Windows 7: Cinco recursos de segurança a serem observados

O sistema operacional Windows sempre foi mal falado por problemas de segurança. No passado, os esforços da fabricante Microsoft em produzir um sistema operacional fácil de usar muitas vezes implicou em criar um ambiente pouco seguro contra infecções e invasões. A vulnerabilidade da versão XP aos worms é um excelente exemplo disso; não se sabe por que, a Microsoft distribuiu o pacote do XP com um firewall nativo, mas desabilitado por padrão.

Consideradas todas as falhas da versão Windows Vista, a empresa queria investir em um sistema operacional mais seguro. A tocha da segurança foi passada para o Windows 7, que trouxe novos recursos ao ambiente e procurou descomplicar a configuração de usuários e de acessos. A Microsoft também focou em estabelecer maneiras melhores de determinar quais operações constituem ameaças.

Outras melhorias de segurança, menos aparentes, inclui identificar o ambiente em que está instalado – rede lan corporativa, por exemplo –  ajustando a segurança de acordo com isso.

Entre os itens mais relevantes estão o DirectAccess, uma substituição a VPN para computadores em redes Win, e o Biometric Framework, responsável por padronizar a maneira como impressões digitais são interpretadas por aplicativos que realizam leitura de biometria. Também vale a pena mencionar o AppLocker, uma evolução das diretrizes de restrição de aplicativos e seus direitos sobre o sistema.

Tem, ainda, o BitLocker To Go, que estende a criptografia do disco, ao modo BitLocker, aos discos rígidos externos e várias configurações diferentes para o firewall, sempre atento ao tipo de rede a que o usuário se conecta na web.

Seguindo o padrão MS, cada função dessas é guarnecida de um guia de utilização e de configuração. Vamos dar uma olhada em como cada uma delas pode ajudar a melhorar a segurança do sistema em redes.

Antes de mais nada, saiba que algumas das configurações a seguir estão disponíveis para todas as versões do Windows 7, ao passo que outras acompanham somente as distribuições Enterprise ou Ultimate. Além disso, determinadas configurações só surtirão efeito se todas as máquinas da rede estiverem rodando o sistema mais novo da Microsoft.

Aliás, para usar oDirectAccess, são necessários algumas configurações que a maioria das empresas não implementa. Todavia, esses recursos vão rodar em conjunto com tecnologias mais antigas, presentes nas estações com versões anteriores ao tatara-tatara-tataraneto do DOS.

Mesmo que ainda não seja possível aproveitar todas as novas funcionalidades do sistema, é chegada a hora de planejar a implementação; já, agora.

1 – Firewalls
O 7 apresenta uma pequena, porém relevante, diferença em relação ao Vista no que tange à gestão de perfis de firewalls. Na versão Vista, existem diferentes padrões de conexão, de acordo com o lugar onde o usuário entra na rede. Há o perfil público, privado e em domínios.

Por rede privada, entende-se a rede doméstica, usada em casa; esse tipo de ambiente não requer muito do usuário para fazer a conexão, basta uma chave de acesso WPA ou WEP; não são necessárias credenciais para efetuar o login, e, normalmente, esse ecosistema é mais seguro que uma rede WiFi pública de um café ou de um bar.

Já conexões em domínios requerem uma combinação de fatores para liberar a conexão; pode ser que sejam pedidos dados biométricos, uma senha adicional, um cartão ou outro jeito de autenticar a identidade do usuário.

Para cada perfil de conexão haverá um conjunto de aplicativos e de ligações autorizados a trafegar pela rede. Por exemplo, em uma rede local pequena com configurações de ambiente privado, podem ser usados recursos de compartilhamento de arquivos e de impressoras, coisa que você não vai querer funcionando em redes abertas, digo públicas.

Os perfis do Vista eram eficazes, a não ser que o computador estivesse conectado a várias redes simultaneamente, como uma conexão pela rede Ethernet e, outra, WiFi. Nesses casos o sistema iria escolher, por padrão, o esquema de maior restrição.

Os incômodos começavam quando era necessário conectar, por exemplo, a uma VPN usando uma rede pública. O Vista adotava o esquema de segurança definido para redes públicas, mesmo sabendo que existiam duas redes ativas.

Em todas as diferentes distribuições do Windows 7 é possível gerir diferentes perfis de firewall ativos ao mesmo tempo – esquemas mais restritos para conexões em redes púbicas e mais relaxadas em conexões privadas. Como muitas funções de acesso remoto demandam regras mais permissivas, os usuários podem navegar de maneira segura nessas ligações, mesmo enquanto não estão no ambiente da rede corporativa.

2 – Windows Biometric Framework
À medida que leitores de impressão digital ficam cada vez mais comuns em laptops, tornou-se importante conhecer a maneira como os dados biométricos são avaliados. Acesse a parte de gestão de biometria do Windows 7 – uma parte usada para armazenar de maneira padronizada as informações usando uma API (um aplicativo) comum.

Sim, a maioria dos recursos desse subsistema interessa somente aos desenvolvedores, mas há dois itens que merecem atenção por parte das empresas.

1. Enquanto a leitura de digitais podia ser usada para liberar o acesso do usuário ao sistema, ela não cumpria a função de permitir o login em um domínio corporativo. O Biometric Framework resolve questões de conexão em domínios.

2. É possível armazenar até dez impressões digitais diferentes, assim, uma para cada dedo. Ninguém espera perder um dedo no futuro próximo, ponto pacífico, mesmo assim é uma solução interessante para o caso de pequenos cortes ou um curativo aplicado.

Os diferentes registros digitais são adicionados usando o aplicativo (a DLL) de dispositivo biométrico, localizado no painel de controle. Para alterar os dados salvos é preciso estar logado como administrador.

3 – BitLocker To Go
Um dos pesadelos das empresas é perder um dispositivo móvel com acesso à rede corporativa, onde ficam dados confidenciais e de negócios. A versão do BitLocker que acompanhava o Windows Vista, preocupada com essa questão, permitia criptografar todo o disco rígido, o que negava o acesso aos dados. Com o BitLocker To Go, esse esquema de criptografia é estendido, inclusive, aos discos rígidos externos e aos flash drives (pendrives).

Disponível apenas nos pacotes Enterprise e Ultimate, o BitLocket To Go é fácil de usar: acione o botão direito do mouse em cima do disco ou do dispositivo e selecione “Ativar o BitLocker”. Será apresentado um assistente que conduz o usuário pelo processo de criptografia do sistema de arquivos no dispositivo selecionado.

Quanto demora o processo? Isso é relativo. Dependerá da velocidade do computador e do dispositivo conectado. Varia de 20 minutos para um flash drive de 2GB a um dia útil para discos rígidos de 500 GB ou mais.

Os sistemas de arquivos criptografados são acessíveis usando uma senha ou com um cartão para autenticação com base vários fatores.

O processo de criptografia é possível de aplicar somente a partir de sistemas com as versões Ultimate Enterprise, mas qualquer máquina com o Windows 7 poderá acessar esses arquivos. Se preferir, pode configurar os discos com direitos de “somente leitura” para máquinas rodando o XP ou o Vista.

Itens de segurança adicional podem ser implementados para ambientes corporativos permitindo que os discos criptografados aceitem a modificação do contingente de dados, o que – teoricamente – impediria usuários de salvar arquivos em locais diferentes dos discos “seguros”. Aos administradores de rede e de sistemas, fica a opção de manter armazenados os dados de senha em um Active Directory.

4 – AppLocker
Controlar que aplicativos os usuários poderão executar é uma maneira efetiva de prevenir ameaças à estabilidade dos sistemas. Também ajuda no combate aos malwares e, consequentemente, contribui para a manutenção da saúde do sistema ao frear o consumo desacerbado de programas que ocupam bandas de conexão, como aplicativos de Torrent, usados para baixar arquivos na web.

Nas distribuições anteriores do sistema operacional da Microsoft, esse controle era atribuído às configurações de políticas locais. Elas permitiam prevenir a execução de softwares de acordo com a localização dos arquivos no sistema de dados ou por não apresentarem a chave de acesso requerida para aplicativos “confiáveis”.

Usar as políticas de restrição era algo, no mínimo, chato de fazer. De vez em quando, um programa requer um local de instalação diferente dos outros, o que demandava a criação de regras específicas cada vez que um aplicativo desse era integrado ao rol de softwares.

Tem mais. Qualquer atualização no arquivo executável alterava a chave do software e impedia a execução do programa. Era necessário então, manter uma lista de regras de hash e negar a atualização automática de programas.

A versão AppLocker, disponível para as distribuições Ultimate e Enterprise do Windows 7 e para a versão R2 do Windows Server 2008, traz um método mais flexível de controlar os softwares: são as regras de publicação. Essas regras se baseiam nas assinaturas digitais, bastante comuns aos aplicativos comerciais de da atualidade.

As informações contidas nas assinaturas digitais são, de longe, mais robustas que qualquer chave hash ou o caminho do objeto. Por exemplo, um administrador pode liberar tudo que vier com a assinatura digital providenciada pela Adobe, ou, se preferir, permitir apenas a execução do Photoshop atual ou mais moderno.

Regras do AppLocker podem ser aplicadas a qualquer executável, a scripts e a bibliotecas do sistema o que dá aos usuários a autonomia de decidir sobre a instalação de atualizações e de outros softwares sem requerer a autorização administrativa, e, ao mesmo tempo impede o usuário de implementar novos aplicativos no sistema.

Regras criadas com a AppLocker podem ser transferidas para grupos de usuários; a equipe de design e de contabilidade – provável – terão regras distintas. Usando o AppLocker um único conjunto de diretrizes pode dar conta das configurações personalizadas para cada conjunto de usuários.

Outra maneira de poupar tempo é exportar as diretrizes a partir de um computador referência na rede. Um guia completo de como fazer isso pode ser lido aqui.

5 – DirectAccess
Foi apresentado pela MS como sendo o sucessor da VPN. O DirectAccess permite que máquinas Ultimate ou Enterprise se conectem a servidores Windows Server 2008 R2. Normalmente os usuários tinham de iniciar as conexões VPN; no caso do DirectAccess o processo de conexão é totalmente transparente para o usuário do sistema. Cada vez que o computador se conecta na Internet, o aplicativo, de maneira automática, criava a conexão segura com a rede corporativa.

As vantagens do DirectAccess sobre o modo VPN tradicional são razoáveis. Ele lança mão de protocolos Isec e IPv6 para criptografar e rotear a conexão de forma completa, na rota do computador ligado a distância e ao entrar no ambiente corporativo.

No caso das VPN, a criptografia era removida ao chegar até o servidor VPN. Outra característica que vai deixar os usuários de VPN mais tranqüilos é o fato de as conexões DirectAccess atravessar tranquilamente as barreiras de firewalls, dispensando o usuário de executar configurações adicionais.

Outros benefícios: como a conexão é estabelcida e mantida de maneira automática, os administradores podem gerenciar e atualizar PCs com direitos de conexão DirectAccess, mesmo quando os usuários não estão lançando mão de qualquer recurso no servidor. Como usuários remotos tendem a usar as conexões VPN somente ao acessar dados corporativos, às vezes podem passar semanas antes que isso aconteça.

O resultado é a transferência do usuário para um ambiente segregado – para a quarentena. De lá, o computador tem de ser examinado e, eventualmente, ter brechas corrigidas antes de efetivamente se conectar. Assim a produtividade fica ameaçada.

Computadores com configurações DirectAccess ativas são atualizados ao mesmo tempo que todas as outras máquinas pertencentes a rede, e são passíveis de monitoramento a despeito do usuário estar ou não conectado na lan corporativa.

De qualquer maneira é importante notar que nem todas as empresas poderão se beneficiar da migração para o DiretcAccess de uma hora para outra. O DA requer infraestrutura avançada de rede e usa o protocolo IPv6 e o Windows Server 2008 R2 – itens raros nos ambientes corporativos atualmente.

Assim, pode levar anos até que todas as empresas disponham de redes maduras para acomodar esses recursos. Enquanto não entra em funcionamento, o DA pode ser usado paralelamente às VPNs tradicionais.

Mas assim podemos olhar para o futuro das redes – uma conexão permanente e segura que permite aos usuários remotos acessar os dados como se estivessem no escritório.

Às empresas, o Windows 7 possibilita a formação de parcerias entre os profissionais do departamento de TI e os usuários. Estes poderão trabalhar de maneira tranqüila, sabendo que estão sob proteção de regras e com atualizações automáticas.

O denominador comum em todos os melhoramentos da Microsoft é a facilidade de uso, mostrando que, finalmente, a fabricante entendeu que não há porque sacrificar a segurança em detrimento de uso facilitado.

Fonte: Computerworld/EUA

Anúncios

Tags:, , ,

About Desmonta&CIA

Somos um blog que busca informar aos apaixonados por tecnologia tudo sobre o mundo de TI.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: