Windows XP
Artigo
02/21/2018
2 colaboradores
Comentários
Neste artigo
Lista de Verificação de Segurança do Windows XP
Esta lista de verificação define as ações que devem ser tomadas para aumentar a segurança de computadores que executam o Windows XP Home Edition e Windows XP Professional que façam parte ou não de um domínio Windows NT, Windows 2000 ou Windows Server 2003.
Importante O propósito desta lista de verificação é oferecer instruções para a configuração de uma referência no nível de segurança de sistemas Windows XP. Este guia não fornece uma lista completa de todos os recursos de segurança do Windows XP ou como utilizá-los. Uma lista copleta dos novos recursos de segurança do Windows XP está disponível aqui .
Esta lista de verificação contém informações sobre a edição do registro. Antes de editar o registro, tenha a certeza de que você entendeu como proceder uma restauração se algum problema ocorrer. Para informações sobre como executar uma restauração, leia o tópico da Ajuda no editor do registro.
Tópicos nesta página Configuração do Windows XP Home Edition Configuração do Windows XP Professional Detalhes da Lista de Verificação da Configuração do Windows XP Home Edition Detalhes da Lista de Verificação da Configuração do Windows XP Professional
Configuração do Windows XP Home Edition
Verifique se todas as partições estão formatadas com NTFS
Proteja compartilhamentos de arquivos
Use o Compartilhamento de Conexão da Internet para compartilhar conexões a Internet
Ative o Firewall de Conexão com a Internet
Use senhas para as contas de usuários
Use o recurso "Tornar privado"
Instale software antivírus e as atualizações
Mantenha-se atualizado quanto às últimas correções de segurança
Configuração do Windows XP Professional
---------------------------------------
Verifique se todas as partições estão formatadas com NTFS
Proteja compartilhamentos de arquivos
Use o Compartilhamento de Conexão para Internet para compartilhar conexões a Internet
Ative o Firewall de Conexão para Internet
Use diretivas de restrição de softwares
Use senhas para as contas de usuários
Desabilite serviços desnecessários
Desabilite ou apague contas desnecessárias
Tenha certeza de que a conta Convidado está desativada
Defina diretivas de senhas fortes
Defina a diretiva de bloqueio de conta
Instale um software antivírus e suas atualizações
Mantenha-se atualizado quanto às últimas correções de segurança
Detalhes da Lista de Verificação da Configuração do Windows XP Home Edition
---------------------------------------------------------------------------
### Verifique se todas as partições estão formatadas com NTFS
Partições NTFS oferecem controle de acesso e proteções que não estão disponíveis em sistemas de arquivos FAT, FAT32 ou FAT32x. Certifique-se de que todas as partições no computador estejam formatadas com NTFS. Se necessário, utilize o utilitário CONVERT para converter sem a perda de dados suas partições FAT para NTFS.
### Proteja os compartilhamentos de rede
O Windows XP Home Edition utiliza um modelo de acesso via rede chamado "Compartilhamento simples de arquivos", onde todos as tentativas de logon no computador através da rede serão forçadas ao usuário Convidado. Isto significa que o acesso na rede através de Server Message Block (SMB, usado para acesso a arquivos e impressoras), assim como Remote Procedure Call (RPC, usado para a maioria das ferramentas de gerenciamento remoto e acesso remoto ao registro) serão disponibilizadas somente para a conta Convidado.
No modelo de Compartilhamento Simples de Arquivos, os compartilhamentos de arquivos podem ser criados para que este acesso a partir da rede seja somente leitura ou com permissões de leitura, criação, alteração e exclusão de arquivos. O Compartilhamento Simples de Arquivos é destinado ao uso em uma rede doméstica e atrás de um firewall, como o fornecido com o Windows XP. Se você está conectado a Internet e não está operando atrás de um firewall, você deve lembrar que todos os compartilhamentos de arquivos pode estar acessível aos usuários na Internet.
### Use o Compartilhamento de Conexão da Internet para compartilhar conexões a Internet
O Windows XP tem a capacidade de compartilhar uma única conexão a Internet com múltiplos computadores em uma rede doméstica ou de uma pequena empresa através do Compartilhamento de Conexão da Internet. Um computador, chamado de host ICS, conecta-se diretamente com a Internet e compartilha esta conexão com o restante dos computadores na rede. Os computadores clientes cofiam no host ICS para o fornecimento do acesso a Internet. A segurança é aumentada quando o Compartilhamento de Conexão da Internet está habilitado porque apenas o host ICS é visível na Internet.
Para ativar o Compartilhamento de Conexão da Internet, clique com o botão direito do mouse em Conexões de rede, clique **Propriedades**, clique na guia **Avançado** e selecione a caixa de seleção apropriada.
Você pode também configurar o Compartilhamento de Conexão da Internet a partir do Assistente de Rede Doméstica. Para mais informações sobre o Compartilhamento de Conexão da Internet, acesse o Centro de Ajuda e Suporte do Windows XP.
### Ative o Firewall de Conexão com a Internet
Desenvolvido para o uso em residências e pequenas empresas, o Firewall de Conexão com a Internet fornece proteção para computadores Windows XP que estão conectados diretamente a Internet ou para computadores conectados a um host ICS que esteja utilizando o Firewall de Conexão com a Internet. O FIrewall do Windows XP usa um filtro de pacotes com controle de status, o que significa que o tráfego entrante acessando novas portas só é permitido se ele estiver associado a sessões de saída estabelecidas anteriormente pelo usuário.
Para ativar o Firewall de Conexão com a Internet, clique com o botão direito do mouse em Conexões de rede, clique **Propriedades**, clique na guia **Avançado** e selecione a caixa de seleção apropriada.
Você pode também configurar o Firewall de Conexão com a Internet a partir do Assistente de Rede Doméstica. Para mais informações sobre o Firewall de Conexão com a Internet, acesse o Centro de Ajuda e Suporte do Windows XP.
### Use senhas para as contas de usuários
Senhas devem ser atribuídas a contas individualmente em computadores Windows XP Home Edition que forem acessados por muitas pessoas que desejem proteger seus dados contra outras pessoas. Usuários do Windows XP possuem um armazenamento de arquivos separado mas acessível por padrão, com a proteção por senha opcional. Ao criar uma senha para si, o Windows oferece um bloqueio da pasta "Meus Documentos" e todas as subpastas. Desta forma, se você usar uma senha e desejar privacidade, você estará protegido de outros usuários não administradores do computador. Atribuindo senhas para os usuários irá prevenir que outras pessoas simplesmente sentem na frente do computador e utilize-o.
### Use o recurso "Tornar privado"
No modelo de compartilhamento simples de arquivos, o Windows não expõe diretamente a complexidade de listas de controle de acesso a arquivos para os usuários. Em vez disso, a interface do usuário possui uma opção chamada "Tornar privado" que, quando selecionar em uma pasta, irá modificar o controle de acesso para a pasta de forma que outros usuários não administradores não possam acessá-la. Este recurso somente funciona no sistema de arquivos NTFS.
### Instale softwares antivírus e atualizações
É imperativo que seja instalado um software antivírus e que seja mantida atualizada a lista de assinaturas de vírus em todos os sistemas da Internet, da Intranet ou em uma rede doméstica.
Mais informações sobre antivírus está disponível no site [Microsoft TechNet Security](http://technet.microsoft.com/en-us/security/default.aspx) (inglês).
### Mantenha-se atualizado quanto as últimas correções de segurança
O recurso Atualizações Automáticas do Windows XP pode detectar e fazer o download das últimas correções de segurança automaticamente. Ele pode ser configurado para fazer o download automaticamente e solicitar ao usuário que instale-os assim que o download terminar.
Para configurar as Atualizações Automáticas, clique em Sistema no Painel de Controle e selecione a guia Atualizações Automáticas. Escolha a primeira configuração de notificação para fazer o download automaticamente e receber uma notificação quando o sistema estiver pronto para o início da instalação.
Adicionalmente, a Microsoft emite boletins de segurança através do [Serviço de Notificação de Segurança](http://www.microsoft.com/brasil/technet/seguranca/notificacao/). Estes boletins são emitidos para qualquer produto Microsoft que possuir uma falha de segurança descoberta. Quando estes boletins recomendam a instalação de correções de segurança, você deve fazer o download e instalar imediatamente a correção em seus computadores.
Detalhes da Lista de Verificação da Configuração do Windows XP Professional
---------------------------------------------------------------------------
### Verifique se todas as partições estão formatadas com NTFS
Partições NTFS oferecem controle de acesso e proteções que não estão disponíveis em sistemas de arquivos FAT, FAT32 ou FAT32x. Certifique-se de que todas as partições no computador estejam formatadas com NTFS. Se necessário, utilize o utilitário CONVERT para converter sem a perda de dados suas partições FAT para NTFS.
### Proteja os compartilhamentos de rede
Por padrão, um sistema Windows XP Professional não conectado a um domínio utiliza um modelo de acesso via rede chamado "Compartilhamento simples de arquivos", onde todas as tentativas de logon no computador através da rede serão forçadas ao usuário Convidado. Isto significa que o acesso na rede através de Server Message Block (SMB, usado para acesso a arquivos e impressoras), assim como Remote Procedure Call (RPC, usado para a maioria das ferramentas de gerenciamento remoto e acesso remoto ao registro) serão disponibilizadas somente para a conta Convidado.
No modelo de Compartilhamento Simples de Arquivos, os compartilhamentos de arquivos podem ser criados para que este acesso a partir da rede seja somente leitura ou com permissões de leitura, criação, alteração e exclusão de arquivos. O Compartilhamento Simples de Arquivos é destinado ao uso em uma rede doméstica e atrás de um firewall, como o fornecido com o Windows XP. Se você está conectado a Internet e não está operando atrás de um firewall, você deve lembrar que todos os compartilhamentos de arquivos pode estar acessível aos usuários na Internet.
O modelo de segurança Clássico é usado se o seu Windows XP Professional fizer parte de um domínio ou se o modelo de Compartilhamento Simples de Arquivos estiver desativado. No modelo de segurança Clássico, os usuários que tentam fazer o logon no computador local através da rede devem se autenticar como o próprio usuário e não pela conta Convidado. Os compartilhamentos de arquivos devem ser criados para que o acesso a partir da rede seja garantido apenas a grupos e usuários apropriados.
### Use o Compartilhamento de Conexão da Internet para compartilhar conexões a Internet
O Windows XP tem a capacidade de compartilhar uma única conexão a Internet com múltiplos computadores em uma rede doméstica ou de uma pequena empresa através do Compartilhamento de Conexão da Internet. Um computador, chamado de host ICS, conecta-se diretamente com a Internet e compartilha esta conexão com o restante dos computadores na rede. Os computadores clientes cofiam no host ICS para o fornecimento do acesso a Internet. A segurança é aumentada quando o Compartilhamento de Conexão da Internet está habilitado porque apenas o host ICS é visível na Internet.
Para ativar o Compartilhamento de Conexão da Internet, clique com o botão direito do mouse em Conexões de rede, clique **Propriedades**, clique na guia **Avançado** e selecione a caixa de seleção apropriada.
Você pode também configurar o Compartilhamento de Conexão da Internet a partir do Assistente de Rede Doméstica. Para mais informações sobre o Compartilhamento de Conexão da Internet, acesse o Centro de Ajuda e Suporte do Windows XP.
### Ative o Firewall de Conexão com a Internet
Desenvolvido para o uso em residências e pequenas empresas, o Firewall de Conexão com a Internet fornece proteção para computadores Windows XP que estão conectados diretamente a Internet ou para computadores conectados a um host ICS que esteja utilizando o Firewall de Conexão com a Internet. O FIrewall do Windows XP usa um filtro de pacotes com controle de status, o que significa que o tráfego entrante acessando novas portas só é permitido se ele estiver associado a sessões de saída estabelecidas anteriormente pelo usuário.
Para ativar o Firewall de Conexão com a Internet, clique com o botão direito do mouse em Conexões de rede, clique **Propriedades**, clique na guia **Avançado** e selecione a caixa de seleção apropriada.
Você pode também configurar o Firewall de Conexão com a Internet a partir do Assistente de Rede Doméstica. Para mais informações sobre o Firewall de Conexão com a Internet, acesse o Centro de Ajuda e Suporte do Windows XP.
### Use diretivas de restrição de softwares
As diretivas de restrição de software fornecem a administradores um mecanismo baseado em políticas que identifica um software sendo executado em um domínio e controla a capacidade do software ser executado. Usando uma diretiva de restrição de software, um administrador pode prevenir a execução de programas indesejados como vírus e cavalos de Tróia ou outros softwares que são conhecidos por causar conflitos quando instalados. As diretivas de restrição de software podem ser utilizadas em um computador autonômo através da configuração da diretiva de segurança local. As diretivas de restrição de software também integram-se com Diretivas de Grupos e o Active Directory.
Para detalhes sobre a criação de diretivas de restrição de software, consulte o documento [What's New in Security for Windows XP Professional and Windows XP Home Edition](http://www.microsoft.com/windowsxp/pro/techinfo/planning/security/whatsnew/default.asp) (inglês).
### Use senhas para as contas de usuários
Para proteger os usuários que não protegeram suas contas com senhas, as contas do Windows XP Professional podem ser usadas apenas para logon no console físico do computador. Por padrão, as contas com senhas em branco não podem ser usadas para logon no computador remotamente através da rede ou para nenhum outro logon que não seja na tela de logon do console físico. Por exemplo, você não pode usar o serviço de logon secundário (RunAs) para iniciar um programa como um usuário local que não possua senha.
Atribuindo uma senha para uma conta local remove a restrição que previne o logon através da rede. Também permite que a conta acesse qualquer recurso autorizado, mesmo através de uma conexão de rede. Como resultado, é melhor manter uma senha em branco atribuída a um usuário do que definir uma senha fraca, facilmente descoberta. Ao atribuir senhas para as contas, certifique-se de que a senha tenha pelo menos 9 caracteres e inclua ao menos uma marca de pontuação ou um caracter ASCII não imprimível nos primeiros 7 caracteres.
> **Cuidado** Se o seu computador não está em um local físico seguro, é recomendado que você atribua senhas para todas os usuários locais. Uma falha neste sentido permitirá a qualquer pessoa acessar fisicamente o computador fazendo o logon com uma das contas que não possuir senha. Isto é especialmente importante em computadores portáteis, que devem sempre possuir senhas fortes em todas as contas locais.
> **Nota** Esta restrição não se aplica a contas do domínio. Também não se aplica a conta Convidado. Se a conta Convidado estiver ativa e possuir uma senha em branco, ela irá permitir o logon e o acesso a qualquer recurso autorizado através desta conta.
Se você deseja desativar a restrição contra o logon através da rede sem senha, você pode fazê-lo através da ferramenta Diretiva de Segurança Local.
### Desabilite serviços desnecessários
Após instalar o Windows XP, você deve desabilitar todos os serviços de rede não necessários para o computador. Em particular, você deve considerar se o computador precisa de algum serviços Web (IIS). Por padrão, o IIS não é instalado como parte do Windows XP e só deve ser instalado se os seus serviços forem realmente necessários.
### Desative ou apague contas desnecessárias
Você deve rever a lista de contas ativas (tanto para usuários como aplicações) do sistema no snap-in Gerenciamento do Computador e desativar as contas inativas, apagando contas que não forem mais necessárias.
### Certifique-se de que a conta Convidado esteja desativada
Esta configuração recomendada aplica-se somente ao Windows XP Professional que pertençam a um domínio ou a computadores que não utilizam o modelo de Compartilhamento Simples de Arquivos.
Em sistemas Windows XP Professional que não estão conectados a um domínio, os usuários que tentam fazer o logon através da rede são forçados a se conectarem usando a conta Convidado por padrão. Esta alteração foi criada para prevenir que hackers tentem acessar o sistema através da Internet fazendo o logon utilizando a conta de Administrador local se estiver sem senha. Para usar este recurso, que é parte integrande do modelo de Compartilhamento Simples de Arquivos, a conta Convidado deve ser habilitada nos computadores Windows XP que não façam parte de um domínio. Para estes computadores que fazem parte de um domínio ou para computadores que não façam parte de um domínio mas estejam com o modelo de Compartilhamento Simples de Arquivos desabilitado, a conta Convidado deve ser desativada. Isto irá prevenir que usuários tentem fazer o logon no computador através da rede usando a conta Convidado.
### Defina uma diretiva de senhas fortes
Para proteger os usuários que não protegem suas contas com senhas, o Windows XP Professional só permite que contas sem senhas façam o logon no console físico do computador. Por padrão, as contas com senhas em branco não conseguem fazer o logon remotamente através da rede ou outro tipo de logon exceto na tela de logon do console físico.
**Nota** Esta restrição não se aplica a contas do domínio. Também não se aplica a conta Convidado. Se a conta Convidado estiver ativa e não possuir senha, será permitido o logon e acesso de qualquer recurso autorizado para a conta Convidado.
Utilize a ferramenta Diretiva de Segurança Local para fortalecer as diretivas de senhas do sistema. A Microsoft sugere que você faça as seguintes alterações:
- Defina um comprimento mínimo da senha de pelo menos 8 caracteres.
- Defina um tempo de vida mínimo da senha apropriado a sua rede (tipicamente entre 1 e 7 dias).
- Defina um tempo máximo de vida da senha apropriado a sua rede (tipicamente não mais do que 42 dias).
- Defina um histórico de senhas (usando a opção "Aplicar histórico de senhas") de pelo menos 6.
### Defina uma política de bloqueio de conta
O Windows XP Professional inclui um recurso de bloqueio de contas que desativa uma conta após um determinado número de falhas no logon. Por exemplo, ativar o bloqueio de contas locais após 5 a 10 tentativas de logon sem sucesso, reiniciar o contador em não menos do que 30 minutos e definir o tempo de bloqueio para "Até que o administrador desbloqueie". Se isto for muito agressivo, considere permitir que a conta seja automaticamente desbloqueada após um certo período de tempo.
Existem dois objetivos comuns no uso de bloqueio de contas: um é tornar óbvio que múltiplas tentativas de logon foram feitas com uma senha inválida; a segunda é proteger as contas contra tentativas de descoberta de senhas através de um ataque de dicionário ou tentativas iterativas. Não existe uma configuração correta a ser aplicada a todos os ambientes. Considere a configuração razoável ao seu ambiente.
### Instale softwares antivírus e atualizações
É imperativo que seja instalado um software antivírus e que seja mantida atualizada a lista de assinaturas de vírus em todos os sistemas da Internet, da Intranet ou em uma rede doméstica.
Mais informações sobre antivírus está disponível no site [Microsoft TechNet Security](http://technet.microsoft.com/en-us/security/default.aspx) (inglês).
### Mantenha-se atualizado quanto as últimas correções de segurança
O recurso Atualizações Automáticas do Windows XP pode detectar e fazer o download das últimas correções de segurança automaticamente. Ele pode ser configurado para fazer o download automaticamente e solicitar ao usuário que instale-os assim que o download terminar.
Para configurar as Atualizações Automáticas, clique em Sistema no Painel de Controle e selecione a guia Atualizações Automáticas. Escolha a primeira configuração de notificação para fazer o download automaticamente e receber uma notificação quando o sistema estiver pronto para o início da instalação.
Adicionalmente, a Microsoft emite boletins de segurança através do [Serviço de Notificação de Segurança](http://www.microsoft.com/brasil/technet/seguranca/notificacao/). Estes boletins são emitidos para qualquer produto Microsoft que possuir uma falha de segurança descoberta. Quando estes boletins recomendam a instalação de correções de segurança, você deve fazer o download e instalar imediatamente a correção em seus computadores.
© 2003 Microsoft Corporation. Todos os direitos reservados.
[Início da página](#mainsection)
.gif){kind=icon}
[Início da página](#mainsection)