Você está na página 1de 290

Segurana no Windows XP - Bsico

Autor: Jlio Battisti


site: e-mail: www.juliobattisti.com.br webmaster@juliobattisti.com.br

Segurana no Windows XP Professional - Bsico

Nota sobre direitos autorais:


Este ebook de autoria de Jlio Battisti, sendo comercializado diretamente atravs do site ou atravs do site de leiles Mercado Livre: www.juliobattisti.com.br www.mercadolivre.com.br, pelo usurio GROZA. Nenhum outro usurio, pessoa ou site est autorizado a vender este ebook. Ao adquirir este ebook voc tem o direito de l-lo na tela do seu computador e de imprimir quantas cpias desejar. vetada a distribuio deste arquivo, mediante cpia ou qualquer outro meio de reproduo, para outras pessoas. Se voc recebeu este ebook atravs do email ou via ftp de algum site da Internet, ou atravs de um CD de Revista, saiba que voc est com uma cpia pirata, no autorizada. A utilizao de uma cpia pirata, no autorizada, crime de Violao de Direitos Autorais, sujeita a pena de Cadeia. Denuncie o site ou revista que est disponibilizando a cpia, atravs do e-mail webmaster@juliobattisti.com.br O valor cobrado por este arquivo praticamente simblico, pelas horas e horas de trabalho que ele representa. Novos cursos somente podem ser desenvolvidos graas a honestidade de pessoas que adquirem o arquivo do curso e no o distribuem livremente para outras pessoas. Se voc recebeu uma cpia deste arquivo sem t-la adquirido diretamente com o autor, seja honesto, entre em contato com o autor, atravs do e-mail webmaster@juliobattisti.com.br, para regularizar esta cpia. Ao regularizar a sua cpia voc ir remunerar, mediante uma pequena quantia, o trabalho do autor e incentivar que novos trabalhos sejam disponibilizados. Se voc tiver sugestes sobre novos cursos que gostaria de ver disponibilizados, entre em contato pelo e-mail: webmaster@juliobattisti.com.br. Visite periodicamente o site www.juliobattisti.com.br para ficar por dentro das novidades: Cursos de informtica. Artigos e dicas sobre Certificaes da Microsoft. Artigos sobre Carreira e Trabalho. Dicas de livros e sites sobre diversos assuntos. Simulados gratuitos, em portugus, para os exames da Microsoft.

PIRATARIA CRIME, COM PENA DE CADEIA. EU AGRADEO PELA SUA HONESTIDADE. SE VOC COMPROU UMA CPIA DESTE CURSO, DIRETAMENTE COM O AUTOR, NO DISTRIBUA CPIAS PARA OUTRAS PESSOAS. SE VOC RECEBEU UMA CPIA ILEGAL DESTE ARQUIVO, NO ADQUIRIDA DIRETAMENTE COM O AUTOR JLIO BATTISTI, ENTRE EM CONTATO E REGULARIZE A SUA CPIA.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 2 de 290

Segurana no Windows XP Professional - Bsico

Conhea outros livros do autor Jlio Battisti:


Manual de Estudos Para o Exame 70-217 - 752 pginas Chega ao mercado editorial mais um aguardado lanamento da Axcel Books Editora Certificao Microsoft Guia de Estudos Para o MCSE Exame 70-217, onde o autor Jlio Battisti descreve, de forma detalhada e com exemplos passo-apasso, todos os tpicos que fazem parte do programa oficial da Microsoft para o exame de certificao 70-217. A obra apresenta e explica desde os princpios bsicos, incluindo os fundamentos do Active Directory; passando por servios tais como DNS, gerenciamento de compartilhamentos, Master Operations, permisses NTFS, Grupos de Usurios, Unidades Organizacionais e Group Policy Objects, os GPOs; alm de ainda tratar de questes como a configurao de Auditoria de Objetos, o gerenciamento do Schema, entre outros. Um curso completo de Active Directory para o Windows 2000 Server. Windows Server 2003 Curso Completo 1568 pginas O livro ensina desde os fundamentos bsicos do Active Directory, passando pela instalao do Windows Server 2003 e por dicas sobre o projeto, implementao e migrao do Windows 2000 Server para o Windows Server 2003. Voc aprender, em detalhes, sobre os servios de compartilhamento de arquivos e impressoras, segurana, como tornar o Windows Server 2003 um servidor Web, aprender sobre os servios de rede: DNS, DHPC, WINS, RRAS, IPSec, Anlise de Segurana, Group Policy Objects e muito mais. Confira, vale a pena. Manual de Estudos Para o Exame 70-216 - 712 pginas Neste aguardado lanamento da Axcel Books Editora Certificao Microsoft Guia de Estudos Para o MCSE Exame 70-216, o autor Jlio Battisti descreve, de forma detalhada e com exemplos passo-a-passo, todos os tpicos que fazem parte do programa oficial da Microsoft para o exame de certificao. A obra apresenta e explica desde os princpios bsicos, incluindo os fundamentos do protocolo TCP/IP; passando por instalao, configurao e administrao do DNS, DHCP, WINS e RRAS; alm de ainda tratar de questes quanto ao roteamento, NAT, Certificados Digitais, IPSec, entre outros.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 3 de 290

Segurana no Windows XP Professional - Bsico


Windows XP Home & Professional 840 pginas O novo mundo do Windows XP, que representa a nova era do sistema operacional para usurios e administradores est reunido nesta obra. Jlio Battisti apresenta a nova interface do sistema, completamente redesenhada e com a experincia de um profissional certificado da Microsoft. Na obra, os leitores iro aprender a implementar, configurar e utilizar o Windows XP, desvendando as funcionalidades, alm das configuraes de segurana, de desempenho e de estabilidade do sistema. O livro aborda ainda toda a parte de Internet do Windows XP conectando e usando a Internet; configurando o firewall de conexo; alm dos novos recursos do correio eletrnico. Veja tambm os detalhes sobre o Active Directory, as configuraes de rede e protocolo TCP/IP, criptografia, registry do Windows, entre tantos outros assuntos. O leitor ainda vai poder contar com um captulo exclusivo e um simulado com 100 questes/respostas destinados aos interessados no exame de Certificao 70-270 da Microsoft. ASP.NET: Uma Nova Revoluo Na Criao de Sites e Aplicaes Web 730 pginas Conhea o ASP.NET, a mais nova verso do ASP, que representa uma mudana no modelo de desenvolvimento de aplicaes Web. O livro traz todas as informaes necessrias sobre o assunto, inclusive os detalhes da iniciativa .NET, o CLR, o MSIL e o C#, a nova linguagem da Microsoft. Aprenda os novos controles do ASP.NET e como utilizar o Visual Studio.NET para criar pginas ASP.NET. Veja ainda como criar formulrios avanados para edio de dados, configurar as opes de segurana do Windows 2000, do IIS e do ASP.NET, alm de aprender como criar pginas ASP.NET para as mais diversas funes. SQL Server 2000: Administrao & Desenvolvimento Curso Completo 816 pginas O lanamento destinado aos usurios/leitores da verso anterior do SQL Server, o SQL 7, alm de redes de computadores em geral, Windows 2000 Server, TCP/IP, Bancos de Dados em geral, do Microsoft Access e do Visual Basic. O leitor aprender na obra destinada do iniciante ao avanado detalhes sobre o modelo de dados relacional, como instalar o SQL Server 2000 em diferentes plataformas, alm da criao e administrao de bancos de dados, tabelas e outros objetos. Aprenda ainda Como criar pginas ASP que acessam os dados do SQL Server 2000.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 4 de 290

Segurana no Windows XP Professional - Bsico

PR-REQUISITOS PARA O CURSO:


Para que voc possa acompanhar as lies deste curso necessrio que voc j tenha preenchido os seguintes pr-requisitos: Conhecimentos bsicos do uso do Windows XP, tais como uso do mouse, criao de pastas, configuraes bsicas do Windows, etc.

Estes conhecimentos sero fundamentais para acompanhar os tpicos apresentados no curso. Muitos dos tpicos dependem destes pr-requisitos.

Algumas palavras do autor:


Este curso foi criado com o objetivo de ajud-lo a entender e a utilizar no seu dia-a-dia, os recursos de Segurana do Windows XP. Com os conhecimentos apresentados neste curso, voc aprender a proteger melhor as informaes do seu computador e a se proteger melhor, contra as chamadas pragas virtuais: vrus, spy where, trojans, etc. Em cada lio so apresentados conceitos tericos, seguidos por exemplos prticos, passo-apasso, para que voc possa consolidar os conceitos tericos apresentados. Um bom estudo a todos e espero, sinceramente, que este curso possa ajud-los a utilizar melhor o recurso de Formulrios no Microsoft Access.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 5 de 290

Segurana no Windows XP Professional - Bsico

NDICE DO CURSO
Introduo ............................................................................................................................... 10 Uma viso geral do curso........................................................................................................ 12 Mdulo 1 Conceitos Bsicos de Segurana......................................................................... 15 Introduo........................................................................................................................... 16 Um Histrico da Evoluo dos Ambientes Informatizados de Redes ........................... 17 No princpio, um modelo Centralizado baseado no Mainframe ...................................... 17 Morte ao Mainframe, viva a descentralizao!!! ............................................................. 19 Modelo em 2 camadas...................................................................................................... 21 Aplicaes em 3 camadas ................................................................................................ 23 Aplicaes em quatro camadas ........................................................................................ 24 O Jlio ficou louco ou estamos voltando ao Mainframe? ................................................ 26 E o que que todo este histrico tem a ver com segurana? ........................................... 27 Quais as Principais Ameaas existentes? ......................................................................... 28 Integridade das Informaes: ........................................................................................... 28 Disponibilidade das Informaes:.................................................................................... 29 Confidencialidade das Informaes: ................................................................................ 29 Principais Inimigos da Segurana da Informao ............................................................ 30 Vrus de computador: ....................................................................................................... 30 Worms: ............................................................................................................................. 31 Cavalo de Tria: ............................................................................................................... 32 Questes relacionadas a segurana no Windows ............................................................ 33 Logon = Identificao do usurio..................................................................................... 33 Permisses de acesso = garantia de confidencialidade .................................................... 33 Backup = Disponibilidade de dados................................................................................. 34 Diretivas de Segurana = Garantia de Confidencialidade e Integridade.......................... 34 Uso seguro da Internet = Confidencialidade + Integridade + Disponibilidade................ 34 Criptografia = Uma garantia a mais para a confidencialidade dos dados ........................ 35 Concluso ............................................................................................................................ 36 Mdulo 2 Logon, Contas de Usurios e Grupos ................................................................. 37 Contas de Usurios, Grupos e Logon ............................................................................... 38 Introduo........................................................................................................................... 39 Contas de usurio - definio ............................................................................................ 41 Regras e dicas para a criao de contas de usurio .......................................................... 43 Regras e dicas para a criao de senhas ........................................................................... 44 Criando Contas de usurio no Windows XP ................................................................... 45 Exemplo prtico de criao de contas de usurios:.......................................................... 46 A opo Contas de usurio, do Painel de Controle: ..................................................... 49 Definindo o modo de logon do Windows XP.................................................................... 54 Administrando e alterando contas de usurios ............................................................... 55
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 6 de 290

Segurana no Windows XP Professional - Bsico Alterando a senha de uma conta de usurio: .................................................................... 55 Renomeando uma conta de usurio:................................................................................. 56 Excluindo uma conta de usurio: ..................................................................................... 57 Propriedades da conta do usurio..................................................................................... 57 Grupos de usurios conceito........................................................................................... 62 Grupos Internos (Built-in groups):................................................................................... 63 Grupos criados pelo usurio:............................................................................................ 64 Criando grupos e adicionando usurios ao grupo........................................................... 65 Criando um novo grupo de usurios ................................................................................ 66 Adicionando usurios a um grupo.................................................................................... 66 Exibindo as propriedades de um grupo de usurios......................................................... 68 Renomeando um grupo de usurios ................................................................................. 68 Excluindo um grupo de usurios...................................................................................... 68 Consideraes de segurana no uso de contas do tipo Administrador.......................... 68 Mdulo 3 Permisses NTFS e de Compartilhamento......................................................... 70 Criando e Administrando Compartilhamentos e Permisses de Acesso ...................... 71 Pastas compartilhadas, permisses de compartilhamento e permisses NTFS ........... 72 Restringindo o acesso s pastas compartilhadas .............................................................. 73 Aviso importante para os usurios do Windows 2000 (Professional e Server): .............. 74 Entendendo as permisses de compartilhamento. .......................................................... 77 Usurio pertence a mais de um grupo, qual a permisso efetiva do usurio?? ................ 78 Orientaes para a criao de pastas compartilhadas: ..................................................... 79 Sistemas de arquivos e permisses NTFS conceito ...................................................... 80 Permisses NTFS disponveis.......................................................................................... 82 Como funcionam as permisses NTFS ............................................................................ 84 Compartilhando pastas e configurando permisses de compartilhamento.................. 87 Monitorando/Administrando os compartilhamentos do computador .......................... 95 Configurando as permisses NTFS .................................................................................. 97 Exemplo: Atribuindo permisses NTFS. ......................................................................... 97 Combinando permisses de compartilhamento e permisses NTFS........................... 106 Mapeando de unidades de rede....................................................................................... 108 Mdulo 4 A Importncia do Backup ................................................................................. 111 Backup Introduo e Conceitos ................................................................................... 112 Definindo o tipo de Backup a ser utilizado .................................................................... 112 Exemplos de estratgias de backup/restore ................................................................... 114 Fazendo o backup e o restore de pastas e arquivos com o Windows XP .................... 116 Introduo....................................................................................................................... 116 Fazendo o backup usando o modo assistente de backup................................................ 117 Executando a tarefa de Backup, manualmente............................................................... 125 Utilizando o modo completo, do utilitrio de Backup ................................................... 127
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 7 de 290

Segurana no Windows XP Professional - Bsico Fazendo o restore das informaes a partir do backup................................................ 131 O log do backup................................................................................................................ 135 Acessando o Log do Backup.......................................................................................... 135 Definindo opes padro de backup e restore ............................................................... 136 Restaurao do sistema.................................................................................................... 141 Alterando as configuraes de Restaurao do sistema................................................. 143 Criando um ponto de restaurao................................................................................... 146 Restaurando o sistema a um estado anterior .................................................................. 147 Algumas observaes importantes sobre o recurso de Restaurao do sistema ............ 149 Concluso .......................................................................................................................... 149 Mdulo 5 Diretivas de Segurana: .................................................................................... 150 Diretivas de segurana local Conceito......................................................................... 151 Categorias de diretivas disponveis: ............................................................................... 152 Diretivas de conta:.......................................................................................................... 152 Diretivas locais:.............................................................................................................. 155 Configurando Diretivas de Conta Exemplo Prtico .................................................. 165 Group Police Objects GPOs ......................................................................................... 169 Introduo....................................................................................................................... 169 Group Policy Objects Fundamentao Terica........................................................... 169 Polticas de usurios e polticas de computador............................................................. 172 Novidades nas GPOs Windows Server 2003 ................................................................. 174 Entendendo como feito o processamento e aplicao das GPOs ................................ 175 Detalhando a ordem de processamento das GPOs ......................................................... 178 Ordem de eventos quando o computador inicializado e o usurio faz o logon........... 180 Entendendo como funciona o mecanismo de herana Policy inheritance .................. 182 Implementao e Administrao de GPOs .................................................................... 185 O console de administrao das GPOs........................................................................... 185 Usando o console de configurao das GPOs................................................................ 187 Criando uma nova GPO e associando-a com uma unidade organizacional................... 192 Configurando as Propriedades de uma GPO.................................................................. 194 Concluso .......................................................................................................................... 198 Mdulo 6 Uso Seguro da Internet ..................................................................................... 199 Compartilhamento da Conexo com a Internet:........................................................... 200 Internet Connection Sharing (ICS)................................................................................. 200 Mudanas que so efetuadas quando o ICS habilitado ............................................... 201 Configurando os clientes da rede interna, para usar o ICS ............................................ 203 Mais algumas observaes importantes sobre o ICS ..................................................... 203 Comparando ICS e NAT ................................................................................................ 205 Habilitando o ICS no computador conectado Internet ................................................ 207 Configurando os clientes da rede para utilizar o ICS..................................................... 210 Configuraes de Segurana no Internet Explorer....................................................... 211 As opes de configurao do Internet Explorer ........................................................... 211
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 8 de 290

Segurana no Windows XP Professional - Bsico A guia Segurana ........................................................................................................... 214 Principais configuraes de Segurana .......................................................................... 216 A guia Privacidade ......................................................................................................... 218 Configuraes de Segurana no Outlook Express ........................................................ 220 As opes de configurao do Outlook Express............................................................ 220 Uso do IFC Firewall de Conexo com a Internet ....................................................... 222 Firewall de Conexo com a Internet ICF .................................................................... 223 Como ativar/desativar o IFC .......................................................................................... 225 Como ativar/desativar o log de Segurana do ICF......................................................... 227 Habilitando os servios que sero aceitos pelo IFC....................................................... 231 Configuraes do protocolo ICMP para o Firewall ....................................................... 232 Mantendo o Windows Atualizado Windows Update ................................................. 235 Usando o Windows Update............................................................................................ 236 Uma nova praga chamada Spyware & Adware ........................................................ 240 Concluso .......................................................................................................................... 242 Mdulo 7 Criptografia de Dados e Logs de Auditoria ...................................................... 244 Criptografia definies e conceitos .............................................................................. 245 Garantindo a recuperao dos dados.............................................................................. 247 Criptografando arquivos e pastas ................................................................................... 253 Operaes com arquivos criptografados ........................................................................ 256 Descriptografando arquivos e pastas.............................................................................. 257 Configurar usurios com acesso a arquivos que voc criptografou ............................... 258 Alterando a diretiva de recuperao do Computador local ............................................ 260 Exibindo arquivos criptografados em uma cor diferente ............................................... 263 Recomendaes sobre a criptografia de pastas e arquivos............................................. 264 O comando cipher .......................................................................................................... 265 Trabalhando com eventos de auditoria - Conceito ....................................................... 267 Acessando o Log de Eventos ......................................................................................... 270 Habilitando/configurando os eventos do log de segurana............................................ 275 Recomendaes da Microsoft, para configuraes de auditoria .................................... 281 Filtrando eventos nos logs de auditoria.......................................................................... 282 Configurando as propriedades do log............................................................................. 287 Concluso ....................................................................................................................... 289

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 9 de 290

Segurana no Windows XP Professional - Bsico

Segurana no Windows XP - Bsico


Introduo
Este um curso sobre as questes bsicas de segurana no Windows XP Professional. Mostrarei o porqu da importncia das questes relacionadas com a segurana, quais os recursos de segurana disponveis no Windows XP Professional e como utilizar estes recursos para proteo dos seus arquivos de dados. Segurana sinnimo de como posso manter os meus dados seguros, evitando perda de informaes e do meu trabalho?. A idia principal da segurana evitar que os seus dados sejam alterados ou excludos por pessoas no autorizadas. Outro aspecto da segurana a disponibilidade dos dados, ou seja, quais medidas voc deve tomar para evitar a perda de dados devido a falhas no disco rgido ou em outros componentes do seu computador. Voc j deve ter ouvido alguma histria de algum que perdeu todo o trabalho poucos dias antes de defender uma tese de especializao ou de mestrado?? Muito triste, no?? Com as dicas de segurana contidas neste curso, voc aprender a evitar estes e outros tipos de desastres, os quais causam perda de dados. Neste curso, voc aprender, sobre os seguintes tpicos: Introduo a segurana. A necessidade de segurana. Principais ameaas. A necessidade do anti-vrus. Spy ware e semelhantes. A importncia do Backup. Questes relacionadas a segurana no Windows Por que tenho que fazer logon. Contas de usurio conceito Contas de usurio local e do domnio Contas de usurio criao e administrao Grupos de usurios conceito Grupos de usurios local e do domnio Grupos de usurios criao e administrao Sistemas de arquivos: FAT x NTFS Compartilhamentos - conceito Compartilhamentos criao e administrao Compartilhamentos permisses de acesso Permisses NTFS - conceitos Permisses NTFS - tipos Permisses NTFS configurao e administrao Administrando permisses com grupos Permisses NTFS Exemplos prticos Permisses NTFS - recomendaes Backup tambm segurana Perda de dados e a importncia do Backup

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 10 de 290

Segurana no Windows XP Professional - Bsico Tipos de Backup Planejando para o Backup Fazendo o backup dos dados Fazendo o Backup do Sistema Restaurando dados Restaurando o sistema Conceito de Diretivas de Segurana Quando se aplicam as Diretivas de Segurana Exemplos de uso das Diretivas de Segurana Categorias de Diretivas de Segurana Configuraes das diretivas Conceito e uso de GPOs Exemplo de GPOs Compartilhamento da Conexo Internet Configuraes de segurana no Internet Explorer Configuraes de segurana do Outlook Express A importncia do anti-vrus Uso do IFC do Windows XP A importncia de manter o Windows Atualizado Usando o Windows Update Conceito de Criptografia Configurando a Criptografia Dicas para no perder os dados O conceito de auditoria Visualizando eventos de segurana Principais eventos de segurana Filtrando eventos de segurana

Uma vez concludo o curso, voc ter todas as condies para configurar o Windows XP Professional com o mximo de segurana. Voc saber usar o recurso de permisses NTFS para impedir o acesso aos seus arquivos e documentos, aprender sobre a importncia do backup e como utilizar o backup para fazer cpias de segurana, aprender sobre o recurso de Polticas de Segurana, o qual permite configuraes refinadas de segurana e muito mais. Um curso detalhado, didtico, de fcil compreenso. Baseado em exemplos prticos, passo-apasso, detalhadamente explicados. Domine de uma vez por todas, os recursos bsicos de segurana do Windows XP Professional. Para dvidas sobre os exemplos deste curso, para relatar erros encontrados e para crticas e sugestes, entre em contato pelo e-mail: webmaster@juliobattisti.com.br

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 11 de 290

Segurana no Windows XP Professional - Bsico

Uma viso geral do curso


Este um curso s sobre Segurana no Windows XP Professional. Vou mostrar a importncia de se levar a srio as questes de segurana e sobre como usar os recursos bsicos de segurana do Windows XP Professional. Voc aprender sobre diversos recursos de segurana, tias como: Conceitos bsicos de segurana Contas de usurios e de grupos de usurios Permisses de acesso a arquivos e pastas Permisses de Compartilhamento de pastas A importncia do Backup Como fazer o Backup/restore das informaes Diretivas de segurana: Conceito e utilizao Compartilhamento da conexo Internet Firewall de Proteo ICF Configuraes de segurana do Internet Explorer Configuraes de segurana do Outlook Express Windows Update Criptografia de pastas e arquivos: conceito e utilizao

Com os conceitos apresentados neste curso, o amigo leitor aprender a utilizar os recursos bsicos de segurana do Windows XP Professional. Voc ver que bastante simples configurar estes recursos e que eles so de grande ajuda, para proteger o seu trabalho e os seus arquivos. A seguir apresento uma viso geral do contedo de cada um dos mdulos do curso: Mdulo 1 Conceitos Bsicos de Segurana: Neste mdulo farei uma apresentao sobre os principais conceitos de segurana. Voc aprender sobre a importncia da segurana das informaes, sobre as principais ameaas de segurana, falarei sobre a questo dos vrus, a necessidade de um bom anti-vrus, sempre atualizado. Tambm falarei sobre questes tais como Worms, Cavalos de tria e outras pragas virtuais. Tambm mostrarei a importncia do Backup e farei uma apresentao rpida sobre os principais tpicos de segurana que sero abordados nos demais mdulos do curso. Mdulo 2 Contas de usurios e grupos de usurios e o conceito de logon: Neste mdulo voc entender melhor o porqu da necessidade de efetuar o logon no Windows XP. Mostrarei que o Windows XP usa a conta do usurio como se fosse a identidade do usurio. atravs da conta de logon que o Windows XP consegue identificar qual o usurio logado e carregar configuraes personalizadas para cada usurio. Voc tambm aprender a criar e a administrar contas de usurios e de grupos de usurios. O conceito de grupo de usurio um conceito bem importante, o qual ser utilizado bastante no Mdulo 3 deste curso.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 12 de 290

Segurana no Windows XP Professional - Bsico Mdulo 3 Permisses NTFS e de compartilhamento: Neste mdulo voc aprender um conceito muito importante: O conceito de permisses de acesso. Mostrarei que podemos utilizar as permisses de compartilhamento, para restringir quais usurios podem ter acesso a uma pasta compartilhada, atravs da rede e qual o nvel de acesso de cada usurio ou grupo. Por exemplo, posso dar permisso de Somente leitura para um determinado grupo e de Leitura e alterao para um outro grupo. As permisses de compartilhamento tem efeito somente para o acesso atravs da rede. Voc tambm aprender sobre as permisses NTFS, as quais so tambm usadas para restringir o acesso a pastas e arquivos, bem como para definir o nvel de acesso de usurios e grupos, a pastas e arquivos. As permisses NTFS tem efeito tanto para o acesso local, quando atravs da rede. Neste mdulo voc aprender atravs de exemplos prticos e ir utilizar, bastante, o conceito de Grupos de usurios, apresentado no Mdulo 2. Mdulo 4 A Importncia do Backup: Todo o Mdulo 4 ser dedicado a um dos tpicos mais esquecidos, quando se trata de segurana: Backup. Fazer o Backup significa ter uma ou mais cpia de segurana, de arquivos importantes. Ter uma boa estratgia de Backup fundamental para evitar perda de dados, perda de tempo e retrabalho. Neste mdulo apresentarei os aspectos tericos e prticos, relacionados ao Backup. Darei dicas de como organizar as informaes no seu computador, visando facilitar o Backup dos dados. Tambm mostrarei as diferentes opes disponveis para fazer o Backup/Restore dos seus dados. No esquea, Backup = proteo contra perda de dados. Mdulo 5 Diretivas de Segurana: O conceito de Diretivas de Segurana de grande importncia para aprimorar a segurana do Windows XP Professional. Neste mdulo eu apresentarei o conceito de diretivas de segurana, mostrarei as diferentes categorias de diretivas disponveis, mostrarei como configurar as diretivas. Tambm apresentarei uma descrio detalhada, sobre as principais diretivas de segurana do Windows XP Professional. Falarei tambm sobre as GPOs Group Policy Objects. As GPOs so diretivas de segurana usadas, normalmente, em grandes redes, baseadas no Windows 2000 Server ou no Windows Server 2003 e no Active Directory. As GPOs so configuradas nos servidores (baseados no Windows 2000 Server ou Windows Server 2003) e aplicadas nas estaes clientes da rede, normalmente baseadas no Windows 2000 Professional ou Windows XP Professional. Mdulo 6 Uso Seguro da Internet: No mdulo eu apresento diversos tpicos relacionados a Segurana no uso da Internet. Vou iniciar o mdulo falando sobre o Compartilhamento da conexo Internet. Em seguida, tratarei sobre as configuraes de segurana do Internet Explorer e do Outlook Express. O prximo tpico ser sobre vrus e a importncia de manter um bom anti-vrus, sempre atualizado. Tambm falarei sobre o uso do Firewall do Windows XP IFC. Mostrarei como ativar e configurar este Firewall. Para encerrar o mdulo, tratarei sobre a importncia de manter o Windows atualizado, atravs da utilizao do recurso Windows Update. Mdulo 7 Criptografia e Auditoria de Eventos: No mdulo final, apresentarei mais dois tpicos bsicos sobre segurana no Windows XP Professional: Criptografia de dados e Logs de auditoria. Mostrarei que com o uso da Criptografia voc obtm um nvel adicional de proteo, em relao ao uso das permisses NTFS. Tambm mostrarei os cuidados necessrios para que voc no perca o acesso aos dados criptografados. Para encerrar, mostrarei como utilizar o recurso de Logs de auditoria e Logs de segurana do Windows XP Professional.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 13 de 290

Segurana no Windows XP Professional - Bsico Este curso foi especialmente projetado para que o amigo leitor possa conhecer e aprender a utilizar os recursos bsicos de segurana do Windows XP Professional. Com os tpicos apresentados neste curso, voc j ser capaz de configurar o Windows, tornando-o bem mais seguro. Dando continuidade a este curso, no primeiro semestre de 2005, lanarei o curso: Segurana no Windows XP Avanado. Para verificar sobre a disponibilidade de novos cursos, consulte regularmente o meu site: www.juliobattisit.com.br o meu mais sincero desejo que este curso possa ser de grande utilidade para voc, ajudandoo a utilizar todos os recursos bsicos de segurana do Windows XP Professional. Para enviar suas dvidas referentes aos assuntos e exemplos abordados neste curso, para enviar sugestes de alteraes/correes, para sugerir novos cursos, para criticar e para elogiar (porque no?), s entrar em contato pelo e-mail: webmaster@juliobattisti.com.br

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 14 de 290

Segurana no Windows XP Professional - Bsico

Mdulo 1 Conceitos Bsicos de Segurana


Neste mdulo apresentarei uma srie de conceitos tericos sobre segurana. Os conceitos e definies apresentados neste mdulo, sero de grande importncia para o entendimento e acompanhamento dos demais mdulos deste curso. Dentre outros, sero apresentados os seguintes tpicos: Introduo a segurana A necessidade de segurana Principais ameaas A necessidade do anti-vrus A importncia do Backup Questes relacionadas a segurana no Windows

Iniciarei o Mdulo fazendo um histrico desde os ambientes mais antigos, onde dominava o uso de computadores de grande porte, conhecidos como Mainframe, at os dias de hoje, onde tempos um ambiente baseado em redes locais e a interconexo destas redes entre si e com a Internet. Vou mostrar quais os perigos para segurana, que vieram com o uso deste novo modelo. Na seqncia apresentarei uma descrio bsica sobre o porqu da segurana, qual a importncia de nos preocuparmos com a segurana das informaes e os seguintes conceitos, relacionados diretamente com a segurana das informaes: Integridade Disponibilidade Confidencialidade Na seqncia falarei sobre as principais ameaas a segurana. Mostrarei quais os viles quando se trata de segurana. Vou falar sobre vrus, anti-vrus, cavalo de tria, Trojan e outros viles da segurana. Neste tpico vou procurar salientar o quo importante o monitoramento constante, a viglia constante em relao as questes de segurana. Mostrarei onde so os principais pontos de falha e de negligncia, em relao a segurana. Dando seqncia, falarei sobre a importncia de se ter uma boa estratgia de Backup das informaes. Mostrarei como o backup est diretamente relacionada a questo da disponibilidade das informaes. A questo do Backup , sem dvidas, um dos aspectos de segurana, mais negligenciados pela maioria dos usurios. Para encerrar o mdulo, apresentarei mais alguns conceitos importantes, relacionados a segurana no Windows XP Professional. Ento mos obra. Chega de apresentaes e rodeios e vamos iniciar o nosso estudo sobre Segurana. Um bom estudo a todos e no esquea: em caso de dvidas sobre os exemplos apresentados neste curso, entre em contato pelo e-mail: webmaster@juliobattisti.com.br.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 15 de 290

Segurana no Windows XP Professional - Bsico Introduo Por que nos preocuparmos com segurana?? Esta a primeira questo a ser respondida, ou seja, por que devo dedicar tempo para aprender os recursos de segurana do Windows XP? A resposta simples, por que voc poder ter muitos problemas relacionados com a segurana, se voc no souber como se proteger dos inmeros perigos virtuais, existentes atualmente. Apenas alguns exemplos: Exemplo 01: Algum consegue acessar os arquivos do disco rgido do teu computador e apagar todos os documentos do Word (.DOC) e todas as planilhas do Excel (.xls), de uma maneira que estes no possam mais ser recuperados. E para piorar voc no tem uma cpia de segurana (Backup). Este um problema de segurana?? Certamente, pois se voc souber configurar corretamente a segurana do Windows XP, ser muito pouco provvel que algum consiga acessar os arquivos do disco rgido do computador e apag-los, sem a sua permisso. Exemplo 02: Ainda considerando o exemplo 01, imagine que entre os arquivos excludos esteja a sua teste de mestrado, praticamente pronta, a qual represente horas e horas de trabalho e pesquisa. E agora, o que voc pode fazer?? Como voc no se preocupou com a segurana na hora certa, agora s resta chorar. Exemplo 03: Peguei um vrus no meu computador e ele simplesmente fez uma baguna no Windows. Agora, ao invs de passar o final de semana brincando com o meu filho e jogando futebol com os amigos, terei que passar o final de semana reinstalando o Windows, reinstalando todos os programas e configurando tudo de novo. Esta uma situao muito comum e tambm tem a ver com segurana. Bastaria um bom anti-vrus, sempre atualizado e alguns cuidados em relao ao uso do e-mail, que todo este problema seria evitado e voc poderia curtir o final de semana com o seu filho, esposa e amigos. Exemplo 04: No sei como, mas um Trojan se instalou no meu computador. O Trojan ficou capturando tudo o que eu digitava no teclado. O Trojan conseguiu capturar o nmero da minha conta e agncia e o pior, a minha senha. Agora apareceram saques na minha contacorrente, os quais no fui eu que fiz. Agora terei que correr atrs do prejuzo, para provar para o banco que no fui eu que fiz os saques, na tentativa de reaver o prejuzo. Mais um caso muito mais comum do que o amigo leitor imagina. Mais uma questo relacionada com segurana. Mais um problema que poderia, facilmente, ser evitado, com o uso de um bom anti-vrus e com algumas medidas preventivas. Com estes quatro exemplos, eu procurei mostrar porque todos nos devemos nos preocupar e, principalmente, nos informar sobre as questes relacionadas com segurana. Se no estivermos atento a estas questes, aumentaro muito as chances de perdermos horas e horas de trabalho devido a arquivos que so apagados sem a nossa autorizao, devido a problemas com vrus que bagunam completamente o Windows ou devido a Trojans e outras pragas, que nos roubam informaes confidenciais e fazem mau uso desta informao. O meu objetivo neste curso exatamente ensinar o amigo leitor a usar os recursos de segurana do Windows, para que voc possa se prevenir deste e de outros problemas relacionados a segurana.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 16 de 290

Segurana no Windows XP Professional - Bsico Um Histrico da Evoluo dos Ambientes Informatizados de Redes Neste tpico apresentarei um histrico da evoluo das redes de computadores, desde a poca do Mainframe (o qual continua mais vivo do que nunca), passando pelas redes Cliente/Servidor clssicas, at o modelo mais atual, baseado em tecnologia de 3 ou mais camadas, como por exemplo a Internet, a maior de todas as redes. No princpio, um modelo Centralizado baseado no Mainframe Todos sabem que a evoluo em informtica bastante rpida. Sempre esto surgindo novos conceitos, programas e servios. H algumas dcadas, quando a informtica comeou a ser utilizada para automatizar tarefas administrativas nas empresas, tnhamos um modelo baseado nos computadores de grande porte, os chamados Mainframes. Durante a dcada de 70 e at a metade da dcada de 80 este foi o modelo dominante, sem nenhum concorrente para amea-lo. Os programas e os dados ficavam armazenados nos computadores de grande porte. Para acessar estes computadores eram utilizados (na prtica sabemos que ainda hoje este modelo bastante utilizado, mas isso discusso para daqui a pouco) os chamados terminais burros. Para falar um pouco mais sobre este modelo, considere o diagrama da Figura a seguir:

Figura - O modelo baseado no Mainframe e no acesso via terminais burros. O Mainframe um equipamente extremamente caro, na casa de milhes de dlares. Normalmente uma empresa prestadora de servios de informtica compra o Mainframe e hospeda neste equipamento, os sistemas e os dados de diversas empresas. O Mainframe um equipamente que precisa de instalaes adequadas, nas quais existe controle de temperatura, umidade do ar, alimentao eltrica estabilizada e assim por diante.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 17 de 290

Segurana no Windows XP Professional - Bsico Os aplicativos e dados ficam armazenados no Mainframe. Vamos supor que a empresa X a dona do Mainframe, no qual esto hospedados aplicativos e dados da empreza Y. Para ter acesso a estes dados, a empresa Y contrata uma linha de dados (que at o incio da dcada de 90, aqui no Brasil, apresenava velocidades da ordem de 1 ou 2 kbps). Na sede da empresa, a linha de dadados conectada a um Modem, o qual era conectado com um equipamente chamado MUX. O papel do MUX permitir que mais de um terminal burro possa se comunicar com o Mainframe, ao mesmo tempo, usando uma nica linha de dados. Os terminais burros eram ligados ao equipamento MUX, diretamente atravs da cabos padro para este tipo de ligao. Com isso os terminais so, na prtica, uma extenso da console do Mainframe, o qual permite que vrios terminais estejam conectados simultaneamente, inclusive acessando diferentes sistemas. Este modelo ainda muito utilizado, embora novos elementos tenham sido introduzidos. Por exemplo, os terminais burros foram praticamente extintos. Agora o terminal simplesmente um software emulador de terminal, que fica instalada em um computador PC ligado em rede. Mas muitos dos sistemas e dados empresariais, utilizados hoje em dia ainda esto hospedados no Mainframe. Pegue a lista dos dez maiores bancos brasileiros (pblicos ou privados) e, no mnimo, cinco deles, ainda tem grande parte dos dados no Mainframe. Um dos bancos do qual sou correntista mantm os dados no Mainframe. Quando eu acesso meu extrato via Internet, com toda segurana, usando Certificado Digital, com uma interface grfica (tudo muito moderno) estou na verdade acessando dados que esto no Mainframe. Tem alguma coisa de errado com isso? Nada. Conforme voc mesmo poder concluir ao final deste tpico, o modelo baseado no Mainframe tem muitas vantagens que foram desprezadas na dcada de 90, mas que hoje so mais valorizadas do que nunca. O modelo baseado no Mainframe tem inmeras vantagens, dentre as quais destaco as listadas a seguir: Gerenciamento e Administrao centralizada: Como os programas e os dados ficam instalados no mainframe, fica mais fcil fazer o gerenciamento deste ambiente. A partir de um nico local o Administrador pode instalar novos sistemas, atualizar as verses dos sistemas j existentes, gerenciar o espao utilizado em disco, gerenciar as operaes de Backup/Restore, atualizaes do sistema operacional e configuraes de segurana. Ambiente mais seguro: Com o gerenciamento centralizado mais fcil manter o ambiente seguro, uma vez que um nmero menor de pessoas tem acesso ao ambiente. A segurana fsica tambm fica mais fcil de ser mantida, pois existe um nico local a ser protegido. Este o ponto principal e o objetivo para incluso deste tpico neste curso de Segurana no Windows XP. Ao final deste tpico voc entender porque hoje, aumentaram tantos os riscos relacionados a segurana. Facilidade para atualizao dos sistemas: Como os sistemas so instalados em um nico local, centralizadamente no Mainframe, fica muito simplificada a tarefa de instalar novos sistemas e fazer atualizaes nos sistemas j existentes. Por exemplo, quando voc precisa atualizar um novo sistema, s instalar a nova verso no Mainframe e pronto. A prxima vez que os usurios fizerem a conexo com o Mainframe, j tero acesso a verso atualizada, sem que tenha que ser atualizado o

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 18 de 290

Segurana no Windows XP Professional - Bsico software em cada um dos terminais que iro acessar a aplicao. Isso elimina grande parte do trabalho de administrao, implementao e suporte a aplicaes. Claro que este modelo no era (e no ainda hoje), somente vantagens. Pois se assim fosse, no teriam surgidos novos modelos, com propostas de descentralizao como foi o caso do modelo Cliente/Servidor (o qual descreverei logo a seguir). Dentre as principais desvantagens do Mainframe, podemos destacar as seguintes: O custo elevado: Ou pelo menos as pessoas achavam que o custo era elevado, at descobrirem o chamado TCO Total Cost Ownership, do modelo Cliente/Servidor. Mais adiante, quando for apresentado o modelo Cliente/Servidor, voc entender melhor o que de ironia nesta frase. Velocidade dos links: As linhas de comunicao no Brasil apresentavam problemas serissimos de desempenho e confiabilidade e custavam verdadeiras fortunas (no que hoje esteja uma maravilha, mas convenhamos que melhorou bastante). Alm disso, a dependncia da linha de comunicao era completa, ou seja, quando a linha ficasse fora do ar (o que acontecia com uma freqncia espantosa no incio dos anos 90), ningum tinha acesso aos sistemas. Administrao terceirizada: Na maioria dos casos, os sistemas e dados da empresa eram administrados por terceiros. O fato de os dados vitais para o funcionamento da empresa estarem sob a guarda de terceiros comeou a ser questionado. As empresas no tinham nenhuma garantia concreta de como estes dados estavam sendo manipulados, e sobre quem tinha acesso aos dados e aos logs de auditoria de acesso aos dados. Neste momento comea surgir um movimento pr descentralizao dos dados, em favor de trazer os dados para servidores dentro da empresa ou sob o controle da empresa. Logo a seguir descrevo este e outros motivos que foram as grandes promessas do modelo Cliente/Servidor, modelo este que seria o paraso (permitam-me um sorriso irnico) comparado com o modelo centralizado, baseado no Mainframe.

Morte ao Mainframe, viva a descentralizao!!! Normalmente quando comea a surgir um movimento de mudana, este apresenta caractersticas contrrias aos princpios do modelo vigente. Foi mais ou menos o que aconteceu com o modelo Cliente/Servidor, em relao ao modelo baseado no Mainframe. No final da dcada de 80, incio dos anos 90, os computadores padro PC j eram uma realidade. Com o aumento das vendas os custos comearam a baixar e mais e mais empresas comearam a comprar computadores padro PC. O prximo estgio neste processo foi, naturalmente, a ligao deste computadores em rede. Desde as primeiras redes, baseadas em cabos coaxiais, at as modernas redes, baseadas em cabeamento estruturado e potentes Switchs de 100 MB ou de 1GB, o computador padro PC continua sendo amplamente utilizado. A idia bsica do modelo Cliente/Servidor era uma descentralizao dos dados e dos aplicativos, trazendo os dados para servidores localizados na rede local onde os dados fossem
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 19 de 290

Segurana no Windows XP Professional - Bsico utilizados e os aplicativos instalados nos computadores da rede. Este movimento de um computador de grande porte Mainframe, em direo a servidores de menor porte servidores de rede local, foi conhecido como Downsizing, que eu me atrevo a traduzir como Reduo de Tamanho. A seguir apresento um diagrama para ilustrar o modelo Cliente/Servidor. Depois fao alguns comentrios para salientar os elementos deste modelo e em seguida comento as vantagens e desvantagens. No diagrama da Figura a seguir temos um exemplo de uma rede baseada no modelo Cliente/Servidor:

Figura - O modelo de rede Cliente/Servidor. No modelo Cliente/Servidor temos um ou mais equipamentos de maior capacidade de processamento, atuando como Servidores. Estes equipamentos normalmente ficam reunidos em uma sala conhecida como Sala dos Servidores. So equipamentos com maior poder de processamento (normalmente com dois ou mais processadores) , com grande quantidade de memria RAM e grande capacidade de armazenamento em disco. Os servidores normalmente rodam um Sistema Operacional especfico para servidor, como por exemplo um dos sistemas operacionais listados a seguir: Alguma verso do UNIX: AIX, HP-UX, SCO, etc. Novell Linux Windows 2000 Server Windows Server 2003

Nos servidores ficam os recursos a serem acessados pelas estaes de trabalho da rede, como por exemplo pastas compartilhadas, impressoras compartilhadas, pginas da Intranet da empresa, aplicaes empresariais, bancos de dados, etc. Como o prprio nome sugere, o
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 20 de 290

Segurana no Windows XP Professional - Bsico servidor Serve recursos e servios que sero utilizados pelas estaes de trabalho da rede, as quais so chamadas de estaes cliente ou simplesmente clientes. Nas estaes de trabalho dos usurios (conhecidas como clientes), so instalados programas, que fazem acesso a recursos disponibilizados pelos servidores. O exemplo mais tpico de aplicao Cliente/Servidor, uma aplicao desenvolvida em Visual Basic ou Delphi, a qual acessa dados de um servidor SQL Server 2000, instalado em um servidor da rede. No diagrama da Figura anterior, temos um exemplo onde esto sendo utilizados trs servidores: Servidor de arquivos Servidor de banco de dados Servidor para outras funes (autenticao de usurios, resoluo de nomes, etc).

O modelo Cliente/Servidor pareceu, no incio, ser uma soluo definitiva em substituio ao modelo baseado no Mainframe. Porm os problemas, que no foram poucos, comearam a aparecer, dentre eles o elevado custo de administrao e manuteno de uma rede baseada neste modelo, conforme descreveremos mais adiante. Para entender o porqu deste custo elevado, preciso falar um pouco sobre o modelo de aplicaes em duas camadas, tambm conhecido como Cliente/Servidor clssico e todos os seus problemas. Modelo em 2 camadas No incio da utilizao do modelo Cliente/Servidor, as aplicaes foram desenvolvidas utilizando-se um modelo de desenvolvimento em duas camadas. Neste modelo, os programas, normalmente desenvolvidos em um ambiente grfico de desenvolvimento, como o Visual Basic, Delphi ou Power Builder, so instalados em cada estao de trabalho - Cliente. Este programa acessa dados em um servidor de banco de dados, conforme ilustrado na Figura a seguir:

Figura - O Modelo de desenvolvimento em duas camadas.


Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 21 de 290

Segurana no Windows XP Professional - Bsico Neste modelo ,cada programa instalado na estao de trabalho Cliente. Programa esse que faz acesso ao banco de dados que fica residente no Servidor de Banco de dados. Na maioria dos casos, a mquina do cliente um PC rodando Windows, e a aplicao Cliente desenvolvida utilizando-se um dos ambientes conhecidos, conforme citado anteriormente. Sendo a aplicao cliente, um programa para Windows (na grande maioria dos casos), esta deve ser instalada em cada um das estaes de trabalho da rede. o processo de instalao normal, para qualquer aplicao Windows. No modelo de 2 camadas, a aplicao Cliente responsvel pelas seguintes funes: Apresentao: O Cdigo que gera a Interface visvel do programa, faz parte da aplicao cliente. Todos os formulrios, menus e demais elementos visuais, esto contidos no cdigo da aplicao cliente. Caso sejam necessrias alteraes na interface do programa, faz-se necessria a gerao de uma nova verso do programa, e todos as estaes de trabalho que possuem a verso anterior, devem receber a nova verso, para que o usurio possa ter acesso as alteraes da interface. A que comeam a surgir os problemas no modelo em 2 camadas: Uma simples alterao de interface, suficiente para gerar a necessidade de atualizar a aplicao, em centenas ou milhares de estaes de trabalho, dependendo do porte da empresa. O gerenciamento desta tarefa, algo extremamente complexo e oneroso financeiramente. Lgica do Negcio: As regras que definem a maneira como os dados sero acessados e processados, so conhecidas como Lgica do Negcio. Fazem parte da Lgica do Negcio, desde funes simples de validao da entrada de dados, como o clculo do digito verificador de um CPF ou CNPJ, at funes mais complexas, como descontos escalonados para os maiores clientes, de acordo com o volume da compra. Questes relativas a legislao fiscal e escrita contbil, tambm fazem parte da Lgica do Negcio. Por exemplo, um programa para gerncia de Recursos Humanos, desenvolvido para a legislao dos EUA, no pode ser utilizado, sem modificaes, por uma empresa brasileira. Isso acontece porque a legislao dos EUA diferente da legislao brasileira. Em sntese, as regras para o sistema de Recursos humanos so diferentes. Alteraes nas regras do negcio so bastante freqentes, ainda mais com as repetidas mudanas na legislao do nosso pas. Com isso, faz-se necessria a gerao de uma nova verso do programa, cada vez que uma determinada regra de negcio muda, ou quando regras forem acrescentadas ou retiradas. Desta forma, todos as estaes de trabalho que possuem a verso anterior, devem receber a nova verso, para que o usurio possa ter acesso as alteraes . Agora temos mais um srio problema no modelo de 2 camadas: Qualquer alterao nas regras do negcio (o que ocorre com freqncia), suficiente para gerar a necessidade de atualizar a aplicao, em centenas ou milhares de computadores. O que j era complicado, piorou um pouco mais.

A outra camada, no modelo de 2 camadas, o Banco de dados, o qual fica armazenado no Servidor de banco de dados. Por exemplo, um servidor com o Windows Server 2003 e com o SQL Server 2000, no qual esto os bancos de dados utilizados pelos aplicativos Cliente/Servidor da empresa. Com a evoluo do mercado e as alteraes da legislao, mudanas nas regras do negcio so bastante freqentes. Com isso o modelo de duas camadas, demonstrou-se de difcil
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 22 de 290

Segurana no Windows XP Professional - Bsico manuteno e gerenciamento, alm de apresentar um TCO Total Cost Ownership (Custo Total de Propriedade) bastante elevado. O TCO uma medida do custo total, anual, para manter uma estao de trabalho conectada rede, e funcionando com todos os programas que o usurio necessita, atualizados. Este custo leva em conta uma srie de fatores, tais como o custo do Hardware, o custo das licenas de software, o custo do desenvolvimento de aplicaes na prpria empresa, o custo das horas paradas em que o funcionrio no pode utilizar os sistemas por problemas na sua estao de trabalho e assim por diante. Alguns clculos chegaram a apontar que o custo para manter um PC em rede, por ano, fica na casa dos U$ 10.000 ( dlares mesmo). Na prtica este custo mostrou-se impraticvel. Sempre que um determinado modelo apresenta problemas, aparentemente intransponveis, a indstria de informtica parte para a criao de novos modelos. Em busca de solues para os problemas do modelo de duas camadas, que surgiu a proposta do modelo de 3 camadas, conforme analisaremos a seguir. Para que voc possa entender como a evoluo partiu do mundo baseado no Mainframe, para uma tentativa de um mundo baseado completamente no modelo Cliente/Servidor e acabou por chegar a um modelo misto, vou detalhar o modelo de aplicaes Web, baseado em 3 ou mais camadas. Aplicaes em 3 camadas Como uma evoluo do modelo de 2 camadas, surge o modelo de trs camadas. A idia bsica do modelo de 3 camadas, retirar as Regras do Negcio, da aplicao Cliente e centraliz-las em um determinado ponto (as aplicaes saram do Mainframe para as estaes de trabalho agora comeam a ser centralizadas novamente nos servidores da rede), o qual chamado de Servidor de Aplicaes. O acesso ao banco de dados feito atravs das regras contidas no Servidor de Aplicaes. Ao centralizar as Regras do Negcio em um nico ponto, fica muito mais fcil a atualizao destas regras, as quais conforme descrito anteriormente, mudam constantemente. A Figura a seguir, nos d uma viso geral do modelo em 3 camadas:

Figura - O Modelo de desenvolvimento em trs camadas.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 23 de 290

Segurana no Windows XP Professional - Bsico Todo o acesso do cliente, aos dados do servidor de Banco de dados, feito de acordo com as regras contidas no Servidor de Aplicaes. O cliente no tem acesso aos dados do servidor de Banco de dados, sem antes passar pelo servidor de aplicaes. Com isso as trs camadas so as seguintes: Apresentao: Continua a fazer parte do programa instalado no cliente. Alteraes na Interface do programa, ainda iro gerar a necessidade de atualizar a aplicao em todos as estaes de trabalho da rede, onde a aplicao estiver sendo utilizada. Porm cabe ressaltar, que alteraes na interface, so menos freqentes do que alteraes nas regras do negcio. Lgica: So as regras do negcio, as quais determinam de que maneira os dados sero utilizados e manipulados pelas aplicaes. Esta camada foi deslocada para o Servidor de Aplicaes. Desta maneira, quando uma regra do negcio for alterada, basta atualiz-la no Servidor de Aplicaes. Aps a atualizao, todos os usurios passaro a ter acesso a nova verso, sem que seja necessrio reinstalar o programa cliente em cada um dos computadores da rede. Vejam que ao centralizar as regras do negcio em um Servidor de Aplicaes, estamos facilitando a tarefa de manter a aplicao atualizada. As coisas esto comeando a melhorar. Dados: Nesta camada temos o servidor de banco de dados, no qual reside toda a informao necessria para o funcionamento da aplicao. Cabe reforar, que os dados somente so acessados atravs do Servidor de Aplicao, e no diretamente pela aplicao cliente. Esta uma caracterstica muito importante do modelo em 3 camadas, ou seja, a aplicao nunca faz acesso direto aos dados. Todo acesso aos dados feito atravs do servidor de aplicaes, onde esto as regras do negcio.

Com a introduo da camada de Lgica, resolvemos o problema de termos que atualizar a aplicao, em centenas ou milhares de estaes de trabalho, toda vez que uma regra do negcio for alterada. Porm continuamos com o problema de atualizao da interface da aplicao, cada vez que sejam necessrias mudanas na Interface. Por isso que surgiram os modelos de n-camadas. No prximo tpico, vou falar um pouco sobre o modelo de 4 camadas Aplicaes em quatro camadas Como uma evoluo do modelo de trs camadas, surge o modelo de quatro camadas. A idia bsica do modelo de 4 camadas, retirar a apresentao do cliente e centraliz-las em um determinado ponto (agora est ainda mais parecido com a poca do Mainframe, onde a aplicao ficava residente no mainframe e era acessada via terminal burro), o qual na maioria dos casos um servidor Web. Com isso o prprio Cliente deixa de existir como um programa que precisa ser instalado em cada computador da rede. O acesso a aplicao, feito atravs de um Navegador, como por exemplo, o Internet Explorer ou o Netscape Navigator. A Figura a seguir, nos d uma viso geral do modelo em quatro camadas:

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 24 de 290

Segurana no Windows XP Professional - Bsico

Figura - O Modelo de desenvolvimento em quatro camadas. Para acessar a aplicao, o cliente acessa o endereo da aplicao, utilizando o seu navegador, como no exemplo a seguir: http://intranet.minhaempresa.com/sistemas/vendas.aspx Todo o acesso do cliente ao Banco de dados, feito de acordo com as regras contidas no Servidor de aplicaes. O cliente no tem acesso ao Banco de dados, sem antes passar pelo servidor de aplicaes. Com isso temos as seguintes camadas: Cliente: Nesta caso o Cliente o Navegador utilizado pelo usurio, quer seja o Internet Explorer, quer seja o Netscape Navigator, ou outro navegador qualquer. Apresentao: Passa a ser disponibilizada pelo Servidor Web. A interface pode ser composta de pginas HTML, ASP, PHP, Flash ou qualquer outra tecnologia capaz de gerar contedo para o navegador. Com isso alteraes na interface da aplicao, so feitas diretamente no servidor Web, sendo que estas alteraes estaro, automaticamente, disponveis para todos os Clientes (parece ou no parece Mainframe, com o Navegador fazendo o papel do terminal de acesso?). Com este modelo no existe a necessidade de reinstalar a aplicao em todos os computadores da rede. Fica muito mais fcil garantir que todos esto tendo acesso a verso mais atualizada da aplicao. A nica coisa que o cliente precisa ter instalado na sua mquina, o navegador. Com isso os custos de manuteno e atualizao de aplicaes fica bastante reduzido, ou seja, baixa o TCO Total Cost Ownership.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 25 de 290

Segurana no Windows XP Professional - Bsico Lgica: So as regras do negcio, as quais determinam de que maneira os dados sero utilizados. Esta camada est no Servidor de Aplicaes. Desta maneira, quando uma regra do negcio for alterada, basta atualiz-la no Servidor de Aplicaes. Aps a atualizao, todos os usurios passaro a ter acesso a nova verso, sem que seja necessrio reinstalar o programa em cada estao de trabalho da rede. Vejam que ao centralizar as regras do negcio em um Servidor de Aplicaes, estamos facilitando a tarefa de manter a aplicao atualizada. Dados: Nesta camada temos o servidor de banco de dados, no qual reside toda a informao necessria para o funcionamento da aplicao.

Com o deslocamento da camada de apresentao para um Servidor Web, resolvemos o problema de termos que atualizar a aplicao, em centenas ou milhares de computadores, cada vez que uma a interface precisar de alteraes. Neste ponto a atualizao das aplicaes uma tarefa mais gerencivel, muito diferente do que acontecia no caso do modelo em 2 camadas. Os servidores de Aplicao, Web e banco de dados, no precisam, necessariamente ser servidores separados, isto , uma mquina para fazer o papel de cada um dos servidores. O conceito de servidor de Aplicao, servidor Web ou servidor de Banco de dados, um conceito relacionado com a funo que o servidor desempenha. Podemos ter, em um mesmo equipamento, um Servidor de aplicaes, um servidor Web e um servidor de banco de dados. Claro que questes de desempenho devem ser levadas em considerao. Tambm podemos ter a funcionalidade do Servidor de Aplicaes distribuda atravs de vrios servidores, com cada servidor tendo alguns componentes que formam parte das funcionalidades da aplicao. Este modelo onde temos componentes em diversos equipamentos, conhecido como Modelo de Aplicaes Distribudas. Tambm podemos colocar os componentes em mais do que um servidor para obter um melhor desempenho, ou redundncia, no caso de um servidor falhar. O Jlio ficou louco ou estamos voltando ao Mainframe? Amigo leitor, nem uma, nem outra. Voc deve estar utilizando os seguintes passos de raciocnio, baseado no texto que acabou de ler: 1. Na poca do Mainframe os aplicativos e os dados ficavam no Mainframe. O acesso era feito atravs de terminais, conhecidos como terminais burros. A administrao era feita centralizadamente, o que facilitava a atualizao e manuteno das aplicaes. 2. No modelo Cliente/Servidor clssico a aplicao e a lgica ficava no programa instalado na estao de trabalho cliente e os dados no servidor de banco de dados. Isso gera dificuldades para atualizao das aplicaes e um elevado custo para manter este modelo funcionando. 3. A nova tendncia portar as aplicaes para um modelo de n camadas, onde as aplicaes, a lgica e os dados ficam em servidores (de aplicaes, Web e de banco de dados) e o acesso feito atravs de um Navegador. 4. Puxa, mas o modelo em n camadas praticamente o mesmo modelo do Mainframe, com aplicaes e dados no servidor, administrao centralizada e reduo no custo de
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 26 de 290

Segurana no Windows XP Professional - Bsico propriedade (TCO) em relao ao modelo Cliente/Servidor tradicional? isso mesmo, este modelo muito prximo do modelo do Mainframe, porm com todas as vantagens da evoluo da informtica nestas ltimas dcadas, tais como interfaces grficas, programas mais poderosos e por a vai. Na prtica, o que est em uso nas empresas um modelo misto, onde algumas aplicaes rodam no PC do usurio e outras so acessadas atravs da rede, mas rodam nos servidores da rede da empresa. O que se busca o melhor dos dois mundos, ou seja os recursos sofisticados e aplicaes potentes com interfaces ricas do modelo Cliente/Servidor, com a facilidade e baixo custo do modelo Centralizado da poca do Mainframe. Posso citar o exemplo de um dos bancos com os quais trabalho. Quando vou ao banco renovar um seguro ou tratar algum assunto diretamente com o gerente, vejo que ele tem na sua estao de trabalho, aplicativos de produo do dia-a-dia, tais como o Microsoft Word, Microsoft Excel, um aplicativo de clculos e anlise de crdito e assim por diante. Este mesmo gerente utiliza o site da empresa para fornecer informaes. Ele tambm utiliza a Intranet da empresa para se manter atualizado. Alm disso ele utiliza alguns sistemas que ainda residem no bom e velho mainframe. Por exemplo, quando eu peo que ele faa uma alterao no meu endereo de correspondncia, ela acessa a famosa telinha verde, de um programa emulador de terminal, que acessa uma aplicao que est no Mainframe da empresa. Este caminho me parece muito mais sensato, ou seja, no precisa ser um ou outro modelo, mas sim o melhor dos dois mundos. E o que que todo este histrico tem a ver com segurana? Um pergunta que o amigo leitor pode estar se fazendo a seguinte:Mas o que tem a ver todo este histrico, com a questo de segurana, a qual o foco deste curso? Muito bem, eu apresentei este histrico, para mostrar que hoje, vivemos em um mundo conectado. Ou seja, a quase totalidade dos computadores est ligado em redes locais e as redes locais de uma mesma empresa, conectadas entre si atravs de linhas de comunicao e tambm conectadas com a Internet. Vejam que hoje o que temos uma grande rede mundial. como se todos estivssemos conectados a uma nica rede, rede esta conhecida como Internet. O fato de estarmos todos conectados em rede, faz com que a questo de segurana assuma uma importncia sem precedentes. Ao estarmos conectados, todos temos um caminho fsico para tentar acessar outros computadores e recursos desta imensa rede global. Se no dermos a devido importncia a segurana, nossos computadores e sistemas estaro mal configurados e sero presa fcil para acesso de hackers mau intencionados. O objetivo principal deste histrico foi chamar a ateno para o fato de estarmos todos conectados, em rede, via Internet. E isso demanda cuidados especiais em relao a segurana. O foco deste curso justamente este, ou seja, ensinar o amigo leitor a utilizar os recursos bsicos de segurana do Windows XP Professional, para que voc possa se proteger o mximo possvel, dos perigos de segurana existentes.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 27 de 290

Segurana no Windows XP Professional - Bsico Quais as Principais Ameaas existentes? Quando tratamos de segurana, existem trs conceitos fundamentais que temos que ter em mente: Integridade, Disponibilidade e Confidencialidade. Todo planejamento de segurana deve buscar um equilbrio e um bom senso entre estes trs fatores. Por exemplo, que valor tem um sistema absolutamente seguro, 100% mas ao qual ningum tem acesso, nem mesmo os usurios que deveriam ter acesso. Neste exemplo o quesito Confidencialidade est 100%, porm o quesito Disponibilidade est 0%, ou seja, os trs fatores esto desequilibrados. O grande desafio da segurana promover um equilbrio entre estes trs fatores, com base nos requisitos reais de uso da informao. A seguir vamos nos deter um pouco mais sobre estes trs fatores, antes de passarmos a apresentao das principais ameaas a segurana. Integridade das Informaes: As informaes tornaram-se, sem dvidas, o bem mais precioso de uma empresa e tambm do usurio. Voc no pode correr o risco de perder seus arquivos de dados ou ter estes arquivos modificados, por pessoas no autorizadas. Da mesma forma, uma empresa no pode correr o risco de ter suas informaes alteradas ou excludas, quer seja intencionalmente ou por engano. A integridade existe e est garantida quando a preciso e a confiabilidade das informaes esto garantidas e quando no possvel a modificao ou excluso no autorizada das informaes. Em resumo, a integridade deve garantir que somente deve ter acesso s informaes os usurios realmente autorizados e com o nvel de acesso autorizado. Por exemplo, vamos supor que voc utilize um computador em casa, o qual tambm utilizado por seus filhos pequenos e pelo seu marido. Voc quer alguma garantia de que quando os seus filhos estejam usando o computador, no seja possvel para eles modificar arquivos importantes que voc criou ou at mesmo excluir estes arquivos. Ao fazer isso voc est garantindo a integridade da informao contida no seu computador. J imaginou o seu filho de seis anos, excluindo o arquivo .DOC que contm toda a sua tese de mestrado, na noite anterior a apresentao?? E para piorar voc no tem uma cpia de segurana?? Um belo problema, no mesmo. A boa notcia que o Windows XP Professional contm mecanismos eficientes para garantir a integridade da informao. Voc ver nos tpicos sobre Permisses NTFS (Mdulo 3) e sobre Criptografia (Mdulo 7) que voc pode proteger arquivos e pastas, de tal pessoa que usurios no autorizados no possam acessar ou possam acessar os arquivos com um nvel reduzido de permisses, como por exemplo somente leitura. Com isso j estamos vendo que o Windows XP tem recursos importantes (e fceis de usar, conforme voc ver durante este curso), para garantir a segurana e a Integridade das informaes. Observe que neste exemplo eu tambm fiz a seguinte afirmao E para piorar voc no tem uma cpia de segurana??. As cpias de segurana tem a ver com o prximo fator relacionado a segurana: disponibilidade. A seguir vamos falar um pouco mais sobre disponibilidade.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 28 de 290

Segurana no Windows XP Professional - Bsico Disponibilidade das Informaes: As informaes tornaram-se, sem dvidas, o bem mais precioso de uma empresa e tambm do usurio. Imagine um site que vende pela Internet. Se ele tiver problemas no banco de dados do site, pode correr o risco de ficar fora do ar por horas ou dias. Isso sinnimo de prejuzo. E se ele perder informaes sobre pagamentos e parcelamentos?? Mais prejuzos, pois no ter como cobrar clientes que atrazarem pagamentos. Problemas com o acesso s informaes , sempre, sinnimo de prejuzo. A disponibilidade a garantia de que os usurios e sistemas tero acesso aos seus dados, sempre que for necessrio. No exemplo do filho que excluiu o .DOC com a tese de mestrado da me e no havia uma cpia de segurana, temos um problema de disponibilidade da informao, ou seja, a informao que ela tanto precisava (o seu arquivo .DOC com toda a sua tese de mestrado) no est mais disponvel, porque no foi seguido uma das recomendaes mais bsicas sobre segurana: a criao peridica de cpias de segurana (Backup). Por isso que eu citei anteriormente, que as Cpias de Segurana (Backup) esto relacionadas com a disponibilidade da informao. Uma boa estratgia de backup, garante que a informao estar disponvel, sempre que for necessria. Confidencialidade das Informaes: Existem informaes que devem ter o acesso restringido, ou seja, somente determinados usurios devem ter acesso a determinadas informaes. Alm disso, pode ocorrer de haver nveis diferentes de acesso, tais como somente consulta, consulta e alterao, consulta, alterao e excluso e assim por diante. Todas estas questes esto relacionadas a Confidencialidade da informao, conforme fica fcil de entender, com base na definio de Confidencialidade, apresentada a seguir: Definio: Propriedade de certas informaes que no podem ser disponibilizadas ou divulgadas sem autorizao para pessoas, entidades ou processos. O conceito de garantir a informao sensvel confidencial, limitada para um grupo apropriado de pessoas ou organizaes. A confidencialidade diz que a informao s deve estar disponvel usurios devidamente autorizados. Em resumo, a confidencialidade, diz que as informaes somente devem ser acessadas por usurios explicitamente autorizadas; a proteo de sistemas de informao para impedir que pessoas no autorizadas tenham acesso as informaes. O aspecto mais importante deste item garantir a identificao e autenticao das partes envolvidas. Neste curso veremos diversos tpicos, diretamente relacionados com a Confidencialidade. Por exemplo, do pargrafo anterior, extraio o seguinte trecho: O aspecto mais importante deste item garantir a identificao e autenticao das partes envolvidas. A identificao de um usurio, no Windows XP, feita atravs da obrigatoriedade do logon do usurio. Para fazer o logon o usurio fornece o seu nome de logon e senha. Com isso, o usurio fica identificado para o Windows XP.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 29 de 290

Segurana no Windows XP Professional - Bsico Principais Inimigos da Segurana da Informao Nos j vimos at agora que estamos em um mundo conectado, todos em redes e que esse ambiente fez com que aumentasse bastante os cuidados que devemos ter em relao s segurana. Pelo que vimos no item anterior, vemos que o principal papel dos recursos de segurana garantir a Integridade, a Disponibilidade e a confiabilidade da informao. A integridade deve garantir que somente deve ter acesso s informaes os usurios realmente autorizados e com o nvel de acesso autorizado. A disponibilidade a garantia de que os usurios e sistemas tero acesso aos seus dados, sempre que for necessrio. A confidencialidade, diz que as informaes somente devem ser acessadas por usurios explicitamente autorizadas; a proteo de sistemas de informao para impedir que pessoas no autorizadas tenham acesso as informaes. Estas so as caractersticas/fatores que devem ser garantidos. Mas quem so os principais inimigos da segurana da informao?? o que vamos apresentar, brevemente, neste tpico. Vrus de computador: Vamos iniciar pela ameaa mais conhecida, os famigerados vrus de computador. Na Cartilha de Segurana na Internet, de autoria do NBSO, no endereo a seguir: http://www.nbso.nic.br/docs/cartilha/cartilha-01-conceitos.html#sec7, temos o seguinte conceito para vrus: Vrus um programa capaz de infectar outros programas e arquivos de um computador. Para realizar a infeco, o vrus embute uma cpia de si mesmo em um programa ou arquivo, que quando executado tambm executa o vrus, dando continuidade ao processo de infeco. Simplificando, um vrus de computador , em primeiro lugar, um programa de computador. Este programa capaz de embutir cpias de si mesmo em outros programas. Quando um programa infectado com um vrus executado, o vrus tambm executado e passa a atuar. Existem vrus que fazem as mais variadas aes no computador, desde aes inofensivas a segurana, tais como ficar exibindo mensagens na tela, at aes catastrficas, capazes de fazer com que toda a informao do computador seja perdida. Como que um vrus foi parar no meu computador??? O vrus instalado quando voc executa um programa contaminado com o vrus. Pode ser um arquivo que voc recebeu anexado, via e-mail, com uma linda mensagem. Voc executa o programa e enquanto voc l a mensagem, o vrus est sendo instalado no seu computador. Depois, cada vez que voc abrir um dos arquivos infectados com o vrus, este ser executado e poder infectar novos arquivos, at o ponto em que o vrus esteja disseminado por dezenas ou centenas de arquivos, no seu computador. O exemplo do arquivo anexado via e-mail apenas uma das maneiras como um computador pode ser infectado por um vrus. Os vrus tambm podem estar em documentos do Word,
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 30 de 290

Segurana no Windows XP Professional - Bsico planilhas do Excel ou apresentaes do PowerPoint. Podem estar em um arquivo que voc baixou da Internet e resolveu instalar no seu computador, podem estar em um arquivo em disquete ou CD, que voc usou em outros computadores, os quais estavam infectados e assim por diante. Em resumo, um vrus de computador nada mais do que um programa de computador, o qual capaz de instalar cpias de si mesmo, em outros arquivos. Um arquivo que contm uma cpia de um vrus dito um arquivo infectado. Ao executar um arquivo infectado, o vrus ser tambm executado e passar a atuar no seu computador. Felizmente existem remdios bem eficientes para ajudar no combate a estas verdadeiras pragas virtuais, que so os vrus. Para combate-los, usamos os chamados programas antivrus. Conforme detalharei no mdulo 6, hoje em dia imprescindvel ter um bom antivrus instalado no computador e manter este anti-vrus sempre atualizado. Worms: Nos podemos considerar o Worm como uma evoluo dos vrus. Os vrus so capazes de infectar outros arquivos, no computador onde o vrus est presente. J os Worms so capazes de se propagar atravs da rede, ou seja, um Worm capaz de enviar cpias de si mesmo, para outros computadores da rede. Observem que a capacidade de infeco de um Worm muito maior do que a de um simples vrus, pois o Worm capaz de se instalar remotamente, nas mquinas da rede. Um dos exemplos mais conhecidos e recentes de Worm foi o famigerado MS Blast, o qual fez estragos no segundo semestre do ano passado. Este um dos Worms com maior capacidade de propagao, j conhecidos. Ele capaz de, at mesmo, se propagar via Internet. Computadores com o Windows 2000, Windows XP ou Windows Server 2003, que no estivessem atualizados, com as ltimas correes de segurana, seriam infectados pelo MS Blast, simplesmente ao se conectar Internet. Ao contrrio de grande parte dos worms, o Blaster, como tambm ficou conhecido o MS Blast, no se propaga via e-mail. Em vez disso, ele "escaneia" a Internet procura do computadores vulnerveis (computadores que no tem instalada as correes de segurana). Quando encontra um, cria uma ligao remota, na porta 4444 usando o protocolo TCP e copia para o computador um arquivo chamado msblast.exe, via FTP. Tambm altera o registro do sistema para executar o vrus sempre que o computador reiniciado. O MS Blast chegou a incrvel marca de ter infectado 5% de todos os computadores do mundo. Este dado importante para mostrar o poder de infeco de um Worm. Veja o que diz a Cartilha de segurana da NBSO sobre os Worms: Worms so notadamente responsveis por consumir muitos recursos. Degradam sensivelmente o desempenho de redes e podem lotar o disco rgido de computadores, devido grande quantidade de cpias de si mesmo que costumam propagar. Alm disso, podem gerar grandes transtornos para aqueles que esto recebendo tais cpias.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 31 de 290

Segurana no Windows XP Professional - Bsico Cavalo de Tria: Todos conhecem a famosa histria da guerra entre Gregos e Trorianos, onde os gregos presentearam os Trorianos com uma imensa esttua de um cavalo. S que a esttua estava recheada de soldados gregos, os quais fizeram um verdadeiro estrago aos Trorianos. Ou seja um presente nada desejado. Este fato inspirou a nomeao de um tipo de ameaa que haja de forma parecida. Ou seja, o que um cavalo de tria em informtica? A Cartilha de Segurana na Internet, da NBSO, apresenta a seguinte definio para Cavalo de Tria: Na informtica, um Cavalo de Tria (Trojan Horse) um programa que alm de executar funes para as quais foi aparentemente projetado, tambm executa outras funes normalmente maliciosas e sem o conhecimento do usurio. Ou seja, um verdadeiro presente de grego. O cavalo de tria um programa que voc instala, o qual aparentemente no tem maiores problemas. Por exemplo, voc baixa da Internet um programa para fazer grficos de funes matemticas. Voc usa o programa e ele funciona perfeitamente, fazendo grficos de funes de primeiro grau, de segundo grau, grficos de funes exponenciais e outros, sem nenhum problema. S que, ao mesmo tempo em que faz os grficos, o programa tambm abre portas para que o seu computador possa ser acessado pela rede. Este um exemplo tpico de Cavalo de tria, ou seja, o programa executa as suas funes normais, para que o usurio no desconfie de nada. Mas em segundo plano, bem na surdina, fica alterando configuraes e abrindo portas para que o seu computador possa ser acessado pela rede. Os cavalos de tria so muito utilizados pelos estelionatrios virtuais. Alm de abrir portas para invaso, o cavalo de tria tambm pode ser programado para roubar informaes importantes do usurio, tais como nmero de contas bancrias e as respectivas senhas, nmero do Carto de Crdito e assim por diante. O estelionatrio disponibiliza o programa com o cavalo de tria como se fosse um programa para executar uma funo qualquer, tal como converter CDs para o formato .mp3. O usurio baixa o programa, instala e usa ele. O programa funciona normalmente, ou seja, faz a converso ao qual se propem. O usurio fica contente e no desconfia de nada. Porm alm das funes para o qual se propem, o programa tambm executa aes em segundo plano, sem que o usurio saiba. O programa fica tentando roubar informaes do usurio e envia-las para um e-mail do responsvel pelo programa. Temos aqui um exemplo tpico de um cavalo de tria. A boa notcia que os programas anti-vrus so capazes de detectar e eliminar os cavalos de tria. Mas a melhor proteo ainda a preveno. Ou seja, voc deve evitar baixar e instalar programas de origens desconhecidas. Se voc encontra um programa na Internet, o qual executa algo que voc est precisando, mas voc no conhece o autor ou a empresa, recomendo tomar maiores cuidados e se informar mais, antes de baixar e instalar o programa. Os falsrios so expertos e disponibilizam os programas gratuitamente, para atrair o usurio. Muitas vezes, entre pagar 10 ou 15 dlares por um programa de uma empresa conhecida, o usurio prefere baixar um programa gratuito, de uma fonte desconhecida. Este o tipo de ao burra, que para poupar uma meia dzia de dlares, pode comprometer toda a segurana do seu computador, fazendo com que um cavalo de tria seja instalado.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 32 de 290

Segurana no Windows XP Professional - Bsico Questes relacionadas a segurana no Windows Muito bem, neste tpico, farei uma apresentao rpida das principais configuraes/opes bsicas de segurana do Windows XP Professional, sempre procurando relacionar estas configuraes/opes com a Integridade, Disponibilidade e Confidencialidade. Logon = Identificao do usurio Para ter acesso ao Windows XP o usurio deve fazer o logon. Fazer o logon significa informar o seu nome de usurio (o que feito clicando em uma lista de nomes de usurios ou digitando diretamente o nome de usurio) e a respectiva senha. Ao fornecer o seu nome de usurio e senha, o usurio est sendo identificado. Dizemos que com isso o Windows sabe quem o usurio logado. O logon serve para identificar o usurio. Ao identificar o usurio, o Windows XP pode verificar se o usurio tem ou no permisso para acessar determinados recursos. Por exemplo, vamos imaginar que exista uma pasta C:\Documentos, para a qual somente tem permisso de acesso os usurios jsilva e Maria. Se o usurio Pedro fizer o logon e tentar acessar esta pasta, o usurio receber uma mensagem de Acesso negado. Isso porque o Windows consegue identificar o usurio pelo seu logon, o Windows sabe que quem est usando o Windows o Pedro. Ao tentar acessar a pasta C:\Documentos, o Windows verifica a lista de usurios com permisso de acesso. Como o usurio Pedro no est na lista com permisso de acesso, o Windows emite a mensagem de acesso negado. Observe que com a identificao do usurio (atravs do logon), o Windows capaz de bloquear o acesso aos recursos para os quais o usurio no tem permisso. Com isso estamos garantindo a Confidencialidade dos dados, ou seja, a confidencialidade, diz que as informaes somente devem ser acessadas por usurios explicitamente autorizados; a proteo de sistemas de informao para impedir que pessoas no autorizadas tenham acesso as informaes. O aspecto mais importante deste item garantir a identificao e autenticao das partes envolvidas. A identificao/autenticao feita pelo logon. Ou seja, ao fazer o logon o usurio se identifica, se autentica com o Windows. No Mdulo 2 ns veremos todos os detalhes sobre o logon no Windows XP, sobre a criao de contas de usurios e grupos de usurios. Este ser o primeiro tpico sobre segurana no Windows, que iremos abordar neste curso. Ser o primeiro porque todos os demais tpicos dependem deste. Ou seja, toda a segurana configurada com base em contas de usurios e grupos de usurios. Permisses de acesso = garantia de confidencialidade No Mdulo 3 veremos dois tpicos relacionados diretamente com a confidencialidade da informao: Permisses de Compartilhamento e Permisses NTFS. atravs da definio de permisses, que possvel definir quais usurios e grupos tero acesso a determinadas pastas e arquivos e qual o nvel de acesso de cada usurio/grupo. Por exemplo, posso definir permisso somente leitura para o grupo Estagirios e Leitura, Alterao e Excluso para o grupo gerentes. Com isso garantimos a confidencialidade da informao, ou seja, os dados somente so acessados por usurios autorizados e com o nvel de acesso adequado.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 33 de 290

Segurana no Windows XP Professional - Bsico

Backup = Disponibilidade de dados No Mdulo 4 veremos como utilizar os recursos de Backup do Windows XP. Ter uma boa estratgia de Backup sinnimo de garantir a Disponibilidade dos dados. Problemas ocorrem, arquivos podem ser excludos por engano, pode ocorrer um problema fsico no HD, um vrus pode detonar com os arquivos do HD e assim por diante. A nica garantia de no perder os seus arquivos (o que sinnimo de perder horas e horas de trabalho) ter uma boa estratgia de backup. Todo o Mdulo 4 ser dedicado a um dos tpicos mais esquecidos, quando se trata de segurana: Backup. Fazer o Backup significa ter uma ou mais cpia de segurana, de arquivos importantes. Ter uma boa estratgia de Backup fundamental para evitar perda de dados, perda de tempo e retrabalho. Neste mdulo apresentarei os aspectos tericos e prticos, relacionados ao Backup. Darei dicas de como organizar as informaes no seu computador, visando facilitar o Backup dos dados. Tambm mostrarei as diferentes opes disponveis para fazer o Backup/Restore dos seus dados. No esquea, Backup = proteo contra perda de dados. Diretivas de Segurana = Garantia de Confidencialidade e Integridade O conceito de Diretivas de Segurana de grande importncia para aprimorar a segurana do Windows XP Professional. No mdulo 5 eu apresentarei o conceito de diretivas de segurana, mostrarei as diferentes categorias de diretivas disponveis, mostrarei como configurar as diretivas. Tambm apresentarei uma descrio detalhada, sobre as principais diretivas de segurana do Windows XP Professional. Falarei tambm sobre as GPOs Group Policy Objects. As GPOs so diretivas de segurana usadas, normalmente, em grandes redes, baseadas no Windows 2000 Server ou no Windows Server 2003 e no Active Directory. As GPOs so configuradas nos servidores (baseados no Windows 2000 Server ou Windows Server 2003) e aplicadas nas estaes clientes da rede, normalmente baseadas no Windows 2000 Professional ou Windows XP Professional. Com o uso de diretivas possvel restringir bastante o que cada usurio pode fazer e quais usurios podem fazer determinadas aes. Por exemplo, voc pode limitar quais usurios podem fazer o logon no computador ou qual usurios podem instalar programas e drivers e assim por diante. Este nvel adicional de proteo muito importante para garantir a Confidencialidade e a Integridade das informaes. Ao limitar quais usurios podem executar determinadas aes, voc limita a possibilidade de que os usurios instalem programas que possam causar perdas de dados ou que possam corromper as informaes. Com isso voc est aumentando as garantias de Integridade das informaes. Uso seguro da Internet = Confidencialidade + Integridade + Disponibilidade No incio deste mdulo eu apresentei um breve histrico sobre a evoluo dos ambientes informatizados, onde conclumos que hoje vivemos em um mundo conectado, onde a grande rede a Internet. Tambm salientei que este mundo conectado, alm de inmeras vantagens, traz tambm inmeros perigos. Com a Internet os novos vrus so rpida e facilmente distribudos, s esperando por um usurio mais descuidado, que ir executar um anexo de email infectado. Por isso a necessidade de saber como usar a Internet com segurana, procurando evitar os incontveis perigos existentes.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 34 de 290

Segurana no Windows XP Professional - Bsico No Mdulo 6 Uso Seguro da Internet, eu apresento diversos tpicos relacionados a Segurana no uso da Internet. Vou iniciar o mdulo falando sobre o Compartilhamento da conexo Internet. Em seguida, tratarei sobre as configuraes de segurana do Internet Explorer e do Outlook Express. O prximo tpico ser sobre vrus e a importncia de manter um bom anti-vrus, sempre atualizado. Tambm falarei sobre o uso do Firewall do Windows XP IFC. Mostrarei como ativar e configurar este Firewall. Para encerrar o mdulo, tratarei sobre a importncia de manter o Windows atualizado, atravs da utilizao do recurso Windows Update. Saber usar a Internet com a segurana fundamental para evitar problemas com vrus, cavalos de tria e outras pragas virtuais. Este um ponto fundamental para a integridade, confidencialidade e a disponibilidade das informaes. Ou seja, um ponto vital para a segurana da informao.

Criptografia = Uma garantia a mais para a confidencialidade dos dados

As permisses NTFS servem como uma primeira barreira de defesa, para garantir que s tenham acesso aos arquivos e pastas do computador, usurios devidamente autorizados. Porm, em caso de roubo de um computador, relativamente simples burlar a proteo das permisses NTFS. Conforme mostrarei no mdulo 3, bastara colocar o HD como secundrio em um outro computador, fazer o logon como Administrador e retirar as permisses NTFS. Pronto, o ladro passar a ter acesso a todos os arquivos do HD. J com o uso de criptografia, a histria bem diferente. No Mdulo 7 Criptografia e Auditoria de Eventos, apresentarei mais dois tpicos bsicos sobre segurana no Windows XP Professional: Criptografia de dados e Logs de auditoria. Mostrarei que com o uso da Criptografia voc obtm um nvel adicional de proteo, em relao ao uso das permisses NTFS. Tambm mostrarei os cuidados necessrios para que voc no perca o acesso aos dados criptografados. Para encerrar, mostrarei como utilizar o recurso de Logs de auditoria e Logs de segurana do Windows XP Professional. Os logs so o registro das aes que so executadas no computador. Este um registro importante, para poder identificar tentativas de quebra de segurana (como por exemplo um usurio, repetidamente, tentando acessar arquivos e pastas para os quais ele no tem a devida permisso) e evitar a quebra. Ou seja, os logs so uma excelente ferramenta para a tomada de aes preventivas, agindo pr ativamente, antes que o problema efetivamente acontea.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 35 de 290

Segurana no Windows XP Professional - Bsico Concluso Neste mdulo apresentei uma srie de conceitos tericos sobre segurana. Os conceitos e definies apresentados neste mdulo, sero de grande importncia para o entendimento e acompanhamento dos demais mdulos deste curso. Dentre outros, sero apresentados os seguintes tpicos: Introduo a segurana A necessidade de segurana Principais ameaas A necessidade do anti-vrus A importncia do Backup Questes relacionadas a segurana no Windows

Iniciei o Mdulo fazendo um histrico desde os ambientes mais antigos, onde dominava o uso de computadores de grande porte, conhecidos como Mainframe, at os dias de hoje, onde tempos um ambiente baseado em redes locais e a interconexo destas redes entre si e com a Internet. Mostrei quais os perigos para segurana, que vieram com o uso deste novo modelo, onde estamos todos conectados a uma grande rede mundial: A Internet. Na seqncia apresentei uma descrio bsica sobre o porqu da segurana, qual a importncia de nos preocuparmos com a segurana das informaes e os seguintes conceitos, relacionados diretamente com a segurana das informaes: Integridade Disponibilidade Confidencialidade Na seqncia falei sobre as principais ameaas a segurana. Mostrarei quais os viles quando se trata de segurana. Vou falar sobre vrus, anti-vrus, cavalo de tria, Trojan e outros viles da segurana. Neste tpico vou salientei o quo importante o monitoramento constante, a viglia constante em relao as questes de segurana. Mostrei onde so os principais pontos de falha e de negligncia, em relao a segurana. Dando seqncia, falei sobre a importncia de se ter uma boa estratgia de Backup das informaes. Mostrei como o backup est diretamente relacionada a questo da disponibilidade das informaes. A questo do Backup , sem dvidas, um dos aspectos de segurana, mais negligenciados pela maioria dos usurios. Para encerrar o mdulo, apresentei mais alguns conceitos importantes, relacionados a segurana no Windows XP Professional, bem como os mdulos onde cada um deles ser detalhado. Em caso de dvidas sobre os exemplos apresentados neste curso, entre em contato pelo email: webmaster@juliobattisti.com.br.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 36 de 290

Segurana no Windows XP Professional - Bsico

Mdulo 2 Logon, Contas de Usurios e Grupos


Neste mdulo apresentarei uma srie de conceitos tericos sobre segurana. Os conceitos e definies apresentados neste mdulo, sero de grande importncia para o entendimento e acompanhamento dos demais mdulos deste curso. Dentre outros, sero apresentados os seguintes tpicos: Introduo a segurana A necessidade de segurana Principais ameaas A necessidade do anti-vrus A importncia do Backup Questes relacionadas a segurana no Windows

Iniciarei o Mdulo fazendo um histrico desde os ambientes mais antigos, onde dominava o uso de computadores de grande porte, conhecidos como Mainframe, at os dias de hoje, onde tempos um ambiente baseado em redes locais e a interconexo destas redes entre si e com a Internet. Vou mostrar quais os perigos para segurana, que vieram com o uso deste novo modelo. Na seqncia apresentarei uma descrio bsica sobre o porqu da segurana, qual a importncia de nos preocuparmos com a segurana das informaes e os seguintes conceitos, relacionados diretamente com a segurana das informaes: Integridade Disponibilidade Confidencialidade Na seqncia falarei sobre as principais ameaas a segurana. Mostrarei quais os viles quando se trata de segurana. Vou falar sobre vrus, anti-vrus, cavalo de tria, Trojan e outros viles da segurana. Neste tpico vou procurar salientar o quo importante o monitoramento constante, a viglia constante em relao as questes de segurana. Mostrarei onde so os principais pontos de falha e de negligncia, em relao a segurana. Dando seqncia, falarei sobre a importncia de se ter uma boa estratgia de Backup das informaes. Mostrarei como o backup est diretamente relacionada a questo da disponibilidade das informaes. A questo do Backup , sem dvidas, um dos aspectos de segurana, mais negligenciados pela maioria dos usurios. Para encerrar o mdulo, apresentarei mais alguns conceitos importantes, relacionados a segurana no Windows XP Professional. Ento mos obra. Chega de apresentaes e rodeios e vamos iniciar o nosso estudo sobre Segurana. Um bom estudo a todos e no esquea: em caso de dvidas sobre os exemplos apresentados neste curso, entre em contato pelo e-mail: webmaster@juliobattisti.com.br.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 37 de 290

Segurana no Windows XP Professional - Bsico Contas de Usurios, Grupos e Logon Neste mdulo apresentarei uma srie de conceitos tericos sobre segurana. Os conceitos e definies apresentados neste mdulo, sero de grande importncia para o entendimento e acompanhamento dos demais mdulos deste curso. Dentre outros, sero apresentados os seguintes tpicos: Introduo a segurana A necessidade de segurana Principais ameaas A necessidade do anti-vrus A importncia do Backup Questes relacionadas a segurana no Windows

Iniciarei o Mdulo fazendo um histrico desde os ambientes mais antigos, onde dominava o uso de computadores de grande porte, conhecidos como Mainframe, at os dias de hoje, onde tempos um ambiente baseado em redes locais e a interconexo destas redes entre si e com a Internet. Vou mostrar quais os perigos para segurana, que vieram com o uso deste novo modelo. Na seqncia apresentarei uma descrio bsica sobre o porqu da segurana, qual a importncia de nos preocuparmos com a segurana das informaes e os seguintes conceitos, relacionados diretamente com a segurana das informaes: Integridade Disponibilidade Confidencialidade Na seqncia falarei sobre as principais ameaas a segurana. Mostrarei quais os viles quando se trata de segurana. Vou falar sobre vrus, anti-vrus, cavalo de tria, Trojan e outros viles da segurana. Neste tpico vou procurar salientar o quo importante o monitoramento constante, a viglia constante em relao as questes de segurana. Mostrarei onde so os principais pontos de falha e de negligncia, em relao a segurana. Dando seqncia, falarei sobre a importncia de se ter uma boa estratgia de Backup das informaes. Mostrarei como o backup est diretamente relacionada a questo da disponibilidade das informaes. A questo do Backup , sem dvidas, um dos aspectos de segurana, mais negligenciados pela maioria dos usurios. Para encerrar o mdulo, apresentarei mais alguns conceitos importantes, relacionados a segurana no Windows XP Professional. Ento mos obra. Chega de apresentaes e rodeios e vamos iniciar o nosso estudo sobre Segurana. Um bom estudo a todos e no esquea: em caso de dvidas sobre os exemplos apresentados neste curso, entre em contato pelo e-mail: webmaster@juliobattisti.com.br.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 38 de 290

Segurana no Windows XP Professional - Bsico Introduo Neste mdulo voc entender melhor o porqu da necessidade de efetuar o logon no Windows XP. Mostrarei que o Windows XP usa a conta do usurio como se fosse a identidade do usurio. atravs da conta de logon que o Windows XP consegue identificar qual o usurio logado e carregar configuraes personalizadas para cada usurio. Voc tambm aprender a criar e a administrar contas de usurios e de grupos de usurios. O conceito de grupo de usurio um conceito bem importante, o qual ser utilizado bastante no Mdulo 3 deste curso. Neste Mdulo abordarei os seguintes tpicos: Por que tenho que fazer logon. Contas de usurio conceito Contas de usurio criao e administrao Grupos de usurios conceito Grupos de usurios criao e administrao

Vamos tratar em detalhes sobre o conceito de conta de usurio e grupos de usurios. No Windows XP possvel criar um ambiente personaliado para cada usurio que faz o logon no Windows XP. Para que um usurio possa fazer o logon preciso que uma conta de usurio tenha sido criada. Ao fazer o logon, com base na conta de usurio utilizada, o Windows XP identifica o usurio que est fazendo o logon e exiba um ambiente personalizado para o usurio. Faz parte deste ambiente, uma srie de detalhes, tais como: Os cones da rea de trabalho. Configuraes de vdeo. Configuraes da barra de tarefas. Configuraes de pastas. Histrioco de navegao na Internet. Cache de pginas da Internet. Lista de favoritos do Internet Explorer

e assim por diante. Para manter este ambiente personalizado, o Windows XP utiliza uma estrutura de pastas e subpastas, dentro do pasta C:\Documents and Settings. Por exemplo, para o usurio cujo nome de logon jsilva, criada a pasta C:\Documents and Settings\jsilva. Dentro da pasta jsilva, o Windows XP cria um conjunto de arquivos e sub-pastas, os quais so utilizados para gravar as configuraes personalizadas do usurio jsilva. Uma vez entendido o conceito de conta de usurio, passaremos a parte prtica, ou seja, como criar contas, definir uma senha, e realizar todas as tarefas administrativas, relacionadas com contas de usurios, tais como: Alterar o nome da conta. Alterar a senha. Remover a senha.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 39 de 290

Segurana no Windows XP Professional - Bsico Alterar a imagem que exibida ao lado do nome da conta. Excluir a conta. Tambm falaremos sobre tipo de contas, o que significam, na prtica, cada tipo de conta e as permisses associadas. Em seguida trataremos sobre o conceito de grupos de usurios. Veremos da importncia da utilizao de grupos de usurios para facilitar a administrao e a atribuio de permisses de segurana. Tambm aprenderemos as tarefas prticas relacionadas a grupos, tais como: Criar um grupo. Adicionar contas de usurio ao grupo. Excluir contas do grupo. Renomear um grupo.

As contas de usurios e grupos de usurios formam a base sobre a qual estruturada a segurana no Windows XP. Para o Windows fundamental identificar quem o usurio que est tentando acessar um determinado recurso, tal como uma pasta ou impressora compartilhada. Uma vez identificado quem o usurio, o Windows pode determinar, com base nas permisses de acesso, se o usurio tem ou no permisso de acessar o recurso e qual o nvel de acesso que ele tem. A identificao do usurio feita atravs do logon, onde o usurio informa a sua conta de logon e a respectiva senha. Feito o logon, o usurio est identificado para o Windows. O conceito de Logon est diretamente ligado com o princpio da autenticidade, ou seja, antes de liberar o acesso a um recurso, o Windows precisa identificar quem o usurio que est tentando fazer o acesso, ou seja, precisa autentificar o usurio.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 40 de 290

Segurana no Windows XP Professional - Bsico Contas de usurio - definio Vamos ver um pouco de teoria sobre contas de usurio. Uma Conta de usurio a identidade do usurio para o Windows XP, em outras palavras a maneira que o Windows XP tem de identificar cada usurio. A partir do momento em que possvel identificar o usurio que faz o logon, possvel manter um ambiente personalizado para o usurio, bem como um conjunto de permisses que definem o que o usurio pode e o que o usurio no pode fazer, quais recursos o usurio pode e no pode acessar e qual o nvel de acesso a cada recurso. Se voc est trabalhando em um computador isoladamente, ou em uma pequena rede onde no exista a definio de um domnio, com servidores rodando o Windows 2000 Server ou Windows Server 2003 e o Active Directory, as contas de usurio que so criadas so gravadas no prprio computador. Com isso cada computador ter a sua lista de contas de usurio. Estas contas so chamadas de contas locais de usurio, do ingls: local user account. Uma conta local permite que o usurio faa o logon somente no computador em que a conta foi criada e que acesse somente recursos deste computador. Quando criamos uma conta local, esta criada em uma base de dados chamada base de dados local de segurana (local security database). Ao fazer o logon, o Windows XP compara o nome do usurio e a senha fornecida, com os dados da base de segurana local. Se os valores fornecidos estiverem corretos, o logon completado, caso contrrio o logon negado e uma mensagem de erro emitida. J em redes de grande porte, baseadas em Servidores com o Windows 2000 Server ou Windows Server 2003 (ou at mesmo o NT Server 4.0) comum a criao de domnios. Em um domnio, existe uma nica lista de contas de usurios e grupos e esta lista compartilhada por todos os computadores que fazem parte do domnio. A lista de usurios mantida nos servidores da Rede, nos chamados Controladores de Domnios DCs (Comain Controllers), conforme descrito em detalhes no Mdulo 2 do seguinte curso: Manual de Estudos Para o Exame 70-271, de minha autoria. Quando um usurio faz o logon, utilizando uma conta do domnio, atravs da rede, o Windows verifica se o usurio forneceu um nome e senha que so vlidos para o domnio. Em caso afirmativo o logon liberado, caso contrrio o logon negado. Uma conta de domnio armazenada na base de segurana do servidores do domnio. Esta base conhecida como SAM no NT Server 4.0 e como Active Directory no Windows 2000 Server e no Windows Server 2003. Neste tpico vamos aprender a criar e a manter contas que fazem parte do computador onde estas esto sendo criadas. Aprenderemos a criar contas, definir o tipo da conta, atribuir uma senha, renomear a conta, excluir a conta e adicion-la a um ou mais grupos de usurios. Tambm aprenderemos a configurar as diversas propriedades de configurao de cada conta. Importante: Para que voc possa criar e administrar contas, voc deve fazer o logon com uma conta com permisses de Administrador. Ao instalar o Windows XP (Home ou Professional) criada, automaticamente, uma conta chamada Administrador. Durante o processo de instalao voc solicitado a definir uma senha para a conta Administrador. Na parte final da instalao voc pode criar mais algumas contas (at cinco contas). Toda a conta criada durante o processo de instalao tem as permisses de Administrador. Por padro, a conta Administrador no exibida na lista de contas, quando inicializamos o Windows XP.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 41 de 290

Segurana no Windows XP Professional - Bsico No Windows XP Professional possvel fazer o logon com a conta Administrador, apesar desta conta no ser exibida na lista de contas. Ao ser exibida a lista de contas, pressione Ctrl+Alt+Del duas vezes seguidas. Ser aberta uma janela de logon solicitando o nome do usurio e senha para logon. Digite Administrador para o nome do usurio e a respectiva senha. Com este procedimento voc consegue fazer o logon com a conta Administrador, apesar desta estar oculta. Nota: No possvel excluir a conta Administrador, porm podemos renome-la. recomendado que voc renomeie a conta Administrador. Se um usurio no autorizado quiser acessar o seu computador e voc no tiver renomeado a conta Administrador, este usurio j tem metade da informao que ele precisa para acessar o computador, s falta descobrir a senha. J se voc tiver renomeado a conta Administrador, as coisas ficaro mais difceis para o nosso aspirante a invasor, pois alm da senha ele tambm ter que descobrir qual o novo nome para a conta Administrador. H dois tipos de conta de usurio disponveis no seu computador: administrador do computador e limitada. Existe tambm uma conta de convidado (guest), a qual est disponvel para os usurios que no possuem conta de usurio no computador. Toda conta do tipo administrador ter permisses sobre todos os recursos do computador. J as contas do tipo limitada, como o prprio nome sugere, tero permisses limitadas no uso dos recursos do computador. A conta de administrador do computador destina-se aos usurios que podem alterar o sistema do computador, instalar programas e acessar todos os arquivos no computador. Somente o usurio com uma conta de administrador do computador tem acesso completo s contas dos outros usurios no computador, conforme j havamos descrito anteriormente. O usurio Administrador tem as seguintes permisses: Pode criar e excluir contas de usurio no computador. Pode criar senhas de contas para as contas dos outros usurios no computador. Pode alterar nomes, imagens, senhas e tipos de contas dos outros usurios. No pode alterar o tipo de sua prpria conta para conta limitada, a menos que haja um outro usurio com uma conta de administrador no computador. Esse procedimento garante que haver sempre um usurio, pelo menos, com uma conta de administrador do computador. Isso feito para evitar a situao em que nenhuma das contas tivesse permisso de Administrador. Neste caso nenhum usurio teria permisso para instalar novos programas, configurar o Windows e alterar as contas de usurio.

Uma conta do tipo limitada destina-se aos usurios que no tm permisso para alterar a maioria das configuraes do computador nem para excluir arquivos importantes. Um usurio com este tipo de conta tem as seguintes limitaes: No pode instalar software ou hardware (drivers), mas pode acessar programas j instalados no computador. Pode alterar a imagem de sua prpria conta, alm de criar, alterar ou excluir sua prpria senha.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 42 de 290

Segurana no Windows XP Professional - Bsico No pode alterar o nome ou o tipo de sua prpria conta. Um usurio com uma conta de administrador do computador deve fazer esses tipos de alterao.

Nota: possvel que alguns programas no funcionem corretamente para os usurios com contas limitadas. Se for esse o caso, altere, temporria ou permanentemente, o tipo de conta do usurio para uma conta do tipo Administrador. Um bom exemplo em que pode ser til a utilizao de uma conta do tipo limitada para um usurio que est aprendendo a utilizar o computador. Ao dispor de uma conta limitada, o usurio no ter permisso para executar operaes (como por exemplo Formatar o disco rgido) que possam fazer com que o Windows XP deixe de funcionar e tenha que ser reinstalado. Existe tambm uma conta de convidado, a qual destina-se aos usurios que no possuem conta de usurio no computador. No h senha para a conta de convidado, de forma que o usurio pode fazer logon rapidamente para verificar se h e-mail ou navegar na Internet. Um usurio que tenha feito logon neste tipo de conta tem as seguintes limitaes: No pode instalar software ou hardware, mas pode acessar programas j instalados no computador. No pode alterar o tipo de conta de convidado. Pode alterar a imagem da conta de convidado.

Nota: No Windows NT, 2000 Server e Windows Server 2003 tambm existe a conta convidado, cujo nome guest. Por padro a conta guest tem acesso bastante limitado aos recursos da rede. Regras e dicas para a criao de contas de usurio Existem algumas regras para a criao de contas de usurios. A primeira regra que no podem existir duas contas com o mesmo nome. Tambm no podem existir dois grupos com o mesmo nome, no mesmo computador. Alis, esta uma regra geral do Windows. J que o Windows utiliza o nome para identificar os diversos elementos com os quis trabalha, mais do que natural que no possam existir dois elementos com o mesmo nome no mesmo local. Por exemplo, no possvel existir dois arquivos com o mesmo nome, dentro da mesma pasta. No mximo devemos utilizar vinte caracteres para o nome de uma conta. Embora possamos utilizar mais do que vinte caracteres, somente os vinte primeiros sero reconhecidos pelo Windows XP. O Windows XP no distingue entre letras maisculas e minsculas para o nome das contas. Para o Windows XP a conta Jsilva ou jsilva ou JSILVA a mesma conta. Se j existir a conta Jsilva e voc tentar criar a conta JSILVA, o Windows XP no deixar, afirmando que a conta j existe.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 43 de 290

Segurana no Windows XP Professional - Bsico Caracteres que no podem ser utilizados como parte do nome de uma conta de usurio: " / \ [ ] : ; | = , + * ? < >.

Se um computador for utilizado por um grande nmero de usurios diferentes, ser necessrio criar uma conta de logon para cada usurio. Podem existir situaes em que existam conflitos de nome, por exemplo podem existir dois Jos da Silva e voc no poder criar duas contas jsilva. Nestes casos interessante que voc defina um padro a ser utilizado, quando existem nomes duplicados. Um dos padres normalmente adotados : o primeiro a ser cadastrado utiliza o nome escolhido. O prximo, caso haja conflito, adiciona-se a primeira ou ltima letra do sobrenome ou um nmero, ao nome da conta, para diferenci-la da conta j existente. A seguir temos alguns exemplos de como diferenciar as contas de usurio: Usurio: Jos da Silva Costa Usurio: Jos da Silva Farias Usurio: Jose da Silva Freitas e assim por diante. Quando o nmero de contas a ser criado e administrado grande, a palavra chave : PLANEJAMENTO. Embora nestas situaes mais comum o uso de servidores de rede e a criao de domnios, conforme citado anteriormente. Regras e dicas para a criao de senhas Embora no seja obrigatrio sempre recomendvel a definio de uma senha para cada conta de usurio que for criada. A senha uma forma de proteo, de tal maneira que somente o usurio que sabe a senha poder fazer o logon utilizando uma determinada conta. Importante: Eu diria no s recomendvel, eu diria que a definio de uma senha para cada conta IMPRESCINDVEL, se no todo o planejamento de segurana ser prejudicado, pois qualquer usurio pode fazer o logon com uma conta para a qual no definida uma senha. Por isso que este um ponto fundamental, ou seja, voc deve definir senhas para todas as contas de usurios, criadas no Windows XP Professional. Diferentemente do nome das contas, as senhas fazem distino entre maisculas e minsculas. Por exemplo a senha abc12345 diferente da senha ABC12345, a qual por sua vez tambm diferente da senha Abc12345. Sempre aconselhvel definir uma senha utilizando letras maisculas e minsculas, pois isso dificulta a descoberta da senha por parte de usurios mau intencionados. Uma senha pode ter at 128 caracteres e um mnimo de 8 caracteres recomendado. Conforme veremos no Mdulo 5 , sobre diretivas de segurana, possvel definir o tamanho mnimo da senha que aceito pelo Windows XP. Eduque os seus usurios para que no usem senhas fceis de serem descobertas, tais como nome dos filhos, da esposa, data de nascimento, etc. Outro padro que deve ser evitado trocar somente a parte da senha. Por exemplo, o usurio usa sempre a mesma palavra chave Conta: jsilva Conta: jsilvaf Conta: jsilvaf2 Cadastrado: 01/02/2002 Cadastrado: 10/02/2002 Cadastrado: 18/02/2002

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 44 de 290

Segurana no Windows XP Professional - Bsico como senha e anexa ao final o nmero do ms. Por exemplo: Kjlddu01 no ms de janeiro, Kjlddu02 no ms de fevereiro, Kjlddu03 no ms de maro e assim por diante. Para no esquecer: Sempre defina uma senha para o usurio Administrador. E no esquea desta senha. Troque a senha, periodicamente. Agora que j vimos a parte terica sobre a criao de contas e senhas, vamos para a parte prtica, onde aprenderemos a criar contas, definir uma senha para a conta e configurar as demais propriedades. Criando Contas de usurio no Windows XP Existem duas opes para a criao e administrao de contas de usurio: A opo Contas de usurio do Painel de controle. O console Gerenciamento do computador que acessado atravs da opo Ferramentas Administrativas do Painel de controle.

A opo Contas de usurio do painel de controle oferece uma interface mais amigvel, orientada para tarefas. ideal para usurios menos experientes, que esto comeando a estudar e a lidar com contas de usurios e grupos. J os usurios mais experientes, com certeza, iro preferir o console Gerenciamento do computador ou criar os seus prprios consoles personalizados. Neste mdulo vou utilizar as duas interfaces, porm com maior nfase no console Gerenciamento do computador. Tambm faremos alguns exerccios utilizando a opo Contas de usurio, para que voc possa se familiarizar com a nova interface, orientada tarefas. A principal vantagem do console Gerenciamento do computador que ele nos oferece, fcil e rapidamente, acesso a todas as propriedades da conta do usurio, o que facilita a alterao destas propriedades. Importante: Estas so contas locais, do prprio Windows XP. Para administrar contas do Domnio, armazenadas no Active Directory, utiliza-se o console Usurios e Computadores do Active Directory (Active Directory Users and Computers). Este console no instalado, automaticamente, no Windows XP. Para instalar este e outros consoles de Administrao do Active Directory, voc tem que instalar o arquivo AdminPak.msi. O arquivo AdminPak.msi est disponvel nos servidores, na pasta onde est instalado o Windows 2000 Server ou Windows Server 2003. Para instalar as ferramentas administrativas, basta clicar com o boto direito do mouse no arquivo AdminPak.msi e, no menu de opes que exibido, clicar em Instalar. Depois s seguir as etapas do assistente.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 45 de 290

Segurana no Windows XP Professional - Bsico Exemplo prtico de criao de contas de usurios: Exemplo: Vamos criar trs usurios e definir senhas, conforme indicado na Tabela a seguir. Criaremos os dois primeiros usurios utilizando o console Gerenciamento do computador e o ltimo usurio, utilizando a opo Contas de usurio do Painel de controle. Tabela - Contas de usurios para o exemplo proposto. Conta jpedro mariax pepexu Senha senha123 msenha24 xde2002 Criar usando a seguinte ferramenta: Console Gerenciamento do computador. Console Gerenciamento do computador. Opo Contas de usurio do Painel de controle

Conforme veremos a criao de contas de usurio um processo relativamente simples, sem maiores dificuldades. Para criar as contas jpedro e mariax, utilizando o console Gerenciamento do Computador, siga os passos indicados a seguir: 1. Abra o Painel de controle: Iniciar -> Painel de controle. 2. Se voc estiver no modo de exibio por categoria, d um clique na opo Alternar para modo de exibio clssico, que aparece no lado esquerdo da janela. 3. Abra a opo Ferramentas administrativas. Sero exibidos vrios consoles de administrao do Windows XP. 4. D um clique duplo na opo Gerenciamento do computador. Ser aberto o console Gerenciamento do computador. Com este console temos acesso a uma srie de tarefas administrativas, dentre as quais est a opo Usurios e grupos locais, destacada na Figura a seguir, opo esta que nos d acesso a todas as tarefas relacionadas com a criao, manuteno e administrao de contas de usurios e grupos.

Figura - A opo Usurios e grupos locais do console Gerenciamento do computador.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 46 de 290

Segurana no Windows XP Professional - Bsico 5. D um clique no sinal de + ao lado da opo Usurios e grupos locais. Observe que abaixo desta opo so exibidas as opes Usurios e Grupos. 6. D um clique na opo Usurios para selecion-la. 7. Para criar um novo usurio utilize o comando Ao -> Novo usurio... Surge a janela Novo usurio para que voc digite as informaes sobre o novo usurio que est sendo criado. Nota: Para criar um novo usurio voc tambm pode clicar com o boto direito do mouse na opo Usurios e no menu que surge clicar na opo Novo usurio... Na janela Novo usurio temos os seguintes campos a preencher: Nome de usurio: Digite o nome de logon do usurio. Por exemplo: jsilva, Maria, etc. Nome Completo: Digite o nome verdadeiro do usurio. Este nome que ser exibido na listagem de nomes, na tela de abertura, quando o Windows XP inicializado. Descrio: Pode ser preenchido com a funo, seo, cargo ou outra informao que identifica o usurio que est senda criado. Senha e Confirmar senha: Nestes campos voc digita a senha que ser utilizada pela conta que est sendo criada. O usurio deve alterar a senha no prximo logon: Se voc marcar esta opo, quando o usurio fizer o primeiro logon, ser solicitado que ele troque a senha. Esta opo utilizada quando as contas so criadas pelo Administrador. Ao criar a conta, a senha digitada pelo Administrador, o qual fica sabendo qual a senha do usurio. Ao marcar esta opo, estamos forando o usurio a trocar a senha no prximo logon, de tal maneira que somente o prprio usurio saiba a senha da sua conta. Se esta opo estiver marcada, as opes O usurio no pode alterar a senha e A senha nunca espira, estaro desabilitadas. O usurio no pode alterar a senha: Especifica que o usurio no pode alterar a senha atribuda pelo Administrador. Em geral, ela selecionada apenas para contas usadas por mais de uma pessoa, como a conta Convidado. Essa configurao no tem efeito sobre os membros do grupo interno Administradores, ou seja, membros deste grupo podero trocar a senha, mesmo que esta opo esteja marcada. A senha nunca expira: Especifica que a senha no expirar e substitui a configurao Durao mxima da senha especificada nas diretivas de segurana local. Selecione esta opo ao atribuir servios como o Duplicador de pastas usando Servios. Essa configurao substitui O usurio deve alterar a senha no prximo logon. No final deste captulo falaremos mais sobre diretivas de segurana local. Conta desativada: Especifica que a conta selecionada est desativada.A conta interna Administrador no pode ser desativada. Se uma conta estiver desativada, a conta no poder ser usada para fazer o logon, at que a conta seja desativada pelo Administrador.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 47 de 290

Segurana no Windows XP Professional - Bsico 8. Vamos criar a conta jpedro. Para isso, na janela Novo usurio digite as informaes indicadas na Figura a seguir:

Figura - Criando o usurio jpedro. 9. D um clique no boto Criar e pronto, a conta jpedro ser criada.

A janela Novo usurio continua aberta, com os campos em branco, para que voc possa criar outro usurio. 10. Vamos criar o usurio mariax. Para isso utilize as seguintes informaes para preencher os campos da janela Novo usurio: Nome de usurio: mariax Nome completo: Maria Xuxa da Silva. Descrio: Gerente de Vendas. Senha: msenha24 Confirmar senha: msenha24 O usurio deve alterar a senha no prximo logon: Desmarcado O usurio no pode alterar a senha: Desmarcado A senha nunca expira: Marcado Conta desativada: Desmarcado.

11. Aps preencher as informaes, d um clique no boto Criar. O usurio mariax ser criado.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 48 de 290

Segurana no Windows XP Professional - Bsico 12. D um clique no boto Fechar. 13. Voc estar de volta ao Console Gerenciamento do computador. Observe que os usurios jpedro e mariax j foram criados, conforme indicado na Figura a seguir:

Figura - Usurios jpedro e mariax j criados. 14. Feche o console Gerenciamento do computador.

A opo Contas de usurio, do Painel de Controle: Agora ainda falta criar o usurio pepexu, utilizando a opo Contas de usurio do Painel de controle. Depois testaremos as contas recm criadas, fazendo o logon com cada uma das contas que foram criadas. Para criar as contas pepexu, utilizando a opo Contas de usurio do Painel de controle, siga os passos indicados a seguir: 1. Abra o Painel de controle: Iniciar -> Painel de controle. 2. Abra a opo Contas de usurio. 3. A janela Contas de usurio ser aberta. Observe que os usurios Jos Pedro e Maria Xuxa da Silva, j aparecem na listagem de usurios. 4. D um clique na opo Criar uma nova conta. 5. Ser aberto um assistente para a criao da nova conta. Na primeira etapa solicitado o nome completo do usurio. Este o nome que ser exibido na listagem de usurios, na inicializao do Windows XP. Digite: Pedro Pereira Xunar e d um clique no boto Avanar, seguindo para a prxima etapa. 6. Na segunda etapa voc deve escolher o tipo de conta: Administrador do computador ou limitado. Na Figura a seguir, temos as diferenas entre os dois tipos de contas. 7. Marque a opo Limitado e d um clique no boto Criar conta. Observe que com a opo Contas de usurio, no temos acesso a uma srie de opes, desde a definio da senha,

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 49 de 290

Segurana no Windows XP Professional - Bsico at opes como o nome de logon e assim por diante. Por isso que prefervel utilizar o console Gerenciamento do computador, utilizado anteriormente. 8. A conta ser criada e voc estar de volta janela Contas de usurio. Observe que a conta Pedro Pereira Xunar j aparece na lista de contas. Ao lado do nome da conta aparea Conta limitada. Voc pode alterar a conta recm criada. Veremos como fazer isso, utilizando a janela Contas de usurio.

Figura - Permisses para os diferentes tipos de contas: Administrador e Limitada. 9. D um clique na opo Alterar uma conta. 10. Ser exibida a lista de contas do computador. D um clique na conta a ser alterada. No nosso exemplo clique na conta Pedro Pereira Xunar. 11. Sero exibidas opes para Alterar o nome, Criar uma senha, Alterar a imagem (altera a figura que aparece ao lado do nome da conta), Alterar o tipo de conta e Excluir a conta. 12. Vamos definir uma senha para a conta Pedro Pereira Xunar. 13. Clique na opo Criar uma senha. 14. Na janela que surge digite a senha duas vezes e uma dica para ajudar a lembrar da senha. Esta dica deve ser uma frase que somente faa sentido para o usurio, de tal forma que, atravs da frase, o usurio seja capaz de lembrar da senha, caso ele a tenha esquecido. Digite xde2002 para a senha e no campo de Dica de senha digite: O meu primeiro apelido que s a Pafncia conhece. 15. D um clique no boto Criar senha. Pronto, agora o usurio tem uma senha definida e dever fornecer esta senha, sempre que fizer o logon. 16. Feche a janela Contas de usurio. Agora vamos fazer alguns testes com as contas recm criadas. Vamos fazer o logon com as contas criadas e fazer alguns testes.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 50 de 290

Segurana no Windows XP Professional - Bsico Nota: Nos demais exemplos prticos deste e de outros mdulos, utilizarei sempre o console Gerenciamento do computador, pois este fornece muito mais opes e facilidades na criao e administrao de contas de usurios e grupos. Para testar o logon com as contas recm criadas, faa o seguinte: 1. Feche todos os programas que voc tiver aberto. 2. Faa o logoff: Iniciar -> Fazer logoff. 3. Na janela Fazer logoff, d um clique na opo Fazer logoff. Lembre que a opo Trocar usurio utilizada para permitir que mais de um usurio esteja logado, ao mesmo tempo. O Windows XP mantm uma rea de trabalho personalizada para cada usurio. Atravs da opo Trocar usurio, podemos alternar entre os usurios logados. Voc aprender mais sobre esta opo, mais adiante, neste mdulo. Ser apresentada a lista de Usurios cadastrados no computador. Observe que exibido o nome completo do usurio, conforme indicado na Figura a seguir. Os trs usurios criados anteriormente so exibidos nesta lista.

Figura - Lista com o nome completo dos usurios. 4. D um clique no usurio Jos Pedro. Ser solicitada a senha deste usurio. Digite senha123, que foi a senha cadastrada para este usurio e pressione Enter. 5. Surge uma janela avisando que o usurio Jos Pedro deve trocar a senha. Esta mensagem exibida porque, ao criar a conta do usurio Jos Pedro, marcamos a opo O usurio deve trocar a senha no prximo logon. D um clique no boto OK para fechar o aviso de troca de senha. 6. Ser exibida uma janela onde voc deve digitar a nova senha no campo Nova senha e confirm-la no campo Confirmar nova senha. Digite groza567 nestes dois campos e d um clique no boto OK.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 51 de 290

Segurana no Windows XP Professional - Bsico 7. Ser exibida uma janela avisando que a senha foi alterada com sucesso. D um clique no boto OK para fechar esta janela. O Windows XP faz o logon e cria um ambiente personalizado para o usurio Jos Pedro (jpedro). Este ambiente personalizado mantido atravs de uma estrutura de pastas e subpastas. Esta estrutura criada na pasta Documents and Settings, do drive onde est instalado o Windows XP. Para manter o ambiente personalizado de cada usurio, criada uma pasta com o nome do usurio, no nosso exemplo foi criada a pasta jpedro, dentro da pasta Documents and Settings. Dentro da pasta jpedro, o Windows XP cria uma srie de sub-pastas, nas quais sero mantidas as configuraes para o usurio jpedro, conforme indicado na Figura a seguir:

Figura - Pastas e subpastas para o usurio jpedro. O usurio jpedro foi criado como sendo uma conta do tipo Administrador do computador, portanto ele poder instalar programas, instalar Hardware, configurar o sistema, enfim, tem todas as permisses. Voc pode testar se estas permisses esto funcionando, tentando instalar um novo programa ou um novo dispositivo de Hardware. Com certeza voc conseguir, pois a conta jpedro tem permisses de Administrador.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 52 de 290

Segurana no Windows XP Professional - Bsico Agora vamos fazer o logoff do usurio jpedro e fazer o logon com a conta de usurio Pedro Pereira Xunar, a qual do tipo Conta limitada, ou seja, no tem permisses para realizar uma srie de aes que somente as contas com permisso de Administrador pede. Faremos o logon e tentaremos realizar uma ao no permitida para a conta Pedro Pereira Xunar. Vamos observar o comportamento do Windows XP. 8. Faa o logoff da conta Jos Pedro: Iniciar -> Fazer logoff -> Fazer logoff.

9. Ser exibida a listagem de usurios. Faa o logon com a conta do usurio Pedro Pereira Xunar. D um clique nesta conta. Ser solicitada a senha. Digite: xde2002 e pressione Enter. Ser feito o logon com a conta Pedro Pereira Xunar, a qual do tipo Acesso Limitado. O primeiro logon com a conta de um usurio, demora um pouco mais do que o normal, pois o Windows XP tem que criar a estrutura de pastas e sub-pastas necessria a manuteno de um ambiente personalizado para o usurio, conforme descrito anteriormente. Vamos tentar realizar uma operao no permitida para esta conta. 10. Abra o Painel de controle. 11. Abra a opo Adicionar ou remover programas. 12. D um clique na guia Adicionar/remover componentes do Windows. Voc receber a mensagem de Acesso negado, indicada na Figura a seguir:

Figura - Acesso negado, para uma conta do tipo Limitada. O usurio Pedro Pereira Xunar recebe esta mensagem, porque a sua conta do tipo Limitada e, portanto, ele no tem permisso para Adicionar ou remover componentes do Windows XP. Somente contas do tipo Administrador do computador tem estas permisses. 13. 14. D um clique em OK para fechar a mensagem de acesso negado. Faa o logoff.

Com este exemplo podemos constatar, na prtica, as diferentes permisses associadas com os diferentes tipos de contas. A seguir aprenderemos a configurar a maneira como o logon feito no Windows XP. Veremos que existem duas maneiras diferentes de se fazer o logon.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 53 de 290

Segurana no Windows XP Professional - Bsico Definindo o modo de logon do Windows XP Existem duas opes que controlam a maneira como feito o logon/logoff no Windows XP. Estas opes esto descritas a seguir: Usar a tela de boas vindas: Esta a maneira usada pelo Windows XP logo aps a instalao, ou seja, a configurao padro. Ao inicializar o Windows XP exibida uma tela com uma listagem dos usurios cadastrados. Para fazer o logon basta clicar no nome do usurio e, se necessrio, fornecer a senha. Se esta opo estiver desmarcada, ser exibida a tela tradicional de logon, usada nas verses anteriores do Windows, onde o usurio tem que fornecer o nome de logon (jsilva, Maria, etc) e a senha. Use a Troca rpida de usurio: Esta opo define se ser possvel ou no termos mais de um usurio logado ao mesmo tempo e alternar entre os diversos usurios logados. Se esta opo estiver marcada o logon de mltiplos usurios estar habilitado.

Somente um usurio com conta do tipo Administrador do computador poder alterar estas duas opes. Para alterar as opes de logon/logoff do Windows XP faa o seguinte: 1. Faa o logon utilizando uma conta de Administrador. Abra o Painel de Controle. Abra a opo Contas de usurio. 2. Na janela Contas de usurio d um clique na opo Alterar a maneira como os usurios fazem logon ou logoff. Ser exibida uma janela onde voc pode alterar as opes descritas anteriormente, conforme indicado na Figura a seguir. Configure as opes de acordo com as suas necessidades e d um clique no boto Aplicar opes.

Figura - Alterando as opes de logon ou logoff do Windows XP. 3. Voc estar de volta janela Contas de usurio. Feche-a.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 54 de 290

Segurana no Windows XP Professional - Bsico Administrando e alterando contas de usurios Aps criadas as contas de usurios, existe uma srie de configuraes e alteraes que tem que ser feitas periodicamente. Por exemplo, pode acontecer de um usurio esquecer a sua senha. Neste caso voc pode fazer o logon como Administrador, configurar uma nova senha para o usurio e marcar a opo Alterar senha no prximo logon. Pode acontecer de um usurio no utilizar mais o computador, neste caso voc deve excluir a sua conta. Pode acontecer de um usurio afastar-se por algum perodo ao fim do qual ele voltar ao usar o computador; neste caso voc deve apenas desativar a conta do usurio e ativ-la quando ele estiver de volta. possvel renomear, excluir e alterar contas de usurio. isto que aprenderemos neste tpico. Vamos utilizar o console Gerenciamento do computador, para aprender a realizar as configuraes/alteraes relacionadas a contas de usurio. Veremos que, com este console, estas aes se tornam extremamente simples. Exemplo: Vamos fazer algumas alteraes nas contas criadas anteriormente. 1. Faa o logon com uma conta de Administrador. 2. Abra o Painel de controle. 3. Abra a opo Ferramentas administrativas. 4. Dentro das opes de Ferramentas administrativas d um clique duplo na opo Gerenciamento do computador. 5. Se a opo Ferramentas do sistema estiver fechada, d um clique no sinal de + ao lado dela para abri-la. 6. Nas opes abaixo de Ferramentas do sistema, d um clique no sinal de + ao lado da opo Usurios e grupos locais. Nota: Os passos 1 a 6 foram utilizados para chegar at a opo Usurios e grupos locais. atravs desta opo que temos acesso s diversas opes de configurao para as contas de usurios. Nos prximos exemplos, no vou repetir estes passos, ao invs disso vou resumi-los com o seguinte passo: 1. Acesse a opo Usurios e grupos locais do console Gerenciamento do computador.

Alterando a senha de uma conta de usurio: Pode acontecer de o usurio esquecer a sua senha. Neste caso o Administrador deve gerar uma nova senha. Para alterar a senha de uma conta, faa o seguinte: 1. Acesse a opo Usurios e grupos locais do console Gerenciamento do computador. 2. D um clique na opo Usurios. Ser exibida uma lista com a relao de todas as contas de usurios cadastradas. 3. Clique com o boto direito do mouse na conta para a qual ser definida uma nova senha. 4. No menu de opes que exibido d um clique na opo Definir senha...

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 55 de 290

Segurana no Windows XP Professional - Bsico Surge uma janela de aviso. Nesta janela informado que poder haver perda de informaes do usurio e que estas perdas ocorrero no prximo logon. O aviso salienta que somente deve ser realizada a troca quando o usurio esqueceu a senha, conforme indicado na Figura a seguir:

Figura - Aviso quando o Administrador redefine a senha do usurio. 5. D um clique no boto Prosseguir para fechar o aviso.

Surge a janela Definir senha para nome do usurio. Nesta janela so informadas as possveis perdas que iro ocorrer com a troca da senha do usurio. Observe que a mais importante a perda do acesso aos arquivos criptografados pelo usurio. Falaremos mais sobre criptografia no Mdulo 7. 6. Digite a nova senha no campo Nova senha: e confirme-a no campo Confirmar senha e d um clique no boto OK. 7. Surge uma mensagem de aviso dizendo que a senha foi definida. D um clique no boto OK para fechar esta janela. 8. Voc estar de volta ao console Gerenciamento do computador. Renomeando uma conta de usurio: Renomear uma conta de usurio pode ser uma soluo til na seguinte situao: Um determinado usurio, que trabalha como empregado temporrio ou estagirio, utiliza uma conta para acessar o computador. Associada a esta conta, esto uma srie de permisses de acesso e tambm restries de acesso. Por exemplo, esta conta pode acessar determinadas pastas do computador mas tem acesso negado a outras pastas. Agora imagine que chegou ao fim o perodo de estgio ou do trabalho temporrio e esta pessoa ser substituda e outra entrar no seu lugar. Ao invs de excluir a conta da pessoa que est saindo e criar uma nova conta para o funcionrios que est chegando, podemos, simplesmente, renomear a conta j em uso e pedir para que o novo funcionrio utilize esta conta. A grande vantagem de apenas renomear a conta que, ao utilizar a conta renomeada, o novo funcionrio ter as mesmas permisses do que est saindo. Esta uma soluo interessante no caso em que o que est
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 56 de 290

Segurana no Windows XP Professional - Bsico entrando realizar as mesmas funes do que est saindo. Se tivssemos excluindo a conta do que est saindo e criado uma nova para o que est entrando, o Administrador teria que definir todas as permisses necessrias para a nova conta, o que seria bem mais trabalhoso. Para renomear uma conta de usurio faa o seguinte: 1. Acesse a opo Usurios e grupos locais do console Gerenciamento do computador. 2. D um clique na opo Usurios. Ser exibida uma lista com a relao de todas as contas de usurios cadastradas. 3. Clique com o boto direito do mouse na conta a ser renomeada. 4. No menu de opes que exibido d um clique na opo Renomear. 5. Digite o novo nome e pressione Enter. Importante: Ao utilizar o procedimento descrito anteriormente, somente o nome de logon (jsilva, pderox, etc) ser alterado. Alm do nome de logon importante alterar o nome completo. Para alterar o nome completo, na lista de usurios no console Gerenciamento do computador, d um clique duplo na conta do usurio. Ser exibida a janela de propriedades da conta do usurio. D um clique na guia Geral. Digite o novo nome completo, no campo Nome completo: D um clique no boto OK. Excluindo uma conta de usurio: Se voc precisar excluir uma conta de usurio, faa o seguinte: 1. Acesse a opo Usurios e grupos locais do console Gerenciamento do computador. 2. D um clique na opo Usurios. Ser exibida uma lista com a relao de todas as contas de usurios cadastradas. 3. Clique com o boto direito do mouse na conta a ser excluda. 4. No menu de opes que exibido d um clique na opo Excluir. 5. O Windows XP exibe uma janela pedindo confirmao. D um clique no boto Sim e pronto, a conta do usurio ser excluda. Importante: Internamente, para o Windows XP, cada usurio representado por um nmero que o SID (Security ID Identificador de Segurana) do usurio. Este nmero nico para cada usurio ou grupo. Se voc excluir um usurio, mesmo que voc crie novamente o usurio, com o mesmo nome, o Windows XP utilizar um SID diferente. Com isso, mesmo criando o usurio com o mesmo nome de um usurio que foi excludo, para o Windows XP como se fossem usurios diferentes, pois tem diferentes SID. Com isso o novo usurio no ter acesso aos recursos (pastas compartilhadas, impressoras, etc) que o antigo usurio tinha, pois embora o nome seja o mesmo, o SID diferente e as permisses de segurana so definidas com base no SID e no no nome do usurio. No esquea deste detalhe, para o exame. Propriedades da conta do usurio Para acessar as propriedades de uma conta de usurio, faa o seguinte: 1. Acesse a opo Usurios e grupos locais do console Gerenciamento do computador.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 57 de 290

Segurana no Windows XP Professional - Bsico 2. D um clique na opo Usurios. Ser exibida uma lista com a relao de todas as contas de usurios cadastradas. 3. D um clique duplo na conta de usurio para exibir suas propriedades. 4. Na guia Geral, indicada na Figura a seguir, temos as mesmas opes que so exibidas quando da criao da conta do usurio. A nica opo diferente : Conta bloqueada. Por padro, quando o usurio pode errar a senha inmeras vezes que a sua conta no ser bloqueada. Esta no uma boa configurao para ambientes que necessitam de um elevado grau de segurana, pois seno uma pessoa poder ficar tentando, indefinidamente, adivinhar a senha do usurio. Podemos configurar, por exemplo, que se forem feitas trs tentativas de logon, com a senha incorreta, a conta ser bloqueada. Depois que uma conta bloqueada, somente um usurio Administrador pode desbloque-la. Enquanto a conta estiver bloqueada no ser possvel fazer o logon com esta conta.

Figura - Guia Geral das propriedades da conta do usurio. 5. D um clique na guia Membro de. Nesta guia esto listados os grupos dos quais o usurio membro. Aprenderemos a utilizar esta guia, no tpico sobre Grupos, mais adiante neste mdulo. 6. D um clique na guia Perfil. Esta guia, indicada na Figura a seguir, tem uma srie de opes que definem o ambiente de trabalho do usurio, quando ele faz o logon. A seguir vamos descrever estas opes.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 58 de 290

Segurana no Windows XP Professional - Bsico

Figura - Guia Perfil das propriedades da conta do usurio. Caminho do Perfil: Fornece um espao para voc digitar o caminho do perfil do usurio para a conta do usurio. O Perfil do usurio um conjunto de pastas utilizado para definir o ambiente personalizado do usurio. No Perfil ficam definidas diversas configuraes do ambiente de trabalho do usurio, como por exemplo o Papel de parede, os cones da rea de trabalho, a lista de Favoritos do Internet Explorer e assim por diante. Quando o computador faz parte de uma rede empresarial, pode ser interessante manter o perfil do usurio gravado nos servidores da rede, ao invs de na prpria estao de trabalho. A vantagem de ter um perfil no servidor que, este perfil ser aplicado ao usurio, em qualquer computador no qual ele faa o logon. Quando o usurio faz o logon, o Windows XP verifica se existe um perfil definido na propriedade Caminho do Perfil da conta do usurio. Se houver, o Windows XP copia o perfil a partir do caminho informado. Com isso o usurio ter o mesmo ambiente de trabalho, indiferente do computador que ele estiver utilizando. Se ao fazer o logon, o servidor onde est o perfil no estiver disponvel, o Windows XP criar um perfil padro para o usurio, este perfil baseado no perfil All users, que existe em todo computador com o Windows XP. Para ativar um perfil de usurio mvel ou obrigatrio para a conta de usurio selecionada, digite um caminho de rede nesse espao no formato \\nome do servidor\nome da pasta de perfis\nome do usurio. Por exemplo, \\servidor025\perfisdeusuarios\jsilva

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 59 de 290

Segurana no Windows XP Professional - Bsico Script de logon: Fornece um espao para voc digitar o nome do script de logon. Se o script de logon estiver localizado em uma sub-pasta do caminho padro do script de logon, esse caminho relativo deve preceder o nome de arquivo. O script de logon um arquivo de comandos que fica gravado em um servidor de logon ou no prprio computador. Normalmente utilizamos arquivos com a extenso .bat ou .cmd. Nestes arquivos cada comando colocado em uma linha e executado seqencialmente, toda vez que o usurio fizer o logon. Por exemplo, podem ser colocados comandos para montar um drive de rede, para acessar uma impressora compartilhada e assim por diante. mais comum o uso de scripts de logon em redes empresariais, com servidores baseados em Windows 2000 Server. Quando o usurio faz o logon na estao de trabalho com o Windows XP, o script de logon executado a partir do servidor da rede que est autenticando o usurio. Neste campo colocamos o caminho completo para o script de logon que est no servidor. Por exemplo, para armazenar o script de logon inicia.bat armazenado no servidor servidor010, em uma pasta compartilhada chamada Scripts de logon. Para acessar este script, nos utilizamos o seguinte caminho: \\servidor010\Scripts de logon\inicia.bat Caminho local: Especifica um caminho local como a pasta base. Digite um caminho local no espao fornecido. Por exemplo, voc pode digitar c:\usuarios\jsilva ou C:\Pastas base\Julio. A pasta onde sero criadas subpastas para cada usurio definida pelo Administrador. Para um administrador, as pastas base e Meus documentos facilitam o backup de arquivos de usurios e o gerenciamento de contas de usurio ao juntar muitos ou todos os arquivos de um usurio em um local.

Nota: No Windows NT 4.0 e 3.x, uma pasta base atribuda se torna a pasta padro de um usurio para as caixas de dilogo Abrir e Salvar como, para as sesses de prompt de comando e para todos os programas sem uma pasta de trabalho definida. A pasta base atribuda pode ser uma pasta local no computador de um usurio ou uma pasta compartilhada na rede, e pode ser atribuda a um ou mais usurios. No Windows 2000 e no Windows XP, a pasta Meus documentos uma alternativa para pastas base, mas no as substitui. Quando um usurio tenta salvar ou abrir um arquivo, a maior parte dos programas determina se a pasta base ou Meus documentos ser usada de uma destas duas formas: Alguns programas procuram primeiro na pasta base os arquivos que coincidem com o tipo do arquivo que deve ser aberto ou salvo (por exemplo, *.doc ou *.txt). Se for encontrado algum arquivo com a extenso procurada, o programa abre a pasta base e ignora Meus documentos. Se no for encontrado nenhum arquivo, o programa abre Meus documentos. Em outros programas, a pasta base ignorada, independentemente da pasta base conter arquivos. Quando o Windows 2000 ou o Windows XP for instalado por cima de uma verso do Windows NT, os programas que armazenaram documentos na pasta base continuaro a abrir e a salvar documentos na pasta base. No entanto, se o programa for instalado aps a instalao do Windows 2000 ou do Windows XP, ou se o programa nunca foi usado para criar um arquivo no Windows NT, o programa usar Meus documentos para abrir e salvar arquivos.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 60 de 290

Segurana no Windows XP Professional - Bsico Conectar: Esta opo utilizada para que possamos usar uma pasta compartilhada em um servidor da rede, como pasta base para o usurio. A pasta aparece como um drive de rede, como por exemplo M:, R:, X:, etc. Digite uma letra de unidade em Conectar e, em seguida, digite um caminho de rede em Para. Por exemplo, voc pode especificar a unidade X e digitar \\servidor010\usuarios\maria. Ao usar pastas base para gravar arquivos no servidor, estamos facilitando os procedimentos de backup, pois o Administrador faz o backup no servidor, ao invs de ter que fazer o backup em cada estao de trabalho.

Conforme descrito anteriormente, as opes da guia Perfil definem uma srie de caractersticas do ambiente de trabalho do usurio. Esta uma maneira de manter um ambiente personalizado para cada usurio. Com isso encerramos o nosso estudo sobre contas de usurios. No prximo tpico vamos aprender sobre grupos de usurios.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 61 de 290

Segurana no Windows XP Professional - Bsico Grupos de usurios conceito Neste tpico vamos ver um pouco de teoria sobre grupos de usurios. No prximo item vamos praticar criando alguns grupos e adicionando alguns membros aos grupos criados. Um grupo de usurios uma coleo de contas de usurios. Por exemplo, podemos criar um grupo chamado Contabilidade, do qual faro parte todos os usurios do departamento de Contabilidade. A principal funo dos grupos de usurios facilitar a administrao e a atribuio de permisses para acesso a recursos, tais como: pastas compartilhadas, impressoras remotas, servios diversos, etc. Ao invs de darmos permisses individualmente, para cada um dos usurios que necessitam acessar um determinado recurso (uma pasta, arquivos, uma impressora, etc.), podemos criar um grupo e atribuir permisses para o grupo. Para que um usurio tenha permisso ao recurso, basta incluir o usurio no grupo, pois todos os usurios de um determinado grupo, herdam as permisses dos grupos aos quais o usurio pertence. Quando um usurio troca de seo, por exemplo, basta trocar o usurio de grupo. Vamos supor que o usurio jsilva trabalha na seo de contabilidade e pertence ao grupo Contabilidade. Ao ser transferido para a seo de marketing, basta retirar o usurio do grupo Contabilidade e adicion-lo ao grupo Marketing. Com isso o jsilva deixa de ter as permisses atribudas ao grupo Contabilidade e passa a ter as mesmas permisses que tem o grupo Marketing. Veja o quanto a utilizao de grupos pode facilitar a atribuio de permisses. Podemos inclusive ter situaes mais especficas. Vamos supor que exista um sistema chamado SANAT, para o qual somente um nmero restrito de usurios deve ter acesso, sendo que so usurios de diferentes sees. A maneira mais simples de solucionar este problema criar um grupo chamado SANAT e dar permisses para esse grupo. Assim cada usurio que precisar acessar o sistema SANAT, deve ser includo no grupo SANAT. Quando o usurio no deve mais ter acesso ao sistema SANAT, basta remov-lo do grupo SANAT. Tudo muito simples, rpido e prtico. Na Figura a seguir temos uma ilustrao para o conceito de Grupo de usurios. O Grupo Contabilidade possui direito para um recurso compartilhado, o qual pode ser acessado atravs da rede. Todos os usurios que pertencem ao grupo contabilidade, tambm possuem permisso para o recurso compartilhado, uma vez que os usurios de um grupo, herdam as permisses atribudas ao grupo.

Figura - O Usurio herda as permisses do grupo.


Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 62 de 290

Segurana no Windows XP Professional - Bsico Quando estiver trabalhando com grupos de usurios, considere os seguintes fatos: Grupos so uma coleo de contas de usurios. Os membros de um grupo, herdam as permisses atribudas ao grupo. Os usurios podem ser membros de vrios grupos Grupos podem ser membros de outros grupos.

Existem dois tipos de grupos no Windows XP, conforme descrevo a seguir. Grupos Internos (Built-in groups): Estes so grupos criados durante a instalao do Windows XP. A cada grupo associado um conjunto especfico de permisses. So os grupos de segurana padro instalados com o sistema operacional. Os grupos internos possuem conjuntos teis de direitos e habilidades internas previamente concedidos. Na maioria dos casos, os grupos internos fornecem todos os recursos necessrios para um usurio especfico. Por exemplo, se uma conta de usurio do domnio pertencer ao grupo interno Administradores, fazer logon com essa conta conceder a um usurio recursos administrativos sobre o domnio e os servidores do domnio. Para fornecer um conjunto de recursos necessrios a uma conta de usurio, atribua a conta ao grupo interno apropriado. A seguir coloco um breve resumo sobre as permisses atribudas a cada um dos grupos internos do Windows XP. Administradores: Os membros do grupo Administradores possuem o maior nmero de permisses padro e a capacidade de alterar suas prprias permisses. Em outras palavras: Membros do grupo Administradores podem tudo, inclusive formatar o disco rgido. Operadores de cpia: Os membros do grupo Operadores de cpia podem fazer backup e restaurar arquivos no computador, independentemente das permisses que protegem esses arquivos. Por exemplo, se um determinado usurio responsvel por fazer o Backup de todas as informaes do computador, este usurio deve ser adicionado ao grupo Operadores de cpia. Com isso o usurio poder fazer o Backup de qualquer pasta, mesmo daquelas pastas para as quais ele no tenha permisso de acesso. Falaremos mais sobre Permisses de acesso no Mdulo 3. Membros do grupo Operadores de cpia tambm podem fazer logon no computador e deslig-lo, mas no podem alterar as configuraes de segurana. Usurios Avanados: Os membros do grupo Usurios avanados podem criar contas de usurio, mas s podem modificar e excluir as contas que eles criaram. Esses usurios podem criar grupos locais e remover usurios dos grupos locais que eles criaram. Eles tambm podem remover os usurios dos grupos Usurios avanados, Usurios e Convidados. Eles no podem modificar os grupos Operadores de cpia ou Administradores, nem podem se apropriar de arquivos, fazer backup de pastas ou restaur-las, carregar ou descarregar drivers de dispositivos, ou gerenciar a segurana e os logs de auditoria. Falaremos sobre se apropriar de arquivos no Mdulo 3.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 63 de 290

Segurana no Windows XP Professional - Bsico Usurios: Os membros do grupo Usurios podem realizar as tarefas mais comuns, como executar aplicativos, utilizar impressoras locais e da rede, e desligar e bloquear a estao de trabalho. Esses usurios podem criar grupos locais, mas s podem modificar os grupos locais que criaram. Eles no podem compartilhar diretrios ou criar impressoras locais. Por padro quando criamos uma nova conta de usurio, ela automaticamente adicionada ao grupo Usurios. Convidados: O grupo Convidados permite que usurios ocasionais ou visitantes faam logon em uma conta interna Convidado da estao de trabalho com acesso limitado aos recursos do computador. Os membros do grupo Convidados tambm podem desligar o sistema em uma estao de trabalho. Duplicadores: O grupo Duplicadores fornece suporte a funes de replicao de pastas. O nico membro do grupo Duplicadores deve ser uma conta de usurio de domnio usada para fazer logon nos servios Duplicadores do controlador do domnio. No adicione as contas de usurio dos usurios reais a esse grupo, isso porque uma conta que realiza esta funo deve ter acesso a pastas em vrios computadores da rede e uma conta local de usurio somente tem acesso aos recursos do prprio computador. Este grupo normalmente utilizado em ambientes de redes empresariais, onde uma conta do domnio adicionada ao grupo para que possam ser replicadas informaes a partir dos servidores, diretamente para as estaes de trabalho dos usurios.

Grupos criados pelo usurio: So os grupos criados pelos prprios usurios. Tanto os grupos internos, quanto os grupos criados pelos usurios, so listados no console Gerenciamento do computador, na opo Usurios e grupos locais -> Grupos. Podemos adicionar membros tanto aos grupos internos quanto aos grupos criados pelos usurios. Agora faremos alguns exemplos prticos com grupos aprenderemos a criar grupos e adicionar usurios ao grupo. Tambm aprenderemos a configurar as propriedades de um grupo, renomear e excluir grupos: Importante: A exemplo do que feito com as contas de usurios, o Windows XP cria uma Identificador de Segurana (SID) para cada grupo. Para o Windows XP a identificao do grupo o SID e no o nome do grupo. Por isso se voc excluir um grupo e cri-lo novamente, com o mesmo nome, para o Windows XP como se fossem dois grupos diferentes, pois ao criar novamente o grupo ser gerado um novo SID. Com isso aps recriar o grupo, este no ter acesso aos recursos (pastas e impressoras compartilhadas e outros recursos) aos quais o antigo grupo (com o mesmo nome, porm com um SID diferente) tinha.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 64 de 290

Segurana no Windows XP Professional - Bsico Criando grupos e adicionando usurios ao grupo Exemplo: Vamos criar um grupo chamado Gerentes e adicionar alguns usurios a este grupo. Antes porm, usando os conhecimentos apresentados anteriormente neste captulo, crie os usurios indicados na Tabela a seguir: Tabela - Crie as seguintes contas de usurio. Conta user1 user2 user3 user4 user5 Senha senha123 senha123 senha123 senha123 senha123 Nome completo Usurio um Usurio dois Usurio trs Usurio quatro Usurio cinco

Nota: Ao criar estes usurios desmarque a opo O Usurio deve alterar a senha no prximo logon. Neste exemplo vamos criar o grupo Gerentes e vamos adicionar os usurios User1, User2 e User3 ao grupo Gerentes. Para criar o grupo gerentes e adicionar usurios, siga os passos indicados a seguir: 1. Faa o logon com uma conta de Administrador. 2. Abra o Painel de controle. 3. Abra a opo Ferramentas administrativas. 4. Dentro das opes de Ferramentas administrativas d um clique duplo na opo Gerenciamento do computador. 5. Se a opo Ferramentas do sistema estiver fechada, d um clique no sinal de + ao lado dela para abri-la. 6. Nas opes abaixo de Ferramentas do sistema, d um clique no sinal de + ao lado da opo Usurios e grupos locais. Nota: Os passos 1 a 6 foram utilizados para chegar at a opo Usurios e grupos locais. atravs desta opo que temos acesso s diversas opes de criao e configurao de grupos de usurios. Nos prximos exemplos, no vou repetir estes passos, ao invs disso vou resumi-los com o seguinte passo: 1. Acesse a opo Usurios e grupos locais do console Gerenciamento do computador.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 65 de 290

Segurana no Windows XP Professional - Bsico Criando um novo grupo de usurios Para criar um novo grupo de usurios, siga os passos indicados a seguir: 1. 2. 3. Acesse a opo Usurios e grupos locais do console Gerenciamento do computador. D um clique na opo Grupos Selecione o comando Ao -> Novo grupo.

Nota: Voc tambm pode clicar com o boto direito do mouse na opo Grupos e no menu que surge dar um clique na opo Novo grupo. Ser exibida a janela Novo grupo, na qual voc pode preencher o nome do grupo, uma descrio para o grupo e adicionar usurios ao grupo, conforme indicado na Figura a seguir:

Figura - A janela Novo grupo. 4. 5. No campo Nome do grupo digite: Gerentes. No campo Descrio digite: Gerentes da empresa.

Adicionando usurios a um grupo Agora vamos adicionar os usurios user1, user2 e user3 ao grupo Gerentes. 6. D um clique no boto Adicionar.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 66 de 290

Segurana no Windows XP Professional - Bsico 7. Ser aberta a janela Selecionar Usurios. Digite o nome dos usurios que sero adicionados ao grupo. Os nomes devem ser digitados separados por ponto e vrgula, conforme indicado na Figura a seguir:

Figura - Informando os usurios que sero adicionados ao grupo. 8. D um clique no boto Verificar nomes. O Windows XP ir verificar se voc no digitou o nome de um usurio que no existe. Caso seja encontrado algum nome incorreto, uma janela ser aberta pedindo que voc corrija o nome. 9. Se todos os nomes estiverem corretos, o Windows XP acrescenta o nome da estao, antes do nome do usurio. Por exemplo, se voc estiver utilizando uma estao de trabalho chamada CONTAB01, os nomes dos usurios deste exemplo ficariam assim: CONTAB01\user1; CONTAB01\user2; CONTAB01\user3. D um clique no boto OK e o nome dos usurios selecionados j ser exibida no campo Membros. Se voc quiser remover um usurio do grupo, basta clicar no usurio a ser removido e depois clicar no boto Remover. 10. D um clique no boto OK e pronto, o grupo Gerentes ser criado com os seguintes usurios fazendo parte do grupo: user1, user2 e user3. 11. Voc estar de volta a janela Novo grupo, com os campos em branco, para que voc possa criar mais grupos. Mantenha esta janela aberta para fazer o exerccio proposto a seguir. Exerccio: Para exercitar um pouco, crie os seguintes grupos e adicione os respectivos usurios. Grupo: Diretoria Usurios: Administrador user2 user4 user3 user4 user5

Grupo: Vendas

Usurios:

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 67 de 290

Segurana no Windows XP Professional - Bsico Grupo: Empresa Usurios: user1 user2 user3 user4 user5

Observe que um mesmo usurio pode pertencer a mais de um grupo, com isso o usurio herda as permisses de todos os grupos aos quais ele pertence. Exibindo as propriedades de um grupo de usurios Para exibir/alterar as propriedades de um grupo, faa o seguinte: 1. Acesse a opo Usurios e grupos locais do console Gerenciamento do computador. 2. D um clique na opo Grupos 3. Na lista de grupos d um clique duplo no grupo a ser alterado. 4. Ser exibida a janela de propriedades do grupo, na qual voc pode alterar a descrio do grupo e Adicionar ou Remover usurios. Depois de ter feito as alteraes desejadas, d um clique no boto OK para aplic-las. Renomeando um grupo de usurios Para renomear um grupo faa o seguinte: 1. Acesse a opo Usurios e grupos locais do console Gerenciamento do computador. 2. D um clique na opo Grupos 3. Na lista de grupos d um clique com o boto direito do mouse no grupo a ser renomeado. 4. No menu que surge d um clique na opo Renomear. Digite o novo nome e pressione Enter. Excluindo um grupo de usurios Para excluir um grupo faa o seguinte: 1. 2. 3. 4. Acesse a opo Usurios e grupos locais do console Gerenciamento do computador. D um clique na opo Grupos Na lista de grupos d um clique com o boto direito do mouse no grupo a ser excludo. No menu que surge d um clique na opo Excluir.

Consideraes de segurana no uso de contas do tipo Administrador Se voc fizer o logon no Windows XP como um administrador, isto pode tornar o sistema vulnervel a cavalos de Tria e outros riscos de segurana. O simples ato de visitar um site da Internet pode ser extremamente prejudicial ao sistema. Um site da Internet desconhecido pode conter cdigos do cavalo de Tria que sero descarregados para o sistema e executados. Se voc tiver feito logon com privilgios de administrador, um cavalo de Tria poder, por exemplo, reformatar seu disco rgido, excluir todos os seus arquivos, criar uma nova conta de
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 68 de 290

Segurana no Windows XP Professional - Bsico usurio com acesso administrativo entre outros. Em outras palavras, quando voc est logado com privilgios de administrador, se algum conseguir invadir o seu computador, este algum ter os privilgios do usurio logado, que no caso do usurio logado ser uma conta do tipo Administrador do computador, significa ter acesso completo ao sistema, sem restries. Nota: Um Cavalo de tria um Programa que se mascara como um outro programa comum visando a obter informaes. Um exemplo de programa cavalo de Tria um programa que se faz passar por tela de logon do sistema para obter informaes sobre nomes de usurios e senhas, que os criadores do programa cavalo de Tria podero usar posteriormente para entrar no sistema. Para mais detalhes sobre cavalo de tria, consulte o Mdulo 1 Voc deve incluir-se no grupo Usurios ou Usurios avanados. Ao fazer logon como um membro do grupo Usurios, voc pode realizar tarefas de rotina, inclusive executar programas e visitar sites da Internet, sem expor seu computador a riscos desnecessrios. Como um membro do grupo Usurios avanados, voc pode realizar tarefas de rotina e tambm instalar programas, adicionar impressoras e usar a maioria dos itens do Painel de controle. Se for necessrio realizar tarefas administrativas, como atualizar o sistema operacional ou configurar parmetros do sistema, faa logoff e volte a fazer logon como administrador. De preferncia no acesse a Internet enquanto estiver logado com privilgios de Administrador. Como executar um programa com privilgios de Administrador, sem estar logado como Administrador? Est uma possibilidade que foi introduzida no Windows 2000 e tambm est presente no Windows XP. Voc pode estar logado com uma conta de usurio, mas executar um programa como se fosse outro usurio. Para isso localize o atalho ou o programa a ser executado. D um clique no atalho/programa para marc-lo. Pressione e mantenha a tecla Shift pressionada. Clique com o boto direito do mouse no atalho/programa a ser executado. No menu de opes que exibido selecione o comando Executar como...Surge a janela Executar como. Marque a opo O seguinte usurio. Informe o nome da conta e a senha, conforme indicado na Figura 4.58. D um clique no boto OK e pronto, o programa ser executado com as permisses do usurio informado na janela Executar como.

Figura - A janela Executar como.


Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 69 de 290

Segurana no Windows XP Professional - Bsico

Mdulo 3 Permisses NTFS e de Compartilhamento


Neste mdulo voc aprender um conceito muito importante: O conceito de permisses de acesso. Mostrarei que podemos utilizar as permisses de compartilhamento, para restringir quais usurios podem ter acesso a uma pasta compartilhada, atravs da rede e qual o nvel de acesso de cada usurio ou grupo. Por exemplo, posso dar permisso de Somente leitura para um determinado grupo e de Leitura e alterao para um outro grupo. As permisses de compartilhamento tem efeito somente para o acesso atravs da rede. Voc tambm aprender sobre as permisses NTFS, as quais tambm so usadas para restringir o acesso a pastas e arquivos, bem como para definir o nvel de acesso de usurios e grupos, a pastas e arquivos. As permisses NTFS tem efeito tanto para o acesso local, quando atravs da rede. Neste mdulo voc aprender atravs de exemplos prticos e ir utilizar, bastante, o conceito de Grupos de usurios, apresentado no Mdulo 2. Dentre outros, sero apresentados os seguintes tpicos: Sistemas de arquivos: FAT x NTFS Compartilhamentos - conceito Compartilhamentos criao e administrao Compartilhamentos permisses de acesso Permisses NTFS - conceitos Permisses NTFS - tipos Permisses NTFS configurao e administrao Administrando permisses com grupos Permisses NTFS Exemplos prticos Permisses NTFS - recomendaes

O uso de permisses de acesso um conceito fundamental para a segurana no Windows. Quando voc compartilha uma pasta na rede, no significa que todos os usurios devam ter acesso a esta pasta. Para restringir quais usurios e grupos tero acesso a pasta compartilhada, voc define permisses de compartilhamento. Estas permisses tem efeito quando o usurio faz o acesso da pasta compartilhada, remotamente, atravs da rede. Se o usurio fizer o logon localmente, no computador onde est gravada a pasta, as permisses de compartilhamento no tero efeito. Para aplicar restries de acesso quando o acesso feito localmente, que existem as permisses NTFS. As permisses NTFS oferecem um nmero maior de opes e possibilidades de configuraes, do que as permisses de compartilhamento. Com as permisses NTFS, posso ter diferentes nveis de permisses de acesso, para diferentes usurios e grupos, para arquivos de uma mesma pasta. Por exemplo, posso dar permisso de leitura e alterao em um arquivo e somente leitura em outro e assim por diante. Este mdulo ser completamente dedicado as permisses de acesso, tanto as permisses de compartilhamento, quanto as permisses NTFS e os assuntos relacionados, tais como a combinao entre estes dois tipos de permisses, o gerenciamento de pastas compartilhadas, a montagem de drives de rede, para acesso as pastas compartilhadas e assim por diante.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 70 de 290

Segurana no Windows XP Professional - Bsico Criando e Administrando Compartilhamentos e Permisses de Acesso Neste mdulo aprenderemos a criar e a administrar Pastas compartilhadas. Ao compartilharmos uma pasta, esta passa a estar acessvel para outros computadores da rede. O uso de pastas compartilhadas a maneira de possibilitar a todos os usurios da rede, o acesso a uma ou mais pastas, na qual so gravados arquivos de interesse comum, utilizados por um grupo de pessoas. Por exemplo, pode ser o caso de uma equipe de projeto que utiliza uma pasta compartilhada em um computador, para gravar os arquivos com os manuais e a documentao do projeto. Desta maneira todos tem acesso aos referidos arquivos. O mais importante que ao utilizar um nico local de armazenamento a pasta compartilhada todos esto tendo acesso a mesma verso de cada documento. Isto evita a situao em que os documentos esto espalhados em pastas de vrios computadores e um documento alterado. Neste caso, para que os demais participantes do grupo pudessem ter acesso a verso atualizada do documento, teramos que copiar o arquivo com a verso atualizada para cada um dos computadores. Vejam que este seria um mtodo bem mais trabalhoso. Com a pasta compartilhada no, alterou um documento, todos acessam a verso atualizada. Ao criar uma pasta compartilhada podemos definir quais usurios tem acesso pasta e qual o nvel de acesso de cada usurio. Por exemplo, podemos dar permisso de leitura e escrita para um determinado grupo e somente de leitura para outro grupo e, ainda, negar o acesso para um terceiro grupo. Para definir as permisses, conforme comentado no Mdulo 4, utilizamos grupos, ao invs de definir as permisses individualmente para cada usurio. No que no seja possvel definir as permisses para cada usurio individualmente. Possvel , apenas recomendado que se utilize grupos, para facilitar a definio e a administrao das permisses de acesso. Uma pasta compartilhada pode ser acessada de diversas maneiras, conforme veremos neste mdulo. Pode-se usar diretamente o caminho para a pasta ou pode-se montar um drive. Montar um drive significa que teremos um novo drive no sistema, como por exemplo: X: ou Y: ou S:. Na prtica, este drive um atalho para a pasta compartilhada, ou seja, ao acessarmos o referido drive, estamos, na verdade, acessando a pasta compartilhada. O uso de drives montados facilita o acesso s pastas compartilhadas, pois com uso de drivers mapeados o usurio no precisa lembrar o nome do servidor e o nome do compartilhamento, tudo o que o usurio precisa acessar o drive que serve como atalho para a pasta compartilhada. Em seguida falarei um pouco sobre sistemas de arquivos e mais especificamente sobre o NTFS. Veremos que com o sistema de arquivos NTFS possvel definir permisses de acesso para pastas e arquivos, possvel compactar pastas e arquivos, criptografar e configurar auditoria dos acessos. Voc aprender sobre os tipos de permisses NTFS existentes e como configur-las. Farei diversos exemplos prtico para entender como funcionam as permisses NTFS e como so combinadas as permisses de pastas com as permisses de arquivos. Aprenderemos a definir permisses para usurios e grupos e veremos que as permisses so cumulativas. Tamb falaremos sobre a precedncia de negar sobre permitir. Por fim vamos entender como so combinadas as permisses NTFS com as permisses de compartilhamento. Pode existir situaes em que existe um conjunto de permisses de compartilhamento e um conjunto diferente de permisses NTFS. Nestes casos temos que saber avaliar qual a permisso efetiva resultante. Tambm aprenderemos o conceito de Tornar-se dono de um
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 71 de 290

Segurana no Windows XP Professional - Bsico arquivo ou pasta Take Ownership. Veremos como realizar esta operao e em que situaes necessrio o uso de Take Ownership para recuperar o acesso a arquivos e pastas. O uso do sistema de arquivos NTFS aumenta consideravelmente a segurana do Windows XP em relao a verses anteriores, como por exemplo o Windows 95/98 ou o Windows Me. No Windows NT e Windows 2000 j existia o suporte ao NTFS e as permisses e acesso. Importante: Um detalhe importante a ressaltar que somente no Windows XP Professional possvel o controle de acesso a pastas e arquivos em drives formatados com o NTFS. Embora o Windows XP Home suporte parties NTFS, este no oferece a possibilidade de definirmos permisses de acesso para pastas e arquivos. Na prtica o Windows XP Home no d suporte a uma srie de funes importantes para uso em uma rede empresarial, por isso que recomendado o uso do Windows XP Professional, em estaes de trabalho de uma rede de computadores de grande porte. Pastas compartilhadas, permisses de compartilhamento e permisses NTFS Vamos iniciar o tpico apresentando os conceitos tericos relacionados com o compartilhamento de pastas, permisses de compartilhamento, permisses NTFS e a interao entre permisses de compartilhamento e permisses NTFS. Quando compartilhamos uma pasta, estamos permitindo que o seu contedo seja acessado por outros usurios, atravs de outros computadores da rede. Quando uma pasta compartilhada, os usurios podem acess-la atravs da rede, bem como o contedo da pasta. Por exemplo, poderamos criar uma pasta compartilhada onde seriam colocados documentos, orientaes e manuais, de tal forma que estes possam ser acessados a partir de qualquer estao conectada a rede. Ao compartilharmos uma pasta todo o contedo da pasta passa a estar disponvel Isso significa que se houverem outras sub-pastas, dentro da pasta compartilhada, estas tambm estaro disponveis para acesso atravs da rede. Considere o exemplo da Figura do incio da prxima pgina. Se a pasta C:\Documentos for compartilhada, todo o seu contedo e tambm o contedo das sub-pastas C:\Documentos\Ofcios e C:\Documentos\Memorandos estaro disponveis para acesso atravs da rede. Importante: Quando uma pasta compartilhada em um computador, criado um caminho para acessar esta pasta a partir dos demais computadores da rede. Este caminho segue o padro UNC Unified Namming Convention (Conveno Unificada de Nomes). Todo caminho que segue o padro UNC inicia com duas barras invertidas, seguida pelo nome do computador onde est o recurso compartilhado (que pode ser uma pasta compartilhada, um impressora compartilhada, etc), mais uma barra invertida e o nome do compartilhamento. Vamos imaginar que estamos compartilhando recursos em um servidor da rede cujo nome : SRVRS001. Neste servidor criamos trs pastas compartilhadas com os seguintes nomes de compartilhamento: documentos, manuais e memorandos. Tambm compartilhamos uma impressora com o nome de compartilhamento lasera1. Qual seria o caminho para acessar estes recursos, segundo o padro UNC?

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 72 de 290

Segurana no Windows XP Professional - Bsico

Figura - Ao compartilhar uma pasta, todo o seu contedo estar disponvel. \\SRVRS001\documentos \\SRVRS001\manuais \\SRVRS001\memorandos \\SRVRS001\lasera1

Nota: Conforme veremos na parte prtica, o nome do compartilhamento no precisa ser igual ao da pasta que est sendo compartilhada. recomendado que o nome do compartilhamento sirva como indicao para o contedo da pasta compartilhada, para facilitar a localizao dos recursos disponveis na rede. Restringindo o acesso s pastas compartilhadas Porm quando uma pasta compartilhada, no significa que o seu contedo deva ser acessado por todos os usurios da rede. Podemos restringir quais usurios que tero acesso pasta compartilhada, e qual o nmero mximo de usurios simultaneamente, isso feito atravs de Permisses de compartilhamento. Com o uso de permisses de compartilhamento, podemos definir quais os usurios que podero acessar o contedo da pasta compartilhada. Para isso, criada uma lista com o nome dos usurios e grupos que possuem permisso de acesso. Alm disso possvel limitar o que os usurios com permisso de acesso podem fazer. Pode haver situaes em que alguns usurios devem ter permisso apenas para ler o contedo da pasta compartilhada, podem haver outras situaes em que alguns usurios devem ter permisso de leitura e escrita,
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 73 de 290

Segurana no Windows XP Professional - Bsico enquanto outros devem ter permisses totais, tais como leitura, escrita e at excluso de arquivos. Na Figura a seguir, temos um exemplo, em que o grupo Gerentes possui permisses de Controle total, enquanto o grupo Usurios possui permisses apenas para leitura.

Figura - Grupos diferentes com permisses diferentes. IMPORTANTE: As permisses definem o que o usurio pode fazer com o contedo de uma pasta compartilhada, desde somente leitura, at um controle total sobre o contedo da pasta compartilhada. Porm as permisses de compartilhamento somente tem efeito se o acesso for feito pela rede. Se o usurio fizer o logon no computador onde est a pasta compartilhada e acess-la localmente, atravs do drive C: (ou outro drive qualquer onde est a pasta compartilhada), as permisses de compartilhamento no sero verificadas e, portanto, no tero nenhum efeito. Este detalhe to importante, que vou repeti-lo vrias vezes ao longo deste tpico. No esquea: Permisses de compartilhamento, no impedem o acesso ao contedo da pasta localmente, isto , se um usurio fizer o logon no computador onde est a pasta compartilhada, o usurio ter acesso a todo o contedo da pasta, a menos que as Permisses NTFS estejam configurados de acordo. Permisses NTFS assunto para daqui a pouco. Ao criarmos um compartilhamento em uma pasta, por padro o Windows XP atribui como permisso de compartilhamento Controle total para o grupo Todos, que conforme o nome sugere, significa qualquer usurio com acesso ao computador, seja localmente, seja pela rede. Por isso ao criar um compartilhamento, j devemos configurar as permisses necessrias, a menos que estejamos compartilhando uma pasta de domnio pblico, onde todos os usurios possam ter Controle total sobre os arquivos e sub-pastas da mesma. Controle total significa que o usurio poder ler, alterar e excluir arquivos, alm de poder criar novos arquivos e pastas. Aviso importante para os usurios do Windows 2000 (Professional e Server): No Windows 2000 Professional ou Server, para compartilhar uma pasta, basta clicar com o boto direito do mouse na pasta e, no menu de opes que exibido, selecionar a opo Compartilhamento. Com isso exibida uma janela onde podemos definir o nome do compartilhamento, as permisses e o nmero mximo de usurios acessando o compartilhamento simultaneamente.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 74 de 290

Segurana no Windows XP Professional - Bsico No Windows XP o procedimento bastante semelhante: Clicamos com o boto direito do mouse na pasta a ser compartilhada e, no menu de opes que exibido, selecionamos o comando Compartilhamento e segurana... exibida uma janela que nos permite compartilhar a pasta com os usurios do prprio computador ou com usurios de outros computadores da rede. Esta janela uma janela de Compartilhamento simplificada, pois no temos acesso a definio de todas as permisses disponveis, nem a configurao do nmero mximo de usurios, conforme indicado na Figura a seguir:

Figura - Janela de compartilhamento simplificada padro do Windows XP. Quando eu comecei a testar as verses de avaliao do Windows XP e me deparei com esta janela, a primeira impresso que eu tive foi: NO GOSTEI. O segundo pensamento foi: TEM COMO EXIBIR A JANELA DE COMPARTILHAMENTO TRADICIONAL, QUE ERA EXIBIDA NO WINDOWS 2000? Felizmente a resposta sim, podemos fazer com que seja exibida a janela de compartilhamento tradicional, na qual temos acesso a todas as opes de configurao. Conhea bem este detalhe para o exame, pois ele muito importante e poder ser cobrado em uma ou mais questes do exame. Para fazer com que seja exibida a janela tradicional de configurao dos compartilhamentos, siga os passos indicados a seguir: 1. Abra o Meu computador.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 75 de 290

Segurana no Windows XP Professional - Bsico 2. Selecione o comando Ferramentas -> Opes de pasta. 3. D um clique na guia Modo de exibio. 4. Utilize a barra de rolagem vertical para ir para o final da lista de opes. 5. Localize a opo Usar compartilhamento simples de arquivo (recomendvel) e, se ela estiver marcada, desmarque-a. 6. D um clique no boto OK para aplicar a alterao. 7. Agora navegue at uma pasta qualquer, clique com o boto direito do mouse e selecione o comando Compartilhamento e segurana... 8. Observe que exibida uma janela com bem mais opes, conforme indicado na Figura a seguir. Aprenderemos a utilizar estas opes mais adiante, neste mdulo. D um clique no boto Cancelar para fechar esta janela.

Figura - Janela de compartilhamento tradicional.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 76 de 290

Segurana no Windows XP Professional - Bsico Entendendo as permisses de compartilhamento. Existem trs nveis de permisses de compartilhamento, conforme descrito a seguir: Leitura: A permisso de Leitura permite ao usurio: Listar os nomes de arquivos e de sub-pastas, dentro da pasta compartilhada. Acessar as sub-pastas da pasta compartilhada. Abrir os arquivos para leitura. Execuo de arquivos de programa (.exe, .com, etc).

OBS: Pastas e arquivos possuem atributos, que o Windows XP utiliza para gerenciar os arquivos. Por exemplo, existe um atributo Somente leitura, que uma vez marcado torna o arquivo somente leitura, isto , no podem ser feitas alteraes no arquivo. Para ver os atributos de um arquivo ou pasta, basta dar um clique com o boto direito do mouse sobre o arquivo ou pasta, e no menu que surge d um clique na opo Propriedades, e o Windows XP exibe uma janela onde possvel verificar e modificar os atributos do arquivo ou pasta, desde que o usurio tenha as devidas permisses. Alterao: Permite ao usurio os mesmos direitos da permisso leitura, mais os seguintes direitos: Criao de arquivos e sub-pastas. Alterao de dados nos arquivos Excluso de sub-pastas e arquivos

OBS: No Windows XP, objetos como pastas e arquivos possuem um dono, o qual por padro o usurio logado que criou a pasta ou arquivo. Conforme veremos no final deste captulo possvel, ao Administrador, tornar-se dono de uma pasta ou arquivo, utilizando uma ao de Take Ownership. Aprenderemos sobre o Take Ownership no final deste mdulo. Controle total: Esta a permisso padro que se aplica a todos os novos compartilhamentos. Essa permisso atribuda ao grupo Todos, ao compartilhar um recurso. Controle total possibilita as mesmas operaes que Leitura e Alterao, mais as seguintes: Alterao de permisses (apenas para arquivos e pastas do NTFS) Apropriao (Take Ownership), apenas para arquivos e pastas do NTFS.

As permisses de compartilhamento Leitura, Alterao e Controle total, podem ser Permitidas ou Negadas. Ou seja podemos permitir o acesso com um determinado nvel (leitura, alterao ou Controle total) ou negar explicitamente o acesso para um usurio. Vamos considerar um exemplo prtico. Vamos supor que todos os usurios do grupo Gerentes devem ter acesso de Leitura a uma pasta compartilhada, com exceo de um gerente cuja conta de usurio jsilva, o qual deve ter negado o direito de leitura na referida pasta. Para simplificar a atribuio de permisses fazemos o seguinte:

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 77 de 290

Segurana no Windows XP Professional - Bsico Permisso de Leitura para o grupo Gerentes Permitir. Permisso de Leitura para o usurio jsilva Negar.

Com isso todos os usurios do grupo Gerentes tero permisso de leitura, com exceo do usurio jsilva, o qual teve a permisso de leitura negada. Outra recomendao que sempre devemos atribuir permisses para grupos de usurios, ao invs de atribuir para usurios individuais, pois isso facilita a administrao, conforme descrito no Mdulo anterior. Importante: Negar sempre tem precedncia sobre permitir. Por exemplo, se o usurio pertencer a cinco grupos, sendo que quatro dos quais tem permisso de acesso e um tem negada a permisso de acesso, o usurio ter negada a permisso de acesso. A permisso negar acesso, herdada de um dos grupos, ter precedncia sobre todas as demais permisses herdadas dos demais grupos. Usurio pertence a mais de um grupo, qual a permisso efetiva do usurio?? Quando um usurio pertence, por exemplo, a dois grupos e os dois grupos recebem permisso para acessar um compartilhamento, sendo que os dois grupos possuem permisses diferentes, por exemplo, um tem permisso de Leitura e o outro de Alterao, como que ficam as permisses do usurio que pertence aos dois grupos? Para responder a esta questo, considere o seguinte: Quando um usurio pertence a mais de um grupo, cada qual com diferentes nveis de permisses para uma pasta compartilhada, o nvel de permisso para o usurio que pertence a mais de um grupo, a combinao das permisses atribudas aos diferentes grupos.

No nosso exemplo, o usurio pertence a dois grupos, um com permisso de somente leitura e outro com permisso de alteraes. A nvel de permisso do usurio de alteraes, pois a soma das permisses dos dois grupos, conforme indicado na Figura a seguir:

Figura - Usurio que pertence a mais de um grupo.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 78 de 290

Segurana no Windows XP Professional - Bsico Negar tm precedncia sobre quaisquer outras permisses:

Vamos considerar o exemplo do usurio que pertence a trs grupos. Se em um dos grupos ele tiver permisso de leitura e em outro grupo permisso de alterao. Mas se para o terceiro grupo, for negado o acesso pasta compartilhada, o usurio ter o acesso negado, uma vez que Negar tem precedncia sobre quaisquer outras permisses, conforme indicado pela Figura a seguir:

Figura - Negar tem precedncia sobre permitir. IMPORTANTE: Quando copiamos uma pasta compartilhada, a pasta original permanece compartilhada, porm a cpia no compartilhada. Quando movemos uma pasta compartilhada, a pasta deixa de ser compartilhada. Lembre destes detalhes, pois eles so muito importantes. Orientaes para a criao de pastas compartilhadas: Todo compartilhamento deve ter um nome, para que o compartilhamento possa ser acessado pela rede, conforme descrito anteriormente e ser demonstrado na parte prtica mais adiante. O nome do compartilhamento pode ser diferente do nome da pasta. Uma recomendao importante para que seja escolhido um nome descritivo do contedo da pasta, de tal maneira que o compartilhamento seja mais facilmente localizada na rede. Voc no colocaria um nome de compartilhamento Projetos em uma pasta compartilhada com documentos contbeis ? Organize os recursos, de tal maneira que todos os pastas que devam ser acessadas pelo mesmo grupo de usurios, com o mesmo nvel de permisso, estejam dentro da mesma pasta compartilhada. Por exemplo, se voc possui sete pastas com documentos e programas, os quais devem ser acessados pelos grupos Contabilidade e Marketing. Coloque estas pastas dentro de uma pasta principal e compartilhe a pasta principal, ao invs de criar sete compartilhamentos individuais. Configure o nvel de permisso mnimo necessrio para que os usurios realizem o seu trabalho. Por exemplo se os usurios precisam apenas ler os documentos em uma pasta compartilhada, atribua permisso de Leitura e no de Alterao ou Controle total.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 79 de 290

Segurana no Windows XP Professional - Bsico

Sempre que possvel, atribua permisses para grupos de usurios e no para usurios individuais, pois isso facilita a administrao, conforma j salientado diversas vezes neste captulo e no Mdulo 2. Determine quais grupos necessitam acesso a quais pastas compartilhadas e com quais nveis de permisso. Documente bem todo esse processo, para que voc possa ter um bom controle sobre os recursos compartilhados e as permisses atribudas.

Sistemas de arquivos e permisses NTFS conceito Agora vamos ver alguns detalhes sobre os sistemas de arquivos que o Windows XP reconhece e tambm sobre permisses NTFS. Um sistema de arquivos determina a maneira como o Windows XP organiza e recupera as informaes no Disco rgido ou em outros tipos de mdia. O Windows XP reconhece os seguintes sistemas de arquivos: FAT FAT32 NTFS NTFS 5

O sistema FAT vem desde a poca do DOS e tem sido mantido por questes de compatibilidade. Alm disso se voc tiver instalado mais de um Sistema Operacional no seu computador, alguns sistemas mais antigos (DOS, Windows 3.x e as primeiras verses do Windows 95 ) somente reconhecem o sistema FAT. Com o sistema de arquivos FAT, a nica maneira de restringir o acesso ao contedo de uma pasta compartilhada, atravs das permisses de compartilhamento, as quais, conforme descrito anteriormente, no tero nenhum efeito se o usurio estiver logado localmente, na mquina onde a pasta foi compartilhada. Com a utilizao do sistema FAT, alguns recursos avanados, tais como compresso, criptografia e auditoria , no esto disponveis. O sistema FAT32 apresenta algumas melhorias em relao ao sistema FAT. Existe um melhor aproveitamento do espao no disco, o que conseqentemente gera menor desperdcio do espao em disco. Um grande inconveniente do sistema FAT32 que ele no reconhecido pelo Windows NT Server 4.0. . Com o sistema de arquivos FAT32, a nica maneira de restringir o acesso ao contedo de uma pasta compartilhada, atravs das permisses de compartilhamento, as quais, conforme descrito anteriormente, no tero nenhum efeito se o usurio estiver logado localmente, na mquina onde a pasta foi compartilhada. Com a utilizao do sistema FAT32, alguns recursos avanados, tais como compresso e criptografia e auditoria , no esto disponveis. O sistema de arquivos NTFS utilizado no Windows NT Server 4.0 e foi mantido no Windows 2000 Server por questes de compatibilidade. um sistema bem mais eficiente do que FAT e FAT32, alm de permitir uma srie de recursos avanados, tais como:
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 80 de 290

Segurana no Windows XP Professional - Bsico Permisses de controle de acesso a arquivos e pastas Compresso Auditoria de acesso Parties bem maiores do que as permitidas com FAT e FAT32 Desempenho bem superior do que com FAT e FAT32

Uma das principais vantagens do NTFS que o ele permite que sejam definidas permisses de acesso para arquivos e pastas, individualmente, isto , posse ter arquivos em uma mesma pasta, com permisses diferentes para usurios diferentes. Alm disso, as permisses NTFS tm efeito localmente, isto , mesmo que o usurio faa o logon no computador onde um determinado arquivo existe, se o usurio no tiver as permisses NTFS necessrias, ele no poder acessar o arquivo. Isso confere um alto grau de segurana, desde que as permisses NTFS sejam configuradas corretamente. No Windows 2000 Server foi introduzido NTFS 5, a nova verso do NTFS, que a verso utilizada pelo Windows XP. O NTFS 5 apresenta diversas melhorias em relao a verso mais antiga do NTFS, tais como: Criptografia de arquivos e pastas (a criptografia uma maneira de embaralhar a informao de tal forma que mesmo que um arquivo seja copiado, o arquivo se torna ilegvel, a no ser para a pessoa que possui a chave para descriptografar o arquivo). Se em uma questo for especificado que voc precisa instalar o Windows XP em um micro, onde o usurio precisar usar criptografia, voc tem que optar por usar o NTFS, j que o FAT e o FAT32 no suportam criptografia de arquivos e pastas. A criptografia de pastas e arquivos ser abordada no Mdulo 7. Quotas de usurio, fazendo com que seja possvel limitar o espao em disco que cada usurio pode utilizar. Gerenciamento e otimizao melhorados.

Conforme descrito anteriormente, podemos definir permisses de acesso para pastas ou arquivos, mas somente em unidades formatadas com o sistema de arquivos NTFS (seja na verso do NT Server 4.0 ou o NTFS 5 do Windows 2000 Server ). Por isso que aconselhvel instalar o Windows XP sempre em unidades formatadas com NTFS, pois isso melhora a segurana. As parties NTFS apresentam um desempenho um pouco inferior do que as parties FAT32, em termos de velocidade. Porm em termos de segurana no existe comparao, por isso recomendo a utilizao do sistema NTFS. Se voc estiver em dvidas, no momento da instalao do Windows XP, pode optar por formatar o disco rgido utilizando FAT 32. Depois possvel converter para NTFS, sem perda de dados. Porm cuidado, uma vez convertido o disco rgido para NTFS no possvel reverter para FAT32. A nica maneira fazer um backup do disco rgido, formatando-o novamente com FAT32 e restaurar o backup.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 81 de 290

Segurana no Windows XP Professional - Bsico Permisses NTFS disponveis Com relao as permisses NTFS, temos um conjunto diferente de permisses quando tratamos de pastas ou arquivos. Na Figura a seguir temos um resumo das permisses de pasta e de arquivos, com as aes associadas com cada permisso.

Figura - Aes associadas com as permisses de pasta e arquivos. A seguir temos a descrio, com maiores detalhes, para cada uma das permisses listadas na Figura anterior: Permisso Desviar pasta/Executar arquivo: Estas permisses so aplicadas a pastas e arquivos. Para as pastas, Desviar pasta permite ou nega o movimento atravs de pastas para acessar outros arquivos ou pastas, mesmo que o usurio no tenha permisses referentes s pastas desviadas (aplica-se somente a pastas). Por exemplo vamos supor que o usurio tem permisso na pasta C:\Documentos, no tem permisso na pasta C:\Documentos\Ofcios e tem na pasta C:\Documentos\Ofcios\2001. Neste caso, o usurio para chegar at a pasta 2001, ter que passar pela pasta Ofcios, para a qual ele no tem permisso. Para que o usurio possa passar pela pasta Ofcio, podemos atribuir-lhe a permisso Desviar pasta. Desviar pasta tem efeito apenas quando o grupo ou usurio no tem o direito de usurio Ignorar verificao com desvio no snap-in de diretivas de grupo. (Por padro,

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 82 de 290

Segurana no Windows XP Professional - Bsico o grupo Todos tem o direito de usurio Ignorar verificao com desvio.) Para os arquivos: Executar arquivo permite ou nega a execuo de arquivos de programa (aplica-se somente a arquivos). Ao definir a permisso Desviar pasta em uma pasta, voc no est automaticamente definindo a permisso Executar arquivo em todos os arquivos dessa pasta. Permisso Listar pasta/Ler dados: Listar pasta permite ou nega a exibio de nomes de arquivos e sub-pastas dentro da pasta. Essa permisso afeta apenas o contedo da pasta em questo, no afetando o fato de a pasta na qual a permisso est sendo definida ser listada ou no. Aplica-se somente a pastas. Ler dados permite ou nega a exibio de dados em arquivos (aplica-se somente a arquivos). Por exemplo, se o usurio tem permisso de Ler dados em um arquivo do Word, este usurio poder abrir o arquivo, porm no poder alter-lo ou exclu-lo. Permisso Ler atributos: Permite ou nega a exibio de atributos de um arquivo ou pasta, como somente leitura ou oculto. Os atributos so definidos pelo NTFS. Para acessar os atributos de uma pasta ou arquivo, clique com o boto direito do mouse na pasta/arquivo e, no menu que surge, d um clique na opo Propriedades. Permisso Ler atributos estendidos: Permite ou nega a exibio de atributos estendidos de um arquivo ou pasta. Os atributos estendidos so definidos por programas e podem variar de acordo com o programa. Permisso Criar arquivos/Gravar dados: Criar arquivos permite ou nega a criao de arquivos dentro da pasta (aplica-se somente a pastas). Gravar dados permite ou nega as alteraes no arquivo e a substituio de um contedo existente (aplica-se somente a arquivos). Esta permisso mais conhecida por permisso de Escrita (ou Alterao). Permisso Criar pastas/Acrescentar dados: Criar pastas permite ou nega a criao de pastas dentro da pasta (aplica-se somente a pastas). Acrescentar dados permite ou nega as alteraes no final do arquivo, mas no a alterao, excluso ou substituio de dados existentes (aplica-se somente a arquivos). Permisso Gravar atributos: Permite ou nega a alterao de atributos de um arquivo ou pasta, como somente leitura ou oculto. Os atributos so definidos pelo NTFS. A permisso Gravar atributos no implica na criao ou excluso de arquivos ou pastas, apenas inclui a permisso para efetuar alteraes nos atributos de um arquivo ou de uma pasta. Permisso Gravar atributos estendidos: Permite ou nega a alterao de atributos estendidos de um arquivo ou pasta. Os atributos estendidos so definidos por programas e podem variar de acordo com o programa. A permisso Gravar atributos estendidos no implica na criao ou excluso de arquivos ou pastas, apenas inclui a permisso para efetuar alteraes nos atributos de um arquivo ou de uma pasta

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 83 de 290

Segurana no Windows XP Professional - Bsico Permisso Excluir sub-pastas e arquivos: Permite ou nega a excluso de sub-pastas e arquivos, mesmo que a permisso Excluir no tenha sido concedida na sub-pasta ou arquivo. (aplica-se a pastas). Por exemplo, se voc no tem permisso de Excluir na pasta Documentos, mas tem permisso de Excluir em um arquivo memo.doc, que est na pasta Documentos, voc conseguir Excluir o documento memo.doc, pois as permisses de arquivo tem precedncia sobre as permisses de pastas, quando conflitantes. Permisso Ler permisses: Permite ou nega a leitura de permisses do arquivo ou pasta, como Controle total, Ler e Gravar. Se o usurio no tiver esta permisso, ele no poder exibir a lista com as permisses definidas para um arquivo e/ou pasta. Permisso Alterar permisses: Permite ou nega a alterao de permisses do arquivo ou pasta, como Controle total, Ler e Gravar. Esta uma permisso poderosa e que deve ser utilizada com cuidado. Uma vez que o usurio tem permisso para Alterar permisses, ele pode perfeitamente atribuir Controle total para ele mesmo, ou seja, para a sua conta de usurio. Permisso Apropriar-se (Take Ownership): Permite ou nega a apropriao do arquivo ou pasta. O proprietrio de um arquivo ou pasta sempre pode alterar permisses, independentemente de qualquer permisso existente que proteja o arquivo ou pasta. O dono de um arquivo ou pasta o usurio que cria o arquivo /pasta. Permisso Sincronizar: Permite ou nega a espera de segmentos diferentes no identificador para o arquivo ou pasta e a sincronizao com outro segmento que possa sinaliz-lo. Essa permisso aplica-se somente a programas de vrios segmentos e processos, envolvidos com processos de sincronizao de dados.

Todo arquivo ou pasta em uma unidade formatada com NTFS, possui uma Lista de controle de acesso (Access Control List ) ACL. Nesta ACL fica uma lista de todas as contas de usurios e grupos para os quais foi garantido acesso para o recurso, bem como o nvel de acesso de cada um deles. Como funcionam as permisses NTFS Permisses NTFS so cumulativas, isto , se um usurio pertence a mais de um grupo, o qual tem diferentes nveis de permisso para um recurso, a permisso efetiva do usurio a soma das permisses. Permisses NTFS para um arquivo tm prioridade sobre permisses NTFS para pastas. Por exemplo se um usurio tm permisso NTFS de escrita em uma pasta, mas somente permisso NTFS de leitura para um arquivo dentro desta pasta, a sua permisso efetiva ser somente a de leitura, pois a permisso para o arquivo tem prioridade sobre a permisso para a pasta. Negar uma permisso NTFS tem prioridade sobre permitir. Por exemplo, se um usurio pertence a dois grupos diferentes. Para um dos grupos foi dado permisso de

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 84 de 290

Segurana no Windows XP Professional - Bsico leitura para um arquivo e para o outro grupo foi Negada a permisso de leitura, o usurio no ter o direito de leitura, pois Negar tem prioridade sobre Permitir. Agora que j vimos a teoria necessria, vamos praticar um pouco. Nas prximas lies iremos aprender a compartilhar pastas, atribuir permisses de compartilhamento. Iremos aprender a acessar pastas compartilhadas atravs da rede. Depois vamos trabalhar um pouco com as permisses NTFS. Veremos como atribuir permisses NTFS e testar uma srie de situaes prticas. Importante: Para os exemplos prticos a seguir, vamos utilizar as contas e grupos criados no Mdulo 2: user1, user2, user3, user4 e user5, bem como os respectivos grupos: vendas, diretoria e empresa. Caso tenham sido feitas alteraes nas diretivas locais de segurana, aps a criao das contas, possvel que algumas contas tenham sido bloqueadas. O Windows XP bloqueia as contas que no atendem as novas definies e diretivas de segurana. Por exemplo, se definimos que o tamanho mnimo da senha ser de 8 caracteres, sero bloqueadas todas as contas com senha menor do que 8 caracteres. Para evitar que estas contas sejam bloqueadas, vamos redefinir a senha de cada conta. Abra o console Gerenciamento do computador, navegue at a opo Usurios e grupos locais, d um clique na opo Usurios e localize cada usurio criado no mdulo 2. D um clique duplo na conta do usurio, para abrir a janela de propriedades da conta. Se a opo Conta bloqueada estiver marcada, desmarque-a e d um clique no boto OK. Quando uma conta est bloqueada, ela no exibida na lista de contas que mostrada na inicializao do Windows XP. Agora que j desbloqueamos as contas, vamos redefinir a senha de uma por uma. Clique com o boto direito do mouse na conta user1, no menu de opes que exibido d um clique na opo Definir senha... Surge uma janela de aviso. D um clique no boto Prosseguir. Ser exibida uma janela para que voc digite e confirme a nova senha do usurio user1. Digite senha123 e confirme. D um clique no boto OK. Surge uma janela com um aviso de que a senha foi redefinida com sucesso. D um clique no boto OK. Redefina a senha para as demais contas: user2, user3, user4 e user5. Para estas contas utilize a mesma senha: senha123. Com isso temos a seguinte configurao de usurios/grupos: Contas criados no Mdulo 2 ****************************************** Usurio: user1 senha: senha123 Usurio: user2 senha: senha123 Usurio: user3 senha: senha123 Usurio: user4 senha: senha123 Usurio: user5 senha: senha123 ****************************************** Grupos criados no Mdulo 2: ****************************************** Grupo: Diretoria Usurios: Administrador user2 user4 Grupo: Vendas Usurios: user3

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 85 de 290

Segurana no Windows XP Professional - Bsico user4 user5 Grupo: Empresa user1 user2 user3 user4 user5 ****************************************** Utilizaremos estes grupos e usurios para definir as permisses de compartilhamento e tambm as permisses NTFS, mais adiante. Importante: Estou utilizando com exemplo, uma pequena rede com dois computadores. Neste caso, no existe um domnio baseado em servidores com o Windows 2000 Server. Nesta situao, temos que criar as mesmas contas e grupos em cada um dos computadores da rede. Com isso os usurios tem que ser criados nos dois computadores e com a mesma senha. Quando alteramos a senha de um usurio em um dos computadores, tambm devemos alterar no outro. Veja o trabalho de administrao que teremos. Agora imagine isto multiplicado para 5, 10 ou 20 computadores. Por isso que, normalmente, a partir de 10 computadores utilizada uma rede baseada em domnios, onde temos servidores Windows 2000 Server ou Windows Server 2003, com o Active Directory instalado. Se voc for conectar um recurso em um computador e a senha est diferente no computador de destino, voc ser solicitado a digitar a senha que est configurada, para o usurio logado, no computador de destino. Por exemplo, vamos supor que o usurio jsilva tem a senha senha123 no computador1 e senhaabc no computador2. O usurio jsilva faz o logon no computador1 e tenta acessar uma pasta compartilhada no computador2. Ao tentar fazer a conexo, o seu nome de logon (jsilva) e a sua senha (senha123) so enviadas para o computador2, para verificar se o jsilva pode acessar o referido recurso. Como as senhas esto diferentes nos dois computadores, ser aberta uma janela para que o usurio jsilva digite a senha que est configurada para este usurio no computador2. Parece complicado de administrar para dois computadores? Imagine para 10 ou 20? Agora j d para entender o porqu do uso de redes baseadas no conceito de domnio, com servidores baseados no Windows 2000 Server. Usurios:

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 86 de 290

Segurana no Windows XP Professional - Bsico Compartilhando pastas e configurando permisses de compartilhamento Vamos fazer um exemplo prtico, onde vamos criar uma estrutura de pastas, depois vamos compartilhar algumas pastas, definir permisses de acesso e, finalmente, acessar as pastas compartilhadas, a partir de outro computador ligado em rede. Para este exemplo prtico, estou utilizando dois computadores ligados em rede, um com o nome de microxp01 e outro com o nome de microxp02, conform ilustrado no diagrama da Figura a seguir:

Figura - Computadores ligados em rede, para o exemplo proposto. Passo 1 executado no computador microxp01: Criar a seguinte estrutura de pastas e subpastas indicadas na Figura a seguir, no disco rgido C:

Figura - Estrutura de pastas para o exemplo proposto. Passo 2 executado no computador microxp01: Compartilhar a pasta Documentos com as seguintes permisses de compartilhamento: Grupo: Grupo: Grupo: Diretoria: Vendas: Empresa: Permisso: Leitura e escrita Permisso: Leitura e escrita Permisso: Leitura

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 87 de 290

Segurana no Windows XP Professional - Bsico 1. Abra o Windows Explorer. 2. Localize a pasta Documentos criada no Passo 1. 3. Clique com o boto direito do mouse na pasta Documentos e no menu de opes que exibido, d um clique na opao Compartilhamento e segurana. Nota: Deve ser exibida a janela Compartilhamento completa, com todas as opes, inclusive com o boto Permisses. Se o boto Permisses no estiver sendo exibido porque o computador est configurado para exibir o modo de compartilhamento simplificado. Para informaes sobre como desabilitar o modo de compartilhamento simplificado, consulte o tpico Aviso importante para os usurios do Windows 2000 (Professional e Server), descrito anteriormente. 4. D um clique na opo Compartilhar esta pasta. 5. No campo Nome do compartilhamento digite: Documentos 6. No campo Comentrio digite: Documentos no computador microxp01. 7. Limite o nmero mximo de usurios conectados a 5, conforme indicado na Figura a seguir:

Figura - Janela para configurao do compartilhamento.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 88 de 290

Segurana no Windows XP Professional - Bsico Importante: O Windows 2000 Professional e o Windows XP Professional aceitam o mximo de 10 conexes simultneas. Ou seja, na prtica, no possvel que mais de 10 usurios, acessem ao mesmo tempo, uma pasta ou impressora compartilhada em um micro com o Windows XP Professional ou com o Windows 2000 Professional. Se voc precisa compartilhar recursos, tais como pastas e impressoras, para serem acessados por mais de 10 usurios, simultaneamente, voc precisa usar o Windows NT Server 4.0, Windows 2000 Server ou Windows Server 2003. 8. D um clique no boto Permisses. Oberve que por padro definida a permisso de compartilhamento Controle total, para o grupo Todos, conforme j descrito anteriormente. 9. D um clique no boto Adicionar. Ser exibida a janela Usurios ou grupos. Vamos definir permisses para os grupos Diretoria, Vendas e Empresa. Digite o nome dos grupos separados por ponte e vrgula, conforme indicado na Figura a seguir:

Figura - Adicionando os grupos que recebero permisses no compartilhamento. 10. D um clique no boto OK. Voc estar de volta janela Permisses para Documentos. Observe que os grupos j esto na lista. Vamos remover o grupo Todos e depois configurar permisses solicitadas para os demais grupos. 11. D um clique no grupo Todos e depois clique no boto Remover. O grupo retirado da lista. 12. D um clique no grupo Diretoria e marque as permisses Alterao e Leitura. 13. D um clique no grupo Vendas e marque as permisses Alterao e Leitura. 14. D um clique no grupo Empresa e marque somente a opo Leitura. 15. D um clique no boto OK. Voc estar de volta a janela de definio do compartilhamento. 16. D um clique no boto OK e pronto, a pasta ser compartilhada e as permisses de compartilhamento definidas. Observe que aps ter compartilhada a pasta, a figura de uma pequena mo, segurando a pasta exibida.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 89 de 290

Segurana no Windows XP Professional - Bsico Uma questo importante: Com base nas permisses atribuidas aos grupos, quais as permisses efetivas dos usurios: user1, user2, user3, user4 e user5?? Vamos analisar caso a caso: user1: Pertence somente ao grupo Empresa, portanto somente herda a permisso de leitura. Este usurio ao acessar a pasta compartilhada pela rede, ter permisso somente de leitura. user2: Pertence aos grupos Diretoria e Empresa. Herdar as permisses dos dois grupos, que na soma resulta em Leitura e Escrita. user3: Pertence aos grupos Vendas e Empresa. Herdar as permisses dos dois grupos, que na soma resulta em Leitura e Escrita, ou seja, o usurio vai acumulando as permisses de todos os grupos aos quais ele pertence. user4: Pertence aos trs grupos. Herdar as permisses dos trs grupos, o que na soma d Leitura e Escrita. user5: Pertence aos grupos Vendas e Empresa. Herdar as permisses dos dois grupos, que na soma resulta em Leitura e Escrita.

Vamos fazer algumas perguntas para entender bem como funciona esta combinao de permisses? 1) O que aconteceria se negssemos permisso de leitura para o grupo Empresa?? R: Com todos os usurios pertencem ao grupo Empresa e, negar tem precedncia sobre permitir, ao negar Leitura para o grupo Empresa, estaremos negando Leitura para todos os usurios: user1, user2, user3, user4 e user5. Com esta configurao, ao tentar acessar a pasta compartilhada pela rede, o usurio iria receber uma mensagem de acesso negado. 2) Se o usurio user2 fizer o logon no computador onde est a pasta compartilhada Documentos, qual a permisso efetiva de compartilhamento?? R: Nenhuma. Lembre que as permisses de compartilhamento no tem efeito localmente, somente atravs da rede. Localmente somente tem efeito as permisses NTFS. Se o usurio user2 ou um grupo ao qual ele pertence, tiver as permisses NTFS necessrias, ele poder acessar a pasta Programas. 3) Criei um compartilhamento chamado Documentos, no computador microxp01. Muito bem, qual o caminho que eu uso em outro computador da rede, para acessar este compartilhamento? R: \\microxp01\documentos

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 90 de 290

Segurana no Windows XP Professional - Bsico Passo 3 executado no computador microxp01: Compartilhar a pasta Porgramas, com o nome de compartilhamento Programas, criada no Passo 1, com um nmero mximo de 10 usurios simultnos e com as seguintes permisses de compartilhamento: Grupo: Grupo: Grupo: Diretoria: Vendas: Empresa: Permisso: Negado Leitura Permisso: Leitura e escrita Permisso: Controle total

Com base no que foi explicado no Passo 2, crie e configure o compartilhamento Programas, no computador microxp01. Vamos fazer algumas perguntas para entender bem como funciona esta combinao de permisses? 1) Qual a permisso para o usurio user2, com base nas permisses atribudas aos grupos Diretoria, Vendas e Empresa? R: Sempre comeamos a anlise verificando se existe a permisso Negado para algum grupo. No nosso caso existe: Negado Leitura para o grupo Diretoria. Como o usurio user2 pertence ao grupo Diretoria e negado tem precedncia sobre qualquer outra permisso, o usurio user2 ter acesso negado ao compartilhamento documentos. O mesmo vlido para o usurio user4, o qual tambm pertence ao grupo Diretoria. 2) Se o usurio user2 fizer o logon no computador onde est a pasta compartilhada Programas, ele ter acesso Negado a pasta Programas?? R: No, pois ao acessar localmente as permisses de compartilhaemnto no tem efeito. Localmente somente tem efeito as permisses NTFS. Se o usurio user2 ou um grupo ao qual ele pertence, tiver as permisses NTFS necessrias, ele poder acessar a pasta Programas. 3) Criei um compartilhamento chamado Programas, no computador microxp01. Muito bem, qual o caminho que eu uso em outro computador da rede, para acessar este compartilhamento? R: \\microxp01\Programas Muito bem, criamos os compartilhamentos e definimos as permisses de compartilhamento. Agora vamos no computador microxp02, acessar os compartilhamentos criados no computador microxp01. Passo 4 Executado no computador microxp02: Fazer o logon como user1, no computador microxp02 e montar um drive M:, o qual acessa o compartilhamento Documentos que est no computador microxp01: \\microxp01\Documentos. 1. Faa o logon como user2 no computador microxp02. 2. Selecione o comando Iniciar -> Executar. 3. No campo Abrir digite \\microxp01, conforme indicado na Figura a seguir e d um clique no boto OK.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 91 de 290

Segurana no Windows XP Professional - Bsico

Figura - Acessando os recursos compartilhados do computador microxp01. Nota: Ao executar o comando \\microxp01, Windows XP exibe uma janela com todos os recursos compartilhados no computador microxp01. Importante: Se voc quiser ocultar um compartilhamento, de tal maneira que ele no seja exibido na lista de recursos compartilhados quando usamos o comando \\nome_do_computador, basta finalizar o nome do compartilhamento com o caractere $. Por exemplo, se voc criar um compartilhamento chamado Docs$, este ser um compartilhamento oculto, o qual somente poder ser acessado se utilizarmos o caminho completo: \\nome_do_computador\Docs$. Por padro, o Windows XP cria alguns compartilhamentos ocultos para funes especficas do prprio Sistema Operacional. Estes compartilhamentos tambm tem permisses especficas. Por exemplo, criad o um compartilhamento C$, o qual d acesso a pasta raiz do disco rgido, porm somente usurios com conta de Administrador tem acesso a este compartilhamento. 4. Observe que as pastas compartilhadas Documentos e Programas j so exibidas na janela que aberta. 5. Para associar um drive (no nosso exemplo M:), com uma pasta compartilhada, clique com o boto direito do mouse na pasta desejada. No nosso exemplo, clique com o boto direito do mouse na pasta Documentos. 6. No menu que exibido, d um clique na opo Mapear unidade de rede... Ser exibida uma janela para que voc selecione a unidade que ser associada com a pasta compartilhada e se voc deseja refazer o mapeamento toda vez que o usurio atual (no nosso exemplo o usurio logado o usurio user2) fizer o logon, conforme indicado na primeira Figura da prxima pgina. 7. D um clique no boto Concluir. O Windows XP abre uma janela onde so exibidas as subpastas de Documentos. Feche esta janela. 8. Abra o Meu computador e observe, j deve ser exibido um drive de rede M:, conforme indicado na segunda Figura da prxima pgina.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 92 de 290

Segurana no Windows XP Professional - Bsico

Figura - Mapeando uma unidade de rede.

Figura - O drive de rede M:


Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 93 de 290

Segurana no Windows XP Professional - Bsico A partir deste momento, toda vez que acessarmos o drive M:, estaremos acessando, na prtica, a pasta compartilhada Documentos, no computador \\microxp01. Observe que a utilizao de drives mapeados (drives de rede), facilita bastante o acesso s pastas compartilhadas, pois serve como um atalho para estas pastas. 9. D um clique duplo no drive M, para acess-lo. Abra a pasta Memorandos. 10. Vamos tentar criar um novo arquivo de texto. Clique com o boto direito do mouse na rea em branco, na pasta Documentos. No menu que surge selecione o comando Novo -> Documento de texto. Voc deve receber uma mensagem de acesso negado, conforme indicado na Figura a seguir:

Figura - Acesso negado para o usurio user1 criar um novo arquivo. Por que voc recebeu esta mensagem de acesso negado?? Porque, conforme descrito anteriormente, o usurio user1 tem permisso de compartilhamento somente de Leitura. Com esta permisso ele no poder criar e salvar novos arquivos na pasta Documentos e nas suas sub-pastas. Nota: Quando no for mais necessrio o acesso a um drive de rede, voc pode desconectar este drive. Para desconectar um drive de rede, d um clique com o boto direito do mouse no drive a ser desconectado. No menu que surge d um clique na opo Desconectar. Se houver arquivos abertos no drive, surge uma janela de aviso. D um clique no boto Sim e o drive ser desconectado. Se no houver arquivos abertos, no drive que est sendo desconectado, a mensagem de aviso no ser exibida. Passo 5 executado no computador microxp02: Com base no que foi explicado no Passo 4, faa o logon como user1 e monte um drive N: associado com o compartilhamento \\microxp01\Programas. Tente criar um arquivo de texto dentro do compartilhamento programas. Voc conseguir?? R: Sim, pois a permisso efetiva do usurio user1 Controle total. Com isso este usurio tem todas as permisses no compartilhamento Programas, inclusive para excluir todo o contedo da pasta Programas. Muito bem, com isso encerramos o nosso estudo sobre Compartilhamentos, drives de rede e permisses de compartilhamento. Agora vamos aprender a usar o console Gerenciamento do computador, para gerenciar/administrar as pastas compartilhadas no computador.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 94 de 290

Segurana no Windows XP Professional - Bsico Monitorando/Administrando os compartilhamentos do computador Podemos usar a opo Pastas compartilhadas, do console Gerenciamento do computador, para monitorar o acesso s pastas compartilhados no computador. Com esta ferramenta temos informaes sobre todos as pastas que esto compartilhadas, o nmero de conexes com cada pasta, o nmero de sesses atravs da rede, e quais os arquivos que esto sendo acessados e quais usurios esto acessando cada arquivo. Exemplo: Gerenciando pastas compartilhadas com o console Gerenciamento do computador: 1. Abra o Painel de controle. 2. Abra a opo Ferramentas administrativas. 3. Abra o console Gerenciamento do computador. 4. Se a opo Ferramentas do sistema no estiver aberta, d um clique no sinal de + ao lado dela para abri-la. 5. D um clique no sinal de + ao lado da opo Pastas compartilhadas. 6. D um clique na opo Compartilhamentos, abaixo de Pastas compartilhadas. Observe que no painel da direita so exibidos todos os compartilhamentos do computador, inclusive os compartilhamentos ocultos. Tambm exibido o nmero de conexes por compartilhamento. 7. D um clique na opo Sesses. Sero listados todos os usurios e o nmero de sees por usurio. Cada arquivo ou pasta que um usurio abre contabilizado como uma seo. 8. D um clique na opo Arquivos abertos. Ser exibida uma lista com os arquivos que esto sendo utilizados pelos usurios (arquivos que esto abertos) e o nome de logon do usurio que est acessando cada arquivo, conforme indicado na Figura a seguir:

Figura - A lista de arquivos abertos e o respectivo usurio. Quando voc tem que desligar ou reinicializar um computador, onde existem pastas compartilhadas que esto sendo acessadas por outros usurios, importante que voc avise os usurios antes de reinicializar o computador, pois caso contrrio, o usurio perde a conexo com o drive de rede e no consegue salvar as alteraes que fez no arquivo no qual estava trabalhando. Em determinadas situaes o usurio poder perder as suas alteraes. Por isso

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 95 de 290

Segurana no Windows XP Professional - Bsico recomendado que voc envie um aviso, para que o usurio possa salvar seu trabalho, antes que a conexo com o drive de rede seja perdia. Para enviar um aviso aos usurios faa o seguinte: 1. Clique com o boto direito do mouse na opo Pastas compartilhadas, do console Gerenciamento do computador. 2. Selecione o comando: Todas as tarefas...-> Enviar mensagem do console. 3. Ser aberta uma janela onde voc pode digitar a mensagem e selecionar os destinatrios. Por padro, na lista de destinatrios somente so exibidos os destinatrios que esto conectados a alguma pasta compartilhada do computador, conforme indicado na Figura a seguir. Para adicionar outros usurios, d um clique no boto Adiconar...

Figura - Enviando um aviso aos usurios conectados. 4. Digite a mensagem e d um clique no boto Enviar.

Os destinatrios recebero uma mensagem, conforme indicado na Figura a seguir:

Figura - Mensagem recebida pelo usurio.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 96 de 290

Segurana no Windows XP Professional - Bsico Ao receber esta mensagem o usurio ter tempo para salvar o seu trabalho, sem que haja perda de dados. 5. Feche o console Gerenciamento do computador.

Agora vamos fazer alguns exemplos prticos sobre permisses NTFS e logo em seguida, analisaremos a combinao entre permisses de compartilhamento e permisses NTFS. Configurando as permisses NTFS Neste tpico aprenderemos a atribuir permisses NTFS e testar o efeito prtico destas permisses, tanto localmente quanto atravs da rede. Para que voc possa acompanhar todos os exemplos propostos nesta lio, necessrio que voc tenha acesso a mais um computador em rede, alm do computador onde foi criada a pasta compartilhada Documentos, no exemplo sobre pastas compartilhadas. Para os exemplos propostos, continuaremos a considerar dois computadores ligados em rede microxp01 e microxp02, conforme ilustrado na Figura 5.32, anteriormente. Nos exemplos, utilizarei o computador microxp01 como sendo o computador onde se encontra a pasta compartilhada Documentos e microxp02 o outro computador em rede. Caso os nomes dos computadores e do domnio que voc est utilizando para acompanhar esta lio, sejam diferentes, utilize-os no lugar dos nomes aqui descritos. Exemplo: Atribuindo permisses NTFS. Passo 1 no computador microxp01: Atribuindo permisses NTFS para a pasta C:\Documentos: 1. Efetue o logon como Administrador microxp01. 2. Abra o Windows Explorer: Iniciar -> Programas -> Acessrios -> Windows Explorer. 3. Localize a unidade onde voc criou a pasta Documentos, na lio anterior, abra a unidade e localize a pasta Documentos. No nosso exemplo C:\Documentos. 4. D um clique com o boto direito do mouse sobre a pasta Documentos, e no menu de opes que surge d um clique em Propriedades. 5. Surge a janela Propriedades de Documentos, com a guia Geral selecionado por padro. 6. D um clique na guia Segurana, que a guia que utilizaremos para configurar as permisses NTFS para a pasta Documentos. Surge a janela indicada na Figura a seguir: Nota: Se a guia Segurana no estiver sendo exibida porque o computador est configurado para exibir o modo de compartilhamento simplificado. Para informaes sobre como desabilitar o modo de compartilhamento simplificado, consulte o tpico Aviso importante para os usurios do Windows 2000 (Professional e Server).

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 97 de 290

Segurana no Windows XP Professional - Bsico

Figura - A guia Segurana. IMPORTANTE: Na lista de usurios com permisso, d um clique no grupo Todos. Observe que as opes na coluna Permitir esto marcadas para o grupo Todos, porm se tentarmos alter-las clicando com o mouse, nada acontece, como se estas opes estivessem desabilitadas. Isso acontece, porque quando criamos a pasta Documentos, ela herdou as permisses do objeto pai, que no caso a pasta raiz da unidade onde a pasta Documentos foi criada (C:\). Esse o comportamento padro do Windows XP, baseado no que j acontecia no Windows 2000. Outro detalhe importante, que as permisses NTFS herdadas no podem ser alteradas, a menos que desativemos o mecanismo de herana. 7. Para verificar se o mecanismo de herana est habilitado, d um clique no boto Avanado. Ser exibida a janela Configuraes de segurana avanadas para Documentos. Nesta janela, se a opo Herdar do pai as entradas de permisso aplicveis a objetos filho. Inclu-las nas entradas explicitamente definidas aqui. estiver marcada, o mecanismo de herana est habilitado, conforme destacado na Figura a seguir:

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 98 de 290

Segurana no Windows XP Professional - Bsico

Figura - O mecanismo de Herana de permisses. Alm das permisses herdadas, podemos adicionar permisses NTFS para usurios ou grupos. Permisses adicionadas desta maneira so conhecidas como Permisses explcitas, as quais podem ser alteradas a qualquer momento pelo Administrador do sistema, conforme a necessidade. J as permisses herdadas no podem ser alteradas pelo Administrador. 8. O Mecanismo de herana pode ser desativado. Para isso basta desmarcar a opo Herdar do pai as entradas de permisso aplicveis a objetos filho. Inclu-las nas entradas explicitamente definidas aqui.. Ao fazer isso o Windows XP abre uma janela perguntando se voc deseja Copiar as permisses herdados caso em que o Windows XP as transforma como se tivessem sido explicitamente definidas ou se voc deseja remov-las, caso em que todas as permisses herdadas sero removidas. Esta janela est indicada na Figura a seguir. 9. D um clique no boto Remover, para revomer todas as permisses. 10. Voc estar de volta a janela de Configuraes de segurana avanadas. D um clique no boto OK para fech-la. 11. O Windows XP exibe uma janela com um aviso de que todos os usurios foram removidos da lista e somente o dono ter acesso aos arquivos/pastas. D um clique no boto Sim para fechar esta janela de aviso.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 99 de 290

Segurana no Windows XP Professional - Bsico

Figura - Desabilitando o mecanismo de herana para a pasta selecionada. 9. D um clique no boto Remover, para revomer todas as permisses. 10. Voc estar de volta a janela de Configuraes de segurana avanadas. D um clique no boto OK para fech-la. 11. O Windows XP exibe uma janela com um aviso de que todos os usurios foram removidos da lista e somente o dono ter acesso aos arquivos/pastas. D um clique no boto Sim para fechar esta janela de aviso. 11. Vamos adicionar permisso de Alterao para os usurios user1 e user2. Clique no boto Adicionar. Surge a janela Selecione usurio ou grupo. 12. Digite o nome dos usurios, separando os nomes por ponto e vrgula. No nosso exemplo, digite: user1;user2. Sua janela deve ficar conforme a indicada na Figura a seguir, onde foram adicionados os usurios user1 e user2.

Figura - Adicionando os usurios user1 e user2. Nota: Quando o nmero de usurios grande, fica difcil de lembrar o nome de cada usurio. Nestas situaes podemos fazer com que o Windows XP exiba uma listagem de usurios e/ou grupos, para que possamos selecionar um ou mais usurios e/ou grupos nesta listagem. Em primeiro lugar devemos definir que tipo de objetos desejamos que aparea na listagem: Segurana interna principal, grupos ou usurios. Para definir os tipos de objetos que devem
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 100 de 290

Segurana no Windows XP Professional - Bsico aparecer na listagem, d um clique no boto Tipos de objeto..., da janela indicada na Figura a seguir. Ser aberta a janela Tipos de objeto, onde podemos marcar os tipos de objetos que sero exibidos. Deixe marcada apenas as opes Grupos e Usurios, conforme indicado na Figura a seguir. D um clique no boto OK.

Figura - A janela Tipos de objeto. Voc estar de volta a janela Selecione usurio ou grupo. D um clique no boto Avanado. Ser exibida a janela Selecionar Usurio ou Grupo. Observe que no campo Selecionar este tipo de objeto, j vem preenchido o valor: Usurio ou Grupo. Para listar todos os usurios e grupos cadastrados, d um clique no boto Localizar agora. Na parte de baixo da janela ser exibida uma listagem com todos os usurios e grupos cadastrados. D um clique no usurio ou grupo para o qual voc deseja atribuir permisses NTFS e d um clique no boto OK. Voc estar de volta janela Selecione Usurio ou grupo. Se for necessrio voc pode utilizar as teclas Ctrl e Shift para selecionar vrios usurios ou grupos de um s vez. 13. Voc estar de volta a janela Propriedades de Documentos e os usurios user1 e user2 j aparecem e os usurios selecionados j aparecem na lista. Por padro so definidas as permisses Ler & Executar, Listar contedo da pasta e Leitura. Alm de adicionar os dois usurios, devemos configurar o nvel de acesso das permisses NTFS dos mesmos.Vamos atribuir uma permisso NTFS de alterao para ambos. 14. D um clique em user1 para marc-lo. Na parte do meio da janela, onde tem Permisses, d um clique na opo Modificar , da coluna Permitir. Observe que todas as outras opes abaixo de Modificar, so automaticamente selecionadas, inclusive Gravar. 15. Repita a operao para o usurio user2 com as mesmas permisses do usurio user1. Adicione o usurio user3 e negue todas as permisses para este usurio, isto , para o usurio user3, marque todas as opes da coluna Negado.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 101 de 290

Segurana no Windows XP Professional - Bsico 16. Use o boto Adicionar para incluir o usurio Administrador. Porm para o usurio Administrador, na coluna Permitir marque a permisso Controle total. Sua janela deve estar conforme indicado pela Figura a seguir:

Figura - Permisses NTFS na pasta C:\Documentos. 17. D um clique no boto OK, para fechar a janela Propriedades de Documentos. 18. Agora a pasta Documentos possui permisses NTFS Modificar para os usurios user1 e user2 e permisso Controle total para o usurio Administrador. Vamos testar estas permisses, tanto atravs da rede, quanto localmente. Passo 2 no computador microxp02: Testando o funcionamento das permisses NTFS atravs da rede: 1. Faa o logon no computador microxp02 com a conta de usurio user2 e para a senha digite senha123. 2. Selecione o comando Iniciar -> Executar. 3. Digite \\microxp01\documentos e d um clique no boto OK. Sero exibidos os compartilhamentos do computador microxp01. 4. Clique com o boto direito do mouse no compartilhamento Documentos e selecione a opo Mapear unidade de rede. 5. Na janela que exibida selecione a letra Y para o drive e d um clique no boto OK.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 102 de 290

Segurana no Windows XP Professional - Bsico 6. Voc conseguiu ? O drive mapeado com sucesso? claro que sim, uma vez que o usurio user2 tem permisso para acessar esse compartilhamento e tambm tem as permisses NTFS necessrias. 7. Abra o Meu computador. 8. D um clique duplo no drive de rede Y: 9. Abra a pasta Memorandos. Crie um arquivo de texto, digite algum texto e salve-o com o nome de teste de permisses.txt. Voc conseguiu salvar o arquivo? claro que sim, pois alm de ter permisso de compartilhamento de Leitura e escrita (definida nos exemplos sobre compartilhamentos de pastas), o usurio user2 tambm tem as permisses NTFS Leitura e Gravao na pasta Documentos. Importante: Observe que neste caso temos dois conjuntos de permisses a ser considerados: Permisses de compartilhamento e permisses NTFS. Vamos analisar o caso do usurio user2, para entender como funciona a combinao destes dois conjuntos de permisses. Mais adiante detalharemos com mais exemplos, o efeito da combinao entre as permisses NTFS e de compartilhamento. Permisses atribudas ao usurio user2: Permisses de compartilhamento: O usurio user2 pertence ao grupo Diretoria, o qual tem permisses de compartilhamento Leitura e escrita. O usurio user2 tambm pertence ao grupo Empresa, o qual tem permisso de compartilhamento somente de leitura. O primeiro passo definir qual a permisso de compartilhamento efetiva, do usurio user2. Para simplificar a questo, considere o esquema a seguir: Permisso de compartilhamento Leitura e Alterao Leitura Permisso de compartilhamento resultante Leitura e Alterao

Grupo Diretoria Empresa

Ento j sabemos que a permisso de compartilhamento efetiva para o usurio user2 : Leitura e Alterao. Permisses NTFS: O usurio user 2 tem as seguintes permisses NTFS: Modificar, Ler & Executar, Listar contedo da pasta, Leitura e Gravar.

Observe que tanto nas permisses de compartilhamento, quanto nas permisses NTFS, o usurio tem permisso para criar arquivos (Alterao no compartilhamento e Gravar no NTFS). Por isso que o usurio user2. pode criar e gravar um novo arquivo de texto Passo 3 no computador microxp01: Testando o funcionamento das permisses NTFS localmente. Para testar o funcionamento das permisses NTFS localmente, faa o seguinte: 1. Faa o logon no computador microxp01 com a conta de usurio user3 e para a senha digite paulo123. 2. Abra o Meu computador, acesse o drive C:. Dentro do drive C: d um clique duplo para acessar a pasta Documentos.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 103 de 290

Segurana no Windows XP Professional - Bsico 3. Voc conseguiu? 4. No. Mas como possvel se voc est acessando a pasta Documentos localmente, isto , no computador onde ela foi criada ? Lembre-se de que voc fez o logon no computador microxp01, onde a pasta Documentos foi criada, mas utilizando a conta de usurio user3, a qual possui as permisses NTFS negadas para acessar a pasta Documentos. No esquea que as permisses NTFS tem efeito tanto localmente quanto atravs da rede, diferente das permisses de compartilhamento, as quais no tem nenhum efeito localmente. Porm existe uma situao onde as permisses de compartilhamento so a nica alternativa, que no caso de unidades formatadas com FAT. Para estas unidades no existem permisses NTFS. 5. Feche a mensagem de acesso negado e efetue o log off do usurio user3.

Agora vamos criar um arquivo de texto chamado teste.txt dentro da pasta Documentos e atribuir permisses NTFS para este arquivo. Passo 4 no computador microxp01: Criando um arquivo teste.txt e atribuindo permisses NTFS para este arquivo. 1. Efetue o logon como Administrador, no computador microxp01. 2. Abra o Windows Explorer. 3. Acesse a pasta Documentos criada anteriormente. 3. No painel da esquerda, d um clique sobre a pasta Documentos para abri-la. 4. No painel da direita, em qualquer espao em branco, d um clique com o boto direito do mouse, e no menu que surge aponte para Novo e nas opes do menu Novo d um clique sobre a opo Documento de texto. 5. Surge uma caixa onde est escrito Novo documento de texto. 6. No clique em lugar nenhum nem tecle Enter, simplesmente digite o nome do arquivo que est sendo criada, no nosso exemplo digite teste.txt e tecle Enter. O Windows XP cria um documento de texto em branco, com o nome de teste.txt. 7. D um clique com o boto direito sobre teste.txt e no menu que surge d um clique sobre Propriedades. 8. Surge a janela Propriedades de teste.txt, com a guia Geral selecionado por padro. D um clique na guia Segurana, que a guia que utilizaremos para configurar as permisses NTFS IMPORTANTE: Observe que algumas opes na coluna Permitir esto marcadas para os usurios Administrador, user1, user2 e user3, porm no podemos alter-las clicando com o mouse, pois esto desabilitadas para alterao. Isso acontece, porque quando criamos o arquivo teste.txt ele herdou as permisses do objeto pai, que no caso a pasta Documentos. Esse o comportamento padro do Windows XP. Outro detalhe importante, que as permisses NTFS herdadas no podem ser alteradas, a menos que seja desativado o mecanismo de herana, para o arquivo teste.txt, conforme j descrito anteriormente.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 104 de 290

Segurana no Windows XP Professional - Bsico Alm das permisses herdadas, podemos adicionar permisses NTFS para usurios ou grupos. Permisses adicionadas desta maneira so conhecidas como Permisses explcitas, as quais podem ser alteradas a qualquer momento pelo Administrador do sistema, conforme a necessidade. 8. Vamos Copiar as permisses herdadas. D um clique no boto Avanado e, na janela que surge, desmarque a opo Herdar do pai as entradas..... Ser exibida janela solicitando confirmao, d um clique no boto Copiar. Com isso copiamos as permisses herdados, transformando-as em permisses explcitas, as quais podem ser alteradas. D um clique no boto OK para fechar a janela de configuraes avanadas e voltar para a guia Segurana. 9. D um clique em user1 para marc-lo. Na parte do meio da janela, onde tem Permisses, deixe apenas o opo Leitura marcada. 10. Repita a operao para o usurio user2. 11. D um clique no boto OK, para fechar a janela Propriedades de teste.txt. 12. Agora a pasta Documentos possui permisses NTFS Modificar para os usurios user1 e user2 e Controle total para o usurio Administrador. J o arquivo teste.txt tem permisso Leitura para os usurios user1 e user2, e Controle total para o usurio Administrador. Agora temos permisses NTFS para a pasta Documentos e permisses NTFS diferentes para o arquivo teste.txt que est dentro da pasta Documentos. Vamos testar estas permisses, tanto atravs da rede, quanto localmente. Antes de iniciarmos os testes lembre que, no caso de conflito entra as permisses de pasta e as permisses do arquivo, prevalece as permisses do arquivo. Passo 5 no computador microxp02: Testando o funcionamento das permisses NTFS atravs da rede. 1. Faa o logon no computador microxp02 com a conta de usurio user2 e para a senha digite senha123. 2. Tente acessar o compartilhamento Documentos, no computador microxp01. Voc conseguiu? claro que sim, uma vez que o usurio user2 tem permisso para acessar esse compartilhamento e tambm tem as permisses NTFS necessrias. 3. Dentro da pasta Documentos deve estar o arquivo teste.txt. D um clique para marclo e pressione a tecla Delete para exclu-lo. Voc conseguiu eliminar o arquivo teste.txt? No. Isso porque o usurio user2 possui permisses NTFS modificar na pasta Documentos, mas no arquivo teste.txt, as permisses do usurio user2 so apenas Leitura. Como as permisses de arquivo tem prioridade sobre as permisses de pasta, a permisso efetiva do usurio user2 no arquivo teste.txt Leitura, a que no permite que o arquivo seja excludo pelo usurio user2. 4. Voc deve ter recebido uma mensagem de Acesso negado. D um clique em OK para fech-la. 5. Faa o logoff do usurio user2.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 105 de 290

Segurana no Windows XP Professional - Bsico Passo 6 no computador microxp01: Testando o funcionamento das permisses NTFS localmente. 1. Faa o logon no computador microxp01 com a conta de usurio user2 e para a senha digite senha123. 2. Abra o Windows Explorer e acesse a pasta C:\Documentos. Voc conseguiu ? 3. claro que sim, uma vez que o usurio user tem as permisses NTFS necessrias para acessar a pastas Documentos. 4. Dentro da pasta Documentos deve estar o arquivo teste.txt. D um clique para marclo e pressione a tecla Delete para elimin-lo. Voc conseguiu eliminar o arquivo teste.txt ? 5. No. Isso porque o usurio user2 possui permisses NTFS modificar na pasta Documentos, mas no arquivo teste.txt, as permisses do usurio user2 so apenas Leitura. Como as permisses de arquivo tem prioridade sobre as permisses de pasta, a permisso efetiva do usurio user2 sobre o arquivo teste.txt Leitura, a qual no permite que o arquivo seja excludo por este usurio. Alm disso nunca demais lembrar que as permisses NTFS so vlidas tanto para acessos atravs da rede, quanto para acessos locais. 6. Voc deve ter recebido uma mensagem de Acesso negado. D um clique em OK para fech-la. 7. Faa o logoff do usurio user2. Exerccio: Crie uma pasta chamada Ofcios em uma unidade formatada com NTFS. Desative opo para herdar as permisses do objeto pai. Atribui permisses de leitura para o grupo de usurios Empresa e permisso de Controle total para o usurio user3. Poder o usurio user3 criar um novo arquivo dentro da pasta Ofcios ? Sim, pois a permisso efetiva do usurio user3 a soma das permisses atribudas aos grupos aos quais ele pertence, no caso ao grupo Empresa mais as permisses atribudas ao prprio usurio, conforme explicado anteriormente. Combinando permisses de compartilhamento e permisses NTFS Voc pode estar se perguntando como que o Windows XP trata quando existem diferenas entre as permisses de compartilhamento e as permisses NTFS. Por exemplo se nas permisses de compartilhamento o usurio maria tem direito de Controle total e nas permisses NTFS o usurio maria tem direito apenas de Leitura. Qual a permisso efetiva do usurio maria ? Nos j comentamos um pouco sobre a combinao entre as permisses de compartilhamento e as permisses NTFS. Neste tpico iremos detalhar esta combinao. NO ESQUEA: Quando existem diferenas entre as permisses de compartilhamento e as permisses NTFS, a permisso efetiva a mais restritiva, isto , aquele que restringe mais as aes que podem ser tomadas. No exemplo do primeiro pargrafo, a permisso efetiva para o usurio maria seria Leitura, a qual mais restritiva do que Controle total.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 106 de 290

Segurana no Windows XP Professional - Bsico Vamos analisar algumas situaes prticas para fixar bem a combinao entre permisses de compartilhamento e NTFS. Exemplo 01: Considere a situao indicada na Figura a seguir. Qual a permisso efetiva do usurio jsilva2, na pasta compartilhada Documentos?

Figura - A permisso efetiva a mais restritiva. Para entender a situao da Figura a seguir, devemos ter em mente que no caso de diferenas entre as permisses de compartilhamento e as permisses NTFS, a permisso efetiva a mais restritiva. No exemplo da figura a permisso efetiva do usurio jsilva2 leitura a qual a mais restritiva entre Modificar (a permisso NTFS do usurio jsilva2) e Leitura (permisso de compartilhamento do usurio jsilva2). A mesma anlise vlida em relao ao usurio maria. Vamos considerar uma situao um pouco mais complexa, onde temos que considerar a combinao das permisses dos diferentes grupos aos quais pertence um usurio, alm da combinao entre permisses de compartilhamento e permisses NTFS. Vamos admitir que o usurio paulo pertena aos grupos Contabilidade e Marketing. Com base na Figura a seguir, qual seria a permisso efetiva para o usurio paulo sobre a pasta compartilhada Documentos ?

Figura - Usurio paulo pertence aos grupos Marketing e Contabilidade. Para definir a permisso efetiva para o usurio jsilva2, temos que levar em conta diversos regras.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 107 de 290

Segurana no Windows XP Professional - Bsico Quando um usurio pertence a vrios grupos, os quais recebem diferentes permisses ( quer sejam permisses de compartilhamento ou NTFS), a permisso efetiva a soma das permisses. Alm disso devemos lembrar que Negar tem prioridade sobre permitir. No caso das permisses de compartilhamento, um dos grupos ao qual o usurio jsilva2 pertence grupo Contabilidade tem a permisso de leitura negada. Logo a permisso efetiva de compartilhamento para jsilva2 Negar leitura.

A permisso efetiva NTFS para o usurio jsilva2 a soma das permisses do usurio com as permisses dos grupos Marketing e Contabilidade. Com isso a permisso NTFS efetiva Permitir Controle total. Com isso podemos reduzir a nossa situao a uma situao mais simplificada, conforme indicado na Figura a seguir:

Figura - Simplificando a situao. Agora temos que lembrar que quando existe diferena entre as permisses de compartilhamento e NTFS vale a mais restritiva.

Com isso podemos determinar que a permisso efetiva do usurio jsilva2 sobre o compartilhamento Documentos Negar Leitura, isto , o usurio no conseguir nem listar o contedo da pasta. Mapeando de unidades de rede J falamos sobre o mapeamento de unidades de rede, nos exemplos anteriores. Agora vamos detalhar um pouco mais este conceito. At agora acessvamos uma pasta compartilhada, utilizando o comando Iniciar -> Executar. Quando precisamos acessar um determinado compartilhamento seguidamente, devemos Mapear uma unidade, o que torna o acesso a pasta compartilhada, muito mais fcil. Mapear uma unidade significa que vamos associar uma determinada letra com o compartilhamento da rede. Por exemplo, poderamos associar a unidade M:\ como o compartilhamento Documentos do computador microxp01. Com isso ao acessar a unidade M:\, na verdade estamos acessando o contedo da pasta compartilhada \\microxp01\Documentos. Alm disso podemos fazer com que o Windows XP restabelea este mapeamento toda vez que for feito o logon. Com isso a unidade estar sempre disponvel. Em captulos anteriores, me referi a estas unidades como Drives de rede. Os termos so sinnimos.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 108 de 290

Segurana no Windows XP Professional - Bsico Exemplo: Mapeando o drive M: para a pasta compartilhada Documentos no computador microxp01. 1. Faa o logon como Administrador no computador microxp02. 2. Abra o Meu computador ou o Windows Explorer. 3. Selecione o comando Ferramentas -> Mapear unidade de rede... Surge a janela Mapear unidade de rede, indicada na Figura a seguir:

Figura - Janela Mapear unidade de rede. 4. Na lista unidade escolha M: 5. No campo Pasta: digite \\microxp01\Documentos. Conforme vimos antes este o nome UNC do compartilhamento Documentos no computador microxp01. Certifique-se que a opo Reconectar-se durante o logon esteja marcada. Essa opo faz com que o drive M: seja mapeado cada vez que o usurio Administrador fizer o logon. Observe que o drive somente ser automaticamente montado para o usurio Administrador. possvel fazer com que um ou mais drives sejam montados automaticamente, para todos os usurios. Para isso utilizamos scripts de Inicializao, conforme aprenderemos no Captulo 16. 6. D um clique no boto OK para concluir o mapeamento. Nota: Voc pode utilizar a opo nome de usurio diferente, para acessar a pasta compartilhada como sendo um usurio diferente do usurio logado. Neste caso, valero as permisses do usurio informado e no as permisses do usurio que est logado. 7. O Windows XP abre uma janela mostrando o contedo do drive mapeado. Feche essa janela. 8. Voc estar de volta na janela Meu computador (ou ao Windows Explorer).

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 109 de 290

Segurana no Windows XP Professional - Bsico 9. Procure por um drive M:. Se este ainda no aparece, d um toque na tecla F5 para atualizar a listagem. 10. O drive M: deve aparecer na listagem de drives de rede. Nota: Voc pode acrescentar o smbolo do cifro ($) no final do nome de um compartilhamento. O efeito de acrescentar o cifro que voc torna o compartilhamento oculto, isto , este no pode ser localizado atravs da opo Meus locais de rede. Por exemplo, se voc criar um compartilhamento no computador microxp01, cujo nome de compartilhamento Dados$, a nica maneira de acess-lo atravs do nome UNC: \\microxp01\Dados$. Compartilhamentos deste tipo, so chamados de compartilhamentos ocultos. Podemos mapear uma unidade de rede para um compartilhamento oculto, desde que saibamos o caminho para o compartilhamento. Existem alguns compartilhamentos ocultos especiais, para os quais somente Administradores tem acesso e cujas permisses de acesso no podem ser modificadas. Por padro o Windows XP cria compartilhamentos administrativos para todas as unidades de disco rgido do computador. Por exemplo, se voc tem duas unidades de disco rgido C: e D: , o Windows XP ir criar dois compartilhamentos administrativos C$ e D$, para os quais somente o grupo Administradores tem acesso, podendo inclusive mapear uma unidade para um compartilhamento administrativo. Quando no precisamos mais de um drive mapeado podemos, facilmente, desconect-lo. Para desconectar um drive mapeado, faa o seguinte: 1. Abra o Meu computador. 2. Localize o drive a ser desconectado e d um clique com o boto direito sobre o respectivo drive. 3. No menu que surge d um clique na opo Desconectar-se e pronto. Caso o drive ainda esteja aparecendo tecle F5 para atualizar a listagem.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 110 de 290

Segurana no Windows XP Professional - Bsico

Mdulo 4 A Importncia do Backup


Todo o Mdulo 4 ser dedicado a um dos tpicos mais esquecidos, quando se trata de segurana: Backup. Fazer o Backup significa ter uma ou mais cpia de segurana, de arquivos importantes. Ter uma boa estratgia de Backup fundamental para evitar perda de dados, perda de tempo e retrabalho. Neste mdulo apresentarei os aspectos tericos e prticos, relacionados ao Backup. Darei dicas de como organizar as informaes no seu computador, visando facilitar o Backup dos dados. Tambm mostrarei as diferentes opes disponveis para fazer o Backup/Restore dos seus dados. No esquea, Backup = proteo contra perda de dados. Dentre outros, sero apresentados os seguintes tpicos: Backup tambm segurana Perda de dados e a importncia do Backup Tipos de Backup Planejando para o Backup Fazendo o backup dos dados Fazendo o Backup do Sistema Restaurando dados Restaurando o sistema

Nunca demais ressaltar a importncia de termos cpias de seguranas de todos os nossos arquivos de dados: documentos do Word, planilhas do Excel, bancos de dados, documentos de texto e assim por diante. A cpia de segurana a nica proteo que temos para o caso de um dano fsico no disco rgido, o que no difcil de acontecer. Neste mdulo, aprenderemos sobre os diferentes tipos de cpia de segurana (backup) que existem, quais as estratgias de backup/restore que podem ser utilizadas. Na parte prtica, veremos a quais tipos de backup o Windows XP d suporte e vamos reforar a importncia do planejamento para a criao de um estratgia de backup eficiente. Veremos que possvel automatizar as rotinas de backup, mediante o uso do agendamento de tarefas. Este um exemplo tpico de tarefa repetitiva, que deve ser executada fora do horrio de expediente e que adequada para a automao por meio do recurso de tarefas agendadas do Windows XP.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 111 de 290

Segurana no Windows XP Professional - Bsico Backup Introduo e Conceitos Fazer o Backup, significa fazer uma ou mais cpias de segurana dos arquivos e pasta do seu disco rgido ou das configuraes do sistema, para que seja possvel restaurar estas configuraes, em caso de problemas. Muitos usurios e at mesmo pequenas empresas simplesmente ignoram a necessidade de implementar uma poltica de Backup. Muitas vezes os usurios s se do conta do problema quando tarde demais, ou seja, quando houve uma perda de dados importantes. o usurio que perdeu os documentos do Word e figuras da sua tese de mestrado, a vdeo locadora que perdeu os dados de anos de locaes, o Dentista que perdeu as informaes sobre as fichas dos pacientes, sobre quais pacientes deviam e assim por diante. Em resumo: grandes dores de cabea e prejuzos. Fazer cpia de segurana uma necessidade real, no temos como fugir deste fato. Alm disso o custo insignificante, isto mesmo: insignificante se compararmos com os prejuzos que podem ser causados pela perda de dados. Nota: Utilizarei a palavra Backup como sinnimo de Cpia de segurana, por ser este termo j conhecido e consagrado. Neste tpico veremos alguns detalhes sobre os tipos de backup existentes e sobre estratgias de backup que devem ser implementadas. Tambm darei algumas sugestes sobre os dispositivos de Backup que voc pode utilizar caso seja um usurio domstico ou dono de uma pequena empresa e no tenha dinheiro para gastar com um sistema de backup mais sofisticado. Definindo o tipo de Backup a ser utilizado Dependendo da quantidade de dados e do tempo disponvel, podemos utilizar diferentes estratgias de backup. As estratgias de backup so baseadas em um ou mais tipo de backup. Podemos ter estratgias bastante simples, baseadas na cpia completa de todos os arquivos, at estratgias mais sofisticadas, baseadas na combinao entre diferentes tipos de backup. Vamos inicialmente apresentar os diferentes tipos de backup. No Windows XP podemos utilizar os seguintes tipos de backup: Normal: Com este tipo de backup todos os arquivos so copiados, toda vez que o backup for feito, independentemente de os arquivos terem sido alterados ou no desde o ltimo backup. O arquivo marcado como tendo sido feito o backup, ou seja, o atributo de arquivamento desmarcado. A principal vantagem a facilidade para fazer a restaurao dos arquivos, quando necessrio. Com o backup do tipo normal, para restaurar os arquivos, precisamos apenas do ltimo backup. A desvantagem o tamanho do backup e o tempo para execuo deste, uma vez que a cada execuo do backup, todos os arquivos e pastas sero copiados Geralmente, o backup normal executado quando voc cria um conjunto de backup pela primeira vez. Nos backup subseqentes utilizamos outros tipos de backup, conforme descreveremos a seguir.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 112 de 290

Segurana no Windows XP Professional - Bsico

Cpia: Backup que copia todos os arquivos selecionados, mas no marca cada arquivo como tendo sofrido backup (em outras palavras, o atributo de arquivamento no desmarcado). idntico ao backup Normal, com a diferena de que os arquivos no so marcados como tendo sido copiados. A cpia til caso voc queira fazer backup de arquivos entre os backups normal e incremental, pois ela no afeta essas outras operaes de backup ou quando precisamos fazer uma cpia extra dos dados para enviar para um filial da empresa ou para manter a cpia armazenada em um local seguro. Incremental: Este tipo de backup copia somente os arquivos criados ou alterados desde o ltimo backup normal ou incremental. Os arquivos que sofreram backup so marcados (ou seja, o atributo de arquivamento desmarcado). Se voc utilizar uma combinao de backups normais ou incrementais para restaurar os seus dados, ser preciso ter o ltimo backup normal e todos os conjuntos de backups incrementais e restaur-los na seqncia correta. A grande vantagem do backup incremental que ele reduz o tempo necessrio para a execuo do backup, pois somente feita a cpia dos arquivos que foram criados ou modificados desde o ltimo backup normal ou incremental. A grande desvantagem que para fazer a restaurao necessrio o backup normal e todos os backups incrementais. Os backups incrementais devem ser restaurados na seqncia cronolgica em que foram criados. Alm disso, se um dos backups incrementais apresentar problemas, no ser possvel restaurar os dados at o ponto do ltimo backup incremental. Diferencial: Este tipo de backup faz a cpia de todos os arquivos criados ou alterados desde o ltimo backup normal ou incremental. Os arquivos que sofreram backup no so marcados como tal (ou seja, o atributo de arquivamento no desmarcado). Com isso cada backup diferencial, copia todos os arquivos que foram modificados desde o ltimo backup normal (ou incremental, caso algum tenha sido feito). Se voc estiver executando uma combinao de backups normal e diferencial, a restaurao de arquivos e pastas exigir que voc tenha o ltimo backup normal e o ltimo backup diferencial. A restaurao mais rpida do que quando so utilizados somente o backup normal e incremental, pois somente necessrio o ltimo backup diferencial. Porm cada backup diferencial passa a ser maior, pois contm a cpia de todos os arquivos criados ou modificados desde o ltimo backup normal ou incremental. Dirio: Este tipo de backup copia todos os arquivos selecionados que forem alterados no dia de execuo do backup dirio. Os arquivos que sofreram backup no so marcados como tal (ou seja, o atributo de arquivamento no desmarcado). No um tipo muito utilizado. Pode ser utilizado em conjunto com backups do tipo normal e incremental. O tipo ou tipos de backup que esto sendo utilizados, definem as estratgias de restaurao (restore) que sero utilizadas, em caso de perda dos dados originais. A estratgia a ser utilizada depende do volume de dados e do valor dos dados a serem protegidos. Por exemplo, para um usurio domstico que no tem um grande volume de dados, pode ser suficiente uma estratgia de backup normal todos os dias.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 113 de 290

Segurana no Windows XP Professional - Bsico Porm temos que estar atentos a alguns detalhes importantes. Por exemplo, no adianta voc fazer o backup dos arquivos, no mesmo disco rgido onde esto gravados os arquivos. Neste caso se o disco rgido pifar, ou seja, tiver problemas fsicos, voc perder os arquivos e tambm o backup. Para usurios domsticos e pequenas empresas, os quais no tem grandes volumes de dados, a utilizao de um segundo disco rgido, no qual sero feitas as cpias de backup, pode ser uma estratgia eficiente. A possibilidade de os dois discos rgidos apresentarem problemas ao mesmo tempo muito pequena. J para empresas maiores, o ideal a utilizao de drives de fita como por exemplo do tipo DLT4 de 80 ou 120 GB. Alm disso aps feito o backup, as fitas devem ser armazenadas em local separado da sala dos servidores. Se armazenarmos as fitas, na mesma sala onde esto os dados, corremos o risco de perder os dados e tambm o backup, em caso de incndio, inundao ou outro desastre. Claro que uma estratgia deste tipo requer investimentos considerveis, mas com certeza so investimentos plenamente justificados pela importncia dos dados para a empresa. Outro detalhe importante que as cpias de segurana devem ser sempre testadas. Aps fazer o backup, voc deve fazer um teste de restaurao para verificar se a cpia realmente foi feita com sucesso. Nada pior do que descobrir, na hora do restore, que o backup no foi feito adequadamente. Existe at um piada bastante conhecida entre os administradores de rede e de bancos de dados: O backup sempre funciona, o que no funciona, s vezes, o restore. Ou seja, o objetivo no o sucesso do backup e sim que, quando necessrio, que possamos fazer o restore dos dados a partir do backup. Para garantir que isto seja possvel, preciso que tenhamos uma definio para testes peridicos do backup. Exemplos de estratgias de backup/restore Vamos analisar algumas estratgias de backup/restore, baseadas nos diferentes tipos de backup, descritos anteriormente. Exemplo 1: feito diariamente um backup Normal, as 23:00 da pasta Meus documentos. Na sexta-feira, as 14:30 ocorre um problema e a pasta Meus documentos excludo. Nesta situao voc tem que restaurar o backup Normal feito na quinta-feira. Todos as alteraes feitas na sexta-feira sero perdidas, ou seja, os arquivos voltaro a situao que estavam na quinta-feira, quando foi feito o ltimo backup normal. Exemplo 2: No domingo feito um backup normal. De segunda a sbado feito um backup Incremental noite. Na quinta-feira, as 16:00 ocorre um problema e os dados so excludos. Voc deve restaurar o backup normal do domingo, o backup incremental da segunda-feira, o backup incremental da tera-feira e o backup incremental da quarta-feira, nesta seqncia. Todas as alteraes feitas na quinta-feira sero perdidas. Exemplo 3: feito um backup normal aos domingos. De segunda a sbado so feitos os seguintes backups incrementais: 2:00, 9:00, 12:00, 15:00, 17:00 e 21:00 hs. Na quarta-feira, as 14:30 ocorre um problema e os dados tem que ser restaurados do backup.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 114 de 290

Segurana no Windows XP Professional - Bsico Voc deve restaurar o backup normal do domingo e todos os backups incrementais, em ordem cronolgica, at o backup incremental da quarta-feira as 12:00, que o ltimo backup incremental feito antes da ocorrncia do problema as 14:30. Todas as alteraes feitas entre as 12:00 hs. e as 14:30 sero perdidas. Observe que com a utilizao de backups incrementais durante o dia, diminumos a possibilidade de perda de dados, porm a restaurao torna-se mais trabalhosa, pois existe um grande nmero de backups incrementais a serem restaurados. Uma estratgia deste tipo normalmente utilizada por grandes empresas, que trabalham com grande volumes de dados e no podem nem sequer pensar em perda de dados. Exemplo 4: feito um backup normal aos domingos. De segunda a sbado so feitos backups incrementais as 2:00 da madrugada. Toda quarta-feira feito um backup diferencial as 3:00 da madrugada. Na sexta-feira, as 14:30 ocorre um problema e os dados tem que ser restaurados do backup. Voc deve restaurar o backup normal do domingo, o backup diferencial da quarta-feira e o backup incremental da quinta-feira, nesta seqncia. Todas as alteraes feitas na sexta-feira sero perdidas. Observe que a utilizao de um backup diferencial, em conjunto com os backups incrementais, reduziu o nmero de backups a serem restaurados. Neste caso somente foi necessrio restaurar o ltimo backup normal, o ltimo diferencial e os backups incrementais posteriores. Esta a estratgia mais complexa, mas que ao mesmo tempo otimiza o tempo de backup e o tempo de restaurao. especialmente indicada para grandes volumes de dados, onde o tempo de parada um fator crtico. Dicas: Uma dica importante quanto organizao das informaes, para facilitar o Backup dos dados. A seguir algumas dicas que podem ajud-lo: Seja organizado. Procure colocar os arquivos e pastas relacionados a um determinado assunto, dentro de uma nica pasta. Por exemplo, coloque tudo o que se refere a sua tese de mestrado dentro de uma pasta chamada Tese de mestrado, na pasta Meus documentos. Isso facilita o backup. Por exemplo, para fazer o backup de todo o contedo da sua tese de mestrado, basta fazer um backup da pasta Tese de mestrado. Procure manter o tamanho das pastas, de maneira que seja possvel fazer o backup da pasta em uma nica mdia. Por exemplo, se voc faz o backup em CD, procure no ultrapassar o limite dos 650 MB para cada pasta que ser copiada para o Backup. Se voc dispem de um gravador de DVD, suas pastas no devem ultrapassar os 4.7 GB de tamanho total. Agora que aprendemos sobre os tipos de backup e sobre estratgias de restore, vamos aprender a criar e restaurar um backup, utilizando o utilitrio de backup do Windows XP.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 115 de 290

Segurana no Windows XP Professional - Bsico Fazendo o backup e o restore de pastas e arquivos com o Windows XP Introduo Para fazer o backup e o restore de pastas e arquivos, utilizamos o utilitrio de backup do Windows XP, o qual acessado atravs do seguinte comando: Iniciar -> Todos os programas -> Acessrios -> Ferramentas do sistema -> Backup. Nota: Voc tambm pode abrir o utilitrio de backup, utilizando o seguinte comando: Iniciar > Executar. No campo Abrir digite ntbackup.exe e clique em OK. Ser aberto o utilitrio de backup, conforme veremos a seguir. Voc deve estar logado com a conta Administrador ou do tipo Administrador do computador, ou com uma conta que pertena ao grupo Operadores de cpia, para fazer backup de todos os arquivos e pastas. Usurios com permisses de Administrador ou pertencentes ao grupo Operadores de cpia, podero fazer o backup de arquivos e pastas para os quais eles no tem permisses NTFS (para detalhes sobre as permisses NTFS, consulte o mdulo 3). Este mecanismo permite que um nico usurio, normalmente o Administrador, possa fazer o backup de todos os arquivos e pastas do computador, mesmo daqueles para os quais ele no tem permisses de acesso. Se voc for um membro do grupo Usurios ou Usurios avanados, dever ser o proprietrio dos arquivos e pastas dos quais deseja fazer backup ou precisar ter uma ou mais das seguintes permisses em relao a esses arquivos e pastas: Ler, Ler e executar, Modificar ou Controle total. O utilitrio de backup aberto, por padro, no modo de Assistente, conforme indicado na Figura a seguir:

Figura - Modo de assistente modo padro do utilitrio de backup.


Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 116 de 290

Segurana no Windows XP Professional - Bsico Se a caixa Sempre iniciar no modo assistente estivar marcada, o utilitrio de backup sempre ser inicializado no modo de assistente. Se voc desmarcar esta opo, o utilitrio ser aberto no modo completo. Se voc clicar na opo Modo avanado, ser exibida a interface completa do utilitrio de backup. O utilitrio de backup permite que voc faa backup de dados em um arquivo no disco rgido ou em uma fita de backup. Para fazer backup de dados em um arquivo, preciso designar um nome e um local para o arquivo a ser salvo. Geralmente, os arquivos de backup possuem a extenso .bkf, mas voc pode alter-la para qualquer outra extenso. O arquivo de backup pode ser salvo em um disco rgido, um disquete ou qualquer outra mdia, removvel ou no removvel, na qual seja possvel salvar arquivos. No caso de backup para um arquivo em disco importante que o arquivo de backup (.bkf) no seja gravado no mesmo disco rgido onde esto os arquivos que esto sendo copiados, pois se o disco rgido apresentar problemas, perderemos os dados originais e tambm o backup, ou seja, no teremos como restaurar os dados. Para fazer backup de dados em uma fita, voc precisa ter um dispositivo de fita conectado ao computador. Existem diversos modelos de drives de fita, com diferentes capacidades e velocidades. O modelo a ser escolhido, depende do volume de dados que faro parte do backup e do tempo disponvel para o backup. O utilitrio de backup tambm utilizado para fazer a restaurao (restore) das informaes, caso algum problema ocorra com os dados originais. Na verdade o utilitrio de backup um utilitrio de backup e restore. Quando ocorre algum problema com os dados e estes precisam ser restaurados, utilizamos o utilitrio de backup para ler os dados a partir do backup (arquivo .bkf ou unidade de fita) e restaur-los para o local de origem. possvel restaurar os dados para o local original ou para um local alternativo, onde podemos analisar os arquivos para conferir se est tudo OK e somente ento copiar para o local original. Tambm possvel agendar tarefas de backup para que sejam executadas automaticamente em determinados horrios e dias. Por exemplo, podemos agendar uma tarefa de backup para que faa um backup incremental de determinadas pastas e arquivos, diariamente, as 2:00 da madrugada. Agora aprenderemos a executar uma srie de operaes de backup, atravs de exemplos prticos. Fazendo o backup usando o modo assistente de backup Neste exemplo prtico, vamos utilizar o utilitrio de backup no modo assistente, para fazer o backup da pasta C:\Documentos. Tambm vamos criar e agendar uma tarefa que executa este backup, diariamente, as 2:00 da manh. Vamos criar um backup do tipo normal. O backup ser feito na unidade de disco E:, em uma pasta chamada backups, com o nome de documentos.bkf. Observe que estamos fazendo o backup em uma unidade de disco rgido diferente da unidade onde esto os arquivos que faro parte do backup. Tambm importante salientar que a unidade E:\ est em um segundo HD e no no mesmo HD onde foi criado o C:. Se os dois estivessem no mesmo HD e desse problema no HD, perderamos os dados originais e tambm o Backup, ou seja, o Backup de nada serviria.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 117 de 290

Segurana no Windows XP Professional - Bsico Para criar o backup proposto e agend-lo, siga os passos indicados a seguir: 1. Faa o logon com uma conta do tipo Administrador do computador ou com uma conta pertencente ao grupo Operadores de cpia. 2. Abra o utilitrio de backup, utilizando um dos seguintes procedimentos:

Selecione o comando Iniciar -> Todos os programas -> Acessrios -> Ferramentas do sistema -> Backup. Ou Iniciar -> Executar. No campo Abrir digite ntbackup.exe e clique em OK. Ser aberto o utilitrio de backup no modo assistente, conforme indicado na Figura anterior. 3. A primeira tela do assistente apenas informativa. Para acessar o modo avanado, ou seja, a interface completa do utilitrio de backup, basta clicar na opo Modo avanado. Clique no boto Avanar (Next), para ir para a prxima etapa do assistente. 4. Nesta etapa voc define se deseja fazer um backup Fazer backup de arquivos e configuraes ou se deseja restaurar arquivos a partir de um backup feito anteriormente Restaurar arquivos e configuraes. Marque a opo Fazer backup de arquivos e configuraes. Clique no boto Avanar (Next), para ir para a prxima etapa do assistente. 5. Nesta etapa do assistente, temos as quatro opes descritas a seguir: Meus documentos e configuraes: Se marcarmos esta opo ser feito o backup da pasta Meus documentos, dos favoritos do Internet Explorer, da rea de trabalho e dos cookies do usurio logado. Documentos e configuraes de todos os usurios: Se marcarmos esta opo ser feito o backup da pasta Meus documentos, dos favoritos do Internet Explorer, da rea de trabalho e dos cookies de todos os usurios. Todas as informaes deste computador: Esta opo faz com que seja feito o backup de todos os dados gravados no disco rgido do computador. Esta opo tambm ir criar um disco de recuperao do sistema, o qual pode ser utilizado para restaurar o Windows em caso de uma falha grave. Nesta opo de backup, tambm ser feito o backup do que o Windows XP chama de Dados do estado do sistema. Os dados do estado do sistema so os seguintes: Registry do Windows XP. Banco de dados de registro de classe dos componentes COM+ . Arquivos de inicializao, incluindo os arquivos de sistema . Banco de dados de servios de certificados digitais. Metadiretrio IIS.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 118 de 290

Segurana no Windows XP Professional - Bsico Arquivos de sistema que esto na Proteo de arquivo do Windows

Eu escolherei os itens dos quais fazer backup: Esta opo permite que o usurio selecione as pastas e arquivos as quais faro parte do backup. 6. Certifique-se de que a opo Eu escolherei os itens dos quais fazer backup esteja selecionada, conforme indicado na Figura a seguir. Clique no boto Avanar (Next), para ir para a prxima etapa do assistente.

Figura - O usurio definir os arquivos e pastas que faro parte do backup. 7. Nesta etapa voc define quais arquivos e pastas faro parte do backup. No painel da esquerda exibida uma estrutura de navegao na forma de rvore, idntica a estrutura utilizada no Windows Explorer. Navegue at a pasta C:\Documentos e marque a caixa de opo ao lado desta pasta, conforme indicado na Figura a seguir. Clique no boto Avanar (Next), para ir para a prxima etapa do assistente.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 119 de 290

Segurana no Windows XP Professional - Bsico

Figura - Selecionando as pastas que faro parte do backup. 8. Nesta etapa nos definimos o local de destino para o backup. Observe que na lista Selecione o tipo de backup, j vem selecionada a opo Arquivo. Isto acontece porque no tenho um drive de fita instalado no comptuador utilizado no exemplo. Neste caso somente est disponvel a opo Arquivo. Para definir o local de destino clique no boto Procurar. Se surgir uma janela solicitando que voc insira um disco no drive A:, clique em Cancelar para fechar esta janela. Ser exibida a janela Salvar como, na qual voc seleciona a pasta de destino e o nome do arquivo que conter o backup. Selecione a pasta de destino e defina o nome do arquivo, conforme indicado na Figura a seguir:

Figura - Definindo a pasta de destino e o nome do arquivo de backup.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 120 de 290

Segurana no Windows XP Professional - Bsico 9. Clique no boto Salvar, voc estar de volta ao Assistente de backup, com as opes selecionadas na janela Salvar como, j definidas no assistente de backup, conforme indicado na Figura a seguir:

Figura - Informaes de destino j definidas. 10. Clique no boto Avanar (Next), para ir para a prxima etapa do assistente. 11. Ser exibida a tela final do Assistente. Nesta tela ser apresentado um resumo das opes selecionadas nos passos anteriores. Para alterar alguma opo utilize o boto Voltar (Back). Para definir o agendamento e o tipo de backup a ser utilizado clique no boto Avanado. Ao clicar no boto Avanado, sero disponibilizadas etapas adicionais do assistente. 12. Na primeira etapa ser exibida uma lista para que voc selecione o tipo de backup. Por padro vem selecionado o tipo Normal que o tipo que ser utilizado no nosso exemplo. Certifique-se de que esteja selecionada a opo Normal e clique no boto Avanar (Next), para ir para a prxima etapa do assistente. Nesta etapa voc pode definir as seguintes opes: Verificar dados aps o backup: Se voc marcar esta opo, os dados sero verificados aps ter sido feito o backup. A verificao feita para garantir que os dados que foram copiados para o backup so idnticos aos dados originais. Ao ativar a verificao, o backup ir demorar bem mais para ser concludo, porm voc poder ter a confirmao de que o backup est sendo feito corretamente.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 121 de 290

Segurana no Windows XP Professional - Bsico Usar compactao por hardware, se disponvel: Esta opo permite que voc utiliza a capacidade de compactao de alguns drives de fita de backup. Somente estar disponvel se voc tiver um drive de fita instalado e estiver fazendo o backup para o drive de fita. Desativar a cpia de sombra de volume: As cpias de sombra de volume permitem que seja feito o backup de arquivos, mesmo que algumas informaes ainda estejam sendo gravadas no disco rgido.

13. Certifique-se de que as opes desta etapa estejam desmarcadas e clique no boto Avanar (Next), para ir para a prxima etapa do assistente. Nesta etapa do assistente voc pode definir as seguintes opes: Acrescentar este backup aos backups existentes: Esta opo permite que sejam mantidos diferentes backups (por exemplo, backups feitos em diferentes datas) em um mesmo arquivo de backup ou em uma fita de backup. Substituir os backups existentes: Se voc marcar esta opo, todos os backups anteriores, caso exista algum, no arquivo Documentos.bkf (ou na fita que estiver sendo utilizado, no caso de um backup em fita), sero excludos e somente o backup que est sendo feito ser gravado. Ao marcar esta opo, a opo Permitir que somente o proprietrio e o administrador tenham acesso aos dados de backup e a todos os backups acrescentados a este mdia ser habilitada. Esta opo utilizada para impedir que qualquer usurios possa restaurar os dados do backup, mesmo no tendo permisses sobre os arquivos originais. uma proteo adicional aos dados.

14. Certifique-se de que as opes Substituir os backups existentes e Permitir que somente o proprietrio e o administrador tenham acesso aos dados de backup e a todos os backups acrescentados a este mdia estejam marcadas, conforme indicado na Figura a seguir:

Figura - Definindo opes de Backup.


Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 122 de 290

Segurana no Windows XP Professional - Bsico 15. Clique no boto Avanar (Next), para ir para a prxima etapa do assistente.

16. Nesta etapa podemos definir um agendamento para o Backup. Ao definirmos um agendamento, ser criada uma Tarefa agendada, a qual executar o backup com as opes escolhidas, nos horrios programados. Para definir um agendamento marque a opo Mais tarde. Para nome da tarefa agendada digite Backup de Documentos do drive C, conforme indicado na Figura a seguir:

Figura - Habilitando o agendamento. 17. Para definir os dias e horrios de execuo da tarefa, clique no boto Definir agendamento... Ser exibida a janela Agendar trabalho. Selecione as opes indicadas na Figura a seguir e clique em OK.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 123 de 290

Segurana no Windows XP Professional - Bsico

Figura - Configurando as opes de agendamento. 18. Voc estar de volta ao Assistente de backup. Clique no boto Avanar (Next), para ir para a prxima etapa do assistente. 19. Ser exibida a janela Definir informaes de conta, na qual voc precisa informar o nome e senha da conta que ser utilizada para a execuo da tarefa agendada responsvel pela execuo do backup. Digite o nome da conta e a senha duas vezes, conforme indicado na Figura a seguir e clique em OK.

Figura - Conta para a execuo da tarefa agendada.


Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 124 de 290

Segurana no Windows XP Professional - Bsico 20. Voc estar na tela final do assistente. Ser exibido um resumo das opes selecionadas. Utilize o boto Voltar (Back) para alterar alguma opo. Para finalizar o assistente e criar a tarefa agendada responsvel pela execuo do backup, clique no boto Concluir (Finish). A tarefa criada e todos os dias, as 2:00 da madrugada a tarefa ser executada e o backup da pasta C:\docuementos ser feito. Podemos fazer com que a tarefa seja executada imediatamente, para testar se o backup ser feito corretamente. Executando a tarefa de Backup, manualmente Para executar a tarefa manualmente e fazer o backup, siga os passos indicados a seguir: 1. Abra o Painel de controle: Iniciar -> Painel de controle. 2. Abra a opo Tarefas agendadas. 3. A tarefa Backup de Documentos do drive C j deve aparecer na lista de tarefas agendadas, conforme indicado na Figura a seguir.

Figura - A tarefa Backup de Documentos do drive C. 4. Clique na tarefa Backup de Documentos do drive C para marc-la e selecione o comando Arquivo -> Executar. 5. O utilitrio de backup ser inicializado e o backup da pasta C:\Documentos comear a ser feito, conforme indicado na Figura a seguir: 6. Aps o encerramento do backup a janela do utilitrio de backup automaticamente fechada e voc estar de volta janela Tarefas agendadas. Feche a janela Tarefas agendadas. 7. Abra o Windows Explorer e navegue at a pasta onde foi feito o backup e verifique se o arquivo Documentos.bkf foi criado, conforme indicado na segunda Figura, da prxima pgina.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 125 de 290

Segurana no Windows XP Professional - Bsico

Figura - O backup da pasta C:\Documentos sendo feito.

Figura - O arquivo Documentos.bkf. O arquivo Documentos.bkf contm todo o contedo da pasta C:\Documentos e poder ser utilizado para restaurar o contedo desta pasta em caso de problemas.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 126 de 290

Segurana no Windows XP Professional - Bsico Utilizando o modo completo, do utilitrio de Backup Neste exemplo prtico, vamos utilizar o utilitrio de backup no modo completo, para fazer o backup da pasta Meus documentos do usurio Logado. Tambm vamos criar e agendar uma tarefa que executa este backup, diariamente, as 22:00 hs. Vamos criar um backup do tipo normal. O backup ser feito na unidade de disco E:, em uma pasta chamada backups, com o nome de Meus documentos.bkf. Observe que estamos fazendo o backup em uma unidade de disco rgido diferente da unidade onde esto os arquivos que faro parte do backup. Nota: As opes que foram explicadas no exemplo anterior, no sero explicadas novamente. Iremos focar mais na utilizao da interface completa, do utilitrio de backup. Para criar o backup proposto e agend-lo, siga os passos indicados a seguir: 1. Faa o logon com uma conta do usurio para o qual voc deseja fazer o backup da pasta Meus documentos. 2. Abra o utilitrio de backup: Selecione o comando Iniciar -> Todos os programas -> Acessrios -> Ferramentas do sistema -> Backup. Ser aberto o utilitrio de backup no modo assistente. 3. A primeira tela do assistente apenas informativa. Para acessar o modo avanado, ou seja, a interface completa do utilitrio de backup d um clique na opo Modo avanado. 4. Ser aberta a janela do utilitrio de backup, com a guia Bem-vindo selecionada, conforme indicado na Figura a seguir:

Figura - O utilitrio de backup.


Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 127 de 290

Segurana no Windows XP Professional - Bsico Na guia Bem-vindo voc tem a opo de iniciar o Assistente de backup, o Assistente para restaurao ou o Assistente para recuperao automatizada do sistema. O Assistente para restaurao ser visto mais adiante, ainda neste captulo. Utilizamos a guia Backup para criar um novo backup. No nosso exemplo, utilizaremos a guia Backup. A guia Restaurar e gerenciar mdia ser vista no prximo tpico. A guia Trabalhos agendados exibe o calendrio do ms e um indicativo das tarefas agendadas para cada dia. Esta guia tambm pode ser utilizada para adicionar novas tarefas agendadas. 5. D um clique na guia Backup. Ser exibido a guia Backup. No painel da esquerda voc pode navegar pelos drives e pastas do computador ou da rede, selecionando os arquivos e pastas que faro parte do Backup. Para o nosso exemplo, marque a pasta Meus documentos, conforme indicado na Figura a seguir. No campo Mdia de backup ou nome do arquivo, digite E:\Backups\Meus documentos.bkf, conforme indicado na Figura a seguir:

Figura - Selecionando a pasta Meus documentos do usurio logado. 6. Para definir o tipo de backup selecione o comando Ferramentas -> Opes. Ser exibida a janela Opes com a guia Tipo de backup j selecionada. Certifique-se de que a opo Normal esteja selecionada e clique em OK. 7. Voc estar de volta a janela do utilitrio de backup. Agora vamos definir um agendamento para o backup. Para isso vamos alternar para o Assistente de backup, porm mantendo as configuraes que j foram feitas. Selecione o comando Ferramentas -> Assistente de backup. Surge uma janela pedindo se voc deseja manter as configuraes j efetuadas. Clique em Sim para manter as configuraes.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 128 de 290

Segurana no Windows XP Professional - Bsico 8. O assistente aberto. Clique no boto Avanar (Next), para ir para a prxima etapa do assistente. 9. Observe que na segunda etapa j aparecem selecionadas a pasta Meus documentos. Clique no boto Avanar (Next), para ir para a prxima etapa do assistente. 10. Nesta etapa voc precisa redefinir o arquivo de destino, pois esta configurao no mantida. Para o nosso exemplo vou definir o destino como sendo o drive E:\Backups\Meus documentos.bkf. Utilize o destino que for mais adequado para o seu caso. Para definir o destino utilizamos o boto Procurar, conforme descrito no exemplo anterior. Defina o arquivo de destino para o backup e clique no boto Avanar (Next), para ir para a prxima etapa do assistente. 11. Nesta etapa clique no boto Avanado para definir o agendamento. 12. exibida uma lista para que voc defina o tipo de Backup. Certifique-se de que a opo Normal esteja selecionada e clique no boto Avanar (Next), para ir para a prxima etapa do assistente. 13. Na etapa Opes de backup certifique-se de que todas as opes estejam desmarcadas e clique no boto Avanar (Next), para ir para a prxima etapa do assistente. 14. Nesta etapa certifique-se de que as opes Substituir os backups existentes e Permitir que somente o usurio... estejam selecionadas e clique no boto Avanar (Next), para ir para a prxima etapa do assistente. 15. Nesta etapa vamos definir o agendamento. Clique na opo Mais tarde. No campo Entrada de agendamento digite Backup de Meus documentos. Clique no boto Definir agendamento e defina as opes indicadas na Figura a seguir. Depois clique em OK.

Figura - Backup dirios s 22:00 hs.


Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 129 de 290

Segurana no Windows XP Professional - Bsico 16. Voc estar de volta ao Assistente de backup. Clique no boto Avanar (Next), para ir para a prxima etapa do assistente. 17. Ser exibida a janela Definir informaes de conta, na qual voc precisa informar o nome e senha da conta que ser utilizada para a execuo da tarefa agendada responsvel pela execuo do backup. Digite o nome da conta e a senha duas vezes e clique em OK. 18. Voc estar na tela final do assistente. Ser exibido um resumo das opes selecionadas. Utilize o boto Voltar (Back) para alterar alguma opo. Para finalizar o assistente e criar a tarefa agendada responsvel pela execuo do backup, clique no boto Concluir (Finish). 19. Voc estar de volta janela Utilitrio de backup. Clique na guia Trabalhos agendados. Observe que existem dois trabalhos (tarefas) agendados diariamente, conforme indicado na Figura a seguir:

Figura - Duas tarefas agendadas diariamente. As duas tarefas dirias so resultado dos dois exemplos que fizemos at agora. Se voc deixar o mouse sobre uma das tarefas, aparece uma pequena descrio da tarefa. Se voc der um clique duplo em uma dia no calendrio mensal, ser aberto o Assistente de backup. 20. Feche o utilitrio de backup.

A tarefa criada e todos os dias, as 22:00 hs. a tarefa ser executada e o backup da pasta Meus documentos ser feito. Podemos fazer com que a tarefa seja executada imediatamente, para testar se o backup ser feito corretamente, conforme descrito no exemplo anterior. Observe que a criao de uma tarefa para execuo do backup consiste basicamente na utilizao do assistente de backup. Agora vamos aprender a fazer o restore a partir de um arquivo de backup.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 130 de 290

Segurana no Windows XP Professional - Bsico Fazendo o restore das informaes a partir do backup Neste exemplo prtico, vamos utilizar o utilitrio de backup/restore para fazer o restore da pasta C:\Documentos a partir do backup E:\Backups\Documentos.bkf. Observe que estamos simulando uma situao onde houve um problema com a pasta C:\Documentos e precisamos restaur-la a partir de um backup criado anteriormente. Vamos fazer a restaurao para um local alternativo, ou seja, no para a pasta original. No nosso exemplo faremos a restaurao para o drive E:\Documentos. Apenas para lembrar, os arquivos originais que foram copiados para o backup esto em C:\Documentos. Com o Assistente de restaurao que utilizaremos possvel restaurar a pasta C:\Documentos completa ou apenas parte do seu contedo. Por exemplo, pode ser que um determinado arquivo da pasta Documentos tenha sido excludo por engano. Neste caso precisamos restaurar apenas o arquivo que foi excludo por engano e no toda a pasta Documentos. Tambm possvel fazer a restaurao para outra pasta que no a pasta Documentos. Neste caso faramos o restore para uma pasta alternativa, verificaramos se os arquivos foram restaurados com sucesso e ento copiaramos os arquivos para a pasta Documentos original. Para fazer o restore da pasta C:\Documentos a partir do arquivo de backup Documentos.bkf, siga os passos indicados a seguir: 1. 2. Faa o logon com uma conta do tipo Administrador do computador. Abra o utilitrio de backup, utilizando um dos seguintes procedimentos:

Selecione o comando Iniciar -> Todos os programas -> Acessrios -> Ferramentas do sistema -> Backup. Ou Iniciar -> Executar. No campo Abrir digite ntbackup.exe e clique em OK. Ser aberto o utilitrio de backup no modo assistente. 3. A primeira tela do assistente apenas informativa. Para acessar o modo avanado, ou seja, a interface completa do utilitrio de backup d um clique na opo Modo avanado. 4. Ser aberta a janela do utilitrio de backup, com a guia Bem-vindo selecionada. 5. Clique no boto ao lado da opo Assistente para restaurao (Avanado). 6. Ser aberto o Assistente para restaurao. A primeira tela apenas informativa. Clique no boto Avanar (Next), para ir para a prxima etapa do assistente. Surge a janela Itens a serem restaurados. Nesta etapa voc define o drive de fita ou o arquivo .bkf a partir do qual os dados sero restaurados. 7. Clique no boto Procurar. Surge a janela Abrir arquivo de backup. Nesta janela voc pode digitar o caminho completo para o arquivo .bkf, que no nosso exemplo seria: E:\Backups\Documentos.bkf, conforme indicado na Figura a seguir:

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 131 de 290

Segurana no Windows XP Professional - Bsico

Figura - Informando o caminho para o arquivo .bkf. Nota: Ao invs de digitar o caminho para o arquivo .bkf voc pode utilizar o boto Procurar. Ser aberta a janela Selecione o arquivo para catalogar. Nesta janela voc pode navegar at a pasta onde est o arquivo .bkf, clicar nele para marc-lo e clicar no boto Abrir. O Windows XP voltar para a janela Abrir arquivo de backup, com o caminho para o arquivo j preenchido. 8. Aps digitar o caminho para o arquivo .bkf clique em OK. Dependendo do tamanho do arquivo o Windows XP pode demorar alguns instantes para acess-lo. Voc estar de volta janela do assistente e o arquivo Documentos.bkf j aparece no Painel da esquerda. Clique no sinal de + ao lado de Documentos.bkf para expandi-lo. Marque a caixa de seleo ao lado do drive C, conforme indicado na Figura a seguir:

Figura - Selecionando o arquivo de backup a ser restaurado.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 132 de 290

Segurana no Windows XP Professional - Bsico Nota: Ao marcar a caixa de seleo ao lado de Documentos.bkf estamos solicitando ao Windows XP que restaure todo o contedo deste arquivo de backup. Porm poderamos restaurar apenas uma ou mais pasta ou um ou mais arquivos e no todo o contedo. Por exemplo, pode ser que o usurio tenha perdido um nico arquivo. Neste caso no necessria a restaurao de todo o backup e sim apenas do arquivo que foi perdido. Para restaurar apenas parte do backup, basta clicar no sinal de + ao lado de Documentos.bkf. Ser exibida a lista de drives a partir dos quais foram copiados dados para o backup. No nosso exemplo surgir o drive C. Clique no sinal de mais ao lado de drive C. Sero exibidas as pastas do drive C que foram copiadas para o backup. Agora s ir navegando e marcando as pastas e/ou arquivos a serem restaurados. 9. Clique no boto Avanar (Next), para ir para a prxima etapa do assistente. 10. Ser exibida a tela final do Assistente com um resumo das opes selecionadas. Caso voc queira alterar alguma opo, utilize o boto Voltar (Back). Se encerrarmos o assistente neste momento, o Windows XP ir restaurar os arquivos para os locais originais, isto , para as pastas onde estes estavam gravados quando foram copiados para o backup. Se quisermos fazer a restaurao para um local alternativo, temos que utilizar o boto Avanado. 11. Clique no boto Avanado para especificar um local alternativo para a restaurao do backup. 12. Ser exibida a janela Onde restaurar. Na lista Restaurar os arquivos em: vem selecionado, por padro, a opo Local original. Se escolhermos esta opo os arquivos sero restaurados para a pasta de origem. Selecione a opo Local alternativo. Observe que ao selecionar a opo Local Alternativo exibido o campo Local alternativo, no qual voc pode especificar o novo local para restaurao dos arquivos. Digite E:\Documentos, conforme indicado na Figura a seguir:

Figura - Especificando um local alternativo para a restaurao.


Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 133 de 290

Segurana no Windows XP Professional - Bsico 9. 10. Clique no boto Avanar (Next), para ir para a prxima etapa do assistente. Surge a janela Como restaurar. Nesta etapa voc tem as seguintes opes: Manter os arquivos existentes (recomendvel): Se voc selecionar esta opo, os arquivos j existentes no local de destino, no sero sobrescritos pelos arquivos copiados a partir do backup. Esta opo indicada quando voc est restaurando um backup para recuperar um ou mais arquivos que foram excludos por engano. Se o nmero de arquivos excludos por engano for pequeno mais vantagem selecionar apenas os arquivos a serem recuperados, conforme descrito anteriormente. Substituir os arquivos existentes se eles forem mais antigos do que o backup: Se voc marcar esta opo, os arquivos que j existirem na pasta de destino, somente sero substitudos se forem mais antigos do que os arquivos que esto sendo restaurados a partir do backup. Sempre substituir arquivos: Se voc selecionar esta opo, todos os arquivos que j existirem na pasta de destino sero substitudos pelos arquivos do backup, independente de serem mais antigos ou no. Utilize esta opo com cuidado.

11. Certifique-se de que a opo Manter os arquivos existentes (recomendado) esteja selecionada e clique no boto Avanar (Next), para ir para a prxima etapa do assistente. 12. Nesta etapa voc define se deseja ou no Restaurar configuraes de segurana. Certifique-se de que a opo Restaurar configuraes de segurana esteja selecionada. Esta opo garante que as permisses NTFS e demais opes de segurana como criptografia, sejam mantidas ao restaurar o backup. Clique no boto Avanar (Next), para ir para a prxima etapa do assistente. 13. Ser exibida a tela final do Assistente com um resumo das opes selecionadas. Caso voc queira alterar alguma opo, utilize o boto Voltar (Back). Para iniciar o processo de restaurao clique no boto Concluir (Finish). O processo de restaurao inicializado, conforme indicado na Figura a seguir:

Figura - Restaurao dos arquivos.


Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 134 de 290

Segurana no Windows XP Professional - Bsico 14. Ao final do processo de restaurao a janela Processo de restaurao mantida aberta com uma mensagem informando que a restaurao foi efetuada com sucesso. Clique em Fechar, para sair da janela Processo de restaurao. 15. Voc estar de volta janela Utilitrio de backup. Feche-o. 16. Abra o Windows Explorer e navegue para a pasta onde voc fez a restaurao. Observe se os arquivos foram restaurados com sucesso. 17. Feche o Windows Explorer. O log do backup O Windows XP mantm um registro das operaes de backup e restaurao. Este registro pode ser utilizado pelo Administrador para verificar se as tarefas de backup esto sendo executadas com sucesso. Acessando o Log do Backup Para acessar informaes sobre as operaes de backup, siga os seguintes passos: 1. Faa o logon como Administrador ou com uma conta do tipo Administrador do computador. 2. Abra o utilitrio de backup. 3. Selecione o comando Ferramentas -> Relatrio. 4. Ser exibida a janela Relatrios de backup, conforme indicado na Figura a seguir:

Figura - A janela Relatrios de backup. 5. Os nomes que aparecem nesta listagem esto relacionados com os nomes que voc definiu para o backup. O nome Interativo ser exibido para os backups que foram feitos utilizando a interface completa ao invs do assistente de backup. Selecione um backup na lista e clique em Exibir. O Bloco de Notas ser aberto com um relatrio de todas as operaes efetuadas, conforme indicado a seguir:

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 135 de 290

Segurana no Windows XP Professional - Bsico Status da restaurao Operao: restaurao Backup de "C:", restaurado para "E: Dados\Documentos\" Conjunto de backup n1 na mdia n1 Descrio do backup: "Conjunto criado em 20/4/2002 s 22:22" A restaurao foi iniciada no(a) 21/4/2002 (s) 08:27. Restaurao concluda no(a) 21/4/2002 (s) 08:28. Pastas: 31 Arquivos: 753 Bytes: 69.618.787 Tempo: 48 segundos ---------------------6. Feche o Bloco de notas. Voc estar de volta janela Relatrios de backup. Clique em Cancelar para fech-la. Voc estar de volta ao utilitrio de backup. Definindo opes padro de backup e restore Ao utilizarmos o assistente de backup e ou restore, voc deve ter notado que algumas opes vem selecionadas por padro. possvel alterar algumas destas opes, definindo novos padres. Isto feito atravs do comando Ferramentas -> Opes do utilitrio de backup. Para configurar opes padro de backup/restore, faa o seguinte: 1. Faa o logon como Administrador ou com uma conta do tipo Administrador do computador. 2. Abra o utilitrio de backup. 3. Selecione o comando Ferramentas -> Opes. 4. A janela opes ser exibida. D um clique na guia Geral. Sero exibidas as opes indicadas na Figura a seguir.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 136 de 290

Segurana no Windows XP Professional - Bsico

Figura - A guia Geral da janela de opes. Na guia Geral podemos configurar as seguintes opes: Computar as informaes de seleo antes das operaes de backup e restaurao: Estima o nmero de arquivos e bytes que sero copiados ou restaurados durante a operao de backup ou restaurao atual. Estas informaes sero calculadas e exibidas antes do incio do backup ou da restaurao. Usar catlogos na mdia para acelerar a constituio de catlogos de restaurao no disco: De uma maneira simplificada, um catlogo as informaes que o utilitrio de backup usa para gerenciar um ou mais backups efetuados na mesma fita ou no mesmo arquivo .bkf. Esta opo, quando marcada, indica que voc deseja usar o catlogo em mdia para construir o catlogo em disco para restaurar selees. Esse o modo mais fcil de criar um catlogo em disco. Se voc desejar restaurar dados de vrias fitas e a fita com o catlogo em mdia estiver faltando ou desejar restaurar dados da mdia que est danificada, no dever selecionar esta opo. O backup verificar todo o conjunto de backup (ou o que voc tiver) e criar um catlogo em disco. Este procedimento poder demorar vrias horas se o conjunto de backup for muito extenso. Verificar dados aps o backup ser concludo: Verifica os dados de backup comparando-os com os dados originais no disco rgido para certificar-se de que sejam os mesmos. Se no forem, pode haver um problema com a mdia ou com o arquivo que voc est usando para fazer backup dos dados. Caso algum problema seja

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 137 de 290

Segurana no Windows XP Professional - Bsico detectado voc deve usar uma mdia diferente ou designar outro arquivo e executar a operao de backup novamente. Fazer o backup do contedo de unidades montadas: Faz backup dos dados que estiverem em uma unidade montada. Se voc selecionar esta opo e fizer backup de uma unidade montada, ser efetuado o backup dos dados nessa unidade montada. Se voc no selecionar essa opo e fizer backup de uma unidade montada, ser efetuado o backup somente das informaes do caminho para essa unidade. Mostrar uma mensagem de alerta quando o backup for iniciado e o Armazenamento Removvel no estiver sendo executado: Exibe uma caixa de dilogo quando voc iniciar o backup e o armazenamento removvel no estiver em execuo. Se voc fizer backup de dados principalmente em um arquivo e salvar o arquivo em um disquete, disco rgido ou qualquer tipo de disco removvel, no precisar marcar esta caixa de seleo. Se voc fizer backup de dados principalmente em uma fita ou outra mdia gerenciada pelo armazenamento removvel, como por exemplo um zip drive, dever marcar esta caixa de seleo. Mostrar uma mensagem de alerta quando o backup for iniciado e no houver uma mdia de importao compatvel disponvel: Exibe uma caixa de dilogo quando voc iniciar o backup e existir uma nova mdia disponvel no pool de importao de armazenamento removvel. Se voc fizer backup de dados principalmente em um arquivo e salvar o arquivo em um disquete, disco rgido ou qualquer tipo de disco removvel, no precisar marcar esta caixa de seleo. Se voc fizer backup de dados principalmente em uma fita ou outra mdia que seja gerenciada pelo armazenamento removvel, dever marcar esta caixa de seleo. Mostrar uma mensagem de alerta quando uma nova mdia for inserida: Exibe uma caixa de dilogo quando a nova mdia for detectada pelo armazenamento removvel. Sempre permitir o uso de mdias reconhecveis sem perguntar antes: Move automaticamente a nova mdia detectada pelo armazenamento removvel para o pool de backup. Se voc fizer backup de dados principalmente em um arquivo e salvar o arquivo em um disquete, disco rgido ou qualquer tipo de disco removvel, no precisar marcar esta caixa de seleo. Se voc usar o armazenamento removvel para gerenciar a mdia e desejar que todas as novas mdias estejam disponveis somente para o programa de backup, dever marcar esta caixa de dilogo.

5. D um clique na guia Restaurar. Sero exibidas as opes indicadas na Figura a seguir:

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 138 de 290

Segurana no Windows XP Professional - Bsico

Figura - A guia Restaurar da janela de opes. Nesta guia voc pode definir um dos seguintes padres, j descritos anteriormente: Manter os arquivos existentes (recomendvel). Esta a opo definida por padro. Substituir os arquivos existentes se eles forem mais antigos do que o backup. Sempre substituir arquivos.

6. D um clique na guia Tipo de backup. Nesta guia est disponvel uma lista para que voc selecione o tipo padro de Backup. O padro est definido como Normal. Utilize a lista Tipo de backup padro:, para definir um novo padro. 7. D um clique na guia Log de backup. Nesta guia voc pode definir uma das seguintes opes para o log de backup. Detalhado: Salva um registro detalhado das operaes de backup e restaurao que voc executar. Este o arquivo de log mais informativo que o backup pode criar. Resumido: Salva um resumo das operaes de backup e restaurao que voc executar. Esse o arquivo de log menos informativo que o backup pode criar. Nenhum: Especifica que voc no deseja criar um arquivo de log das operaes de backup e restaurao.

Por padro selecionado o log Resumido.


Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 139 de 290

Segurana no Windows XP Professional - Bsico

8. D um clique na guia Excluir arquivos. Ser exibida a janela indicada na Figura a seguir

Figura - A guia Excluir arquivos da janela opes. Nesta guia voc define quais arquivos no devero fazer parte do backup, mesmo que o usurio opte por fazer o backup de todo o drive C. Existem duas listas de excluso: Uma para todos os usurios logados no computador e uma que somente ser aplicada para o usurio atual. Esta segunda lista personalizada para cada usurio. Observe que dentre os vrios arquivos que esto na lista de arquivos que no faro parte do backup, est o arquivos Pagefile.sys, que ao arquivo de Swap, tambm conhecido como arquivo de troca do Windows XP. 9. Selecione as opes desejadas e clique em OK para aplic-las. Para os prximos backups estas sero as opes padro. 10. Feche o utilitrio de backup.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 140 de 290

Segurana no Windows XP Professional - Bsico Restaurao do sistema Vamos finalizar este mdulo falando sobre o Console de Recuperao do Windows XP. Esta uma ferramenta realmente valiosa, a qual nos permite restaurar o Windows XP ao estado em que ele estava em uma determinada data. Por exemplo, hoje voc instala uma nova verso de um driver e o Windows XP funciona normalmente. Amanh voc inicializa o Windows XP e o driver no funciona mais e voc no consegue desental-lo para voltar a utilizar a verso antiga, a qual funcionava sem problemas. Podemos utilizar o Console de Recuperao para restaurar o Windows XP ao estado anterior da instalao da nova verso do driver, ou seja, ao estado em que ele funcionava normalmente. A Restaurao do sistema um componente do Windows XP Professional que pode ser usado para restaurar o seu computador para um estado anterior, caso ocorra um problema, sem perda dos arquivos de dados pessoais (como documentos do Microsoft Word, histrico de navegao, desenhos, pasta favoritos ou e-mails). A restaurao do sistema monitora as suas alteraes e alguns arquivos de aplicativos, e cria automaticamente pontos de restaurao que podem ser identificados com facilidade. Esses pontos de restaurao permitem reverter o sistema ao horrio/data anterior. Eles so criados diariamente e quando ocorrerem eventos de sistema significativos (por exemplo, durante a instalao de um aplicativo ou driver). Voc tambm pode criar e nomear seus prprios pontos de restaurao sempre que desejar. Por exemplo, antes de instalar um novo dispositivo de hardware ou uma nova verso de um driver j existente voc pode criar um Ponto de restaurao. Se a instalao do novo dispositivo de hardware ou da nova verso do driver causar problemas, voc pode utilizar a ferramenta Restaurao do sistema para reverter as mudanas efetuadas, fazendo com que as configuraes do sistema voltem ao estado definido pelas configuraes do Ponto de restaurao, criado antes das alteraes. Esta uma garantia de que voc sempre ter como reverter alteraes que no foram bem sucedidas. Este um importante avano que foi introduzido no Windows Me e tambm est presente no Windows XP Professional. Importante: A restaurao do seu computador no afeta ou altera seus arquivos de dados pessoais. Para obter informaes sobre como fazer backup dos arquivos de dados pessoais, consulte a parte inicial deste mdulo. O Servio de restaurao do sistema configurado para inicializar automaticamente. Este servio fica sempre monitorando alteraes que ocorrem em arquivos, pastas e configuraes que so fundamentais para o correto funcionamento do Windows XP. Em intervalos peridicos o Servio de restaurao do sistema captura o estado atual do sistema, o qual inclui tambm informaes sobre a Registry. O estado atual salvo no disco rgido. Se algum problema ocorrer com o Windows XP podemos inicializar o computador no modo Seguro e utilizar o Assistente de restaurao para carregar as informaes de um estado anterior chamado Ponto de restaurao, estado este onde o sistema estava funcionando corretamente.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 141 de 290

Segurana no Windows XP Professional - Bsico O Assistente de restaurao (Iniciar -> Todos os programas -> Acessrios -> Ferramentas do sistema -> Restaurao do sistema) especialmente til e indicado nas seguintes situaes: Voc instalou um programa que est causando conflitos com outros aplicativos ou com algum driver do sistema. Voc instalou uma nova verso de um driver e a nova verso est causando problemas de estabilidade, desempenho ou simplesmente est impedindo o funcionamento do Windows XP no modo normal. O sistema est apresentando problemas de estabilidade ou desempenho que no aconteciam anteriormente.

As informaes do estado do sistema so copiadas, pelo Servio de restaurao do sistema para arquivos ocultos no disco rgido. Alm dos arquivos vitais para o Windows XP, tambm so copiadas informaes sobre as contas de usurios, configuraes de Hardware e Software e arquivos necessrios a inicializao do sistema. Os seguintes arquivos e pastas no so monitorados pelo Servio de restaurao do sistema e, portanto, no fazem parte dos Pontos de restaurao que so criados por este servio: O arquivo de paginao pagefile.sys. Arquivos ou sub-pastas gravados nas seguintes pastas: Meus documentos, Favoritos, Cookies, Lixeira, Arquivos temporrios da Internet, Histrico e Temp. Arquivos de imagem e grficos, como por exemplo arquivos com a extenso .jpg e .bmp. Tambm no esto includos arquivos com dados do usurio, como por exemplo documentos do Word (.doc) e planilhas do Excel (.xls). Arquivos com mensagens do Outlook Express, normalmente com a extenso .dbx.

Um Ponto de restaurao criado automaticamente quando o Windows XP instalado. Voc tambm pode criar Pontos de restaurao sempre que julgar necessrio. Para isso utilizamos o Assistente de restaurao (Iniciar -> Todos os programas -> Acessrios -> Ferramentas do sistema -> Restaurao do sistema). O Windows XP tambm cria, automaticamente, pontos de restaurao, nas seguintes situaes: Voc instala um driver de dispositivo que no est digitalmente assinado pela Microsoft. No estar digitalmente assinado pela Microsoft, significa que o driver no foi testado pela prpria Microsoft tem o seu funcionamento perfeitamente garantido no Windows XP. Voc instala aplicaes que usam um instalador como o Windows Installer, o qual compatvel com o Servio de restaurao do sistema.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 142 de 290

Segurana no Windows XP Professional - Bsico Uma atualizao ou patch do Windows XP instalada, como por exemplo quando voc atualiza o Windows XP pela Internet, utilizando o Windows Update. Quando voc restaura uma configurao anterior usando o Assistente de restaurao (Iniciar -> Todos os programas -> Acessrios -> Ferramentas do sistema -> Restaurao do sistema). Nesta situao o Windows XP cria um Ponto de restaurao para as configuraes atuais. Quando voc restaura arquivos a partir de um backup, utilizando o utilitrio de Backup do Windows XP Iniciar -> Todos os programas -> Acessrios -> Ferramentas do sistema -> Backup. Em intervalos regulares, normalmente a cada 24 horas se o computador estiver sempre ligado. Se voc desliga o seu computador aps o uso, o Windows XP ir criar um ponto de restaurao durante a prxima inicializao somente se o Ponto de restaurao mais recente tiver sido criado a mais do que 24 horas.

Para ser instalada e executada, a Restaurao do sistema requer, no mnimo, 200 MB de espao livre no disco rgido (ou na partio em que a pasta do sistema operacional est localizada). Se voc no tiver espao em disco disponvel quando o sistema operacional for instalado, essa restaurao ser instalada, mas no ser ativada. Isso s acontecer depois que voc liberar pelo menos 200 MB de espao em disco. Quando a Restaurao do sistema for executada com pouco espao em disco, o monitoramento de todas as unidades ser suspenso. Quando a Restaurao do sistema for suspensa, voc no poder executar o Assistente para restaurao do sistema. Se tentar fazlo, ser exibida uma caixa de dilogo informando que a Restaurao do sistema foi suspensa. Ela reiniciar automaticamente o monitoramento quando for liberado no mnimo 200MB de espao em disco. Alterando as configuraes de Restaurao do sistema Podemos alterar uma srie de configuraes do Servio de restaurao do sistema, tais como: Excluir uma unidade que no pertence ao sistema (volume onde est instalado o Windows XP) para que ela no seja monitorada ou recuperada pela Restaurao do sistema Alocar mais espao em disco para a Restaurao do sistema Desativar a Restaurao do sistema Ativar a Restaurao do sistema

Vamos aprender a fazer estas configuraes atravs de um exemplo prtico.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 143 de 290

Segurana no Windows XP Professional - Bsico Exemplo: Para alterar as configuraes de Restaurao do sistema, siga os seguintes passos: 1. Faa o logon como Administrador ou com uma conta do tipo Administrador do computador. 2. Clique em Iniciar e Clique com o boto Direito do mouse em Meu computador e, no menu de opes que exibido clique em Propriedades. 3. Na janela de Propriedades d um clique na guia Restaurao do sistema. Nesta guia podemos alterar as configuraes de Restaurao do sistema, conforme indicado na Figura a seguir:

Figura - A guia Restaurao do sistema. 4. Para desativar a Restaurao do sistema em todas as unidades, basta marcar a opo: Desativar a restaurao do sistema em todas as unidades. Para voltar a ativar a Restaurao do sistema, desmarque esta caixa de seleo. 5. No computador que estou utilizando, o Windows XP est instalado no drive C:. Portanto posso desativar a Restaurao do sistema no drive E: (veja Figura anterior). Para desativar a restaurao do sistema no drive E clique no respectivo Drive para selecion-lo. 6. Clique no boto Configuraes...
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 144 de 290

Segurana no Windows XP Professional - Bsico 7. Ser exibida a janela Configuraes da unidade (E:). Para desativar a Restaurao do sistema na unidade E:, marque a opo Desativar a restaurao do sistema nesta unidade, conforme indicado na Figura a seguir:

Figura - Desativando a Restaurao do sistema na unidade E:. 8. Clique em OK. Ser exibida uma janela pedindo confirmao para desativar a restaurao do sistema na unidade selecionada. Clique em Sim para desativar.Voc estar de volta guia Restaurao do sistema. Nota: Na janela de Configuraes da unidade voc tambm pode definir o espao mximo em disco disponvel para armazenar pontos de restaurao. Se o espao em disco terminar, a Restaurao do sistema ficar inativa. E ela ser ativada automaticamente quando voc liberar espao suficiente em disco, porm todos os pontos de restaurao anteriores se perdero. 9. Clique em OK para fechar a janela de Propriedades do sistema.

Agora vamos aprender a criar manualmente um ponto de restaurao e a Restaurar o sistema a um ponto de restaurao existente. Executaremos estas tarefas utilizando o Assistente de restaurao.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 145 de 290

Segurana no Windows XP Professional - Bsico Criando um ponto de restaurao Vamos criar um ponto de restaurao utilizando o Assistente de restaurao (Iniciar -> Todos os programas -> Acessrios -> Ferramentas do sistema -> Restaurao do sistema). Exemplo: Para criar um ponto de restaurao siga os seguintes passos indicados a seguir: 1. Faa o logon como Administrador ou com uma conta do tipo Administrador do computador. 2. Abra Assistente de restaurao (Iniciar -> Todos os programas -> Acessrios -> Ferramentas do sistema -> Restaurao do sistema). 3. Na tela inicial do Assistente marque a opo Criar um ponto de restaurao e clique no boto Avanar para seguir para a prxima etapa. 4. Na segunda etapa digite um nome para o Ponto de restaurao que est sendo criado. Observe que a Data e a Hora atuais so adicionados automaticamente ao ponto de restaurao. No campo Descrio digite Ponto de teste e clique no boto Criar. 5. O ponto de restaurao criado e a tela final do Assistente ser exibida, conforme indicado na Figura a seguir:

Figura - A tela final do assistente. 6. Clique no boto Fechar para encerrar o assistente.

O ponto de Restaurao foi criado e voc poder utiliz-lo para restaurar o sistema ao estado atual, caso alguma alterao futura cause problemas.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 146 de 290

Segurana no Windows XP Professional - Bsico Restaurando o sistema a um estado anterior Vamos supor que voc instalou um driver que est causando problemas. Voc pode utilizar o ponto de restaurao Ponto de teste, criado no tpico anterior, para restaurar o sistema ao estado anterior instalao do driver que est causando o problema. Vamos aprender a fazer esta restaurao utilizando um exemplo prtico. Exemplo: Para criar um ponto de restaurao siga os seguintes passos indicados a seguir: 1. Faa o logon como Administrador ou com uma conta do tipo Administrador do computador. 2. Abra Assistente de restaurao (Iniciar -> Todos os programas -> Acessrios -> Ferramentas do sistema -> Restaurao do sistema). 3. Na tela inicial do Assistente marque a opo Restaurar o computador mais cedo e clique no boto Avanar para seguir para a prxima etapa. 4. Ser exibido uma controle na forma de calendrio, conforme indicado na Figura a seguir:

Figura - Controle na forma de calendrio. Voc clica em um determinado dia e no quadro ao lado do calendrio so exibidos os pontos de restaurao para o dia selecionado. Voc pode clicar no boto > para avanar para o
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 147 de 290

Segurana no Windows XP Professional - Bsico prximo ms e no boto < para voltar para o ms anterior. No exemplo da Figura anterior cliquei no dia 21-Maio-2002. Observe que ao lado exibido o ponto de restaurao Ponto de teste, o qual foi criado neste dia. 5. Clique no ponto de restaurao a ser utilizado e depois clique no boto Avanar para ir para a prxima etapa do assistente. 6. Na prxima etapa so exibidas mensagens que informam sobre o processo de restaurao. Por exemplo informado que durante a restaurao, o recurso de Restaurao do sistema ir literalmente desligar o Windows. Ao ser concluda a restaurao, o Windows ser reinicializado com as configuraes da data e hora definidas pelo ponto de restaurao. 7. Para iniciar o processo de restaurao clique no boto Avanar. 8. O Windows ser encerrado, uma janela com o progresso da restaurao ser exibida e o sistema ser reinicializado. Aps a reinicializao o Windows XP ter sido restaurado ao estado definido pelas configuraes associadas ao ponto de recuperao selecionado. 9. Aps fazer o logon a tela final do Assistente de recuperao ser exibida, informando a data e hora s quais o sistema foi restaurado, conforme indicado na Figura a seguir:

Figura - Restaurao concluda com sucesso. 10. Clique em OK para fechar o Assistente de restaurao e voltar para o Windows.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 148 de 290

Segurana no Windows XP Professional - Bsico Algumas observaes importantes sobre o recurso de Restaurao do sistema Se voc reverter para um ponto de restaurao anterior instalao de um programa, ele no funcionar aps a restaurao. Para usar o programa novamente, voc dever reinstal-lo. A Restaurao do sistema no substitui o processo de desinstalao de um programa. Para remover completamente os arquivos instalados por um programa, remova o programa usando a opo Adicionar ou remover programas no Painel de controle ou o prprio desinstalador do programa. Se voc criptografou os arquivos de programa (como arquivos com extenses de nome de arquivo .exe ou .dll), possvel garantir que eles nunca podero ser restaurados para um estado decriptografado. Para faz-lo, desative a Restaurao do sistema antes de criptografar os seus arquivos ou pastas, e ative essa opo novamente depois da criptografia. Ou, se voc j tiver criptografado os arquivos ou pastas, desative e ative a Restaurao do sistema novamente. Ao desativar essa opo, voc excluir todos os pontos de restaurao. Esses pontos criados depois da ativao da Restaurao do sistema no incluiro as ocasies em que os arquivos foram descriptografados. Normalmente, voc s criptografa arquivos de dados, que no so afetados pela restaurao do sistema.

Concluso Fazer o Backup, significa fazer uma ou mais cpias de segurana dos arquivos e pasta do seu disco rgido ou de drives da rede. Muitos usurios e at mesmo pequenas empresas simplesmente ignoram a necessidade de implementar uma poltica de Backup. Muitas vezes os usurios s se do conta do problema quando tarde demais, ou seja, quando houve uma perda de dados importantes. o usurio que perdeu os documentos do Word e figuras da sua tese de mestrado, a vdeo locadora que perdeu os dados de anos de locaes, o Dentista que perdeu as informaes sobre as fichas dos pacientes, sobre quais pacientes deviam e assim por diante. Em resumo: grandes dores de cabea e prejuzos. Fazer cpia de segurana uma necessidade real, no temos como fugir deste fato. Alm disso o custo insignificante, isto mesmo: insignificante se compararmos com os prejuzos que podem ser causados pela perda de dados. Aprendemos sobre os tipos de backup e sobre estratgias de backup/restore. Foi salientada a importncia de se implementar uma poltica de backup como forma de proteger os dados. Na seqncia aprendemos a fazer o backup e o restore das informaes utilizando os assistentes disponveis e tambm o utilitrio de backup. Para finalizar aprendemos a utilizar o recurso de Restaurao do Sistema.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 149 de 290

Segurana no Windows XP Professional - Bsico

Mdulo 5 Diretivas de Segurana:


O conceito de Diretivas de Segurana de grande importncia para aprimorar a segurana do Windows XP Professional. Neste mdulo eu apresentarei o conceito de diretivas de segurana, mostrarei as diferentes categorias de diretivas disponveis, mostrarei como configurar as diretivas. Tambm apresentarei uma descrio detalhada, sobre as principais diretivas de segurana do Windows XP Professional. Falarei tambm sobre as GPOs Group Policy Objects. As GPOs so diretivas de segurana usadas, normalmente, em grandes redes, baseadas no Windows 2000 Server ou no Windows Server 2003 e no Active Directory. As GPOs so configuradas nos servidores (baseados no Windows 2000 Server ou Windows Server 2003) e aplicadas nas estaes clientes da rede, normalmente baseadas no Windows 2000 Professional ou Windows XP Professional.. Dentre outros, sero apresentados os seguintes tpicos: Conceito de Diretivas de Segurana Quando se aplicam as Diretivas de Segurana Exemplos de uso das Diretivas de Segurana Categorias de Diretivas de Segurana Configuraes das diretivas Conceito e uso de GPOs Exemplo de GPOs

As diretivas de seguranas so uma combinao das configuraes de segurana que afetam a segurana em um computador como um todo. As diretivas so diferentes das permisses de acesso. As diretivas definem quais usurios podem executar quais aes. Por exemplo, tem uma diretiva que define quais usurios podero ter acesso ao drive de disquete, outra que define quais usurios podero acessar recursos compartilhados do computador, atravs da rede, quais usurios podero fazer o logon e assim por diante. Existem tambm diretivas relacionadas as contas de usurios, as quais podem ser utilizadas, por exemplo, para definir um tamanho mnimo para a senha, o tempo de validade de uma senha e assim por diante. Com o uso das diretivas de segurana local, podemos implementar, dentre outros, os seguintes controles: Quem acessa seu computador. Quais usurios esto autorizados a usar seu computador. Se as aes de um usurio ou grupo so registradas ou no no log de eventos. Caso o computador faa parte de um domnio, baseado no Windows 2000 Server ou Windows Server 2003 e no Active Directory, o computador receber, diretamente dos servidores, configuraes das chamadas GPOs Group Policy Objects. O uso de GPOs permite ao administrador da rede, manter de maneira centralizada, diversas configuraes. Por exemplo, o Administrador da rede pode determinar que um determinado grupo de Usurios no deve ter acesso a opo Ferramentas administrativas do Painel de controle. O administrador poder fazer estas configuraes via GPO. As configuraes sero, automaticamente, aplicadas pela rede. Neste mdulo apresentarei uma descrio de como funcionam as GPOs.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 150 de 290

Segurana no Windows XP Professional - Bsico Diretivas de segurana local Conceito As diretivas de segurana local fornecem opes para configurar questes de segurana relacionadas com o Windows XP. Por exemplo, por padro o usurio pode errar diversas vezes a senha, que a sua conta no ser bloqueada. Com as diretivas locais de segurana, nos podemos definir que, por exemplo, se um usurio errar a senha trs vezes, dentro de um perodo de meia hora, a sua conta deve ficar bloqueada at que um Administrador desbloqueie a conta ou deve ficar bloqueada por um perodo definido, digamos 24 horas. A diretiva de segurana uma combinao das configuraes de segurana que afetam a segurana em um computador. Voc pode usar a diretiva de segurana local para editar diretivas locais e de conta em seu computador local. Nota: Existem tambm diretivas de segurana, as chamadas GPOs Group Police Objects, as quais so aplicadas a todos os computadores de um domnio ou de uma Unidade Organizacional. As GPOs so configuradas pelo Administrador da rede, no Active Directory. Para um estudo completo sobre o uso de GPOs, consulte o Captulo 18, do livro de minha autoria: Windows Server 2003 Curso Completo, 1568 pginas. Com a diretiva de segurana local, voc pode controlar: Quem acessa seu computador. Quais usurios de recursos esto autorizados a usar seu computador. Se as aes de um usurio ou grupo so registradas ou no no log de eventos.

Importante: Se o computador faz parte de um domnio, em uma rede empresarial, ao ingressar em um domnio, o computador poder receber diretivas de segurana dos servidores do domnio ou na diretiva de qualquer unidade organizacional da qual faa parte. Se voc estiver obtendo diretiva em mais de uma origem, quaisquer conflitos sero resolvidos nesta ordem de precedncia, de cima para baixo: Diretiva da unidade organizacional Diretiva do domnio Diretiva do site Diretiva do computador local

Nota: Para maiores detalhes sobre Domnios e Workgroups, Active Directory, sites e Unidades Organizacionais, consulte o Mdulo 2, do Manual de Estudos Exame 70-271, 893 pginas, de minha autoria. Todos os detalhes em: www.juliobattisti.com.br/cursos/70271 Nota: Quando voc modifica as configuraes de segurana em seu computador local usando o console Diretiva de segurana local, da opo Ferramentas administrativas do Painel de controle, voc est modificando diretamente as configuraes de seu computador. Portanto, as configuraes entram em vigor imediatamente, mas isso pode ser apenas temporrio. Na verdade, as configuraes permanecero em vigor no computador local at a prxima atualizao das configuraes de segurana Diretiva de grupo, carregadas a partir dos servidores do domnio, momento em que as configuraes de segurana que forem recebidas
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 151 de 290

Segurana no Windows XP Professional - Bsico via GPOs, substituiro as configuraes locais onde houver conflitos, conforme ordem de prioridade listada anteriormente. As configuraes de segurana so atualizadas a cada 90 minutos em uma estao de trabalho ou em um servidor e a cada 5 minutos em um controlador de domnio. As configuraes tambm so atualizadas a cada 16 horas, mesmo que nenhuma alterao tenha sido feita. Categorias de diretivas disponveis: As diretivas locais de segurana so divididas em grupos/categorias. Para verificar os grupos categorias disponveis, faa o seguinte: 1. Faa o logon como Administrador ou com uma conta com permisso de Administrador. 2. Abra o Painel de controle. 3. Abra a opo Ferramentas administrativas. 4. Abra o console Configuraes locais de segurana. 5. Observe as categorias disponveis, conforme indicado na Figura a seguir:

Figura - O console Configuraes locais de segurana. A seguir vamos descrever as diversas categorias disponveis: Diretivas de conta: Estas diretivas afetam o modo como as contas de usurio podem interagir com o computador ou o domnio. As diretivas de conta contm trs subconjuntos: 1. Diretiva de senha :

Usadas para contas de domnio ou de usurio local. Determina configuraes para senhas, como aplicao e vida til, comprimento mnimo, etc. Nesta categoria temos as seguintes diretivas:
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 152 de 290

Segurana no Windows XP Professional - Bsico

1.1) A senha deve satisfazer os requisitos de complexidade: Por padro esta diretiva est desativada. Ela determina se as senhas devem satisfazer a requisitos de complexidade. Se esta diretiva estiver ativada, as senhas precisaro atender aos seguintes requisitos mnimos: o No conter todo ou parte do nome da conta do usurio o Ter pelo menos seis caracteres de comprimento o Conter caracteres de trs das quatro categorias a seguir: Caracteres maisculos do ingls (A-Z) Caracteres minsculos do ingls (a-z) 10 dgitos bsicos (0-9) Caracteres no alfanumricos (por exemplo, !, $, #, %) Os requisitos de complexidade so impostos quando as senhas so criadas ou alteradas. 1.2) Aplicar histrico de senhas: Determina o nmero de senhas novas e exclusivas que precisam ser associadas a uma conta de usurio antes que uma senha antiga possa ser reutilizada. O valor deve estar entre 0 e 24 senhas. Esta diretiva permite que os administradores aprimorem a segurana garantido que as senhas antigas no sejam reutilizadas continuamente. Por exemplo, se o valor desta diretiva estiver definido em 3, ao trocar a senha, o usurio no poder utilizar uma senha igual as trs ltimas. Para que esta diretiva tenha eficcia, deve ser combinada com a diretiva durao mnima da senha (descrita logo a seguir), pois seno o usurio pode trocar a senha vrias vezes no mesmo dia, at que ele possa voltar a utilizar a senha antiga. Com isso o efeito que o usurio poder utilizar sempre a mesma senha. 1.3) Armazena senha usando criptografia reversvel para todos os usurios no domnio: Determina se o Windows 2000 Server, o Windows 2000 Professional e o Windows XP Professional armazenam senhas usando criptografia reversvel. Esta diretiva oferece suporte a aplicativos que usam protocolos que exigem o conhecimento da senha do usurio para fins de autenticao. Armazenar senhas usando criptografia reversvel basicamente o mesmo que armazenar verses das senhas em texto sem formatao. Por esse motivo, a diretiva jamais deve ser ativada, a menos que os requisitos de aplicativo sejam mais importantes que a necessidade de proteger as informaes sobre senha. Se esta diretiva for ativada, um usurio com um programa de captura de pacotes na rede, poder determinar a senha dos usurios. Por padro est desativada. 1.4) Comprimento mnimo da senha: Determina o nmero mnimo de caracteres que uma senha de uma conta de usurio pode conter. Voc pode definir um valor entre 1 e 14 caracteres, ou pode estabelecer que no necessrio senha definindo o nmero de caracteres como 0, neste caso o usurio poder deixar a senha em branco. No uma boa idia permitir senhas em branco, embora esta seja a configurao padro do Windows XP. No exemplo prtico do prximo item, vamos alterar esta diretiva. 1.5) Tempo de vida mxima da senha: Determina o perodo de tempo (em dias) durante o qual uma senha pode ser utilizada antes que o sistema solicite ao usurio a sua alterao. Voc pode definir que senhas expirem aps um nmero de dias entre 1 e 999, ou pode especificar que elas jamais expirem definindo o nmero de dias como 0. Zero a configurao padro.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 153 de 290

Segurana no Windows XP Professional - Bsico Os valores normalmente adotados giram entre 30 e 45 dias, ou seja, aps este perodo quando o usurio fizer o logon, ser solicitado que ele troque a senha. 1.6) Tempo de vida mnimo da senha: Determina o perodo de tempo (em dias) que uma senha deve ser utilizada antes que o usurio possa alter-la. Voc pode definir um valor entre 1 e 999 dias, ou pode permitir alteraes imediatas definindo o nmero de dias como 0. A durao mnima da senha deve ser inferior Durao mxima da senha. Esta diretiva que deve ser utilizada em conjunto com a diretiva Aplicar histrico de senhas, conforme explicado anteriormente. Configure a durao mnima da senha para ser superior a 0 se voc desejar que a diretiva Aplicar histrico de senhas tenha efeito prtico. Sem uma durao mnima da senha, os usurios podem alterar a senha repetidas vezes at chegarem a uma senha antiga de sua preferncia. 2. Diretiva de bloqueio de conta:

Esta seo apresenta diretivas que determinam se uma conta ser ou no bloqueada, se o usurio errar a senha um determinado nmero de vezes, dentro de um determinado perodo. Nesta categoria temos as seguintes diretivas: 2.1) Durao do bloqueio de conta: Determina quantos minutos uma conta permanece bloqueada antes de ser automaticamente desbloqueada. O intervalo disponvel de 1 a 99.999 minutos. possvel especificar que a conta fique bloqueada at um administrador desbloquela explicitamente definindo o valor como 0. Caso seja definido um limite de bloqueio de conta, a sua durao dever ser superior ou igual ao tempo de redefinio. Por padro esta diretiva no definida e ela s tem sentido quando um Limite de bloqueio de conta (explicada a seguir) especificado. 2.2) Limite de bloqueio de conta: Determina o nmero de tentativas de logon com falha que causa o bloqueio de uma conta de usurio. Uma conta bloqueada no pode ser usada at ser redefinida por um administrador ou at o perodo de bloqueio da conta expirar. Voc pode definir um valor de tentativas de logon com falha entre 1 e 999, ou especificar que a conta jamais seja bloqueada definindo o valor como 0. O valor normalmente utilizado 3, ou seja, aps trs tentativas de logon sem sucesso, a conta ser bloqueada. Por padro esta diretiva est desativada. 2.3) Zerar contador de bloqueio de conta aps: Determina quantos minutos devem decorrer entre uma tentativa de logon com falha e a redefinio do contador dessa tentativa como 0 tentativas de logon invlidas. O intervalo disponvel de 1 a 99.999 minutos. Caso seja definido um limite de bloqueio de conta, o tempo de redefinio dever ser inferior ou igual Durao do bloqueio de conta. Por padro esta diretiva no definida Essa configurao de diretiva s tem sentido quando um Limite de bloqueio de conta especificado.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 154 de 290

Segurana no Windows XP Professional - Bsico Diretivas locais: Estas diretivas afetam uma srie de configuraes do computador. Atravs desta categoria temos opo para configurar os logs de auditoria do Windows XP (para mais detalhes sobre os logs de auditoria, consulte o Mdulo 7), temos opes para configurar os chamados direitos dos usurios, tais como quem pode fazer o logon, quem pode usar o drive de disquete e assim por diante e tambm temos opes avanadas de segurana, tais como se a conta Administrador pode ou no ser renomeada, se permitido o acesso remoto ao Registro do computador e assim por diante. As diretivas locais contm trs subconjuntos: 1. Diretivas de Auditoria:

Esta rea de segurana define atributos que esto relacionados aos logs de aplicativo, segurana e sistema: tamanho mximo do log, direitos de acesso a cada log, configuraes e mtodos de reteno. O log do aplicativo registra eventos gerados por programas; o log de segurana registra eventos de segurana, inclusive tentativas de logon com ou sem sucesso, acesso a objeto e alteraes em segurana, dependendo do que aditado; e o log do sistema registra eventos de sistema operacional. Para obter mais informaes, consulte Visualizar eventos. Nesta categoria temos as seguintes diretivas: 1.1) Tamanho mximo do log de Aplicativo: utilizada para definir o tamanho mximo, em disco, que poder atingir o Log de aplicativo. O tamanho mximo possvel de 4 GB. 1.2) Tamanho mximo do log de Segurana: utilizada para definir o tamanho mximo, em disco, que poder atingir o Log de segurana. O tamanho mximo possvel de 4 GB. 1.3) Tamanho mximo do log de Sistema: utilizada para definir o tamanho mximo, em disco, que poder atingir o Log de sistema. O tamanho mximo possvel de 4 GB. 1.4) Impede que o grupo de convidados locais acesse o log do Aplicativo: utilizada para definir se os membros do grupo Convidados podero ou no ter acesso ao log do Aplicativo. 1.5) Impede que o grupo de convidados locais acesse o log de Segurana: utilizada para definir se os membros do grupo Convidados podero ou no ter acesso ao log de Segurana. 1.6) Impede que o grupo de convidados locais acesse o log de Sistema: utilizada para definir se os membros do grupo Convidados podero ou no ter acesso ao log de Sistema. 1.7) Reter log de Aplicativo: Determina o nmero de eventos por dia a ser retido no log de aplicativo se o mtodo de reteno do log de aplicativo for "Por dias". Defina este valor somente se voc arquivar o log em intervalos programados e desejar se certificar de que o Tamanho mximo do log de aplicativo grande o suficiente para acomodar o intervalo.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 155 de 290

Segurana no Windows XP Professional - Bsico 1.8) Reter log de Segurana: Determina o nmero de eventos por dia a ser retido no log de segurana, se o mtodo de reteno do log de aplicativo for "Por dias". Defina este valor somente se voc arquivar o log em intervalos programados e desejar se certificar de que o Tamanho mximo do log de Segurana grande o suficiente para acomodar o intervalo. Um usurio precisa ter o direito de usurio Gerenciar a auditoria e o log de segurana para acessar o log de segurana. 1.9) Reter log de Sistema: Determina o nmero de eventos por dia a ser retido no log de sistema se o mtodo de reteno do log de aplicativo for "Por dias". Defina este valor somente se voc arquivar o log em intervalos programados e desejar se certificar de que o Tamanho mximo do log de Sistema grande o suficiente para acomodar o intervalo. 1.10) Mtodo de reteno do log de Aplicativo: Determina o mtodo de reteno do log de aplicativo. Se voc no arquivar o log de aplicativo, na caixa de dilogo Propriedades desta diretiva, marque a caixa de seleo Definir a configurao da diretiva e clique em Substituir eventos quando necessrio. Se voc faz o arquivamento do log em intervalos programados, na caixa de dilogo Propriedades da diretiva, marque a caixa de seleo Definir a configurao da diretiva, clique em Substituir eventos periodicamente e especifique o nmero apropriado de dias na configurao "Reter log de aplicativo". Certifique-se de que o Tamanho mximo do log de aplicativo grande o suficiente para acomodar o intervalo. Se voc precisar reter todos os eventos no log, na caixa de dilogo Propriedades dessa diretiva, marque a caixa de seleo Definir a configurao da diretiva e clique em No substituir eventos (limpar log manualmente). Essa opo exige que o log seja limpo manualmente. Nesse caso, quando o tamanho mximo do log for atingido, os eventos novos sero descartados. 1.11) Mtodo de reteno do log de Segurana: Determina o mtodo de reteno do log de Segurana. Se voc no arquivar o log de segurana, na caixa de dilogo Propriedades desta diretiva, marque a caixa de seleo Definir a configurao da diretiva e clique em Substituir eventos quando necessrio. Se voc faz o arquivamento do log em intervalos programados, na caixa de dilogo Propriedades da diretiva, marque a caixa de seleo Definir a configurao da diretiva, clique em Substituir eventos periodicamente e especifique o nmero apropriado de dias na configurao "Reter log de segurana". Certifique-se de que o Tamanho mximo do log de aplicativo grande o suficiente para acomodar o intervalo. Se voc precisar reter todos os eventos no log, na caixa de dilogo Propriedades dessa diretiva, marque a caixa de seleo Definir a configurao da diretiva e clique em No substituir eventos (limpar log manualmente). Essa opo exige que o log seja limpo manualmente. Nesse caso, quando o tamanho mximo do log for atingido, os eventos novos sero descartados. 1.12) Mtodo de reteno do log de Sistema: Determina o mtodo de reteno do log de Sistema. Se voc no arquivar o log de sistema, na caixa de dilogo Propriedades desta diretiva, marque a caixa de seleo Definir a configurao da diretiva e clique em Substituir eventos quando necessrio. Se voc faz o arquivamento do log em intervalos programados, na caixa de dilogo Propriedades da diretiva, marque a caixa de seleo Definir a configurao da diretiva, clique em Substituir eventos periodicamente e especifique o nmero apropriado de dias na configurao "Reter log de segurana". Certifique-se de que o Tamanho mximo do log de aplicativo grande o suficiente para acomodar o intervalo. Se voc precisar reter todos os eventos no log, na caixa de dilogo Propriedades dessa diretiva, marque a caixa de seleo Definir a configurao da diretiva e clique em No substituir eventos (limpar log
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 156 de 290

Segurana no Windows XP Professional - Bsico manualmente). Essa opo exige que o log seja limpo manualmente. Nesse caso, quando o tamanho mximo do log for atingido, os eventos novos sero descartados. 2. Atribuies de direitos de usurios:

Um direito de usurio uma ao que o usurio pode ou no executar. Por exemplo, fazer o logon no computador, acessar o computador pela rede, Alterar a hora do sistema e assim por diante. Atravs deste grupo de diretivas possvel configurar dezenas de direitos. Por exemplo, posso definir que somente os membros do grupo Administradores, ter o direito de alterar a hora do computador. Como este grupo contm um grande nmero de diretivas, no vou descrever todas. Apresentarei a descrio somente das diretivas mais utilizadas. Voc encontra a descrio completa, de todas as diretivas, diretamente atravs da ajuda do console Diretivas locais de segurana. Principais diretivas desta categoria: 2.1) Acesso a este computador pela rede: utilizada para determinar quais usurios e grupos tm permisso para se conectar ao computador pela rede. Por exemplo, para acessar uma pasta compartilhada em um computador, o usurio precisa ter este direito. Por padro os seguintes usurios e grupos tem esta permisso: Em estaes de trabalho e servidores: Administradores Operadores de cpia Usurios avanados Usurios Todos

Em controladores de domnio: Administradores Usurios autenticados Todos

2.2) Adicionar estaes de trabalho ao domnio: Determina quais grupos ou usurios podem adicionar estaes de trabalho a um domnio baseado no Active Directory. Esta diretiva vlida somente em controladores de domnio. Por padro, qualquer usurio autenticado tem esse direito e pode criar at 10 contas de computador no domnio. Ao adicionar uma conta de computador ao domnio, o computador poder participar do sistema de rede baseado no Active Directory. Por exemplo, adicionar uma estao de trabalho a um domnio permite que a estao de trabalho reconhea contas e grupos existentes no Active Directory. Os usurios com a permisso Criar objetos de computador no recipiente de computadores do Active Directory tambm podem criar contas de computador no domnio. A diferena que os usurios com permisses no recipiente no esto restritos criao de apenas 10 contas de computador. Alm disso, as contas de computador criadas atravs da
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 157 de 290

Segurana no Windows XP Professional - Bsico diretiva "Adicionar estaes de trabalho ao domnio" tm administradores de domnio como o proprietrio da conta de computador, enquanto as contas de computador criadas por meio de permisses no recipiente dos computadores tm o criador como proprietrio. Se um usurio tiver permisses no recipiente e tambm tiver o direito de usurio da diretiva "Adicionar estaes de trabalho ao domnio", o computador ser adicionado com base nas permisses de recipiente de computador e no no direito do usurio. 2.3) Fazer backup de arquivos e pastas: Determina quais usurios podem ignorar as permisses de arquivo e pasta com a finalidade de fazer backup do sistema. Esta diretiva deve ser atribuda a conta configurada para executar as tarefas de backup. Se esta conta no tiver a permisso Fazer backup de arquivos e pastas, no ser possvel fazer o backup de pastas e arquivos para as quais a conta no tenha as devidas permisses NTFS. muito mais seguro dar esta permisso para a conta responsvel pela execuo do Backup, do que atribuir permisses NTFS em todas as pastas e arquivos que faro parte do backup. Especificamente, esse privilgio semelhante a conceder ao usurio ou grupo em questo as permisses a seguir sobre todos os arquivos e pastas no sistema: Desviar pasta/executar arquivo Listar pasta / Ler dados Atributos de leitura Atributos estendidos de leitura Permisses de leitura

2.4) Alterar a hora do sistema: Esta diretiva determina quais usurios e grupos podem alterar a data e hora no relgio interno do computador. Este direito de usurio definido no objeto de diretiva de grupo do controlador de domnio padro e na diretiva de segurana local de estaes de trabalho e servidores. Esta diretiva tem os seguintes configuraes, por padro: Em estaes de trabalho e servidores: Administradores Usurios avanados

Em controladores de domnio: Administradores Operadores de servidores

2.5) Negar acesso a este computador pela rede: Determina quais usurios so impedidos de acessar o computador pela rede. Esta diretiva prevalecer sobre a configurao de diretiva Acesso a este computador pela rede se uma conta de usurio estiver sujeita s duas diretivas. O acesso pode ser negado para usurios ou grupos. Se o acesso for negado para um grupo, todos os membros do grupo tero o acesso negado.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 158 de 290

Segurana no Windows XP Professional - Bsico 2.6) Negar logon local: Determina quais usurios so impedidos de fazer logon no computador. Esta diretiva prevalecer sobre a configurao de diretiva Fazer logon local se uma conta estiver sujeita s duas diretivas. O acesso pode ser negado para usurios ou grupos. Se o acesso for negado para um grupo, todos os membros do grupo tero o acesso negado. 2.7) Carregar e descarregar drivers de dispositivos: Determina quais usurios podem instalar e desinstalar, dinamicamente, drivers de dispositivos de hardware. Este privilgio necessrio para a instalao de drivers de dispositivos Plug and Play. Por padro, somente o grupo Administradores tem este direito. Pode ser atribudo, se necessrio, para outros grupos ou usurios. 2.8) Fazer logon local: Determina quais usurios podem fazer logon no computador. Esta diretiva tem as seguintes configuraes, por padro: Em estaes de trabalho e servidores: Administradores Operadores de cpia Usurios avanados Usurios Convidado

Em controladores de domnio: Operadores de contas Administradores Operadores de cpia Operadores de impresso

2.9) Gerenciar a auditoria e o log de segurana: Esta diretiva determina quais usurios podem especificar opes de auditoria de acesso a objetos para recursos individuais, como arquivos, objetos do Active Directory e chaves do Registro. Esta diretiva no permite que um usurio ative a auditoria de acesso a objetos e arquivos de um modo geral. Para que esse tipo de auditoria seja ativado, a configurao de Auditoria de acesso a objetos em Configurao do computador\Configuraes do Windows\Configuraes de segurana\Diretivas locais\Diretivas de auditoria precisa estar definida. Voc pode exibir os eventos em que ocorreu auditoria no log de segurana do recurso Visualizar eventos. Um usurio com esse privilgio tambm pode exibir e limpar o log de segurana. Por padro este direito somente atribudo ao grupo Administradores. 2.10) Restaurar arquivos e pastas: Esta diretiva determina quais usurios podem ignorar permisses de arquivo e pasta ao restaurar arquivos e pastas com backup. Alm disso, determina quais usurios podem definir qualquer objeto de segurana vlido como o proprietrio de um objeto. Esta diretiva tem as seguintes configuraes, por padro: Estaes de trabalho e servidores:

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 159 de 290

Segurana no Windows XP Professional - Bsico Administradores Operadores de cpia

Controladores de domnio: Administradores Operadores de cpia Operadores de servidores

2.11) Desligar o sistema: Esta diretiva determina quais usurios com logon local no computador podem desligar o sistema operacional usando o comando Desligar. Esta diretiva tem as seguintes configuraes, por padro: Estaes de trabalho e servidores: Administradores Operadores de cpia Usurios avanados Usurios

Controladores de domnio: 3. Operadores de contas Administradores Operadores de cpia Operadores de servidores Operadores de impresso Opes de segurana:

Este grupo contm uma srie de diretivas que podem ser utilizadas para tornar o Windows XP ainda mais seguro. Por exemplo, voc pode usar a diretiva Contas: Status da conta de administrador, para determinar se a conta Administrador estar ativada ou desativada durante a operao normal. Na inicializao no modo de segurana, a conta Administrador estar sempre ativada, independentemente da configurao deste diretiva. A seguir apresenta a descrio das principais diretivas deste grupo. Principais diretivas desta categoria: 1.1) Contas: status de conta de administrador: Determina se a conta Administrador estar ativada ou desativada durante a operao normal. Na inicializao no modo de segurana, a conta Administrador estar sempre ativada, independentemente da configurao. O padro : Ativado. Se voc tentar ativar novamente a conta Administrador aps ela ter sido desativada e a senha de administrador atual no atender aos requisitos de senha, voc no conseguir ativar novamente a conta. Nesse caso, um membro alternativo do grupo Administrador precisar definir a senha da conta Administrador usando a interface do usurio Usurios e grupos locais. Desativar a conta Administrador pode se tornar um problema de
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 160 de 290

Segurana no Windows XP Professional - Bsico manuteno em determinadas circunstncias. Por exemplo, em um ambiente de domnio, se o canal seguro que constitui o seu ingresso falhar por alguma razo e no houver outra conta Administrador local, voc precisar reiniciar no modo de segurana para corrigir o problema que est causando a interrupo do status do ingresso. 1.2) Contas: status de conta de convidado: Determina se a conta Convidado estar ativada ou desativada. O padro : Desativado. Se a conta Convidado estiver desativada e a opo se segurana "Acesso rede: Compartilhamento e modelo de segurana para contas locais" estiver definida como "Somente convidado", os logons de rede, como os executados pelo servidor de rede Microsoft (servio SMB), falharo. 1.3) Contas: renomear conta do administrador: Determina se um nome de conta diferente est associado ao identificador de segurana (SID) da conta "Administrador". Como notria a existncia da conta Administrador em todos os computadores com o Windows 2000 Server, Windows 2000 Professional e Windows XP Professional, renomear a conta torna um pouco mais difcil para pessoas no autorizadas adivinhar essa combinao de senha e nome de usurio privilegiado . 1.4) Contas: renomear conta do convidado: Determina se um nome de conta diferente est associado ao identificador de segurana (SID) da conta "Convidado". Como notria a existncia da conta Convidado em todos os computadores com o Windows 2000 Server, Windows 2000 Professional e Windows XP Professional, renomear a conta torna um pouco mais difcil para pessoas no autorizadas adivinhar essa combinao de nome de usurio e senha. 1.5) Dispositivos: evita que usurios instalem drivers de impressora: Para um computador imprimir em uma impressora de rede, necessrio que o driver dessa impressora esteja instalado no computador local. Esta configurao de segurana determina quem tem permisso para instalar um driver de impressora como parte do processo de adio de uma impressora de rede. Se essa configurao estiver ativada, somente Administradores e Usurios avanados podero instalar um driver de impressora como parte desse processo de adio de impressora de rede. Se ela estiver desativada, qualquer usurio poder instalar um driver de impressora como parte desse processo. A configurao pode ser usada para impedir que usurios sem privilgios faam download e instalem um driver de impressora no confivel. Se um administrador tiver configurado um caminho confivel para o download de drivers, essa configurao no ter impacto. Quando caminhos confiveis so usados, o subsistema de impresso tenta usar o caminho confivel para o download do driver. Se o download de caminho confivel tiver xito, o driver ser instalado em nome de qualquer usurio. Se o download de caminho confivel falhar, o driver no ser instalado e a impressora de rede no poder ser instalada. Se a configurao estiver ativada, mas o driver de uma impressora de rede j existir na mquina local, os usurios podero ainda assim adicionar a impressora de rede. Esta configurao no afeta a capacidade de adicionar uma impressora local.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 161 de 290

Segurana no Windows XP Professional - Bsico 1.6) Dispositivos: restringir o acesso ao CD ROM somente para usurio com logon feito localmente: Determina se o drive de CD-ROM est acessvel a usurios locais e remotos simultaneamente. Se esta diretiva estiver ativada, permitir que somente o usurio com logon interativo acesse a mdia de CD-ROM removvel. Se a diretiva estiver ativada e no houver usurio com logon interativo, o CD-ROM poder ser acessado pela rede. O padro : Desativado. 1.7) Dispositivos: restringir o acesso ao floppy somente para usurios com logon feito localmente: Determina se a mdia de disquete removvel estar disponvel para usurios locais e remotos simultaneamente. Se esta diretiva estiver ativada, permitir que somente o usurio com logon interativo tenha acesso mdia de disquete removvel. Se a diretiva estiver ativada e no houver usurio com logon interativo, o disquete poder ser acessado pela rede. O padro : Desativado. 1.8) Logon interativo: no exibir o nome do ltimo usurio: Determina se o nome do ltimo usurio a fazer logon no computador ser exibido na tela de logon do Windows. Se esta diretiva estiver ativada, o nome do ltimo usurio a fazer logon com xito no ser exibido na caixa de dilogo Logon no Windows. Se a diretiva estiver desativada, o nome do ltimo usurio a fazer logon ser exibido. O padro : Desativado. 1.9) Logon interativo: no exigir Ctrl+Alt+Del: Determina se um usurio precisar pressionar CTRL+ALT+DEL para fazer logon. Se esta diretiva estiver ativada em um computador, o usurio no ser obrigado a pressionar CTRL+ALT+DEL para fazer logon. Sem o pressionamento das teclas CTRL+ALT+DEL , o usurio ficar suscetvel a ataques que tentam interceptar suas senhas, tais como programas que tentam detectar o que o usurio digita no teclado. A obrigatoriedade do uso dessas teclas antes do logon dos usurios garante a comunicao por meios confiveis quando eles digitam suas senhas. Se essa diretiva estiver desativada, qualquer usurio ser obrigado a pressionar CTRL+ALT+DEL para fazer logon no Windows (a no ser que esteja usando um carto inteligente para logon do Windows). Por padro : Desativado em estaes de trabalho e servidores contidos em um domnio e Ativado em estaes de trabalho autnomas. 1.10) Logon interativo: texto de mensagem para usurios tentando fazer logon: Especifica uma mensagem de texto que ser exibida para os usurios quando eles fizerem logon. Esse texto muitas vezes usado por razes legais, por exemplo, para notificar os usurios sobre as ramificaes da utilizao incorreta de informaes da empresa ou para avis-los de que possvel que seja feita auditoria de suas aes. Padro: Nenhuma mensagem. Importante: O Windows XP Professional adiciona suporte configurao de faixas de logon que podem exceder 512 caracteres de comprimento e tambm podem conter seqncias de retorno de carro e avano de linha. No entanto, clientes Windows 2000 no podem interpretar e exibir texto de mensagem criado por computadores com o Windows XP Professional. necessrio usar um computador com o Windows 2000 para criar uma diretiva de mensagem de logon que se aplique a computadores com o Windows 2000. Se voc por engano criar uma diretiva de mensagem de logon usando um computador com o Windows XP Professional e

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 162 de 290

Segurana no Windows XP Professional - Bsico descobrir que a mensagem no exibida corretamente em computadores com o Windows 2000, faa o seguinte: Cancele a definio da configurao. Defina novamente a configurao usando um computador com o Windows 2000.

Apenas alterar uma diretiva de mensagem de logon definida no Windows XP Professional usando um computador com o Windows 2000 no funciona. necessrio primeiro cancelar a configurao. 1.11) Logon interativo: ttulo da mensagem para usurios tentando fazer logon: Permite a especificao de um ttulo que exibido na barra de ttulo da janela que contm o Logon interativo: texto de mensagem para usurios tentando fazer logon. O padro : Nenhuma mensagem. 1.12) Logon interativo: nmero de logons anteriores para colocar em cache (caso o controlador de domnio no esteja disponvel): Determina o nmero de vezes que um usurio pode fazer logon em um domnio do Windows usando informaes de conta armazenadas em cache. As informaes de logon para contas de domnio podem ser armazenadas no cache localmente para que, caso um controlador de domnio no possa ser contatado para logons subseqentes, um usurio ainda assim possa fazer logon. Essa configurao determina o nmero de usurios exclusivos para os quais as informaes de logon so armazenadas no cache localmente. Se um controlador de domnio no estiver disponvel e as informaes de logon de um usurio estiverem armazenadas no cache, ser exibida a seguinte mensagem de aviso ao usurio: No foi possvel contatar um controlador de domnio para o seu domnio. O logon foi feito com as informaes da conta armazenadas em cache. As alteraes feitas no perfil desde o ltimo logon podem no estar disponveis. Se no houver um controlador de domnio disponvel e as informao de logon de um usurio no estiverem armazenadas no cache, esta mensagem de aviso ser exibida ao usurio: O sistema no pode fazer logon porque o domnio <Nome_do_domnio> no est disponvel. O padro para este diretiva : 10. Definir esse valor como 0 desativa o armazenamento de informaes de logon no cache. O valor mximo para essa configurao 50. 1.13) Logon interativo: pedir que o usurio altere a senha antes que ela expire: Determina com quanto tempo de antecedncia (em dias) os usurios so avisados de que sua senha est prestes a expirar. Com esse aviso antecipado, o usurio tem tempo para criar uma senha que seja suficientemente slida. O padro : 14 dias.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 163 de 290

Segurana no Windows XP Professional - Bsico 1.14) Logon interativo: exigir autenticao de controlador de domnio para desbloqueio de estao de trabalho: Ser necessrio fornecer informaes de logon para desbloquear um computador bloqueado. Para contas de domnio, esta configurao determina se ser necessrio contatar um controlador de domnio para desbloquear um computador. Se a configurao estiver desativada, um usurio poder desbloquear o computador usando credenciais armazenadas em cache. Se a configurao estiver ativada, um controlador de domnio precisar autenticar a conta do domnio que est sendo usada para desbloquear o computador. O padro : Desativado. 1.15) Desligamento: permitir que o sistema seja encerrado sem a necessidade de fazer logon: Determina se um computador pode ser desligado sem que haja a necessidade de fazer logon no Windows. Quando esta diretiva est ativada, o comando Desligar fica disponvel na tela de logon do Windows. Quando a diretiva est desativada, a opo para desligar o computador no exibida na tela de logon do Windows. Nesse caso, os usurios precisam poder fazer logon no computador com xito e ter o direito de usurio Desligar o sistema para poderem desligar o sistema. Padro: Ativado em estaes de trabalho. Desativado em servidores.

As demais diretivas no so muito utilizadas e sero descritas no curso Avanado de Segurana no Windows XP.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 164 de 290

Segurana no Windows XP Professional - Bsico Configurando Diretivas de Conta Exemplo Prtico Vamos fazer um exemplo prtico de configurao de diretivas de contas. Para este exemplo utilizaremos o console Diretiva de segurana local, o qual acessado utilizando a opo Ferramentas administrativas do Painel de controle. Definiremos as seguintes diretivas de contas: Diretivas de senha: A senha deve satisfazer requisitos de complexidade: Desativada Aplicar histrico de senhas: Ativada, guardar no histrico as 3 ltimas senhas, ou seja, ao alterar a senha o usurio no poder utilizar uma das trs ltimas. Armazenar senhas usando criptografia reversvel para todos usurios no domnio: Desativada. Comprimento mnimo de senha: Ativada, definir um comprimento mnimo de 4 caracteres. Tempo de vida mximo da senha: Ativada, vamos definir em 30 dias. Tempo de vida mnimo da senha: Ativada, vamos definir em 15 dias, ou seja, aps trocar a senha, o usurio somente poder troc-la novamente dentro de 15 dias.

Diretivas de bloqueio de conta: Durao do bloqueio de conta: Ativada, com valor 0. Significa que a conta ficar bloqueada at que um Administrador a desbloqueie. Limite de bloqueio de conta: Ativado, com valor 3. Aps trs tentativas de logon sem sucesso, dentro do perodo definido pela diretiva Zerar contador de bloqueios de conta aps, a conta ser bloqueada. Zerar contador de bloqueios de conta aps: Ativada, com um valor de 1440 minutos (24 horas). Ou seja, devem ser feitas 3 tentativas de logon sem sucesso, dentro de 24 horas, para que a conta seja bloqueada.

Para configurar as diretivas com os valores solicitados, siga os passos indicados a seguir: 1. Faa o logon como Administrador. 2. Abra o Painel de controle. 3. Abra a opo Ferramentas administrativas. 4. Abra o console Configuraes locais de segurana. 5. Se a opo Diretivas de conta no estiver aberta d um clique no sinal de + ao lado dela para abri-la. 6. D um clique na opo Diretivas de senha. No painel da direita so exibidas todas as diretivas deste grupo. Observe os valores padro, definidos durante a instalao do Windows XP, conforme indicado na Figura a seguir:

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 165 de 290

Segurana no Windows XP Professional - Bsico

Figura - Valores padro para as Diretivas de senha. 7. Certifique-se de que a diretiva A senha deve satisfazer a requisitos de complexidade esteja desativada. Ao lado do nome da diretiva exibido a configurao atual da diretiva. Dica: Caso voc esteja em dvidas sobre o que significa uma determinada diretiva, d um clique com o boto direito do mouse na diretiva e, no menu de opes que exibido, d um clique na opo Ajuda. Ser apresentada uma descrio detalhada sobre o significado e o uso da diretiva. 8. D um clique duplo na diretiva Aplicar histrico de senhas. Na janela que aberta, altere o valor de 0 para 3. D um clique no boto OK e observe que a nova configurao j exibida ao lado do nome da diretiva. 9. Certifique-se de que a diretiva Armazenar senhas usando criptografia reversvel para todos usurios no domnio esteja desativada. 10. D um clique duplo na diretiva Comprimento mnimo de senha. Na janela que aberta, altere o valor de 0 para 4. D um clique no boto OK e observe que a nova configurao j exibida ao lado do nome da diretiva. 11. D um clique duplo na diretiva Tempo de vida mximo da senha. Na janela que aberta, altere o valor de 42 para 30. D um clique no boto OK e observe que a nova configurao j exibida ao lado do nome da diretiva. 12. D um clique duplo na diretiva Tempo de vida mnimo da senha. Na janela que aberta, altere o valor de 0 para 15 dias. D um clique no boto OK e observe que a nova configurao j exibida ao lado do nome da diretiva. Sua janela deve estar conforme indicado na Figura a seguir: Com isso alteramos as diretivas de senha. O prximo passo proposto a configurao das Diretivas de bloqueio de senha. Vamos l.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 166 de 290

Segurana no Windows XP Professional - Bsico

Figura - Diretivas de senha j alteradas. 13. D um clique na opo Diretiva de bloqueio de conta, que est dentro da categoria Diretivas de conta, no painel da esquerda. No painel da direita sero exibidas todas as diretivas deste grupo. Observe que as diretivas Durao do bloqueio da conta e Zerar contador de bloqueio de contas aps, esto com o status No aplicvel. Se voc der um clique duplo em uma destas diretivas, no conseguir definir um valor para elas. Isto acontece porque estas diretivas somente podem ser configuradas depois que voc definir a diretiva Limite de bloqueio de conta, com um valor diferente de 0. Por isso esta a primeira diretiva de bloqueio de senha que temos que alterar. 14. D um clique duplo na diretiva Limite de bloqueio de conta. Na janela que aberta, altere o valor de 0 para 3. D um clique no boto OK. Ser exibida a janela Alterao de valores sugeridas, conforme indicado na Figura a seguir. Nesta janela est sendo sugerida uma alterao nas diretivas Durao de bloqueio de conta e Zerar contador de bloqueios de conta aps. Esta janela exibida devido a interdependncia que existe entre as diretivas de bloqueio de conta.

Figura - A janela Alteraes de valor sugeridas.


Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 167 de 290

Segurana no Windows XP Professional - Bsico 15. Vamos aceitar os valores sugeridos, depois vamos alter-los de acordo com a proposta do exerccio. D um clique no boto OK. A janela Alteraes de valor sugeridas ser fechada. Voc estar de volta ao console Configuraes locais de segurana. Observe que os novos valores j so exibidos ao lado das diretivas. Agora vamos alter-las de acordo com a proposta do exerccio. 16. D um clique duplo na diretiva Durao de bloqueio de conta. Na janela que aberta, altere o valor de 30 para 0. D um clique no boto OK e observe que a nova configurao j exibida ao lado do nome da diretiva. Com o valor 0, a conta permanecer bloqueada at que um Administrador a desbloqueie. 18. D um clique duplo na diretiva Zerar contador de bloqueios de conta aps. Na janela que aberta, altere o valor de 30 para 1440 minutos (24 horas). D um clique no boto OK e observe que a nova configurao j exibida ao lado do nome da diretiva. Sua janela deve estar conforme indicado na Figura a seguir:

Figura - Diretivas de bloqueio de senha j alteradas. 19. Feche o console Configuraes locais de segurana.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 168 de 290

Segurana no Windows XP Professional - Bsico Group Police Objects GPOs Introduo O recurso de Group Policy Objects (GPO) de enorme utilidade para o administrador da rede. Com o uso de GPOs o administrador pode definir as configuraes de vrios elementos da estao de trabalho do usurio, como por exemplo os programas que estaro disponveis, os atalhos do menu Iniciar que estaro disponveis, configuraes de Internet, de rede e assim por diante. Por exemplo, o administrador pode configurar, via GPO, quais grupos de usurios devero ter acesso ao menu Executar e quais no tero, pode configurar a pgina inicial do Internet Explorer para um grupo de usurios ou para toda a empresa, pode fazer configuraes de Proxy e por a vai. So milhares (literalmente milhares) de opes de configuraes que esto disponveis via GPO. As configuraes feitas via GPO so aplicadas para usurios, computadores, member servers e DCs, mas somente para computadores executando Windows 2000 (Server ou Professional), Windows XP Professional (uma vez que um computador com o Windows XP Home no pode ser configurado para fazer parte de um domnio) ou Windows Server 2003. Para verses mais antigas do Windows, tais como Windows 95/98/Me e NT 4.0, o recurso de GPO no aplicado. Vou iniciar este tpico com a fundamentao terica necessria para que voc entenda exatamente o que o recurso de GPO, como ele se aplica em um domnio, em que nveis ele pode ser configurado e quais as opes que o administrador tem para garantir que as configuraes definidas via GPO, sejam aplicadas nas estaes de trabalho dos usurios. Em seguida passarei as aes prticas relacionadas com GPO. Desde a alterao da GPO padro do domnio, passando pela criao de novas polticas de segurana e aplicaes destas polticas em diferentes nveis, dentro do domnio. IMPORTANTE: O TPICO SOBRE GPOS S IMPORTANTE PARA COMPUTADORES QUE FAZEM PARTE DE UM REDE BASEADA NO ACTIVE DIRECTORY E EM SERVIDORES COM O WINDOWS 2000 SERVER OU WINDOWS SERVER 2003. SE O SEU COMPUTADOR NO EST EM REDE OU EST EM UMA PEQUENA REDE RESIDENCIAL OU DE UM PEQUENO ESCRITRIO, NO PRECISA ACOMPANHAR ESTE TPICO, POIS AS GPOS NO SE APLICAM A ESTAS PEQUENAS REDES. Group Policy Objects Fundamentao Terica Quem j trabalhou na administrao de uma rede baseada no Windows sabe o quanto trabalhoso (e com um custo elevado), manter a configurao de milhares de estaes de trabalho rodando diversas verses do Windows. Existem diversas questes/problemas que tem que ser enfrentados: Como definir configuraes de maneira centralizada, para que seja possvel padronizar as configuraes das estaes de trabalho?

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 169 de 290

Segurana no Windows XP Professional - Bsico Como impedir que os usurios possa alterar as configuraes do Windows (diversas verses), muitas vezes inclusive causando problemas no Windows, o que faz com que seja necessrio um chamado equipe de suporte, para colocar a estao de trabalho novamente em funcionamento? Como aplicar configuraes de segurana e bloquear opes que no devam estar disponveis para os usurios de uma maneira centralizada, sem ter que fazer estas configuraes em cada estao de trabalho. Quando houver alteraes, eu gostaria de poder faz-las em um nico local e ter estas alteraes aplicadas em toda a rede ou em partes especficas da rede. Como fazer a instalao e distribuio de software de uma maneira centralizada, sem ter que fazer a instalao em cada estao de trabalho da rede. Como definir um conjunto de aplicaes diferente, para diferentes grupos de usurios, de acordo com as necessidades especficas de cada grupo. Como aplicar diferentes configuraes aos computadores de diferentes grupos de usurios, de acordo com as necessidades especficas de cada grupo.

A primeira tentativa de responder a estas necessidades, recorrentemente levantadas pelos administradores de redes baseadas no Windows foi a introduo das chamadas Polices e do Police Editor, juntamente com o Windows NT 4.0. Com o uso das Polices era possvel definir uma srie de configuraes, as quais eram aplicadas registry da estao de trabalho do usurio quando ele fizesse o logon no domnio. Por exemplo, era possvel utilizar as Polices para impedir que um usurio do Windows 95/98/Me pressionasse a tecla ESC para cancelar a tela de logon e ter acesso ao Windows sem fazer o logon no domnio. Eu digo uma primeira tentativa, porque o uso de Polices no passou muito disso, uma tentativa, uma vez que muitas das demandas no foram atendidas por este recurso. J com o lanamento do Windows 2000 Server e com a introduo do recurso de GPOs, o administrador tem um recurso realmente poderoso, capaz de atender todas as demandas descritas anteriormente. importante salientar que as GPOs somente so aplicadas a computadores com o Windows 2000, Windows XP ou Windows Server 2003. Estaes de trabalho que ainda estejam com verses mais antigas do Windows, tais como Windows 95, Windows 98, Windows Me ou Windows NT 4.0, tero como nico recurso de configurao o uso de Polices e do Police Editor. O recurso de GPOs no aplicado a estas verses mais antigas. Ento em uma rede, onde voc tem estaes de trabalho com as novas verses do Windows (2000, XP e 2003) e estaes de trabalho com verses mais antigas (95, 98, Me e NT 4.0), voc ter que utilizar os dois recursos. Polices para as verses mais antigas do Windows, sempre levando em considerao as limitaes deste recurso, em comparao com o uso de GPOs e usar GPOs para as estaes de trabalho com verses mais novas do Windows. As GPOs incluem configuraes que so aplicadas a nvel de usurio (ou seja, em qualquer estao de trabalho que o usurio faa o logon, as polticas associadas a sua conta de usurio sero aplicadas) e a nvel de computador (ou seja, qualquer usurio que faa o logon no
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 170 de 290

Segurana no Windows XP Professional - Bsico computador ter as polticas de computador aplicadas). Por exemplo, se o administrador definiu uma poltica de usurio para o grupo do usurio jsilva, de tal maneira que o menu Executar no deva estar disponvel para este grupo. Em qualquer estao de trabalho que o jsilva fizer o logon, o menu Executar no estar disponvel. Agora imagine que o administrador configurou uma poltica de computador, para o grupo de computadores da seo de contabilidade, definindo que o menu Executar no deve estar disponvel nestes computadores. Qualquer usurio, de qualquer grupo, que faa o logon em qualquer um dos computadores da seo de contabilidade, no ter disponvel o menu Executar, independentemente dos grupos aos quais pertena a conta do usurio, uma vez que a poltica est sendo aplicada ao computador (independentemente do usurio que esteja utilizando-o). Mas enfim, o que as GPOs podem fazer: Gerenciar centralizadamente, configuraes definidas na registry do Windows, com base em templates de administrao (Administrative Templates). As GPOs criam arquivos com definies da registry. Estes arquivos so carregados e aplicados na estao de trabalho do usurio, nas partes referentes a configurao de Usurios e configurao de Computador da registry. As configuraes de usurio so carregadas na opo HKEY_CURRENT_USER (HKCU), da registry (No Captulo 12 falarei um pouco mais sobre a Registry do Windows Server 2003). As configuraes de computador so carregadas na opo HKEY_LOCAL_MACHINE (HKLM), da registry. A idia relativamente simples. Ao invs de ter que configurar estas opes em cada estao de trabalho, o administrador cria elas centralizadamente, usando GPOs. Durante o logon, o Windows aplica as configuraes definidas na GPO. Atribuio de scripts: Com o uso de GPOs o administrador pode configurar um script para ser executando na inicializao e tambm no desligamento do Windows. Tambm podem ser definidos scripts de log on e log off. Redireo de pastas: O administrador pode configurar uma GPO para que pastas tais como Meus documentos e Minhas imagens sejam redirecionadas para uma pasta compartilhada em um servidor. Com isso os dados do usurio passam a estar disponveis no servidor e podero ser acessados de qualquer estao de trabalho da rede, na qual o usurio faa o logon. Alm disso, com os dados no servidor, possvel criar e implementar uma poltica de backup centralizada. Gerenciamento de software: Com o uso de GPO o administrador pode fazer a instalao de aplicaes de uma maneira centralizada. possvel associar uma aplicao com um grupo de usurios. Quando o usurio fizer o logon, o cone da aplicao j exibido no menu Iniciar. Quando ele clicar neste cone a aplicao ser instalada a partir de um servidor da rede,cujo caminho foi configurado vai GPO. Tambm possvel publicar aplicaes. Neste caso, ao fazer o logon, o usurio tem que acessar a opo Adicionar ou remover programas, do Painel de controle e solicitar que a aplicao seja instalada. Definir configuraes de segurana.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 171 de 290

Segurana no Windows XP Professional - Bsico Para computadores executando o Windows 2000, Windows XP Professional ou Windows Server 2003, existe uma GPO localmente nestes computadores. Esta GPO pode ser utilizada para configurar uma srie de opes do ambiente de trabalho do usurio. As configuraes definidas na GPO local somente se aplicam ao computador onde as configuraes esto sendo definidas. Algumas funcionalidades tais como distribuio de software e redireo de pastas no esto disponveis na GPO local, somente em GPOs aplicadas no Active Directory, conforme descrito logo a seguir. A GPO local somente deve ser utilizada quando houver necessidade de uma configurao especfica em um determinado computador. As configuraes que se aplicam a grupos de computadores e usurios devem ser configuradas via GPOs aplicadas no Active Directory, j que isso facilita a configurao e atualizao das configuraes de uma maneira centralizada. Nota: A GPO local gravada, por padro, na seguinte pasta: %systemroot\System32\Grouppolicy, onde %systemroot representa a pasta onde o Windows est instalado. Alm da GPO local, podem ser aplicadas GPOs definidas no Active Directory, para aplicao nos computadores que fazem parte de um domnio. Pode inclusive acontecer de haver conflitos de configuraes entre a GPO local e uma ou mais GPOs do domnio. Neste caso existem configuraes (que voc aprender mais adiante), que definem, em caso de conflito, se deve ser aplicada a definio da GPO local ou a definio da GPO do domnio. Existe uma GPO padro para o domnio. Configuraes feitas nesta GPO sero aplicadas a todos os usurios e computadores do domnio. Configuraes gerais, que devam ser aplicadas a todos os objetos do domnio, devem ser definidas nesta GPO. Importante: Outra GPO que existe por padro uma GPO associada com a OU Domain Controllers (Controladores de domnio). Esta GPO aplicado somente aos DCs do domnio. Embora seja possvel mover a conta de um DC para outra unidade organizacional, este no um procedimento recomendado. Ao mover a conta de um DC da unidade organizacional Domain Controllers para outra unidade organizacional, a GPO padro para os DCs deixar de ser aplicado ao DC que foi movido, pois esta GPO est ligada a unidade organizacional Domain Controllers. Por exemplo, se voc precisa habilitar a auditoria das tentativas de logon com e sem sucesso, mais indicado que voc habilite a diretiva na GPO associado a OU Domain Controllers, pois todo evento de autenticao gerado em um DC do domnio. Polticas de usurios e polticas de computador As polticas de usurios, isto , polticas associadas a conta do usurio ou a um grupo ao qual o usurio pertence, so configuradas na opo Configurao de usurio, do console de administrao de GPOs (o qual voc aprender a utilizar mais adiante, neste mdulo) e so aplicadas quando o usurio faz o logon. Polticas de computador so configuradas atravs da opo Configuraes de computador, do console de administrao das GPOs e so aplicadas quando o computador e inicializado. Existe tambm um intervalo de atualizao, dentro do qual as polticas so reaplicados e quaisquer mudanas que tenham sido feitas pelo administrador da rede, sero aplicadas aos usurios e computadores.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 172 de 290

Segurana no Windows XP Professional - Bsico Importante: No Windows 2000 havia o comando Secedit, o qual era utilizado para forar uma atualizao de polticas, com a reaplicao das GPOs em ume estao de trabalho. Este comando no existe mais no Windows Server 2003. No Windows Server 2003, o comando para atualizao das polticas o comando Gpupdate. As polticas definidas no Active Directory so aplicadas somente a objetos do tipo usurio e computador. Por questes de desempenho, as polticas no podem ser configuradas para objetos do tipo Grupos. Porm possvel utilizar o mecanismo de permisses de acesso das GPOs, para limitar a aplicao de uma GPO somente a um ou mais grupos de usurios e computadores. possvel criar objetos do tipo GPO e associ-los a diferentes elementos do Active Directory. Um objeto do tipo GPO pode ser criado e associado com o domnio, com uma unidade organizacional ou com um site. Alm da GPO que pode ser criada localmente em cada computador com o Windows 2000, Windows XP Professional ou Windows Server 2003, conforme descrito anteriormente. Nota: Para uma descrio completa de todos os elementos e da estrutura do Active Directory, consulte o Mdulo 2 de um dos seguintes Manuais, de minha autoria:
Manual de Estudos Para o Exame 70-290: http://www.juliobattisti.com.br/cursos/70290 Manual de Estudos Para o Exame 70-271: http://www.juliobattisti.com.br/cursos/70271

As GPOs so aplicadas em uma ordem especfica, caso esteja definida mais de uma GPO para o usurio que estiver fazendo o logon ou para o computador que est sendo inicializado. Por exemplo, quando o usurio faz o logon, so aplicadas a GPO do domnio e mais (se houver), a GPO da unidade organizacional a qual pertence a sua conta e a GPO local da estao de trabalho que ele est utilizando. A ordem de aplicao das GPOs a seguinte: A GPO local. GPO definida para o site ao qual pertence o computador. GPOs do domnio GPOs definidas a nvel de unidade organizacional, da OU pai para a OU filho. Por exemplo, se foi criada uma OU Diviso Sul e, dentro desta OU as divises: Finanas, Contabilidade e Vendas e a conta do usurio jsivla est na OU Vendas. Primeiro ser aplicada a GPO da OU Diviso Sul e depois a GPO da OU Vendas.

Por padro, as polticas aplicadas por ltimo, tem precedncia sobre as polticas aplicadas anteriormente. Por exemplo, a GOP de domnio aplicada. Em seguida vem a GPO definida na Unidade Organizacional. Se houver um conflito entre a GPO de domnio e a GPO da unidade organizacional, ir prevalecer a configurao definida na GPO da unidade organizacional (aplicada por ltimo). O administrador pode configurar a GPO de domnio (ou outras GPOs em qualquer nvel), para que suas configuraes no possam ser sobrescritas (substitudas) pelas configuraes de GPOs de nvel mais baixo, em caso de conflito. Por exemplo, o administrador pode definir na GPO de domnio, que nenhum usurio ter acesso ao menu Executar e marcar a GPO onde est esta configurao com a opo No override (No sobrescrever). Com isso, mesmo que exista um GPO em uma unidade organizacional, permitindo o uso do comando Executar, esta configurao no ser aplicada, uma vez que a
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 173 de 290

Segurana no Windows XP Professional - Bsico GPO do domnio no permite que sejam alteradas suas configuraes em caso de conflito. Este mecanismo uma maneira que o administrador tem, de garantir que determinadas configuraes sejam aplicadas em todo o domnio, independentemente das configuraes que so efetuadas em nvel de unidade organizacional. Novidades nas GPOs Windows Server 2003 O Windows Server 2003 aprimorou o mecanismo de GPOs do Windows 2000 Server e introduziu novas funcionalidades, que facilitam ainda mais o trabalho do administrador. A seguir apresento uma lista das novidades introduzidas pelo Windows Server 2003, em relao ao recurso de Group Policy Objects: Templates de administrao (Administrative templates): Foram introduzidas 220 novas opes de configurao via GPO, em relao as configuraes existentes. Tambm foram criados arquivos de Ajuda com a descrio completa de todas as configuraes disponveis em cada um dos templates. Na Figura a seguir, exibido o arquivo de ajuda, no qual esto descritas todas as opes de configurao do template Ineteres.adm, o qual contm as opes de configurao do Internet Explorer. O arquivo de ajuda apresenta uma descrio detalhada de todas as opes de configurao disponveis.

Figura - O arquivo de ajuda do template de configurao do Internet Explorer via GPO. Novos comandos: O comando gpupate utilizado para atualizar as polices aplicadas ao computador ou ao usurio logado e substitui o comando secedit /refreshpolicy, utilizado no Windows 2000 Server. O comando gpresult (disponibilizado no Resource

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 174 de 290

Segurana no Windows XP Professional - Bsico Kit do Windows 2000 Server) foi aprimorado e agora est disponvel com o Windows XP Professional, Windows XP edio de 64 bits e em todas as edies do Windows Server 2003. Redireo de pastas: Ficou mais fcil fazer a redireo de pastas, usando GPOs. Agora o administrador no precisa mais utilizar variveis de ambiente tais como %username%, como parte do caminho de redireo. Existe uma nova opo para redirecionar a pasta Meus documentos para o diretrio home do usurio (para detalhes sobre o diretrio home, consulte o tpico sobre User profile, no Captulo 4). Esta opo para uso em ambientes onde o mecanismo de roaming profiles e diretrio home j est implementado. Instalao de software: Existem novas opes que permitem que sejam habilitada ou desabilitada a disponibilidade de aplicaes de 32 bits, em computadores rodando verses de 64 bits do Windows (Windows XP edio de 64 bits ou Windows Server 2003 edio de 64 bits). Tambm existe uma nova opo para habilitar/desabilitar a publicao de informaes sobre as classes OLE de um pacote de software. Mas a novidade que eu achei mais interessante, mais til para o administrador a opo para forar que uma aplicao que foi associada com o usurio, seja automaticamente instalada, antes mesmo de o usurio ter clicado no cone da aplicao. Ou seja, quando o usurio clicar no cone da aplicao ele j ter sido instalada e no ser necessria a instalao atravs da rede. Resultant Set of Policy (Conjunto resultante de polticas) - RSoP: E de todas as novidades, sem dvidas, esta a mais til. Esta uma nova ferramenta, a qual facilita a resoluo de problemas relacionados s polticas de segurana. Com esta ferramenta o administrador pode ter uma descrio detalhada do conjunto efetivo de polticas que est sendo aplicado a um usurio e poder corrigir erros existentes. Suporte entre florestas: Com o Windows Server 2003 possvel gerenciar e aplicar polticas para objetos e usurios localizados em florestas remotas, as quais mantenham relaes de confiana com a floresta na qual voc trabalha. Esta novidade conseqncia do mecanismo de relao de confiana entre florestas, o qual tambm uma novidade do Windows Server 2003. Com este mecanismo tambm possvel usar a ferramenta RsoP em florestas remotas.

Entendendo como feito o processamento e aplicao das GPOs Este um item que eu considero de fundamental importncia para o administrador. Configurar as GPOs, conforme voc ver mais adiante, relativamente simples, com o uso do console de administrao das GPOs. Porm, mais do que saber configurar as GPOs, o administrador precisa entender exatamente como as GPOs so processadas e aplicadas s estaes de trabalho e aos usurios. Com este entendimento, o administrador tem condies de planejar as polticas a serem implementadas e tambm de resolver problemas relacionados a aplicao das GPOs. Por isso fundamental que o administrador entenda, exatamente, como feito o processamento e aplicao das GPOs.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 175 de 290

Segurana no Windows XP Professional - Bsico No NT Server 4.0 as configuraes de Polices so armazenadas em um arquivo com a extenso .pol, arquivo este que gravado no compartilhamento NETLOGON do PDC e de todos os BDCs do domnio. Para clientes Windows 9x/Me o arquivo deve ter o nome config.pol e para clientes com o NT 4.0, o arquivo deve ter o nome ntconfig.pol. As configuraes definidas neste arquivo so carregadas durante o logon e aplicadas registry da estao de trabalho do usurio. As configuraes de usurio so carregadas na opo HKEY_CURRENT_USER (HKCU), da registry. As configuraes de computador so carregadas na opo HKEY_LOCAL_MACHINE (HKLM), da registry. J no Windows Server 2003 o processamento das GPOs segue caminhos bem diferentes, os quais sero descritos neste item. No NT Server 4.0 um nico conjunto de polticas aplicado ao usurio/computador, conjunto este que definido no arquivo .POL, carregado quando o computador inicializado e o usurio faz o logon. J no Windows Server 2003 (e tambm no Windows 2000 Server), mais de um conjunto de polticas pode ser aplicado ao mesmo usurio/computador. Por exemplo, imagine o usurio jsilva, do domnio abc.com, cuja conta est na OU Vendas, dentro da OU RegioSul. Para este usurio, ser aplicada a GPO local, mais a GPO do domnio (uma ou mais GPOs que estiverem definidas no domnio abc.com), mais o conjunto de GPOs definidas para a OU RegioSul e mais o conjunto de GPOs definidas para a OU Vendas As configuraes das GPOs so armazenadas em uma estrutura de pastas e arquivos dos DCs do domnio. Estas informaes so gravadas na pasta SYSVOL e so replicadas para todos os DCs do domnio. Na Figura a seguir apresento uma viso geral da pasta onde ficam gravadas as informaes sobre as GPOs do domnio abc.com (C:\WINDOWS\SYSVOL\sysvol\abc.com\Policies), onde o Windows Server 2003 est instalado na pasta Windows, no drive C:

Figura - A pasta com informaes das GPOs.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 176 de 290

Segurana no Windows XP Professional - Bsico Cada pasta representa uma determinada GPO. Ao abrir uma destas pastas, ser exibido o seguinte contedo: Pasta Adm: Contm os arquivos com os templates administrativos.] Pasta Scripts: Se houver scripts definidos neste template, esta pasta conter os scripts e arquivos relacionados. Pasta MACHINE: Contm as configuraes que se aplicam a computadores. Esta pasta contm um arquivo chamado Registry.pol, o qual contm as configuraes de registry que sero aplicadas ao computador durante a inicializao (veja os passos de aplicao das polices durante a inicializao do computador, mais adiante). Quando o computador inicializado, feito o download do arquivo Registry.pol e so aplicadas as configuraes definidas neste arquivo. As configuraes so aplicadas na opo HKEY_LOCAL_MACHINE, da registry. Pasta USER: Contm as configurao que se aplicam a usurios. Esta pasta contm um arquivo chamado Registry.pol, o qual contm as configuraes de registry que sero aplicadas ao usurio quando este fizer o logon (veja os passos de aplicao das polices durante a inicializao do computador, mais adiante). Quando o computador inicializado, feito o download do arquivo Registry.pol e so aplicadas as configuraes definidas neste arquivo. As configuraes so aplicadas na opo HKEY_CURRENT_USER, da registry Arquivo GPT.INI: Informaes sobre a verso da GPO. Utilizada pelo servio de replicao.

Abra uma destas pastas, por exemplo a pasta Adm. Sero exibidos os templates administrativos disponveis, conforme exemplo da Figura a seguir:

Figura - Templates administrativos.


Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 177 de 290

Segurana no Windows XP Professional - Bsico Em resumo: As informaes sobre as GPOs so gravadas em uma estrutura de pastas e arquivos, dentro da pasta SYSVOL. Esta estrutura replicada para todos os DCs do domnio. As informaes gravadas na pasta SYSVOL so os chamados modelos de GPOs, oficialmente conhecidos como Group Policy Template (GPT). O template que define quais opes de configurao estaro disponveis, para serem configuradas via GPO. Por exemplo, o template de GPO para usurios define quais opes de usurios podero ser configuradas via GPO. Quando uma nova GPO criada, o Windows Server 2003 cria a GPO com base nos templates da pasta Sysvol. A nova GPO que criada e as configuraes nela definidas so armazenadas no Active Directory. Esta GPO conhecida como GPC Group Policy Container. Ou seja, uma GPO criada com base em um modelo (GPT, armazenado na pasta SYSVOL). O modelo define quais opes de configurao estaro disponveis. Aps criada e configurada, a GPO salva na base de dados do Active Directory, quando conhecida como GPC Group Policy Container. Estas definies muitas vezes se confundem. Nos exemplos prticos, quando voc aprender a criar e a configurar as polticas, usarei sempre o termo genrico GPO. Toda GPO dividida em duas partes tambm conhecidas como sees: Seo do usurio. Seo do computador.

Conforme o prprio nome sugere, estas sees contm as configuraes especficas aplicadas a usurios ou computadores especificamente. Quando um computador com o Windows 2000, Windows XP Professional ou Windows Server 2003, pertencente ao domnio inicializado, o Windows verifica se existem novas GPOs ou alteraes nas GPOs existentes e aplica as configuraes definidas na seo do computador (independentemente de algum usurio ter feito o logon ou no). Quando o usurio faz o logon no domnio (em qualquer computador da rede com uma das verses do Windows descritas no incio do pargrafo), o Windows verifica se existem GPOs a serem aplicadas a este usurio ou alteraes nas GPOs j aplicadas e aplica as configuraes definidas na seo de usurio destas GPOs. Estas informaes, ficam gravadas no Active Directory. Conforme descrito anteriormente (estou insistindo neste ponto porque ele muito importante), uma GPO criada com base nos modelos armazenados na pasta Sysvol (GPT- Group Policy Templates). Uma vez criada e configurada, a GPO salva no Active Directory (tornando-se uma GPC Group Policy Container). Quando um usurio faz o logon o Windows Server 2003 verifica no Active Directory se existem GPCs a serem aplicadas para o usurio. Quando um computador inicializado, o Windows Server 2003 verifica no Active Directory, se existem GPCs a serem aplicadas ao computador. isso. Detalhando a ordem de processamento das GPOs As GPOs so processadas na seguinte seqncia: 1. GPO Local: Cada computador com o Windows 2000, Windows XP Professional ou Windows Server 2003, possui uma GPO local, a qual aplicada em primeiro lugar, antes das demais GPOs que possam estar disponveis. 2. GPO associada ao site do qual faz parte o computador que est sendo inicializado. Lembre, que um site definido por uma ou mais sub-redes. O Windows Server 2003

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 178 de 290

Segurana no Windows XP Professional - Bsico identifica a qual site pertence um computador, pelas identificao de rede do computador (propriedades do Protocolo TCP/IP). 3. GPOs associadas ao domnio: Em seguida so processadas as GPOs associadas ao domnio, conforme a ordem de execuo definida pelo administrador. 4. GPOs associadas a todas as OUs do caminho. Por exemplo, se um computador pertence a OU Vendas, que est dentro da OU RegioSul, primeiro sero aplicadas as GPOs da OU RegioSul, para depois serem aplicadas as GPOs associadas a OU Vendas. Quando houver mais de uma GPO associada a mesma OU, as GPOs sero aplicadas na seqncia que foi definida pelo administrador. Com esta seqncia, as GPOs aplicadas por ltimo tem preferncia em relao as que so aplicadas anteriormente. Por exemplo, se na GPO do domnio est que o usurio no deve ter acesso ao comando Iniciar -> Executar, porm na GPO da OU do usurio este comando est habilitado, valer a configurao da GPO da OU, ou seja, comando habilitado, uma vez que esta GPO ser aplicada por ltimo. O administrador tem meios para fazer com que uma GPO de nvel mais alto, como por exemplo a GPO de domnio, no tenha suas configuraes sobrescritas por GPOs de nvel mais baixo, aplicadas por ltimo, como uma GPO associada a uma unidade organizacional. Para implementar esta configurao, o administrador marca a opo No Override (No sobrescrever), conforme voc aprender na parte prtica. Algumas excees na ordem de aplicao das GPOs: Qualquer GPO que estiver associada a um site, domnio ou unidade organizacional (a nica exceo a GPO local), poder ser configurada com a opo No Override, de tal maneira que suas configuraes no possam ser sobrescritas pelas GPOs que sero aplicadas depois. Caso duas GPOs, no mesmo caminho, tenham esta opo marcada, valer a configurao da GPO que estiver mais acima na hierarquia de objetos. Por exemplo, se uma GPO de domnio est marcada com a opo No Override e uma GPO de uma unidade organizacional tambm esta marcada com a opo No Override, em caso de conflito nas configuraes destas duas GPOs, valer a configurao da GPO de domnio, que a que est mais acima na hierarquia de objetos do Active Directory.

Importante: Deve ser observado que a propriedade No Override uma propriedade da ligao da GPO com o domnio, site ou unidade organizacional. Esta no uma propriedade da GPO propriamente dita. Uma GPO poder ser associada em diferentes locais no Active Directory. Por exemplo posso associar uma determinada GPO com o domnio e tambm com uma ou mais unidades organizacionais do domnio. Em uma das associaes posso habilitar a opo No Override, em outras no e assim por diante. Lembre (principalmente para os exames de certificao do MCSE 2003): A propriedade No Override uma propriedade da ligao (objeto do tipo link) entre uma GPO e um domnio, site ou unidade organizacional e no uma propriedade da GPO propriamente dita. Importante: Computadores que no faam parte do domnio, como por exemplo computadores configurados para fazer parte de um Workgroup, iro processar e aplicar apenas a GPO local, uma vez que todas as demais GPOs so carregadas a partir do Active Directory. Como o computador no faz parte do domnio, ele no tem acesso ao Active Directory.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 179 de 290

Segurana no Windows XP Professional - Bsico Ordem de eventos quando o computador inicializado e o usurio faz o logon Neste item descrevo a ordem de eventos que ocorrem quando um comutador inicializado e quando o usurio faz o logon.. Considerando um computador que pertence ao domnio e possui o Windows 2000, Windows XP Professional ou Windows Server 2003, instalado, 1. O computador ligado, o Windows inicializado e os servios de rede so carregados.

2. Uma lista ordenada de objetos do tipo GPO obtida pela computador. A maneira como esta lista obtida, depende dos seguintes fatores: 2.1. O computador deve fazer parte do domnio e obter esta lista a partir das informaes do Active Directory. Se o computador no fizer parte do domnio, apenas a GPO local ser aplicada. 2.2. A lista depende de onde est contida a conta do computador, no Active Directory. Por exemplo, a unidade organizacional onde encontra-se a conta, definir quais GPOs sero plicadas, as configuraes de rede definem a qual site pertence o computador e quais GPOs de site (se houver alguma), sero aplicadas e assim por diante. 2.3. De a lista de GPOs ter sido alterada desde a ltima inicializao. Se a lista de GPOs no foi alterada, nenhum processamento ser feito. 3. As configuraes relativas a computador sero aplicadas, a partir da lista de GPOs obtidas. As GPOs so aplicadas na ordem descrita anteriormente: local, site, domnio e unidade organizacional. 4. Se houver um script de inicialiao configurado ele ser executado. Pode haver mais de um script de inicialiao configurado. Neste caso eles sero executados na ordem em que foram definidos e de maneira sncrona, ou seja, um script executado e somente que ele concluir a sua execuo, o prximo ser executado e assim por diante. Existem tambm um tempo mximo de execuo para cada script, que por padro de 600 segundos. Se o script no terminar a sua execuo neste tempo, ele ser encerrado e o prximo script (se houver) ser inicializado. 5. Aps terem sido feitos estes processamentos, a tela de logon exibida. O usurio pressiona CTRL-ALT-DEL para fazer o logon. 6. O usurio digita as suas informaes de logon e validado por um dos DCs da rede. Aps a validao do usurio, a sua profile carregada. 7. Uma lista ordenada de objetos do tipo GPO obtida pela usurio. A maneira como esta lista obtida, depende dos seguintes fatores: 7.1. Se o usurio est fazendo o logon no domnio e, portanto, recebendo a lista de GPOs a serem aplicadas a partir do Active Directory.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 180 de 290

Segurana no Windows XP Professional - Bsico 7.2. Se o recurso de Loopback est habilitado e, estando habilitado, qual opo est definida (Merge ou Replace). 7.3. A lista depende de onde est contida a conta do usurio, no Active Directory. Por exemplo, a unidade organizacional onde encontra-se a conta, definir quais GPOs sero plicadas. 7.4. De a lista de GPOs ter sido alterada desde a ltima inicializao. Se a lista de GPOs no foi alterada, nenhum processamento ser feito. Este comportamento pode ser alterado. 8. As configuraes relativas ao usurio sero aplicadas, a partir da lista de GPOs obtidas. As GPOs so aplicadas na ordem descrita anteriormente: local, site, domnio e unidade organizacional. 9. O script de logon definidos nas GPOs sero executados. Estes scripts so executados sem que seja exibida uma tela de execuo dos scripts e de maneira sncrona, ou seja, um aps o outro, conforme descrito para a execuo de scripts de inicializao. O script de logon, definido nas propriedades da conta do usurio, no Active Directory, ser executado aps a execuo dos scripts definidos via GPOs. Este script executado e uma janela do prompt de comando exibida. Observe que podem ser executados vrios scripts de logon, em seqncia, sendo que estes scripts so definidos nas GPOs que se aplicam ao usurio e o ltimo script a ser executado o script de logon definido nas propriedades da conta do usurio, no Active Directory. 10. A rea de trabalho do usurio carregada e o Windows est pronto para ser utilizado. Alguns casos especiais em relao a execuo das polices: Pode acontecer uma situao em que o usurio est fazendo o logon em um computador que pertence a um domnio do NT Server 4.0, porm fazendo o logon em um domnio baseado no Windows Server 2003 (sendo que existem relaes de confiana entre os domnios). Neste caso, para as configuraes de computador sero aplicadas as configuraes definidas no sistema de Polices do NT 4.0 e para o usurio, ser aplicada a parte relativa as configuraes de usurio, das GPOs definidas no domnio de origem do usurio. Pode ocorrer o contrrio, ou seja, a conta de computador ser de um domnio do Windows Server 2003 e a conta do usurio de um domnio do NT Server 4.0. Neste caso sero aplicadas as configuraes de computador, obtidas via GPO e as configuraes de polices definidas para o usurio, no domnio de origem da conta. Se for um computador com o Windows XP Professional ou Windows Server 2003, porm pertencente a um domnio baseado no NT Server 4.0, somente sero aplicadas as polices do NT Server 4.0, j que em um domnio baseado no NT Server 4.0 no existe o conceito de GPO.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 181 de 290

Segurana no Windows XP Professional - Bsico Entendendo como funciona o mecanismo de herana Policy inheritance Por padro, as GPOs so aplicadas a partir do objeto pai (a raiz do domnio), passando pelos objetos filho, at a unidade organizacional onde est a conta do usurio ou do computador. importante salientar este funcionamento dentro de um mesmo domnio, no existe uma herana de GPOs entre domnios. Por exemplo, as GPOs aplicadas em um domnio raiz abc.com, no sero herdadas e aplicadas nos domnios filho, tais como vendas.abc.com e rh.abc.com. Porm dentro do domnio, o funcionamento o padro descrito nos itens anteriores. Se voc associar uma GPO com um determinado elemento do Active Directory (um domnio ou uma unidade organizacional), as configuraes desta GPO tambm sero aplicadas a todos os objetos contidos nos elementos filho. Por exemplo, se voc aplicar uma GPO no domnio, todos os objetos do domnio recebero as configuraes desta GPO. Se voc aplicar uma GPO a uma unidade organizacional, todos os objetos (inclusive objetos contidos em unidades organizacionais dentro da unidade organizacional que est sendo configurada) contidos nesta unidade organizacional recebero estas configuraes. Porm importante lembrar que, ao associar uma GPO com um objeto filho (por exemplo uma unidade organizacional), as configuraes desta GPO iro sobrescrever as configuraes do objeto Pai (por exemplo o domnio), pois so executadas por ltimo, a no ser que o mecanismo de No Override tenha sido habilitado na GPO do objeto Pai. Para entender os conceitos apresentados a seguir, vamos considerar o exemplo de um domnio chamado abc.com, no qual foi criada uma unidade organizacional chamada Sul. Dentro desta unidade organizacional foi criada uma outra unidade organizacional chamada Vendas. Para a discusso que apresentarei a seguir, Sul referenciada como OU pai (em Ingls usado o termo Parent) e Vendas referenciada como OU filho (em Ingls usado o termo child). Se nas configuraes de GPO da OU pai, houver itens que esto marcados como No configurados, a OU filho no ir herdar estes itens no configurados. Lembrando que a maioria das opes pode ser marcada como Enabled (Habilitada), Disabled (Desabilitada) ou Not deffined (No definida). As opes que tiverem o valor padro como desabilitado, tambm sero definidas como desabilitado na OU filho. As opes que estiverem configuradas na OU pai, habilitadas ou desabilitadas (no confundir com aquelas que tem o valor padro como desabilitada) e as respectivas opes no estiverem configuradas na OU filho, sero herdadas pela OU filho, com o mesmo valor definido na OU pai (habilitada ou desabilitada). Se uma determinada opo estiver configurada na OU filho, valer o que est configurado na OU filho, a no ser que a opo No Override tenha sido definida na GPO da OU pai. Se as configuraes definidas na OU pai e as polticas definidas em uma OU filho so compatveis, isso , se no houver conflito, a OU filho ir herdar as definies da OU pai e ir aplic-las normalmente na OU filho. Se houver configuraes definidas na OU pai, as quais so incompatveis com as configuraes definidas na OU filho (por exemplo, uma determinada police est habilitada na GPO da OU pai e desabilitada na police da OU filho), estas configuraes no sero herdadas pela OU filho. Ser aplicada a configurao definida na OU filho.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 182 de 290

Segurana no Windows XP Professional - Bsico Como bloquear a herana (Blocking inheritance): A herana pode ser bloqueada tanto em nvel de domnio quanto em nvel de unidade organizacional. Esta opo configurada nas propriedades do domnio ou da OU respectivamente, conforme voc aprender na parte prtica, mais adiante. Forando a herana (Enforcing inheritance): Para forar a herana, ou seja, para fazer com que os objetos filho, obrigatoriamente, tenham que aplicar as configuraes definidas no objeto pai, voc utiliza a opo No Override (No substituir), j descrita anteriormente e que ser exemplificada na parte prtica. Ao marcar esta opo, voc fora todos os objetos filho a herdarem as configuraes definidas no objeto Pai, mesmo que existam conflitos de configurao e mesmo que a opo Blocking inheritance tenha sido habilitada no objeto filho. Algumas observaes importantes: Polices que foram configuradas com a opo No Override (No substituir) sero aplicadas, independentemente das configuraes existentes nos objetos filho. As opes No Override (No substituir) e Blocking inheritance (Bloquear herana de diretiva) devem ser utilizadas com cautela, pois o uso muito intensivo destes recursos, torna difcil o trabalho de identificar e resolver problemas de configurao, quando no se est obtendo o resultado desejado.

Exemplos prticos de uso das opes No Override (No substituir) e Block Policy inheritance (Bloquear herana de diretiva): Neste tpico vou descrever algumas situaes prticas, onde o uso das configuraes No Override e Block Policy inheritance se aplica. Situao 01: Como administrador do domnio abc.com voc gostaria de implementar um conjunto de configuraes usando GPO. Este conjunto deve ser aplicado a todos os computadores e usurios dos domnios. Essas configuraes no devem ser sobrescritas por GPOs ligadas a objetos filhos, tais como GPOs ligadas a OUs do domnio. Qual a soluo para a situao descrita? Esta uma situao de soluo bastante simples e ao mesmo tempo muito comum. Neste caso, como as configuraes devem ser aplicadas a todos os usurios e computadores do domnio, elas devem ser feitas na GPO padro do domnio, com a qual voc aprender a trabalhar mais adiante. Para que estas configuraes no possam ser sobrescritas por configuraes definidas nas GPOs dos objetos filho, voc deve marcar a opo No Override (No sobrescrever), na guia Diretiva de grupo (boto Opes...) da janela de propriedades do domnio. Este um exemplo tpico (talvez o mais tpico que possa ser imaginado) de onde necessrio a utilizao da propriedade No Override (No sobrescrever).

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 183 de 290

Segurana no Windows XP Professional - Bsico Situao 02: Como administrador do domnio abc.com voc gostaria de implementar um conjunto de configuraes usando GPO. Este conjunto deve ser aplicado a todos os computadores e usurios dos domnios. Existe uma nica OU do domnio, na qual devem ser aplicadas configuraes especiais e no devem ser aplicadas as configuraes definidas na GPO padro do domnio. Nesta OU esto as contas de usurios e computadores do setor de pesquisa, e uma srie de configuraes especiais de segurana devem ser aplicadas via GPO. Qual a soluo para a situao descrita? Nesta situao o administrador deve configurar a GPO padro do domnio, com as configuraes que sero utilizadas pela maioria dos usurios e computadores, com exceo dos usurios e computadores da OU Pesquisa. Na OU pesquisa, crie e configure uma GPO com as configuraes exigidas pelos usurios e computadores desta OU. Marque a opo Block Policy inheritance (Bloquear herana de diretiva), na guia Diretiva de grupo da janela de propriedades da OU pesquisa. Com esta configurao a OU pesquisa no ir herdar as definies de GPOs aplicadas ao domnio e somente ser aplicadas as GPOs definidas na prprio OU Pesquisa, que exatamente o que deve ser feito para solucionar a questo proposta. Bem, sobre a teoria inicial de GPOs era isso. Agora voc aprender uma srie de aes prticas sobre GPOs. Aps as aes prticas falarei sobre uma outra funcionalidade muito importante das GPOs que a distribuio de software. Durante os exemplos prticos sero apresentados diversos conceitos relacionados com o tpico que est sendo exemplificado.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 184 de 290

Segurana no Windows XP Professional - Bsico Implementao e Administrao de GPOs Neste tpico apresentarei uma srie de itens relacionados a implementao, configurao e administrao das GPOs. A medida que forem sendo apresentados os exemplos, tambm apresentarei a teoria associada. Voc aprender desde como abrir o console para administrao das GPOs, como fazer as configuraes bsicas e passar por tpicos mais avanados, tais como a descrio detalhada de como as informaes sobre GPOs so armazenadas no Active Directory e como utilizar o recurso de distribuio de software via GPOs. IMPORTANTE: SO SER POSSVEL ACOMPANHAR OS EXEMPLOS DESTE TPICO, SE VOC TIVER ACESSO A UM SERVIDOR COM O WINDOWS SERVER 2003 E O ACTIVE DIRECTORY INSTALADO. NO POSSVEL ACOMPANHAR ESTES EXEMPLOS USANDO UM COMPUTADOR COM O WINDOWS XP PROFESSIONAL. O console de administrao das GPOs Existe um console especialmente criado para a criao, configurao e administrao das GPOs. Este console pode ser aberto de vrias maneiras. Uma das mais utilizadas atravs da janela de propriedades do domnio ou da janela de propriedades de uma OU do domnio. Nestas janelas est disponvel uma guia chamada Group Policy, na qual so listadas as GPOs que esto sendo aplicadas. Voc tambm pode criar um console personalizado e adicionar somente o Snap-in para administrao das GPOs. Eu, particularmente, prefiro acessar o console atravs das propriedades do domnio ou das propriedades de uma OU, pois com este mtodo tenho uma viso geral da hierarquia de objetos do Active Directory e posso, rapidamente, acessar administrar as GPOs de cada objeto. Neste item mostrarei os passos necessrios para acessar o console de administrao das GPOs, usando o console Usurios e computadores do Active Directory. Exemplo: Utilizar o console Usurios e Computadores do Active Directory para acessar, rapidamente, as GPOs configuradas no domnio: 1. Faa o logon como administrador ou com uma conta com permisso de administrador. 2. Abra o console Usurios e computadores do Active Directory: Iniciar -> Ferramentas administrativas -> Usurios e computadores do Active Directory. 3. Para abrir a GPO padro do domnio, d um clique com o boto direito do mouse no domnio desejado e, no menu de opes que exibido, clique em Propriedades. Ser exibida a janela de propriedades do domnio. 4. Clique na guia Diretiva de grupo. Ser exibida a lista de GPOs definidas para o domnio, conforme indicado na Figura a seguir. Observe que, por padro, est associada uma nica GPO, chamada Default Domain Policy.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 185 de 290

Segurana no Windows XP Professional - Bsico

Figura - Lista de GPOs para o domnio abc.com. 5. Clique na GPO Default Domain Policy para selecion-la e em seguida clique no boto Editar. Ser aberto o console Editor de objeto de diretiva de grupo, com a GPO Default Domain Policy carregada. 6. Feche este console. 7. Clique com o boto direito do mouse em uma das unidades organizacionais criadas pelo administrador desejado e, no menu de opes que exibido, clique em Propriedades. Ser exibida a janela de propriedades da respectiva OU. 8. Clique na guia Diretiva de grupo. Observe que, por padro, nenhuma GPO definida a nvel de unidade organizacional. 9. Feche o console Usurios e computadores do Active Directory. Agora que voc j sabe como acessar o console de administrao de uma determinada GPO, hora de entender as opes disponveis e aprender a trabalhar com elas. Dica: Voc pode abrir o console para edio da GPO local usando o console gpedit.msc, o qual j instalado durante a instalao do Windows Server 2003. Para abrir este console, basta utilizar o comando Iniciar -> Executar.Digite gpedit.msc no campo Abrir e clique em OK.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 186 de 290

Segurana no Windows XP Professional - Bsico Usando o console de configurao das GPOs Neste tpico mostrarei como navegar pelas opes disponveis em um console de administrao de uma GPO e como alterar as configuraes das opes disponveis. Alterando configuraes de uma GPO: Para alterar as configuraes de uma GPO, o primeiro passo carregar a GPO a ser alterada no console Group Policy Editor. No item anterior voc aprendeu duas diferentes maneiras para carregar uma GPO no console Group Policy Editor. Exemplo: Para acessar a GPO padro do domnio e fazer alteraes, siga os passos indicados a seguir: 1. Faa o logon como administrador ou com uma conta com permisso de administrador. 2. Abra a GPO Default Domain Policy, usando os passos descritos anteriormente. 3. A interface de administrao de uma GPO muito semelhante a interface de administrao de pastas e subpastas do Windows Explorer. Observe que, por padro, so exibidas duas opes no painel da esquerda, conforme indicado na Figura a seguir:

Figura - Opes da GPO Default Domain Policy. Configurao do computador: Contm as opes de configurao que so aplicadas ao computador, durante o processo de inicializao, conforme detalhado anteriormente. Configurao do usurio: Contm as opes de configurao que so aplicadas ao usurio, quando este faz o logon, conforme detalhado anteriormente.

Nota: As configuraes de computador so aplicadas quando o computador inicializado, conforme descrito anteriormente. Porm existem algumas configuraes de segurana, que so reaplicadas periodicamente, normalmente a cada quinze minutos. Estas opes so reaplicadas, para garantir que os computadores esto com as configuraes de segurana corretas e para evitar problemas com segurana.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 187 de 290

Segurana no Windows XP Professional - Bsico

4. Na parte de baixo do painel da direita, existem duas guias: Estendido e Padro. Por padro selecionada a guia Estendido. Este um novo modo de visualizao que foi introduzido no Windows XP e que est presente no Windows Server 2003. No modo de visualizao Estendido, quando voc clica em uma determinada opo no painel da direita, exibido um texto explicativo sobre a opo. Ao clicar na guia Padro ser exibido o modo padro de visualizao, sem a explicao relativa ao item selecionado. 5. Clique no sinal de + ao lado da opo Configurao do computador, no painel da esquerda. Ser exibidos trs grupos de polices que podem ser configuradas: Configuraes de software Configuraes do Windows Modelos administrativos

Nota: Clique no sinal de + ao lado da opo Configuraes do usurios. Observe que so exibidos os mesmos grupos de polices da opo Configuraes do computador, conforme indicado na Figura a seguir:

Figura - Grupos de Polices disponveis. 6. Agora voc aprender a alterar as configuraes de uma police. Alis, voc j parou para pensar porque o nome GPO Group Policy Objects. Group Policy significa um grupo de polticas ou um grupo de diretivas. Isto em uma GPO esto disponveis centenas de opes de configurao. Cada opo uma police, uma poltica de segurana. As opes que esto disponveis dependem dos templates (modelos) de polices, chamados de GPT Group Policy Templates, os quais so gravados na pasta SYSVOL, conforme descrito anteriormente. E Objects, porque todos os componentes do Active Directory so denominados de objetos. Ento uma GPO nada mais do que um objeto do Active Directory, o qual representa um grupo de polticas, um grupo de polices um Group Policy. isso. 7. Apenas a ttulo de exemplo, vamos supor que voc queira configurar a police que oculta o comando Executar do menu iniciar. Nos prximos passos vou mostrar como configurar esta police, apenas para ilustrar como feita a configurao de uma police.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 188 de 290

Segurana no Windows XP Professional - Bsico 8. Esta police est disponvel no seguinte caminho: Configurao do usurio -> Modelos administrativos -> Menu Iniciar e Barra de tarefas. Para acessar esta opo basta ir navegando no painel da esquerda, da mesma maneira que voc navega pelas pastas e subpastas de um volume, usando o Windows Explorer. Por exemplo, clique no sinal de + ao lado da opo Configurao do usurio, para exibir os grupos de opes disponveis. Clique no sinal de + ao lado da opo Modelos administrativos, para exibir as opes disponveis. Das opes que so exibidas, clique em Menu Iniciar e barra de tarefas, para selecion-la. No painel da direita ser exibida a lista de polices que podem ser configuradas para esta opo, conforme indicado na Figura a seguir:

Figura - Polices disponveis para a opo Menu Iniciar e barra de tarefas. 9. Observe que somente para este item esto disponveis dezenas de polices que podem ser configuradas. A maioria das polices est com o status No-configurado, que na prtica significa: no est sendo aplicada. Para configurar uma police basta dar um clique duplo nela, para abrir a janela com as opes de configurao. Na listagem de polices localize a opo Remover o menu Iniciar do menu Executar (mais um exemplo da m qualidade da traduo que feita no Windows. O correto seria: Remover o comando Executar do menu Iniciar.) e clique nesta opo para selecion-la. Para configurar a police d um clique duplo nela, para abrir a janela com as opes de configurao. 10. Ser aberta a janela com as propriedades de configurao da police. Para habilitar esta police e com isto fazer com que o menu Executar no seja exibido, marque a opo Ativado (ou seja, voc est habilitando a poltica que faz com que o menu Executar seja retirado do menu Iniciar), conforme indicado na Figura a seguir:
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 189 de 290

Segurana no Windows XP Professional - Bsico

Figura - Habilitando a police que remove o comando Executar. 11. Clique na guia Explicar. Ser exibido um texto com uma explicao detalhada sobre a aplicao da police, quais as conseqncias da sua habilitao e todos os demais detalhes sobre a police que est sendo configurada. Para configurar a police clique em OK. Pronto, na prxima vez que os usurios do domnio fizerem o logon (qualquer usurio, uma vez que estou fazendo a configurao na GPO padro do domnio, a qual ser aplicada a todos os usurios do domnio), a police ser aplicada e o comando Iniciar -> Executar no estar mais disponvel. 12. A maioria das polices apresenta as opes No-configurado, Ativado e Desativado. Porm existem polices que exigem informaes adicionais, como o exemplo da police Limitar tamanho do perfil, a qual encontra-se no caminho: Configurao do usurio -> Modelos administrativos -> Sistema -> Perfis de usurio. Ao habilitar esta police, voc tambm deve informar o tamanho mximo que ser configurado para a profile dos usurios, bem como outras opes de configuraes, conforme indicado na Figura a seguir:

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 190 de 290

Segurana no Windows XP Professional - Bsico

Figura - Um exemplo de police que precisa de configuraes adicionais. 13. Como voc deve ter observado, configurar as polices extremamente simples. uma questo de localizar a police a ser configurada, dar um clique duplo para abrir a janela de propriedades da police e configur-la. Mas no localizar a police a ser configurada que reside, talvez, a grande dificuldade. Isso porque eu so milhares de opes disponveis e localizar exatamente o que voc est precisando, pode no ser uma tarefa das mais simples. Com o lanamento do Resource Kit do Windows Server 2003, previsto para outubro prximo, provvel que a Microsoft disponibilize um arquivo de help com a descrio de todas as polices disponveis. Pelo menos no Windows 2000 Server este arquivo disponibilizado com o Resource Kit do Windows 2000 Server. J est disponvel para download, uma planilha com a descrio de todas as polices disponveis na opo Administrative Templates (que a opo com o maior nmero de polices). Esta referncia est no formato de planilha do Excel e descreve as polices que se aplicam ao Windows 2000, Windows XP Professional e Windows Server 2003. Voc pode fazer o Download desta planilha no seguinte endereo: http://download.microsoft.com/download/a/a/3/aa32239c-3a23-46ef-ba8bda786e167e5e/PolicySettings.xls A seguir mais alguns links teis em relao ao recurso de GPOs no Windows Server 2003:

http://www.microsoft.com/grouppolicy
http://www.microsoft.com/windowsserver2003/technologies/management/grouppolicy/default.mspx

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 191 de 290

Segurana no Windows XP Professional - Bsico http://www.microsoft.com/windowsserver2003/gpmc/default.mspx http://www.microsoft.com/windowsserver2003/techinfo/overview/gpintro.mspx http://www.microsoft.com/windowsserver2003/techinfo/overview/gpintro.mspx

14. importante salientar que quando voc est configurando uma GPO no existe o conceito de salvar as alteraes que foram efetuadas. Quando voc abre a janela de propriedades de uma police, faz alteraes e clica em OK, estas alteraes j sero salvas no Active Directory. No preciso executar nenhum comando para salvar as alteraes, antes de fechar o console de administrao da GPO. 15. Feche o console de administrao da GPO Criando uma nova GPO e associando-a com uma unidade organizacional Neste tpico voc aprender a criar uma novo GPO, associada a uma unidade organizacional e a configurar as propriedades da GPO e da ligao da GPO associada com a unidade organizacional. Para o exemplo deste item, criarei uma GPO chamada Configuraes da seo de vendas, a qual ser associada com a Unidade organizacional Vendas, do domnio abc.com, conforme ilustrado na Figura a seguir1:

Figura - A unidade organizacional Vendas, utilizada neste exemplo. Exemplo: Para criar uma GPO associada a uma unidade organizacional e configur-la, siga os passos indicados a seguir: 1. Faa o logon como administrador ou com uma conta com permisso de administrador. 2. Abra o console Usurios e computadores do Active Directory. 3. Localize a unidade organizacional para a qual voc quer criar uma nova GPO. Clique com o boto direito do mouse nesta unidade organizacional e, no menu de opes que exibido, clique na opo Propriedades. 4. Ser exibida a janela de propriedades da unidade organizacional. Clique na guia Diretiva de grupo. Sero exibidas as opes da guia Diretiva de grupo, conforme indicado na Figura a seguir:

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 192 de 290

Segurana no Windows XP Professional - Bsico

Figura -A guia Diretiva de grupo. 5. Por padro, quando uma unidade organizacional criada, nenhuma GPO associada com a unidade organizacional. Nesta situao, a unidade organizacional herda as configuraes das GPOs definidas no domnio. Para criar uma nova GPO d um clique no boto Novo. 6. Ser criada uma nova GPO com o nome de Novo objeto de diretiva de grupo. Neste momento voc deve digitar um nome para a GPO que est sendo criada. Digite Configuraes da seo de vendas e clique no espao em branco, fora do nome. 7. A GPO Configuraes da seo de vendas ser criada e j exibida na lista de GPOs associadas a unidade organizacional. O prximo passo configurar as polices que sero aplicadas pela GPO Configuraes da seo de vendas. 8. Para configurar as polices que sero aplicadas, basta clicar na GPO Configuraes da seo de vendas e depois clicar no boto Editar. A GPO Configuraes da seo de vendas ser carregada no console Group Policy Editor. Neste momento voc pode configurar as polices que sero aplicadas pela GPO Configuraes da seo de vendas. Para uma descrio resumida das opes disponveis. Aps ter feito as configuraes desejadas, basta fechar o console Group Policy Editor, no preciso salvar as alteraes, uma vez que estas vo sendo salvas automaticamente, a medida que voc define as configuraes de cada police. 9. Ao fechar o console Group Policy Editor voc estar de volta guia Diretiva de grupo, da janela de propriedades da unidade organizacional que est sendo configurada. Observe que nesta janela est disponvel a opo Bloquear herana de diretiva, j comentada
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 193 de 290

Segurana no Windows XP Professional - Bsico anteriormente. O administrador pode marcar esta opo, para impedir que as configuraes definidas nos objetos Pai, sejam propagadas para a unidade organizacional que est sendo configurada. Esta opo no ter efeito, se a opo No sobrescrever tiver sido habilitada nas GPOs dos objetos pai. 10. Para configurar as opes da GPO, clique na GPO Configuraes da seo de vendas para selecion-la. Em seguida clique no boto Opes. Ser exibida a janela de opes da GPO Configuraes da seo de vendas, conforme indicado na Figura a seguir

Figura -A janela de opes da GPO. Nesta janela esto disponveis as opes descritas a seguir: No sobrescrever: Esta opo utilizada para impedir que a aplicao da GPO seja bloqueada nos objetos filho, atravs do uso da opo Bloquear herana de diretiva, j descrita anteriormente. Desativado: Ao marcar esta opo, a GPO deixar de ser aplicada a unidade organizacional.

11. Defina as configuraes desejadas e clique em OK. 12. Feitas as configuraes desejadas s clicar no boto Fechar. A GPO foi criada, configurada. Configurando as Propriedades de uma GPO Neste tpico voc aprender a configurar as propriedades de uma GPO. Conforme mostrarei existem uma srie de opes que podem ser configurada e que afetam a maneira como a GPO ser aplicada. Exemplo: Para configurar as propriedades de uma GPO, siga os passos indicados a seguir: 1. Faa o logon como administrador ou com uma conta com permisso de administrador. 2. Abra o console Usurios e computadores do Active Directory. 3. Localize o container (domnio ou unidade organizacional) onde est a GPO a ser configurada. Clique com o boto direito do mouse neste container e, no menu de opes que exibido, clique na opo Propriedades.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 194 de 290

Segurana no Windows XP Professional - Bsico 4. Ser exibida a janela de propriedades do container. Clique na guia Diretiva de grupo. Sero exibidas as opes de configurao da guia Diretiva de grupo. 5. Clique na GPO a ser configurada para selecion-la e em seguida clique no boto Propriedades. 6. Ser exibida a janela de propriedades da GPO, com a guia Geral selecionada, conforme indicado na Figura a seguir:

Figura A guia de opes gerais das propriedades da GPO. 7. Nesta guia so exibidas informaes gerais sobre a GPO, tais como a data de criao e data da ltima modificao. Tambm esto disponveis as opes para desabilitar toda a rvore de configuraes de computador (Desativar configuraes do computador) e uma opo para desabilitar toda a rvore de configuraes de usurio (Desativar configuraes do usurio). Estas opes so especialmente teis, em situaes onde voc est enfrentando problemas com a aplicao das polices. Por exemplo, se voc j identificou que o problema com as polices aplicadas ao computador, pode marcar a opo Desativar configuraes do computador, para desabilitar estas opes, at que voc possa fazer uma anlise detalhada e identificar onde esto os problemas. 8. Defina as configuraes desejadas e d um clique na guia Vnculos. Nesta guia voc pode pesquisar em todo o domnio (em um ou mais domnios), para listar onde a GPO est sendo aplicada. Por exemplo, para listar em quais unidades organizacionais a GPO est sendo listada. Esta opo especialmente til para a resoluo de problemas e conflitos na aplicao das GPOs. Ao clicar no boto Localizar agora, ser feita uma pesquisa em todo o domnio
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 195 de 290

Segurana no Windows XP Professional - Bsico selecionado no campo Domnio. No exemplo da Figura a seguir, foi feita uma pesquisa no domnio abc.com, e como resultado a GPO est sendo aplicada em duas OUs: abc.com/Contabilidade e abc.com/Vendas.

Figura - A lista de containers onde a GPO est sendo aplicada. 9. Clique na guia Segurana. Esta guia muito semelhante a guia Segurana, da janela de propriedades de uma pasta ou arquivo, em um volume formatado com NTFS. Ou seja, uma ACL Access Control List (Lista de Controle de Acesso). Ou seja, associada a GPO, existe uma lista de controle de acesso. Com esta lista podem ser implementadas muitas solues prticas, que surgem no dia-a-dia do uso das GPOs. Por exemplo, suponha que o administrador queira que as configuraes de uma GPO sejam aplicadas apenas para um determinado grupo de usurios e no para todos os usurios de uma unidade organizacional. Neste caso, basta definir permisses de acesso apenas para o grupo para o qual devem ser aplicadas as configuraes da GPO. Outra situao que pode acontecer a seguinte: Imagine que determinadas restries devam ser aplicadas para todos os usurios, com exceo de um determinado grupo, como por exemplo o grupo Administradores. Neste caso, basta colocar permisso de acesso negada ao grupo Administradores e permisso de acesso para o grupo Todos. Neste caso as configuraes sero aplicadas para todos os usurios, com exceo dos usurios do grupo Administradores, o qual teve acesso a GPO negado. Na Figura a seguir exibido o exemplo onde foi negada a permisso Aplicar diretiva de grupo (Apply Group Policy) para o grupo Administradores. A permisso Aplicar diretiva de grupo necessria

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 196 de 290

Segurana no Windows XP Professional - Bsico para os grupos que devero ter as configuraes aplicadas a seus membros. A permisso Gravao necessria para os usurios que devam ter permisso de alterar a GPO.

Figura - A lista de permisses para a GPO. 10. Defina as configuraes de segurana desejadas e clique na guia Filtro WMI. WMI uma tecnologia para monitorao e gerenciamento do ambiente de hardware e software dos computadores. possvel criar filtros WMI (como se fossem consultas em um banco de dados), para selecionar apenas computadores que atendam um ou mais critrios. Por exemplo, possvel aplicar um filtro WMI para selecionar apenas os comutadores que tem 128 MB ou mais de memria RAM. Este filtro WMI pode ser salvo e utilizado para definir em quais computadores ser aplicado uma GPO. Por exemplo, se voc est fazendo uma distribuio do Office XP, usando a distribuio de software via GPO. O administrador pode criar um filtro WMI para selecionar apenas os computadores que atendam as necessidades de hardware do Office XP. Depois o administrador aplica o filtro WMI para que a GPO seja aplicada apenas aos computadores que atendam os requisitos de instalao do Office XP. O administrador usa a guia WMI, para indicar o filtro a ser utilizado. 11. Defina as configuraes desejadas e d um clique em OK para aplic-las.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 197 de 290

Segurana no Windows XP Professional - Bsico Concluso Neste mdulo eu apresentei o recurso de Diretivas Locais de Segurana. O uso correto deste recurso permite tornar o Windows XP Professional ainda mais seguro, atravs da configurao de dezenas de diretivas, as quais permitem um controle total sobre a segurana do Windows XP. Este um dos recurso que simplesmente ignorado pela maioria dos usurios, pelo simples fato de no conhecer o recurso. Mas de agora em diante no tem mais desculpas, use as Diretivas Locais de Segurana, para tornar o seu Windows XP Professional ainda mais seguro.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 198 de 290

Segurana no Windows XP Professional - Bsico

Mdulo 6 Uso Seguro da Internet


Neste mdulo eu apresento diversos tpicos relacionados a Segurana no uso da Internet. Vou iniciar o mdulo falando sobre o Compartilhamento da conexo Internet. Em seguida, tratarei sobre as configuraes de segurana do Internet Explorer e do Outlook Express. O prximo tpico ser sobre vrus e a importncia de manter um bom anti-vrus, sempre atualizado. Tambm falarei sobre o uso do Firewall do Windows XP IFC. Mostrarei como ativar e configurar este Firewall. Para encerrar o mdulo, tratarei sobre a importncia de manter o Windows atualizado, atravs da utilizao do recurso Windows Update... Dentre outros, sero apresentados os seguintes tpicos: Compartilhamento da Conexo Internet Configuraes de segurana no Internet Explorer Configuraes de segurana do Outlook Express A importncia do anti-vrus Uso do IFC do Windows XP A importncia de manter o Windows Atualizado Usando o Windows Update Uma praga chamada Spy ware.

O recurso de Compartilhamento da Conexo Internet bastante til em situaes onde, atravs de uma conexo discada, voc deseja dar acesso Internet, para dois ou mais computadores ligados em rede. importante salientar que este recurso no ir funcionar para conexes de alta velocidade, tais como conexes ADSL. Para conexes ADSL voc tem que ter um mini-hub, para ligar os computadores em rede e para ligar a porta Ethernet do Modem ADSL diretamente no mini-hub. Alm disso, os computadores da rede devem ser configurados com clientes DHCP, os quais passam a receber as configuraes do protocolo TCP/IP, a partir do modem ADSL, o qual funciona como um servidor DHCP. Em seguida, apresentarei as configuraes de segurana do Internet Explorer e do Outlook Express. Existem configuraes que podem ser utilizadas para tornar o uso da Internet mais seguro, protegendo automaticamente o seu computador dos perigos virtuais. Por exemplo, existem configuraes que definem se os Cookies sero aceitos automaticamente ou no, configuraes que definem se os Controle ActiveX sero automaticamente copiados e instalados ou no e assim por diante. de fundamental importncia conhecer estas configuraes, para que voc possa tornar o uso da Internet mais seguro. Para finalizar o captulo, falarei de mais trs pontos importantes, para a segurana no uso da Internet. Inicialmente reforarei a importncia de ter um bom anti-vrus instalado e, principalmente, da importncia de mant-lo sempre atualizado. Tambm falarei sobre o recurso do Windows Update, o qual um auxiliar valioso para manter o Windows XP protegido. Com o Windows Update voc pode, automaticamente, instalar as ltimas atualizaes disponveis para o Windows, diretamente do site da Microsoft. Para finalizar, falarei sobre uma nova praga, que vem incomodando bastante, o chamado Spy ware. Voc aprender o que esta nova praga e passarei alguns endereos da Internet, onde voc encontrar informaes detalhadas, passo-a-passo, sobre como se proteger dos Spy ware.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 199 de 290

Segurana no Windows XP Professional - Bsico Compartilhamento da Conexo com a Internet: Neste tpico voc aprender sobre um recurso bem til do Windows: O compartilhamento da conexo Internet, oficialmente conhecida como ICS Internet Conection Sharing. Este recurso til quando voc tem uma pequena rede (no mais do que cinco mquinas) conectadas em rede, todas com o protocolo TCP/IP instalado e uma das mquinas tem conexo com a Internet. Voc pode habilitar o ICS no computador que tem a conexo com a Internet. Com isso os demais computadores da rede tambm passaro a ter acesso Internet, conforme ilustrado na Figura a seguir:

Hub

INTERNET

Modem

Computador conectado Internet e com o ICS habilitado. Ao habilitar o ICS neste computador, os demais computadores da rede passam a ter acesso Internet

Internet Connection Sharing (ICS) Vamos inicialmente entender exatamente qual a funo do ICS e em que situaes ele indicado. O recurso de compartilhamento da conexo com a Internet indicado para conectar uma rede domstica ou uma pequena rede (eu diria no mais do que 5 computadores) Internet. Imagine a rede de uma pequena empresa, onde esto instalados 5 computadores e um servidor com o Windows XP Professional. Est disponvel uma nica conexo com a Internet.. A questo : Com o uso do recurso de compartilhamento da conexo com a Internet, possvel que todos os computadores desta pequena rede, tenham acesso Internet? A resposta sim. Com o uso do ICS possvel fazer com que todos os computadores da rede tenham acesso Internet, atravs de uma conexo compartilhada no computador que tem acesso Internet. Aps ter sido habilitado o compartilhamento da conexo Internet, os demais computadores da rede utilizam a internet como se estivessem diretamente conectados. Ou seja, para os usurios o uso da conexo compartilhada transparente. Para que o ICS possa funcionar so necessrias duas conexes de rede, no computador onde o ICS ser habilitado. Uma conexo normalmente a placa de rede que liga o computador
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 200 de 290

Segurana no Windows XP Professional - Bsico rede local e conhecida como conexo interna. A outra conexo, conhecida como conexo Externa, faz a conexo do computador com a Internet. Normalmente uma conexo do tipo discada, via telefone comum. O diagrama da Figura a seguir, ilustra a funcionalidade do ICS. No computador onde o ICS foi habilitado, a conexo via placa de rede, a conexo interna. A conexo via Modem, que faz a conexo com a Internet, dita conexo externa ou pblica.

Mudanas que so efetuadas quando o ICS habilitado Quando voc habilita o ICS no computador conectado Internet, algumas alteraes so efetuadas neste computador. muito importante entender estas alteraes, porque pode acontecer de alguns servios deixarem de funcionar aps a habilitao do ICS. Sabendo quais as mudanas efetuadas pelo ICS, voc poder reconfigurar a sua rede, para que todos os servios voltem a funcionar normalmente. Importante: Devido as diversas mudanas que so introduzidas ao habilitar o ICS, que no recomendado o uso do ICS em um ambiente onde est configurado um domnio do Windows 2000 Server ou Windows Server 2003, baseado no Active Directory. O uso do ICS realmente recomendado para pequenas redes baseadas em um modelo de Workgroup. Alm disso, se voc tiver uma rede maior, baseada em um domnio e no Active Directory, muito

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 201 de 290

Segurana no Windows XP Professional - Bsico provvel que voc j tenha uma conexo da rede local com a Internet, atravs do uso de roteadores e outros equipamentos de rede, apropriados para este fim . A primeira mudana a ser ressaltada que o computador no qual o ICS foi habilitado, automaticamente, configurado como um servidor DHCP (digamos um mini DHCP), o qual passa a fornecer endereos IP para os demais computadores da rede. IMPORTANTE: Outra mudana importante que efetuada no nmero IP da interface interna. Este nmero alterado para: 192.168.0.1 com uma mscara de sub-rede: 255.255.255.0. Esta uma das mudanas para as quais voc deve estar atento. Pois se antes de habilitar o ICS voc utiliza um esquema de endereamento, por exemplo: 10.10.10.0/255.255.255.0, este esquema ser alterado, para um esquema 192.168.0.0/255.255.255.0. Com isso pode ser necessrio reconfigurar alguns mapeamentos de drives de rede e de impressoras. Muito importante: Quando o ICS habilitado, atribudo o endereo IP 192.168.0.1 para a interface interna do computador onde o ICS foi habilitado. Com isso, se houver compartilhamentos no servidor onde foi habilitado o ICS, estes deixaro de estar acessveis para os demais computadores da rede, pois os demais computadores continuaro utilizando o esquema de endereamento IP padro da rede, o qual provavelmente seja diferente do esquema utilizado pelo ICS. Isso at que os demais clientes da rede sejam configurados como clientes DHCP e obter um endereo da rede 192.168.0.0/255.255.255.0, a partir do computador onde o ICS foi habilitado. A funcionalidade de discagem sob demanda habilitada na conexo Internet, do computador onde o ICS foi habilitado. Com isso quando qualquer um dos computadores da rede tentar acessar a Internet, se a conexo no estiver disponvel, ser inicializada automaticamente uma discagem (se for uma conexo discada) para estabelecer a conexo. Nota: Aps a habilitao do ICS, o servio do ICS ser configurado para inicializar automaticamente, de tal maneira que as funcionalidades do ICS possam ser utilizadas, sempre que necessrio. Alm de transformar o computador com o ICS habilitado, em um servidor DHCP, ser criado o seguinte escopo: 192.168.0.2 -> 192.168.0.254, com mscara de sub-rede 255.255.255.0. Importante: A funcionalidade de DNS Proxy habilitada no computador com o ICS habilitado. Isso significa que este computador recebe as requisies de resoluo DNS dos clientes da rede, repassa estes pedidos para o servidor DNS do provedor de Internet, recebe a resposta e passa a resposta de volta para o cliente que fez a requisio para a resoluo do nome. O resultado prtico que os clientes tem acesso ao servio DNS, sendo que todas as requisies passam pelo ICS, que est atuando como um DNS Proxy. Importante: Voc no tem como alterar as configuraes padro do ICS. Por exemplo, voc no pode desabilitar a funcionalidade de servidor DHCP do computador onde foi habilitado o ICS e nem pode definir um esquema de endereamento diferente do que definido por padro ou desabilitar a funo de DNS Proxy. Para que voc possa personalizar estas funcionalidades voc precisa utilizar o recurso de NAT, ao invs do ICS. O recurso de NAT est disponvel
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 202 de 290

Segurana no Windows XP Professional - Bsico somente como um protocolo do servio RRAS, servio este que somente est disponvel em servidores com o Windows 2000 Server ou Windows Server 2003. Configurando os clientes da rede interna, para usar o ICS Muito bem, voc habilitou o ICS no computador com a conexo com a Internet (voc aprender a parte prtica mais adiante) e agora voc quer que os computadores da rede local possam acessar a Internet, usando a configurao compartilhada, no computador onde o ICS foi habilitado. Para que os computadores de uma rede baseada no TCP/IP possam se comunicar, preciso que todos faam parte da mesma rede (ou estejam ligados atravs de roteadores, para redes ligadas atravs de links de WAN). Quando voc habilita o ICS, todos os computadores da rede devem utilizar o esquema de endereamento padro definido pelo ICS, ou seja: 192.168.0.0/255.255.255.0. Com o ICS no possvel utilizar outro esquema de endereamento que no o definido pelo ICS. O endereo 192.168.0.1 atribudo a interface interna do computador com o ICS habilitado. Os demais computadores da rede devem ser configurados para usar o DHCP e como Default Gateway deve ser configurado o IP 192.168.0.1, que nmero IP da interface interna do computador com o ICS habilitado (estou repetindo de propsito, para que fique gravado o esquema de endereamento que habilitado pelo ICS e devido a importncia deste detalhe). Dependendo da verso do Windows, diferentes configuraes tero que ser efetuadas. Quando o ICS habilitado em um computador rodando o Windows XP, Windows Server 2003 Standard Edition ou Windows Server 2003 Enterprise Edition, voc poder adicionar como clientes, computadores rodando uma das seguintes verses do Windows: Windows 98 Windows 98 Segunda Edio Windows Me Windows XP Windows 2000 Windows Server 2003 Standard Edition Windows Server 2003 Enterprise Edition

Na parte prtica, mais adiante, mostrarei os passos para habilitar os clientes da rede a utilizar o ICS. Mais algumas observaes importantes sobre o ICS Neste item apresentarei mais algumas observaes importantes sobre o ICS. A primeira delas que o esquema de endereamento utilizado pelo ICS um dos chamados endereos Internos ou endereos Privados. As faixas de endereos definidas como endereos privados so endereos que no so vlidos na Internet, ou seja, pacotes endereados para um endereo de uma destas faixas, sero descartados pelos roteadores. Os endereos Privados foram reservados para uso interno na Intranet das empresas. Ou seja, na rede interna, qualquer empresa, pode utilizar qualquer uma das faixas de endereos Privados. Existem trs faixas de
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 203 de 290

Segurana no Windows XP Professional - Bsico endereos definidos como Privados. Estas faixas esto definidas na RFC 1597. Os endereos definidos como privados so os seguintes: 10.0.0.0 172.16.0.0 192.168.0.0 -> -> -> 10.255.255.255 172.31.255.255 192.168.255.255

Observe que a faixa de endereos usada pelo ICS (192.168.0.1 -> 192.168.0.254) uma faixa de endereos Privados. Por isso, o ICS tambm tem que executar o papel de traduzir os endereos privados, os quais no so vlidos na Internet, para o endereo vlido, da interface pblica do servidor com o ICS (normalmente um modem para conexo discada. Vamos a uma explicao mais detalhada deste ponto. Imagine que voc tem cinco computadores na rede, todos usando o ICS. Os computadores esto utilizando os seguintes endereos: 192.168.0.10 192.168.0.11 192.168.0.12 192.168.0.13 192.168.0.14

O computador com o ICS habilitado tem as seguintes configuraes: IP da interface interna: 192.168.0.1 IP da interface externa: Um endereo vlido na Internet, obtido a partir da conexo com o provedor de Internet.

Quando um cliente acessa a Internet, no pacote de informao est registrado o endereo IP da rede interna, por exemplo: 192.168.0.10. Porm este pacote no pode ser enviado pelo ICS para a Internet, com este endereo IP como endereo de origem, seno no primeiro roteador este pacote ser descartado, j que o endereo 192.168.0.10 no um endereo vlido na Internet (pois um endereo que pertence a uma das faixas de endereos privados, conforme descrito anteriormente). Para que este pacote possa ser enviado para a Internet, o ICS substitui o endereo IP de origem pelo endereo IP da interface externa do ICS (endereo fornecido pelo provedor de Internet e, portanto, vlido na Internet). Quando a resposta retorna, o ICS repassa a resposta para o cliente que originou o pedido. Mas voc pode estar fazendo as seguintes perguntas: 1. Se houver mais de um cliente acessando a Internet e o ICS possui apenas um endereo IP vlido, como possvel a comunicao de mais de um cliente, ao mesmo tempo, com a Internet? 2. Quando a resposta retorna, como o ICS sabe para qual cliente ela se destina, se houver mais de um cliente acessando a Internet?

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 204 de 290

Segurana no Windows XP Professional - Bsico A resposta para estas duas questes a mesma. O ICS executa uma funo de NAT Network Address Translation. A traduo de endereos funciona assim: 1. Quando um cliente interno tenta se comunicar com a Internet, o ICS substitui o endereo interno do cliente como endereo de origem, por um endereo vlido na Internet. Mas alm do endereo tambm associada uma porta de comunicao. O ICS mantm uma tabelinha interna onde fica registrado que, a comunicao atravs da porta tal est relacionada com o cliente tal (ou seja, com o IP interno tal). 2. Quando a resposta retorna, pela identificao da porta, o ICS consulta a sua tabela interna e sabe para qual computador da rede deve ser enviada a referida resposta (para qual IP da rede interna), uma vez que a porta de identificao est associada com um endereo IP da rede interna. Com isso, vrios computadores da rede interna, podem acessar a Internet ao mesmo tempo, usando um nico endereo IP. A diferenciao feita atravs de uma atribuio de porta de comunicao diferente, associada com cada IP da rede interna. Este o princpio bsico do NAT Network Address Translation (Traduo de Endereos IP). Mas importante no confundir este mini-NAT embutido no ICS, com a funcionalidade de NAT completa, disponvel no Windows 2000 Server ou no Windows Server 2003. Existem grandes diferenas entre o ICS e o NAT e o uso de cada um indicado em situaes especficas. O ICS tem suas limitaes, as quais so diferentes das limitaes do NAT. Uma das principais limitaes do ICS no ser possvel alterar as configuraes definidas ao habilitar o ICS, tais como a faixa de endereos a ser utilizada e o nmero IP da interface interna (interface que liga o computador com o ICS rede local). Comparando ICS e NAT Neste tpico apresento mais alguns detalhes sobre as diferenas entre o ICS e o NAT. Existem algumas funcionalidades que so fornecidas por ambos, tais como a traduo de endereos Privados para endereos vlidos na Internet, enquanto outras so exclusivas de cada um dos servios. Para conectar uma rede residencial ou de um pequeno escritrio, Internet, voc pode usar duas abordagens diferentes: Conexo roteada: Neste caso, voc instala o RRAS no computador conectado Internet e configura o RRAS para fazer o papel de um roteador. Esta abordagem exige conhecimentos avanados do protocolo TCP/IP, para configurar o RRAS como um roteador. Esta abordagem tem a vantagem de permitir qualquer tipo de trfego entre a rede local e a Internet (com a desvantagem de que esse pode ser um problema srio de segurana se o roteamento no for configurado adequadamente) e tem a desvantagem da complexidade na configurao. Nunca demais ressaltar que o RRAS somente est disponvel em servidores baseados no Windows 2000 Server ou Windows Server 2003.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 205 de 290

Segurana no Windows XP Professional - Bsico Conexes com traduo de endereos: Neste caso, voc instala o RRAS no computador conectado Internet e configura a funcionalidade de NAT neste computador. A vantagem deste mtodo que voc pode utilizar, na rede Interna, endereos privados. Vrias mquinas da rede interna podem se conectar Internet usando um nico endereo IP vlido, o endereo IP da interface externa do servidor com o RRAS. Outra vantagem do NAT, em relao ao roteamento, que o NAT bem mais simples para configurar. A desvantagem que determinados tipos de trfegos sero bloqueados pelo NAT, impedindo que determinadas aplicaes possam ser executadas.

Uma conexo com traduo de endereos pode ser configurada usando dois mtodos diferentes: Voc pode utilizar o ICS (objeto de estudo deste tpico) no Windows 2000, Windows XP, Windows Server 2003 Standard Edition ou Windows Server 2003 Enterprise Edition. Voc pode utilizar a funcionalidade de NAT do servidor RRAS, em servidores executando o Windows 2000 Server com o RRAS habilitado (lembre que o RRAS instalado automaticamente, porm, por padro, est desabilitado. Para detalhes sobre a habilitao e configurao do RRAS, consulte o Captulo 6 do meu livro: Manual de Estudos Para o Exame 70-216, 712 pginas, publicado pela Editora Axcel Books).

Importante: As duas solues ICS ou NAT fornecem as funcionalidades de traduo de endereos e resoluo de nomes, porm existem mais diferenas do que semelhanas, conforme descreverei logo a seguir. O Internet Connection Sharing (ICS) foi projetado para fornecer as configuraes mais simplificadas possveis. Conforme voc ver na parte prtica, habilitar o ICS uma simples questo de marcar uma caixa de opo, todo o restante feito automaticamente pelo Windows. Porm uma vez habilitado, o ICS no permite que sejam feitas alteraes nas configuraes que so definidas por padro. O ICS foi projetado para obter um nico endereo IP a partir do provedor de Internet. Isso no pode ser alterado. Ele configurado como um servidor DHCP e fornece endereos na faixa 192.168.0.0/255.255.255.0. Isso tambm no pode ser mudado. Em poucas palavras: O ICS fcil de habilitar mas no permite alteraes nas suas configuraes padro. o ideal para pequenos escritrios que precisam de acesso Internet, a todos os computadores da rede, porm no dispem de um tcnico qualificado para fazer as configuraes mais sofisticadas exigidas pelo NAT e pelo RRAS. Por sua vez, o NAT foi projetado para oferecer o mximo de flexibilidade em relao as suas configuraes no servidor RRAS. As funes principais do NAT so a traduo de endereo (conforme descrito anteriormente) e a proteo da rede interna contra trfego no autorizado, vindo da Internet. O uso do NAT requer mais etapas de configurao do que o ICS, contudo em cada etapa da configurao voc pode personalizar diversas opes do NAT. Por exemplo, o NAT permita que seja obtida uma faixa de endereos IP a partir do provedor de Internet (ao contrrio do ICS, que recebe um nico endereo IP do provedor de Internet) e tambm

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 206 de 290

Segurana no Windows XP Professional - Bsico permite que seja definida a faixa de endereos IP a ser utilizada para os clientes da rede interna. Na tabela da Figura a seguir, voc encontra uma comparao entre NAT e ICS.

Importante: Nunca demais salientar que O ICS projetado para conectar uma rede domstica ou uma rede pequena (com no mais do que 10 computadores) com a Internet. O protocolo NAT foi projetado para conectar redes de porte pequeno para mdio, com a Internet (eu diria entre 11 e 100 computadores). Porm, nenhum deles foi projetado para ser utilizado nas seguintes situaes: Fazer a conexo entre redes locais. Conectar redes para formar uma Intranet. Conectar as redes dos escritrios regionais com a rede da sede da empresa. Conectar as redes dos escritrios regionais com a rede da sede da empresa, usando como meio a Internet, ou seja, criao de uma VPN.

Muito bem, a seguir apresentarei os passos prticos para habilitar o ICS no computador conectado Internet e para configurar os clientes da rede, para que passem a utilizar o ICS. Habilitando o ICS no computador conectado Internet O ICS, conforme descrito anteriormente, deve ser habilitado no computador com conexo com a Internet. O ICS habilitado na interface externa, ou seja, na interface que faz a conexo com a Internet. Para habilitar o ICS, siga os passos indicados a seguir: 1. Faa o logon no computador conectado Internet, com a conta de Administrador ou com uma conta com permisso de administrador. 2. Abra o Painel de controle: Iniciar -> Painel de controle. 3. Abra a opo Conexes de rede. 4. Clique com o boto direito do mouse na conexo com a Internet e, no menu de opes que exibido, clique em Propriedades. 5. Ser exibida a janela de propriedades da conexo com a Internet. Clique na guia Avanado. Sero exibidas as opes indicadas na Figura a seguir:
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 207 de 290

Segurana no Windows XP Professional - Bsico

Habilitando o compartilhamento da Internet. 6. Marque a opo Permitir que outros usurios da rede se conectem atravs da conexo deste computador com a Internet. Ao marcar esta opo tambm ser habilitada a opo para fazer a discagem sob demanda Estabelecer uma conexo dial-up sempre que um computador da rede tentar acessar a Internet. Se voc marcar esta opo, quando um usurio da rede tentar acessar a Internet, ser iniciada uma discagem, caso a conexo no esteja ativa. Nota: Se voc estiver configurando o ICS em um computador que possui mais de uma placa de rede instalada, estar disponvel uma lista para que voc selecione qual a placa de rede que faz a conexo com a rede local, ou seja, com a rede para a qual estar habilitada a conexo compartilhada com a Internet. 7. Voc pode fazer algumas configuraes adicionais no ICS, usando o boto Configuraes... Clique neste boto. 8. Ser exibida a janela de configuraes do compartilhamento com a guia Servios selecionada por padro. Nesta guia voc pode habilitar os servios da sua rede, que estaro disponveis para usurios da Internet, conforme indicado na Figura a seguir. Em outras palavras, servios nos computadores da sua rede, os quais estaro disponveis para acesso atravs da Internet. Por exemplo, se voc quiser montar um servidor de FTP (File Transfer Protocol Protocolo de Transferncia de Arquivos), para fornecer o servio de cpias de arquivo, voc ter que habilitar o servio FTP Server. Ao habilitar este servio, voc ter que
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 208 de 290

Segurana no Windows XP Professional - Bsico informar o nome ou o nmero IP do computador da rede interna, no qual est disponvel o servio de FTP. Vamos fazer um exemplo prtico de habilitao de servio.

9. Clique na opo Servidor FTP para marc-la. Ser aberta a janela para configurao deste servio. Nesta janela, o nome do servio e a porta na qual ele trabalha, j vem preenchidos e no podem ser alterados. O protocolo de transporte utilizado pelo servio (TCP ou UDP) tambm j vem assinalado e no pode ser alterado. A nica informao que voc preenche o nome ou o nmero IP do computador da rede interna, onde o servio est disponvel, conforme exemplo da Figura a seguir, onde informado o nmero IP do computador da rede interna, onde o servio de FTP est disponvel:

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 209 de 290

Segurana no Windows XP Professional - Bsico 10. Informe o nome ou o nmero IP e clique em OK. Voc estar de volta janela de configuraes do compartilhamento. Clique em OK para fech-la. 11. Voc estar de volta guia Compartilhamento, da janela de propriedades da conexo que est sendo compartilhada. Clique em OK para fechar esta janela e para habilitar o compartilhamento da conexo Internet. Observe que ao ser habilitado o compartilhamento, o cone indicado na Figura a seguir, passa a ser exibido junto conexo que foi compartilhada:

A seguir listo as portas utilizadas pelos principais servios da Internet: Servio Servidor Web http (WWW) Servidor de FTP POP3 Telnet SSL (https) Porta utilizada 80 21 110 23 443

Importante: Conhea bem as portas indicadas na listagem anterior. Para uma lista completa de todas as portas utilizadas pelos protocolos TCP e UDP, consulte o seguinte endereo: http://www.iana.org/numbers.htm Pronto, habilitar e configurar o ICS apenas isso. A seguir mostrarei como configurar os demais computadores da rede, para que utilizem o ICS. Configurando os clientes da rede para utilizar o ICS Para que os clientes possam utilizar o ICS, os seguintes tpicos devem ser verificados: 1. Os clientes devem estar conectados em rede, no mesmo barramento de rede local onde est conectada a interface interna do servidor com o ICS habilitado. Esta etapa provavelmente j esteja OK, uma vez que voc certamente habilitou o ICS para fornecer acesso Internet, para os computadores da sua rede interna, a qual suponho j estivesse configurada e funcionando. 2. Os computadores da rede interna devem estar com o protocolo TCP/IP instalado e configurados para usar um servidor DHCP. No caso do ICS, o computador onde o ICS foi habilitado passa a atuar como um servidor DHCP, oferecendo endereos na faixa: 192.168.0.2 -> 192.168.0.254. Ou seja, basta acessar as propriedades do protocolo TCP/IP e habilitar a opo Obter um endereo IP automaticamente.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 210 de 290

Segurana no Windows XP Professional - Bsico Configuraes de Segurana no Internet Explorer Voc deve conhecer bem as configuraes do Internet Explorer. Muitos problemas no acesso a pginas da Internet ou a aplicativos Web, podem estar relacionados com as configuraes do Internet Explorer. Importante: Uma ou mais opes da janela de Configuraes do Internet Explorer podero estar desabilitadas ou simplesmente no serem exibidas. Isso ocorre se as Polticas do Domnio GPOs, foram configuradas para impedir a alterao de determinadas configuraes. Com isso, quando o usurio faz o logon com uma conta que no tenha permisso de Administrador, as opes e Guias que foram bloqueadas, via GPOs, no sero exibidas. As opes de configurao do Internet Explorer Existem diversas configuraes que podem ser feitas no Internet Explorer. Estas configuraes so feitas utilizando o comando Ferramentas -> Opes da Internet. Ao selecionar este comando exibida a janela Opes da Internet, na qual temos as seguintes guias: Geral Segurana Privacidade Contedo Conexes Programas Avanadas.

Para este curso, veremos as configuraes diretamente relacionadas com a segurana. A guia Geral A guia Geral, indicada na Figura a seguir, permite que sejam configuradas opes tais como a Pgina Inicial, o Cache do Internet Explorer, opes do Histrico, opes de Cores, opes de Fontes, opes de Idioma e de Acessibilidade. A Pgina Inicial do Internet explorer definida atravs das opes do grupo Pgina Inicial. O boto Usar atual define a pgina carregada como sendo a pgina Inicial. O boto Usar padro define o endereo www.msn.com.br, como sendo a pgin Inicial e o boto Usar em branco, no carrega nenhuma pgina inicial.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 211 de 290

Segurana no Windows XP Professional - Bsico

Figura - A guia Geral. O cache do Internet Explorer uma pasta no disco rgido onde so gravadas cpias das pginas acessadas. Cada usurio tem o seu prprio cache. O cache gravado na pasta C:\Documents and Settings\nome_de_logon_do_usurio\Configuraes locais\Temporary Internet Files. Ao acessar uma pgina que est no cache, o Internet Explorer no precisa carreg-la novamente, o que torna a navegao mais veloz. Porm existe o inconveniente de estarmos acessando uma verso desatualizada da pgina. Atravs da guia Geral nos podemos definir o espao em disco reservado para o cache boto Configuraes. Ao clicar neste boto exbida a janela Configuraes, indicada na Figura do incio da prxima pgina. Na janela configuraes voc define se o Internet Explorer deve procurar por uma verso atualizada da pgina a Cada visita pgina, Sempre que o Internet Explorer for iniciado, Automaticamente ou Nunca. Se a opo Nunca estiver marcada, sempre ser carregada a verso que est gravada no Cache. Utilizamos o controle Espao em disco a ser usado, para definir o tamanho disponvel para o Cache. A medida que voc arrasta o controle, o tamanho definido exibido ao lado do controle. O boto Mover pasta... permite que alteremos a pasta onde so gravados os arquivos do cache. O boto Exibir arquivos abre a pasta onde est o Cache e exibe a lista de arquivos gravados. O boto Exibir Objetos exibe o contedo da pasta Download Programas. Esta pasta contm programas, normalmente controles ActiveX ou Applets Java que foram baixados da Internet ao acessar uma pgina que utiliza um destes
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 212 de 290

Segurana no Windows XP Professional - Bsico controles. Aps definir as configuraes desejadas d um clique no boto OK. Voc estar de volta a guia Geral.

Figura - Configuraes do Cache. Dica: Pode ocorrer de um usurio entrar em contato, informando que est sendo carregada uma verso desatualizada, de uma determinada pgina. A causa mais provvel que est sendo carregada uma verso que est no Cache local do usurio. Nesta situao, voc pode orientar o usurio a pressionar a tecla F5, para forar uma atualizao da pgina. Em determinados casos, voc ter que primeiro limpar o Cache (conforme ser descrito logo a seguir) e depois pressionar F5, para que seja carregada a verso atualizada da pgina. Ao clicar no boto Excluir Arquvos, todo o contedo do Cache excludo. Ao clicar neste boto surge uma janela perguntando se voc deseja excluir todo o contedo Off line. Contedo Off line , na verdade, cpia de pginas que foram configuradas para serem lidas sem que haja uma conexo com a Internet. Ao configurarmos uma pgina para leitura Off line, toda vez que entramos na Internet, o Internet Explorer copia a ltima verso da pgina e grava no disco rgido. Desta forma podemos acessar a pgina diretamente do disco, sem ter uma conexo com a Internet. O boto Excluir cookies elimina todos os arquivos gravados na pasta Cookies que est dentro da pasta Configuraes locais do usurio, j descrita anteriormente. Um cookie um arquivo de texto, com informaes sobre o usurio quando este visitou um determinado site. O cookie pode ser utilizado para, automaticamente, reconhecer o usurio quando este volta a vistiar o Site. Por exemplo, se voc for um usurio cadastrado da livraria Amazon (www.amazon.com), toda vez que voc acessar o site da Amazon voc ver bem no incio da Pgina: Hello Jlio (seu nome). Como que o site sabe que eu sou o Jlio??? Atravs de um
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 213 de 290

Segurana no Windows XP Professional - Bsico cookie que ele gravou no meu computador e que lido toda vez que eu acesso a pgina. O Cookie que informa ao site que o visitante o Jlio. Podemos excluir todos os Cookies gravados no nosso computador, clicando no boto Excluir cookies. O boto Cores... permite que sejam configuradas opes de cores para as pginas, tais como a cor dos links j visitados e dos no visitados. O boto Fontes... nos d acesso a opes para definir a fonte padro e outras caractersticas tais como Fonte da pgina Web e Fonte de texto sem formatao. O idioma Padro do Internet Explorer definido atravs do boto Idiomas... O boto Acessibilidade fornece opes de configurao para facilitar o uso do computador por pessoas com deficincias visuais ou auditivas. Aps ter definido as configuraes desejadas, d um clique no boto OK para aplic-las. A guia Segurana Nesta guia configuramos o tipo de contedo e de aplicativos que aceitamos que sejam executados no Internet Explorer. Podemos definir diferentes nveis de segurana, para diferentes zonas: Internet, Intranet local, Sites confiveis e Sites restritos. Por exemplo, podemos configurar o Internet Explorer para que aceite Cookies e execuo de Scripts para pginas da Intranet da empresa, mas que rejeite a execuo de Scripts para sites da Internet. Quando acessamos uma pgina, o Internet Explorer indica, na Barra de status, a qual categoria a pgina pertence. Esta, sem dvidas, como o prprio nome sugere, a guia mais importante quando se trata de segurana. Dependendo das configuraes feitas nesta guia, o seu computador pode estar mais ou menos seguro, no uso da Internet. Por exemplo, configurar o Internet Explorer para baixar e instalar, automaticamente, Controles ActiveX, um verdadeiro atentado ao Bom senso e a segurana. Os controles ActiveX so programas carregados e executados dentro do Internet Explorer. Podem ser criados controles ActiveX para, praticamente, executar qualquer funo do Windows, tais como desligar o computador ou formatar o HD. Voc no gostaria de ter este tipo de controle sendo, automaticamente instalado em seu computador, sem que voc soubesse, e sem saber a origem destes controles?? Com certeza no. Por isso a importncia da guia Segurana, onde voc pode definir uma srie de configuraes que podero tornar o uso da Internet, bem mais seguro. Existem diferentes conjuntos de configuraes de segurana padro, conjuntos estes prdefinidos pelo Internet Explorer. Estes conjuntos so conhecidos como Zonas. So definidas determinadas configuraes para cada uma das quatro zonas disponveis. Nos podemos alterar estas configuraes. Em outras palavras, alm de utilizar uma determinada Zona de segurana, com um conjunto de configuraes de segurana pr-definido, possvel alterar as configuraes de uma Zona de segurana, se julgarmos que estas configuraes no esto adequadas.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 214 de 290

Segurana no Windows XP Professional - Bsico Exemplo: para alterar as configuraes de segurana para a zona Internet, faa o seguinte: 1. Abra o Internet Explorer. 2. Selecione o comando Ferramentas -> Opes da Internet. 3. D um clique na guia Segurana. 4. D um clique na zona Internet. 5. D um clique no boto Nvel Personalizado... 6. Ser exibida a janela Configuraes de segurana, indicada na Figura 8.34. 7. Selecione as opes de segurana desejadas e d um clique no boto OK para fechar a janela Configuraes de segurana. Na Figura a seguir so exigidas algumas das configuraes de segurana disponvies, as quais descreverei mais adiante.

Figura - Definindo configuraes de segurana personalizadas para a Zona Internet. 8. Voc estar de volta a guia Segurana. 9. Para definir configuraes personalizadas para outra zona, repita os passos 4 at 8 para a respectiva zona. 10. Para aplicar as configuraes de segurana recm definidas, d um clique no boto OK. 11. Voc estar de volta ao Internet Explorer.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 215 de 290

Segurana no Windows XP Professional - Bsico

Principais configuraes de Segurana A seguir apresento um comentrio sobre as principais configuraes de segurana, disponveis no Internet Explorer, configuraes estas acessadas atravs da janela Configuraes de segurana, descrita no exemplo anterior. 1. Autenticao de usurio: Voc utiliza as opes deste grupo para especificar como voc deseja lidar com aes, arquivos, programas ou downloads potencialmente perigosos. As opes deste grupo, em sua maioria, tem trs opes possveis, as quais so descritas a seguir: Para que seja solicitada a sua aprovao antes de continuar, clique em Avisar. Para ignorar a pergunta e recusar automaticamente a ao ou o download, clique em Desativar. Para continuar automaticamente, sem solicitaes, clique em Ativar. Esta, sem dvidas, a opo menos segura, mais perigosa.

Observao: algumas opes no oferecem a configurao Avisar. Alm disso, essas opes no se aplicam a pastas FTP. A seguir descrevo as opes disponveis dentro do grupo Autenticao do usurio. 1.1. Logon: Esta opo usada para especificar como lidar com solicitaes de servidores que requerem informaes de logon. Os servidores em intranets (e algumas vezes em sites da Internet) freqentemente requerem um nome de usurio e uma senha para restringir o acesso somente a usurios autorizados. Nesta opo voc pode selecionar uma das configuraes a seguir: Para conectar-se a um servidor usando o seu nome de usurio e senha atuais do Windows, clique em Logon automtico com nome de usurio e senha atuais. Para conectar-se a um servidor usando o nome de usurio e senha da sua sesso atual, mas somente se o servidor estiver na zona da intranet local, clique em Logon automtico somente na zona da intranet. Para conectar-se a um servidor fornecendo um nome de usurio e uma senha quando solicitado, clique em Solicitar nome de usurio e senha. Para conectar-se a um servidor sem tentar fornecer ou enviar informaes de logon, clique em Logon annimo.

2. Componentes dependentes do .NET Framework: Esta categoria tem diversas opes, as quais sero descritas a seguir. As opes desta categoria so utilizadas para especificar como voc deseja lidar com aes, arquivos, programas ou downloads potencialmente perigosos. Nas opes deste grupo, normlamente, esto disponveis uma das opes a seguir: Para que seja solicitada a sua aprovao antes de continuar, clique em Avisar. Esta a configurao desejada, pois sempre que algum site da Internet tentar instalar algum componente, que possa representar um perigo, voc receber uma janela de aviso e

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 216 de 290

Segurana no Windows XP Professional - Bsico poder decidir se instala ou no o componente. Por exemplo, se voc est acessando o site do Banco do Brasil e exibida uma janela para instalao do Teclado Virtual, voc pode concordar e prosseguir com a instalao. Agora se voc est acessando um site pela primeira vez, site que no muito conhecido e voc recebe um aviso de instalao de um componente, voc pode optar por no instalar o componente. Para ignorar a pergunta e recusar automaticamente a ao ou o download, clique em Desativar. Para continuar automaticamente, sem solicitaes, clique em Ativar. Esta, sem dvidas, a opo menos segura e no deve ser utilizada.

Neste grupo voc tem duas opes de configuraes: 2.1 2.2 Executar componentes assinados com Athenticode Executar componentes no assinados com Athenticode

Um controle no assinado software que no tem um certificado de software de um editor vlido. O certificado lhe diz quem publicou o controle e que ele no foi alterado sem autorizao. Quando voc sabe quem publicou um controle, pode decidir se confia ou no no editor. Os controles podem conter cdigo que pode causar danos inadvertidamente ou deliberadamente aos seus arquivos. Se um controle no estiver assinado, voc no tem como saber quem o criou e se pode confiar ou no nele. Eu recomendo usar a configurao Ativar, em ambas as configuraes. Com isso voc receber uma mensagem de aviso, sempre que um site tentar instalar um destes tipos de componentes. 3. Microsoft VM Permisses Java: Esta opo utilizada para determinar o nvel de acesso permitido aos miniaplicativos Java sem que solicitem permisses. Miniaplicativos Java normalmente solicitam um nvel especfico de acesso a arquivos, pastas e conexes de rede no seu computador. Se um miniaplicativo Java solicitar acesso maior do que especificado, voc ser perguntado se concede mais permisses de acesso a esse miniaplicativo. Selecione uma das seguintes opes. importante controlar esta opo, pois se voc der acesso irrestrito aos miniaplicativos Java, voc ir criar um grande problema de segurana, uma vez que um miniaplicativo Java pode ser programado para executar uma srie de aes em seu Computador. Esto disponveis as seguintes opes: Para permitir o maior nvel de acesso, clique em Segurana baixa. No consigo imaginar uma situao prtica, onde seja recomendado usar esta opo. muito perigosa, pois d acesso praticamente irrestrito aos miniaplicativos (Applets) Java. Para permitir acesso moderado, clique em Segurana mdia. Voc sempre ser avisado antes da execuo de um miniaplicativo. Eu recomendo usar esta opo. Para permitir o menor nvel de acesso, clique em Segurana alta. Para proibir a execuo de miniaplicativos Java em seu computador, clique em Desativar Java. A opo mais segura, a qual bloqueia a execuo dos miniaplicativos Java. Porm alguns sites no iro funcionar, se esta opo estiver habilitada. Por exemplo, o Teclado Virtual de sites tais como o Banco do Brasil e a Caixa Federal, no iro funcionar, se esta opo estiver marcada.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 217 de 290

Segurana no Windows XP Professional - Bsico Nota: As opes do grupo Miscelnea, sero detalhadas no curso de Segurana na Internet, a ser publicado no primeiro semestre de 2005. 4. Plug-ins e controles ActiveX: Os Plug-ins e os controles ActiveX tambm podem representar um perigo em Potencial. Por exemplo, um hacker pode criar um controle ActiveX, o qual fica gravando tudo o que voc digita no teclado e depois envia estas informaes, via e-mail, para o Hacker. O Hacker tambm pode configurar este controle ActiveX, para se instalar, automaticamente, quando voc acessa uma pgina na Internet. Por isso que importante ter controle sobre as opes deste grupo. As configuraes a seguir, so recomendadas para as opes deste grupo: o Controles de script ActiveX marcados como seguros para a execuo de scripts: Marque a opo Ativar. o Executar controles ActiveX e Plug-ins: Marque a opo Ativar. o Fazer o controle de programas ActiveX assinados: Marque a opo Avisar. o Fazer o controle de programas ActiveX no assinados:: Marque a opo Desativar. o Inicializar e executar scripts de controles ActiveX no marcados como seguros: Marque a opo Desativar.

5. Scripts: Esta opo define qual ser o comportamento do Internet Explorer, antes da execuo de Scripts, carregados a partir da Internet. A seguir coloco as configuraes recomendadas para as opes deste grupo: o Permitir operaes de colagem atravs de Script: Marque a opo Ativar. o Scripts ativos: Marque a opo Ativar. o Scripts de miniaplicativos Java: Marque a opo Ativar. Feitas as configuraes desejadas e s clicar em OK. Algumas configuraes exigem que o Internet Explorar seja fechado e aberto novamente, para que as configuraes entrem em vigor. Voc estar de volta a guia Segurana. Clique na guia Privacidade. A guia Privacidade Nesta guia, definimos as configuraes em relao a aceitar ou no Cookies enviados pelos sites que visitamos. Mdia: A configurao padro de privacidade para Cookies a Mdia. Para alterar a configurao, basta clicar e arrastar o controle deslizante para o nvel desejado. Temos os seguintes nveis de configurao: Bloquear todos os cookies: No aceita cookies. Voc deve tomar cuidados com esta opo, pois a funcionalidades de muitos sites conhecidos baseada no envio de cookies para a mquina do usurio. Ao no aceitar cookies, pode acontecer de muitos destes sites no funcionarem corretamente.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 218 de 290

Segurana no Windows XP Professional - Bsico Alta: Esta opo bloqueia cookies que no tenham uma diretiva de privacidade ou cookies que usam informaes de identificao pessoal do usurio sem o seu consentimento. Mdia alta: Bloqueia cookies de terceiros que no tenham uma diretiva de privacidade, cookies que usam informaes de identificao pessoal do usurio sem o seu consentimento ou cookies internos que usam informaes de identificao pessoal do usurio sem o seu consentimento. Mdia: Bloqueia cookies de terceiros que no tenham uma diretiva de privacidade, cookies que usam informaes de identificao pessoal do usurio sem o seu consentimento e restringe cookies internos que usam informaes de identificao pessoal do usurio sem o seu consentimento. Baixa: Restringe cookies de terceiros que no tenham uma diretiva de privacidade e restringe cookies que usam informaes de identificao pessoal do usurio sem o seu consentimento. Aceitar todos os cookies: Todos os cookies sero aceitos e salvos no computador. Os cookies existentes no computador podem ser lidos pelos sites que os criaram.

Estas so as configuraes bsicas de segurana do Internet Explorer, as quais corretamente utilizadas, j ajudaro a voc navegar com bem mais segurana. No prximo tpico veremos algumas configuraes de segurana, bsicas, do Outlook Express.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 219 de 290

Segurana no Windows XP Professional - Bsico Configuraes de Segurana no Outlook Express Voc deve conhecer bem as configuraes de segurana do Outlook Express. Hoje em dia, grande parte dos vrus de computador, chegam atravs de arquivos anexados as mensagens de e-mail. Evidentemente que a melhor proteo ter um bom anti-vrus e mant-lo sempre atualizado. Mas existem algumas configuraes do Outlook Expresso, que podem ajud-lo em relao a segurana. Importante: Uma ou mais opes da janela de Configuraes do Outlook Express podero estar desabilitadas ou simplesmente no serem exibidas. Isso ocorre se as Polticas do Domnio GPOs, foram configuradas para impedir a alterao de determinadas configuraes. Com isso, quando o usurio faz o logon com uma conta que no tenha permisso de Administrador, as opes e Guias que foram bloqueadas, via GPOs, no sero exibidas. As opes de configurao do Outlook Express Existem diversas configuraes que podem ser feitas no Outlook Express. Estas configuraes so feitas utilizando o comando Ferramentas -> Opes. Ao selecionar este comando exibida a janela Opes, na qual temos as seguintes guias: Geral Ler Confirmaes Envio Redao Assinaturas Verificar ortografia Segurana Conexo Manuteno

As configuraes relacionadas a segurana esto todas na guia Segurana, conforme indicado na figura a seguir. As principais configuraes desta guia, sero descritas a seguir.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 220 de 290

Segurana no Windows XP Professional - Bsico

Figura Configuraes de Segurana do Outlook Express Selecione a zona de segurana do Internet Explorer a ser usada: Esta opo permite que voc selecione uma zona de segurana, a ser utilizada. Se a zona de segurana for personalizada, usando o Internet Explorer, estas personalizaes tambm sero aplicadas no Outlook Express. A opo recomendada usar a opo Zona de Internet (menos segura, porm mais funcional). A voc personaliza a zona Internet, usando o Internet Explorer, para adequar as suas necessidades de segurana, conforme descrito no tpico anterior. Avisar quando outro aplicativo tentar enviar e-mail como se fosse eu: Marque esta opo para receber um aviso do Outlook Express quando outro programa tentar enviar uma mensagem para os contatos da lista de contatos ou do catlogo de endereos sem a sua aprovao. Os vrus podem se espalhar atravs do envio de cpias de mensagens de e-mail contendo vrus para os seus contatos. Esta uma das tcnicas mais usadas para disseminao de vrus. Ou seja, o vrus tenta enviar cpias de si mesmo, para todos os e-mails contidos na lista de endereos do Outlook. Ao marcar esta opo, voc ser avisado se um vrus tentar fazer isso. No permitir que sejam salvos nem abertos anexos que possam conter vrus: O Outlook No permite que voc desanexe ou abra arquivos que possam ter vrus, tais como arquivos .exe, .com, .bat, .cmd, .doc, .xls, etc. Aumenta a segurana, mas restringe muito o recebimento de anexos. Deve ser usado somente em ambientes extremamente seguros. Opes do grupo E-mail seguro: Estas opes esto relacionadas ao uso de Certificados Digitais e Criptografia, para o envio de mensagens seguras. Estas opes sero vistas no curso sobre Segurana no uso da Internet.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 221 de 290

Segurana no Windows XP Professional - Bsico Uso do IFC Firewall de Conexo com a Internet Neste tpico, aprenderemos a utilizar o IFC Internet Firewall Connection (Firewall de Conexo com a Internet). O IFC faz parte do Windows XP e do Windows Server 2003, no estando disponvel no Windows 2000. O IFC tem como objetivo proteger o acesso do usurio contra ataques e perigos vindos da Internet. Voc deve conhecer o IFC e saber resolver problemas de acesso, gerados por configuraes incorretas do IFC. isso que veremos neste tpico, ou seja: Habilitar o IFC Desabilitar o IFC Configurar o IFC Utilizar os logs do IFC

Ao nos conectarmos com a Internet estamos em contato com o mundo; e o mundo em contato conosco. A Internet uma via de mo dupla, ou seja, podemos acessar recursos em servidores do mundo inteiro, porm o nosso computador tambm pode ser acessado por pessoas do mundo inteiro, se no tomarmos alguns cuidados bsicos com segurana. Regra nmero 1: Sempre utilize um bom programa de anti-vrus. Escolha o programa de sua preferncia, existem muitos, instale e utilize. inadmissvel no utilizar um programa antivrus. Os custos so muito baixos, existindo inclusive programas gratuitos, em comparao com os riscos que se corre em no usar um anti-vrus. Mensagens contendo anexos com vrus, sites com contedo dinmico que pode causar danos, etc, so muitas as ameaas e o anti-vrus capaz de nos proteger de grande parte delas. No site www.invasao.com.br, voc encontra uma anlise comparativa entre os principais anti-vrus do mercado. Regra nmero 2: Informao. Procure estar sempre atualizado sobre novos tipos de vrus, novos tipos de ataques e perigos que possam comprometer a segurana do seu computador. Para informaes sobre segurana da informao consulte regularmente os seguintes sites: www.invasao.com.br, www.hackernews.com.br e www.terra.com.br/informatica Regra nmero 3: Se voc usa o Windows XP ou o Windows Server 2003, aprenda a utilizar e configurar o IFC (justamente o assunto deste tpico). o que voc aprender agora. Mostrarei o que o IFC, quais as suas funes e como configur-lo para proteger o computador que voc utiliza, para acessar a Internet.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 222 de 290

Segurana no Windows XP Professional - Bsico Firewall de Conexo com a Internet ICF Se fssemos traduzir firewall literalmente, seria uma parede corta-foga. Esta denominao pode parecer sem sentido prtico, mas veremos que a funo exatamente esta. O firewall como se fosse uma parede, uma proteo, colocada entre o seu computador e a Internet. O fogo neste caso seriam os ataques e demais perigos vindos da Internet. A funo do Firewall bloquear (cortar) estes perigos (fogo). Um Firewall pode fazer mais do que isso, ele tambm pode ser utilizado para bloquear determinados tipos de trfegos a partir do seu computador para a Internet. Esta utilizao mais comum em redes de grandes empresas, onde existe um Firewall entre a rede da empresa e a Internet. Todo acesso Internet passa, obrigatoriamente, pelo Firewall. Atravs de configuraes adeqadas possvel bloquear determinados tipos de informaes que no tem a ver com o trabalho dos funcionrios. Por exemplo, podemos, atravs do Firewal, impedir o acesso a arquivos de vdeo e udio. Mas este no o caso do uso do ICF, o qual mais indicado para um nico computador conectado diretamente Internet ou para uma pequena rede na qual um dos computadores tem acesso Internet e compartilha esta conexo com os demais computadores. Na Figura a seguir, temos um diagrama que ilustra a funo de um Firewall:

Figura - Funo do Firewall A utilizao do ICF depende da configurao que estamos utilizando, ou seja, se temos um nico computador, uma pequena rede ou uma rede empresarial. Vamos considerar estas trs situaes distintas: Um nico computador conectado Internet, quer seja via uma conexo dial-up ou via uma conexo de acesso rpido: Para esta situao configuramos o ICF no computador que est conectado Internet. O ICF protejer o computador de uma srie de ataques originados na Internet. Uma pequena rede onde somente um computador tem conexo com Internet: Nestas situaes comum o computador que tem acesso Internet, compartilhar esta conexo com os demais computadores da rede. Neste caso, quando o computador que tem acesso Internet estiver conectado, todos os demais passaro a ter acesso
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 223 de 290

Segurana no Windows XP Professional - Bsico Internet. Ou seja, existe um nico ponto de acesso Internet que o computador no qual existe uma conexo, quer seja dial-up ou de acesso rpido. Nesta situao temos que proteger o computador que est conectado Internet, desta maneira protegemos tambm todos os demais computadores. Nesta configurao, configuramos o computador com acesso Internet para usar o ICF. Uma rede empresarial com um grande nmero de computadores ligados em rede: Nestes casos tambm comum existir um nico ponto de acesso Internet, o qual compartilhado para todos os computadores da rede. Porm para grandes redes empresariais exigido um alto nvel de sofisticao, capacidade de bloqueio e filtragem e proteo que somente produtos especficos so capazes de fornecer. Nestas situaes comum existir um conjunto de equipamentos e programas que atua como um Firewall para toda a rede da empresa. Obviamente que nestas situaes no indicado o uso do ICF do Windows XP. O ICF considerada uma firewall "de estado". Ela monitora todos os aspectos das comunicaes que cruzam seu caminho e inspeciona o endereo de origem e de destino de cada mensagem/pacote com a qual ela lida. Para evitar que o trfego no solicitado da parte pblica da conexo (a Internet) entre na parte privada da rede (o seu computador conectado Internet), o ICF mantm uma tabela de todas as comunicaes que se originaram do computador no qual est configurado o ICF. No caso de um nico computador, o ICF acompanha o trfego originado do computador. Quando usado com o compartilhamento de conexo Internet, no caso de uma pequena rede com o Windows XP, o ICF acompanha todo o trfego originado no computador com o ICF habilitado e nos demais computadores da rede. Todo o trfego de entrada da Internet comparado s entradas na tabela e s tem permisso para alcanar os computadores na sua rede interna quando houver uma entrada correspondente na tabela mostrando que a troca de comunicao foi iniciada na rede interna. Na prtica o que acontece o seguinte: quando voc acessa um recurso da Internet, por exemplo acessa o endereo de um site, o computador que voc est usando, envia para a Internet uma requisio, solicitando que a pgina seja carregada no seu Navegador, por exemplo. Assim pode acontecer com todos os computadores da rede, cada um enviando as suas requisies. O ICF faz uma tabela com todas as requisies enviadas para a Internet. Cada informao que chega no ICF, vinda da Internet verificada. Se esta informao uma resposta a uma das requisies que encontra-se na tabela de requisies, significa que esta informao pode ser enviada para o computador que fez a requisio. Se a informao que est chegando, no corresponde a uma resposta de uma das requisies pendentes, significa que pode ser um ataque vindo da Internet, ou seja, algum tentando acessar o seu computador. Este tipo de informao bloqueada pelo ICF. Vejam que desta forma o ICF est protejando o seu computador, evitando que informaes no solicitadas (no correspondentes a respostas para requisies enviadas) possam chegar at o seu computador ou a sua rede, neste caso o ICF est cortando o fogo vindo da Internet. Podemos configurar o ICF para simplesmente bloquear este tipo de informao no solicitada ou, para alm de bloquear, gerar um log de registro, com informaes detalhadas sobre estas tentativas. Aprenderemos a fazer estas configuraes nos prximos tpicos.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 224 de 290

Segurana no Windows XP Professional - Bsico Tambm podemos configurar o ICF para permitir a entrada de informaes que correspondem a determinados servios. Por exemplo, se voc tem uma conexo 24 horas e utilzia o seu computador como um servidor Web, no qual est disponvel um site pessoal, voc deve configurar o ICF para aceitar requisies HTTP, caso contrrio, o seu computador no poder atuar como um servidor Web e todas as requisies dos usurios sero bloqueadas pelo ICF. Tambm aprenderemos a fazer estas configuraes nos prximos tpicos. Ao ativar o ICF, toda a comunicao de entrada, vinda da Internet, ser examindada. Alguns programas, principalmente os de e-mail, podem apresentar um comportamento diferente quando o ICF estiver ativado. Alguns programas de email pesquisam periodicamente o servidor de email para verificar se h novas mensagens, enquanto alguns deles aguardam notificao do servidor de e-mail. As notificaes vindas do servidor no tero requisies correspondentes na tabela de requisies e com isso sero bloqueadas. Neste caso o cliente de email deixaria de receber as notificaes do servidor. O Outlook Express, por exemplo, procura automaticamente novas mensagens em intervalos regulares, conforme configurao do Outlook. Quando h novas mensagens, o Outlook Express envia ao usurio uma notificao. A ICF no afetar o comportamento desse programa, porque a solicitao de notificao de novas mensagens originada dentro do firewall, pelo prprio Outlook. O firewall cria uma entrada em uma tabela indicando a comunicao de sada. Quando a resposta nova mensagem for confirmada pelo servidor de email, o firewall procurar e encontrar uma entrada associada na tabela e permitir que a comunicao se estabelea. O usurio, em seguida, ser notificado sobre a chegada de uma nova mensagem. Nota: No entanto, o Office 2000 Outlook conectado a um servidor Microsoft Exchange que utiliza uma chamada de procedimento remoto (RPC) para enviar notificaes de novos emails aos clientes. Ele no procura novas mensagens automaticamente quando est conectado a um servidor Exchange. Esse servidor o notifica quando chegam novos emails. Como a notificao RPC iniciada no servidor Exchange fora da firewall, no no Office 2000 Outlook, que est dentro da firewall, o ICF no encontra a entrada correspondente na tabela e no permite que as mensagens RPC passem da Internet para a rede domstica. A mensagem de notificao de RPC ignorada. Os usurios podem enviar e receber mensagens, mas precisam verificar a presena de novas mensagens manualmente, ou seja, a verificao de novas mensagens tem que partir do cliente. Como ativar/desativar o IFC Para ativar/desativar o Firewall de Conexo com a Internet, siga os passos indicados a seguir: 1. Abra o Painel de controle: Iniciar -> Painel de controle. 2. Se voc estiver no modo de exibio por Categoria d um clique no link Alternar para o modo de exibio clssico. Se voc j estiver no modo de exibio clssico v para o prximo passo. 3. D um clique duplo na opo Conexes de rede. 4. Sero exibidas as conexes de rede e a conexo com a Internet (ou conexes, caso voc tenha mais do que uma conexo configurada). Clique com o boto direito do mouse na sua conexo Internet. No menu que surge d um clique na opo Propriedades. Ser exibida a
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 225 de 290

Segurana no Windows XP Professional - Bsico janela de Propriedades da conexo com a Internet. 5. D um clique na guia Avanado. Sero exibidas as opes indicadas na Figura a seguir:

Figura - A guia Avanado das propriedades da conexo Internet 6. Na guia Avanado, em Firewall de conexo com a Internet, selecione uma das opes a seguir: Para ativar o firewall de conexo com a Internet (ICF), marque a caixa de seleo Proteger o computador e a rede limitando ou impedindo o acesso a este computador pela Internet. Para desativar o firewall de conexo com a Internet (ICF), desmarque a caixa de seleo Proteger o computador e a rede limitando ou impedindo o acesso a este computador pela Internet. 7. D um clique no boto OK para aplicar as configuraes selecionadas.

Nota: Para ativar/desativar o ICF voc deve ter feito o logon como Administrador ou como um usurio com permisses de Administrador.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 226 de 290

Segurana no Windows XP Professional - Bsico Como ativar/desativar o log de Segurana do ICF O log de segurana da Firewall de conexo com a Internet (ICF) permite que usurios avanados escolham as informaes a serem registradas. Com ele, possvel: Registrar em log os pacotes eliminados, isto , pacotes que foram bloqueados no Firewall. Essa opo registrar no log todos os pacotes ignorados que se originarem da rede domstica ou de pequena empresa ou da Internet. Registrar em log as conexes bem-sucedidas, isto , pacotes que no foram bloqueados. Essa opo registrar no log todas as conexes bem-sucedidas que se originarem da rede domstica ou de pequena empresa ou da Internet. Quando voc marca a caixa de seleo Registrar em log os pacotes eliminados (veremos como fazer isso no prximo tpico), as informaes so coletadas a cada tentativa de trfego pela firewall detectada e negada/bloqueada pelo ICF. Por exemplo, se as configuraes do protocolo de controle de mensagens da Internet (ICMP) no estiverem definidas para permitir solicitaes de eco de entrada, como as enviadas pelos comandos Ping e Tracert, e uma solicitao de eco de fora da rede for recebida, ela ser ignorada e ser feito um registro no log. Os comandos ping e tracert so utilizados para verificar se computadores de uma rede esto conectados a rede, conforme descrito anteriormente, neste mdulo. Estes comandos so baseados em um protocolo chamado ICMP Internet Control Message Protocol. O ICF pode ser configurado para no aceitar este protocolo (aprenderemos a fazer estas configuraes mais adiante). Neste caso, toda vez que utilizarmos os comandos ping ou tracert, ser feita uma tentativa de trafegar informaes usando o protocolo ICMP, o que ser bloqueado pelo Firewall e ficar registrado no log de segurana. Quando voc marca a caixa de seleo Listar conexes de sada bem-sucedidas, so coletadas informaes sobre cada conexo bem-sucedida que passe pela firewall. Por exemplo, quando algum da rede se conecta com xito a um site da Web usando o Internet Explorer, gerada uma entrada no log. Devemos ter cuidado com esta opo, pois dependendo do quanto usamos a Internet, ao marcar esta opo ser gerado um grande nmero de entradas no log de segurana do ICF, embora seja possvel limitar o tamanho mximo do arquivo no qual so gravadas as entradas do log, conforme aprenderemos mais adiante. O log de segurana produzido com o formato de arquivo de log estendido W3C, que um formato padro definido pela entidade que define padres para a internet, o w3c. Maiores informaes no site: www.w3.org. O arquivo no qual est o log de segurana um arquivo de texto comum, o qual pode ser lido utilizando um editor de textos como o Bloco de notas. Como ativar opes do log de segurana: Por padro, ao ativarmos o ICF, o log de segurana no ativado. Para ativ-lo, de tal maneira que passem a ser registrados eventos no log de segurana, siga os passos indicados a seguir: 1. Faa o logon como Administrador ou com uma conta com permisso de Administrador.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 227 de 290

Segurana no Windows XP Professional - Bsico 2. Abra o Painel de controle: Iniciar -> Painel de controle. 3. Se voc estiver no modo de exibio por Categoria d um clique no link Alternar para o modo de exibio clssico. Se voc j estiver no modo de exibio clssico v para o prximo passo. 4. D um clique duplo na opo Conexes de rede. 5. Sero exibidas as conexes de rede e a conexo com a Internet (ou conexes, caso voc tenha mais do que uma conexo configurada). 6. D um clique na conexo para a qual voc ativou o ICF. 7. No painel da esquerda, no grupo de opes Tarefas da rede, d um clique na opo Alterar as configuraes desta conexo. 8. D um clique na guia Avanado. 9. Na guia Avanado, d um clique no boto Configuraes... 10. Ser exibida a janela Configuraes avanadas. D um clique na guia Log de segurana. Sero exibidas as opes indicadas na Figura a seguir:

Figura - Configurando opes do log de segurana do ICF.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 228 de 290

Segurana no Windows XP Professional - Bsico Nesta guia temos as seguintes opes: Registrar em log os pacotes eliminados: Marque esta opo para que todos os pacotes ignorados/bloqueados que se originaram da rede privada ou da Internet, sejam registrados no log de segurana do ICF. Registrar em log as conexes bem-sucedidas: Marque esta opo para que todas as conexes bem-sucedidas que se originaram da sua rede local ou da Internet sero registradas no log de segurana. Campo Nome: Neste campo definimos o nome do arquivo onde sero gravadas as entradas do log de segurana. Por padro sugerido o seguinte caminho: C:\Windows\pfirewall.log. Substitua C:\Windows pela pasta onde est instalado o Windows XP, caso este tenha sido instalado em outra pasta. Limite de tamanho: Define o tamanho mximo para o arquivo do log de segurana. O tamanho mximo admitido para o arquivo de log 32.767 quilobytes (KB). Quando o tamanho mximo for atingido, as entradas de log mais antigas sero descartadas. 11. Marque a opo Registrar em log os pacotes eliminados. 12. Marque a opo Registrar em log as conexes bem sucedidas. 13. D um clique no boto OK para aplicar as novas configuraes. 14. Voc estar de volta guia Avanado da janela de Propriedades da conexo. D um clique no boto OK para fechar esta janela. 15. Faa uma conexo com a Internet e acesse alguns sites, abra o Outlook e envie algumas mensagens. Isto para gerar trfego atravs do Firewall, para que sejam geradas entradas no log de segurana. Agora vamos abrir o arquivo e ver os eventos que foram gravados no log de seguranao. 16. Abra o bloco de Notas. 17. Abra o arquivo definido como aqruivo de log, que por padro o arquivo C:\Windows\pfirewall.log. Caso voc tenha alterado esta opo, abra o respectivo arquivo. Na Figura a seguir temos uma viso de algumas entradas que foram gravadas no arquivo de log.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 229 de 290

Segurana no Windows XP Professional - Bsico

Figura - O arquivo do log de segurana. Observe que cada entrada segue um padro definido, como por exemplo: 2002-03-18 23:07:57 DROP UDP 200.176.2.10 200.176.165.149 53 3013 379 - - - - - - Data Onde: Prot. po pd = Protocolo utilizado para comunicao. = Porta de origem. = Porta de destino. Hora Ao Prot. End. IP origem End. IP Destino po pd tamanho.

Nota: Estas informaes so especialmente teis para tcnicos em segurana e redes, que conhecem bem o protocolo TCP/IP, possam analisar a origem de possveis ataques. 18. Feche o arquivo de log.

Nota: Para desabilitar o log de segurana, repita os passos de 1 a 10 e desmarque as opes desejadas. Por exemplo, se voc no deseja registrar um log das conexes bem sucedidas, as quais no representam perigo de ataque, desmarque a opo Registrar em log as conexes bem sucedidas.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 230 de 290

Segurana no Windows XP Professional - Bsico Habilitando os servios que sero aceitos pelo IFC Se voc tem uma conexo permatente com a Internet e quer utilizar o seu computador com Windows XP como um servidor Web (disponibilizando pginas), um servidor ftp (disponibilizando arquivos para Download) ou outro tipo de servio da Internet, voc ter que configurar o ICF para aceitar requisies para tais servios. Lembre que, por padro, o ICF bloqueia todo trfego vindo da Internet, que no seja resposta a uma requisio da rede interna, enviada pelo usurio. Se voc vai utilizar o seu computador como um Servidor, o trfego vindo de fora corresponder as requisio dos usurios, requisies estas que tero que passar pelo ICF para chegarem at o servidor e ser respondidas. Por padro nenhum dos servios est habilitado, o que garante uma maior segurana. Para habilitar os servios necessrios, siga os seguintes passos: 1. Faa o logon como Administrador ou com uma conta com permisso de Administrador. 2. Abra o Painel de controle: Iniciar -> Painel de controle. 3. Se voc estiver no modo de exibio por Categoria d um clique no link Alternar para o modo de exibio clssico. Se voc j estiver no modo de exibio clssico v para o prximo passo. 4. D um clique duplo na opo Conexes de rede. 5. Sero exibidas as conexes de rede e a conexo com a Internet (ou conexes, caso voc tenha mais do que uma conexo configurada). 6. D um clique na conexo para a qual voc ativou o ICF. 7. No painel da esquerda, no grupo de opes Tarefas da rede, d um clique na opo Alterar as configuraes desta conexo. 8. D um clique na guia Avanado. 9. Na guia Avanado, d um clique no boto Configuraes... 10. Ser exibida a janela Configuraes avanadas. D um clique na guia Servios, ser exibida a janela indicada na Figura do incio da prxima pgina. Para habilitar um determinado servio, basta marcar a caixa de seleo ao lado do respectivo servio. Ao clicar em um determinado servio, ser aberta, automaticamente, uma janela Coniguraes de servio. Esta janela vem com o valor padro para os parmetros de configurao do respectivo servio. Somente altere estes valores se voc souber exatamente o que cada parmetro significa, pois ao informar parmetros incorretamente, o servio deixa de funcionar. Voc tambm pode utilizar o boto Adicionar..., para adicionar novos servios, no constantes na lista. 11. Aps ter habilitados os servios necessrios, d um clique no boto OK para aplicar as alteraes. 12. Voc estar de volta janela Propriedades da conexo. D um clique no boto OK para fech-la.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 231 de 290

Segurana no Windows XP Professional - Bsico

Figura - Habilitando/desabilitando servios para o ICF. Configuraes do protocolo ICMP para o Firewall Conforme descrito anteriormente, o protocolo ICMP utilizado por uma srie de utilitrios de rede, utilitrios estes que so usados pelo Administrador da rede para fazer testes de conexes e monitorar equipamentos e linhas de comunicao. Por padro o ICF bloqueia o trfego ICMP. Ns podemos personalizar a maneira como o trfego ICMP ser tratado pelo ICF. Podemos liberar todo o trfego ICMP ou apenas determinados tipos de uso, para funes especficas. Para configurar o padro de trfego ICMP atravs do Firewall, faa o seguinte: 1. Faa o logon como Administrador ou com uma conta com permisso de Administrador. 2. Abra o Painel de controle: Iniciar -> Painel de controle. 3. Se voc estiver no modo de exibio por Categoria d um clique no link Alternar para o modo de exibio clssico. Se voc j estiver no modo de exibio clssico v para o prximo passo. 4. D um clique duplo na opo Conexes de rede. 5. Sero exibidas as conexes de rede e a conexo com a Internet (ou conexes, caso voc tenha mais do que uma conexo configurada).
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 232 de 290

Segurana no Windows XP Professional - Bsico 6. D um clique na conexo para a qual voc ativou o ICF. 7. No painel da esquerda, no grupo de opes Tarefas da rede, d um clique na opo Alterar as configuraes desta conexo. 8. D um clique na guia Avanado. 9. Na guia Avanado, d um clique no boto Configuraes... 10. Ser exibida a janela Configuraes avanadas. D um clique na guia ICMP, ser exibida a janela indicada na Figura a seguir:

Figura - Configurando o trfego ICMP atravs do Firewall. Na guia ICMP podemos marcar/desmarcar as seguintes opes: Permitir solicitao de eco na entrada: As mensagens enviadas para este computador sero repetidas para o remetente. Por exemplo, se algum de fora der um ping para este computador, uma resposta ser enviada. Se esta opo estiver desmarcada o computador no responder a comandos como pint e tracert. Permitir solicitao de carimbo de data/hora de entrada: Os dados enviados para o computador podem ser confirmados por uma mensagem indicando quando foram recebidos.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 233 de 290

Segurana no Windows XP Professional - Bsico Permitir solicitao de mscara de entrada: A mscara de entrada um parmetro de configurao do protocolo TCP/IP, parmetro este que utilizado pelo protocolo para definir se duas mquinas que esto tentando se comunicar, pertencem a mesma rede ou a redes diferentes. Se este parmetro estiver marcado, o computador ser capaz de fornecer diversas informaes sobre a rede a qual ele est conectado. Esta opo importante quando estamos utilizando programas de gerenciamento de rede que, utilizam o protocolo ICMP para obter informaes sobre os equipamentos da rede. Permitir solicitao de roteador de entrada: Se esta opo estiver marcada o computador ser capaz de responder s solicitaes sobre quais rotas ele conhece. Permitir destino de sada inacessvel: Os dados enviados pela Internet, tendo como destino este computador e, que no conseguiram chegar at ele devido a algum erro sero descartados e ser exibida uma mensagem explicando o erro e informando que o destino est inacessvel. A mensagem ser exibida no computador de origem, o qual tentou enviar dados para este computador, dados estes que no conseguiram chegar. Permitir retardamento de origem de sada: Quando a capacidade de processamento de dados de entrada do computador no for compatvel com a taxa de transmisso dos dados que esto chegando, os dados sero descartados e ser solicitado ao remetente que diminua a velocidade de transmisso. Permitir problema no parmetro de sada: Se este computador descartar dados devido a um problema no cabealho dos pacotes de dados, ele enviar ao remetente uma mensagem de erro informando que h um cabealho invlido. Permitir hora de sada ultrapassada: Se o computador descartar uma transmisso de dados por precisar de mais tempo para conclu-la, ele enviar ao remetente uma mensagem informando que o tempo expirou. Permitir redirecionamento: Os dados enviados pelo computador seguiro uma rota alternativa, se uma estiver disponvel, caso o caminho (rota) padro tenha sido alterado. 11. Marque as opes que forem necessrias, de acordo com as funes que estiver desempenhando o comuptador. 12. Aps ter marcado as opes necessrias, d um clique no boto OK para aplicar as alteraes. 12. Voc estar de volta janela Propriedades da conexo. D um clique no boto OK para fech-la.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 234 de 290

Segurana no Windows XP Professional - Bsico Mantendo o Windows Atualizado Windows Update O Windows, antes de tudo, um programa de computador. Um gigantesco programa, digamos de passagem, o qual composto por milhes de linhas de cdigo de programao, distribudas ao longo de milhares de arquivos. Devido ao seu porte, normal que o Windows apresente falhas em um ou mais de seus componentes. Freqentemente so descobertas e relatadas falhas no Windows, falhas estas que, aps conhecidas, so corrigidas pela Microsoft. Normalmente a correo de uma falha implica na substituio de um ou mais arquivos, onde esto os componentes responsveis pela falha. Muitas destas falhas esto relacionadas com a segurana e se no forem corrigidas adequadamente, podem expor o computador do usurio a ataques externos. Seria literalmente impossvel para a Microsoft, enviar novas verses dos arquivos, diretamente para os usurios do Windows, toda vez que uma nova falha ou necessidade de correo, fosse descoberta. Para resolver esta questo, foi criado o Windows Update. O Windows Update nada mais do que um site da Microsoft: http://windowsupdate.microsoft.com, ao qual o usurio se conecta para baixar as atualizaes disponveis. Ao se conectar com o site do Windows Update, o prprio site detecta a verso do Windows que est sendo utilizada e detecta as atualizaes disponveis. Depois s seguir um assistente passo-a-passo (darei um exemplo no exerccio prtico, mais adiante), que as atualizaes sero baixadas e instaladas no seu computador. O Windows Update gratuito e no tem nenhum custo para o usurio. Muitos usurios, apesar de todos os avisos, continuem simplesmente ignorando a necessidade de usar o Windows Update, regularmente. Eu recomendo o uso do Windows Update, pelo menos, uma vez por semana. Um exemplo tpico foi a grande quantidade de mquinas que foram infectadas (e tantas outras que continuam sendo), pelo vrus MSBlast. Porm, a correo da falha explorada pelo vrus MSBlast, estava disponvel atravs do Windows Update, cerca de 20 dias antes de serem noticiadas as primeiras infeces do MSBlast. Ou seja, o remdio j estava disponvel a um bom tempo, mas no foi usado. O episdio do MSBlast serviu para ajudar na divulgao da importncia do uso do Windows Update, o qual est disponvel para diversas verses do Windows, desde o Windows 98 at o Windows Server 2003. Resumindo, considere os seguintes detalhes sobre o Windows Update: O Windows Update nada mais do que um site da Microsoft: http://windowsupdate.microsoft.com, ao qual o usurio se conecta para baixar as atualizaes disponveis para o Windows. recomendado usar o Windows Update (veja exemplo prtico logo a seguir), pelo menos, uma vez por semana. Sempre que houver notcias sobre um novo vrus fundamental que voc use o Windows Update imediatamente. O Windows Update gratuito.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 235 de 290

Segurana no Windows XP Professional - Bsico Usando o Windows Update Exemplo: No exemplo prtico a seguir, mostrarei, passo-a-passo, como utilizar o Windows Update, para atualizar o Windows XP Professional: 1. Faa o logon como Administrador ou com uma conta com permisso de Administrador. 2. Use o comando: Iniciar -> Todos os programas -> Windows update 3. Ser carregado o site do Windows Update e ser exibida uma mensagem de que est sendo procurada a ltima verso do software de atualizao. Caso seja encontrada uma nova verso do site de atualizao, ser exibida uma mensagem de que o site Windows Update foi aprimorado e que voc precisa instalar a nova verso do software de atualizao, conforme indicado na figura a seguir:

4. Clique em Atualizar. 5. Ser exibida uma mensagem de que o Windows est baixando e instalando o software de atualizao e exibido o percentual j concludo. Concluda a instalao, ser exibida uma pgina, onde voc tem as seguintes opes:

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 236 de 290

Segurana no Windows XP Professional - Bsico Instalao Expressa (Recomendada): Atualizaes de Alta Prioridade para Seu Computador: Escolha esta opo para uma atualizao mais rpida. Procure, baixe e instale rapidamente apenas as atualizaes crticas e de segurana necessrias ao seu computador. Esta opo recomendada quando voc deseja instalar somente as atualizaes mais crticas, relacionadas diretamente a problemas de segurana ou de falhas graves no Windows. Instalao Personalizada: Atualizaes de Alta Prioridade e Opcionais para Seu Computador: Escolha esta opo para procurar pelas atualizaes opcionais, crticas e de segurana necessrias ao seu computador, faa sua escolha entre todas as atualizaes do site e revise as atualizaes antes de baix-las. Esta opo permitir que voc selecione quais das atualizaes disponveis, voc deseja instalar.

Nota: Nesta pgina voc tambm pode clicar no link Ativar Atualizaes Automticas. Com as atualizaes automticas, voc pode configurar o Windows para que de tempos em tempos, por exemplo de hora em hora ou a cada 24 horas, verifique se esto disponveis novas atualizaes (claro que para fazer esta verificao o computador deve estar conectado Internet). Voc tambm pode configurar se o Windows deve baixar as configuraes disponveis automaticamente e instal-las automaticamente ou somente baixar e avis-lo de que novas atualizaes esto disponveis, para que voc decida quando instalar. 6. D um clique na opo: Instalao personalizada. 7. Surge uma mensagem informando que o Windows Update est procurando pelas atualizaes disponveis. Concluda esta etapa, ser exibida uma lista de atualizaes disponveis, divididas em categorias. No painel da esquerda, voc clique em uma das categorias disponveis. No painel da direita, sero exibidas as atualizaes disponveis. No exemplo da figura a seguir, temos um micro onde o SP-2 do Windows XP ainda no foi instalado. Quando o nmero de atualizaes torna-se muito grande, a Microsoft rene todas em um pacote conhecido como Service Pack. Ao instalar um SP, como por exemplo o SP-2, sero instaladas todas as atualizaes que foram disponibilizadas entre o SP que est sendo instalado e o SP anterior. Reforo a recomendao aqui: voc no deve esperar pela disponibilizao de um novo SP para fazer a atualizao do Windows. Voc deve usar o Windows Update semanalmente, pelo menos, para ir instalando as atualizaes a medida que estas vo se tornando disponveis. 8. No nosso exemplo, vamos instalar o SP-2. Clique na opo Baixar e instalar agora, ao lado do SP-2, conforme destacado na figura a seguir:

Figura Instalando o SP-2 do Windows XP.


Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 237 de 290

Segurana no Windows XP Professional - Bsico 9. Ser exibido um contrato de licena, o qual aviso sobre os Direitos Autorais. Leia o contrato e clique em Aceito. 10. Ser iniciado o download dos componentes a serem instalados. No caso do SP-2 pode demorar algumas horas, pois so mais de 100 MB de dados a serem copiados. Este tamanho exagerado s ocorre quando da instalao de um SP. No caso das atualizaes individuais, normalmente os arquivos so bem menores, na casa de alguns MBs. Aguarde at que o download seja concludo. 11. Concludo o download, o assistente de instalao das atualizaes (no nosso exemplo o SP-2) ser, automaticamente inicializado, conforme indicado na figura a seguir:

Figura O assistente de instalao do SP-2 12. Clique em Avanar, para seguir para a prxima etapa do assistente. 13. Ser feita uma verificao para detectar as configuraes atuais e determinar como ser feito o processo de instalao do SP-2. Nesta etapa ser feita a verificao se existe espao suficiente em disco, ser feito um Backup dos arquivos que sero atualizados para que, se necessrio, voc possa desinstalar o SP-2, em caso de problemas. 14. Concluda a etapa de Backup, automaticamente, inicia o processo de instalao, conforme exemplificado na figura a seguir:

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 238 de 290

Segurana no Windows XP Professional - Bsico

15. Concludo o processo de instalao ser exibida uma mensagem informando que o processo foi concludo com sucesso, conforme indicado na figura a seguir:

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 239 de 290

Segurana no Windows XP Professional - Bsico 16. A maioria das atualizaes de segurana exige que o computador seja reinicializado. Feche todos os aplicativos que estiverem abertos e clique em Reiniciar Agora, para reiniciar o computador e concluir a instalao do SP-2. Muito bem, agora que voc j conhece o recurso do Windows Update no tem mais desculpa: UTILIZE O WINDOWS UPDATE, PELO MENOS, UMA VEZ POR SEMANA E MANTENHA O WINDOWS SEMPRE ATUALIZADO, O QUE GARANTE UMA MAIOR SEGURANA. Uma nova praga chamada Spyware & Adware No bastassem os vrus, os e-mails falsos e os problemas de segurana do Windows, agora temos mais uma indigesta novidade, os chamados Spyware ou Ad ware. Um Spyware, basicamente, uma configurao ou programa que foi instalado, sem a permisso do usurio. Por exemplo, voc acessa um site na Internet e depois disso, comeam a ser abertas, automaticamente e sem que voc tenha solicitado, dezenas de janelas com propagandas de sites, dos mais variados tipos. Este um dos sintomas tpicos de que o seu computador foi infectado com um Spy ware. A seguir apresento algumas definies para Spyware e as respectivas fontes. 1) Fonte: Site da Microsoft de Portugal: http://www.microsoft.com/portugal

O que um SpyWare & Adware ?


Spyware & Adware so arquivos que esto instalados em seu computador e que secretamente recolhem suas informaes pessoais ou da sua organizao e enviam para anunciantes, terceiros ou outra parte interessada sem sua autorizao nem conhecimento. Spyware & Adware utiliza sua conexo de internet em um baixo nvel (background, tambm conhecido como 'backchannel') sem o seu conhecimento ou permisso explcita. Spyware & Adware permite que companhias monitorem sua navegao na internet e ainda possibilita que elas enviem SPAM ou janelas pop-up com anncios diversos. Exemplo: Lembra daquela vez que voc estava acessando a internet e seu navegador no parava de abrir um monte de janelas de forma descontrolada sem a sua solicitao? Isto um bom exemplo de um spyware e adware trabalhando em conjunto. Se esta situao j aconteceu ou est acontecendo, seu computador certamente est infectado por algum tipo de spyware e adware. O spyware um software que recolhe as suas informaes pessoais sem o consentimento do usurioe sem que voc possa decidir se o aceita, ou recusa. As informaes que o spyware recolhe podem ir desde informao relativa a todos os sites que o usurio visitou, at informaes mais sensveis, tais como nomes de logon e senhas. O computador do usurio pode ser infectado por um spyware a partir de diversas fontes: Download de arquivos a partir de programas de compartilhamento de arquivos, tais como o Kazaa e o E-mule. Acessar sites no conhecidos ou suspeitos.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 240 de 290

Segurana no Windows XP Professional - Bsico Instalar arquivos no confiveis ou de origem desconhecidas. Instalar arquivos ilegais, tais como os que tentam quebrar as protees de software, para poder usar verses pirata.

O spyware est muitas vezes associado a software que apresenta anncios, conhecido como 'adware'. Alguns anunciantes podem instalar de forma oculta um 'adware' no seu sistema e gerar um fluxo de anncios no solicitados que podem inundar a sua rea de trabalho e afetar a sua produtividade. Os anncios podem igualmente conter material pornogrfico, ou de outra natureza, que poder considerar ofensivo. O esforo adicional de processamento que o spyware necessita para seguir os seus movimentos, ou apresentar os anncios, pode sobrecarregar o seu computador e afetar o desempenho do sistema como um todo. Isso no significa que todo o software que gere informao publicitria e controla as suas atividades on-line seja mau. Se assinar um servio de msica gratuita e, em troca desse servio gratuito, a empresa oferecer anncios especficos, pode ser um negcio justo. Da mesma forma, controlar as atividades on-line pode ser til quando usado para apresentar resultados de pesquisa adaptados ao seu perfil de utilizador, ou uma seleo de preferncias personalizadas numa loja online. A questo saber se o usurio foi adequadamente informado sobre o que far esse software e se concordou que esse software fosse instalado no seu computador. Ou seja, o software est a de alguma maneira, enganando o usurio, nos procedimentos que executa, ou na forma como entrou no seu computador? Se a resposta for sim, ento pode ser considerado um Spyware & Adware.

A boa notcia que existem excelentes programas e gratuitos para combater esta verdadeira epidemia de Spy ware e adware. Estes programas funcionam de maneira muito semelhante ao anti-vrus. Quando voc instala um programa Anti spy ware & Adware, instalada uma base de dados com informaes sobre milhares de Spy ware & Adware conhecidos e como elimin-los. O programa tambm permite que esta base de dados seja atualizada pela Internet, para que novos Spy ware & Adware e suas variantes, possam ser eliminados, a medida que forem surgindo. Observem que o funcionamento exatamente igual ao dos anti-vrus. Na minha opinio, o melhor removedor de Spy ware & Adware que existe o Spybot Search & Destroy 1.3, o qual gratuito e pode ser copiado do seguinte endereo: http://www.safer-networking.org/pt/index.html No site www.baboo.com.br voc encontra um tutorial completo, sobre como identificar e eliminar Spy ware & Adware. O tutorial ensina como baixar programas para identificar a infeco, como usar programas de combate a esta praga e quais as medidas preventivas a serem tomadas. um tutorial completo, detalhado, com exemplos passo-a-passo. O tutorial gratuito e pode ser baixado no formato .PDF, a partir do seguinte endereo: http://www.baboo.com.br/malware/malwares_v1.2.zip

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 241 de 290

Segurana no Windows XP Professional - Bsico Concluso Muito bem, este foi um captulo que tratou de tpicos importantes, relacionados com a segurana no uso da Internet: Compartilhamento da Conexo Internet Configuraes de segurana no Internet Explorer Configuraes de segurana do Outlook Express A importncia do anti-vrus Uso do IFC do Windows XP A importncia de manter o Windows Atualizado Usando o Windows Update Uma praga chamada Spy ware

Hoje estamos todos em rede. A Internet alm de todos os seus benefcios, tambm um meio propcio para a disseminao de vrus e outras ameaas a segurana. Por isso a importncia de sabermos usar os recursos de segurana do Windows XP, para tornarmos o uso da Internet bem mais seguro.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 242 de 290

Segurana no Windows XP Professional - Bsico

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 243 de 290

Segurana no Windows XP Professional - Bsico

Mdulo 7 Criptografia de Dados e Logs de Auditoria


Neste mdulo final, apresentarei mais dois tpicos bsicos sobre segurana no Windows XP Professional: Criptografia de dados e Logs de auditoria. Mostrarei que com o uso da Criptografia voc obtm um nvel adicional de proteo para os seus arquivos em pastas, em relao ao nvel de proteo que obtido somente com o uso das permisses NTFS. Tambm mostrarei os cuidados necessrios para que voc no perca o acesso aos dados criptografados. Para encerrar, mostrarei como utilizar o recurso de Logs de auditoria e Logs de segurana do Windows XP Professional. Dentre outros, sero apresentados os seguintes tpicos: Conceito de Criptografia Configurando a Criptografia Dicas para no perder os dados O conceito de auditoria Visualizando eventos de segurana Principais eventos de segurana Filtrando eventos de segurana

Vamos iniciar o mdulo falando sobre a criptografia de arquivos. Quando uma pasta ou um arquivo criptografado, continuamos trabalhando com ele da mesma maneira que em outros arquivos e pastas. A criptografia transparente para o usurio que criptografou o arquivo. Isso significa que voc no precisa descriptografar manualmente um arquivo criptografado para poder us-lo. Voc pode abrir e alterar o arquivo da maneira habitual. J quando outro usurio, que no o usurio que criptografou o arquivo, tenta acessar o arquivo criptografado, este receber uma mensagem de acesso negado. A tecnologia de criptografia do Windows XP baseada no EFS Encripted File System (Sistema de arquivos criptografados). O EFS fornece todo o suporte necessrio para trabalhar com arquivos criptografados. Somente arquivos e pastas em volumes NTFS podem ser criptografados. Criptografia o processo de converter dados em um formato que no possa ser lido por um outro usurio, a no ser o usurio que criptografou o arquivo. Depois que um usurio criptografar um arquivo, esse arquivo permanecer automaticamente criptografado quando for armazenado em disco. Descriptografia o processo de converter dados do formato criptografado no seu formato original. Depois que um usurio descriptografar um arquivo, esse arquivo permanecer descriptografado quando for armazenado em disco.. Na parte final do Mdulo tratarei sobre logs de auditoria. Veremos o conceito a implementao prtica de uma poltica de uso para os logs de auditoria. Trataremos, dentre outros, dos seguintes tpicos: Visualizando e configurando eventos de auditoria. Habilitando e desabilitando eventos de auditoria. Filtragem e pesquisa nos logs de auditoria. Configuraes das propriedades do log. Exportao dos logs para outros formatos.

Com isso encerramos o curso bsico sobre segurana no Windows XP Professional.


Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 244 de 290

Segurana no Windows XP Professional - Bsico Criptografia definies e conceitos O Windows XP fornece suporte a criptografia de pastas e arquivos atravs do EFS Encripted File System (Sistema de arquivos com Criptografia). Com o uso de criptografia temos um nvel de segurana maior do que somente com o uso de permisses NTFS. Somente possvel criptografar arquivos e pastas em volumes formatados com NTFS. Com a criptografia possvel garantir que somente o usurio que criptografou um determinado arquivo tenha acesso ao arquivo. Importante: No esquea, de maneira alguma, este detalhe: A criptografia s est disponvel em volumes formatados com NTFS. No possvel criptografar pastas e arquivos em um volume formatado com FAT ou FAT32. Criptografia o processo de converter dados em um formato que no possa ser lido por um outro usurio, a no ser o usurio que criptografou o arquivo. Depois que um usurio criptografar um arquivo, esse arquivo permanecer automaticamente criptografado quando for armazenado em disco. Descriptografia o processo de converter dados do formato criptografado no seu formato original. Depois que um usurio descriptografar um arquivo, esse arquivo permanecer descriptografado quando for armazenado em disco. Importante: No Windows XP Home Edition, no est disponvel o recurso de criptografia/descriptografia de arquivos. Com as permisses NTFS temos alguns problemas quanto a segurana dos dados: O Administrador da mquina pode usar o recurso de Take Ownership (tornar-se dono), tornando-se desta forma dono dos arquivos/pastas desejados. Aps ter dado um Take Ownership, o Administrador pode atribuir permisses de acesso para si mesmo e, com isso, acessar qualquer arquivo ou pasta. Um usurio pode utilizar um disquete de boot ou instalar um outro sistema operacional no computador e utilizar alguns programas comerciais existentes, para ter acesso a pastas e arquivos protegidas por permisses NTFS.

A grande questo a seguinte: Com o uso da criptografia, mesmo que o seu computador seja roubado ou que outro usurio tenha acesso ao computador, no ser possvel acessar os arquivos e pastas que voc criptografou. A nica maneira de ter acesso fazendo o logon com a sua conta e senha. Em resumo: Com a criptografia, os dados esto protegidos, mesmo que outras pessoas tenham acesso ao seu computador, a nica maneira de acessar os arquivos criptografados fazendo o logon com a conta do usurio que criptografou os arquivos. J com as permisses NTFS, conforme descrito anteriormente, este nvel de proteo no existe, no caso do computador ser roubado ou de um usurio mal intencionado ter acesso ao computador.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 245 de 290

Segurana no Windows XP Professional - Bsico Claro que tambm existem situaes adversas que podem surgir com o uso da criptografia. Por exemplo, vamos supor que um funcionrio criptografou arquivos importantes. Neste meio tempo o funcionrio foi demitido. Como que a empresa poder ter acesso aos arquivos criptografados se o funcionrio demitido se negar a fazer o logon com a sua conta e descriptografar os arquivos?? Por isso que o EFS permite que uma conta seja configurada como Agente de Recuperao, a qual pode ser utilizada em situaes como a descrita neste pargrafo. Mais adiante trataremos, em detalhes, sobre o agente de recuperao. O uso de criptografia especialmente recomendado para usurios de notebooks e outros dispositivos mveis. No raro a ocorrncia de roubos de notebooks, sendo que estes podem conter dados importantes da empresa, tais como planos estratgicos e relatrios de vendas. O uso da criptografia a forma mais indicada para proteger estes dados, mesmo em situaes de roubo de um notebook, o que no seria possvel apenas com o uso de permisses NTFS, conforme descrito anteriormente. A criptografia transparente para o usurio que criptografou o arquivo. Isso significa que voc no precisa descriptografar manualmente o arquivo criptografado para poder us-lo. Voc pode abrir e alterar o arquivo da maneira habitual. Por exemplo, vamos supor que voc criptografou um documento do Word. Ao dar um clique duplo no documento, o Windows XP descriptografa, automaticamente, o arquivo, abre o Word e carrega o arquivo para o usurio. Observe que para o usurio toda a operao transparente, ou seja, como se o arquivo no estivesse criptografado. Se outro usurio, que no o que criptografou o arquivo, tentar utilizlo, receber uma mensagem de acesso negado. O uso do EFS semelhante ao uso de permisses para arquivos e pastas. Ambos os mtodos podem ser usados para restringir o acesso aos dados. No entanto, um intruso que obtenha acesso fsico no-autorizado aos seus arquivos ou pastas criptografados no conseguir l-los. Se o intruso tentar abrir ou copiar sua pasta ou arquivo criptografado, ver uma mensagem de acesso negado. As permisses definidas para arquivos e pastas no os protege contra ataques fsicos no-autorizados, conforme j descrito anteriormente. Voc criptografa ou descriptografa uma pasta ou arquivo definindo a propriedade de criptografia para pastas e arquivos da mesma forma como define qualquer outro atributo, como somente leitura, compactado ou oculto. Se voc criptografar uma pasta, todos os arquivos e sub-pastas criados na pasta criptografada sero automaticamente criptografados. recomendvel que voc use a criptografia para pastas e no para arquivos individualmente, pois isso facilita a administrao dos arquivos criptografados. Nota: Voc tambm pode criptografar ou descriptografar um arquivo ou pasta usando o comando cipher. Trataremos deste comando mais adiante. Antes de aprender a criptografar arquivos e pastas, vamos colocar algumas observaes importantes sobre a criptografia no Windows XP: Somente arquivos e pastas em volumes NTFS podem ser criptografados.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 246 de 290

Segurana no Windows XP Professional - Bsico As pastas e os arquivos compactados no podem ser criptografados. Se o usurio marcar um arquivo ou pasta para criptografia, ele ser descompactado. Falaremos sobre a compactao de pastas e arquivos mais adiante, neste captulo. Se voc mover arquivos descriptografados para uma pasta criptografada, esses arquivos sero automaticamente criptografados na nova pasta. No entanto, a operao inversa no descriptografa automaticamente os arquivos. Nesse caso, necessrio descriptografar manualmente os arquivos. Os arquivos marcados com o atributo Sistema no podem ser criptografados, bem como os arquivos da pasta raiz do sistema, isto C:\ ou D:\ e assim por diante. Criptografar um arquivo ou uma pasta no protege contra excluso ou listagem de arquivos ou pastas. Qualquer pessoa com permisses NTFS adequadas pode excluir ou listar pastas ou arquivos criptografados. A proteo da criptografia contra o acesso aos arquivos, ou seja, somente o usurio que criptografou o arquivo ter acesso. Por isso, recomenda-se o uso do EFS com permisses do NTFS, utilizando as permisses NTFS para impedir que outros usurios possam excluir e at mesmo listar os arquivos que esto em um pasta criptografada. Voc pode criptografar ou descriptografar pastas e arquivos localizados em um computador remoto ativado para criptografia remota. No entanto, se voc abrir o arquivo criptografado na rede, os dados transmitidos na rede atravs desse processo no sero criptografados. Outros protocolos, como a camada de soquetes de segurana/segurana da camada de transporte (SSL/TLS) ou IP Seguro (IPSec), devem ser usados para criptografar dados durante a transmisso.

Agora que j temos um bom entendimento sobre os aspectos tericos relacionados com o EFS, vamos aprender sobre as tarefas prticas, relacionadas com a criptografia de arquivos e pastas no Windows XP. Em primeiro lugar vamos falar sobre algumas medidas preventivas que devem ser tomadas, para garantir que voc sempre possa ter acesso aos arquivos e pastas que voc criptografou. Garantindo a recuperao dos dados A criptografia utilizada pelo Windows XP baseada na utilizao de um par de chaves de criptografia. Uma chave utilizada para criptografar os dados e a outra chave do par utilizada para descriptografar os dados. A nica maneira de descriptografar os dados e ter acesso s informaes tendo acesso as chaves de criptografia. Estas chaves so armazenadas em um Certificado digital, certificado este que gerado, automaticamente, pelo Windows XP, a primeira vez que o usurio criptografa um arquivo ou pasta. Neste Certificado digital esto todas as informaes necessrias para criptografar e descriptografar arquivos. Cada usurio que criptografa/descriptografa arquivos, possui o seu prprio Certificado digital, gerado automaticamente pelo Windows XP. Um certificado adicional tambm gerado para a conta configurada como Agente de recuperao. Desta maneira se o usurio que criptografou arquivos ou pastas deixar a empresa, ser possvel descriptografar os seus dados, utilizando a
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 247 de 290

Segurana no Windows XP Professional - Bsico conta configurada como Agente de recuperao, uma vez que esta conta possui cpia do Certificado digital necessrio a tal operao. O Certificado digital nada mais do que um arquivo que contm as informaes necessrias para trabalhar com criptografia no Windows XP. Como todo arquivo, fica gravado no disco rgido do computador. Acontece que se houver um problema com o disco rgido, a cpia do certificado do usurio e do certificado do agente de recuperao sero perdidas (caso no haja uma cpia de segurana) e, sem um destes certificados, ficar impossvel descriptografar os arquivos/pastas criptografados pelo usurio. Na prtica, significa que perderemos o acesso aos dados. Para evitar que isto acontea, devemos fazer uma cpia de segurana, preferencialmente no disquete, do Certificado digital gerado para o usurio. importante lembrar que este certificado, somente ser gerado na primeira vez que o usurio criptografar alguma pasta ou arquivo. A seguir veremos como fazer o backup do certificado digital do usurio, do certificado do agente de recuperao e como restaurar o certificado digital do usurio. Por padro, a conta Administrador configurada como agente de recuperao. Exemplo 1: Para fazer o backup do certificado do Agente de recuperao, siga os seguintes passos: 1. Faa o logon com uma conta do tipo Administrador do computador. 2. Abra o Painel de controle. 3. Abra a opo Ferramentas administrativas. 4. Abra o console Diretiva de segurana local. 5. D um clique no sinal de + ao lado da opo Diretivas de chave pblica. 6. Nas opes que so exibidas d um clique na opo Sistemas de arquivos criptografados. No painel da direita ser exibido o Certificado do Agente de recuperao, que por padro a conta Administrador. 7. No painel da direita, clique com o boto direito do mouse na conta Administrador. No menu que exibido selecione o comando Todas as tarefas -> exportar... Ser aberto o Assistente para exportao de certificados. 8. A primeira tela apenas informativa. D um clique no boto Avanar (Next), para ir para a prxima etapa do assistente. 9. Nesta etapa voc deve optar por exportar ou no a Chave particular do certificado. A Chave particular um mecanismo de proteger o acesso ao Certificado digital, atravs de uma senha. Se voc no tiver uma senha definida, apenas estar habilitada a opo No, no exportar a chave particular, conforme indicado na Figura do incio da prxima pgina. 10. Certifique-se de que a opo No, no exportar a chave particular esteja marcada e d um clique no boto Avanar (Next), para ir para a prxima etapa do assistente. 11. Surge uma tela perguntando o formato para exportao do certificado. Certifique-se de que a opo X.509 binrio codificado por DER (*.cer) esteja selecionada e d um clique no boto Avanar (Next), para ir para a prxima etapa do assistente. 12. Surge uma tela solicitando o nome do arquivo para o qual ser exportado o certificado. recomendado que voc exporte para um disquete ou para um drive de rede. Certifique-se de que voc colocou um disquete no drive e, no campo Nome do arquivo, digite: A:\cert_ag_recup.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 248 de 290

Segurana no Windows XP Professional - Bsico

Figura - Definindo opes de exportao do certificado do agente de recuperao. 13. D um clique no boto Avanar (Next), para ir para a prxima etapa do assistente. O Windows XP exporta o certificado, para o arquivo especificado no drive de disquete. 14. Ser exibida a tela final do assistente, com um resumo das opes selecionadas. Se voc quiser fazer alguma alterao, pode utilizar o boto Voltar (Back). D um clique no boto Concluir (Finish), para fechar o Assistente para exportao de certificados. 15. Surge uma mensagem informando que a exportao foi concluda com xito. D um clique no boto OK para fechar esta mensagem. 16. Voc estar de volta ao console Configuraes locais de segurana e uma cpia do Certificado digital do Agente de recuperao, foi gravada no disquete. No evento de uma falha do disco rgido, esta cpia pode ser utilizada para descriptografar os arquivos e pastas criptografados. Feche o console Configuraes locais de segurana. Exemplo 2: Para fazer o backup do Certificado digital do usurio, gerado automaticamente pelo Windows XP, quando o usurio criptografa um arquivo ou pasta pela primeira vez, faa o seguinte: 1. Faa o logon com um a conta do usurio, para o qual voc deseja fazer uma cpia de segurana do Certificado digital. 2. Abra o Internet Explorer. 3. Selecione o comando Ferramentas -> Opes da Internet... 4. Na janela Opes da Internet que aberta d um clique na guia Contedo. 5. Na guia Contedo d um clique no boto Certificados. Ser aberta a janela Certificados.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 249 de 290

Segurana no Windows XP Professional - Bsico 6. Na guia Pessoal, d um clique no certificado que corresponde ao nome do usurio logado, conforme indicado na Figura a seguir, onde foi marcado o certificado para o usurio Pedro Pereira Xunar.

Figura - A guia Pessoal da janela Certificados. 7. Clique no boto Exportar..., ser aberto o Assistente para exportao de certificados, com o qual j trabalhamos no exemplo anterior. 8. A primeira tela do assistente apenas informativa, d um clique no boto Avanar (Next), para ir para a prxima etapa do assistente. 9. Nesta etapa voc deve optar por exportar ou no a Chave particular do certificado. 10. Certifique-se de que a opo Sim, exportar a chave particular esteja marcada e d um clique no boto Avanar (Next), para ir para a prxima etapa do assistente. 11. Surge uma tela perguntando o formato para exportao do certificado. Aceite as configuraes sugeridas pelo assistente e d um clique no boto Avanar (Next), para ir para a prxima etapa do assistente. 12. Nesta etapa solicitada uma senha de proteo para abertura do arquivo no qual ser gravado o certificado. Digite a senha duas vezes para confirmao e d um clique no boto Avanar (Next), para ir para a prxima etapa do assistente. Esta senha no precisa ser igual a senha de logon do usurio.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 250 de 290

Segurana no Windows XP Professional - Bsico 13. Surge uma tela solicitando o nome do arquivo para o qual ser exportado o certificado. recomendado que voc exporte para um disquete ou para um drive de rede. Certifique-se de que voc colocou um disquete no drive e, no campo Nome do arquivo, digite: A:\cert_do_jsilva. 14. D um clique no boto Avanar (Next), para ir para a prxima etapa do assistente. O Windows XP exporta o certificado, para o arquivo especificado no drive de disquete. 15. Ser exibida a tela final do assistente, com um resumo das opes selecionadas. Se voc quiser fazer alguma alterao, pode utilizar o boto Voltar (Back). D um clique no boto Concluir (Finish), para fechar o Assistente para exportao de certificados. 16. Surge uma mensagem informando que a exportao foi concluda com xito. D um clique no boto OK para fechar esta mensagem. 17. Voc estar de volta a guia Pessoal da janela Certificados e uma cpia do Certificado digital do usurio logado, foi gravada no disquete. No evento de uma falha do disco rgido, esta cpia pode ser utilizada para descriptografar os arquivos e pastas criptografados. Feche o console Configuraes locais de segurana. 18. Clique no boto Fechar para fechar a janela Certificados. 19. Voc estar de volta janela Opes da Internet. D um clique no boto OK para fech-la. 20. Voc estar de volta ao Internet Explorer. Feche-o. Com estes dois exemplos, aprendemos a exportar o certificado do agente de recuperao e tambm o certificado de um usurio. Estes certificados podem ser importados a partir do disquete, no evento de falha do certificado original. sempre recomendado que voc proteja os certificados com a definio de uma senha e mantenha o disquete em local seguro, pois caso contrrio qualquer usurio que tiver acesso ao disquete poder importar o certificado (conforme veremos logo a seguir) e utiliz-lo para ter acesso aos seus arquivos e pastas criptografados. Por isso da importncia da definio de uma senha para exportao do certificado, pois esta senha ser solicitada quando da importao do certificado. O certificado somente ser importado com sucesso, se a senha correta for informada. Na Figura a seguir vemos os dois arquivos, com os certificados que foram exportados nos exemplos 1. e 2. Observe que o Windows XP usa cones diferentes para o certificado do Agente de recuperao e para o certificado de usurio. Agora vamos ver como importar um certificado a partir de um arquivo.

Figura - Cpia de segurana dos certificados.


Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 251 de 290

Segurana no Windows XP Professional - Bsico Exemplo 3: Para importar um certificado faa o seguinte: 1. Abra a pasta onde est o certificado. No nosso exemplo, use o Meu computador ou o Windows Explorer para acessar o disquete, onde est o arquivo com o certificado a ser importado. 2. Clique com o boto direito do mouse no arquivo com o certificado a ser importado. Se voc estiver importando o certificado do agente de recuperao, no menu que surge, d um clique na opo Importar certificado. Se voc estiver importando o certificado de um usurio, no menu de opes que exibido, d um clique na opo Instalar PFX. 3. No nosso exemplo vamos importar o certificado de usurio, exportado no Exemplo 2. Clique com o boto direito do mouse no arquivo correspondente ao certificado a ser importado e no menu de opes que surge, d um clique na opo Instalar PFX. 4. Ser aberto o Assistente para importao de certificados. 5. A primeira tela apenas informativa. D um clique no boto Avanar (Next), para seguir para a prxima etapa do assistente. 6. O campo Nome do arquivo j vem preenchido com o caminho e o nome do arquivo no qual clicamos com o boto direito do mouse. D um clique no boto Avanar (Next), para seguir para a prxima etapa do assistente. 7. Se houver uma senha definida para o certificado, surgir uma tela solicitando que seja digitada a senha. Digite a senha e d um clique no boto Avanar (Next), para seguir para a prxima etapa do assistente. 8. Nesta etapa selecionamos o local para onde queremos importar o certificado. Aceita a opo sugerida pelo assistente, que por padro Selecionar automaticamente o armazenamento de certificados conforme o tipo de certificado, conforme indicado na Figura a seguir:

Figura - Definindo o local de armazenamento dos certificados.


Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 252 de 290

Segurana no Windows XP Professional - Bsico 9. D um clique no boto Avanar (Next), para ir para a prxima etapa do assistente. 10. Ser exibida a tela final do assistente, com um resumo das opes selecionadas. Se voc quiser fazer alguma alterao, pode utilizar o boto Voltar (Back). D um clique no boto Concluir (Finish), para fechar o Assistente para importao de certificados. 11. Surge uma mensagem informando que a importao foi concluda com xito. D um clique no boto OK para fechar esta mensagem. Agora sim, estamos prontos para comear a trabalhar com a criptografia no Windows XP, pois j sabemos como garantir o acesso aos dados criptografados, atravs da cpia de segurana dos certificados digitais do usurio e do agente de recuperao. Criptografando arquivos e pastas possvel criptografar arquivos individualmente, porm recomendado que voc utilize a criptografia sempre em pastas. Ao criptografar uma pasta, todos os novos arquivos que forem criados dentro da pasta j sero automaticamente criptografados. Com isso ficamos seguros de que todo o contedo da pasta est protegido. Ao criptografar uma pasta e o seu contedo, somente o usurio que criptografou a pasta, ter acesso aos seus arquivos. Outros usurios podero entrar na pasta e at mesmo vero uma listagem dos arquivos, porm ao tentar abrir um arquivo, recebero a mensagem indicada na Figura a seguir.

Figura - Mensagem de acesso negado. Importante: Para impedir que outros usurios possam entrar em uma pasta que voc criptografou e visualizar a listagem de arquivos, configure as permisses NTFS de tal maneira que somente voc possa listar os arquivos desta pasta. Para maiores detalhes sobre a configurao de permisses NTFS, consulte o incio deste mdulo. Exemplo 1: Para criptografar uma pasta e todo o seu contedo, faa o seguinte: 1. Faa o logon com a sua conta de usurio. Somente voc ter acesso aos arquivos da pasta que foi criptografada enquanto voc estava logado com a sua conta de usurio. 2. Usando o Meu computador ou o Windows Explorer, localize a pasta a ser criptografada. 3. Clique com o boto direito do mouse na pasta a ser criptografada e, no menu de opes que exibido, d um clique na opo Propriedades. Ser aberta a janela de propriedades da pasta, com a guia geral selecionada. 4. D um clique no boto Avanados... Ser aberta a janela Atributos avanados.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 253 de 290

Segurana no Windows XP Professional - Bsico 5. Para criptografar a pasta marque a opo Criptografar o contedo para proteger os dados, conforme indicado na Figura a seguir:

Figura - A opo Criptografar o contedo para proteger os dados. 6. D um clique no boto OK. Voc estar de volta janela de propriedades da pasta. 7. D um clique no boto OK. Surge uma janela perguntando se voc deseja criptografar somente a pasta em questo ou todas as suas sub-pastas e arquivos. Selecione a opo Aplicar as alteraes a esta pasta , sub-pastas e arquivos e d um clique no boto OK. 8. O Windows XP inicia o processo de criptografia da pasta e de todo o seu contedo. Dependendo da quantidade de arquivos e sub-pastas, o processo de criptografia pode demorar alguns minutos. Durante este processo exibida uma janela com o progresso da criptografia. Pronto. A pasta est criptografada e somente o usurio que a criptografou ter acesso a pasta. Algumas observaes importantes: As pastas e os arquivos compactados no podem ser, ao mesmo tempo, criptografados. Se voc criptografar uma pasta ou um arquivo compactado, essa pasta ou esse arquivo ser descompactado. Os arquivos marcados com o atributo Sistema no podem ser criptografados, bem como os arquivos que se encontram na estrutura de diretrios raiz dos volumes. Ao criptografar um nico arquivo, voc poder optar se deseja criptografar a pasta que contm o arquivo. Se voc escolher essa opo, todos os arquivos e sub-pastas que forem adicionados posteriormente pasta sero criptografados quando forem adicionados.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 254 de 290

Segurana no Windows XP Professional - Bsico

Ao criptografar uma pasta, voc poder optar se deseja que todos os arquivos e subpastas dentro da pasta tambm sejam criptografados. Se voc escolher essa opo, todos os arquivos e subpastas atualmente na pasta sero criptografados, bem como quaisquer arquivos e subpastas que forem adicionados pasta mais tarde. Se voc optar por criptografar somente a pasta, todos os arquivos e subpastas que se encontram atualmente na pasta no sero criptografados. No entanto, quaisquer arquivos e subpastas que forem adicionados pasta mais tarde sero criptografados quando forem adicionados. aconselhvel que voc sempre opte por criptografar todo o contedo da pasta, conforme descrito no passo 7 do Exemplo anterior. Com isso voc no ter que manter um controle sobre quais pastas e/ou arquivos esto criptografados e quais no esto.

Para criptografar um nico arquivo, o processo semelhante a criptografar uma pasta, conforme descrito nos passos a seguir: 1. Utilizando o Windows Explorer ou o Meu computador, localize o arquivo a ser criptografado. 2. Clique com o boto direito do mouse no arquivo a ser criptografado. No menu de opes que surge, d um clique na opo Propriedades. Ser aberta a janela de propriedades do arquivo, com a guia Geral selecionada por padro. 3. D um clique no boto Avanados... Ser exibida a janela Atributos avanados. 4. Marque a opo Criptografar o contedo para proteger os dados e d um clique no boto OK. 5. Ser aberta a janela Aviso de criptografia, perguntando se voc deseja criptografar o arquivo e a pasta pai (pasta onde est o arquivo) ou somente o arquivo, conforme indicado na Figura a seguir:

Figura - A janela Aviso de criptografia. Se voc no quiser mais receber este aviso e fazer com que o Windows XP faa sempre a criptografia somente do arquivo, marque a opo Sempre criptografar somente o arquivo.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 255 de 290

Segurana no Windows XP Professional - Bsico 6. Na janela Aviso de criptografia selecione a opo desejada e d um clique no boto OK. 7. Voc estar de volta janela de propriedades do arquivo. 8. D um clique no boto OK. O Windows criptografa o arquivo e, dependendo das opes que voc selecionou, tambm a pasta onde est o arquivo. Nota: Voc tambm pode criptografar arquivos e pastas que esto em pastas compartilhadas, em outros computadores da rede. Basta mapear uma unidade para a pasta compartilhada, onde esto os arquivos e pastas a ser criptografados e utilizar os procedimentos descritos neste tpico, para criptograf-los. Operaes com arquivos criptografados Ao copiarmos ou movermos arquivos criptografados, diferentes situaes podem ocorrer dependendo de a pasta de destino ser ou no criptografada e de estar ou no em um volume formatado com NTFS. A seguir descrevo algumas situaes envolvendo aes de copiar e mover com arquivos criptografados. Ao copiar um arquivo no criptografado, para uma pasta criptografada, a cpia do arquivo ser criptografada na pasta de destino. Por exemplo, voc copia o arquivo no criptografado memo.doc, da pasta Meus documentos para a pasta Documentos pessoais, a qual est criptografada. O arquivo memo.doc copiado para a pasta Documentos pessoais ser criptografado. Ao copiar um arquivo criptografado, para um volume NTFS em outro computador com o Windows 2000 ou Windows XP, o arquivo manter a criptografia. Se o computador de destino estiver rodando o Windows NT ou o volume for formatado com FAT, a cpia do arquivo no ser criptografada. Se voc mover um arquivo criptografado para outra pasta, no mesmo volume, o arquivo mantm a criptografia. Se voc mover um arquivo criptografado para outro volume, o Windows XP considerar esta operao como sendo uma cpia, onde o arquivo excludo na pasta de origem e copiado para a pasta de destino. Neste caso, o arquivo segue as regras explicadas no pargrafo anterior.

Nota: Se voc tentar mover um arquivo criptografado por outro usurio, para um volume formatado com FAT, na tentativa de obter uma cpia no criptografada do arquivo, voc receber uma mensagem de Acesso negado, pois para descriptografar o arquivo (o que necessrio para mov-lo para um volume FAT), voc teria que ter acesso ao Certificado digital do usurio que criptografou o arquivo, conforme descrito no incio deste captulo. No esquea deste detalhe para o Exame. Se voc renomear um arquivo criptografado, o arquivo continuar criptografado. Ao excluir um arquivo, a cpia do arquivo que fica na Lixeira, continuar criptografada.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 256 de 290

Segurana no Windows XP Professional - Bsico

Se voc fizer uma cpia de segurana de arquivos criptografados para uma fita de Backup ou para um outro volume NTFS, a cpia de segurana permanecer criptografada. Se voc quiser utilizar arquivos criptografados em outro computador, ter que importar o seu Certificado digital no computador a ser utilizado, conforme descrito no incio deste captulo.

Descriptografando arquivos e pastas Enquanto um determinado arquivo estiver criptografado, o uso deste arquivo no muda para o usurio, ou seja, quando o usurio abre um arquivo criptografado, o Windows XP utiliza as informaes do Certificado digital do usurio para descriptografar o arquivo e fornecer os dados para o usurio. Este processo completamente transparente para o usurio, conforme j descrito no incio do Mdulo. Tambm podemos fazer com que um arquivo criptografado seja descriptografado em definitivo. Podemos utilizar este mecanismo em diversas situaes, como por exemplo, para fornecer acesso ao arquivo para outros usurios. Para descriptografar um arquivo ou pasta extremamente simples, basta seguir os seguintes passos: 1. Localize o arquivo ou pasta a ser descriptografado e d um clique com o boto direito do mouse nele. 2. No menu de opes que surge d um clique em Propriedades. Ser exibida a janela de propriedades do arquivo/pasta. 3. Na guia Geral, da janela de Propriedades, d um clique no boto Avanado... 4. Na janela Atributos avanados, desmarque a opo Criptografar o contedo para proteger os dados. 5. D um clique no boto OK. 6. Voc estar de volta janela Propriedades. D um clique no boto OK. 7. Se voc estiver descriptografando uma pasta, surge a mensagem indicada na Figura a seguir, perguntando se voc deseja descriptografar apenas a pasta ou todo o seu contedo. Selecione a opo desejada e d um clique no boto OK.

Figura - A janela Aviso de criptografia.


Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 257 de 290

Segurana no Windows XP Professional - Bsico 8. A pasta ser descriptografada e tambm o seu contedo, dependendo das opes selecionadas na janela da Figura anterior. Se voc optar por descriptografar somente a pasta, novos arquivos criados na pasta no sero criptografados, porm os arquivos j existentes, mantero a criptografia. Configurar usurios com acesso a arquivos que voc criptografou possvel permitir acesso, a outros usurios, a um arquivo que voc criptografou. Pode ser que alm de voc, outros usurios tambm devam ter acesso ao arquivo criptografado. Nesta situao voc continua utilizando a criptografia, para garantir a segurana dos dados e pode autorizar um ou mais usurios a acessar o arquivo. Exemplo: Para permitir o acesso de outros usurios a um arquivo criptografado, faa o seguinte: 1. Faa o logon com a sua conta de usurio. 2. Usando o Meu computador ou o Windows Explorer, localize e o arquivo que voc criptografou e para o qual voc quer configurar acesso para outros usurios. 3. Clique com o boto direito do mouse no arquivo e no menu que exibido d um clique na opo Propriedades. A janela Propriedades do arquivo ser aberta, com a guia Geral selecionada. 4. D um clique no boto Avanados... Ser exibida a janela Atributos avanados. 5. D um clique no boto Detalhes, ao lado da opo Criptografar o contedo para proteger os dados. Ser exibida a janela Detalhes de criptografia. Nesta janela exibida a lista de usurios com acesso ao arquivo criptografado. Por padro, consta na lista, apenas o nome do usurio que criptografou o arquivo. Para adicionar permisso de acesso a outros usurios, d um clique no boto Adcionar... 6. Ser exibida a janela Selecione o usurio. Nesta janela exibida a listagem de todos os usurios que possuem um Certificado digital, ou seja, de todos os usurios que j criptografaram pelo menos um arquivo ou pasta. Selecione o usurio para o qual voc deseja permitir acesso, conforme indicado na Figura a seguir e d um clique no boto OK.

Figura - Permitindo acesso para outros usurios.


Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 258 de 290

Segurana no Windows XP Professional - Bsico 7. Voc estar de volta janela Detalhes de criptografia e o usurio selecionado na janela da Figura anterior j aparece na lista, conforme indicado na Figura a seguir.

Figura - A janela Detalhes de criptografia. 8. Repita os passos 5, 6 e 7 para adicionar mais usurios a lista de usurios com permisso de acesso ao arquivo criptografado. 9. D um clique no boto OK. Voc estar de volta janela Atributos avanados. 10. D um clique no boto OK para fechar a janela Atributos avanados. Voc estar de volta janela de propriedades do arquivo. 11. D um clique no boto OK para fechar a janela de Propriedades do arquivo. Nota: No possvel adicionar grupos para acessar a criptografia de arquivos, a permisso tem que ser definida usurio por usurio.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 259 de 290

Segurana no Windows XP Professional - Bsico Alterando a diretiva de recuperao do Computador local possvel alterar as configuraes do Agente de recuperao do seu computador. Podemos adicionar novas contas, alm da conta padro Administrador, podemos inclusive excluir todos os usurios da lista de Agentes de recuperao, o que implicar na desabilitao do sistema de criptografia, conforme detalharemos mais adiante. Vamos ver um exemplo prtico. Exemplo: Para alterar a diretiva de recuperao do computador local, faa o seguinte: 1. Abra o MMC: Selecione o comando Iniciar -> Executar, no campo Abrir digite mmc e clique em OK. Ser aberto o MMC sem nenhum Snap-In adicionado. 2. No menu Arquivo, clique em Adicionar/remover snap-in e, em seguida, clique em Adicionar. Ser aberta a janela Adicionar snap-in autnomo. 3. Em Adicionar snap-in autnomo, clique no Snap-in Diretiva de grupo e, em seguida, clique no boto Adicionar. Ser exibida a janela Selecionar objeto de diretiva de grupo. 4. Certifique-se de que Computador local est sendo exibido no campo Objeto de diretiva de grupo e d um clique em Concluir (Finish). Nota: As configuraes de diretiva de grupo definem os vrios componentes do ambiente de rea de trabalho do usurio que o administrador do sistema precisa gerenciar, por exemplo, os programas que esto disponveis para usurios, os programas que aparecem na rea de trabalho do usurio e as opes do menu Iniciar. Para criar uma configurao de rea de trabalho especfica, use o snap-in de diretiva de grupo. A diretiva de grupo se aplica no apenas a usurios e computadores clientes, mas tambm a servidores membros, a controladores de domnio, e a qualquer computador com o Windows 2000 dentro do escopo de gerenciamento. A diretiva de grupo inclui as configuraes de diretiva para Configurao do usurio, as quais afetam os usurios, e para Configurao do computador, as quais afetam os computadores. 5. Voc estar de volta janela Adicionar snap-in autnomo. Clique em Fechar. Voc estar de volta janela Adicionar/remover snap-in, clique em OK. 6. Voc estar de volta ao MMC, com o snap-in Diretiva de grupo j adicionado. 7. Clique no sinal de + ao lado da opo Diretiva computador local 8. Clique no sinal de + ao lado da opo Configurao do computador. 9. Clique no sinal de + ao lado da opo Configuraes do Windows. 10. Clique no sinal de + ao lado da opo Configuraes de segurana 11. Clique no sinal de + ao lado da opo Diretivas de chave pblica 12. Clique na opo Sistema de arquivos criptografados, conforme indicado na Figura a seguir. Observe que por padro, o usurio Administrador definido como sendo o Agente de recuperao. Isto significa que o usurio Administrador poder descriptografar arquivos e pastas criptografados por outros usurios.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 260 de 290

Segurana no Windows XP Professional - Bsico

Figura - A diretiva Sistema de arquivos criptografados. 13. Clique com o boto direito do mouse na opo Sistema de arquivos criptografados e siga uma dos seguintes caminhos: 13.1. Para designar um usurio como agente de recuperao adicional atravs do Assistente para adicionar agente de recuperao, clique na opo Adicionar agente de recuperao de dados... e siga os passos do assistente. 13.2. Para solicitar um novo certificado de recuperao de arquivo atravs do Assistente para solicitao de certificados, clique em Novo -> Agente de recuperao de dados.... Ser aberto o Assistente para adicionar agente de recuperao. Siga os passos do assistente. 13.3. Para excluir essa diretiva de EFS e todos os agentes de recuperao, clique em Excluir diretiva. Se voc selecionar essa opo, os usurios no podero criptografar arquivos neste computador. O Windows XP no permite que voc faa a criptografia de arquivos se no houver um Agente de recuperao configurado. Para voltar a habilitar a criptografia de arquivos, voc deve seguir os passos descritos neste exemplo e adicionar um Agente de recuperao. 14. Aps ter configurado as opes desejadas, feche o MMC. Surge uma janela perguntando se voc deseja salvar o console. Clique em No. Algumas observaes importantes: Antes de qualquer alterao na diretiva de recuperao, voc deve fazer um backup das chaves de recuperao em um disquete, conforme descrito no incio deste captulo. Este procedimento garante que os arquivos podero ser descriptografados caso haja algum problema com as configuraes do Agente de recuperao.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 261 de 290

Segurana no Windows XP Professional - Bsico necessrio fazer logon como administrador ou como um membro do grupo Administradores para concluir este procedimento. Se o seu computador estiver conectado a uma rede, as configuraes de diretiva de rede tambm podero impedi-lo de concluir este procedimento, tais como Polticas de segurana definidas em um domnio baseado no Windows 2000 Server e no Active Directory. Em geral, o computador emite um certificado padro auto-assinado que designa a conta de administrador inicial como o agente de recuperao padro. No entanto, se o primeiro usurio, que fizer logon aps a instalao, criar uma segunda conta atravs do Assistente para criar novo usurio, essa segunda conta se tornar o agente de recuperao padro. Se o certificado do agente de recuperao padro for excludo sem que outro agente de recuperao tenha sido especificado na diretiva, o computador ter uma diretiva de recuperao vazia. Uma diretiva de recuperao est vazia significa que o agente de recuperao inexistente. Isso desativa o EFS, no permitindo que usurios criptografem arquivos nesse computador, conforme descrito no passo 13.3. Se a sua conta for configurado como Agente de recuperao, voc poder descriptografar arquivos criptografados por outros usurios, simplesmente acessando as propriedades do arquivo, clicando no boto Avanados... e desmarcando a opo Criptografar o contedo para proteger os dados. Para realizar tal operao, o Certificado digital correspondente a conta do Agente de recuperao deve estar instalado no computador onde a operao ser realizada. Para maiores detalhes sobre a Importao e Exportao de certificados, consulte a parte inicial deste captulo.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 262 de 290

Segurana no Windows XP Professional - Bsico Exibindo arquivos criptografados em uma cor diferente possvel configurar o Windows XP, para que arquivos e pastas criptografados sejam exibidos com uma cor diferente. Para isso faa o seguinte: 1. Abra o Meu computador. 2. Selecione o comando Ferramentas -> Opes de pasta. 3. Ser aberta a janela Opes de pasta. D um clique na guia Modo de exibio. 4. Marque a opo Exibir arquivos NTFS Criptografados ou compactados em cores, conforme indicado na Figura a seguir. Por padro o nome de arquivos e pastas criptografadas so exibidos em verde e o nome de arquivos e pastas compactadas so exibidos em azul. Arquivos compactados no padro .zip no sero exibidos em azul.

Figura - Exibindo arquivos e pastas criptografadas em cores. 5. 6. Clique em OK para fechar a janela Opes de pasta. Feche o Meu computador.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 263 de 290

Segurana no Windows XP Professional - Bsico Recomendaes sobre a criptografia de pastas e arquivos Neste item coloco algumas recomendaes sobre a criptografia de pastas e arquivos. Estas recomendaes so baseadas na documentao oficial da Microsoft: Para obter o mximo de segurana, criptografe as pastas antes de criar arquivos importantes nelas. Isso faz com que os arquivos criados sejam criptografados e seus dados nunca sejam gravados em disco como texto sem formatao. Se voc salvar a maior parte dos seus documentos na pasta Meus documentos, criptografe-a. Isso assegura que seus documentos pessoais sejam criptografados por padro. No caso de perfis de usurios mveis, deve-se fazer isso apenas se a pasta Meus documentos for redirecionada para um local de rede. Criptografe pastas em vez de arquivos individuais para que, caso um programa crie arquivos temporrios durante a edio, eles tambm sejam criptografados. O agente de recuperao designado dever exportar o certificado de recuperao de dados e a chave particular para um disco, guard-los em um local seguro e excluir do sistema a chave particular de recuperao de dados. Dessa forma, a nica pessoa que poder recuperar dados do sistema ser aquela que possui acesso fsico chave particular de recuperao de dados. Estes procedimentos foram descritos no incio do captulo. Deve-se manter o menor nmero possvel de agentes de recuperao designados. Desse modo, menos chaves ficaro expostas ao ataque criptogrfico e haver mais garantias de que os dados criptografados no sejam descriptografados inadequadamente.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 264 de 290

Segurana no Windows XP Professional - Bsico O comando cipher O comando cipher utilizado para exibir ou altera a criptografia de pastas e arquivos em volumes NTFS. Quando utilizado sem parmetros, cipher exibe o estado de criptografia da pasta atual e de quaisquer arquivos que ela contenha. Sintaxe para o comando cipher, conforme documentao oficial da Microsoft: cipher [{/e|/d}] [/s:dir] [/a] [/i] [/f] [/q] [/h] [/k] [/u[/n]] [nome_de_caminho [...]] | [/r:nome_de_caminho_sem_extenso] | [/w:nome_de_caminho] Na tabela a seguir, temos a descrio dos parmetros do comando cipher. Tabela - Parmetros do comando cipher Parmetro
/e /d /s:dir

Descrio
Criptografa as pastas especificadas. As pastas sero marcadas para que os arquivos adicionados a elas posteriormente tambm sejam criptografados. Descriptografa as pastas especificadas. Efetua a operao selecionada na pasta especificada e em todas as subpastas.

/a

Efetua a operao nos arquivos e pastas. /i Continua a efetuar a operao especificada mesmo aps a ocorrncia de erros. Por padro, cipher interrompido quando um erro encontrado. /f Fora a criptografia ou descriptografia de todos os objetos especificados. Por padro, os arquivos que j tenham sido criptografados ou descriptografados sero ignorados por cipher. /q Reporta somente as informaes mais essenciais. /h Exibe arquivos com atributos de sistema ou ocultos. Por padro, esses arquivos no so criptografados ou descriptografados. /k Cria uma nova chave de criptografia de arquivo para o usurio que estiver executando o comando cipher. Se voc usar esta opo, cipher ignorar todas as outras opes. /u Atualiza a chave de criptografia de arquivo do usurio ou a chave do agente de recuperao, utilizando as mais atuais em todos os arquivos criptografados nas unidades locais (isto , se as chaves tiverem sido alteradas). Esta opo s funciona com /n. /n Evita que as chaves sejam atualizadas. Use esta opo para localizar todos os arquivos criptografados nas unidades locais. Esta opo s funciona com /u. nomedecaminho Especifica um padro, arquivo ou pasta. Gera uma nova chave particular e um novo certificado de agente de :nome de recuperao e grava-os nos arquivos com o nome de arquivo especificado caminho sem em nome_de_caminho_sem_extenso.Se voc usar esta opo, cipher extenso ignorar todas as outras opes. /w:nome de Remove os dados que se encontram em partes no utilizadas de um volume. caminho nome_de_caminho pode indicar qualquer pasta no volume desejado. Se voc usar esta opo, cipher ignorar todas as outras opes. /? Exibe informaes de ajuda no prompt de comando.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 265 de 290

Segurana no Windows XP Professional - Bsico O comando cipher no criptografa arquivos que estejam marcados como somente leitura. Vamos ver alguns exemplos do comando cipher: 1. Para usar o comando cipher para criptografar uma sub-pasta denominada Memorandos em uma pasta denominada Documentos, utilize o seguinte comando: cipher /e Documentos\Memorandos 2. Para criptografar a pasta Documentos, e todas as sua subpastas, digite o seguinte comando: cipher /e /s:Documentos 3. Para criptografar apenas o arquivo finanas.xls na subpasta Planilhas, da pasta Documentos, utilize o seguinte comando: cipher /e /a Documentos\Planilhas\finanas.xls 4. Para criptografar todos os arquivos .xls da sub-pasta Planilhas, da pasta Documentos, digite o seguinte comando: cipher /e /a Documentos\Planilhas\*.xls 5. Para determinar se a pasta Documentos est criptografada, utilize o seguinte comando: cipher Documentos Para determinar os arquivos na pasta Documentos que esto criptografados, utilize o seguinte comando: cipher Documentos\*

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 266 de 290

Segurana no Windows XP Professional - Bsico Trabalhando com eventos de auditoria - Conceito Auditoria um processo de acompanhamento das aes que so executadas no computador ou atravs da rede, tanto aes do prprio Sistema operacional, como por exemplo a incializao de um servio, quanto aes do usurio, como um logon ou um acesso a uma pasta compartilhada. Por exemplo, toda vez que o Windows XP inicializado uma srie de servios so iniciados automaticamente, como o servio spooler que controla a impresso. Cada um destes servios capaz de escrever eventos nos logs de auditoria do Windows XP. Um evento uma mensagem que pode ser informativa, pode ser um aviso e pode ser uma mensagem de erro. Um outro exemplo, quando um usurio tenta fazer o logon e informa uma senha errada, um evento gravado no log de segurana. A auditoria de segurana monitora vrios eventos relativos segurana. O monitoramento de eventos do sistema necessrio para detectar invasores e tentativas de comprometer os dados do sistema. Uma tentativa de logon sem xito um exemplo de um evento que pode ser submetido auditoria. Os tipos mais comuns de eventos a serem submetidos auditoria so: Acesso a objetos, como arquivos e pastas Gerenciamento de contas de usurios e grupos Quando os usurios fazer logon e log off no sistema

Alm da auditoria de eventos relacionados segurana, um log de segurana gerado, oferecendo um meio para que voc visualize os eventos de segurana registrados no log. O log de segurana pode ser exibido com o console Visualizar eventos, que aprenderemos a utilizar logo a seguir. Uma mensagem no log do sistema, possui informaes tais como o usurio que executa a ao, a ao executada e se esta foi executada com sucesso ou no. Tambm podemos configurar o log para indicar quais eventos queremos que sejam gravados, como por exemplo: tentativas de logon com sucesso, tentativas de logon sem sucesso ou ambas . Por exemplo, posso definir se toda vez que um usurio tenta acessar um determinado arquivo, sem ter a devida permisso, que seja registrado um evento no log de segurana. Podemos definir se acesso a arquivos, pastas e impressoras devem ser monitorados ou no. Alm disso podemos definir se devem ser monitorados somente acessos bem sucedidos ou acessos negados, tais como um usurio com permisso somente de leitura que tenta alterar um determinado arquivo em uma pasta compartilhada. Acessamos os logs do sistema utilizando a opo Visualizar eventos do console Gerenciamento do computador. Tambm podemos utilizar o console Visualizar eventos que acessado atravs da opo Ferramentas administrativas do Painel de controle. O console Visualizar eventos configurado para carregar apenas o Snap-in para trabalhar com eventos, ao contrrio do console Gerenciamento do computador, que configurado para carregar uma srie de Snap-ins, dentre eles, o Snap-in Visualizar eventos.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 267 de 290

Segurana no Windows XP Professional - Bsico Por padro existem trs logs nesta opo, conforme descrito a seguir: Log do aplicativo: Contm eventos de erros, avisos e mensagens de informao de diversos programas que rodam no Windows 2000 Server. Por exemplo, o Microsoft SQL Server 7.0 (banco de dados da Microsoft), grava uma srie de eventos no log Aplicativo. O log do aplicativo contm eventos registrados por aplicativos ou programas. Por exemplo, um programa de banco de dados pode registrar um erro de arquivo no log do aplicativo. Os desenvolvedores de programa decidem quais eventos monitorar, isto , ao desenvolver um programa, podemos definir quais eventos o programa ir gravar no log de eventos do Windows XP. Log de segurana: Contm informaes sobre o sucesso ou no de eventos de auditoria, de acordo com definies da poltica de auditoria. Conforme veremos adiante, a poltica de auditoria define quais eventos sero monitorados. O log de segurana registra eventos como tentativas de logon vlidas e invlidas, assim como eventos relacionados ao uso de recursos, como criar, abrir ou excluir arquivos ou outros objetos. Um administrador pode especificar os eventos que sero registrados no log de segurana. Por exemplo, se voc ativou a auditoria de logon, as tentativas de logon no sistema sero registradas no log de segurana. Log do sistema: Contm mensagens de erros, avisos e informaes geradas pelo prprio Windows XP. O Windows XP define quais os eventos que sero gerados. O log do sistema contm eventos registrados pelos componentes de sistema do Windows XP. Por exemplo, a falha de um driver ou de outro componente do sistema ao ser carregado durante a inicializao registrada no log do sistema. Os tipos de evento registrados no log pelos componentes do sistema so determinados previamente pelo Windows XP.

Nota: A medida que novos servios vo sendo instalados, novas opes vo sendo adicionadas ao Visualizador de eventos. Por exemplo, ao instalar o DNS em um servidor Windows 2000 Server, uma opo DNS adicionada ao Visualizador de eventos, entrada essa que trata de eventos relacionados com o servio de DNS. No Windows XP tambm pode acontecer de novas opes serem adicionadas ao Visualizador de eventos, a medida que novos servios e aplicativos so instalados. Cabe aqui salientar que o principal objetivo da existncia de um sistema de Auditoria/Monitoramento, manter um acompanhamento de tudo o que est acontecendo no sistema. Quando algum problema acontece, como por exemplo, um servio que deixa de funcionar, o primeiro lugar que vamos em busca de informao no log do sistema. Informaes importantes sobre segurana podem ser encontrados no log de Segurana. No visualizador de eventos, podemos ter cinco tipos distintos de eventos, conforme descritos abaixo: Erro: Representado por um crculo vermelho com um x branco. Indica um problema srio tal como perda de dados ou de alguma funcionalidade de um servio ou dispositivo que no est operando corretamente.. Por exemplo, se um servio falhar durante a inicializao, um evento de erro ser logado.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 268 de 290

Segurana no Windows XP Professional - Bsico

Aviso: Representado por um tringulo amarelo com um ponto de exclamao. Um evento que no necessariamente um erro, mas pode representar um problema futuro. Por exemplo, quando o espao em disco est ficando pequeno, uma aviso ser logado. Informaes: Representado por um balo branco, com um ponto de exclamao azul. dentro. Descreve uma operao de sucesso de uma aplicao, driver ou servio. Por exemplo, quando um driver de rede carregado com sucesso, um evento de informao logado. Na Figura a seguir, podemos ver uma tela onde aparecem os trs tipos de eventos descritos anteriormente.

Figura - Os eventos de Erro, Aviso e Informaes. Auditoria com xito: Representado por uma chave amarela. Evento gravado no log Segurana. Indica o evento de um acesso com sucesso. Por exemplo, se configuramos para que fossem auditadas as tentativas de logon com sucesso, esse evento pode indicar um usurio que fez o logon com sucesso. Auditoria sem xito: Representado por um cadeado amarelo. Evento gravado no log Segurana. Indica o evento de um acesso sem sucesso. Por exemplo, se configuramos para que fosse auditadas as tentativas de logon sem sucesso, esse evento pode indicar um usurio que no conseguiu efetuar o logon. Na figura do incio da prxima pgina, podemos ver um exemplo dos dois tipos de eventos de segurana: Auditoria com xito e Auditoria sem xito.

Agora que j conhecemos os tipos de log que existem e os diferentes tipos de eventos que cada log pode apresentar, vamos aprender a abrir os logs do sistema, e ver maiores detalhes sobre um evento.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 269 de 290

Segurana no Windows XP Professional - Bsico

Figura - Os eventos de Auditoria com xito e Auditoria sem xito. Acessando o Log de Eventos Exemplo: Visualizando eventos e detalhes dos eventos 1. Faa o logon como Administrador ou com uma conta do tipo Administrador do computador. 2. Abra o Painel de controle: Iniciar -> Painel de controle. 3. Abra a opo Ferramentas administrativas. Na janela Ferramentas administrativas abra a opo Visualizar eventos. Surgir a janela indicada na Figura a seguir:

Figura - O console Visualizar eventos.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 270 de 290

Segurana no Windows XP Professional - Bsico 4. D um clique na opo Aplicativo. Ser exibida uma listagem com os diversos eventos gerados pelos aplicativos instalados. 5. D um clique na opo Segurana. Ser exibida uma listagem com os diversos eventos gerados pelas diversas opes de auditoria de segurana. Por padro nenhum evento de segurana est configurado para ser monitorado. Nesse caso, no existira nenhum evento gravado no log de segurana. Nas prximas lies aprenderemos a habilitar e configurar eventos do log de Segurana. 6. D um clique na opo Sistema. Ser exibida uma listagem com os diversos eventos gerados pelo prprio Windows XP, conforme indicado na Figura a seguir:

Figura - Eventos gerados pelo Windows XP. 7. A listagem de eventos pode ser facilmente classificada de acordo com vrios critrios.

Observe que existem diversas colunas de informao para cada evento. Da esquerda para a direita, temos, por padro, as seguintes colunas: Tipo, Data, Hora, Fonte, Categoria, Evento, Usurio e Computador. Descrio das colunas do log do Windows XP: Tipo: Uma classificao da gravidade do evento: Erro, Informaes ou Aviso nos logs do sistema ou do aplicativo, Auditoria com xito ou Auditoria sem xito no log de segurana. No modo de exibio de lista normal de Visualizar eventos, esses itens so representados por um smbolo, conforme j descrito anteriormente. Data: A data na qual o evento ocorreu, conforme a configurao de data/hora do sistema. Hora: A hora local na qual o evento ocorreu, conforme a configurao de data/hora do sistema..

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 271 de 290

Segurana no Windows XP Professional - Bsico

Fonte: O software que registrou o evento, que pode ser um nome de programa, como o "SQL Server," ou um componente do sistema ou de um grande programa, como um nome de driver. Categoria: Uma classificao do evento definida pela fonte do evento. Essa informao usada principalmente no log de segurana. Por exemplo, para auditorias de segurana, isso corresponde a um dos tipos de eventos para o qual a auditoria com ou sem xito pode ser ativada na diretiva de grupo. Evento: Um nmero que identifica o tipo de evento especfico. A primeira linha da descrio normalmente contm o nome do tipo de evento. Por exemplo, 6005 a identificao do evento que ocorre quando o servio Log de eventos iniciado. A primeira linha da descrio de um evento O servio Log de eventos foi iniciado. A identificao do evento e a fonte podem ser usadas pelos representantes de suporte ao produto para solucionar problemas do sistema.. No site http://support.microsoft.com voc pode pesquisar maiores detalhes sobre um determinado nmero de evento. Usurio: O nome de usurio em nome do qual o evento ocorreu. Este nome a identificao de cliente se o evento foi realmente causado por um processo do servidor ou a identificao primria se a representao no estiver ocorrendo. Quando aplicvel, uma entrada de log de segurana conter as identificaes primrias e de representao, ou seja, o nome de logon do usurio. A representao ocorre quando o Windows XP permite que um processo assuma os atributos de segurana de outro. Computador: O nome do computador onde o evento ocorreu. O nome do computador normalmente seu prprio nome, a menos que voc esteja visualizando um log de eventos em outro computador da rede.

8. Se voc clicar no cabealho da coluna Tipo, por exemplo, a listagem de eventos ser classificada pelo tipo de evento, isto , todos os eventos de erro juntos, todos os eventos de informao juntos e todos os eventos de aviso juntos. Alm disso surge uma setinha ao lado da palavra Tipo, indicando que a listagem est classificada pela coluna Tipo, conforme indicado pela Figura do incio da prxima pgina. Voc pode classificar a listagem, por qualquer uma das colunas, bastando para isso clicar no ttulo da coluna. 9. Para exibir os detalhes de um evento, basta dar um clique duplo no evento. O Windows XP abre uma janela com informaes detalhadas sobre o evento, qual a sua origem, causa e qual o usurio relacionado. Observe na segunda Figura da prxima pgina, temos os detalhes sobre um evento de segurana do tipo Auditoria sem xito, devido a uma falha de logon do usurio Administrador. Conforme o prprio evento informa, a causa mais provvel foi uma senha digitada incorretamente.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 272 de 290

Segurana no Windows XP Professional - Bsico

Figura - Eventos classificados pelo tipo.

Figura - Detalhes sobre um evento de segurnaa do tipo Auditoria sem xito.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 273 de 290

Segurana no Windows XP Professional - Bsico 10. Voc pode configurar quais colunas de informao so exibidas para cada evento. Selecione o comando Exibir -> Adicionar/remover colunas... Ser exibida a janela indicada na Figura a seguir, onde, por padro, so exibidas todas as colunas.

Figura - A janela Adicionar/remover colunas. Para remover uma coluna, marque-a na lista Colunas exibidas e clique em <- Remover. Para adicionar uma coluna, marque-a na lista Colunas disponveis e clique em Adicionar ->. Voc pode alterar a posio das colunas, marcando a coluna na lista Colunas exibidas e utilizando os botes Mover para cima e Mover para baixo. 11. 12. Faa as configuraes desejadas e clique em OK. Feche o Visualizador de eventos.

Exerccio: Abra novamente o Visualizador de eventos e navegue pelos diferentes Logs: Aplicativo, Segurana e Sistema. D um clique duplo sobre alguns eventos e verifique os detalhes sobre o evento. V para a opo Aplicativo e classifique a listagem pelo Tipo, depois pela Data.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 274 de 290

Segurana no Windows XP Professional - Bsico Habilitando/configurando os eventos do log de segurana. Conforme foi descrito no item anterior, o Windows XP configurado, por padro, para no habilitar eventos no log de segurana. Para que sejam auditadas determinadas aes ligadas com a segurana - tais como tentativas de logon e acesso a arquivos e pastas -, precisamos habilitar algumas opes. As opes de segurana, so habilitadas atravs de diretivas de segurana. Nota: Se voc estiver em um Controlador de Domnio, com o Windows 2000 Server ou com o Windows Server 2003 instalado, voc tem duas opes. Pode ser utilizada a opo Diretivas de segurana de controlador de domnio, do menu Ferramentas administrativas. Com esta opo voc est configurando diretivas vlidas somente para o controlador de domnio no qual voc est logado. Tambm pode ser utilizada a opo Diretivas de segurana de domnio, do menu Ferramentas administrativas. Com esta opo voc est configurando diretivas vlidas para todo o domnio. Em um computador com o Windows XP Professional deve ser utilizado o console Diretiva de segurana local, acessada atravs da opo Ferramentas administrativas do Painel de controle.. Neste item utilizaremos a opo Diretiva de segurana local, e habilitaremos a auditoria para o logon dos usurios, tanto para sucesso no logon, quanto para falha no logon. Depois faremos uma tentativa de logon com uma senha errada e iremos observar se foi gerado um evento no log de segurana. Ento mos a obra. Exemplo: Para habilitar a auditoria de eventos de segurana, siga os seguintes passos: 1. Faa o logon como Administrador ou com uma conta do tipo Administrador do computador. 2. Abra o Painel de controle: Iniciar -> Painel de controle. 3. Abra a opo Ferramentas administrativas. Na janela Ferramentas administrativas abra a opo Diretiva de segurana local. Surgir a janela indicada na Figura a seguir:

Figura - O console Diretiva de segurana local.


Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 275 de 290

Segurana no Windows XP Professional - Bsico 4. Se a opo Diretivas locais estiver fechada, d um clique no sinal de + ao lado dela para abri-la. 5. Nas opes que surgem, d um clique na opo Diretiva de auditoria. No painel da direita so exibidas as vrias diretivas de auditoria disponveis, as quais so indicadas na Figura a seguir e explicadas na seqncia. Observe ao lado do nome de cada diretiva, o status Sem auditoria, indicando que no existe definio para esta diretiva, isto , no est sendo logado nenhum evento relacionado a diretiva.

Figura - Opes para configurao das Diretivas de auditoria. Descrio das diretivas de auditoria disponveis: Auditoria de acesso a objetos: Determina se deve ser feita a auditora do acesso de um usurio a um objeto por exemplo, um arquivo, uma pasta, uma chave do Registro, uma impressora etc. que tenha a sua prpria lista de controle de acesso do sistema especificada Por exemplo, uma pasta em uma partio NTFS, onde so definidas permisses de acesso e, alm disso, esteja configurada esta pasta para registrar eventos de acesso no log de auditoria. Se voc definir esta configurao de diretiva, poder especificar se haver auditoria de acessos com xito, acessos sem xito ou se no ocorrer auditoria desse tipo de evento. As auditorias com xito geram uma entrada de auditoria quando um usurio acessa com xito um objeto. As auditorias sem xito geram uma entrada de auditoria quando um usurio tenta acessar sem xito um objeto, como por exemplo, tentar imprimir em uma impressora na qual ele no tem permisso. interessante observar que a definio de Auditoria de acesso a objetos ocorre em duas etapas. Primeiro habilitamos esta diretiva, para acessos com sucess, com falha ou ambos. Em seguida, em cada objeto (pasta, impressora, arquivo, etc) a ser auditado, temos que habilitar a auditoria. Apenas habilitar a diretiva no far com que o acesso aos objetos sejam auditados. Por padro esta diretiva est desabilitada.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 276 de 290

Segurana no Windows XP Professional - Bsico Auditoria de acesso ao servio de diretrio (Active Directory): Define se sero auditadas tentativas de acesso com sucesso, com falha ou ambas, a objetos do Active Directory, para os quais tenha sido habilitada a auditoria dos acessos. O Acrive Direcotry, conforme explicado no Captulo 11, uma base de dados na qual temos uma srie de objetos, como por exemplo: contas de usurios, grupos de usurios, Unidades organizacionais, domnios, sites, etc. Por exemplo, podemos implementar uma poltica para detectar tentativas de alterao sem sucesso, nas contas que fazem parte do grupo Administradores. Por padro esta poltica est desabilitada para controladores de domnio e indefinida para os demais computadores. Um cuidado que devemos ter de habilitar somente as auditorias realmente necessrias, de acordo com a poltica de segurana da empresa, pois se habilitarmos auditoria em um grande nmero de objetos, podemos ter uma queda de desempenho, alm de um crescimento exagerado do log de segurana. Auditoria de alterao de diretivas: Determina se deve ser feita a auditoria de todas as instncias de alterao em diretivas de atribuio de direitos do usurio, diretivas de auditoria ou diretivas de confiana. Auditoria de controle de processos: Determina se deve ser feita a auditoria de informaes de controle de eventos detalhadas, como ativao de programas, trmino de processo, duplicao de identificador e acesso indireto a objeto. Esta diretiva utilizada para fazer uma auditoria dos progrmas que esto rodando no computador, na tentativa de detectar usurios que esto tentando utilizar programas para os quais eles no tem permisso. Auditoria de eventos de logon: Esta diretiva a que ser configurada no exemplo que estamos apresentando. Determina se deve ser feita a auditoria de cada instncia de logon ou logoff de usurio, bem como de conexo de rede no computador. Se voc estiver registrando no log os eventos da Auditoria de eventos de de logon de conta com xito em um controlador de domnio, as tentativas de logon de estao de trabalho no geraro auditorias de logon. Somente tentativas de logon de rede e interativas no prprio controlador de domnio geraro eventos de logon. Resumindo, "eventos de logon de conta" so gerados no local onde reside a conta; "eventos de logon" so gerados no local onde ocorre a tentativa de logon. Voc pode configurar para que sejam auditadas tentativas de logon com sucesso, com falha ou ambas. No caso de um computador com o Windows XP, as tentativas de logon so consideradas as tentativas locais ou tentativas feitas via Terminal Service Client. Auditoria de eventos de sistema: Determina se deve ser feita a auditoria quando um usurio reiniciar ou desligar o computador, ou quando ocorrer um evento que afete a segurana do sistema ou o log de segurana. Auditoria de gerenciamento de contas: Determina se deve ser feita a auditoria de cada evento de gerenciamento de conta em um computador. Os exemplos de eventos de gerenciamento de conta incluem: Um grupo ou conta de usurio ser criado, alterado ou excludo, uma conta de usurio ser renomeada, desativada ou ativada, uma senha ser definida ou alterada.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 277 de 290

Segurana no Windows XP Professional - Bsico Auditoria de uso de privilgios: Determina se deve ser feita a auditoria de cada instncia do uso de um direito do usurio. Direitos (rights) so permisses especiais, como por exemplo incluir um computador como membro de um domnio, que podem ser configuradas pelo Administrador, o qual pode dar estes direitos para determinados usurios. Eventos de logon de conta de auditoria: Determina se deve ser feita a auditoria de cada instncia em que um usurio faz logon ou log off em outro computador do qual seja necessrio fazer a validao da conta.

Feita a descrio das vrias diretivas, vamos continuar o nosso exemplo. 6. No painel da direita, localize uma diretiva chamada Auditoria de eventos de logon e d um clique duplo para abri-la. Ser exibida a janela com as configuraes atuais para esta diretiva. 7. Marque as opes conforme indicado na Figura a seguir e d um clique em OK para habilitar a auditoria de eventos de logon. Observe que estamos pedindo que sejam auditados os eventos tanto para sucesso quanto para a falha no logon.

Figura - Habilitando a auditoria de eventos de logon. 8. Voc deve ter voltado para o console Configuraes locais de segurana. Observe que ao lado da diretiva Auditoria de eventos de logon o status agora aparece Sucesso,Falha, diferente do status anterior que era Sem auditoria. Isso indica que esta auditoria est habilitada tanto para eventos de sucesso quanto falha de logon.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 278 de 290

Segurana no Windows XP Professional - Bsico 9. Feche o console Diretivas de segurana do controlador de domnio. Agora vamos testar se o Windows XP est fazendo a auditoria de eventos de logon. Vamos fazer o logon como usurio user2 (utilize um usurio que voc tem disponvel, no computador que voc est utilizando) e vamos fornecer uma senha errada, para simular uma falha na tentativa de logon. O Windows XP vai dizer que no pode efetuar o logon. Depois vamos fazer o logon como Administrador e verificar no log de segurana se existe um evento para a tentativa de logon sem sucesso. Exemplo: Para gerar um evento de falha de logon e verificar se o evento foi gravado no log de Segurana do Windows XP, siga os passos indicados a seguir: 1. Se estiver logado como Administrador faa o log off. 2. Tente fazer o logon como usurio user2, mas digite uma senha incorreta. 3. O Windows XP informa que o logon no pode ser feito. 4. Agora faa o logon como Administrador (desta vez digite a senha correta). 5. Abra o Painel de controle. Dentro do Painel de controle abra a opo Ferramentas administrativas e d um clique duplo no console Visualizar eventos. D um clique na opo Segurana. 6. Na listagem de eventos, procure o primeiro evento do tipo Auditoria sem xito. D um clique duplo sobre o evento para exibir os seus detalhes. 7. Este evento descreve a tentativa de logon, sem sucesso, do usurio user2, conforme pode ser visto na Figura a seguir:

Figura - Falha na tentativa de logon do usurio user2.


Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 279 de 290

Segurana no Windows XP Professional - Bsico 9. Para ver uma descrio completa do evento, voc pode copiar o texto do evento para a rea de transferncia do Windows XP. Para isso clique no boto Copiar (boto com o desenho de duas folhas sobrepostas, logo abaixo do boto com uma seta para baixo). Depois abra o Bloco de notas (Iniciar -> Programas -> Acessrios -> Bloco de notas) e selecione o comando Editar -> Colar. Para o nosso exemplo, obteremos o texto indicado a seguir: Tipo de evento: Auditoria sem xito Fonte de evento: Security Categoria do evento: Logon/logoff Id. do evento: 529 Data: 14/4/2002 Hora: 14:00:38 Usurio: AUTORIDADE NT\SYSTEM Computador: MICROXP01 Descrio: Falha de logon: Razo: Nome de usurio desconhecido ou senha incorreta Nome de usurio: user2 Domnio: MICROXP01 Tipo de logon:10 Processo de logon: User32 Pacote de autenticao: Negotiate Nome da estao de trabalho: MICROXP01 Para obter mais informaes, visite http://go.microsoft.com/fwlink/events.asp. Observe o seguinte trecho do texto: Razo: Nome de usurio desconhecido ou senha incorreta o Centro de ajuda e suporte em

Este trecho indica, com preciso, o motivo que gerou o evento: uma falha de logon devido a um nome de usurio desconhecido ou senha incorreta. No nosso exemplo o problema foi devido a uma senha digitada incorretamente. 10. 11. D um clique em OK para fechar a janela com os detalhes do evento. Feche o Visualizador de eventos.

Exerccio: Tente fazer o logon com o usurio user3 criado anteriormente e utilizando uma senha incorreta. Depois faa o logon como Administrador e procure pelo evento gerado por essa tentativa de logon sem sucesso. Em seguida faa o logoff do usurio Administrador, faa o logon como usurio user3, desta vez utilizando a senha correta. Faa o logoff do usurio user3, faa o logon como Administrador e confira se um evento de logon com sucesso foi gravado no log Segurana. Nota: Por padro somente o usurio Administrador e os usurios com contas do tipo Administrador, tem permisso para acessar os eventos do log Segurana. Os demais logs: Aplicativo e Sistema, podem ser acessados por qualquer usurios.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 280 de 290

Segurana no Windows XP Professional - Bsico Recomendaes da Microsoft, para configuraes de auditoria Na documentao oficial do Windows XP, encontramos algumas recomendaes sobre as opes de auditoria que devem ser habilitadas. A seguir coloco estas recomendaes. Para minimizar o risco de ameaas segurana, h diversas medidas de auditoria que podem ser tomadas. A seguir temos uma lista dos vrios eventos para os quais aconselhamos que seja feita uma auditoria, bem como a ameaa especfica segurana que o evento de auditoria monitora. Auditoria de falha ao fazer logon/logoff: Serve como preveno para uma violao por senha aleatria, isto , para programas que tentam vrias senhas, na tentativa de adivinhar a senha do usurio. A melhor maneira de se prevenir deste tipo de ataque configurando as polticas de senha, para que a senha seja bloqueada aps trs ou quatro tentativas de logon sem sucesso. Auditoria de xito ao fazer logon/logoff: Serve com uma proteo para o caso de violao por senha roubada, ou seja, para detectar quando um usurio conseguiu descobrir a senha de outro(s) usurio(s). Auditoria em caso de xito em eventos de uso de privilgios, gerenciamento de usurios e grupos, diretivas de alterao de segurana, reinicializao, desligamento e sistema: Utilizada para detectar o uso incorreto dos privilgios, ou a tentativa de utilizar estes privilgios, por usurios no autorizados. Por exemplo, para detectar se um usurio que no tem permisso para instalar novos programas, est tentando instalar programas. Auditoria em caso de xito ou falha para eventos de acesso a arquivos e objetos. Auditoria em caso de xito ou falha do Gerenciador de arquivos no acesso de leitura/gravao a arquivos confidenciais por usurios ou grupos suspeitos: Utilizada para monitorar o acesso indevido a arquivos confidenciais, como por exemplo o banco de dados com informaes sobre salrios, finanas ou com os dados da contabilidade da empresa. Auditoria em caso de xito ou falha para eventos de acesso a objetos e impressoras com acesso a arquivos. Auditoria em caso de xito ou falha do Gerenciador de impresso no acesso a impressoras por usurios ou grupos suspeitos: Utilizada para detectar o acesso imprprio a impressoras, como por exemplo um usurio tentando imprimir um grande nmero de cpias aps o expediente, o que normalmente caracteriza o uso da impressora da empresa para impresso de trabalhos pessoais. Auditoria em caso de xito ou falha no acesso gravao de arquivos de programa (extenses .exe e .dll). Auditoria em caso de xito ou falha no controle de processos. Execuo de programas suspeitos; anlise do log de segurana para verificar se h tentativas inesperadas de modificar arquivos de programa ou criar processos inesperados. Execuo apenas quando o log do sistema estiver sendo monitorado ativamente: Utilizada para detectar quaisquer tentativas de modificar arquivos fundamentais para o funcionamento do Windows XP, o que pode acontecer, por exemplo, no caso de uma infeco por vrus.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 281 de 290

Segurana no Windows XP Professional - Bsico Filtrando eventos nos logs de auditoria A medida que eventos vo sendo gravados nos diferentes logs, a lista de eventos vai ficando bastante extensa, e com isso fica mais difcil para localizar um determinado evento. Podem existir situaes em que estamos interessados em um nico tipo de evento, ou eventos relacionados com um determinado servio ou programa. Por exemplo, pode ser que queiramos visualizar apenas os eventos sobre tentativas de logon sem xito, ou eventos relacionados ao SQL Server 2000. No Visualizador de eventos, possvel filtrar os eventos de acordo com determinados critrios, de tal forma que somente sejam exibidos os eventos que esto de acordo com os critrios especificados. Muitas vezes quando estamos tentando solucionar um determinado problema, pode ser til que sejam exibidos apenas os eventos de erro. Tambm poderamos pedir para que fossem exibidos somente os eventos de Auditoria sem xito. Existem diversas opes de filtragem, conforme veremos nos exemplos prticos, logo a seguir. Exemplo: Para filtrar os eventos do log do sistema pelo tipo de evento, faa o seguinte: 1. Faa o logon como Administrador ou com uma conta do tipo Administrador do computador. 2. Abra o Painel de controle. Dentro do Painel de controle abra a opo Ferramentas administrativas e d um clique duplo no console Visualizar eventos. 3. Ser aberto o console Visualizador de eventos. D um clique na opo Sistema. 4. Observe que esto sendo exibidos eventos de trs diferentes tipos: Erro, Informao e Aviso, conforme indicado pela Figura a seguir:

Figura - Listagem exibindo eventos de Erro, Informao e Aviso. 5. Vamos fazer com que sejam exibidos somente os eventos do tipo Erro. 6. Selecione o comando Exibir -> Filtro. 7. Ser exibida a janela Propriedades do Sistema, com a guia Filtro selecionada, conforme indicado na Figura a seguir:

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 282 de 290

Segurana no Windows XP Professional - Bsico

Figura - Janela para definir critrios de filtragem. 8. Na parte de cima da janela, onde temos o grupo Tipos de eventos, desmarque todas as opes, com exceo da opo Erro. Neste grupo temos opes para definir quais tipos de eventos sero exibidos, como queremos exibir apenas os eventos do tipo Erro, estamos deixando marcada apenas a opo Erro. A lista Fonte do evento permite identificar o software que registrou o evento em log. Este software pode ser um aplicativo ou um componente do sistema, como um driver de Hardware, por exemplo. Por padro, todas as fontes so registradas em log. Para identificar o software que registrou um evento em log, clique com o boto direito do mouse no evento e, em seguida, clique em Propriedades. Se voc selecionar uma opo nesta lista, sero exibidos apenas os eventos para a opo selecionada. Por exemplo, se voc deseja exibira apenas eventos de Erro associados com o CD-ROM, voc marcaria a opo Erro e na lista Fonte de evento, selecionaria CD-ROM. A lista Categoria lista a categoria do evento, conforme definido pela fonte. Por padro, todas as categorias so registradas em log. Para identificar a categoria de um evento, clique com o boto direito do mouse no evento e, em seguida, clique em Propriedades. O Campo Identificao do evento especifica o nmero do evento de um evento especfico. O nmero do evento ajuda os representantes de suporte tcnico a rastrearem os eventos no
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 283 de 290

Segurana no Windows XP Professional - Bsico sistema.Para conhecer a Id. do evento, clique com o boto direito do mouse no evento e, em seguida, clique em Propriedades. Para uma descrio associada com o Id do evento, consulte os manuais do programa (ou do Hardware) ao qual o evento se refere. O campo Usurio fornece um espao para voc digitar um texto que corresponde exatamente ao texto no campo Nome de usurio, isto , o nome de logon do usurio. Este campo no diferencia maisculas de minsculas. Para identificar o usurio de um evento, clique com o boto direito do mouse no evento e, em seguida, clique em Propriedades. Por exemplo, podemos fazer com que sejam exibidos, no log de Segurana, apenas os eventos relacionados a um determinado usurio que est sob investigao, por sucessivas tentativas de acessar arquivos para os quais ele no tem autorizao. O campo Computador permite que voc especifique o nome exato do computador em que ocorreu o evento registrado. Este campo no diferencia maisculas de minsculas. Para identificar o computador em que ocorreu um evento, clique com o boto direito do mouse no evento e, em seguida, clique em Propriedades. Nos campos De e At, voc pode limitar o perodo para o qual voc quer que os logs sejam exibidos. O boto Restaurar padres utilizado para restaurar as configuraes originais de filtragem para o Windows XP. 9. Clique no boto OK para aplicar o filtro.

Voc ter voltado para o Visualizador de eventos. Observe que somente os eventos do tipo Erro so exibidos, conforme indicado pela Figura a seguir:

Figura - Somente os eventos do tipo Erro sendo exibidos. 10. Repita as passos de 6 at 9, s que ao invs de deixar marcada a opo Erro, deixe marcada a opo Informaes. 11. Ao dar um clique em no boto OK, ser exibida uma listagem do Log do sistema, apenas com os eventos do tipo Informao.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 284 de 290

Segurana no Windows XP Professional - Bsico 12. Para voltar a exibir todas os eventos, d um clique com o boto direito do mouse na opo Log do sistema, no menu que surge aponte para Exibir, dentro de Exibir d um clique na opo Todos os registros. 13. Feche o Visualizador de eventos. Nota: Se voc fechar o Visualizador de eventos, todos os filtros so eliminados. Com isso, na prxima vez que o Visualizador de eventos for aberto, todos os eventos estaro sendo exibidos, sem a aplicao de filtros. Outro critrio importante que podemos utilizar para a filtragem dos eventos a Origem do evento. Por exemplo, todos os eventos relacionados com impressoras tem como origem Print. Eventos relacionados com discos rgidos tem como origem disk e assim por diante. O fato de podermos filtrar os eventos de acordo com a sua origem, facilita o trabalho de deteco de problemas, pois permite que sejam exibidos somente os eventos relacionados ao item que est apresentando problema. Exemplo: Para filtrar os eventos do log do sistema pelo origem do evento, faa o seguinte: 1. Faa o logon como Administrador ou com uma conta do tipo Administrador do computador. 2. Abra o Painel de controle. Dentro do Painel de controle abra a opo Ferramentas administrativas e d um clique duplo no console Visualizar eventos. 3. Observe que esto sendo exibidos eventos de trs diferentes tipos: Erro, Informao e Aviso, conforme j citado anteriormente. 4. Vamos fazer com que sejam exibidos somente os eventos cuja origem ntfs, isto , eventos ligados com o sistema de arquivos NTFS. 5. Selecione o comando Exibir -> Filtro. 6. Ser exibida a janela Propriedades do Sistema, com a guia Filtro selecionada 7. Na lista Origem do evento, selecione ntfs, conforme indicado na Figura do incio da prxima pgina. 8. D um clique no boto OK para aplicar o filtro. 9. Na listagem que surge, observe que somente so exibidos eventos cuja origem ntfs. Podemos verificar isso atravs da coluna Origem. 10. D um clique duplo sobre qualquer um dos eventos, para abrir a janela com detalhes sobre o evento. 11. Observe na mensagem para ver se o evento realmente tem a ver com o sistema de arquivos ntfs. 12. Na janela da segunda Figura da prxima pgina, coloquei um exemplo de um evento que foi gerado, onde a origem o sistema de arquivos NTFS. 13. Feche o visualizador de eventos. Importante: A aplicao de filtros funciona de maneira independente entre os diferentes logs. Por exemplo, se voc aplicar um filtro para o log Sistema, o filtro no tem efeito sobre o log Aplicativo ou sobre o log Segurana .

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 285 de 290

Segurana no Windows XP Professional - Bsico

Figura - Selecionando eventos cuja origem ntfs.

Figura - Evento em que a origem o sistema de arquivos NTFS.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 286 de 290

Segurana no Windows XP Professional - Bsico Configurando as propriedades do log Existem algumas propriedades importantes dos logs que podem ser configuradas. A medida que novos eventos vo sendo gravados no log, o tamanho do log vai aumentando. O log consome espao no disco rgido, se nos permitssemos que o log crescesse indefinidamente, poderamos chegar a uma situao em que o espao em disco iria se esgotar. Para evitar que isso acontea podemos definir qual o comportamento do log. Por exemplo, podemos definir o Tamanho mximo que cada log pode ocupar, uma vez atingido o tamanho mximo o que fazer continuar gravando e sobrescrever os eventos mais antigos ou parar de gravar e tambm onde os eventos do log so gravados. Essas configuraes tambm so independentes para cada tipo de log. Por exemplo o Log de sistema pode ter um tamanho mximo diferente dos demais logs. Agora vamos praticar um pouco para aprender a configurar essas propriedades dos logs. Exemplo: Para definir o tamanho mximo e o local onde o Log gravado, faa o seguinte: 1. Faa o logon como Administrador ou com uma conta do tipo Administrador do computador. 2. Abra o Painel de controle. Dentro do Painel de controle abra a opo Ferramentas administrativas e d um clique duplo no console Visualizar eventos. 3. Vamos definir o tamanho mximo para o log Sistema. 4. D um clique com o boto direito do mouse no log do Sistema, no menu que surge d um clique em Propriedades, ira surgir a janela indicada na Figura do incio da prxima pgina. No campo Nome do log, est a indicao de onde o Windows XP grava o arquivo com os eventos. Cada opo de Log gravada em seu prprio arquivo, isto o log Aplicativo, por padro, gravado em C:\WINDOWS\system32\config\AppEvent.Evt, o log Segurana, por padro, gravado em C:\WINDOWS\System32\config\SecEvent.Evt e o log Sistema, por padro, gravado em C:\WINDOWS\system32\config\SysEvent.Evt. Observe que o tamanho mximo para o Log de sistema esta definido em 512 KB (0,5 MB). Este o valor padro. 5. Aumente o tamanho do log para 1024 KB (1 MB).

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 287 de 290

Segurana no Windows XP Professional - Bsico

Figura - Prpriedades para a o log Sistema. 6. Logo abaixo, temos trs opes para quando log atingir o tamanho mximos, conforme descrito a seguir: Substituir eventos conforme necessrio: A medida que o log alcana o tamanho mximo, os eventos mais antigos vo sendo excludos para que novos eventos possam ser gravados. No exige manuteno, porm voc perde eventos mais antigos, os quais sero sobre-escritos pelos eventos mais novos. Substituir eventos com mais de X dias: A medida que o log alcana o tamanho mximo, somente sero eliminados eventos gravados a X dias, conforme configurado nesta opo. Pode haver perda de eventos, dependendo do nmero e freqncia na gerao dos eventos. Esta a opo padro, configurada para Substituir eventos com mais de 7 dias. No substituir eventos (limpar log manualmente): Requer que os eventos sejam manualmente eliminados. Especifica se eventos existentes sero retidos quando o log estiver cheio. Se o tamanho mximo do log for atingido, os eventos novos sero descartados. Esta opo requer que voc esvazie o log manualmente. Selecione esta opo somente se voc precisar reter todos os eventos.

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 288 de 290

Segurana no Windows XP Professional - Bsico 7. 8. 9. Marque a opo Substituir eventos conforme necessrio. D um clique em OK para aplicar estas configuraes para o log Sistema. Feche o Visualizador de eventos.

Nota: Voc tambm pode utilizar o Visualizador de eventos para acessar o log de um outro computador. Para isso, clique com o boto direito do mouse na opo Visualizador de eventos (local). No menu que exibido clique na opo Conectar-se a outro computador... Na janela que surge basta digitar o nome do computador com o qual voc deseja se conectar e clicar em OK. Feito isso o Windows XP conecta com o computador e exibe os logs de auditoria deste computador. Exerccio: Abra o Visualizador de eventos e altere o tamanho mximo do Log de segurana para 2048 KB. Marque a opo Substituir eventos conforme necessrio. Faa com que sejam exibidas apenas as colunas: Tipo, Origem e Usurio. Observe para ver se todos os Logs esto exibindo apenas estas trs colunas. Feche o Visualizador de eventos. Com isso encerramos o nosso estudo sobre Auditoria e logs de auditoria no Windows XP. Para aqueles usurios que j trabalharam com auditoria de eventos no Windows 2000, vero que as configuraes so muito semelhantes. No Windows 95/98 ou Me no esto disponveis as funes de auditoria. Concluso Neste mdulo abordei questes importantes relacionadas com a segurana bsica no Windows XP. Iniciei o mdulo falando sobre Criptografia de pastas e arquivos e depois tratei sobre os Logs de Auditoria do Windows XP. Estes so conceitos bsicos sobre segurana no Windows XP e que voc precisa conhecer bem, para tornar o uso do Windows XP mais seguro. Com isso conclumos o nosso curso bsico de Segurana no Windows XP. Estude bem e, principalmente, aplique os tpicos abordados neste curso. Com isso voc ter muito mais segurana e proteo no uso do Windows XP. Em caso de dvidas sobre os exemplos especficos deste curso, entre em contato pelo e-mail batisti@hotmail.com ou webmaster@juliobattisti.com, informando o nome do curso, a pgina a qual se refere a dvida e uma descrio resumida da dvida. Dvidas em geral, que no sejam sobre os exemplos do curso, no sero respondidas. Para dvidas em geral, utilize os fruns de discusso do site: www.juliobattisti.com.br/cursos Um bom estudo a todos. meu sincero desejo que este curso possa ajud-lo a usar melhor os recursos de segurana do Windows XP. Aguarde, para breve, o curso: Segurana no Windows XP Avanado. Atenciosamente, Jlio Battisti - www.juliobattisti.com.br
MCP, MCP+I, MCSE NT 4, MCSE 2000, MCSE 2003, MCSA 2000, MCSA 2003, MCDST, MCDBA e MVP

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 289 de 290

Segurana no Windows XP Professional - Bsico

Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br


proibido usar este material em treinamentos ou em sala de aula. Pgina 290 de 290