 38 servidores em São Paulo/SP; e
- 10 servidores em Vitória/ES.
Todos os servidores atendem os requisitos mínimos de hardware descrito no
item 4.7.4, tabela 1, não havendo necessidade de atualização (upgrade) para
instalação do Windows Server 2003 Web Edition.
- 70.885 empregados;
- 23.930 prestadores de serviços; e
- 5.735 estagiários.
Importância Adequação % de
do item do item na atendimento à
Item Aspectos (peso) empresa ideal obtida norma Risco
Existe uma política de controle de ambiente de
1.1 computação? 3 10 30 30 100,00% Baixo
Há identificação de todas as informações
relacionadas às aplicações de negócio e os riscos a
1.2 que as informações estão expostas? 2 8 20 16 80,00% Baixo
Há consistência entre controle de acesso e políticas
de classificação da informação em diferentes
1.3 sistemas e redes? 2 7 20 14 70,00% Médio
1.4 Existe administração de direitos de acesso? 3 9 30 27 90,00% Baixo
4.1 Existe uma política de uso dos serviços de redes? 3 10 30 30 100,00% Baixo
A própria empresa gerencia o ambiente de rede ou
4.2 terceiriza este serviço? 2 5 20 10 50,00% Médio
São usadas contas de logon separadas para
atividade normal versus atividades administrativas de
4.3 gerenciamento? 2 10 20 20 100,00% Baixo
A empresa concede acesso administrativo a usuários
4.4 para suas estações de trabalho? 2 4 20 8 40,00% Alto
Usuários externos acessam a rede? Qual é a forma
4.5 de autenticação? 3 10 30 30 100,00% Baixo
Existe firewalls ou outros controles de acesso de
nível de rede nas fronteiras da rede para proteger os
4.6 recursos corporativos? 3 10 30 30 100,00% Baixo
Existem serviços abertos à internet na rede interna
da empresa? Como é controlado o acesso destes
4.7 serviços? 3 10 30 30 100,00% Baixo
Existe hardware ou software de detecção de
4.8 intrusões para identificar ataques? 3 10 30 30 100,00% Baixo
Situação parcial 89,52%
96
Tabela 7 – Matriz de Risco – Política de segurança para servidores que disponibilizam serviços
voltados para intranet
5. Política de segurança para servidores que disponibilizam serviços voltados para intranet
Pontuação
Importância Adequação % de
do item do item na atendimento à
Item Aspectos (peso) empresa ideal obtida norma Risco
Existe política de segurança física nas gerências
5.1 regional de suporte tecnológico? 3 10 30 30 100,00% Baixo
Existe um aviso no sistema operacional, informando
que o servidor é acessado apenas por pessoas
5.2 autorizadas? 2 10 20 20 100,00% Baixo
Existe política para configuração dos parâmetros de
5.3 diretivas de conta? 2 0 20 0 0,00% Alto
Existe política para configuração dos parâmetros de
5.4 diretiva de auditoria? 2 0 20 0 0,00% Alto
Tabela 8 – Legenda
6. Legenda
% de atendimento a norma
Importância do item (peso) Adequação na empresa Rísco
17799:2005 e normas interna
0 Ausência de adequação
Do estudo desta última matriz (tabela 7) inferiu-se que os itens “existe política
de segurança física nas gerências regional de suporte tecnológico” e “aviso no
sistema operacional informando que o servidor é acessado apenas por pessoas
autorizadas” apresentaram total adequação à norma.
Ao passo que os demais itens não apresentaram adequação à norma.
4.12.1.6.2 Auditoria
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Control\Server
Applications
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal
Server\UserConfig
System\CurrentControlSet\Control\Terminal
Server\DefaultUserConfiguration
Software\Microsoft\Windows
NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog
Chave: HKLM\System\CurrentControlSet\Services\Tcpip\Parameters
Nome: TcpMaxConnectResponseRetransmissions
Tipo: REG_DWORD
Valor: 2
Chave: HKLM\System\CurrentControlSet\Services\Tcpip\Parameters
Nome: TcpMaxDataRetransmissions
Tipo: REG_DWORD
Valor: 3
Chave: HKLM\system\CurrentControlSet\Services\Tcpip\Parameters
Nome: TCPMaxPortsExhausted
Tipo: REG_DWORD
Valor: 5
Chave: HKLM\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer
Nome: NoDriveTypeAutoRun
Tipo: REG_DWORD
Valor: 0xFF
4.12.1.11 Serviços
- Themes; e
- Wireless Configuration.
Os demais serviços deverão ser analisados e permanecer ativados, porém,
em execução apenas os que forem pertinentes, levando em consideração os
serviços desempenhados pelo servidor.
- Guia “remote control” - deverá ser marcado o item “do not allow remote
control”, conforme demonstra a figura 18.
4.12.2.7 Criptografia
- O backup dos arquivos de metabase deverá ser feito todas as vezes que
houver modificações nas propriedades do IIS.
5 CONCLUSÃO
6 Referências Bibliográficas
BATTISTI, Júlio. Windows Server 2003: Curso Completo. Rio de Janeiro: Axcel
Books do Brasil, 2003, 1523 p.
MINASI, Mark. Windows Server 2003: A Bíblia. São Paulo: Makron Books, 2003,
1375 p.
SILVA, Lino Sarlo da. Public Key Infrastructure: PKI. São Paulo: Novatec, 2004,
347 p.
124
Glossário
ACL - Lista que define quem tem permissão de acesso a certos serviços.
ASCII - Conjunto de códigos para o computador representar números, letras,
pontuação e outros caracteres.
Cracker - Quem quebra um sistema de segurança, de forma ilegal ou sem
ética.
Dial-Up - Acesso à Internet no qual uma pessoa usa um modem e uma linha
telefônica para se ligar a um nó de uma rede de computadores do ISP.
Firewall - Dispositivo de uma rede de computadores que tem por função
regular o tráfego de rede entre redes distintas e impedir a transmissão e/ou
recepção de dados nocivos ou não autorizados de uma rede a outra.
FTP - Protocolo bastante rápido e versátil para transferência de arquivos.
Hacker - Indivíduo que elabora e modifica software e hardware de
computadores, seja desenvolvendo funcionalidades novas, seja adaptando as
antigas.
Hard Disk - Parte do computador onde são armazenadas as informações, ou
seja, é a "memória permanente" propriamente dita.
Hardware - Parte física do computador
Hash - Seqüência de letras ou números gerados por um algoritmo de
dispersão.
Hub - Aparelho que interliga diversas máquinas (computadores) que pode
ligar externamente redes TAN, LAN, MAN e WAN.
IBM - Empresa americana de informática.
IIS – Serviço web criado pela Microsoft para seus sistemas operacionais para
servidores de informações.
Kerberos - Protocolo de transporte de rede que permite comunicações
individuais seguras e identificadas, em uma rede insegura.
Link - Referência num documento em hipertexto a outro documento ou a
outro recurso.
MIPS - (Milhões de instruções por segundo). Medida de desempenho em
informática.
NCSA - Organismo dos Estados Unidos da América relacionado com a
investigação no campo da informática e telecomunicações.
125
Anexo A
5.5. Existe uma política para configuração dos parâmetros de atribuições de direitos
de usuário?
5.6. Existe uma política para configuração dos parâmetros de opções de segurança?
5.7. Existe implementação de criptografia para armazenar informações sigilosas?
5.8. Existe implementação de uso de certificado de aplicação?
5.9. Existe controle de instalação das atualizações de segurança disponibilizado pelo
fornecedor do sistema operacional?
5.10. Existe controle dos serviços essenciais que deverão está em execução nos
servidores?
5.11. Existe controle dos serviços que não deverão está em execução nos
servidores?
.12. Existe um padrão de configuração do serviço Internet Information Services (IIS)?
5.13. Como é efetuada a publicação dos sites nos servidores intranet?
2.4. Os usuários recebem uma declaração por escrito dos seus direitos de acesso?
2.5. É requerida dos usuários a assinatura de uma declaração indicando que eles
entendem as condições de acesso?
2.6. É mantido um registro formal de todas as pessoas registradas para usar o
serviço?
2.7. Existe bloqueio imediato de direitos de acesso de usuários que mudaram de
cargos ou funções, ou deixaram a organização?
2.8. Existe análise periódica para remover ou bloquear identificadores (ID) e contas
de usuários redundantes?
2.9. Existe o fornecimento de um identificador (ID) para mais de um usuário?