Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Protegendo o Windows XP Professional em um ambiente de rede ponto-a-ponto

Atualizado em: 21 de julho de 2006

Nesta página

Introdução
Antes de começar
Protegendo o sistema de arquivos
Firewall do Windows
Atualizando patches de segurança
Informações relacionadas

Introdução

A rede ponto-a-ponto pode aumentar a produtividade facilitando o compartilhamento de informações e recursos em sua rede. No entanto, a capacidade dos usuários em controlar o acesso a seus computadores pode deixá-los vulneráveis a roubo, perda ou compartilhamento inadvertido de informações. É por isso que, além de aplicar uma diretiva de computação corporativa, você deve assegurar que seus funcionários entendam os princípios básicos da rede ponto-a-ponto Windows e de sua segurança.

Com a ameaça de códigos mal-intencionados (como worms, vírus, cavalos de Tróia e spyware) e hackers, é essencial tomar medidas imediatas para bloquear os computadores desktop e portáteis. Este documento explica como implementar medidas de segurança em ambientes de pequenas e médias empresas nos quais é usada a rede ponto-a-ponto. Essas recomendações ajudam a garantir que os computadores com Microsoft® Windows® XP Professional Service Pack 2 (SP2) estarão mais protegidos, garantindo ao mesmo tempo que os usuários continuem eficientes e produtivos em seus computadores.

Objetivo deste documento

Depois de se familiarizar com as informações deste documento, você será capaz de aumentar a segurança de um grupo de trabalho ponto-a-ponto.


Antes de começar

Como acontece com qualquer recomendação de segurança, este guia tenta encontrar o equilíbrio certo entre a segurança avançada e a facilidade de uso. As recomendações aqui fornecidas funcionam com êxito para instalações do Windows XP Professional SP2 em diversos ambientes. No entanto, antes de implementar essas recomendações, perceba que este documento não trata da grande variedade de necessidades e configurações que podem ser necessárias em uma grande empresa. Além disso, o guia pode não tratar de forma completa das necessidades de segurança específicas de algumas empresas.

Atendendo ao requisito de service pack

As recomendações contidas neste documento se aplicam apenas a computadores que executam o Windows XP Professional com SP2 que sejam membros de um grupo de trabalho, e não um domínio. Caso o SP2 não esteja instalado ou se você não souber dizer se ele está instalado no computador, visite a página Microsoft Update no site da Microsoft em http://windowsupdate.microsoft.com, e verifique se o computador precisa de alguma atualização. Se o Service Pack 2 aparecer como uma atualização disponível, instale-o antes de continuar com os procedimentos deste documento.

Observação   A instalação do SP2 exige a reinicialização do computador.

Requisitos administrativos

Você deve ter feito logon como administrador ou como membro do grupo Administradores para executar os procedimentos a seguir. Se seu computador estiver conectado a uma rede, as configurações de diretiva de rede também podem impedir que você execute esses procedimentos.


Protegendo o sistema de arquivos

Um sistema de arquivos é a forma como os diretórios e arquivos são organizados em um computador. Há várias maneiras de proteger seu sistema de arquivos contra acessos, alterações ou exclusões não autorizados. Esta seção fornece instruções passo a passo para as tarefas a seguir, que o ajudarão a proteger o sistema de arquivos:

  • Converter o sistema de arquivos em NTFS

  • Usar software antivírus

  • Usando o Windows Defender (Beta 2)

  • Proteger compartilhamentos de arquivos

  • Proteger pastas compartilhadas

  • Desativar serviços desnecessários

  • Desativar ou excluir contas desnecessárias


Converter os sistemas de arquivos em NTFS

Durante o processo de configuração do Windows XP, os computadores podem ser configurados para usar o sistema de arquivos FAT32 ou NTFS.

O FAT32 é uma tecnologia mais antiga, usada nas versões anteriores do Windows. O sistema de arquivos NTFS é mais rápido e mais seguro do que os sistemas de arquivos FAT e que muitos outros sistemas de arquivos mais antigos. Para obter desempenho otimizado do sistema operacional, use o NTFS para proteger todas as partições do sistema de arquivos do seu computador. Use os dois procedimentos a seguir para verificar o tipo de sistema de arquivos do seu computador e, se necessário, converter o sistema de arquivos em NTFS.

Importante   Considere as seguintes limitações antes de converter uma partição FAT em NTFS:

  • A conversão é um processo unidirecional. Depois de converter uma partição em NTFS, não é possível convertê-la de volta em FAT. Para ser restaurada como FAT, a partição deve ser reformatada como FAT, o que apaga todos os dados da partição. Nesse caso, os dados teriam de ser restaurados do backup.

  • Uma vez que qualquer unidade do computador tenha sido convertida em NTFS, não é mais possível remover o Windows XP e reverter o sistema operacional para Windows 98 ou Windows Millennium Edition (Me).

  • O Convert.exe exige uma certa quantidade de espaço livre em disco para converter o sistema de arquivos. Para obter mais informações sobre a quantidade de espaço livre necessária para essa conversão, consulte o artigo da Base de Dados da Microsoft
    Espaço Livre Necessário para Converter FAT em NTFS em http://support.microsoft.com/kb/156560/pt-br.


Para verificar o tipo de sistema de arquivos do seu computador

  1. Clique em Iniciar e Meu Computador.

  2. Clique com o botão direito do mouse na letra da unidade que deseja verificar e clique em Propriedades.

  3. O tipo do sistema de arquivos deveria ser NTFS, como mostrado na captura de tela a seguir. Caso não seja, use o utilitário Convert.exe para convertê-lo de FAT16 ou FAT32 para NTFS.


    XPP2P01.GIF


Repita o procedimento para todas as partições dos discos rígidos do computador. Mesmo que o sistema de arquivos tenha sido configurado como FAT32 quando o sistema operacional foi instalado, você pode convertê-lo facilmente em NTFS para proporcionar um maior nível de segurança.

Para converter o sistema de arquivos em NTFS, anote o nome do disco, conhecido também como rótulo do volume, (Unidade C na imagem anterior). Depois, siga o procedimento a seguir, que converterá o sistema de arquivos em NTFS. Converter o sistema de arquivos em NTFS proporciona ao seu computador um maior nível de segurança.

Para converter o sistema de arquivos em NTFS

  1. Clique em Iniciar, Executar, digite cmd e clique em OK.

  2. No prompt de comando, digite o comando abaixo, onde <letra_da_unidade> é a unidade que você deseja converter, e pressione ENTER:

    convert <letra_da_unidade> : /fs:ntfs

  3. Será solicitado que você digite o rótulo do volume atual da unidade. Digite o rótulo do volume identificado anteriormente e pressione ENTER.

  4. Quando a conversão estiver concluída, digite exit e pressione ENTER para fechar o prompt de comando.

    Observação Se estiver tentando converter a unidade em que o sistema operacional está instalado, talvez seja solicitado que você agende a conversão para que ocorra da próxima vez que o computador for reiniciado. Se isso ocorrer, digite y e pressione ENTER para reiniciar o computador.


Usando software antivírus

Vírus de computador são programas carregados em seu computador sem o seu conhecimento ou aprovação. Os vírus e outras formas de software mal-intencionado existem há anos. Os vírus atuais podem se reproduzir e usam aplicativos de Internet e de email para se espalhar pelo mundo em menos de uma hora.

Um programa de software antivírus ajudará a proteger seu computador contra vírus, worms, cavalos de Tróia e outros códigos mal-intencionados conhecidos. O software antivírus examina continuamente o seu computador para verificar se há vírus e ajuda a detectá-los e removê-los. Instalar um software antivírus resolve apenas uma parte do problema. Arquivos atualizados de assinatura do antivírus são vitais para manter um computador desktop ou portátil seguro.

Muitos computadores novos vêm com software antivírus já instalado. No entanto, o software antivírus exige uma assinatura para permanecer atualizado. Se você não tiver uma assinatura dessas atualizações, seu computador poderá ficar vulnerável a novas ameaças.

O treinamento dos usuários com relação a práticas seguras de email é outra etapa vital na prevenção de ataques de vírus. Os usuários não devem abrir mensagens de email, nem executar uma ação em anexos de email a menos que estejam esperando os arquivos. Verifique se o software antivírus está configurado para examinar todos os anexos de email antes que sejam executados.

A Microsoft oferece o Windows Live OneCare, um serviço que ajuda a proteger o PC, de atualização automática e execução silenciosa, em segundo plano. Ele proporciona contínua proteção contra vírus, hackers e outras ameaças, ajuda a manter o seu PC funcionando sem problemas e a fazer backup de documentos importantes. Para obter mais detalhes, consulte Windows Live OneCare em www.windowsonecare.com (em inglês).

Para obter mais informações sobre os fornecedores de software que oferecem software antivírus compatível com o Windows XP, visite a página Lista de fornecedores de software antivírus no site da Microsoft em http://support.microsoft.com/kb/49500.

Usando o Microsoft Defender

O Windows Defender (Beta2) é uma tecnologia de segurança que ajuda a proteger os usuários do Windows contra spyware e outros softwares potencialmente indesejáveis. Os spyware conhecidos no PC podem ser detectados e removidos, reduzindo seus efeitos negativos, inclusive desempenho lento, anúncios em forma de pop-ups inconvenientes, alterações indesejadas das configurações de Internet e uso não autorizado de informações particulares. A proteção contínua aumenta a segurança da navegação na Internet, protegendo seu PC contra a entrada de spyware de mais de 50 maneiras. Os participantes da comunidade SpyNet™ em todo o mundo têm papel fundamental na determinação de quais programas suspeitos são classificados como spyware. Os pesquisadores da Microsoft desenvolvem com rapidez métodos para combater essas ameaças e o download das atualizações é feito automaticamente para o seu PC, para mantê-lo atualizado.

Você pode baixar o Windows Defender do site www.microsoft.com/brasil/athome/security/spyware/software/default.mspx. A versão atual é a Beta 2. O nome do arquivo é WindowsDefender.msi e ele tem cerca de 5,5 MB. (O nome e o tamanho podem mudar depois do lançamento do produto final.)

Protegendo compartilhamentos de arquivos

Os compartilhamentos de arquivo do Windows XP Professional são uma maneira de se compartilhar arquivos de uma unidade de disco local com usuários em outros sistemas baseados em Windows. Você pode dar um nome de compartilhamento para um diretório ou pasta e oferecer permissões para que o diretório ou pasta possa ser atribuído a usuários ou grupos de usuários. Os compartilhamentos de arquivo funcionam da mesma maneira se a estação de trabalho for membro de um domínio ou grupo de trabalho. Nas duas configurações, um compartilhamento pode ser criado de modo a permitir que outros usuários de outras estações de trabalho acessem um diretório em uma unidade de disco local. O usuário da estação de trabalho com Windows XP Professional pode atribuir permissões a esses compartilhamentos para contas e grupos locais nas duas configurações. No entanto, contas e grupos do serviço de diretório Active Directory® só podem ser atribuídos se a estação de trabalho for membro do Active Directory.

Por padrão, compartilhamentos são criados com controle total por Todos. Essas permissões devem ser modificadas de modo a autorizar somente os usuários que precisam acessar o compartilhamento. Além disso, contas e grupos de contas de usuário podem ser limitados de acordo com o que podem fazer em um compartilhamento. Eles podem ser limitados a acesso somente leitura ou podem receber permissões para criar, alterar e, até mesmo, excluir arquivos.

O compartilhamento de arquivos é destinado ao uso em um ambiente doméstico ou de rede empresarial protegidos por um firewall, como o Windows Firewall (oferecido com Windows XP SP2). Se você estiver conectado à Internet e não estiver protegido por um firewall, lembre-se de que qualquer compartilhamento de arquivo que você criar poderá tornar-se acessível para qualquer usuário da Internet.

Protegendo pastas compartilhadas

O sistema de rede ponto-a-ponto do Windows permite que você compartilhe o conteúdo de seu sistema de arquivos com outros computadores de sua rede. O procedimento a seguir presume que você já tenha compartilhado uma ou mais pastas do seu sistema de arquivos. Alterando algumas das configurações padrão do sistema de arquivos, você pode restringir o acesso não autorizado aos seus compartilhamentos.

  • Todos os usuários que precisam acessar o compartilhamento desde seus computadores devem ter uma conta de usuário na estação de trabalho que contém o compartilhamento. Esse requisito é uma limitação da configuração da rede de grupo de trabalho ponto-a-ponto. É recomendável manter o número de computadores com diretórios compartilhados o menor possível. Se houver compartilhamentos em todas as estações de trabalho, será necessário criar contas de usuário em todas as estações de trabalho, o que pode rapidamente se transformar em uma configuração de manutenção complexa.

  • Você pode definir permissões somente em unidades formatadas para usar o sistema de arquivos NTFS.

  • Nas etapas a seguir, você removerá o grupo especial Todos que oferece acesso anônimo. Depois, você vai atribuir a cada conta de usuário local as permissões Ler ou Alterar a pasta compartilhada.

    • Ler oferece à conta de usuário permissões suficientes para listar, abrir e copiar os arquivos do compartilhamento para outro local.

    • Alterar oferece à conta de usuário a capacidade de listar, adicionar, modificar e excluir arquivos.


    Você deve selecionar as opções Alterar e Ler para atribuir permissões para Alterar. Limite o número de usuários para que recebem permissões para Alterar. Não é aconselhável atribuir Controle Total do compartilhamento a outras contas de usuário. O Controle Total oferece as mesmas permissões que Alterar, além da capacidade de se apropriar dos arquivos/diretórios e alterar as permissões.


Para proteger uma pasta compartilhada

  1. Clique com o botão direito em uma pasta compartilhada e selecione Compartilhamento e segurança.

  2. Na guia Compartilhamento, clique em Permissões. Uma tela semelhante à mostrada a seguir será exibida.


    XPP2P02.GIF

  3. Selecione o grupo Todos e clique em Remover.

  4. Clique em Adicionar para selecionar que usuários podem acessar a pasta.

  5. Na caixa de diálogo Selecionar Usuários ou Grupos, clique em Tipos de Objeto.

  6. Desmarque as caixas de seleção Segurança interna principal e Grupos e clique em OK.

  7. Clique em Avançado.

  8. Clique em Localizar Agora.

  9. Realce os usuários que você deseja que tenham o acesso permitido à pasta. Quando os usuários tiverem sido selecionados, clique em OK.

  10. Cada usuário da lista de permissões precisa ter o tipo correto de acesso. Clique duas vezes em um usuário e desmarque a caixa de seleção Permitir ao lado de Controle Total. Depois, escolha se usuário terá permissões para Alterar e Ler ou apenas para Ler.

  11. Clique em OK.

  12. Clique em OK novamente para fechar a caixa de diálogo Permissões.

    Observação Se as caixas de seleção da caixa de diálogo Permissões não estiverem disponíveis, as permissões serão herdadas da pasta pai.


Desativando serviços desnecessários

Desativando serviços desnecessários, você pode reduzir as chances de exploração de vulnerabilidades conhecidas e desconhecidas. Use opção Adicionar ou Remover Programas do Painel de Controle para desativar esses serviços.

Para obter uma lista de serviços e suas configurações, consulte as configurações Padrão da página de serviços no site da Documentação do Microsoft Windows XP Professional em www.microsoft.com/resources/documentation/windows/xp/all/proddocs/
en-us/sys_srv_default_settings.mspx?mfr=true (em inglês).

Desativando ou excluindo contas de usuário desnecessárias

Desative ou exclua as contas de usuário de que você não precisa. Desativando ou excluindo contas desnecessárias, você pode reduzir as chances de acesso não autorizado ao seu computador.

Para desativar uma conta

  1. Clique em Iniciar e Painel de Controle.

  2. Clique duas vezes em Contas de Usuário.

  3. Clique na guia Avançado e no botão Avançado.

  4. Clique na ramificação Usuários.

  5. Clique duas vezes na conta de usuário para exibir a caixa de diálogo de propriedades.

  6. Marque a caixa de seleção Conta desativada.


Observação   A conta permanece desativada, mas o usuário não tem permissão para fazer logon. Ela aparece no painel de detalhes de Usuários, com um X no ícone.

Para excluir uma conta

  1. Realize as etapas de 1 a 4 do procedimento anterior.

  2. Em vez de clicar duas vezes na conta, clique nela com o botão direito do mouse e selecione Excluir.

    • Desative as contas de usuário antes de excluí-las. Depois de confirmar que a desativação da conta não causou nenhum problema, você pode excluí-la com segurança.

    • Uma conta de usuário excluída não pode ser restaurada.

    • As contas internas Administrador e Convidado não podem ser excluídas.



Protegendo contas de usuários

Usando senhas e configurando bloqueios de conta, você pode reduzir as chances de acesso não autorizado ao seu computador.

Usando senhas

É importante que todos as contas de usuário de todas as estações de trabalho tenham uma senha. Senhas em branco permitem que as pessoas acessem os computadores em nome de outra pessoa.

  • Não use a conta Convidado nas estações de trabalho. Ela deveria ser desativada.

  • Todos os usuários devem ter sua própria conta. As contas e senhas de usuário não devem ser compartilhadas.


Dois conceitos são normalmente confundidos com relação a senhas. Uma conta de usuário pode ser bloqueada em decorrência de muitas tentativas de logon com senhas incorretas. Nesse caso, a conta apenas precisa ser desbloqueada. A senha não precisa ser redefinida, a menos que o usuário tenha esquecido sua senha. Um bom exemplo, provavelmente o mais comum, é ter a conta bloqueada porque o recurso CAPS LOCK estava ligado no momento em que o usuário digitava sua senha.

A redefinição da senha oferece uma nova senha (geralmente temporária) à conta de usuário. A senha temporária pode ser fornecida ao usuário para que possa fazer logon. O melhor é definir que a senha expire da primeira vez que for usada, para evitar que o usuário esqueça de alterá-la após fazer o logon. Exigir que o usuário crie uma nova senha assim que fizer o logon garante que somente o usuário saiba sua senha.

Para desbloquear uma conta bloqueada

  1. Clique em Iniciar e Painel de Controle.

  2. Clique duas vezes em Contas de Usuário.

  3. Clique na guia Avançado e no botão Avançado.

  4. Clique na ramificação Usuários.

  5. Procure a conta de usuário afetada e clique nela duas vezes.

  6. Desmarque a caixa de opção Conta bloqueada e clique em OK.


Para definir ou redefinir uma senha para uma conta de usuário existente

  1. Realize as etapas de 1 a 5 do procedimento anterior.

  2. Marque a caixa de seleção da opção O usuário deve alterar a senha no próximo logon. Em seguida, clique em OK.

  3. Clique com o botão direito do mouse na conta e clique em Definir Senha. Você receberá uma mensagem de aviso. Anote o impacto possível antes de continuar.

  4. Se clicar no botão Prosseguir, digite a senha temporária nos dois campos.

  5. Clique em OK e informe a senha temporária ao usuário.


Firewall do Windows

O Firewall do Windows é uma solução de firewall baseado em host que faz parte do Windows XP Professional SP2 e é altamente configurável. Ele é ativado por padrão e ajuda a proteger contra ataques à rede. O Windows Live OneCare também monitora o Windows Firewall e permite que um único console verifique o status de segurança geral do PC.

O Firewall do Windows não tem a finalidade de substituir a funcionalidade do firewall da rede. O Firewall do Windows ativa as portas de rede do Windows para que os grupos de trabalho ponto-a-ponto possam se comunicar e compartilhar recursos. O firewall da rede é necessário para proteger sua rede ao passo que o Firewall do Windows protege as estações de trabalho em que se encontra instalado e ativado. Há diversos fornecedores de opções acessíveis de firewall criadas para redes pequenas e médias.

Para verificar se o Firewall do Windows não foi desativado

  1. Clique em Iniciar e Painel de Controle.

  2. Clique duas vezes no ícone Firewall do Windows.

  3. Verifique se a opção Ativado (recomendado) está selecionada.


Atualizando patches de segurança

Uma boa maneira de manter os patches de segurança atualizados é assinar o boletim da Microsoft Security enviados por email. Você pode se inscrever para receber os boletins no site Microsoft Security em www.microsoft.com/brasil/security/default.mspx (em inglês). Além de permanecer informado por intermédio de boletins, existem diversas tecnologias que podem ajudar a automatizar os patches de segurança.

Atualização automática

O recurso de atualização automática do Windows XP pode detectar e baixar automaticamente os patches de segurança mais recentes da Microsoft. Ela pode ser configurada para baixar automaticamente os patches em segundo plano e pedir ao usuário que os instale depois que o download for concluído.

Para configurar seu computador para fazer atualizações automáticas

  1. Clique em Iniciar e Painel de Controle.

  2. Clique duas vezes no ícone Atualizações Automáticas.

  3. Configure todas as estações de trabalho com Windows XP para Automática. Você pode configurar com que freqüência e a que horas as atualizações devem ocorrer.

  4. Clique em OK.


Observação Além disso, a Microsoft emite boletins de segurança por intermédio do Security Notification Service. Esses boletins são emitidos quando um problema de segurança é detectado em algum produto Microsoft.


Informações relacionadas

Para obter mais informações sobre como proteger o Windows XP, consulte:

  • O Manual de Segurança do Windows XP, disponível para consulta e download no site Microsoft TechNet em http://www.microsoft.com/technet/security/prodtech/windowsxp/secwinxp/default.mspx.


Para obter mais informações sobre tópicos relacionados com a proteção do Windows XP, consulte:

  • O guia Ameaças e Contramedidas, disponível para consulta e download no Microsoft TechNet em http://www.microsoft.com/technet/security/topics/serversecurity/tcg/tcgch00.mspx.



Download

Veja o artigo "Protegendo o Windows 2000 Professional em um Ambiente de Rede Ponto-a-ponto"


Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft