Você está na página 1de 10

Auditoria em Windows XP Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

12 de Dezembro de 2002 Uma das preocupaes da maioria do gestores de Segurana da Informao sempre foi de transformar os controles de segurana em mecanismos transparentes ao usurio final impacto zero ao ambiente de trabalho. O antvirus: atualizado no gateway; o backup: automatizado no servidor de arquivos; a troca de senhas: solicitada automaticamente pelo sistema. O que seria de ns sem estes artifcios? O usurio muitas vezes no tem culpa por no conhecer os riscos frente informao, mas em uma coisa temos que concordar: ajudaria muito, caso o usurio soubesse como importante sua colaborao efetiva na salvaguarda da informao. Com a inteno de ajudar os Security Officers, resolvemos lanar uma srie de artigos que podem ser enviados aos usurios, de forma a colaborar no processo de sensibilizao do nosso maior aliado na proteo da informao. Iniciaremos com o tema Auditoria, depois passaremos por Engenharia Social, Backup, Senhas Seguras e etc. Contamos com sua indicao para novos assuntos, afinal de contas, escrevemos para voc leitor. A. Por que auditar? Somos todos usurios de sistemas que compartilham, modificam, criam e muitas vezes delegam autoridade a outros para o manuseio da informao. Alguns anos atrs essa responsabilidade ficava toda centrada em um mainframe, passamos ento para o tempo da informao distribuda, e atualmente devemos lidar com uma informao viva e muitas vezes descontrolada. Outro agravante a facilidade com que qualquer leigo opera um sistema operacional, no podemos mais contar com o fator obscuridade tcnica. J que no podemos confiar na inocncia tcnica do novo usurio usurio que conhece melhor do que ningum os meandros das tecnologias presentes na maioria das organizaes -, ento devemos contar com sua colaborao na proteo da informao. neste momento que surge a auditoria, grande aliada quando da desconfiana de que algum pode ter bisbilhotado aquela pasta com informaes confidenciais: seja o oramento do ano, lanamento de um novo produto, movimentaes financeiras, lista de clientes, etc. Parece familiar? Como saber que o intruso passou pela nossa casa se ele no quebrou o vidro? Cantam alguns jarges da segurana: Pior do que ter seu computador invadido, no saber que o computador foi invadido. Auditar significa pr-selecionar uma srie de eventos de forma que o sistema armazene mensagens para diversos tipos de comportamentos gerados em nosso computador. Por exemplo, posso criar uma poltica de auditoria onde o sistema armazenar toda a tentativa de acesso a minha mquina utilizando o meu nome de usurio (username) e uma senha invlida. Caso eu ative esta auditoria, poderei futuramente identificar detalhes sobre situaes onde algum individuo tenha tentado adivinhar minha senha para obter acesso a minha estao de trabalho. Sabemos que um ataque bem sucedido sempre precedido de uma srie de tentativas invlidas de acesso. A primeira acepo da palavra auditoria, no sentido prtico, a preveno. O segundo benefcio direto da ativao da auditoria em sua estao de trabalho, a possibilidade averiguao dos passos de um invasor, uma vez evidenciado o incidente de

segurana. o que chamamos de trilha de auditoria. Analisando o caminho do intruso, seja ele um hacker ou um colega de trabalho, fica mais fcil compreender a motivao de sua ao, e qual era o seu alvo entenda-se informao. B. Como ativar a auditoria do WindowsXP? Escolhi o WindowsXP em ingls porque este sistema operacional est sendo amplamente utilizado no mundo todo, alm do que ele conta com recursos super prticos para ativao da auditoria, sem que o usurio tenha que recorrer a especialistas ou tcnicos. Bem, agora mos a obra: no h dificuldade em ativar a auditoria, qualquer usurio com conhecimento mnimo do sistema operacional conseguir executar. importante verificar se a Poltica de Segurana da Informao da sua empresa permite este tipo de alterao no sistema. Caso no exista uma Polttica para usurios, converse com o administrador e solicite que voc possa auditar o que acontece em sua estao de trabalho; antes de tudo importante respeitar as Diretrizes de Segurana da sua organizao. De qualquer forma, voc pode ativar esta poltica no seu computador domstico. V ao (1) Control Panel, (2) Administrative Tools, (3) Local Security Policy. Agora, neste tela voc abre o item (i) Local Policies, e clica em (ii) Audit Policy. A seleo deve ficar conforme a tabela abaixo: Tabela de Nvel de Auditoria Account logon events Success, failure Account management Success, failure Logon events Success, failure Object access Success, failure Policy change Success, failure Privilege user Success, failure System Events Success, failure C. Auditoria em Arquivos Quando arquivos como ftp.exe, tftp.exe, command.com, cmd.exe, telnet.exe, wscript.exe e cscript.exe no puderem ser desabilitados, importante deix-los em constante auditoria. atravs destes arquivos que um invasor faz o download de cdigos maliciosos para o computador do usurio. Recomenda-se tambm ativar a auditoria em arquivos executveis que permitem acesso a aplicaes crticas. Pressione o segundo boto do mouse sobre o arquivo que voc deseja auditar. Pode ser uma planilha do XLS, um DOC ou um desenho em CAD. V em (1) Properties, selecione (2) Security e depois clique em (3) Advanced. Agora voc clica em (i) Auditing e (ii) Add para adicionar o grupo que voc pretende auditar. Neste caso vamos inserir Everyone para uma auditoria ampla. Clicando OK voc sair em uma tela onde os objetos de auditoria podem ser selecionados. Recomendo ativar os itens Traverse Folder/Execute File, Write Attributes e Delete. Todos na opo Failed. Simples, no ?

Pronto. Uma vez selecionado, devemos criar uma rotina pessoal de verificao dos eventos gerados, pelo menos uma olhada por semana. Definimos aquilo que considerado comportamento estranho, e filtramos para podermos visualizar s o que interessa. muito simples. Para visualizar as informaes geradas, siga os seguintes passos. V ao (1) Control Panel, (2) Administrative Tools, (3) Event Viewer. Clique no item (i) Security do menu da esquerda. Pronto, ai esto os eventos gerados, classificados por tipo, data e categoria. Clicando duas vezes sobre o registro voc poder obter mais informaes sobre o evento. Bem, a mensagem desta semana : usurio, aprenda a se defender. Estamos enfrentando tempos difceis onde qualquer um pode sem muito esforo obter informaes sensveis ou privilegiadas vasculhando o computador alheio. bom lembrar que a responsabilidade pelas informaes que esto hospedadas em nossa estao de trabalho, individual e no deve ser compartilhada. At o prximo artigo.

Checklist de Segurana para Windows 2000 Para tentar minimizar esses riscos,uma srie de quatro colunas sobre como tornar o Windows 2000 menos vulnervel a ataques. Nesta primeira parte, irei abordar uma considerao bsica sobre segurana que deve ser tomada. Checklist de Segurana - Considerao bsicas 1 - Certifique-se que seu servidor encontra-se fisicamente seguro. Grande parte das brechas de segurana encontradas nas corporaes dizem respeito ao prprio ambiente das corporaes que, devido a determinadas polticas de "portas abertas; escritrios sem paredes" determinam que os seus servidores fiquem "abertos" e expostos a "visitantes". Para qualquer profissional de segurana da informao, lugar de servidor em uma sala fechada com segurana mxima. Somente usurios autorizados podem entrar nessa sala, de preferncia se autenticando atravs de qualquer processo que utilize a biometria. Colocar cmeras 24x7 outra prtica recomendada. 2 - E as fitas de backup? Mas atente para o fato que de nada adianta deixar o servidor guardado a sete chaves se as fitas de backup esto fora desse ambiente e em local inseguro. Tirando as fitas do ambiente seguro, corre-se o risco de mant-las em local inseguro, ou at mesmo o translado para outro local seguro pode ser inseguro. O que fazer? Se manter no local seguro original, corre-se o risco de perder todos os dados se acontecer algum acidente grave (incndio, roubo, inundao, etc...). Se tirar da sala, correse o risco de ser assaltado e ficar se os preciosos dados. E a? Conhea empresas especializadas em assegurar os dados, garantindo a sua integridade em local seguro. Outras empresas costumam usar a velha poltica de ter um site de backup; de contigncia. uma boa poltica. 3 - Desabilite a conta de guest (visitante) se ela estiver habilitada. Por padro, o Windows 2000 mantm essa conta desabilitada, mas no custa nada uma vez por semana checar. Para uma segurana adicional, recomendo atribuir uma senha extremamente complexa, no permitir a troca de senha e restringir o horrio de logon ao perodo em que voc estiver na empresa. 4 - Limite o nmero de contas no necessrias para o perfeito funcionamento do sistema operacional. Elimine contas duplicadas para um mesmo usurio, contas criadas para realizar um teste rpido e que encontra-se sem uso faz tempo, etc... Habilite, sempre que possvel, auditoria para logon e logoff (sucesso e falha de ambas). 5 - Crie duas contas para cada administrador. Isso mesmo, crie uma conta regular para seus e-mails, acessar pginas web, e tarefas dirias que no exigem "poderes administrativos". Use uma poltica agressiva, obrigando aos administradores logarem apenas com as contas sem privilgios. Caso seja preciso executar alguma tarefa com "super-poderes administrativos", obrigue-os a utilizar o comando "run as" do Windows 2000 (em verses anteriores esse comando no se encontrava disponvel, e para o pessoal de Unix, o "run as" similar ao comando "su"). Pode parecer besteira, mas muitos cdigos maliciosos escritos em ActiveX, por exemplo, podem rodar com direitos do

usurio logado. Portanto, evite que seus administradores fiquem logados com direitos administrativos "full time". 6 - Renomear a conta "administrator" uma prtica muito bem vinda, pelo menos evitar que a grande quantidade de atacantes novatos tentem se logar facilmente utilizando a conta de administrador do sistema operacional. Mas por favor, nada de renomear para "admin", "supervisor", "root" ou qualquer outro nome que deixe o menor rastro possvel para ser descoberta a verdadeira identidade da conta. Aps renomear a conta administrator original, considere criar uma "dummy account", ou seja, criar uma conta de administrador sem direitos administrativos e que esteja sendo 100% monitorada atravs de auditoria do Windows 2000. Esta prtica ajuda a monitorar tentantivas de invaso utilizando-se a conta de administrador. 7 - A Microsoft parte do princpio que todas as permisses atribudas no seu sistema de arquivos NTFS para diretrios e arquivos devem ser concedidas ao grupo de sistema Everyone. Sendo assim, qualquer usurio no-autenticado no sistema operacional pode ter acesso ao(s) seu(s) disco(s). Seria interessante o profissional de segurana da informao trocar essas permisses de "Everyone" para "Authenticated Users". Considere analisar essa prtica se estiver configurando um servidor web. Em alguns diretrios (foco no \inetpub) ser preciso manter as permisses para Everyone. 8 - J que estamos escrevendo sobre sistemas de arquivos, jamais pense em servidor Windows 2000 seguro utilizando-se qualquer outro sistema de arquivos que no seja NTFS. Esquea FAT e FAT32. Somente com NTFS ser possvel atribuir permisses a nvel de diretrios e arquivos. 9 - Proteja seus servidores Windows 2000 utilizando-se a prtica de, ao trmino do seu servio na mquina, pressionar a combinao CONTROL+ALT+DEL e escolher a opo de "lock computer". Pode parecer muito simples essa dica, mas conheo muitos administradores que costumam esquecer esse pequeno detalhe! 10 - Chegamos ao final desta primeira parte e no falamos de senhas, correto? Pois bem, mesmo sendo considerado um artigo a parte que escreverei mais adiante, vou adiantar algumas prticas interessantes. Nunca permita aos seus usurios que utilizem senhas com menos de 8 caracteres. Permitir senhas em branco so consideradas quebras fatais em uma poltica de segurana da informao. Dando continuidade a srie de quatro colunas sobre segurana no Windows 2000 e como torn-lo menos vulnervel a ataques, ser abaordado nesta coluna a segurana de nvel mdio para servidores Windows 2000 Checklist de Segurana - Considerao de nvel mdio 1 - Use o "Security Configuration Toolset" includo no Windows 2000 para configurar as polticas de segurana. Trata-se na verdade de um plug-in com modelos (templates) contendo configuraes de nvel baixo, mdio e alto a serem aplicados ao seu Windows 2000. Por exemplo, voc pode aplicar um modelo de nvel alto e tornar seu servidor altamente seguro, mas ir sofrer com aplicaes que so executadas no servidor, podendo torn-las instveis devido ao alto nvel de segurana aplicada. os modelos contm um lista imensa de opes, tornando-se praticamente impossvel descrev-las aqui. Pode-se, por

exemplo, configurar um tamanho mnimo para as senhas, habilitar/desabilitar acesso a execuo de determinados programas, etc.. Caso tenha interesse em estudar mais o "Security Configuration Toolset", acesse este link: http://www.microsoft.com/windows2000/techinfo/howitworks/security/sctoolset.asp 2 - Desligue servios no necessrios no seu servidor Windows 2000. Esse ponto extremamente importante e dificil de configurar. Cada configurao requer servios especficos. Por exemplo, determinados servidores podem desabilitar o servio "computer browser" causar qualquer transtorno. Outros servidores podem necessitar desse servio para localizar outros computadores na rede. Cabe ao analista de segurana responsvel pelo servidor Windows 2000 localizar quais servios podem ou no ser desabilitados. O grande problema encontra-se no fato que um servio que esteja iniciado e no se faz necessrio pode possuir um bug e deixar uma porta aberta para invases. 3 - Desabilite as portas que no se encontram em uso. Um port scanner bem aplicado pode descobrir verdadeiras brechas de segurana em portas que estejam abertas! Portanto, desabilite portas no necessrias no seu servidor. Como fazer? No seu Windows 2000 clique em Start > Control Panel > Network and Dial Up Connections > Local Area Connection > Internet Protocol (TCP/IP) > Properties > Advanced > Options > TCP/IP Filtering. 4 - Habilite auditoria no seu servidor. Nada mais bvio, mas conheo muitos administradores que costumam manter desligada a auditoria pelo simples fato de consumir recursos da mquina. Recursos adicionais podem ser facilmente adicionados (memria, HD, etc...). Mas e se algum usurio mal-intencionado tentar se logar e no for auditado essas tentativas de acesso indevido? Como voc descobrir que esto tentando "entrar" no seu servidor? No mnimo, configure as seguintes opes: *********************************************** * Evento * Nvel de Auditoria * *********************************************** * Account logon events * Success, failure * * Account management * Success, failure * * Logon events * Success, failure * * Object access * Success * * Policy change * Success, failure * * Privilege use * Success, failure * * System events * Success, failure * *********************************************** 5 - Parece bvio, mas obrigue seu usurios a gravarem documentos apenas no servidor. Uma estao windows 98, por exemplo, no possui nenhuma segurana. Servidores Windows 2000 (e NT tambm) oferecem, atravs do sistema de arquivos NTFS, um nvel de proteo muito superior ao oferecido pela FAT. 6 - Evite que o nome do ultimo usurio que efetuou login na mquina aparea na tela de Login. Pode parecer simples, mas o fato de ter nome de usuario disponvel na tela ajuda o atacante a se preocupar apenas em descobrir a senha daquele login, correto? Portanto,

edite o registry do seu Windows 2000 e altere em HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName o valor de REG_SZ para "1". 7 - Semanalmente, ou se possvel diariamente, visite o site da Microsoft em busca de correes para os seus servidores Windows 2000. Por enquanto vamos finalizar por aqui. Na prxima coluna veremos um nvel alto de segurana para ser aplicado no Windows 2000. Dando continuidade a srie de quatro colunas sobre segurana no Windows 2000 e como torn-lo menos vulnervel a ataques, ser abordado nesta coluna a segurana de alto nvel para servidores Windows 2000 Checklist de Segurana - Consideraes de alto nvel. 1 - Com a crescente vendas de notebooks e demais portateis com o Windows 2000 Professional instalado, torna-se claro que a opo de "set a power on password" de extrema valia para evitar que um roubo do porttil abra um brecha de segurana para invases sua rede. Diversas empresas exigem que seus funcionrios coloquem senhas nos seus notebooks. No basta apenas garantir a segurana das estaes de trabalho e servidores da rede interna, os "usurios mveis" tambm merecem ateno. 2 - Habilite a opo de "callback" em seus servidores Windows 2000 com o Routing and Remote Access Service habilitado. Apesar de aumentar a conta telefnica da empresa, os gastos justificam uma segurana adicional. Com o "callback" habilitado, ao solicitar a autenticao remota, o usurio desconectado e, logo em seguida, o servidor de acesso remoto disca para o telefone informado nas opes da conta do usurio. 3 - Os servidores Windows 2000 no precisam do DirectDraw habilitado, que faz acesso direto a placa de vdeo e memria, sendo muito til para joguinhos e outras futilidades que um servidor pode se dar ao luxo de no possuir. O nvel C2 de segurana exige que o DirectDraw esteja desabilitado, sendo assim, realize a seguinte tarefa: Acesse o registry e na chave HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI e troque o valor de Timeout (REG_DWORD) para 0 (zero). 4 - Desabilite os compartilhamentos default. Tanto o Windows 2000 quanto o Windows NT "escondem" seus compartilhamentos administrativos dos usurios que no possuem direitos de administradores. No passado, muitos "furos de segurana" foram descobertos utilizando esse compartilhamentos. Existem duas formas de desabilitar os compartilhamentos administrativos: A primeira parando o servio "server", mas possui o inconveniente no apresentar os compartilhamentos "normais" aos demais computadores da rede. Uma forma mais elegante seria alterando o registry na chave HKeyLocal Machine\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters. Para Windows 2000 Server edite AutoShareServer com o valor de REG_DWORD em 0. Para Windows 2000 Professional edite AutoShareWks. importante notar que desabilitar compartilhamentos administrativos podem causar instabilidade ou at mesmo no executar determinadas aplicaes.

5 - Desabilite a criao dos arquivos de dump de memria no caso de uma "tela azul" no seu computador. Apesar de ajudar em muito a Microsoft (pois pode conter toda a memria gravada em disco no momento do crash), pode deixar uma fonte de informaes valiosas para o atacante. Selecione Control Panel > System Properties > Advanced > Startup and Recovery e deixe a opo de 'Write Debugging Information" em branco. 6 - Se voc deseja um nvel de segurana alto, considere habilitar o EFS (Encrypted File System) em seus servidores. 7 - Limpe o arquivo de paginao (pagefile.sys) a cada shutdown. Edite a chave HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management e altere o valor de ClearPageFileAtShutdown para 1. 8 - Desabilite o boot por disquete e por cd-rom nos seus servidores. 9 - Considere a implementao de smart cards e/ou biometria. 10 - Considere a implementao de IPsec para tornar o transporte de seus pacotes extremamente seguros. Cotinuando a sequencia de colunas sobre segurana no ambiente Windows 2000, nesta sera abordada a segurana da SAM (Security Account Manager). Mesmo no sendo mais o repositrio principal de senhas na atual infra-estrutura de sistemas operacionais da Microsoft, vale a pena tomar conhecimento das suas vulnerabilidades e decobrir como tornar mais segura a informao contida neste repositrio. Sistemas operacionais Windows NT so totalmente dependentes da SAM. Windows 2000 Professional e Windows 2000 Server sem o Active Directory habilitado tambm guardam informaes preciosas na SAM. Apesar do ttulo da coluna demonstrar que iremos abordar segurana no Windows 2000, devemos deixar claro que iremos escrever sobre segurana em Windows NT. Mas porque abordar um sistema operacional que j foi substituido por outro mais avanado tecnologicamente e com menos vulnerabilidades? Resposta: A grande maioria das empresas ainda no migrou totalmente seus servidores e estaes de trabalho para a plataforma Windows 2000. Existem milhares de computadores rodando o excelente Windows NT seja na verso Workstation ou Server. Portanto, vamos aprender a torn-lo um pouco mais seguro. Ser abordado a segurana das senhas de usurios nesta coluna. Portanto, mo a obra! Passfilt.dll A partir do Service Pack 2 do Windows NT possvel forar o usurio a utilizar senhas fortes, que sejam difceis de serem advinhadas pelos invasores. O arquivo passfilt.dll instalado pelo Service Pack o grande trunfo do Windows NT. Quando ativado atravs do registry, Obriga as senhas a terem pelo menos um caracter de no mnimo trs das quatro categorias listadas a seguir: letras maisculas, letras minsculas, nmeros e caracteres especiais e de pontuao. Ou seja, senhas tipo 1234 e alopes no so aceitas pelo sistema operacional. Como exemplo, seriam senhas vlidas Alopes12, 123Abc, ...

O arquivo passfilt.dll possui duas limitaes: Exige um mnimo de 6 caracteres na senha e atua somente sobre solicitaes de alteraes de senhas dos usurios; administradores podem definir senhas fracas para suas contas Para habilitar essa poltica, edite o registry do Windows NT utilizando o regedit ou regedt32 da seguinte forma: Clique em START - RUN e digite REGEDT32.EXE e pressione ENTER; selecione HKEY_LOCAL_MACHINE e SYSTEM; selecione CURRENTCONTROLSET, CONTROL e LSA; edite "Notification Packages" e adicione o contedo PASSFILT; clique em OK e feche o Regedt32. Passprop.exe O passprop uma alternativa ao passfilt.dll para exigir senhas "fortes". Encontra-se disponvel no Resource Kit do Windows NT. As senhas precisam conter tanto letras maisculas quanto minsculas ou conter nmeros ou smbolos. O passprop obriga as senhas a terem pelo menos um caracter de no mnimo trs das quatro categorias listadas a seguir: letras maisculas, letras minsculas, nmeros e caracteres especiais e de pontuao. Como funo adicional, permite bloquear a conta do administrator para logon atravs da rede, autorizando apenas o logon interativo (local) no servidor Windows NT. syskey.exe Como foi citado no incio da coluna, para conseguir a senha de administrator, o atacante tentar obter a SAM (Security Accounts Manager) do Windows NT. A SAM contm os nomes de usurios e senhas criptografadas. A Microsoft comprometeu a segurana do SAM usando um algoritmo de hashing (criptografia de mo nica) do extinto LAN Manager. O Windows NT precisa armazenar os hashes LanMan para manter compatibilidade com clientes Windows 9x e Windows for Workgroups. Conseguir copiar a SAM de uma mquina Windows NT relativamente fcil se o administrador no tomar alguns cuidados. O invasor pode Inicializar com um sistema operacional alternativo (disco de boot com MS-DOS e utilitrio NTFSDOS) e obter a SAM de reserva do diretrio de reparao (\winnt\repair). Se obter sucesso, podendo extrair os hashes do SAM (atravs de programas como L0phtcrack, pwdump, pwdump2, Crack, John the Ripper, etc..) Aps a divulgao dessa vulnerabilidade, a Microsoft disponibilizou atravs do Service Pack o programa syskey que estabelece uma chave de criptografia de senha de 128 bits ao invs do padro de 40 bits. Assim, os programas citados anteriormente para extrao de senhas da SAM no conseguiro obter sucesso na sua tarefa. Security Configuration Manager Permite ao administrador configurar a poltica de segurana do Windows NT. Deve ser considerado o primeiro passo no preparativo da segurana do NT4 para migrao em direo ao Windows 2000. Acrescenta novas permisses de arquivos e diretrios e encontra-se disponvel no Service Pack 4. Para administradores Windows 2000, o Security Configuration Manager a forma mais direta e rpida de implementar polticas de segurana e administrar as diversas opes de permisses disponveis com o SCM.

Com essa coluna, terminamos uma sria de quatro colunas sobre segurana de servidores Windows 2000. Espero que as informaes aqui passadas ajudem a tornar seus servidores mais seguros.