Capítulo 12: Segurança

Este capítulo analisa os tipos de ataques que ameaçam a segurança dos computadores e os dados
contidos neles. Um técnico é responsável pela segurança dos dados e do hardware de uma empresa.
Você vai aprender a trabalhar com os clientes para garantir que a melhor proteção possível seja
implantada.

Para proteger com sucesso os computadores e a rede, um técnico deve entender os dois tipos de
ameaças à segurança dos computadores:

 Física - Eventos ou ataques que roubam, danificam, ou destroem equipamentos, como servidores,
switches e cabeamento

 Dos dados - Eventos ou ataques que removem, corrompem, negam acesso a usuários autorizados,
permitem o acesso a usuários não autorizados ou roubam informações

Malwares

Os computadores e os dados contidos neles devem ser protegidos contra malware:

 O malware é qualquer software criado para realizar atos mal-intencionados. A palavra malware é
uma abreviação de software mal-intencionado.

 É comumente instalado em um computador sem o conhecimento do usuário. Esses programas

abrem janelas adicionais ou alteram a configuração do comutador.

 O malware pode modificar navegadores web para abrir páginas específicas que não são as páginas
desejadas. Isso é conhecido como redirecionamento do navegador.

 Também pode coletar informações armazenadas no computador, sem o consentimento do usuário.

O primeiro e o mais comum tipo de malware é um vírus de computador. Um vírus é transferido para um
outro computador por e-mail, unidades USB, transferências de arquivos e, até mesmo, por meio de
mensagens instantâneas. O vírus se esconde conectando-se a código de computador, software ou
documentos no computador. Quando o arquivo é acessado, o vírus é executado e infecta o computador.
Exemplos de que o vírus pode fazer estão listados na Figura 1.

Outro tipo de malware é um Cavalo de Troia. Um cavalo de Troia geralmente parece com um programa
útil, mas carrega código mal-intencionado. Por exemplo, cavalos de Troia geralmente estão incluídos em
jogos on-line gratuitos. Esses jogos são baixados para o computador do usuário, mas também contêm um
cavalo de Troia. Ao se jogar o jogo, o cavalo de Troia é instalado no sistema do usuário e continua a
operar, mesmo depois que o jogo foi fechado. Existem vários tipos de cavalos de Troia, conforme descrito
na tabela na Figura 2.

Ao longo dos anos, o malware continuou a evoluir. A tabela na Figura 3 descreve outros tipos de malware.

Para detectar, desativar, e remover o malware antes que ele infecte um computador, sempre use o
software antivírus, o antispyware e as ferramentas de remoção de adwares.

É importante saber que esses programas ficam desatualizados rapidamente. Portanto, é responsabilidade
do técnico aplicar as atualizações, patches e as definições de vírus mais recentes, como parte de uma
programação de manutenção regular. Muitas empresas estabelecem uma política de segurança por
escrito que indica que os funcionários não têm permissão para instalar nenhum software que não seja
fornecido pela empresa.
Phishing

O phishing é quando uma pessoa mal-intencionada envia um e-mail, chamadas de telefone ou coloca um
texto com a intenção de fazer o destinatário fornecer informações pessoais ou financeiras. Os ataques de
phishing também são usados para levar os usuários a instalar, sem saber, o malware em seus
dispositivos.

Por exemplo, um usuário recebeu um e-mail que parece ter vindo de uma empresa externa legítima, como
um banco. A pessoa que ataca pode solicitar a verificação das informações, como um nome de usuário,
uma senha ou um número PIN, para evitar, possivelmente, que algum resultado ruim ocorra. Se o usuário
fornecer as informações solicitadas, o ataque de phishing será bem-sucedido.

Uma das formas de ataque de phishing é chamado de spear phishing. Isso ocorre quando um ataque de
phishing é direcionado a um indivíduo ou a uma empresa específica.

As empresas devem educar seus usuários, com relação aos ataques de phishing. Raramente há
necessidade de fornecer informações pessoais ou financeiras on-line. As empresas legítimas não pedirão
informações confidenciais por e-mail. Desconfie. Em caso de dúvida, faça contato por correio ou telefone,
para garantir a validade da solicitação.

Spam

Spam, também conhecido como lixo eletrônico, é e-mail não solicitado, nem autorizado. Na maioria dos
casos, o spam é usado como um método de anúncio. Entretanto, o spam pode ser usado para enviar links
perigosos, malware ou conteúdo enganoso. O objetivo é obter informações confidenciais, como o número
na previdência social ou informações da conta no banco. A maioria dos spams é enviada por vários
computadores em redes que foram infectadas por um vírus ou por um worm. Esses computadores
infectados enviam o máximo de lixo eletrônico possível.

O spam não pode ser interrompido, mas seus efeitos podem ser reduzidos. Por exemplo, a maioria dos
ISPs filtram os spams, antes que eles atinjam a caixa de entrada do usuário. Muitos programas antivírus e
de e-mail executam automaticamente a filtragem de e-mail, como mostra a figura. Isso significa que
detectam e removem spam de uma caixa de entrada.

Mesmo com essas funcionalidades de segurança implementadas, alguns spams ainda podem passar.
Observe alguns dos indicadores mais comuns de Spam:

 Um e-mail sem assunto.

 Um e-mail solicitando uma atualização de uma conta.

 Um e-mail cheio de palavras escritas incorretamente ou pontuação estranha.

  Links no e-mail são longos e/ou incompreensíveis.

 Um e-mail disfarçado como correspondência de uma empresa legítima.

 Um e-mail que solicita que você abra um anexo.

As empresas também devem conscientizar os funcionários sobre os perigos de se abrir anexos de e-mail
que possam conter um vírus ou um worm. Não presuma que os anexos de e-mail são seguros, mesmo
quando são enviados de um contato confiável. O computador do remetente pode estar infectado por um
vírus que está tentando se espalhar. Sempre varra anexos de e-mail, antes de abri-los.

Ataques TCP/IP

Para controlar a comunicação na Internet, o computador usa o suite de protocolos TCP/IP. Infelizmente,
algumas funcionalidades do TCP/IP podem ser manipuladas, resultando em vulnerabilidades na rede.

Como mostrado na Figura 1, o TCP/IP é vulnerável aos seguintes tipos de ataques:

 Negação de Serviço (DoS) – (Figura 2) o DoS (Denial of Service, Negação de Serviço) é um tipo
de ataque que cria, anormalmente, uma grande quantidade de requisições aos servidores de rede,
como e-mail ou servidores web. O objetivo do ataque é sobrecarregar, completamente, o servidor,
com requisições falsas, criando uma negação de serviço para usuários legítimos.

 DoS Distribuído (DDoS )– (Figura 3) um ataque DDoS (Distributed DoS, DoS Distribuído) é como
um ataque DoS, mas é criado usando muito mais computadores, algumas vezes em milhares, para
iniciar o ataque. Os computadores são infectados, primeiro, com malware, depois, se tornam
zumbis, um exército de zumbis, ou botnets. Depois que os computadores são infectados, ficam
dormentes, até que precisem criar um ataque DDoS. Os computadores zumbis que estão em
diferentes localizações geográficas dificultam o rastreamento da origem do ataque.

 Inundação de SYN – (Figura 4) Uma requisição SYN é a comunicação inicial enviada para
estabelecer uma conexão TCP. Um ataque de inundação de SYN abre, aleatoriamente, portas TCP
na origem do ataque e prende o equipamento de rede ou o computador com uma grande
quantidade de requisições SYN falsas. Isso faz com que sessões sejam negadas para os outros.
Um ataque de inundação de SYN é um tipo de ataque DoS.

 Spoofing - Em um ataque de spoofing, um computador finge ser um computador confiável, para

obter acesso aos recursos. O computador usa um endereço MAC ou um endereço IP forjado para
representar um computador que é confiável na rede.

 Man-in-the-Middle – (Figura 5) Um invasor executa um ataque Man-in-the-Middle (MitM) com a

intercepção de comunicações entre computadores para roubar informações que transitam por toda
a rede. Um ataque de MitM também pode ser usado para manipular mensagens e transmitir
informações falsas entre hosts, pois os hosts não reconhecem que as mensagens foram alteradas.

 Replay - Para executar um ataque de replay, as transmissões de dados são interceptadas e

registradas por um invasor. Essas transmissões são reenviadas para o computador destino. O
computador destino processa essas transmissões repetidas como autênticas e enviadas pela fonte
original.

 Envenenamento de DNS - Os registros DNS de um sistema são alterados para apontar para
servidores impostores. O usuário tenta acessar um site legítimo, mas o tráfego é desviado para um
site impostor. O site impostor é usado para capturar informações confidenciais, como nomes de
usuário e senhas. Um invasor poderá, assim, recuperar os dados desse local.
Ataques de Dia Zero

Um ataque de dia zero, às vezes conhecido como uma ameaça de dia zero, é um ataque de computador
que tenta explorar as vulnerabilidades do software que são desconhecidas ou não divulgadas pelo
fornecedor do software. O termo hora zero descreve o momento em que a exploração é descoberta.
Durante o tempo que os fornecedores de software demoram para desenvolver e liberar um patch, a rede
está vulnerável a essas explorações, como mostrado na figura. A defesa contra esses ataques rápidos
requer que os profissionais de rede adotem uma visão mais sofisticada da arquitetura da rede. Não é mais
possível conter as intrusões em alguns pontos da rede.

Engenharia Social

A engenharia social ocorre quando um invasor tenta acessar o equipamento ou uma rede, enganando as
pessoas para que forneçam as informações necessárias para o acesso. Por exemplo, na Figura 1, o
engenheiro social ganha a confiança do funcionário e o convence a divulgar as informações de nome de
usuário e senha.

A tabela na Figura 2 descreve algumas técnicas de engenharia social usadas para obter informações.

Aqui estão algumas precauções básicas para ajudar a proteger contra engenharia social:

 Nunca forneça suas credenciais de login (por exemplo, nome de usuário, senha, PIN).

 Nunca publique as informações de credenciais em sua área de trabalho.

 Bloqueie o computador quando deixar sua mesa.

Para proteger um local físico, a empresa deve:

 Implementar uma lista de controle de acesso ou de entrada contendo aqueles que tem a entrada
permitida.

 Não deixe que ninguém o acompanhe por meio de uma porta que requer um cartão de acesso.

 Sempre peça a identificação de pessoas desconhecidas.

 Restrinja o acesso aos visitantes.

 Acompanhe todos os visitantes.

O Que é Uma Política de Segurança?

Uma política de segurança é um conjunto de objetivos de segurança que garantem a segurança de uma
rede, dos dados e dos sistemas de computacionais de uma empresa. A política de segurança é um
documento em constante desenvolvimento, baseado em mudanças na tecnologia, nos negócios e nas
necessidades dos funcionários.

A política de segurança geralmente é criada e gerenciada pela gerência da empresa e pela equipe de TI,
conforme ilustrado na Figura 1. Juntas, elas criam um documento que deve responder às perguntas
listadas na Figura 2.

Uma política de segurança, normalmente, inclui os itens descritos na Figura 3. Essa lista não é
abrangente e pode incluir outros itens relacionados especificamente à operação de uma empresa.

Neste curso, focamos em configurar a diretiva (política) de segurança local no Windows.

Acessando a Diretiva de Segurança Local do Windows

Na maioria das redes que usam computadores Windows, o Active Directory é configurado com domínios
em um servidor Windows. Computadores Windows são membros de um domínio. O administrador
configura uma diretiva de segurança de domínio que se aplica a todos os computadores que participam
do domínio. As diretivas de contas são configuradas automaticamente, quando um usuário faz login no
Windows.

A diretiva de segurança local do Windows pode ser usada para computadores independentes que não
fazem parte de um domínio do Active Directory. Para acessar a Diretiva de Segurança Local no Windows
7 e no Vista, use o seguinte caminho:

Iniciar > Painel de Controle > Ferramentas Administrativas > Diretiva de Segurança Local

No Windows 8 e 8.1, use o seguinte caminho:

Pesquisar > secpol.msc e clique em secpol.

A ferramenta de diretiva de segurança local será aberta, como mostrado na figura.

Nota: em todas as versões do Windows, você pode usar o comando Executar secpol.msc para abrir a
ferramenta de diretiva de segurança local.

Nomes de Usuário e Senhas

O administrador do sistema geralmente define uma convenção de nomenclatura para nomes de usuário
para criar logins de rede. Um exemplo comum de nome de usuário é a primeira letra do nome da pessoa
e depois todo o sobrenome. Mantenha a convenção de nomenclatura simples, para que as pessoas não
tenham dificuldade de lembrar. Os nomes de usuário e as senhas são informações importantes e não
devem ser revelados.

As diretrizes de senha são um componente importante de uma política de segurança. Qualquer usuário
que fizer logon em um computador ou se conectar a um recurso de rede deve ter uma senha. As senhas
ajudam a evitar roubo de dados e atos mal-intencionados. As senhas também ajudam a confirmar se o
registro de eventos é válido, garantindo a identidade do usuário.

Três níveis de proteção de senha são recomendados:

 BIOS – (Figura 1) Impede que o sistema operacional seja inicializado e que as configurações da
BIOS sejam alteradas, sem a senha adequada.

 Login – (Figura 2) Impede o acesso não autorizado ao computador local.

 Rede – (Figura 3) Impede o acesso aos recursos de rede por pessoal não autorizado.

Configurações de Segurança para Diretivas de Conta

Ao atribuir senhas, o nível de controle de senha deve corresponder ao nível de proteção necessário.
Atribua senhas fortes, sempre que possível. A Figura 1 mostra diretrizes para criar senhas fortes.

Use a Diretiva de Senha em Diretivas de Conta para aplicar requisitos de senha. As configurações na
Figura 2 atendem aos seguintes requisitos:

 Aplicar histórico de senhas - O usuário pode reutilizar uma senha depois que 24 senhas
exclusivas tenham sido salvas.

 Validade máxima da senha - O usuário deve mudar a senha depois de 90 dias.

 Validade mínima da senha - O usuário deve esperar um dia, antes de alterar a senha novamente.
Isso evita que os usuários digitem uma senha diferente 24 vezes para usar novamente uma senha
anterior.

 Tamanho mínimo da senha - A senha deve ter pelo menos oito caracteres.

 A senha deve atender aos requisitos de complexidade - A senha não deve conter o nome da
conta do usuário ou as partes do nome completo do usuário que excedam dois caracteres
consecutivos. A senha deve conter três das seguintes quatro categorias: letras maiúsculas, letras
minúsculas, números e símbolos.

 Armazenar as senhas usando criptografia reversível - Armazenar senhas usando criptografia

reversível é essencialmente o mesmo que armazenar versões de texto simples das senhas. Por
esse motivo, esta política nunca deve ser ativada, a menos que os requisitos de aplicativos superem
a necessidade de proteger as informações de senha.

Use a Diretiva de Bloqueio de Conta em Diretivas de Conta, para impedir tentativas de login por força
bruta. Por exemplo, a configuração mostrada na Figura 3 permite que o usuário digite o nome de usuário
e/ou senha errados cinco vezes. Depois de cinco tentativas, a conta é bloqueada por 30 minutos. Depois
de 30 minutos, o número de tentativas é redefinido para zero e o usuário pode tentar entrar novamente.
Essa política também protegeria contra um ataque de dicionário, onde cada palavra do dicionário é
utilizada para tentar obter acesso.
Gerenciamento Local de Senha

O gerenciamento de senha para computadores Windows independentes é feita localmente pela

ferramenta Contas de Usuário. Para criar, remover ou modificar uma senha no Windows, use o seguinte
caminho, como mostrado na Figura 1:

Painel de Controle > Contas de Usuário

Para impedir que usuários não autorizados acessem computadores e recursos de rede locais, bloqueie a
estação de trabalho, notebook ou servidor, quando não estiver presente.

É importante garantir que os computadores estejam seguros, quando os usuários estiverem ausentes.
Uma política de segurança deve conter uma regra sobre a necessidade de se bloquear um computador,
quando a proteção de tela for iniciada. Isso garantirá que, depois de um curto período de tempo longe do
computador, a proteção de tela será iniciada e o computador não poderá ser usado, até que o usuário
faça login novamente.

Em todas as versões do Windows, use o seguinte caminho:

Painel de Controle > Personalização > Proteção de tela. Escolha uma proteção de tela e um tempo de
espera e selecione a opção Ao reiniciar, exibir tela de logon, conforme mostrado na Figura 2.

Configurações de Segurança para Diretivas Locais

A maioria das configurações no ramo Diretivas Locais da Diretiva de Segurança Local está além do
escopo deste curso. Entretanto, você deve ativar a auditoria para cada Diretiva de Auditoria. Por
exemplo, na figura, a auditoria é ativada para todos os eventos de logon.

Algumas configurações em Atribuição de Direitos de Usuário eOpções de Segurança serão alteradas

no laboratório.

Exportando a Diretiva de Segurança Local

Se a Diretiva de Segurança Local em cada computador independente for a mesma, use a

funcionalidade Exportar Diretiva, como mostrado na figura. Salve a diretiva com um nome,
como workstation.inf. Depois, copie o arquivo da diretiva para uma mídia externa ou unidade de rede,
para usar em outros computadores independentes. Isso é particularmente útil quando o administrador
precisa configurar diretivas locais abrangentes para direitos de usuário e opções de segurança.

Segurança da Web
Há várias ferramentas web (por exemplo, ActiveX, Flash) que podem ser usadas por invasores para
instalar um programa em um computador.

Para evitar isso, os navegadores têm funcionalidades que podem ser usadas para aumentar a segurança
da web:

 Filtragem ActiveX

 Bloqueador de Pop-ups

 Filtro SmartScreen

 Navegação InPrivate

Filtragem ActiveX

Ao navegar na web, algumas páginas podem não funcionar corretamente, a menos que você instale um
controle ActiveX. Alguns controles ActiveX são escritos por terceiros e podem ser mal-intencionados. A
filtragem ActiveX permite a navegação na web sem execução de controles ActiveX.

Depois que um controle ActiveX tiver sido instalado para um site, o controle será executado em outros
sites também. Isso pode prejudicar o desempenho ou apresentar riscos à segurança. Quando a filtragem
ActiveX está ativada, você pode escolher os sites nos quais é permitida a execução de controles ActiveX.
Os sites que não forem aprovados não poderão executar esses controles e o navegador não mostrará
notificações para que você os instale ou os ative.

Para ativar a filtragem de ActiveX no Internet Explorer 11, use o seguinte caminho:

Ferramentas > Filtragem ActiveX

O exemplo na figura exibe que a filtragem ActiveX está ativada. Clicar em Filtragem ActiveX novamente
desativaria o ActiveX.

Para visualizar um site que contém o conteúdo ActiveX quando a filtragem ActiveX está ativada, clique no
ícone azul Filtragem ActiveX na barra de endereços e clique emDesativar a filtragem ActiveX.

Depois de analisar o conteúdo, você pode ativar novamente a filtragem Active X seguindo as mesmas
etapas.

Bloqueador de Pop-ups
Um pop-up é uma janela do navegador web que é aberta sobre outra janela do navegador web. Alguns
pop-ups são iniciados durante a navegação, como um link em uma página que abre um pop-up para
fornecer informações adicionais ou um close de uma imagem. Outros pop-ups são iniciados por um site
ou por um anunciante e são, geralmente, indesejados ou irritantes, especialmente quando vários pop-ups
são abertos ao mesmo tempo em uma página web.

A maioria dos navegadores web oferece a capacidade de bloquear janelas pop-up. Isso permite que um
usuário limite ou bloqueie a maioria dos pop-ups que ocorrem durante a navegação na web.

Para ativar a funcionalidade Bloqueador de Pop-ups do Internet Explorer 11, use o seguinte caminho,
como mostrado na Figura 1:

Ferramentas > Bloqueador de Pop-ups > Ativar bloqueador de pop-ups

Quando o Bloqueador de Pop-ups está ativado, as configurações do Bloqueador de Pop-ups podem ser
personalizadas. Para alterar as configurações do Bloqueador de Pop-ups no Internet Explorer, use o
seguinte caminho, como mostrado na Figura 2:

Ferramentas > Bloqueador de Pop-ups > Configurações do Bloqueador de Pop-ups

As seguintes configurações do Bloqueador de Pop-ups podem ser configuradas, como mostrado na

Figura 3:

 Adicionar um site para permitir pop-ups

 Alterar notificações ao bloquear pop-ups

 Alterar o nível de bloqueio. Alto bloqueia todos os pop-ups, Médio bloqueia a maioria dos pop-ups
automáticos e Baixo permite pop-ups de sites confiáveis.

Filtro SmartScreen

Os navegadores web também podem oferecer funcionalidades adicionais de filtragem web. Por exemplo,
o Internet Explorer 11 fornece a funcionalidade de filtro SmartScreen. Essa funcionalidade detecta sites
de phishing, analisa sites em busca de itens suspeitos e verifica downloads em uma lista que contém sites
e arquivos conhecidos por serem mal-intencionados.

Para ativar a funcionalidade Filtro SmartScreen do Internet Explorer 11, use o seguinte caminho, como
mostrado na Figura 1:

Ferramentas > Filtro SmartScreen > Ativar Filtro SmartScreen

Isso abrirá a janela Filtro SmartScreen da Microsoft, mostrada na Figura 2. Nessa janela, o usuário pode
ativar ou desativar a funcionalidade.

Para ativar a funcionalidade, clique em Ativar filtro SmartScreen (recomendado) e clique em OK.

O conteúdo de uma página web também pode ser verificado. Para analisar a página web atual, use o
seguinte caminho:

Ferramentas > Filtro SmartScreen > Verificar o Site

Para relatar uma página web suspeita, use o seguinte caminho:

Ferramentas > Filtro SmartScreen > Relatar Site Não Seguro

Navegação InPrivate
Os navegadores web mantêm informações sobre as páginas web que você visita, as pesquisas que você
realiza e outras informações identificáveis, incluindo nomes de usuário, senhas e mais. Esta é uma
funcionalidade conveniente ao se usar um computador em casa que esteja protegido com uma senha.
Entretanto, essa é uma preocupação ao usar um computador público, como um computador em uma
biblioteca, em um centro empresarial de um hotel ou em um cibercafé.

As informações retidas pelos navegadores web podem ser recuperadas e exploradas por outros. Eles
podem usar essas informações para roubar sua identidade, para roubar seu dinheiro ou para alterar as
senhas em contas importantes.

Para melhorar a segurança ao usar um computador público, os navegadores web fornecem o recurso de
navegação anônima na web, sem retenção das informações. Por exemplo, a funcionalidade de
Navegação InPrivate, no Internet Explorer 11, impede o armazenamento das informações exibidas na
Figura 1. Ao navegar, o Navegador InPrivate armazena, temporariamente, os arquivos e cookies e os
exclui quando a sessão InPrivate é concluída.

Uma janela de Navegação InPrivate pode ser aberta na área de trabalho do Windows ou no navegador.

Para iniciar a navegação InPrivate no Windows 7, clique com o botão direito do mouse no ícone
do Internet Explorer, conforme mostrado na Figura 2 e clique emIniciar Navegação InPrivate.

Isso abre outra janela InPrivate do navegador, mostrada na Figura 3. A janela explica a funcionalidade
InPrivate e confirma que a funcionalidade está ativada. Observe também que a barra de endereços agora
identifica essa como uma janela InPrivate, conforme destacado na figura. Fechar a janela do navegador
encerra a sessão de navegação InPrivate. É importante observar que apenas essa janela do navegador e
todas as guias novas abertas nessa janela fornecem a privacidade. Outras janelas abertas do navegador
não são protegidas pela Navegação InPrivate.

Para abrir uma janela de Navegação InPrivate no Internet Explorer 11, use o seguinte caminho, como
mostrado na Figura 4:

Ferramentas > Navegação InPrivate

Como alternativa, você pode pressionar Ctrl+Shift+P para abrir uma janela InPrivate.

Firewalls por Software

Um firewall por software é um programa que é executado em um computador para permitir ou negar
tráfego entre o computador e outros computadores aos quais ele está conectado. O firewall por software
aplica um conjunto de regras a transmissões de dados por meio da inspeção e filtragem de pacotes de
dados. O firewall do Windows, ilustrado na Figura 1, é um exemplo de um firewall por software. Ele é
instalado, por padrão, quando o sistema é instalado.

Você pode controlar o tipo de dados enviados de e para o computador selecionando quais portas serão
abertas e o que será bloqueado. Os firewalls bloqueiam conexões de rede de entrada e de saída, a
menos que sejam definidas exceções para abrir e fechar as portas necessárias para um programa.
Para habilitar ou desativar uma porta no firewall do Windows no Windows 7, 8.0, ou 8.1, siga estes
passos:

Passo 1. Painel de Controle > Firewall do Windows > Configurações avançadas.

Passo 2. Escolha configurar Regras de Entrada ou Regras de Saída no painel esquerdo e clique
em Nova Regra… no painel direito, conforme mostrado na Figura 2.

Passo 3. Selecione o botão de opção Porta e clique em Avançar.

Passo 4. Escolha TCP ou UDP.

Passo 5. Escolha Todas as portas locais ou Portas locais específicas para definir portas individuais ou
um intervalo de portas e clique em Próximo.

Passo 6. Escolha Bloquear a conexão e clique em Avançar.

Passo 7. Escolha quando a regra se aplica e clique emPróximo.

Passo 8. Forneça um nome e uma descrição adicional para a regra e clique em Concluir.

Para habilitar ou desativar uma porta no firewall do Windows no Windows Vista, siga estes passos:

Passo 1. Painel de Controle > Firewall do Windows e, depois, clique em Permitir um programa pelo
firewall do Windows.

Passo 2. Clique em Adicionar porta… e configure o nome, o número da porta e o protocolo (TCP ou
UDP).

Passo 3. Clique em OK.

Biometria e Cartões Inteligentes

Os métodos adicionais de proteger o acesso a dispositivos incluem:

 Segurança por Biometria – (Figura 1) A segurança por biometria compara as características

físicas com perfis armazenados, para autenticar pessoas. Um perfil é um arquivo de dados que
contém características conhecidas de uma pessoa. O usuário tem o acesso concedido, se suas
características corresponderem às configurações salvas. Um leitor de impressão digital é um
dispositivo biométrico comum.

 Segurança por Cartão Inteligente - (Figura 2) O cartão inteligente é um cartão de plástico

pequeno, do tamanho de um cartão de crédito, com um chip pequeno incorporado nele. Um chip é
um portador de dados inteligente, capaz de processar, de armazenar, e de proteger os dados. Os
cartões inteligentes armazenam informações privadas, como números de conta bancária, a
identificação pessoal, os registros médicos e as assinaturas digitais. Os cartões inteligentes
fornecem autenticação e criptografia para manter os dados seguros.

 Segurança por Chave Fob – (Figura 3) Uma chave fob de segurança é um dispositivo que é
pequeno suficiente para ser colocado em um chaveiro. Usa um processo chamado autenticação por
dois fatores, que é mais seguro que uma combinação de nome de usuário e senha. Primeiro, o
usuário digita um número de identificação pessoal (PIN ). Se inserido corretamente, a chave fob de
segurança exibirá um número. Este é o segundo fator que o usuário deve inserir para entrar no
dispositivo ou rede.

Backups de Dados

Os dados podem ser perdidos ou danificados em condições como roubo, falha do equipamento, ou um
desastre. Por isso, é importante realizar, regularmente, um backup de dados.
O backup de dados armazena uma cópia das informações de um computador em uma mídia removível de
backup que pode ser guardada em um local seguro. Fazer backup de dados é uma das formas mais
eficazes de proteção contra perda de dados. Se o hardware do computador falhar, os dados podem ser
restaurados do backup para um hardware funcional.

Os backups de dados devem ser realizados regularmente e incluídos na política de segurança. Os

backups de dados são, normalmente, armazenados em outro local, para proteger a mídia de backup, se
algo acontecer com a instalação principal. A mídia de backup é reutilizada com frequência para
economizar custos de mídia. Siga sempre as diretrizes de rotação de mídia da organização.

Estas são algumas considerações para backup de dados:

 Frequência - Os backups podem levar muito tempo. Às vezes é mais fácil fazer um backup
completo mensal ou semanal, e depois backups parciais frequentes de todos os dados que tiverem
mudado, desde o último backup completo. No entanto, ter muitos backup parciais aumenta o tempo
necessário para restaurar os dados.

 Armazenamento - Para segurança adicional, os backups devem ser transportados para um local de
armazenamento externo aprovado em uma rotação diária, semanal ou mensal, dependendo das
necessidades da política de segurança.

 Segurança - Backups podem ser protegidos com senhas. A senha é inserida, antes que os dados
nas mídias de backup possam ser restaurados.

 Validação - Valide sempre os backups para garantir a integridade dos dados.

Para realizar um backup de dados no Windows 7 ou no Vista, use o seguinte caminho, como mostrado na
Figura 1:

Painel de Controle > Backup e Restauração

Aí, você pode fazer backup de um disco rígido em um disco removível, criar uma imagem do sistema, ou
criar um disco de reparo do sistema.

No Windows 8.0 e 8.1, o item Backup e Restauração foi removido do Painel de Controle. Em vez disso,
useHistórico de Arquivos para fazer backup dos arquivos. O Histórico de Arquivos é encontrado no
Painel de Controle. Na Figura 2, nenhuma unidade que poderia ser usada foi encontrada para concluir o
backup. Primeiro, você precisará configurar uma unidade de Histórico de Arquivos e ativar o Histórico de
Arquivos. Você pode escolher uma unidade externa conectada ou uma unidade interna clicando
em Selecionar unidade no painel do lado esquerdo. Ou você pode selecionar um local de rede, como
mostrado na Figura 2.

Permissões de Arquivos e de Pastas

As permissões são regras que você configura para limitar o acesso à pasta ou ao arquivo para um
indivíduo ou para um grupo de usuários. A figura lista as permissões disponíveis para arquivos e pastas.
Para configurar permissões no nível de arquivo ou de pasta em todas as versões do Windows, use o
seguinte caminho:

Clique com o botão direito do mouse no arquivo ou na pasta e selecione Propriedades > Segurança >
Editar…

Princípio de Menos Privilégio

Os usuários devem ser limitados apenas aos recursos que precisam em um sistema computacional ou em
uma rede. Por exemplo, não devem poder acessar todos os arquivos de um servidor se só precisarem
acessar uma única pasta. Pode ser mais fácil fornecer acesso de usuários à unidade inteira, mas é mais
seguro limitar o acesso somente à pasta que é necessária para realizar seu trabalho. Isso é conhecido
como o princípio de menos privilégio. Limitar o acesso aos recursos também evita que os programas mal-
intencionados acessem esses recursos, se o computador do usuário ficar infectado.
Restringindo Permissões de Usuário

Permissões de compartilhamento de arquivos e de rede podem ser concedidas a indivíduos ou com a

participação em um grupo. Essas permissões de compartilhamento são muito diferentes das permissões
NTFS de nível de arquivo e de pasta. Se um indivíduo ou um grupo tiverem as permissões negadas para
um compartilhamento de rede, essa negação se sobreporá a qualquer outra permissão concedida. Por
exemplo, se você negar a alguém permissão para um compartilhamento de rede, o usuário não poderá
acessar esse compartilhamento, mesmo se o usuário for o administrador ou fizer parte do grupo
administrador. A política de segurança local deve descrever quais recursos e o tipo de acesso são
permitidos para cada usuário e grupo.

Quando as permissões de uma pasta são alteradas, tem-se a opção de aplicar as mesmas permissões
para todas as subpastas. Isso é conhecido como propagação de permissões. A propagação de
permissões é uma maneira fácil de aplicar permissões rapidamente a vários arquivos e pastas. Depois
que as permissões da pasta pai tiverem sido definidas, as pastas e os arquivos criados dentro da pasta
pai herdam as permissões da pasta pai.

Além disso, a localização dos dados e a ação realizada nos dados determinam como as permissões são
propagadas:

 Dados movidos para o mesmo volume – Manterão as permissões originais

 Dados copiados para o mesmo volume – Herdarão novas permissões

 Dados movidos para um volume diferente – Herdarão novas permissões

 Dados copiados para um volume diferente – Herdarão novas permissões

Criptografia de Arquivos e de Pastas

A criptografia é, geralmente, usada para proteger os dados. Criptografia é onde os dados são
transformados usando um algoritmo complicado para torná-los ilegíveis. Uma chave especial deve ser
usada para transformar as informações ilegíveis, novamente em dados legíveis. Programas de software
são usados para criptografar arquivos, pastas e, até mesmo, unidades inteiras.

O EFS (Encrypting File System, Sistema de Criptografia de Arquivos) é uma característica do Windows
que pode criptografar dados. O EFS está vinculado diretamente a uma conta de usuário específica.
Apenas o usuário que criptografou os dados poderá acessá-los depois de eles terem sido criptografados
usando EFS. Para criptografar os dados usando EFS em todas as versões do Windows, siga estes
passos:

Passo 1. Selecione um ou mais arquivos ou pastas.

Passo 2. Clique com o botão direito nos dados selecionados >Propriedades.

Passo 3. Clique em Avançado...

Passo 4. Marque a caixa de seleção Criptografar conteúdo para proteger os dados.

Passo 5. Os arquivos e as pastas que foram criptografados com EFS são exibidos em verde, como
mostrado na figura.

BitLocker do Windows

Você também pode escolher criptografar um disco rígido inteiro, usando um recurso chamado BitLocker.
Para usar BitLocker, pelo menos dois volumes devem estar presentes em um disco rígido. Um volume do
sistema é deixado não criptografado e deve ser de pelo menos 100 MB. Esse volume mantém os arquivos
necessários para o Windows inicializar.

Antes de usar o BitLocker, o TPM (Trusted Platform Module, Módulo de Plataforma Confiável) deve ser
ativado na BIOS. O TPM é um chip especializado instalado na placa-mãe. O TPM armazena informações
específicas do sistema host, como chaves de criptografia, certificados digitais e senhas. Os aplicativos,
como o BitLocker, que usam criptografia, podem usar o chip de TPM. Para ativar o TPM, siga estes
passos:

Passo 1. Ligue o computador e entre na configuração da BIOS.

Passo 2. Procure a opção TPM nas telas de configuração da BIOS. Consulte o manual da sua placa-mãe
para localizar a tela correta. O utilitário de configuração do ThinkPad da Lenovo é mostrado na Figura 1.

Passo 3. Escolha Habilitar ou Ativar o chip de segurança.

Passo 4. Salve as alterações na configuração da BIOS

Passo 5. Reinicialize o computador.

Para ativar o BitLocker em todas as versões do Windows, siga estes passos:

Passo 1. Clique em Painel de Controle > Criptografia de Unidade BitLocker.

Passo 2. Na página Criptografia de Unidade BitLocker, clique em Ativar BitLocker no volume do

sistema operacional.

Passo 3. Se o TPM não estiver inicializado, o assistente Inicialização do Hardware de Segurança do

TPM será exibido. Siga as instruções fornecidas pelo assistente para inicializar o TPM. Reinicie o
computador.

Passo 4. A página Salvar a senha de recuperação tem as seguintes opções:

 Salvar a senha em uma unidade USB - Esta opção salva a senha em uma unidade USB.

 Salvar a senha em uma pasta - Esta opção salva a senha em uma unidade de rede ou em outro
local.

 Imprimir a senha - Esta opção imprimirá a senha.

Passo 5. Depois de salvar a senha de recuperação, clique em Avançar.

Passo 6. Na página Criptografar o volume de disco selecionado, marque a caixa de seleção Executar
Verificação de Sistema BitLocker.

Passo 7. Clique em Continuar.

Passo 8. Clique em Reiniciar agora.

Passo 9. A barra de estado Criptografia em Andamento é exibida. Depois de o computador ter sido
reiniciado, você pode verificar se o BitLocker está ativo, como mostrado na Figura 2. Você pode clicar
em Administração do TPM para exibir os detalhes do TPM, como mostrado na Figura 3.

Nota: a criptografia BitLocker também pode ser usada em unidades removíveis usando o BitLocker To
Go. O BitLocker To Go não usa um chip de TPM, mas ainda fornece criptografia dos dados e exige uma
senha.

Apagando Dados

A proteção dos dados também inclui a remoção de arquivos de dispositivos de armazenamento quando
não são mais necessários. Simplesmente excluir os arquivos ou reformatar a unidade pode não ser o
suficiente para garantir a privacidade. Por exemplo, a exclusão de arquivos de uma unidade de disco
rígido não os remove completamente. O sistema operacional remove apenas a referência ao arquivo na
tabela de alocação de arquivos (FAT). No entanto, os dados ainda permanecerão na unidade. Esses
dados não são removidos completamente, até que o disco rígido armazene outros dados no mesmo local,
substituindo os dados anteriores.

Por esse motivo, as ferramentas de software podem ser usadas para recuperar pastas, arquivos, e, até
mesmo, partições inteiras. Podem ser uma bênção, se a exclusão tiver sido acidental. Mas também
podem ser desastrosas se os dados forem recuperados por um usuário mal-intencionado.

Por esse motivo, a mídia de armazenamento deve ser totalmente apagada usando um ou mais dos
seguintes métodos:

 Software para apagamento de dados - Também conhecido como apagamento seguro, consiste
em uma ferramenta de software projetada, especificamente, para sobrescrever dados
repetidamente, tornando-os ilegíveis.

 Varinha de desmagnetização – (Figura 1) consiste em uma varinha com ímãs muito poderosos
que é colocada sobre os pratos expostos do disco rígido, para destruir ou eliminar o campo
magnético de um disco rígido.

 Dispositivo de desmagnetização eletromagnética - Consiste em um ímã com uma corrente

elétrica aplicada a ele para criar um campo magnético muito forte. O dispositivo pode destruir ou
eliminar, muito rapidamente, o campo magnético de um disco rígido.

Esses métodos são descritos com mais detalhes na Figura 2.

Nota: é importante lembrar que as técnicas de apagamento e desmagnetização de dados são

irreversíveis e os dados nunca podem ser recuperados.

Os SSDs são compostos de memória flash, em vez de pratos magnéticos. As técnicas comuns usadas
para apagar dados, como a desmagnetização, não são eficazes. Para garantir completamente que os
dados não possam ser recuperados de um SSD, execute um apagamento seguro. Isso também se aplica
ao SSD híbrido

Outras mídias e documentos de armazenamento (por exemplo, discos óticos, eMMC, pen drives) também
devem ser destruídos. Use um triturador ou um incinerador que sejam projetados para destruir
documentos e todo tipo de mídia. Para os documentos confidenciais que devem ser guardados, como
aqueles com informações secretas ou senhas, guarde-os sempre trancados em um local seguro.

Ao pensar que dispositivos devem ser apagados ou destruídos, lembre-se de que dispositivos além dos
computadores e dos dispositivos móveis armazenam dados. As impressoras e dispositivos multifuncionais
podem também conter um disco rígido que armazena em cache documentos impressos ou digitalizados.
Essa funcionalidade de armazenamento em cache pode ser desativada em alguns casos, ou o dispositivo
precisa ser apagado regularmente para garantir a privacidade dos dados. É uma boa prática de
segurança configurar autenticação de usuário no dispositivo, se possível, para impedir que uma pessoa
não autorizada altere as configurações que se referirem à privacidade.
Reciclagem e Destruição do Disco Rígido

Empresas com dados confidenciais devem sempre criar políticas claras para descarte de mídia de
armazenamento. Há duas opções disponíveis, quando uma mídia de armazenamento não é mais
necessária.

As mídias podem ser:

 Recicladas - Discos rígidos que foram apagados podem ser reutilizados em outros computadores.
A unidade pode ser reformatada e um novo sistema operacional instalado. Dois tipos de formatação
podem ser realizados, como mostra a Figura 1.

 Destruídas - A destruição completa do disco rígido garante, completamente, que os dados não
sejam recuperados de um disco rígido. Os dispositivos especificamente projetados como
esmagadores de disco rígido, trituradores de disco rígido, incineradores, etc, podem ser usados
para grandes volumes de unidades. Danificar a unidade fisicamente, com martelo, como mostra a
Figura 2, também é eficaz.

Uma empresa pode escolher um fornecedor externo para destruir suas mídias de armazenamento. Esses
fornecedores geralmente têm algum vínculo e seguem regulamentações governamentais rígidas. Eles
também podem oferecer um certificado de destruição. Esse certificado fornece evidências de que a mídia
foi completamente destruída.
Programas de Proteção Contra Software Mal-Intencionado

Malware inclui vírus, worms, cavalos de Troia, keyloggers, spyware, e adware. Eles foram criados para
invadir a privacidade, roubar informações, danificar o sistema ou excluir dados corrompidos.

É importante que você proteja os computadores e dispositivos móveis com software antimalware de
qualidade. Os seguintes tipos de programas antimalware estão disponíveis:

 Proteção antivírus - Programa que monitora, continuamente, por vírus. Quando um vírus é
detectado, o usuário é avisado e o programa tenta colocar o vírus em quarentena ou excluí-lo, como
mostra a Figura 1.

 Proteção contra adware – o programa procura continuamente por programas que indicam
publicidade em seu computador.

 Proteção contra phishing – O programa bloqueia endereços IP de sites de phishing conhecidos na

web e avisa o usuário sobre sites suspeitos.

 Proteção contra spyware – Programa que varre o computador em busca de keyloggers e ouros
tipos de spyware.

 Fontes confiáveis/não confiáveis – Programa que avisa sobre programas não seguros prestes a
serem instalados ou sobre sites não seguros na web, antes de serem visitados.

Pode ser necessário usar vários programas diferentes e fazer várias varreduras para remover
completamente todos os softwares mal-intencionados. Execute apenas um programa de proteção contra
malware por vez.

Várias empresas de segurança confiáveis, como McAfee, Symantec e Kaspersky, oferecem a proteção
contra malware completa para computadores e dispositivos móveis.

Desconfie de produtos antivírus falsos mal-intencionados que podem aparecer durante a navegação na
Internet. A maioria desses produtos antivírus falso exibe um anúncio ou um pop-up que parece como uma
janela de aviso real do Windows, como mostra a Figura 2. Eles geralmente afirmam que o computador
está infectado e deve ser limpo. Clicar em qualquer lugar na janela pode iniciar o download e a instalação
do malware.

Quando se deparar com uma janela de aviso suspeita, nunca clique na janela de aviso. Feche a guia ou o
navegador para ver se a janela de aviso some. Se a guia ou o navegador não fechar, pressione ALT+F4
para fechar a janela ou use o Gerenciador de Tarefas para encerrar o programa. Se a janela de aviso não
sumir, varra o computador usando um bom programa antivírus ou de proteção contra adware conhecido,
para garantir que o computador não esteja infectado.

Clique aqui para ler um blog sobre malware antivírus falso.

Software não aprovado ou não compatível não é apenas um software que é instalado de forma não
intencional em um computador. Também pode vir de usuários que queriam instalá-lo. Pode não ser mal-
intencionado, mas ainda pode violar a política de segurança. Esse tipo de sistema não compatível pode
interferir no software da empresa ou nos serviços de rede. O software não aprovado precisa ser removido
imediatamente.

Reparando Sistemas Infectados

Quando um programa de proteção contra malware detecta que um computador está infectado, ele remove
a ameaça ou a coloca em quarentena. Mas o computador provavelmente ainda está em risco. A primeira
etapa para reparar um computador infectado é remover o computador de rede, para evitar que outros
computadores sejam infectados. Desconecte fisicamente todos os cabos de rede do computador e
desative todas as conexões sem fio.

A próxima etapa é seguir todas as políticas de resposta a incidentes que estejam em vigor. Isso pode
incluir notificação da equipe de TI, salvar arquivos de log em mídia removível, ou desligar o computador.
Para um usuário doméstico, atualizar os programas de proteção contra software mal-intencionado
instalados e realizar varreduras completas de todas as mídias instaladas no computador. Muitos
programas antivírus podem ser configurados para serem executados na inicialização do sistema, antes de
carregar o Windows. Isso permite que o programa acesse todas as áreas do disco, sem ser afetado pelo
sistema operacional ou por qualquer malware.

Pode ser difícil remover vírus e worms de um computador. Ferramentas de software são necessárias,
para eliminar os vírus e reparar o código de computador que o vírus modificou. Essas ferramentas de
software são fornecidas pelos fabricantes do sistema operacional e por empresas de software de
segurança. Baixe essas ferramentas de um site legítimo.

Inicialize o computador no modo de segurança, para evitar que a maioria dos drivers sejam carregados.
Instale programas adicionais de proteção contra malware e realize varreduras completas para remover ou
colocar em quarentena malwares adicionais. Pode ser necessário entrar em contato com um especialista
para garantir que o computador tenha sido completamente limpo. Em alguns casos, o computador deve
ser reformatado e restaurado de um backup, ou o sistema operacional pode precisar ser reinstalado.

O serviço de restauração do sistema pode incluir arquivos infectados em um ponto de restauração.

Depois de o computador ter sido limpo de todo malware, os arquivos de restauração do sistema devem
ser excluídos, como mostra a figura.

Atualizações dos Arquivos de Assinatura

Os fabricantes de software devem criar e distribuir, regularmente, novos patches para corrigir falhas e
vulnerabilidades nos produtos. Como novos vírus estão sempre sendo desenvolvidos, o software de
segurança deve ser continuamente atualizado. Esse processo pode ser realizado automaticamente, mas
um técnico deve saber atualizar manualmente qualquer tipo de software de proteção e todos os
programas de aplicativos do cliente.

Os programas de detecção de malware procuram padrões no código de programação do software em um

computador. Esses padrões são determinados analisando vírus que são interceptados na Internet e em
redes locais. Esses padrões de código são chamados assinaturas. Os produtores de software de proteção
compilam as assinaturas em tabelas de definição de vírus. Para atualizar arquivos de assinatura do
software antivírus, primeiro verifique se os arquivos de assinatura são os arquivos mais recentes. Você
pode verificar o status do arquivo, navegando para a opção Sobre do software de proteção ou iniciando a
ferramenta de atualização do software de proteção.

Para atualizar o arquivo de assinatura, siga estes passos:

Passo 1. Crie um ponto de restauração no Windows. Se o arquivo carregado estiver corrompido, definir
um ponto de restauração permite que você volte para a forma como as coisas estavam.

Passo 2. Abra o programa antivírus. Se o programa estiver configurado para executar ou obter
atualizações automaticamente, pode ser necessário desativar a funcionalidade de automatização, para
realizar essas etapas manualmente.
Passo 3. Clique no botão Atualizar.

Passo 4. Depois que o programa estiver atualizado, use-o para varrer o computador.

Passo 5. Quando a varredura tiver sido concluída, verifique o relatório para ver se há vírus ou outros
problemas que não puderam ser tratados e os exclua você mesmo.

Passo 6. Configure o programa antivírus para se atualizar e ser executado automaticamente, de acordo
com um cronograma.

Sempre recupere os arquivos de assinatura do site do fabricante, para garantir que a atualização seja
autêntica e não esteja corrompida por vírus. Isso pode colocar grande demanda no site do fabricante,
especialmente quando vírus novos são lançados. Para evitar criar muito tráfego em um único site, alguns
fabricantes distribuem seus arquivos de assinatura para download em vários sites de download. Esses
sites de download são chamadas espelhos.

CUIDADO: ao baixar arquivos de assinatura de um espelho, certifique-se de que o site espelho seja um
site legítimo. Sempre siga um link para o site espelho vindo do site do fabricante.

Tipos Comuns de Criptografia de Comunicação

A comunicação entre dois computadores pode exigir uma comunicação segura. Para isso, os seguintes
protocolos são necessários:

 Codificação hash

 Criptografia simétrica

 Criptografia assimétrica

A codificação hash, ou hashing, garante a integridade da mensagem. Isso significa que garante que a
mensagem não seja corrompida ou modificada durante a transmissão. Hashing usa uma função
matemática para criar um valor numérico, chamado resumo da mensagem que é exclusivo para os dados.
Se mesmo um único caractere for alterado, a saída da função não será a mesma. A função pode ser
usada apenas em um sentido. Portanto, saber o resumo da mensagem não permite a um invasor recriar a
mensagem, tornando difícil que alguém intercepte e altere as mensagens. A codificação hash está
ilustrada na Figura 1. O algoritmo de hash mais popular agora é o SHA (Secure Hash Algorithm, Algoritmo
de Hash Seguro) que está substituindo o algoritmo MD5 (Message Digest 5, Resumo de Mensagem 5).

A criptografia simétrica garante a confidencialidade da mensagem. Se uma mensagem criptografada for

interceptada, ela não poderá ser entendida. Ela só poderá ser descriptografada (ou seja, lida), usando a
senha (ou seja, chave) com a qual foi criptografada. A criptografia simétrica requer que os dois lados de
uma conversa criptografada use uma chave de criptografia para codificar e decodificar os dados. O
remetente e o receptor devem usar chaves idênticas. A criptografia simétrica é mostrada na Figura 2. A
criptografia AES (Advanced Encryption Standard, Padrão de Criptografia Avançada) e o algoritmo de
criptografia de dados triplo mais antigo (3DES) são exemplos de criptografia simétrica.

A criptografia assimétrica também garante a confidencialidade da mensagem. Requer duas chaves, uma
chave privada e uma chave pública. A chave pública pode ser amplamente distribuída, incluindo ser
enviada por e-mails em texto simples ou publicada na web. A chave privada é mantida por uma pessoa e
não deve ser divulgada a nenhuma outra pessoa. Essas chaves podem ser usadas de duas maneiras:

 A criptografia de chave pública é usada quando uma única organização precisa receber o texto
criptografado de várias fontes. A chave pública pode ser amplamente distribuída e usada para
criptografar as mensagens. O destinatário é o único participante que tem a chave privada, usada
para descriptografar as mensagens. A criptografia assimétrica que usa uma chave pública é
mostrada na Figura 3.

 No caso das assinaturas digitais, uma chave privada é necessária para criptografar uma mensagem
e uma chave pública é necessária para decodificar a mensagem. Essa abordagem permite que o
destinatário tenha confiança sobre a origem da mensagem, pois somente uma mensagem
 criptografada usando a chave privada do autor pode ser descriptografada pela chave pública. RSA
é o exemplo mais popular de criptografia assimétrica.

Nota: a criptografia simétrica requer que os dois sistemas sejam pré-configurados com uma chave
secreta. A criptografia assimétrica exige que apenas um sistema tenha a chave privada.

Service Set Identifiers (SSIDs)

Como as ondas de rádio são usadas para transmitir dados em redes sem fio, é fácil para os invasores
monitorar e coletar dados sem se conectar, fisicamente, a uma rede. Os invasores têm acesso a uma
rede, estando dentro do alcance de uma rede sem fio desprotegida. Um técnico precisa configurar access
points e placas de rede sem fio com um nível de segurança apropriado.

Ao instalar serviços sem fio, aplique técnicas de segurança sem fio, imediatamente, para evitar acesso
não desejado à rede. Os access points sem fio devem ser configurados com segurança básica compatível
com a segurança da rede existente.

O SSID (Service Set Identifier, Identificador do Conjunto de Serviços) é o nome da rede sem fio. Um
roteador ou access point sem fio transmite o SSID por padrão, para que os dispositivos sem fio possam
detectar a rede sem fio. Quando a transmissão do SSID tiver sido desativada no roteador ou access point
sem fio, como mostra a figura, insira manualmente o SSID em dispositivos sem fio, para se conectar à
rede sem fio.

Desativar a transmissão do SSID oferece muito pouca segurança. Se a transmissão do SSID estiver
desativada, um usuário que quiser se conectar à rede sem fio e que conheça o SSID da rede pode,
simplesmente, inseri-lo manualmente. Quando um computador estiver procurando uma rede sem fio, ele
transmitirá o SSID. Um hacker avançado pode facilmente interceptar essas informações e usá-las para
representar o roteador e capturar suas credenciais.

Modos de Segurança Sem Fio

Use um sistema de criptografia sem fio para codificar a informação que está sendo enviada para evitar
captura e uso indesejados de dados. A maioria dos access points sem fio é compatível com vários modos
diferentes de segurança, como mostra a figura. Como discutido em um capítulo anterior, sempre
implemente o modo de segurança mais forte (WPA2) possível.

Muitos roteadores oferecem WPS (Wi-Fi Protected Setup, Configuração Protegida de Wi-Fi). O WPS
permite a configuração muito fácil de segurança Wi-Fi. Com o WPS, o roteador e o dispositivo sem fio
terão um botão que, quando os dois forem pressionados, a segurança Wi-Fi entre os dispositivos será
automaticamente configurada. Uma solução de software que usa um PIN também é comum. É importante
saber que o WPS não é seguro. É vulnerável a ataques de força bruta. O WPS deve ser desligado como
uma prática recomendada de segurança.
Plug and Play Universal

UPnP (Universal Plug and Play, Plug and Play Universal) é um protocolo que permite que dispositivos se
adicionem dinamicamente a uma rede, sem a necessidade de intervenção ou configuração do usuário.
Embora conveniente, o UPnP não é seguro. O protocolo UPnP não tem nenhum método para autenticar
dispositivos. Portanto, ele considera cada dispositivo como confiável. Além disso, o protocolo UPnP tem
várias vulnerabilidades de segurança. Por exemplo, um malware pode usar o protocolo UPnP para
redirecionar o tráfego para endereços IP diferentes fora da rede, enviando potencialmente, informações
confidenciais para um hacker.

Muitos roteadores sem fio domésticos e de pequenos escritórios têm o UPnP ativado por padrão.
Verifique, portanto essa configuração e desative-a, como mostra a figura.

A GRC (Gibson Research Corporation) oferece uma variedade de ferramentas de criação de perfil de
vulnerabilidades gratuitas e baseadas em navegador. Clique aqui para usar a ferramenta de teste da GRC
para determinar se seu roteador sem fio está exposto a vulnerabilidades de UPnP.

Plug and Play Universal

UPnP (Universal Plug and Play, Plug and Play Universal) é um protocolo que permite que dispositivos se
adicionem dinamicamente a uma rede, sem a necessidade de intervenção ou configuração do usuário.
Embora conveniente, o UPnP não é seguro. O protocolo UPnP não tem nenhum método para autenticar
dispositivos. Portanto, ele considera cada dispositivo como confiável. Além disso, o protocolo UPnP tem
várias vulnerabilidades de segurança. Por exemplo, um malware pode usar o protocolo UPnP para
redirecionar o tráfego para endereços IP diferentes fora da rede, enviando potencialmente, informações
confidenciais para um hacker.

Muitos roteadores sem fio domésticos e de pequenos escritórios têm o UPnP ativado por padrão.
Verifique, portanto essa configuração e desative-a, como mostra a figura.

A GRC (Gibson Research Corporation) oferece uma variedade de ferramentas de criação de perfil de
vulnerabilidades gratuitas e baseadas em navegador. Clique aqui para usar a ferramenta de teste da GRC
para determinar se seu roteador sem fio está exposto a vulnerabilidades de UPnP.

Firewalls

Um firewall por hardware é um componente de filtragem físico que inspeciona os pacotes de dados da
rede, antes que atinjam os computadores e outros dispositivos de uma rede. Um firewall por hardware é
uma unidade autônoma que não usa os recursos dos computadores que está protegendo, portanto, não
há nenhum impacto no desempenho do processamento. O firewall pode ser configurado para bloquear
várias portas individuais, um intervalo de portas ou, até mesmo, o tráfego específico de um aplicativo. A
maioria dos roteadores sem fio também incluem um firewall por hardware integrado.

Um firewall por hardware passa dois tipos diferentes de tráfego para a rede:

 Respostas a tráfego que se origina de dentro da rede

 Tráfego destinado a uma porta que você deixou intencionalmente aberta

Existem vários tipos de configurações de firewall por hardware:

 Filtro de pacotes - Os pacotes não podem passar pelo firewall, a menos que correspondam ao
conjunto de regras estabelecido configurado no firewall. O tráfego pode ser filtrado, com base em
atributos diferentes, como o endereço IP origem, a porta origem ou o endereço IP ou a porta
destino. O tráfego pode também ser filtrado, com base em serviços ou protocolos de destino, como
WWW ou FTP.
  SPI (Stateful packet inspection, Inspeção de Pacotes Stateful) - Este é um firewall que controla
o estado das conexões de rede que passam pelo firewall. Os pacotes que não fazem parte de uma
conexão conhecida são descartados. O firewall SPI está ativado na Figura 1.

 Camada de aplicação - Todos os pacotes que vão para uma aplicação ou que saem de uma
aplicação são interceptados. Evita-se que todo o tráfego externo indesejado chegue aos
dispositivos protegidos.

 Proxy - este é um firewall instalado em um servidor proxy que inspeciona todo o tráfego e permite
ou nega pacotes, com base em regras configuradas. Um servidor proxy é um servidor que é uma
retransmissão entre um cliente e um servidor de destino na Internet.

Firewalls por hardware e por software protegem dados e equipamentos de uma rede contra acesso não
autorizado. Um firewall deve ser usado em conjunto com software de segurança. A Figura 2 compara
firewalls por hardware e por software.

Zona Desmilitarizada

Uma DMZ (Demilitarized Zone, Zona Desmilitarizada) é uma sub-rede que fornece serviços a uma rede
não confiável. Um servidor de e-mail, web, ou um servidor FTP são colocados geralmente na DMZ, para
que o tráfego que usa o servidor não venha para dentro da rede local. Isso protege a rede interna contra
ataques desse tráfego, mas não protege os servidores na DMZ, de qualquer maneira. É comum para um
firewall ou um proxy gerenciar o tráfego de e para a DMZ.

Em um roteador sem fio, você pode criar uma DMZ para um dispositivo, encaminhando todas as portas de
tráfego da Internet para um endereço IP ou um endereço MAC específico. Um servidor, uma máquina de
jogo, ou uma câmera web podem estar na DMZ, para que o dispositivo possa ser acessado por qualquer
pessoa. O dispositivo na DMZ, no entanto, está exposto a ataques de hackers na Internet.

Port Forwarding e Port Triggering

Firewalls por hardware podem ser usados para bloquear portas para impedir o acesso não autorizado
dentro e fora da LAN. No entanto, há situações em que portas específicas precisam ser abertas, para que
determinados programas e aplicativos possam se comunicar com dispositivos em redes diferentes. Port
forwarding (encaminhamento de portas) é um método baseado em regras de direcionamento de tráfego
entre dispositivos em redes separadas.

Quando o tráfego chega no roteador, o roteador determina se o tráfego deverá ser encaminhado para um
determinado dispositivo, com base no número da porta encontrado com o tráfego. Os números de porta
são associados aos serviços específicos, como FTP, HTTP, HTTPS e POP3. As regras determinam que
tráfego é enviado para a LAN. Por exemplo, um roteador pode ser configurado para encaminhar a porta
80, que é associada ao HTTP. Quando o roteador recebe um pacote com a porta destino 80, o roteador
encaminha o tráfego para o servidor na rede que serve páginas web. Na figura, o port forwarding está
ativado para a porta 80 e associado ao servidor web no endereço IP 192.168.1.254.

O port triggering permite que o roteador encaminhe, temporariamente, os dados, pelas portas de entrada,
para um dispositivo específico. Você pode usar o port triggering para encaminhar dados a um
computador, apenas quando um intervalo designado de portas é usado para fazer uma requisição de
saída. Por exemplo, um videogame pode usar as portas 27000 a 27100 para se conectar com outros
participantes. Essas são as portas para o port triggering. Um cliente de bate-papo pode usar a porta 56
para conectar os mesmos jogadores para que possam interagir uns com os outros. Nesse caso, se houver
tráfego de jogos em uma porta de saída no intervalo de porta configurado do port triggering, o tráfego de
bate-papo de entrada na porta 56 é encaminhado para o computador que está sendo usado para executar
o videogame e o bate-papo com amigos. Quando o jogo acaba e as portas não estão mais sendo usadas,
a porta 56 não tem mais permissão para enviar tráfego de nenhum tipo a esse computador.

Métodos de Proteção dos Equipamentos Físicos

A segurança física é tão importante quanto a segurança dos dados. Quando um computador é levado, os
dados são roubados também. É importante restringir o acesso às instalações usando cercas, travas de
porta, e portões. Por exemplo, uma armadilha é frequentemente usada para evitar tailgating (utilização
não autorizada). É uma pequena sala, com duas portas, sendo que uma deve ser fechada, antes que a
outra possa ser aberta. Proteja a infraestrutura de rede, como o cabeamento, equipamentos de
telecomunicações e os dispositivos de rede, com o seguinte:

 Salas de telecomunicações, gabinetes de equipamentos e racks protegidos

 Cadeados e parafusos de segurança para dispositivos de hardware

 Detecção sem fio de access points não autorizados

 Firewalls por hardware

 Sistema de gerenciamento de rede que detecta mudanças no cabeamento e nos patch panels

 Dispositivos sem fio prevenidos contra reinicializações físicas

Senhas da BIOS/UEFI

A senha de usuário do Windows, do Linux ou do Mac para fazer login em seu computador não impede
que alguém inicialize o computador com um CD ou um pen drive com um sistema operacional diferente.
Depois de ser inicializado, o usuário mal-intencionado poderia acessar ou apagar seus arquivos. Você
pode impedir que alguém inicialize seu PC ou notebook introduzindo a senha da BIOS ou da UEFI.
Embora a criptografia de seu disco rígido seja uma solução melhor, há situações em que você pode
considerar a configuração de uma senha da BIOS ou da UEFI. Por exemplo, os computadores usados
regularmente pelo público ou em um lugar de trabalho público seriam candidatos para uma senha da
BIOS ou da UEFI. Depois de configurada, a senha da BIOS ou da UEFI é relativamente difícil de ser
apagada. Portanto, certifique-se de lembrá-la.

AutoRun e Reprodução Automática

AutoRun é uma funcionalidade do Windows que segue, automaticamente, as instruções em um arquivo

especial chamado autorun.inf quando novas mídias, como um CD, um DVD ou um pen drive, são
inseridos no computador. Reprodução Automática é diferente de AutoRun. A funcionalidade Reprodução
Automática é uma forma conveniente de identificar, automaticamente, quando novas mídias, como discos
óticos, discos rígidos externos, ou pen drives, são inseridas ou conectadas no computador. A Reprodução
Automática solicita que o usuário escolha uma ação, com base no conteúdo da nova mídia, como
executar um programa, tocar música ou explorar a mídia.

No Windows, o AutoRun é executado primeiro, a menos que seja desativado. Se o AutoRun não estiver
desativado, ele segue as instruções no arquivo autorun.inf. Começando com Windows Vista, o AutoRun
não tem permissão para ignorar a Reprodução Automática. No entanto, você está, ainda, a apenas um
clique de executar, sem saber, um malware na caixa de diálogo da Reprodução Automática. Portanto, é
uma boa prática de segurança determinar quais programas usarão a Reprodução Automática. A solução
mais segura é desativar a Reprodução Automática, como mostra a Figura 1. A Reprodução Automática é
encontrada em Painel de Controle > Reprodução Automática em todas as versões do Windows, a
partir do Vista.

Autenticação de Vários Fatores

Anteriormente, discutimos autenticação de dois fatores, usando uma chave de segurança fob. Os dois
fatores são algo que você sabe, como uma senha, e algo que você tem, como uma chave de segurança
fob. A autenticação de vários fatores adiciona algo que você é, como uma varredura de impressão digital,
como mostra a Figura 2. Ao considerar um programa de segurança, o custo de implementação deve ser
equilibrado, com relação ao valor dos dados ou do equipamento a serem protegidos.

Bring Your Own Device (BYOD)

Os dispositivos móveis pessoais e corporativos também devem ser protegidos. Antigamente, os únicos
dispositivos que tinham permissão para ser usados dentro da infraestrutura corporativa eram os que a
empresa comprava. Com o crescente aumento drástico nos dispositivos pessoais, quase todas as
empresas agora devem criar e seguir uma política de BYOD (Traga o Seu Próprio Dispositivo). Um dos
maiores desafios para a empresa é até que ponto a empresa pode controlar o dispositivo. Informações
sensíveis, confidenciais ou privilegiadas devem ser protegidas, independentemente de quem tem o
dispositivo. Uma política de BYOD pode economizar muito dinheiro para a empresa, mas o usuário deve
concordar com a política e segui-la. Outro desafio para esse recurso é a privacidade dos funcionários.
Quando o funcionário abre mão de algum controle do seu dispositivo, pode também estar abrindo mão de
um pouco da sua privacidade.

Requisitos do Perfil de Segurança

Uma boa prática de segurança é criar e aplicar perfis de segurança a dispositivos móveis. Um perfil de
segurança é, geralmente, um arquivo texto que define as configurações de segurança e especifica as
configurações de um dispositivo. Essas configurações podem ser aplicadas diretamente a um dispositivo,
a um usuário específico, ou a um grupo de usuários. Vários perfis podem ser aplicados ao mesmo tempo
também. É comum haver perfis de segurança para dispositivos BYOD diferentes dos perfis para
dispositivos corporativos. Os requisitos desses perfis de segurança variam, de acordo com a função de
um indivíduo ou grupo, com o tipo de dispositivo ou com o sistema operacional e também com as políticas
da organização.

Hardware de Segurança

As medidas de controle de acesso de segurança física incluem trancas, vigilância por vídeo e guardas de
segurança. Cartões de acesso protegem áreas físicas. Se um cartão de acesso for perdido ou roubado,
apenas esse cartão deverá ser desativado. O sistema de cartão de acesso é mais caro que trancas e
cadeados, mas quando uma chave convencional é perdida, a tranca deverá ser substituída ou a
fechadura deverá ser trocada.

Equipamentos de rede devem ser montados em áreas protegidas. Todo o cabeamento deve ser embutido
em conduítes ou por dentro das paredes internas, para impedir o acesso ou modificação não autorizado.
O conduíte é um invólucro, que protege a mídia de infraestrutura contra danos e acesso não autorizado.
As portas de rede que não estiverem em uso devem ser desativadas.

Dispositivos biométricos, que medem informações físicas de um usuário, são ideais para áreas altamente
seguras. Entretanto, para a maioria das pequenas empresas, esse tipo de solução é caro. A política de
segurança deve identificar o hardware e o equipamento que podem ser usados para evitar roubo,
vandalismo e perda de dados. A segurança física envolve quatro aspectos relacionados: acesso, dados,
infraestrutura e o computador físico.

Existem vários métodos de proteger fisicamente o hardware:

 Usar cabos de segurança nos equipamentos, como mostra a figura.

 Mantenha as salas de telecomunicações trancadas.

 Fixe os equipamentos no local com parafusos de segurança.

 Use gaiolas de segurança ao redor do equipamento.

 Rotule e instale sensores, como tags RFID ( Radio Frequency Identification, Identificação por
Radiofrequência), no equipamento.

 Instale alarmes físicos, acionados por sensores de detecção de movimento.

 Use webcams com software de detecção de movimento e de vigilância.

Para acesso às instalações, há vários meios de proteção:

 Cartões de acesso que armazenam dados de usuário, incluindo o nível de acesso

 Crachás de identificação com fotos

  Sensores biométricos que identificam características físicas do usuário, como impressões digitais

 Guarda de segurança em um posto

 Sensores, como crachás RFID, para monitorar o local e o acesso

Use caixas com trava, cabos de segurança e travas de docking station para notebooks, para evitar que
computadores sejam movidos. Use estojos de disco rígido que podem ser trancados e proteja o
armazenamento e o transporte da mídia de backup para proteger os dados e a mídia contra roubo.

Protegendo os Dados Quando Em Uso

As informações nas telas dos computadores podem ser protegidas contra olhos curiosos com uma tela de
privacidade. Uma tela de privacidade é um painel que é, geralmente, feito de plástico. Impede que a luz
se projete em ângulos agudos, de modo que somente o usuário que olha em ângulo reto pode ver o que
está na tela. Por exemplo, em um avião, um usuário pode impedir que a pessoa sentada no assento do
lado veja o que está em uma tela de computador.

A Combinação Certa de Segurança

Os fatores que determinam o equipamento mais eficiente de segurança a ser usado para proteger os
equipamentos e os dados incluem:

 Como o equipamento é usado

 Onde o equipamento está localizado

 Que tipo de acesso a dados é necessário

Por exemplo, um computador em um lugar público cheio, como uma biblioteca, precisa de proteção
adicional contra roubo e vandalismo. Em um call center cheio, um servidor precisa ser protegido em uma
sala de equipamentos trancada. Onde é necessário usar um notebook em um lugar público, um dongle de
segurança e uma chave fob garantem que o sistema seja bloqueado, se o usuário e o notebook forem
separados.

Service Packs e Patches de Segurança do Sistema Operacional

Os patches são atualizações de código que os fabricantes fornecem para evitar que um vírus ou um worm
recém-descoberto façam um ataque bem-sucedido. De tempos em tempos, os fabricantes combinam
patches e atualizações em uma aplicação completa de atualização chamada de service pack. Muitos
ataques devastadores de vírus poderiam ter sido muito menos graves, se mais usuários tivessem baixado
e instalado o service pack mais recente.
O Windows verifica, regularmente, o site Windows Update, por atualizações de alta prioridade e que
podem ajudar a proteger o computador contra as mais recentes ameaças de segurança. Essas
atualizações incluem atualizações de segurança, atualizações críticas e service packs. Dependendo da
configuração escolhida, o Windows baixa e instala, automaticamente, todas as atualizações de alta
prioridade que o computador precisar, ou notifica o usuário, conforme essas atualizações estiverem
disponíveis. Os procedimentos para atualizar o Windows foram abordados em um capítulo anterior.

Backups de Dados

Você pode fazer um backup do Windows manualmente ou agendar a frequência com que o backup deve
ocorrer automaticamente. Para fazer backup e restaurar dados com sucesso no Windows, os direitos e
permissões de usuário apropriados são necessários.

 Todos os usuários podem fazer backup de seus arquivos e pastas. Podem também fazer backup de
arquivos para os quais têm permissão de leitura.

 Todos os usuários podem restaurar arquivos e pastas para os quais têm permissão de gravação.

 Os membros dos grupos administradores, operadores de backup e operadores de servidores (se

estiverem em um domínio) podem fazer backup e restaurar todos os arquivos, independentemente
das permissões atribuídas. Por padrão, os membros desses grupos têm os direitos de usuário dos
arquivos e diretórios de backup e dos arquivos e diretórios de restauração.

Para iniciar o Assistente de Backup de Arquivos do Windows 7 pela primeira vez, use o seguinte caminho:

Painel de Controle > Backup e Restauração > Configurar backup

Para iniciar o Assistente de Backup de Arquivos do Windows Vista, use o seguinte caminho:

Painel de Controle > Central de Backup e Restauração > Arquivos de backup

Começando com o Windows 8, backup e restauração tornaram-se parte do utilitário Histórico de Arquivos,
mostrado na Figura 1. No Windows 8.1 e 8.0, use o seguinte caminho:

Painel de Controle > Histórico de Arquivos > Ativar

Você precisa designar um local de backup para o Histórico de Arquivos. Um local da rede ou outra
unidade física interna ou externa pode ser usado. Fazer backup de dados pode levar um tempo, portanto,
é preferível fazer backup quando as necessidades de utilização do computador e da rede são baixos.

Clique nas configurações avançadas para alterar os parâmetros de backup, como mostra a Figura 2.

Firewall do Windows

Um firewall nega, seletivamente, o tráfego a um computador ou a um segmento de rede. Os firewalls

trabalham, geralmente, abrindo e fechando as portas usadas por vários aplicativos. Ao abrir apenas as
portas necessárias em um firewall, você está implementando uma política de segurança restritiva.
Qualquer pacote não explicitamente permitido é negado. Ao contrário, uma política de segurança
permissiva permite acesso por todas as portas, exceto aquelas explicitamente negadas. Antigamente,
software e hardware eram enviados com configurações permissivas. Como os usuários negligenciavam a
configuração do equipamento, as configurações permissivas padrão deixavam muitos dispositivos
expostos a invasores. Agora, a maioria dos dispositivos é enviada com configurações o mais restritivas
possível, mesmo que permitindo ainda uma configuração fácil.

A configuração do firewall do Windows pode ser concluída de duas maneiras:

 Automaticamente - O usuário recebe as mensagens Continuar Bloqueando, Desbloquear ou

Pergunte-me Depois, sobre requisições não autorizadas. Essas requisições podem ser de
 aplicações legítimas que não foram configuradas antes ou de um vírus ou worm que infectou o
sistema.

 Gerenciar Configurações de Segurança - O usuário adiciona manualmente o programa ou as

portas necessários para as aplicações em uso na rede.

Para permitir o acesso do programa através do firewall do Windows no Windows 7, use o seguinte
caminho:

Painel de Controle > Firewall do Windows > Permitir uma funcionalidade ou programa pelo firewall
do Windows > Alterar configurações > Permitir outro programa…

Para permitir o acesso do programa através do firewall do Windows no Windows Vista, use o seguinte
caminho:

Painel de Controle > Security Center > Firewall do Windows > Alterar configurações > Continuar >
exceções > Adicionar programa

Para permitir o acesso do programa através do firewall do Windows no Windows 8.1 e 8.0, use o seguinte
caminho:

Painel de Controle > Firewall do Windows > Permitir um aplicativo ou recurso através do firewall
do Windows > Alterar configurações > Permitir outro aplicativo…

Se desejar usar um firewall por software diferente, você precisará desativar o firewall do Windows. Para
desativar o firewall do Windows no Windows 7, use o seguinte caminho:

Painel de Controle > Firewall do Windows > Ativar ou desativar o firewall do Windows > Desativar
o firewall do Windows (não recomendado) > OK

Para desativar o firewall do Windows no Windows Vista, use o seguinte caminho:

Painel de Controle > Security Center > Firewall do Windows > Ativar ou desativar o firewall do
Windows > Continuar > Desativar (não recomendado) > OK

Para desativar o firewall do Windows no Windows 8.1 e 8.0, como mostra a figura, use o seguinte
caminho:

Painel de Controle > Firewall do Windows > Ativar ou Desativar o Firewall do Windows > Desativar
o firewall do Windows (não recomendado) > OK

Manutenção de Contas

Os funcionários de uma empresa, geralmente, precisam de diferentes níveis de acesso aos dados. Por
exemplo, um gerente e um contador podem ser os únicos funcionários em uma empresa com acesso a
arquivos de folha de pagamento.

Os funcionários podem ser agrupados por requisitos de trabalho e o acesso fornecido aos arquivos, de
acordo com permissões de grupo. Esse processo ajuda a gerenciar o acesso dos funcionários à rede.
Contas temporárias podem ser configuradas para funcionários que precisam de acesso de curto prazo. O
controle rígido do acesso à rede pode ajudar a limitar as áreas de vulnerabilidades que podem permitir
que um vírus ou software mal-intencionado entre na rede.

Encerramento do Acesso do Funcionário

Quando um funcionário deixa uma empresa, o acesso aos dados e ao hardware na rede deve ser
encerrado imediatamente. Se o ex-funcionário tiver armazenado arquivos em um espaço pessoal em um
servidor, elimine o acesso desativando a conta. Se a substituição do funcionário exigir o acesso a
aplicativos e ao espaço de armazenamento pessoal, você pode reativar a conta e alterar o nome para o
nome do novo funcionário.

Contas de Convidado
Os funcionários temporários e convidados podem precisar de acesso à rede. Por exemplo, os visitantes
podem precisar de acesso a e-mails, à Internet, e a uma impressora na rede. Esses recursos podem ser
disponibilizados para uma conta especial chamada Convidado. Quando convidados estão presentes,
pode-se atribuir a eles uma conta de convidado. Quando nenhum convidado estiver presente, a conta
pode ser desativada, até que o próximo convidado chegue.

Algumas contas de convidado exigem acesso amplo a recursos, como no caso de um consultor ou um
auditor financeiro. Esse tipo de acesso deve ser concedido somente pelo período necessário para concluir
o trabalho.

Para configurar todos os usuários e grupos em um computador, abra o Gerenciador de Usuários e

Grupos Locais, como mostrado para o Windows 8.1 na Figura. Em todas as versões do Windows,
digite lusrmgr.msc na caixa Pesquisar, ou no utilitário de linha de comando.

Horário de Login

Em algumas situações, convém que os funcionários tenham permissão para fazer login apenas durante
horas específicas, como de 7:00 às 18:00. Logins seriam bloqueados durante outras horas do dia.

Tentativas de Login com Falha

Convém configurar um limite para o número de vezes que é permitido a um usuário tentar fazer login. Por
padrão no Windows, as tentativas de login com falha são configuradas como zero, o que significa que o
usuário nunca será bloqueado, até que essa configuração seja alterada.

Limite de Tempo de inatividade e Bloqueio de Tela

Os funcionários podem ou não podem fazer logoff do computador quando saem do local de trabalho.
Portanto, é uma boa prática de segurança configurar um temporizador de inatividade que fará,
automaticamente, o logoff do usuário e bloqueará a tela, depois de um período especificado. O usuário
deve fazer login novamente para desbloquear a tela.

Gerenciando Usuários

Uma tarefa de manutenção regular para administradores é criar e remover usuários da rede, alterar as
senhas das contas ou alterar as permissões de usuário.

Os seguintes itens podem ser feitos ao gerenciar contas de usuários locais:

 Criar uma conta de usuário local

 Redefinir a senha de uma conta de usuário local

 Desativar ou ativar uma conta de usuário local

 Excluir uma conta de usuário local

 Renomear uma conta de usuário local

 Atribuir um script de logon para uma conta de usuário local

 Atribuir uma pasta base para uma conta de usuário local

Há duas ferramentas que podem ser usadas para realizar essas tarefas:

 Controle de Conta de Usuário (UAC, User Account Control) – Use esta opção para adicionar,
remover ou alterar atributos de usuários individuais. Quando conectado como administrador, use o
UAC para definir configurações para evitar que o código mal-intencionado tenha privilégios
administrativos.
  Gerenciador de Usuários e Grupos Locais – Pode ser usado para criar e gerenciar usuários e
grupos armazenados localmente em um computador.

Nota: você deve ter privilégios de administrador para gerenciar usuários.

Para abrir o UAC, use o seguinte caminho:

Painel de Controle > Contas de Usuário > Gerenciar outra conta

Para abrir o Gerenciador de Usuários e Grupos Locais, use o seguinte caminho:

Painel de Controle > Ferramentas administrativas > Gerenciamento do Computador > Usuários e
Grupos Locais

Usando Usuários e Grupos Locais, você pode limitar a capacidade de usuários e grupos de realizar certas
ações, atribuindo direitos e permissões a eles. Um direito autoriza um usuário a realizar certas ações em
um computador, como fazer backup de arquivos e pastas ou desligar o computador. Uma permissão é
uma regra que está associada a um objeto (geralmente um arquivo, uma pasta, ou uma impressora) e
controla quais usuários podem ter acesso ao objeto e de que forma.

Na janela Usuários e Grupos Locais, clique duas vezes em Usuários. Há duas contas incorporadas:

 Administrador – Esta conta está desativada por padrão. Quando ativada, a conta tem controle total
do computador e pode atribuir direitos de usuário e permissões de controle de acesso a usuários,
conforme necessário. A conta de administrador é membro do grupo Administradores no
computador. A conta de administrador nunca pode ser excluída ou removida do grupo
Administradores, mas pode ser renomeada ou desativada.

 Convidado – Esta conta é desativada por padrão. Esta conta é usada por usuários que não têm
uma conta no computador. Por padrão, a conta não requer uma senha. Ela é membro do grupo
padrão Convidados, que permite que o usuário faça login em um computador.

Para adicionar um usuário, clique no menu Ação e selecione Novo Usuário. Isso abrirá a janela Novo
usuário, como mostra a Figura 2. Aqui você pode atribuir um nome de usuário, um nome completo, uma
descrição e opções de conta.

Clicar duas vezes em um usuário ou clicar com o botão direito e escolher Propriedades abre a janela de
propriedades do usuário, como mostra a Figura 3. Essa janela permite que você altere as opções de
usuário definidas quando o usuário foi criado. Além disso, permite bloquear uma conta. A janela também
permite atribuir um usuário a um grupo, usando a guia Membro de ou controlando a quais as pastas o
usuário tem acesso usando a guia Perfil.

Nota: há também um outro tipo de conta importante, chamado Usuário Avançado. Essa conta tem a
maioria dos poderes de um administrador, como a instalação de programas ou a alteração de
configurações de firewall, mas não tem alguns dos privilégios de administrador, por motivos de segurança.

Gerenciando Grupos

Os usuários podem ser atribuídos a grupos para gerenciamento mais fácil.

Os seguintes itens podem ser feitos ao gerenciar grupos locais:

 Criar um grupo local

 Adicionar um membro a um grupo local

 Identificar membros de um grupo local

 Excluir um grupo local

  Criar uma conta de usuário local

Para abrir o Gerenciador de Usuários e Grupos Locais, use o seguinte caminho:

Painel de Controle > Ferramentas Administrativas > Gerenciamento do Computador > Usuários e
Grupos Locais

Na janela Usuários e Grupos Locais, clique duas vezes em Grupos. Há muitos grupos incorporados
disponíveis, como mostra a Figura 1. No entanto, os três grupos mais comumente usados são:

 Administradores – Os membros desse grupo têm controle total do computador e podem atribuir
direitos de usuário e permissões de controle de acesso a usuários, conforme necessário. A conta
Administrador é um membro padrão desse grupo. Como esse grupo tem controle total do
computador, tenha cuidado ao adicionar usuários a esse grupo.

 Convidado - Os membros deste grupo têm um perfil temporário criado no logon e quando o
membro faz logoff, o perfil é excluído. A conta Convidado (que está desativada por padrão) também
é um membro padrão desse grupo.

 Usuários – Os membros deste grupo podem realizar tarefas comuns, como executar aplicativos,
usar impressoras locais e de rede e bloquear o computador. Os membros não podem compartilhar
diretórios ou criar impressoras locais.

É importante observar que gerenciar o computador como membro do grupo Administradores torna o
sistema vulnerável a cavalos de Troia e outros riscos de segurança. Recomenda-se que você adicione
sua conta de usuário do domínio apenas ao grupo Usuários (e não ao grupo Administradores) para
realizar tarefas de rotina, inclusive executar programas e visitar sites da Internet. Quando for necessário
realizar tarefas administrativas no computador local, use Executar como Administrador para iniciar um
programa usando credenciais administrativas.

Para criar um novo grupo, clique no menu Ação e selecione Novo Grupo. Como alternativa, você
também pode clicar com o botão direito em Grupos e selecionar Novo Grupo… , o que abre a
janela Novo grupo, como mostra a Figura 2. Aqui você pode criar novos grupos e atribuir usuários a eles.

Identificar o Problema

O processo de solução de problemas é usado para ajudar a resolver problemas de segurança. Esses
problemas variam de simples, como evitar que alguém observe sobre seu ombro, a mais complexos,
como a remoção manual de arquivos infectados de vários computadores ligados em rede. Use as etapas
de solução de problemas como orientação para ajudá-lo a diagnosticar e resolver problemas.

Os técnicos de computadores devem conseguir analisar uma ameaça à segurança e determinar o método
adequado para proteger e reparar danos. A primeira etapa no processo de solução de problemas é
identificar o problema. A figura mostra uma lista de perguntas abertas e fechadas para fazer ao cliente.
Criar uma Teoria de Causas Prováveis

Depois de falar com o cliente, você pode começar a criar uma teoria de causas prováveis. Você pode
precisar realizar pesquisa interna ou externa adicional, com base na descrição dos sintomas do cliente. A
figura mostra uma lista de algumas causas prováveis comuns dos problemas de segurança.

Testar a Teoria para Determinar a Causa

Depois que você tiver desenvolvido algumas teorias sobre o que está errado, teste-as para determinar a
causa do problema. A figura mostra uma lista de procedimentos rápidos que podem determinar a causa
exata do problema ou até corrigi-lo. Se um procedimento rápido corrigir problema, você poderá verificar a
funcionalidade total do sistema. Caso um procedimento rápido não corrija o problema, talvez seja
necessário pesquisar mais para estabelecer a causa exata dele.

Estabelecer um Plano de Ação para Resolver o Problema e

Implementar a Solução

Depois de determinar a causa exata do problema, estabeleça um plano de ação para resolvê-lo e
implementar a solução. A figura mostra algumas fontes que você pode usar para reunir informações
adicionais para resolver um problema.
Verificar a Funcionalidade Total do Sistema e, Se Aplicável,
Implementar Medidas Preventivas

Depois que você tiver corrigido o problema, verifique a funcionalidade completa e, se aplicável,
implemente medidas preventivas. A figura mostra uma lista das etapas para verificar a solução.

Documentar Descobertas, Ações e Resultados

Na última etapa do processo de solução de problemas, você deve documentar suas descobertas, ações e
resultados. A figura mostra uma lista das tarefas necessárias para documentar o problema e a solução.
Identificar os Problemas Comuns e suas Soluções

Os problemas de segurança podem ser atribuídos ao hardware, ao software ou a problemas de

conectividade ou a alguma combinação dos três. Você resolverá alguns tipos de problemas de segurança
com mais frequência que outros. A figura é uma tabela de problemas comuns e suas soluções em
segurança.

Capítulo 12: Segurança

Este capítulo discutiu segurança de computadores e o motivo pelo qual é importante proteger o hardware,
as redes e os dados. As ameaças, os procedimentos e a manutenção preventiva relacionados aos dados
e à segurança física foram descritos para ajudá-lo a manter o hardware e os dados seguros. Alguns
conceitos importantes para se lembrar deste capítulo são:

 As ameaças de segurança podem vir de dentro ou de fora da empresa.

 Os vírus e worms são as ameaças comuns que atacam dados.

 Desenvolva e mantenha um plano de segurança para proteger dados e equipamento físico contra
perdas.

 Mantenha sistemas operacionais e aplicações atualizados e seguros com patches e service packs.