“Segurança” e “Windows” sempre foram comparados à água e ao óleo. No passado, os esforços da fabricante Microsoft em produzir um sistema operacional fácil de usar muitas vezes implicou em criar um ambiente pouco seguro contra infecções e invasões. A vulnerabilidade da versão XP aos worms é um excelente exemplo disso; não se sabe por […]
“Segurança” e “Windows” sempre foram comparados à água e ao
óleo. No passado, os esforços da fabricante Microsoft em produzir um sistema
operacional fácil de usar muitas vezes implicou em criar um ambiente pouco
seguro contra infecções e invasões. A vulnerabilidade da versão XP aos worms é
um excelente exemplo disso; não se sabe por que, a Microsoft distribuiu o
pacote do XP com um firewall nativo, mas desabilitado por padrão.
Consideradas todas as falhas da versão Windows Vista, a
distribuição deu um enorme passo em direção ao um sistema operacional mais
seguro. A tocha da segurança foi passada para o Windows 7, que trouxe novos
recursos ao ambiente e melhorou a funcionalidade de vários outras
características – entre estas, a mais óbvia, o painel de controle de contas de
usuários.
Na distribuição Vista, esse recurso provou ser tão absurdamente
desprezível, que aos usuários ficavam poucas opções a não ser desabilitar esse
incômodo, abrindo as portas do sistema aos ataques e invasões. O 7 trouxe
configurações de usuários e de acessos mais lógicas e de configuração descomplicada.
Ele também avalia de maneira eficiente se determinada operação constitui, de
fato, uma invasão ou algo assim.
No Windows 7 há outras melhorias de segurança, porém menos
aparentes; algumas delas procuram “cuidar” da robustez do ambiente, principalmente
quando o sistema percebe que está ligado a uma rede, que faz parte de um
conjunto de computadores em uma lan corporativa, por exemplo.
Entre os itens
mais relevantes estão o DirectAccess, uma substituição a VPN para computadores
em redes Win, e o Biometric Framework, responsável por padronizar a maneira como
impressões digitais são interpretadas por aplicativos que realizam leitura de
biometria. Também vale a pena mencionar o AppLocker, uma evolução das
diretrizes de restrição de aplicativos e seus direitos sobre o sistema.
Tem, ainda, o BitLocker To Go, que estende a criptografia do
disco, ao modo BitLocker, aos discos rígidos externos e várias configurações
diferentes para o firewall, sempre atento ao tipo de rede a que o usuário se
conecta na web.
Seguindo o padrão MS, cada função dessas é guarnecida de um guia
de utilização e de configuração. Vamos dar uma olhada em como cada uma delas
pode ajudar a melhorar a segurança do sistema em redes.
Antes de mais nada, saiba que algumas das configurações a
seguir estão disponíveis para todas as versões do Windows 7, ao passo que
outras acompanham somente as distribuições Enterprise ou Ultimate. Além disso,
determinadas configurações só surtirão efeito se todas as máquinas da rede
estiverem rodando o sistema mais novo da Microsoft.
Aliás, para usar o Acesso
Direto, são necessários algumas configurações que a maioria das empresas não
implementa. Todavia, esses recursos vão rodar em conjunto com tecnologias mais
antigas, presentes nas estações com versões anteriores do tatara-tatara-tataraneto
do DOS.
Mesmo que ainda não seja possível aproveitar todas as novas
funcionalidades do sistema, é chegada a hora de planejar a implementação já,
agora.
1:: Firewalls
O 7 apresenta uma pequena, porém relevante, diferença em
relação ao Vista no que tange à gestão de perfis de firewalls. Na versão Vista
existem diferentes padrões de conexão, de acordo com o lugar onde o usuário
entra na rede. Há o perfil público, privado e em domínios.
Por rede privada,
entende-se a rede doméstica, usada em casa; esse tipo de conexão não requer
muito do usuário para fazer a conexão, basta uma chave de acesso WPA ou WEP;
não são necessárias credenciais para efetuar o login, e, normalmente, esse
ambiente é mais seguro que uma rede WiFi pública de uma café ou de um bar.
Já conexões
em domínios requerem uma combinação de fatores para liberar a conexão; pode ser
que sejam pedidos dados biométricos, uma senha adicional, um cartão ou outro
jeito de autenticar a identidade do usuário.
Para cada perfil de conexão haverá um conjunto de aplicativos
e de conexões autorizados a trafegar pela rede. Por exemplo, em uma rede local
pequena com configurações de ambiente privado, podem ser usados recursos de
compartilhamento de arquivos e de impressoras, coisa que você não vai querer
funcionando em redes abertas, digo públicas.
Os perfis do Vista eram eficazes, a não ser que o computador
estivesse conectado a várias redes simultaneamente, como uma conexão pela rede Ethernet e, outra, WiFi. Nesses casos o sistema iria escolher, por padrão, o esquema
de maior restrição.
Os incômodos começavam quando era necessário conectar, por
exemplo, a uma VPN usando uma rede pública. O Vista adotava o esquema de
segurança definido para redes públicas, mesmo sabendo que existiam duas redes
ativas.
Em todas as diferentes distribuições do Windows 7 é possível
gerir diferentes perfis de firewall ativos ao mesmo tempo – esquemas mais
restritos para conexões em redes púbicas e mais relaxadas em conexões privadas.
Como muitas funções de acesso remoto demandam regras mais permissivas, os
usuários podem navegar de maneira segura nessas ligações, mesmo enquanto não estão
no ambiente da rede corporativa.
2:: Windows Biometric Framework
À medida que leitores de impressão digital ficam cada vez
mais comuns em laptops, tornou-se importante conhecer a maneira como os dados
biométricos são avaliados. Acesse a parte de gestão de biometria do Windows 7 – uma parte usada para armazenar de maneira padronizada as informações usando uma
API (um aplicativo) comum.
Sim, a maioria dos recursos desse subsistema
interessa somente aos desenvolvedores, mas há dois itens que merecem atenção
por parte das empresas.
1. Enquanto a leitura de digitais podia ser usada para
liberar o acesso do usuário ao sistema, ela não cumpria a função de permitir o
login em um domínio corporativo. O Biometric Framework resolve questões de
conexão em domínios.
2. É possível armazenar até dez impressões digitais
diferentes, assim, uma para cada dedo. Ninguém espera perder um dedo no futuro
próximo, ponto pacífico, mesmo assim é uma solução interessante para o caso de
pequenos cortes ou um curativo aplicado.
Os diferentes registros digitais são adicionados usando o
aplicativo (a DLL) de dispositivo biométrico, localizado no painel de controle.
Para alterar os dados salvos é preciso estar logado como administrador.
3:: BitLocker To Go
Um dos pesadelos das empresas é perder um dispositivo móvel
com acesso à rede corporativa, onde ficam dados confidenciais e de negócios. A
versão do BitLocker que acompanhava o Windows Vista, preocupada com essa questão,
permitia criptografar todo o disco rígido, o que negava o acesso aos dados. Com o
BitLocker To Go esse esquema de criptografia é estendido, inclusive, aos discos
rígidos externos e á flash drives (pendrives).
Disponível apenas nos pacotes Enterprise e Ultimate, o
BitLocket To Go é fácil de usar: acione o botão direito do mouse em cima do
disco ou do dispositivo e selecione “Ativar o BitLocker”. Será apresentado um
assistente que conduz o usuário pelo processo de criptografia do sistema de
arquivos no dispositivo selecionado.
Quanto demora o processo? Isso é relativo.
Dependerá da velocidade do computador e do dispositivo conectado. Varia de 20
minutos para um flash drive de 2GB a um dia útil para discos rígidos de 500 GB
ou mais.
Os sistemas de arquivos criptografados são acessíveis usando
uma senha ou com um cartão para autenticação com base vários fatores.
Apesar da criptografia ser possível de aplicar aos dados
somente a partir de sistemas com as versões Ultimate Enterprise, qualquer
máquina com o Windows 7 poderá acessar esses arquivos. Se preferir, pode
configurar os discos com direitos de “somente leitura” para máquinas rodando o
XP ou o Vista.
Itens de segurança adicional podem ser implementados para
ambientes corporativos permitindo que os discos criptografados aceitem a modificação
do contingente de dados, o que – teoricamente – impediria usuários de salvar
arquivos em locais diferentes dos discos “seguros”. Aos administradores de rede
e de sistemas, fica a opção de manter armazenados os dados de senha em um Active
Directory.
4:: AppLocker
Controlar que aplicativos os usuários poderão executar é uma
maneira efetiva de prevenir ameaças à estabilidade dos sistemas. Também ajuda
no combate aos malwares e, consequentemente, contribui para a manutenção da saúde
do sistema ao frear o consumo desacerbado de programas que ocupam bandas de
conexão, como aplicativos de Torrent, usados para baixar arquivos na web.
Nas distribuições anteriores do sistema operacional da
Microsoft, esse controle era atribuído às configurações de políticas locais. Elas
permitiam prevenir a execução de softwares de acordo com a localização dos
arquivos no sistema de dados ou por não apresentarem a chave de acesso requerida
para aplicativos “confiáveis”.
Usar as políticas de restrição era algo, no mínimo, chato de
fazer. De vez em quando, um programa requer um local de instalação diferente
dos outros, o que demandava a criação de regras específicas cada vez que um aplicativo
desse era integrado ao rol de softwares.
Tem mais. Qualquer atualização no
arquivo executável alterava a chave do software e impedia a execução do
programa. Era necessário então, manter uma lista de regras de hash e negar a
atualização automática de programas.
A versão AppLocker disponível para as distribuições Ultimate
e Enterprise do Windows 7 e para a versão R2 do Windows Server 2008 traz um
método mais flexível de controlar os softwares: são as regras de publicação. Essas
regras se baseiam nas assinaturas digitais, bastante comuns aos aplicativos
comerciais de da atualidade.
As informações contidas nas assinaturas digitais são, de
longe, mais robustas que qualquer chave hash ou o caminho do objeto. Por exemplo,
um administrador pode liberar tudo que vier com a assinatura digital
providenciada pela Adobe, ou, se preferir, permitir apenas a execução do
Photoshop atual ou mais moderna.
Regras do AppLocker podem ser aplicadas a qualquer
executável, a scripts e a bibliotecas do sistema o que dá aos usuários a
autonomia de decidir sobre a instalação de atualizações e de outros softwares
sem requerer a autorização administrativa, e, ao mesmo tempo impede o usuário
de implementar novos aplicativos no sistema.
Regras criadas com a AppLocker podem ser transferidas para
grupos de usuários; a equipe de design e de contabilidade – provável – terão regras
distintas. Usando o AppLocker um único conjunto de diretrizes pode dar conta
das configurações personalizadas para cada conjunto de usuários.
Outra maneira de poupar tempo é exportar as diretrizes a
partir de um computador referência na rede. Um guia completo de como fazer isso
pode ser lido aqui.
5:: DirectAccess
Foi apresentado pela MS como sendo o sucessor da VPN. O
DirectAccess permite que máquinas Ultimate ou Enterprise se conectem a
servidores Windows Server 2008 R2. Normalmente os usuários tinham de iniciar as
conexões VPN; no caso do DirectAccess p rpcesso de conexão é totalmente
transparente para o usuário do sistema. Cada vez que o computador se conecta na
Internet, o aplicativo, de maneira automática, criava a conexão segura com a
rede corporativa.
As vantagens do DirectAccess sobre o modo VPN tradicional
são razoáveis. Ele lança mão de protocolos Isec e IPv6 para criptografar e
rotear a conexão de forma completa, na rota do computador ligado a distância e
ao entrar no ambiente corporativo.
No caso das VPN, a criptografia era removida
ao chegar até o servidor VPN. Outra característica que vai deixar os usuários
de VPN mais tranqüilos é o fato de as conexões DirectAccess atravessar
tranquilamente as barreiras de firewalls dispensando o usuário de executar
configurações adicionais.
Outros benefícios: como a conexão é estabelcida e mantida de
maneira automática, os administradores podem gerenciar e atualizar PCs com
direitos de conexão DirectAccess, mesmo quando os usuários não estão lançando
mão de qualquer recurso no servidor. Como usuários remotos tendem a usar as
conexões VPN somente ao acessar dados corporativos, ás vezes podem passar
semanas antes que isso aconteça.
O resultado é a transferência do usuário para um ambiente
segregado – para a quarentena. De lá o computador tem de ser examinado e,
eventualmente, ter brechas corrigidas antes de efetivamente se conectar. Assim a
produtividade fica ameaçada.
Computadores com configurações DirectAccess ativas
são atualizados ao mesmo tempo que todas as outras máquinas pertencentes a rede
e são passíveis de monitoramento a despeito do usuário estar ou não conectado
na lan corporativa.
De qualquer maneira é importante notar que nem todas as
empresas poderão se beneficiar da migração para o DiretcAccess de uma hora para
outra. O DA requer infraestrutura avançada de rede e usa o protocolo IPv6 e o
Windows Server 2008 R2 – itens raros nos ambientes corporativos atualmente.
Assim,
pode leva anos até que todas as empresas disponham de redes maduras para
acomodar esses recursos. Enquanto não entra em funcionamento, o DA pode ser
usado paralelamente às VPNs tradicionais.
Mas assim podemos olhar para o futuro das redes – uma conexão
permanente e segura que permite aos usuários remotos acessar os dados como se
estivessem no escritório.
Às empresas, o Windows 7 possibilita a formação de parcerias
entre os profissionais do departamento de TI e os usuários. Estes poderão
trabalhar de maneira tranqüila, sabendo que estão sob proteção de regras e com
atualizações automáticas.
O denominador comum em todos os melhoramentos da
Microsoft é a facilidade de uso, mostrando que, finalmente, a fabricante
entendeu que não há porque sacrificar a segurança em detrimento de uso
facilitado.
