Windows
Sessão Nula
No Windows, a chave de Registro (regedit) HKLM\System\CurrentControlSet\Control\SecurePiperServer\Winreg\AllowPaths define quais chaves são acessíveis a acessos nulos, e por padrão, permite acesso a HKLM\Software\Microsoft\WindowsNT\Current Version\Windows
Para se proteger dos ataques a sessão nula, desabilite totalmente os serviços SMB em hosts Windows individualmente ao desvincular o WINS Client (TCP/IP) na interface apropriada, usando a guia Bindings, na Central de Rede e Compartilhamento. No Windows 2000 e superiores, isso é feito desvinculando-se "Dispositivos e Impressoras".
Depois vá em HKLM\SYSTEM\CurrentControlSet\Control\Lsa e deixe a chave RestrictAnonimous como 1 (ou 2 caso seja Windows 2000 e posteriores). RestrictAnonimous definido como 2 impede que o grupo Everyone seja incluído nas permissões de acesso anônimo.
Para melhorar a segurança do Windows em termos de senhas, sessão nulas e arquivo SAM, vá em: Iniciar > Executar > gpedit.msc
Agora vá nos caminhos abaixo:
Para ver os driver instalados, digite no prompt driverquery. Isso pode ser útil para achar falhas de segurança em drivers
Para verificar se há algum vírus nas tarefas agendadas do Windows, vá no terminal e digite os seguintes comandos:
Para se proteger de ataques de Enumeração NetBIOS, bloqueie a porta UDP 137, e desabilite os serviços Alerter e Messenger em hosts individuais. OBS.: No Windows 2000 e superiores, esses serviços já vem bloqueados por padrão
Para proteger IIS nas versões anteriores, contra captura de banners, implica em editar em hexadecimal de DLL que contém banner, %systemroot%\system32\inetsrv\w3scv.dll.
No Windows 2000 ou anteriores, isso é mais difícil ainda, pois a DLL é protegida pelo SFP (System File Protect) do Windows e é substituída automaticamente por uma cópia limpa, a menos que o SFP seja desabilitada.
Para bloquear ataques de SMB com tentativas a erro, vá em Iniciar > Executar > secpol.msc.
Depois navegue no Menu a Esquerda > Diretivas de Conta > Diretiva de bloqueio de conta > Limite de bloqueio de conta
Para limitar as erros de logon, vá em Iniciar > Executar > secpol.msc > Diretivas Locais > Auditoria de eventos de logon de conta. Assim irá evitar ataques automatizados, como o força bruta.
OBS.: Habilite essa funcionalidade de Windows e, fique sempre de olho no Logs de Segurança de eventos 529/4625 ou 539 - Logon/Logoff failure e account locked out, que também pode ser um sinal de ataque automatizado
O tamanho original do arquivo c:\windows\system32\drivers\etc\hosts é de 734 bytes. Qualquer aumento no tamanho desse arquivo é suspeito.
Para se proteger das enumerações MSRPC, feche a porta TCP 135, porém fazendo isso, pode ser que encontre problemas para trabalhar com o Microsoft Exchange Server.
Para proteger um Windows Server de Transferências de Zonas, restrinja acessos somente para máquinas autorizadas.
Isso pode ser feito facilmente, desmarcando a opção Allow Zone Transfers.
O SMB NÃO É ACESSÍVEL de forma remota na configuração normal do Windows Vista e 7 (desde que seja selecionado a opção Public Network), pois é bloqueado pelo Firewall
Para desabilitar NetBIOS e SMB (com intuito de aumentar a segurança) vá em NetBIOS: Iniciar > executar > ncpa.cpl > vá nas propriedades da placa de rede > propriedade do IPv4 > Clique em "Avançado" (aba geral) > Vá na aba "WINS" e clique em "Desativar NetBIOS sobre TCP/IP"
SMB: Iniciar > executar > ncpa.cpl > vá nas propriedades da placa de rede > desabilite a opção "Compartilhamento arquivos/impressoras para redes Microsoft"
OBS.: Desabilite também em Alterar as configurações de compartilhamento avanaçada, as opções de descoberta de rede e compartilhamento de arquivo e impressora
O registro HKLM\System\CurrentControlSet\Control\SecurePipeServer\Winreg e suas sub-chaves define o acesso remoto ao registro. Se essa chave estiver presente, o acesso será restrito aos administradores. A sub-chave opcional AllowedPaths define caminhos específicos para o Registro que são de acesso permitido, independentemente da segurança na chave de registro WinReg.
Para ver no registro tudo o que inicializa junto com o Windows, vá no regedit e acesse a chave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Utilize o arquivo no Windows que contém todos as portas e seus devidos protocolos %systemroot%\system32\drivers\etc\services
Para alterar a porta do TS (Terminal Server), vá em HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp, localize a chave PortNumber e observe o valor em hexadecimal 00000D3D ou 0x00000d3d que, em decimal é 3389. Agora altere a porta com o novo valor desejado.
Para proteger contra ataques simples de adivinhação de senhas no TS, implemente o Aviso Legal. Para isso vá em HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon e adicone ou edite os registros: LegalNoticeCaption e LogalNoticeText. Assim, será fornecido uma mensagem com os valores inseridos, depois que os usuários pressionarem CTRL + DEL e antes que a caixa de diálogo de logon seja exibida.
OBS.: TSGrinder pode contornar essa contra medida facilmente utilizando a opção -b
Last updated