Windows Hardening

Autor: Bernardo Maia Rodrigues CSIRT PoP-MG (csirt@csirt.pop-mg.rnp.br) ltima modificao: 22/02/2008

Introduo
O conceito de Hardening caracteriza medidas e aes que visam proteger um determinado sistema de invasores. Dentre as aes tpicas do processo podemos citar:

Remoo de logins, usurios, programas e servios desnecessrios Aplicao de patches nos programas e no kernel do sistema operacional Fechar portas da rede Adoo de sistemas de deteco e preveno de intruso Firewalls Scripts de hardening

A grande maioria de mquinas comprometidas tm o Windows como sistema operacional. Os criadores de malware tentam infectar o maior nmero possvel de mquinas em um curto prazo de tempo, e, como Windows a plataforma mais usada atualmente, eles focam seus esforos no sistema da Microsoft. Um sistema Windows deve estar sempre atualizado, protegido por Firewall e Anti-vrus, e os usurios locais devem ser cautelosos com o contedo de arquivos e pginas que acessam. As recomendaes a seguir aplicam-se maior parte das verses do Windows baseadas no NT (Windows NT/2000/XP/2003/Vista). Nos casos em que existem grandes diferenas nas configuraes dos Sistemas, detalhou-se os passos para cada uma das verses.

Atualizaes e Patches
Todo sistema operacional deve ser atualizado com frequncia, assim como seus componentes, programas e servios instalados. O Windows possui um sistema automtico para verificar se os pacotes esto desatualizados e passveis de falhas - o Windows Update. Alm disto, existem vrios gerenciadores de verses de programas comerciais, Freewares e Sharewares instalados na mquina, que auxiliam o usurio final a manter seu sistema sempre atualizado. Para manter um sistema Windows atualizado, siga os procedimentos do documento abaixo: http://www.csirt.pop-mg.rnp.br/docs/so/atualizacao.html#windows

Firewall
Existe uma quantidade grande de solues firewall disponvel. Para usurios domsticos que usam o sistema Windows, um dos mais conhecidos o ZoneAlarm, que dispe de uma verso gratuita e outra paga, com mais recursos. Em ambos os casos, possvel utilizar configuraes pr-definidas, que oferecem bons nveis de segurana. O site para fazer o download do software o www.zonealarm.com. Uma outra soluo interessante (e gratuita) o Comodo Firewall http://www.comodobr.com/produtos/prd_firewall.php. Ele ajuda voc a entender o que est acontecendo, analisando cada alerta e fornecendo respostas intuitivas. Um diferencial do programa o fato dele ter uma base de dados interna, usada para classificar os aplicativos de acordo com seu nvel de risco, tais como SEGURO, SPYWARE, ADWARE etc. Vale citar que o Windows XP j vem com um firewall, que apesar de no ser to eficiente, um bom aliado na segurana. Para ativ-lo, v em Iniciar / Configuraes / Conexes de Rede /

Conexo Local / Avanado e habilite o Firewall de Conexo com a Internet. Caso sua internet chegue por uma placa wireless voc deve habilitar o firewall para Conexo de Rede Sem Fio. O uso de mais de um firewall ao mesmo tempo desaconselhvel. Em muitos casos, isto ir gerar um conflito entre os programas, tornando a conexo com a internet instvel, alm de prejudicar a performance do sistema. Para proteger a rede com vrias camadas, o uso de um Firewall baseado em Hardware pode ser interessante.

Netbios
Um item importante que deve ser observado a presena do protocolo NetBios. O NetBios uma interface que fornece s aplicaes de rede um servio de transmisso orientada conexo, um servio de nomes para identificar seus usurios na rede, e opcionalmente um servio de transmisso de datagramas no confivel. Em outras palavras, com esse protocolo ativado, algumas portas de sua mquina ficam em estado de escuta (abertas), e atravs dessas portas que so feitas invases, alm claro, do alto trfego de vrus que passam pelas mesmas. O NetBios usa as seguintes portas UDP/137, UDP/138, UDP/139. Para desabilitar a interface NetBios: 1. Na rea de trabalho, clique com o boto direito do mouse em Meu Computador e clique em Propriedades. 2. Clique na ala Hardware e clique no boto Gerenciador de Dispositivos. 3. Clique no menu Exibir e depois em Mostrar dispositivos ocultos. 4. Expanda (clique no smbolo +) Drivers que no so Plug and Play. 5. Clique com o boto direito em NetBT (NetBios) em TCP/IP e clique em Desinstalar. O servio de nomes NetBios permite a resoluo de nomes sem usar um servidor WINS. O Servio Transmisso de Datagramas NetBios usado por aplicaes como o servio Mensageiro e servio do Browser, alm de outras aplicaes que usam a interface de Mailslots. O Servio de Seo NetBios est presente na maior parte das redes, e responsvel pelas transferncias/impresses pela rede, e por aplicaes remotas como o Gerenciador do Servidor e o Gerenciador de Usurios. Desativar a interface pode prejudicar e at mesmo parar totalmente estes servios.

SMB (Bloco de Mensagem de Servidor)

Um outro vilo, e que trabalha junto com o NetBios, o SMB (Bloco de Mensagem de Servidor), que opera na porta 445, porta essa que passa trfego de muitos vrus. O fato de desabilitarmos as portas que o NetBios trabalha, no resolve o problema, pois na ausncia das mesmas todo o trfego da interface NetBios direcionado para essa porta. Portanto, esses servios devem ser desabilitados. A interface NetBios deve ser desabilitada nas propriedades de rede, e o SMB, removendo o Compartilhamento de Arquivos e Impressoras para Rede Microsoft e Cliente para Redes Microsoft. Vale lembrar que o item Cliente para Redes Microsoft deve ser desabilitado somente se voc no possuir uma rede local. J o item Compartilhamento de Arquivos e Impressoras pode ser desabilitado mesmo voc tendo uma rede local, desde que no haja a necessidade de compartilhamento de impressora e arquivos na rede. Para desabilitar o SMB:

1. No menu Iniciar, aponte para Configuraes e, em seguida, clique em Conexes de Rede. 2. Clique com o boto direito do mouse na conexo com a Internet e clique em Propriedades. 3. Selecione Cliente para Redes Microsoft e clique em Desinstalar. 4. Siga as etapas de instalao. 5. Selecione Compartilhamento de Arquivos e Impressoras para Redes Microsoft e clique em Desinstalar. 6. Siga as etapas de instalao. Esses passos desabilitam a escuta no host direto SMB nas portas TCP/445 e UDP 445. Observao: esse procedimento desabilita o driver nbt.sys. A guia WINS da caixa de dilogo Configuraes TCP/IP Avanadas contm uma opo Desativar NetBios sobre TCP/IP. Selecionar essa opo somente desabilita o Servio de Sesso NetBIOS (que escuta na porta TCP 139). Ela no desabilita o SMB completamente. Para isso, siga as etapas descritas acima. Como um impacto inicial, nenhum sistema poder se conectar com o servidor via SMB. Os servidores no podero acessar pastas compartilhadas na rede e muitas ferramentas de gerenciamento no conseguiro se conectar aos servidores.

Limitando contas dos usurios

O uso de contas no administrativas garante uma proteo eficaz contra Malwares. A maioria das atividades dirias (navegar na Internet, ler E-mail, mensageiros instantneos etc) no necessitam de privilgios administrativos: pode-se restringir a conta do administrador para tarefas de manuteno, instalao e configurao do sistema. Esta medida restringe drasticamente a exposio a Malwares. O simples fato de limitar a conta do usurio inibe a ao de vrios exploits (falhas), que necessitam de privilgios elevados para explorar falhas remotas. De posse da conta de administrador, um intruso pode:

Instalar rootkits no kernel, alm keyloggers Instalar e executar servios Instalar controles do ActiveX, incluindo add-ins para o IE (infectados com spyware e adware) Acessar dados de outros usurios Capturar/Registrar as aes de todos os usurios Substituir os Arquivos de Programas do sistema operacional com Trojans Acessar os LSA Secrets,alm de informaes sensveis das contas de usurios Desabilitar/Desinstalar anti-vrus Cobrir os rastros apagando logs do sistema Desativar o boot do sistema Se a mesma conta for usada em outros computadores da sub-rede, o intruso pode ganhar controle sobre vrias mquinas

Conta de Convidado (Guest)

Uma conta de Convidado permite que usurios sem conta no sistema acessem o computador. Na instalao padro do Windows, ela j vem desabilitada. Alm de desabilitar a conta Guest, possvel renomear e/ou proteger a conta com uma senha. Entre no Painel de Controle/Ferramentas Administrativas/Gerenciamento do Computador

No campo de Usurios Locais e Grupos, basta clicar com o boto direito no usurio Guest (ou em qualquer outro usurio) para fazer as modificaes desejadas. O comando net, tambm pode ser usado: net user [nome_de_usurio [senha | *] [opes]] [/domain] nome_de_usurio {senha | *} /add [opes] [/domain] nome_de_usurio [/delete] [/domain] Quando este comando usado sem as opes de linha de comando, as contas de usurio do computador so listadas. As informaes das contas de usurio so armazenadas no banco de dados de contas de usurio. possvel usar os seguintes parmetros com o comando net user:

nome_de_usurio: o nome da conta de usurio a ser adicionada, excluda, modificada ou exibida. O nome desta conta pode ter at 20 caracteres. senha: Atribui ou altera uma senha para a conta do usurio. Uma senha deve atender ao comprimento mnimo definido com a opo /minpwlen do comando net accounts e pode conter at 14 caracteres. *: Produz um prompt para a senha. Esta senha no exibida quando digitada em um prompt de senha. /domain: Realiza a operao no PDC (Controlador de Domnio Primrio) do domnio atual. Este parmetro somente se aplica aos computadores que executam o Windows

NT Workstation e que so membros de um domnio do Windows NT Server. Por padro, computadores com base no Windows NT Server realizam operaes no PDC. /add: Adiciona uma conta de usurio ao banco de dados de contas de usurio. /delete: Remove uma conta de usurio do banco de dados de contas de usurio.

Conta de Administrador
A conta de Administrador capaz de modificar quaisquer permisso e configurao do sistema. A contas padro Administrator e/ou Administrador so altamente visadas nos ataques de fora bruta. Para evitar que intrusos ganhem privilgios administrativos usando a conta de Administrador, altamente recomendvel renome-la: 1. V em Painel de Controle/Ferramentas Administrativas/Gerenciamento do Computador 2. Entre na aba Usurios e Grupos Locais, clique com o boto direito em Administrador (ou Administrator para sistemas em ingls) e clique em renomear. 3. Em seguida, clique novamente com o boto direito no Administrador e v at Propriedades e edite a descrio para a conta de usurio, para no revelar sua identidade. Se a conta de Administrador no estiver protegida por senha, ajuste-a nesse momento. Para verificar todos os usurios pertencentes ao grupo de administradores, pode-se usar o utilitrio net, no Prompt de Comando: Para Sistemas em Ingls: net localgroup administrators Para Sistemas em Portugus: net localgroup administradores Existe tambm um software que renomeia as contas automaticamente, pelo Promt de Comando. O RenUser gratuito, e pode ser baixado ehttp://www.jsifaq.com/docs/files/74391/renuser.zip. A sintaxe do programa segue o modelo: renuser <Usurio Atual> <Novo Usurio> [<Domnio>] O Campo domnio opcional. Para renomear o usurio Administrador para Pedro, no domnio WORKGROUP, por exemplo, basta usar o comando: renuser Administrador Pedro WORKGROUP

Segurana de Senhas
Com todos os avanos na rea da segurana da informao, um aspecto permanece constante: senhas tm uma importncia primordial. O problema das senhas o fato de que elas so, freqntemente, o mecanismo de segurana mais fcil de ser quebrado. Podemos usar tecnologia e polticas para torn-las mais fortes, mas, ainda assim, permanecemos com o aspecto do sistema mais sucetvel a falhas: o elemento humano.

Uma meta dos administradores fazer com que usurios escolham as melhores senhas possveis. Contudo, nem sempre est especificado como fazer isso. O problema que a mente humana altamente previsvel. Se algum comear a fazer uma lista aleatria de palavras, fatalmente surgir algum padro. Escolher boas senhas requer treinamento. Os administradores precisam ser treinados para instruir os usurios finais. Os tpicos abaixo cobrem aspectos relevantes e mitos comuns nas senhas usadas pelo Windows 2000/2003/XP/Vista.

Desabilitando Hash LM
Em vez de armazenar a senha da conta do usurio em texto sem formatao, o Windows gera e armazena as senhas usando duas representaes distintas, geralmente conhecidas como hashes. Ao definir ou alterar a senha de uma conta de usurio para uma senha que contm menos de 15 caracteres, o Windows gera um hash do LM hash (LAN Manager) e um NT hash (hash do Windows NT) da senha. Estes hashes so armazenados no banco de dados SAM (Gerenciador de contas de segurana) local ou no Active Directory. O LM hash relativamente fraco se comparado ao NT hash e, por isso, mais suscetvel a ataques de fora bruta e por tabelas pr-computadas (Rainbow Tables). Portanto, possvel impedir que o Windows armazene um LM hash da sua senha. Servidores com o Windows 2000 e com o Windows Server 2003 podem autenticar usurios que se conectam de computadores executando todas as verses anteriores do Windows. No entanto, as verses do Windows anteriores ao Windows 2000 no usam o Kerberos para autenticao. Para a compatibilidade com verses anteriores, o Windows 2000 e o Windows Server 2003 aceitam autenticao LM (LAN Manager), autenticao NTLM (Windows NT) e a autenticao NTLMv2 (NTLM verso 2). O NTLM, o NTLMv2 e o Kerberos todos usam o NT hash, tambm conhecido como o hash Unicode. O protocolo de autenticao LM usa o LM hash. O LM j vem desativado por padro no Windows Vista, mas pode ser reativado manualmente por motivos de compatibilidade. melhor evitar o armazenamento do LM hash se voc no precisar dele para compatibilidade com verses de sistemas operacionais anteriores. Se a rede contiver clientes com Windows 95, com Windows 98 ou com Macintosh, ser possvel perceber os seguintes problemas ao impedir o armazenamento dos LM hashes para o seu domnio:

Usurios sem um LM hash no sero capazes de se conectar a um computador com o Windows 95 ou com o Windows 98 que est funcionando como um servidor, a menos que os Directory Services Client para o Windows 95 e para o Windows 98 esteja instalado no servidor. Usurios em computadores com o Windows 95 ou com o Windows 98 no sero capazes de se autenticar em servidores usando suas contas de domnio, a menos que tenham o Directory Services Client instalado em seus computadores. Usurios em computadores com o Windows 95 ou com o Windows 98 no sero capazes de se autenticar usando uma conta local em um servidor se o servidor tiver os hashes LM desabilitados, a menos que eles tenham o Directory Services Client instalado em seus computadores. Os usurios podem no ser capazes de alterar suas senhas de domnio por um computador com o Windows 95 ou com o Windows 98, ou podero perceber problemas de bloqueio de conta quando tentarem alterar suas senhas por estes clientes mais antigos.

Usurios de clientes Macintosh Outlook 2001 podem no ser capazes de acessar suas caixas de correio em servidores com o Microsoft Exchange.

Para desativar os hashes LM e forar o Windows a armazenar todas as senhas em NT, basta executar os seguintes passos (lembrar de fazer backup dos seus dados anteriormente!): 1. Execute o regedit 2. Navege at entrada HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Windows 2000: Clique em Editar e crie uma Nova Chave com o nome NoLMHash, apertando ENTER em seguida e ajustando o valor da chave (Value data) para 1. Windows XP/2003: No menu Editar, v em Novo, e crie um valor DWORD com o nome NoLMHash (caso no exista) e troque o valor da chave para 1 Windows Vista: V em Iniciar/Executar e abra o script secpol.msc. Ele possui uma srie de configuraes pr-definidas para ativar/desativar funes de segurana das senhas.

De acordo com a Microsoft, a maneira mais simples de evitar que o Windows armazene hashes LM da sua senha usando senhas com mais de 15 caracteres. Deste modo, o valor do hash LM armazenado estar invlido e no poder ser usado para autenticar o usurio. Uma outra maneira de evitar o LM implementar a diretiva NoLMHash usando a diretiva de grupo:

1. Na diretiva de grupo, expanda Configurao do computador, Configuraes do Windows, expanda Configuraes de segurana, Diretivas locais e clique em Opes de segurana. 2. Na lista de diretivas disponveis, clique duas vezes em Segurana de rede: no armazenar o valor de hash do LAN Manager na prxima alterao de senha. 3. Clique em Ativada e em OK. Referncias: http://support.microsoft.com/kb/147706 http://support.microsoft.com/?kbid=299656

Senhas e Mitos
Mito #1: Hashes de Senhas esto Seguros com o NTLMv2
Hashes de senhas LanManager (LM) do Windows so fracos. O uso de hashes NTLM torna o servio mais seguro incluindo um algoritmo maior de hash e diferenciando letras maisculas de minsculas. Contudo, programas como L0phtcrack e o rcrack, associados a Rainbow Tables podem quebr-las em apenas alguns minutos. O NTLMv2 tornou o processo ainda mais avanado, computando uma chave de 128-bits e usando chaves separadas para a integridade da mensagem. Apesar de todos esses avanos, verses mais antigas do Windows (2000/98/95) enviam hashes pela rede usando LM e NTLM, e o NTLMv2 ainda vulnervel a ataques intransit (tambm conhecidos como replay). E como os hashes LM e NTLM ainda permanecem armazenados no registro, seu sistema continua vulnervel a ataques contra o SAM. Ainda vai levar algum tempo para se extinguir o uso do LanManager nos sistemas Windows. At l, no se pode garantir que os hashes esto 100% seguros.

Mito #2: Dj#wP3M$c uma tima senha

Um mito comum que senhas aleatrias criadas por geradores de senhas so as melhores possveis. Isto no verdade. Apesar do fato destas senhas serem fortes, elas so difceis de memorizar, lentas para se digitar, e s vezes vulnerveis a ataques contra o algoritmo que gerou a senha. possvel criar senhas fortes, mas fceis de memorizar usando tcnicas simples. Por exemplo, a senha Super81@senha.com: A senha alterna caracteres maisculos e minsculos, tem dois nmeros e dois smbolos. Ela tem 17 dgitos e pode ser memorizada facilmente. Alm disso, as palavras Super81 e senha.com alternam posies da esquerda e direita no teclado, aumentando a velocidade para se digitar, diminuindo as chances de erros de digitao e de algum descobr-la olhando voc digit-la. A melhor tcnica para criar senhas complexas e de fcil memorizao atravs de estruturas de dados que j estamos acostumados. Uma boa referncia sobre este tpico pode ser encontrada em http://www.csirt.pop-mg.rnp.br/docs/senhas.pdf

Mito #3: O tamanho ideal para a senha de 14 dgitos

Com o LM, os hashes das senhas so divididas em dois hashes distintos, com 7 caracteres. Isto tornou as senhas mais vulnerveis porque um ataque por fora bruta pode ser usado contra cada uma das metades ao mesmo tempo. Desta maneira, senhas que tm 9 caracteres so quebradas em um hash de 7 dgitos e outro de 2 dgitos. Obviamente, quebrar um hash de 2

dgitos no leva muito tempo, e a poro de 7 dgitos pode ser quebrada em algumas horas. Freqentemente, a poro menor pode ser usada para ajudar a quebrar a parte maior. Por este motivo, muitos profissionais de segurana recomendam senhas com 7 a 14 caracteres. O NTLM melhorou a situao usando hashes de 14 caracteres para armazenar a senha. Apesar disto, as caixas de dilogo do NT limitam as senhas em 14 caracteres. Para evitar problemas, senhas com exatamente 14 dgitos so altamente recomendveis. Verses mais novas do Windows armazenam senhas de at 127 dgitos. Para senhas com 15 ou mais caracteres, o Windows armazena a constante AAD3B435B51404EEAAD3B435B51404EE como hash, que equivale a uma senha nula. E como a senha real obviamente no nula, as tentativas de quebrar o hash LM iro falhar.

Mito #4. J0hn99 uma boa senha

Apesar de passar nos requisitos mnimos de complexidade do Windows 2000, J0hn99 no uma senha to forte quanto parece. A maior parte dos programas para quebrar senhas possuem regras customizveis que podem tentar milhes de variantes por segundo, trocando letras por nmeros e alternando posies de sufixos e prefixos (o por 0, e por 3 por exemplo). Uma boa opo tentar ser menos previsvel. Ao invs de trocar o por 0, tente trocar o por caracteres como (), como em j()hn. E, alm disso, vale ressaltar que senhas maiores ficam ainda mais difceis de serem quebradas.

Mito #5: Qualquer senha pode ser quebrada

Uma senha pode ser descoberta atravs de keyloggers ou por engenharia social, mas, dependendo da sua complexidade, possvel torn-la inquebrvel em tempo hbil. Se uma senha grande o suficiente, o processo de fora bruta pode ser extremamente custoso computacionalmente, levando sculos para ser quebrada. Avanos na computao podem tornar possvel esse processo, o que transformaria este mito em realidade.

Mito #6: Senhas devem ser trocadas a cada 30 dias

Apesar desta ser uma boa prtica para senhas de alto risco, no uma poltica adequada para usurios regulares. Exigir mudanas freqentes de senhas pode fazer com que o usurio crie padres previsveis de senhas, ou use outros meios que iro diminuir a eficincia da senha. frustrante para o usurio ter que lembrar novas senhas a cada 30 dias. Ao invs de fazer as senhas expirarem, criar polticas para senhas mais fortes uma melhor recomendao. Um tempo aceitvel para expirar senhas de usurios regulares de 90-120 dias. Se o usurio tem mais tempo para pensar, fica mais fcil convenc-lo a usar senhas mais fortes.

Mito #7: Senhas nunca devem ser escritas

Apesar de no recomendado, as vezes necessrio escrever uma senha de difcil memorizao. Usurios ficam mais confortveis para criar senhas complexas se puderem anot-las em algum lugar. importante educar os usurios sobre como escrever as senhas. Uma nota no monitor no uma boa prtica: um local fechado com acesso restrito suficiente. No se deve negligenciar as polticas de segurana e simplesmente jogar fora papis

e documentos com senhas. Muitas senhas so comprometidas por pessoas que vasculham lixos e restos de papis. s vezes pode ser interessante salvar as senhas em programas especficos para isto. Estes programas permitem que o usurio guarde diversas senhas em um um nico lugar, protegido com uma senha mestre. De posse da senha mestre, voc tem acesso a toda lista de senhas. Mas antes de permitir o uso destes aplicativos, deve-se educar o usurio para usar uma senha forte, j que o prprio programa de armazenamento de senhas pode ser alvo do ataque. A melhor tcnica combinar tecnologia, localizao fsica e a poltica da companhia. Para certos casos, as senhas precisam ser documentadas. comum uma empresa enfrentar problemas com a sada de um administrador, que era o nico responsvel pelas senhas de servidores. Escrever senhas no uma poltica recomendvel, mas se for realmente necessria, deve ser usada com cautela e segurana.

Mito #8: Senhas no podem conter espaos

Apesar de muitos usurios no saberem disto, o Windows permite o uso de espao nas senhas. De fato, todo caractere visvel do Windows pode ser usado em senhas. Apesar de espaos serem caracteres vlidos, algumas aplicaes desconsideram-nos, o que pode acarretar problemas em senhas que comeam e/ou terminam com espaos. Espaos podem facilitar a criao de senhas mais complexas. Espaos usados entre palavras podem encorajar usurios a usar mais de uma palavra nas senhas. Um aspecto interessante que estes caracteres no afetam os requisitos de complexidade da senha do Windows. No so considerados nmeros, letras nem smbolos. Ao mesmo tempo que pode ajudar sua senha a ficar mais complexa, eles no ajudam a passar nos requisitos de complexidade do Windows. E finalmente, uma desvantagem de usar espaos o barulho de quando a tecla digitada. No difcil escutar quando algum usa o espao em uma senha. Espaos so permitidos nas senhas, mas no devem ser utilizados com excesso.

Mito #9: Sempre usar a biblioteca Passfilt.dll

O Passfilt.dll um componente que fora o usurio a usar senhas fortes. No Windows 2000 e XP, ela implementada atravs da poltica Passwords must meet complexity requirements. Obrigar os usurios a usar senhas fortes uma boa prtica, mas pode ser frustrante para algum que tem vrias senhas rejeitadas por no atingir os requisitos mnimos. At mesmo administradores mais experientes tm de digitar vrias senhas at encontrar uma que passe pelos requisitos de complexidade. Se voc descobrir que os usurios esto descontentes com os requisitos de complexidade, uma possvel soluo cancelar esta poltica e exigir senhas maiores. Uma senha com nove caracteres (minsculos) tem a mesma complexidade de uma senha de sete caracteres que alterna letras maisculas, minsculas e nmeros. O mtodo usado no ataque de fora bruta contra a senha ter diferentes resultados nestes casos: alguns destes programas tentam combinaes de letras minsculas antes de alternar letras e nmeros.

Usurios mais avanados podem criar regras e polticas de senhas prprias, usando a Plataforma SDK do sistema. Educar os usurios sobre o que torna as senhas complexas, com exemplos, tambm ajuda nestes casos.

Mito #10: Usar ALT+255 para criar a senha mais forte possvel
comum ver recomendaes para se usar caracteres ASCII, no-existentes no teclado, o que tornaria a senha inquebrvel. Caracteres ASCII altos no podem ser digitados diretamente no teclado: deve-se segurar a tecla ALT e digitar seu valor em ASCII no teclado numrico. Por exemplo, a seqncia ALT+0255 gera o caractere <>. Apesar de ser til em algumas situaes, deve-se levar em conta as desvantagens no uso de senhas com tais caracteres. Segurar o ALT e digitar seqncias no teclado numrico pode ser facilmente observado por terceiros. Alm disso, criar tais seqncias requer a memorizao de cinco teclas distintas. Ao invs de digitar vrios nmeros para compor um caractere em alto ASCII, pode ser mais interessante usar estas teclas a mais e criar uma senha maior. Por exemplo, uma senha de cinco caracteres criadas com letras em ASCII requer o uso de 25 teclas. Com 255 possibilidades para cada caractere, e cinco caracteres, o total de combinaes posiveis de 255^5 (1.078.203.909.375). Uma senha com 25 caracteres minsculos tem 26^25 (236.773.830.007.968.000.000.000.000.000.000.000) combinaes possveis. Notavelmente, criar senhas maiores muito mais til. Outro aspecto que deve ser considerado o fato que algumas aplicaes de linha de comando no aceitam tais caracteres. Por exemplo, voc pode usar o caractere ALT+0127 no Windows, mas no pode digit-lo no prompt de comando. Caracteres especficos como Tabs (ALT+0009), Quebras de Linha (ALT+0010) e o ESC (ALT+0027) s podem ser usados no prompt. Em casos especficos pode ser til usar estes caracteres especiais. Se voc possui um servio sensvel ou contas de Administrador locais que so raramente usadas, o caractere extendido pode ser til, j que so poucos os Password Crackers com a funo de testar estes caracteres em alto ASCII. Uma observao final sobre caracteres extendidos o uso do espao que evita quebra de linhas (ALT+0160) - http://en.wikipedia.org/wiki/Non-breaking_space. Este caractere aparece como um espao e pode enganar aqueles que, de alguma forma, conseguirem ver a senha. Supondo que um atacante instale um keylogger no seu sistema. Se voc usa este espao na sua senha, o caractere vai aparecer como um espao normal no log do keylogger. Se o atacante no souber da existncia deste espao, e sem visualisar o cdigo ASCII do arquivo, as senhas que ele testar no iro funcionar.

Concluso
Muitos podem discordar de alguns pontos apresentados aqui, mas este o propsito do artigo. Um mito uma quase-verdade. Muitos dos mitos atacados aqui j foram boas recomendaes h algum tempo atrs, ou continuam teis para casos especficos. Estas recomendaes, como o prprio nome j diz, so apenas sugestes. Voc deve determinar quais regras funcionaro para voc e sua empresa e quais no iro adiante. Talvez o maior mito de todos o fato de que existem regras pr-definidas para segurana de senhas.

Em alguns casos J0hn99 uma boa senha e em outros, senhas devem ser mudadas a cada 30 dias. Algumas senhas, como a de Administrador, precisa de maior proteo que as demais. Voc deve usar o que voc j sabe e aproveitar o que achar til destas recomendaes. Uma boa senha no basta ser complexa. Uma boa senha no deve ser de fcil deduo, mas deve ser fcil de lembrar. Deve ser grande o suficiente e possuir letras, nmeros e smbolos, e ser de fcil digitao, para que possa ser digitada rapidamente sem erros. Deve ter elementos de aleatoriedade que s um computador pode gerar, somados com fatores que s um serhumano pode criar. A melhor senha aquela que o usurio escolhe baseado em um entendimento prvio sobre sua segurana - uma senha difcil de quebrar que no vai ser esquecida. E a melhor poltica de senha aquela que ajuda o usurio a criar estas senhas. Referncia: http://www.securityfocus.com/infocus/1554/

Auditoria de Senhas
O processo de auditoria demostra se um sistema est seguro ou no, verificando se uma senha pode ser quebrada em segundos, horas, semanas ou anos. um processo de grande importncia para os administradores, j que qualquer senha pode ser quebrada, desde que haja tempo e poder de processamento suficiente.

SAMInside
O SAMInside um programa designado para recuperar e auditar senhas dos usurios no Windows NT/2000/XP/2003/Vista. O programa, alm de recuperar os hashes de senhas do sistema, realiza os seguintes ataques: - Ataque por fora bruta; - Ataque distribudo; - Ataque por mscara; - Ataque por dicionrio; - Ataque hbrido; - Ataque por tabelas pr-computadas. Site Oficial: http://www.insidepro.com/eng/saminside.shtml

PWDumpX
O PWDumpX permite que um usurio com privilgios administrativos recupere senhas do domnio no cache, hashes das senhas, histrico de senhas e os segredos LSA de um sistema Windows qualquer. O utilitrio pode ser usado em um sistema local ou em um ou mais sistemas remotos. Site Oficial: http://reedarvin.thearvins.com/tools.html

Pwdump
Existem vrias verses do Pwdump, cada uma com uma funcionalidade distinta. Estes programas so usados para extrair hashes de senhas (LM/NTLM) dos usurios do Windows, para que possam ser quebrados posteriormente.

Download: http://www.openwall.com/passwords/microsoft-windows-nt-2000-xp-2003-vista

Cain & Abel

O Cain & Abel um utilitrio para auditar senhas nos Sistemas Operacionais da Microsoft. Ele permite recuperar vrios tipos de senhas capturando o trfego na rede, quebrando a criptografia por fora bruta, dicionrios, ataques de criptoanlise, decodificando senhas embaralhadas, revelando campos e caixas de senhas, recuperando senhas em cache e analisando protocolos de roteamento. Site Oficial: http://www.oxid.it/cain.html

John the Ripper

O John the Ripper um software para quebra de senhas altamente eficiente, que funciona em DOS, Windows, Linux, BSD, alm de vrios outros sistemas. Ele possui os seguintes modos de ataque:

Dicionrio (Wordlist): sendo o modo mais simples suportado pelo programa, este o conhecido ataque de dicionrio, que l as palavras de um arquivo e verifica se so correspondentes entre si. Quebra Simples (Single Crack): mais indicado para incio de uma quebra e mais rpido que o wordlist, este modo usa tcnicas de mangling e mais informaes do usurio pelo nome completo e diretrio /home em combinao, para achar a senha mais rapidamente.

Incremental: sendo o modo mais robusto no John the Ripper, ele tentar cada caractere possvel at achar a senha correta, e por esse motivo indicado o uso de parmetros com o intuiro de reduzir o tempo de quebra. Externo (External): o modo mais complexo do programa que faz a quebra a partir de regras definidas em programao no arquivo de configurao do programa, que ir pr-processar processar as funes no arquivo no ato da quebra quando usar o programa na linha de comando e execut-las. execut Este modo mais completo o e necessita de tempo para aprender e acostumar-se. acostumar

O modo mais simples de se usar o John especificar o arquivo com as senhas de usurios criptografadas e deixar ele fazer tudo automaticamente. Ele ir comear com o modo single crack, depois ir passar r para o modo wordlist e finalmente ir passar para o modo incremental. Site Oficial: http://www.openwall.com/john/ Referncias: http://pt.wikipedia.org/wiki/John_the_Ripper http://www.neoteam.com.br/index.php?mod=article&cat=Tuto&article=488

Acesso Remoto
O utilitrio de Assistncia Remota do Windows usado para convidar pessoas para conectar na sua mquina, quando voc precisa de algum tipo de assistncia. O Remote Desktop uma ferramenta para acesso e controle visual, distncia, no computador. Na instalao padro do Windows, a Assistncia Remota j vem habilitada por padro. Para desabilit-los, abra a pasta de Sistema no Painel de Controle. Clique na aba Remote e desmarque Allow Remote Assistance invitations to be sent from this computer e Allow users to connect remotely to this computer. Clique em aplicar e salve as configuraes.

Se o uso do Remote Desktop for realmente necessrio, aconselhvel restringir o acesso, e proteger o usurio com uma senha forte. Uma possibilidade para ofuscar o servio trocar a porta padro. O RDesktop usa a porta 3389 por padro, e possvel troc-la usando o registro do Windows: 1. Inicie o Editor do Registro. 2. Localize e clique na seguinte subchave do Registro:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer \WinStations\RDP-Tcp\PortNumber 3. No menu Editar, clique em Modificar e em Decimal. 4. Digite o novo nmero de porta e clique em OK. 5. Feche o Editor do Registro. Agora, sempre que for conectar em um servidor remoto, basta usar o utilitrio assistente do mstsc e digitar o IP/Host seguido : e a nova porta, no formato IP:PORTA

Atributos e Extenses de Arquivos

O Windows, no modo padro, oculta a extenso de arquivos conhecidos, quando visualizados no Windows Explorer ou na rea de Trabalho. Este fator freqentemente explorado por malwares, que se escondem adicionando uma segunda extenso no arquivo malicioso para enganar o usurio. Mudam-se os cones para formatos aparentemente inofensivos, deixando

extenses de arquivos de fotos/vdeos/msica/texto: fotos.jpg.exe, video.avi.scr, musica.mp3.bat, documento.doc.vbs. Na dvida, nunca abra arquivos de procedncia duvidosa/desconhecida. Para exibir as extenses dos arquivos conhecidos:

Abra o Painel de Controle e v em Opes de Pastas Clique na aba Visualizar Desmarque Hide extensions for known file types / Ocultar extenses de arquivos conhecidos

Tambm recomendvel exibir arquivos Ocultos, alm dos arquivos de Sistema. Estas configuraes tambm podem ser habilitadas em Opes de Pastas / Visualizar, permitindo a visualizao no Explorer e no Prompt de arquivos com atributos +s e +h. Para exibir a listagem completa de arquivos em uma pasta, com seus atributos, pode-se usar o Prompt de Comando com o utilitrio attrib. Para tirar os atributos (oculto/sistema) pode-se usar os parmetros: attrib -h -s PASTA/ARQUIVO

Criptografando documentos sensveis

O EFS (Encrypting File System), disponvel nas verses do Windows 2000/2003/XP/Vista permite criptografar arquivos e pastas NTFS usando chaves pblicas. Criptografar dados sensveis adiciona uma camada extra de proteo nos seus arquivos. Um possvel invasor no consegue ver os dados das Pastas criptografadas, mesmo que ele tenha acesso todo sistema de armazenamento do computador. Para criptografar uma pasta/arquivo basta clicar com o boto direito no local, Propriedades, escolher a aba Geral, clicar em Avanado na seo atributos e marcar os campos relacionados.

Como todo mtodo de segurana, o EFS tem uma srie de vulnerabilidades que afetam principalmente os Laptops. Como os arquivos de sistema no podem ser criptografados, o intruso consegue ligar o sistema operacional. Se ele for capaz de quebrar a senha de administrador (usando um mtodo qualquer), ele poder descriptografar e ter acesso aos arquivos de qualquer usurio. Isto acontece porque o administrador, por padro, o agente de recuperao do EFS. O agente de recuperao uma funo do EFS que torna possvel recuperar arquivos criptografados se, por exemplo, um empregado que criptografou um arquivo qualquer morreu ou deixou a empresa. Por causa desta vulnerabilidade, a Microsoft recomenda que o agente de recuperao guarde o certificado de recuperao e sua chave privada em um local seguro (usando o comando de Exportar Certificados MMC) e apague o certificado de recuperao, para que um intruso no possa ter acesso ele. Apesar disto, um intruso com privilgios administrativos pode trocar a senha de todos usurios e conectar em todas as contas at encontrar aquele que criptografou o(s) arquivo(s). Ao fazer log-on com este usurio, os arquivos j aparecero descriptografados. O fato de um computador pertencer a um domnio qualquer garante uma camada extra de proteo, mas ainda existem maneiras de quebrar o EFS (capturando as credenciais no logon ou acessando a chave privada do usurio, que armazenada no disco rgido da mquina onde est residente o arquivo criptografado). Referncia: http://www.windowsecurity.com/articles/Where_Does_EFS_Fit_into_your_Securit y_Plan.html

Servios
A instalao padro do Windows acompanha uma srie de servios que no so necessrios para o funcionamento do sistema, e, alguns deles podem at mesmo colocar a segurana do computador em risco. A menos que um servio esteja desabilitado explicitamente, ele estar executando, desperdiando memria RAM. Para visualizar e modificar os servios do Windows, basta clicar em Iniciar / Executar e rodar o utilitrio services.msc. Sero exibidos todos os servios, seus parmetros, configuraes e os seus trs possveis estados:

Automtico: O Servio incializado juntamente com o Windows. Manual: O Sevio no iniciado no momento do boot, mas pode ser ativado manualmente se necessrio. Desabilitado: Servio no iniciado durante o boot, e no pode ser inicializado a menos que se mude as opes na configurao do servio, reiniciando a mquina e/ou ativando-o manualmente.

O utilitrio net pode ser usado no prompt de comando, para visualizar, parar e iniciar os servios manualmente. Para exibir os servios inicializados: net start Para iniciar um determinado servio: net start "SERVIO" Para parar um servio: net stop "SERVIO" Os servios que podem ou no ser desativados variam em cada mquina, dependendo das funes exercidas. Consulte maiores informaes sobre os servios, e faa testes para ver se o sistema continuar estvel sem o mdulo especfico.

Concluso
Todo computador conectado internet corre srios riscos, e pode ser infectado em apenas alguns minutos, caso no esteja devidamente protegido. Estas recomendaes visam dificultar e coibir a ao de usurios maliciosos, diminuindo os riscos de comprometimento, educando e conscientizando o usurio final.