ISSN 1518-5974Jacomo Dimmit Boca Piccolini <jacomo@na-cp.rnp.br>
Rede Nacional de Ensino e Pesquisa (RNP)
Introdução
Problemas mais recentes com o Windows
Itens básicos de segurança
Itens avançados de segurança
Ferramentas de segurança
Conclusão
Sites relacionados
Passo a passo de segurança
Este artigo trata de questões de segurança em ambientes Windows NT (mais especificamente NT 4.0). Assim são vistas questões desde as mais corriqueiros, como os problemas causados por vírus, a ataques mais elaborados. Também são tecidas algumas considerações acerca de ferramentas que podem aumentar a segurança de um sistema NT. Por fim, um interessante passo a passo é apresentado para quem quer tornar o sistema mais seguro.
Introdução
O sistema operacional Windows possui algumas particularidades quando comparado a outros sistemas como o UNIX. Podemos classificar os problemas de segurança do Windows como exclusivos ou genéricos. Os exclusivos não possuem um correspondente no UNIX e os genéricos ocorrem em todos os sistemas.
Entre os problemas denominados exclusivos podemos identificar como mais graves os vírus e cavalos de tróia. O grau de perigo que essas ameaças atingem no Windows é muito elevado ao contrário do UNIX. Este último também possui problemas relacionados a cavalos de tróia e a instalação de backdoors e rootkits, mas esses não são tão facilmente difundidos e sua instalação requer experiência por parte do atacante.
Os problemas mais comuns, ou genéricos, de segurança na plataforma Windows estão relacionados com a instalação do sistema operacional, a instalação de complementos ao sistema operacional ( como o IIS ) e com a dificuldade de se manter o sistema atualizado. Conforme já dito anteriormente, esses problemas possuem correspondentes no UNIX.
O futuro lançamento do substituto da família Windows NT 4.0, denominada de Windows 2000, deverá trazer alguns benefícios como a presença de um firewall, mas continuará a apresentar sérios problemas como os causados por vírus. Outras considerações só poderão ser feitas após o seu lançamento oficial.
Problemas mais recentes com o Windows
Os problemas mais recentes com o Windows estão relacionados ao Internet Information Server - IIS. Mais precisamente ao RDS, Remote Data Services. Foi explorando essa falha que foi possível a alteração de muitas páginas Web.
Outros problemas relacionados com TCP/IP continuam aparecendo. A lista dos últimos problemas segue abaixo:
| Cmail Server Buffer Overflow and DoS (31/10/99) | ExpressFS FTPServer Buffer Overflow and DoS (31/10/99) |
| Xitami Web Server Buffer Overflow and DoS (31/10/99) | WFTPD Server Buffer Overflow and DoS (31/10/99) |
| Netscape Messaging Server DoS (29/10/99) | TCP/IP Sequence Numbers (22/10/99) |
| Java VM Sandbox Vulnerability (21/10/99) | Excel Symbolic Links (20/10/99) |
| JavaScript Redirect (18/10/99) | IE5 Vulnerable Through Download Behavior (27/09/99) |
| IIS Domain Blocking and FTP Access (24/09/99) | Windows Vulnerable to Source Routing (21/09/99) |
| Java VM Sandbox Vulnerability (26/08/99) | IE5 Allows File Creation and Modification (24/08/99) |
| IIS Malformed Header Request Dos (11/08/99) | IRDP May Allow Unwanted Routes (11/08/99) |
| Terminal Server Denial of Service (09/08/99) | Exchange Server 5.5 Anti-Relaying Problem (06/08/99) |
| Malformed Dialer Enties Elevate Privileges (29/07/99) | CSRSS Denial of Service Attack (23/06/99) |
| Crashing NT's LSA (22/06/99) | HTR Vulnerability in IIS (20/06/99) |
| FavIcon Vulnerability in IE 4 and 5 (27/05/99) | RAS and RRAS Password Vulnerability (27/05/99) |
| RAS Buffer Overflows (20/05/99) | NT Help System Vulneable (17/05/99) |
| ASP Bypasses IIS Permissions (13/05/99) | AdSamples Reveals ID and PW (11/05/99) |
| Viewing Files with IIS (09/05/99) | Excel Virus Warning Vulnerabilities (08/05/99) |
| Crashing FTP Serv-U 2.5 (04/05/99) | NT Case Sensitivity (12/03/99) |
| NT Screensaver Vulnerability (09/03/99) | SLMail Exposes NTFS Partitions (25/02/99) |
| Default IIS 4 Config Allows Proxied Psw Attacks (24/02/99) | ARCserve Exposes Passwords (23/02/99) |
| Taskpad Scripting Risks (23/02/99) | IE Reveals Local Clipboard Contents (23/02/99) |
| File Mapping Objects Cache (19/02/99) | Service Pack 4 Authentication Errror (08/02/99) |
Relação retirada de http://www.ntsecurity.net/scripts/loader.asp?iD=/risks898.asp
Itens básicos de segurança
A preocupação com segurança em sistemas Windows deve iniciar antes mesmo da instalação do sistema operacional. Devem-se considerar os perigos da localização física do sistema, que deve estar longe do alcance de curiosos em um local protegido e, mesmo assim, é necessário utilizar medidas adicionais como a proteção do equipamento com chaves e a utilização de senhas na BIOS. Já existem no mercado protetores para unidades de mídias removíveis, como as unidades de disquetes.
CONSIDERAÇÕES SOBRE SEGURANÇA FÍSICA
- Proteção do hardware em local seguro;
- Proteção do hardware contra intempéries (danos elétricos);
- Proteção contra invasão do hardware através da utilização de senhas e cadeados, e;
- Se necessária, a ocultação de partes do hardware, como teclado e mouse.
A instalação do Windows possui uma característica particularmente relevante sobre a segurança que é a utilização de partição ou partições de disco em formatação NTFS. O problema reside em possuir mais de um sistema operacional no mesmo computador devido à facilidade de se acessar a partição do Windows e assim alterar ou copiar a configuração padrão. Vale o mesmo aqui para a possibilidade de se iniciar o computador usando um disco de boot qualquer.
Logo ao término da instalação, deve-se proceder algumas alterações básicas.
ALTERAÇÕES BÁSICAS PÓS-INTALAÇÃO
- Desabilitar a conta guest e verificar as contas default;
- Não permitir que qualquer usuário esteja em grupos privilegiados;
- Não habilitar aos usuários o uso das unidades de CD-ROM e disquete;
- Não habilitar aos usuários o uso de outras unidades de mídia, especialmente as removíveis;
- Não permitir compartilhamento desnecessário dos recursos ou mídias;
- Instalar banners de advertência.
Essas alterações iniciais podem ser feitas utilizando ferramentas do resource kit do Windows NT.
Quanto à recuperação do sistema, pode-se citar dois itens necessários. O primeiro é a criação do disco de emergência. Existe esta opção durante a instalação, mas qualquer alteração nas partições do sistema, ou mesmo a instalação dos servicepacks requer a atualização deste disco. Esta atualização pode ser feita executando-se o comando rdisk.exe.
A segunda consideração é realizar sistematicamente o backup do sistema. O Windows possui um utilitário de backup nativo. No entanto, ele não permite que se proteja o backup com nenhum sistema de senha ou criptografia. Para tanto, é recomendada a utilização de uma ferramenta alternativa de backup. Por segurança, as fitas onde foram feitas o backup não devem ser guardadas no mesmo local em que se encontra o servidor e deve ter seu acesso restrito a pessoas que administram o sistema.
CONSIDERAÇÕES OPERACIONAIS
Os problemas causados por vírus, backdoors e cavalos de tróia consomem e geram a maior carga de trabalho na administração de redes Windows. O fundamental é a utilização de anti-vírus e programas que monitorem portas. Deve-se sempre manter atualizado o anti-vírus, com as vacinas mais recentes. Os anti-vírus mais famosos estão lançando atualizações semanais e, neste caso, é de grande ajuda assinar uma lista de discussão que avise das atualizações ou mesmo de situações de emergência. Vale ressaltar que existem vírus que não são removíveis e que a eventual contaminação implica na necessidade de reinstalação do sistema.
A administração de senhas tem uma grande importância operacional pois soluciona problemas como a divulgação de senhas, impondo um limite de validade. É evidente que a troca de senhas é fator de reclamação por parte de usuários, e que nem todas elas têm a necessidade de serem trocadas diariamente. Deve-se ponderar sobre o tipo de conta existente e qual seria o limite de utilização da senha.
Deve-se salientar a todos os usuários que a senha de login não deve ser utilizada em nenhum outro aplicativo no Windows, pois tais aplicativos podem ser mais fáceis de serem explorados para a revelação das senhas. Como exemplo podemos citar a senha do protetor de telas e de qualquer outro aplicativo que mostre a senha no formato de asteriscos, como sendo senhas inseguras.
ATUALIZAÇÕES DO WINDOWS
Para se manter atualizado nos assuntos relacionados ao Windows é aconselhável acompanhar as listas de segurança de seus principais aplicativos e das ferramentas de defesa, como os anti-vírus.
A atualização do Windows acontece somente com a instalação dos servicepacks e dos hotfixes, que são a única forma de se realizar alterações no código fonte. Essas instalações são consideradas relativamente fáceis pois se resumem a fazer o download de um arquivo e executá-lo. Para se saber quais arquivos são necessários basta ir ao site: http://www.microsoft.com/ntserver/nts/downloads/default.asp ou acompanhar pelo site: http://www.ntsecurity.net/scripts/display-fixlist.asp?id=all
Itens avançados de segurança
Podemos dividir as alterações consideradas avançadas em dois modelos básicos: os que são realizados com alterações diretas no registro do Windows e os que são realizados com configurações.
ALTERAÇÕES NO REGISTRO DO WINDOWS
- Não mostrar o nome do último logon:
Hive: HKEY_LOCAL_MACHINE
Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Name: DontDisplayLastUsername
Type: REG_SZ
Value: 1 - Não fazer o cache das informações do logon:
Hive: HKEY_LOCAL_MACHINE
Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Name: CachedLogonsCount
Type: REG_SZ
Value: 0 - Mostrar uma advertência na tela do logon:
Hive: HKEY_LOCAL_MACHINE
Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Name: LegalNoticeText
Type: REG_SZ
Value: - Ocultar a lista de usuários e compartilhamentos de conexão anonymous:
Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Control\LSA
Name: RestrictAnonymous
Type: REG_DWORD
Value: 1
ALTERAÇÕES NAS CONFIGURAÇÕES DO WINDOWS
- Criar uma conta com todos os privilégios da conta do administrador e travar a conta do administrador
Utilizando o utilitário passprop.exe que se encontra no NT Resource Kit, pode-se travar a conta do administrador para acessos remotos. A idéia de criar uma conta com os privilégios do administrador é para enganar qualquer usuário malicioso. A conta administrador não terá mais nenhum poder sendo só um disfarce. - Arquivo rollback.exe
Procurar pelo arquivo rollback.exe na árvore de diretórios. Se este arquivo estiver presente, é recomendado apagá-lo. A utilização deste aplicativo destrói todas as informações contidas nos logs e registros do Windows. Somente uma recuperação via backup poderá restaurar o sistema. - Bloqueio de portas
O bloqueio de portas que não estão sendo utilizadas e que apresentam vulnerabilidades como a porta de RPC. Pode-se indicar as portas 135, 137, 138 e 139, além de portas tradicionais de ataques como as do netbus e do backoriffice. - Serviços não utilizados
O desligamento de serviços não utilizados como o NETBEUI, IPX, RAS, SNMP e qualquer outro serviço que não está sendo utilizado. - Proteção de arquivos importantes
Alguns arquivos no Windows merecem consideração adicional, como: boot.ini, ntldr, ntdetect.com, autoexec.bat, config.sys, autoexec.nt e config.nt, os arquivos de registro e os arquivos de logs. A realização de backup periódico destes arquivos é de grande importância, além do backup completo do sistema. - Limitar o uso do network monitor
O Network Monitor que vem com o Windows NT Server é um sniffer e seu uso deve ser restrito ou se possível desinstalado das máquinas que não o necessitam.
Ferramentas de segurança
As ferramentas de segurança para ambiente Windows foram agrupadas em um toolkit e divididas por funcionalidade.
Tipos de ferramentas do toolkit:
- anti-scanners
- anti-sniffer
- anti-virus
- config-scanner
- configuration
- dialup-scanner
- log-analyzer
- pgp
- port-scanner
- pwd-auditing
- security-scanner
- ssh-client
- ssh-tunnel
As ferramentas escolhidas são, preferencialmente, freeware ou shareware de baixo custo. Só é recomendada uma ferramenta comercial quando fica demonstrada uma qualidade muito superior à das concorrentes. Este toolkit necessita de constantes atualizações para que seja sempre possível possuir uma ferramenta adequada as necessidades da área de segurança.
ANTI-SCANNERS
São programas que detectam uma tentativa de scanner em tempo real.
http://members.xoom.com/swiftp/anti-bo/
1.172.113 anti-bo.exe
http://www.dynamsol.com/puppet/
767.727 nn29b.exe
http://www.wctc.net/~drtree/pm100.exe
422.867 pm100.exe
ANTI-SNIFFER
Programa para detectar o uso de um sniffer na rede. Procura pelo modo promíscuo da placa para identificá-lo.
http://www.l0pht.com/antisniff/
1.320.155 as-101.exe
ANTI-VÍRUS
Programa para detectar vírus, macro-vírus e cavalos de tróia.
http://download2.avp.ch/avpfiles/avp32132.zip
4.980.874 avp32132.zip
CONFIG-SCANNER
Programa que analisa a configuração do sistema operacional e indica todas as falhas. É um complemento ao analisador de vulnerabilidades.
http://www.eeye.com/html/Products/Retina.html
5.352.585 retina.exe
CONFIGURATION
Programa para realizar alterações no sistema operacional, que nem sempre são possíveis.
http://www.jermar.com/prod01.htm
3.414.891 tweaki2.exe
DIALUP-SCANNER
Programa que realiza uma busca por modems piratas instalados em computadores de uma rede interna.
http://xforce.iss.net/protoworx/index.php3?product=telephonyscanner 4.783.782 telephonyscanner.zip
LOG-ANALYZER
Programa para auxiliar na interpretação e análise dos logs.
http://www.systemtools.com/download/dumpacl.zip
219.791 dumpacl.zip
PGP
Programas para troca de mensagens e arquivos com segurança utilizando criptografia.
http://www.eudora.com/eudoralight/
4.612.938 eul306.exe
ftp://ftp.no.pgpi.org/pub/pgp/6.5
7.964.113 PGPfreeware652a.zip
PORT-SCANNER
Programa que faz uma varredura nas portas de uma máquina para identificar os serviços existentes, ou mesmo a presença de um serviço não autorizado.
http://www.widomaker.com/~ted/yaps/Yaps.html
1.299.054 yaps12.zip
PWD-AUDITING
Programa que faz auditoria nas senhas dos usuários procurando por senhas frágeis que não foram barradas pela política de senhas.
http://www.l0pht.com/l0phtcrack/
1.051.998 lc252install.zip
SECURITY-SCANNER
Programa que procura identificar falhas e vulnerabilidades no sistema operacional.
http://www.iss.net/eval/eval.php
35.247.153 Issnt60.exe
SSH-CLIENT
Programa para se realizar conexões remotas seguras, utilizando criptografia.
http://hp.vector.co.jp/authors/VA002416/teraterm.html
943.376 ttermp23.zip
http://www.zip.com.au/~roca/ttssh.html
274.124 ttssh151.zip
SSH-TUNNEL
Programa que permite o tunelamento de outros protocolos não seguros através do SSH.
http://www.datafellows.com/download-purchase/download-forms/sshclientwin.html 2.955.764 ssh2012t.exe
Conclusão
A segurança de qualquer sistema, independente de qual, depende muito mais do quanto seus administradores investem do seu tempo trantando de tais aspectos do que de qualquer outra coisa.
Longe esgotar a discussão sobre o assunto, o presente artigo apresentou, de uma forma geral, uma série de tópicos sobre segurança em ambientes Windows NT. O seu principal mérito, entretanto, foi dar uma série de referências sobre o assunto. Este tema deverá ser aprofundado em futuros artigos deste boletim.
Sites relacionados
Os principais sites de segurança são:
CIAC Security Website: http://ciac.llnl.gov
CERT Coordination Center: http://www.cert.org
eEye Digital Security: http://www.eeye.com
NT Security - FAQ: http://www.it.kth.se/~rom/ntsec.html
LOpht Heavy Industries: http://www.l0pht.com
Microsoft Sec. Advisor Program: http://www.microsoft.com/security
NTBugtraq - NTBugtraq Home: http://www.ntbugtraq.com
All The Last Windows Security News: http://www.ntsecurity.net
Os principais sites de ferramentas são:
System Internals: http://www.sysinternals.com
Securityfocus: http://www.securityfocus.com
Quakenbush: http://www.quakenbush.com
LOpht Heavy Industries: http://www.l0pht.com
All The Last Windows Security News: http://www.ntsecurity.net/products/secprods.asp
Livros ou publicações recomendados:
Windows NT Security: Step-by-Step: http://www.sans.org/newlook/publications/ntstep.htm
Windows NT Power Tools http://www.sans.org/newlook/publications/powertools.htm
Windows NT Security: http://www.iss.net/on-line_store/amazon/0070578338.php
NT Network Security: http://www.iss.net/on-line_store/amazon/0782120067.php
Windows NT Server 4 Security Handbook: http://www.iss.net/on-line_store/amazon/078971213x.php
Passo a passo de segurança
Segurança Física
| Passo | Ação | Status |
| 1 | O servidor está protegido em ambiente restrito? | |
| 2 | O servidor está protegido de intempéries? | |
| 3 | A BIOS do servidor está com senha? | |
| 4 | As unidades de mídias removíveis estão protegidas? | |
| 5 | Partes do hardware estão longe do acesso de curiosos? |
Segurança na Instalação
| Passo | Ação | Status |
| 1 | As partições são NTFS? | |
| 2 | Existem outras partições "bootáveis" (Linux ou DOS)? | |
| 3 | O disco de recuperação foi criado? |
Segurança na Pós-Instalação
| Passo | Ação | Status |
| 1 | As contas default foram desabilitadas? | |
| 2 | Foi proibido o acesso de usuários a grupos privilegiados? | |
| 3 | A unidade de CD-ROM foi desabilitada para os usuários? | |
| 4 | As unidades de disquete e mídias removíveis também? | |
| 5 | O servicepack mais recente também foi instalado? | |
| 6 | O disco de recuperação foi atualizado com rdisk? | |
| 7 | O processo de backup sistemático do sistema foi iniciado? | |
| 8 | Os banners de advertência foram istalados? |
Segurança Operacional
| Passo | Ação | Status |
| 1 | Algum produto anti-vírus foi instalado? | |
| 2 | Foi definida uma política de senhas? | |
| 3 | Foi explicado aos usuários a importâcia da senha pessoal? | |
| 4 | Os usuários foram alertados para evitar de escrever a senha? |
Segurança das Atualizações
| Passo | Ação | Status |
| 1 | O servicepack instalado está atualizado? | |
| 2 | Foi verificado quais os hotfixes disponíveis? | |
| 3 | Foi verificado se algum software instalado precisa de upgrade? | |
| 4 | Foi verificado se algum software instalado possui correção? | |
| 5 | O disco de recuperação foi refeito após as atualizações? | |
| 6 | Após as atualizações, o backup do sistema foi refeito? |
Segurança Avançada
| Passo | Ação | Status |
| 1 | As entradas do registro foram alteradas? | |
| 2 | Foi criada uma conta de adminitrador alternativa? | |
| 3 | Arquivos potencialmente perigosos foram removidos do sistema? | |
| 4 | Portas desnecessárias ou suspeitas foram bloqueadas? | |
| 5 | Os serviços desnecessários foram retirados? | |
| 6 | O acesso ao network monitor foi limitado? |
NewsGeneration, um serviço oferecido pela RNP – Rede Nacional de Ensino e Pesquisa
Copyright © RNP, 1997 – 2004