Professional Documents
Culture Documents
PIRATARIA CRIME, COM PENA DE CADEIA. EU AGRADEO PELA SUA HONESTIDADE. SE VOC COMPROU UMA CPIA DESTE CURSO, DIRETAMENTE COM O AUTOR, NO DISTRIBUA CPIAS PARA OUTRAS PESSOAS. SE VOC RECEBEU UMA CPIA ILEGAL DESTE ARQUIVO, NO ADQUIRIDA DIRETAMENTE COM O AUTOR JLIO BATTISTI, ENTRE EM CONTATO E REGULARIZE A SUA CPIA.
Estes conhecimentos sero fundamentais para acompanhar os tpicos apresentados no curso. Muitos dos tpicos dependem destes pr-requisitos.
NDICE DO CURSO
Introduo ............................................................................................................................... 10 Uma viso geral do curso........................................................................................................ 12 Mdulo 1 Conceitos Bsicos de Segurana......................................................................... 15 Introduo........................................................................................................................... 16 Um Histrico da Evoluo dos Ambientes Informatizados de Redes ........................... 17 No princpio, um modelo Centralizado baseado no Mainframe ...................................... 17 Morte ao Mainframe, viva a descentralizao!!! ............................................................. 19 Modelo em 2 camadas...................................................................................................... 21 Aplicaes em 3 camadas ................................................................................................ 23 Aplicaes em quatro camadas ........................................................................................ 24 O Jlio ficou louco ou estamos voltando ao Mainframe? ................................................ 26 E o que que todo este histrico tem a ver com segurana? ........................................... 27 Quais as Principais Ameaas existentes? ......................................................................... 28 Integridade das Informaes: ........................................................................................... 28 Disponibilidade das Informaes:.................................................................................... 29 Confidencialidade das Informaes: ................................................................................ 29 Principais Inimigos da Segurana da Informao ............................................................ 30 Vrus de computador: ....................................................................................................... 30 Worms: ............................................................................................................................. 31 Cavalo de Tria: ............................................................................................................... 32 Questes relacionadas a segurana no Windows ............................................................ 33 Logon = Identificao do usurio..................................................................................... 33 Permisses de acesso = garantia de confidencialidade .................................................... 33 Backup = Disponibilidade de dados................................................................................. 34 Diretivas de Segurana = Garantia de Confidencialidade e Integridade.......................... 34 Uso seguro da Internet = Confidencialidade + Integridade + Disponibilidade................ 34 Criptografia = Uma garantia a mais para a confidencialidade dos dados ........................ 35 Concluso ............................................................................................................................ 36 Mdulo 2 Logon, Contas de Usurios e Grupos ................................................................. 37 Contas de Usurios, Grupos e Logon ............................................................................... 38 Introduo........................................................................................................................... 39 Contas de usurio - definio ............................................................................................ 41 Regras e dicas para a criao de contas de usurio .......................................................... 43 Regras e dicas para a criao de senhas ........................................................................... 44 Criando Contas de usurio no Windows XP ................................................................... 45 Exemplo prtico de criao de contas de usurios:.......................................................... 46 A opo Contas de usurio, do Painel de Controle: ..................................................... 49 Definindo o modo de logon do Windows XP.................................................................... 54 Administrando e alterando contas de usurios ............................................................... 55
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 6 de 290
Segurana no Windows XP Professional - Bsico Alterando a senha de uma conta de usurio: .................................................................... 55 Renomeando uma conta de usurio:................................................................................. 56 Excluindo uma conta de usurio: ..................................................................................... 57 Propriedades da conta do usurio..................................................................................... 57 Grupos de usurios conceito........................................................................................... 62 Grupos Internos (Built-in groups):................................................................................... 63 Grupos criados pelo usurio:............................................................................................ 64 Criando grupos e adicionando usurios ao grupo........................................................... 65 Criando um novo grupo de usurios ................................................................................ 66 Adicionando usurios a um grupo.................................................................................... 66 Exibindo as propriedades de um grupo de usurios......................................................... 68 Renomeando um grupo de usurios ................................................................................. 68 Excluindo um grupo de usurios...................................................................................... 68 Consideraes de segurana no uso de contas do tipo Administrador.......................... 68 Mdulo 3 Permisses NTFS e de Compartilhamento......................................................... 70 Criando e Administrando Compartilhamentos e Permisses de Acesso ...................... 71 Pastas compartilhadas, permisses de compartilhamento e permisses NTFS ........... 72 Restringindo o acesso s pastas compartilhadas .............................................................. 73 Aviso importante para os usurios do Windows 2000 (Professional e Server): .............. 74 Entendendo as permisses de compartilhamento. .......................................................... 77 Usurio pertence a mais de um grupo, qual a permisso efetiva do usurio?? ................ 78 Orientaes para a criao de pastas compartilhadas: ..................................................... 79 Sistemas de arquivos e permisses NTFS conceito ...................................................... 80 Permisses NTFS disponveis.......................................................................................... 82 Como funcionam as permisses NTFS ............................................................................ 84 Compartilhando pastas e configurando permisses de compartilhamento.................. 87 Monitorando/Administrando os compartilhamentos do computador .......................... 95 Configurando as permisses NTFS .................................................................................. 97 Exemplo: Atribuindo permisses NTFS. ......................................................................... 97 Combinando permisses de compartilhamento e permisses NTFS........................... 106 Mapeando de unidades de rede....................................................................................... 108 Mdulo 4 A Importncia do Backup ................................................................................. 111 Backup Introduo e Conceitos ................................................................................... 112 Definindo o tipo de Backup a ser utilizado .................................................................... 112 Exemplos de estratgias de backup/restore ................................................................... 114 Fazendo o backup e o restore de pastas e arquivos com o Windows XP .................... 116 Introduo....................................................................................................................... 116 Fazendo o backup usando o modo assistente de backup................................................ 117 Executando a tarefa de Backup, manualmente............................................................... 125 Utilizando o modo completo, do utilitrio de Backup ................................................... 127
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 7 de 290
Segurana no Windows XP Professional - Bsico Fazendo o restore das informaes a partir do backup................................................ 131 O log do backup................................................................................................................ 135 Acessando o Log do Backup.......................................................................................... 135 Definindo opes padro de backup e restore ............................................................... 136 Restaurao do sistema.................................................................................................... 141 Alterando as configuraes de Restaurao do sistema................................................. 143 Criando um ponto de restaurao................................................................................... 146 Restaurando o sistema a um estado anterior .................................................................. 147 Algumas observaes importantes sobre o recurso de Restaurao do sistema ............ 149 Concluso .......................................................................................................................... 149 Mdulo 5 Diretivas de Segurana: .................................................................................... 150 Diretivas de segurana local Conceito......................................................................... 151 Categorias de diretivas disponveis: ............................................................................... 152 Diretivas de conta:.......................................................................................................... 152 Diretivas locais:.............................................................................................................. 155 Configurando Diretivas de Conta Exemplo Prtico .................................................. 165 Group Police Objects GPOs ......................................................................................... 169 Introduo....................................................................................................................... 169 Group Policy Objects Fundamentao Terica........................................................... 169 Polticas de usurios e polticas de computador............................................................. 172 Novidades nas GPOs Windows Server 2003 ................................................................. 174 Entendendo como feito o processamento e aplicao das GPOs ................................ 175 Detalhando a ordem de processamento das GPOs ......................................................... 178 Ordem de eventos quando o computador inicializado e o usurio faz o logon........... 180 Entendendo como funciona o mecanismo de herana Policy inheritance .................. 182 Implementao e Administrao de GPOs .................................................................... 185 O console de administrao das GPOs........................................................................... 185 Usando o console de configurao das GPOs................................................................ 187 Criando uma nova GPO e associando-a com uma unidade organizacional................... 192 Configurando as Propriedades de uma GPO.................................................................. 194 Concluso .......................................................................................................................... 198 Mdulo 6 Uso Seguro da Internet ..................................................................................... 199 Compartilhamento da Conexo com a Internet:........................................................... 200 Internet Connection Sharing (ICS)................................................................................. 200 Mudanas que so efetuadas quando o ICS habilitado ............................................... 201 Configurando os clientes da rede interna, para usar o ICS ............................................ 203 Mais algumas observaes importantes sobre o ICS ..................................................... 203 Comparando ICS e NAT ................................................................................................ 205 Habilitando o ICS no computador conectado Internet ................................................ 207 Configurando os clientes da rede para utilizar o ICS..................................................... 210 Configuraes de Segurana no Internet Explorer....................................................... 211 As opes de configurao do Internet Explorer ........................................................... 211
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 8 de 290
Segurana no Windows XP Professional - Bsico A guia Segurana ........................................................................................................... 214 Principais configuraes de Segurana .......................................................................... 216 A guia Privacidade ......................................................................................................... 218 Configuraes de Segurana no Outlook Express ........................................................ 220 As opes de configurao do Outlook Express............................................................ 220 Uso do IFC Firewall de Conexo com a Internet ....................................................... 222 Firewall de Conexo com a Internet ICF .................................................................... 223 Como ativar/desativar o IFC .......................................................................................... 225 Como ativar/desativar o log de Segurana do ICF......................................................... 227 Habilitando os servios que sero aceitos pelo IFC....................................................... 231 Configuraes do protocolo ICMP para o Firewall ....................................................... 232 Mantendo o Windows Atualizado Windows Update ................................................. 235 Usando o Windows Update............................................................................................ 236 Uma nova praga chamada Spyware & Adware ........................................................ 240 Concluso .......................................................................................................................... 242 Mdulo 7 Criptografia de Dados e Logs de Auditoria ...................................................... 244 Criptografia definies e conceitos .............................................................................. 245 Garantindo a recuperao dos dados.............................................................................. 247 Criptografando arquivos e pastas ................................................................................... 253 Operaes com arquivos criptografados ........................................................................ 256 Descriptografando arquivos e pastas.............................................................................. 257 Configurar usurios com acesso a arquivos que voc criptografou ............................... 258 Alterando a diretiva de recuperao do Computador local ............................................ 260 Exibindo arquivos criptografados em uma cor diferente ............................................... 263 Recomendaes sobre a criptografia de pastas e arquivos............................................. 264 O comando cipher .......................................................................................................... 265 Trabalhando com eventos de auditoria - Conceito ....................................................... 267 Acessando o Log de Eventos ......................................................................................... 270 Habilitando/configurando os eventos do log de segurana............................................ 275 Recomendaes da Microsoft, para configuraes de auditoria .................................... 281 Filtrando eventos nos logs de auditoria.......................................................................... 282 Configurando as propriedades do log............................................................................. 287 Concluso ....................................................................................................................... 289
Segurana no Windows XP Professional - Bsico Tipos de Backup Planejando para o Backup Fazendo o backup dos dados Fazendo o Backup do Sistema Restaurando dados Restaurando o sistema Conceito de Diretivas de Segurana Quando se aplicam as Diretivas de Segurana Exemplos de uso das Diretivas de Segurana Categorias de Diretivas de Segurana Configuraes das diretivas Conceito e uso de GPOs Exemplo de GPOs Compartilhamento da Conexo Internet Configuraes de segurana no Internet Explorer Configuraes de segurana do Outlook Express A importncia do anti-vrus Uso do IFC do Windows XP A importncia de manter o Windows Atualizado Usando o Windows Update Conceito de Criptografia Configurando a Criptografia Dicas para no perder os dados O conceito de auditoria Visualizando eventos de segurana Principais eventos de segurana Filtrando eventos de segurana
Uma vez concludo o curso, voc ter todas as condies para configurar o Windows XP Professional com o mximo de segurana. Voc saber usar o recurso de permisses NTFS para impedir o acesso aos seus arquivos e documentos, aprender sobre a importncia do backup e como utilizar o backup para fazer cpias de segurana, aprender sobre o recurso de Polticas de Segurana, o qual permite configuraes refinadas de segurana e muito mais. Um curso detalhado, didtico, de fcil compreenso. Baseado em exemplos prticos, passo-apasso, detalhadamente explicados. Domine de uma vez por todas, os recursos bsicos de segurana do Windows XP Professional. Para dvidas sobre os exemplos deste curso, para relatar erros encontrados e para crticas e sugestes, entre em contato pelo e-mail: webmaster@juliobattisti.com.br
Com os conceitos apresentados neste curso, o amigo leitor aprender a utilizar os recursos bsicos de segurana do Windows XP Professional. Voc ver que bastante simples configurar estes recursos e que eles so de grande ajuda, para proteger o seu trabalho e os seus arquivos. A seguir apresento uma viso geral do contedo de cada um dos mdulos do curso: Mdulo 1 Conceitos Bsicos de Segurana: Neste mdulo farei uma apresentao sobre os principais conceitos de segurana. Voc aprender sobre a importncia da segurana das informaes, sobre as principais ameaas de segurana, falarei sobre a questo dos vrus, a necessidade de um bom anti-vrus, sempre atualizado. Tambm falarei sobre questes tais como Worms, Cavalos de tria e outras pragas virtuais. Tambm mostrarei a importncia do Backup e farei uma apresentao rpida sobre os principais tpicos de segurana que sero abordados nos demais mdulos do curso. Mdulo 2 Contas de usurios e grupos de usurios e o conceito de logon: Neste mdulo voc entender melhor o porqu da necessidade de efetuar o logon no Windows XP. Mostrarei que o Windows XP usa a conta do usurio como se fosse a identidade do usurio. atravs da conta de logon que o Windows XP consegue identificar qual o usurio logado e carregar configuraes personalizadas para cada usurio. Voc tambm aprender a criar e a administrar contas de usurios e de grupos de usurios. O conceito de grupo de usurio um conceito bem importante, o qual ser utilizado bastante no Mdulo 3 deste curso.
Segurana no Windows XP Professional - Bsico Mdulo 3 Permisses NTFS e de compartilhamento: Neste mdulo voc aprender um conceito muito importante: O conceito de permisses de acesso. Mostrarei que podemos utilizar as permisses de compartilhamento, para restringir quais usurios podem ter acesso a uma pasta compartilhada, atravs da rede e qual o nvel de acesso de cada usurio ou grupo. Por exemplo, posso dar permisso de Somente leitura para um determinado grupo e de Leitura e alterao para um outro grupo. As permisses de compartilhamento tem efeito somente para o acesso atravs da rede. Voc tambm aprender sobre as permisses NTFS, as quais so tambm usadas para restringir o acesso a pastas e arquivos, bem como para definir o nvel de acesso de usurios e grupos, a pastas e arquivos. As permisses NTFS tem efeito tanto para o acesso local, quando atravs da rede. Neste mdulo voc aprender atravs de exemplos prticos e ir utilizar, bastante, o conceito de Grupos de usurios, apresentado no Mdulo 2. Mdulo 4 A Importncia do Backup: Todo o Mdulo 4 ser dedicado a um dos tpicos mais esquecidos, quando se trata de segurana: Backup. Fazer o Backup significa ter uma ou mais cpia de segurana, de arquivos importantes. Ter uma boa estratgia de Backup fundamental para evitar perda de dados, perda de tempo e retrabalho. Neste mdulo apresentarei os aspectos tericos e prticos, relacionados ao Backup. Darei dicas de como organizar as informaes no seu computador, visando facilitar o Backup dos dados. Tambm mostrarei as diferentes opes disponveis para fazer o Backup/Restore dos seus dados. No esquea, Backup = proteo contra perda de dados. Mdulo 5 Diretivas de Segurana: O conceito de Diretivas de Segurana de grande importncia para aprimorar a segurana do Windows XP Professional. Neste mdulo eu apresentarei o conceito de diretivas de segurana, mostrarei as diferentes categorias de diretivas disponveis, mostrarei como configurar as diretivas. Tambm apresentarei uma descrio detalhada, sobre as principais diretivas de segurana do Windows XP Professional. Falarei tambm sobre as GPOs Group Policy Objects. As GPOs so diretivas de segurana usadas, normalmente, em grandes redes, baseadas no Windows 2000 Server ou no Windows Server 2003 e no Active Directory. As GPOs so configuradas nos servidores (baseados no Windows 2000 Server ou Windows Server 2003) e aplicadas nas estaes clientes da rede, normalmente baseadas no Windows 2000 Professional ou Windows XP Professional. Mdulo 6 Uso Seguro da Internet: No mdulo eu apresento diversos tpicos relacionados a Segurana no uso da Internet. Vou iniciar o mdulo falando sobre o Compartilhamento da conexo Internet. Em seguida, tratarei sobre as configuraes de segurana do Internet Explorer e do Outlook Express. O prximo tpico ser sobre vrus e a importncia de manter um bom anti-vrus, sempre atualizado. Tambm falarei sobre o uso do Firewall do Windows XP IFC. Mostrarei como ativar e configurar este Firewall. Para encerrar o mdulo, tratarei sobre a importncia de manter o Windows atualizado, atravs da utilizao do recurso Windows Update. Mdulo 7 Criptografia e Auditoria de Eventos: No mdulo final, apresentarei mais dois tpicos bsicos sobre segurana no Windows XP Professional: Criptografia de dados e Logs de auditoria. Mostrarei que com o uso da Criptografia voc obtm um nvel adicional de proteo, em relao ao uso das permisses NTFS. Tambm mostrarei os cuidados necessrios para que voc no perca o acesso aos dados criptografados. Para encerrar, mostrarei como utilizar o recurso de Logs de auditoria e Logs de segurana do Windows XP Professional.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 13 de 290
Segurana no Windows XP Professional - Bsico Este curso foi especialmente projetado para que o amigo leitor possa conhecer e aprender a utilizar os recursos bsicos de segurana do Windows XP Professional. Com os tpicos apresentados neste curso, voc j ser capaz de configurar o Windows, tornando-o bem mais seguro. Dando continuidade a este curso, no primeiro semestre de 2005, lanarei o curso: Segurana no Windows XP Avanado. Para verificar sobre a disponibilidade de novos cursos, consulte regularmente o meu site: www.juliobattisit.com.br o meu mais sincero desejo que este curso possa ser de grande utilidade para voc, ajudandoo a utilizar todos os recursos bsicos de segurana do Windows XP Professional. Para enviar suas dvidas referentes aos assuntos e exemplos abordados neste curso, para enviar sugestes de alteraes/correes, para sugerir novos cursos, para criticar e para elogiar (porque no?), s entrar em contato pelo e-mail: webmaster@juliobattisti.com.br
Iniciarei o Mdulo fazendo um histrico desde os ambientes mais antigos, onde dominava o uso de computadores de grande porte, conhecidos como Mainframe, at os dias de hoje, onde tempos um ambiente baseado em redes locais e a interconexo destas redes entre si e com a Internet. Vou mostrar quais os perigos para segurana, que vieram com o uso deste novo modelo. Na seqncia apresentarei uma descrio bsica sobre o porqu da segurana, qual a importncia de nos preocuparmos com a segurana das informaes e os seguintes conceitos, relacionados diretamente com a segurana das informaes: Integridade Disponibilidade Confidencialidade Na seqncia falarei sobre as principais ameaas a segurana. Mostrarei quais os viles quando se trata de segurana. Vou falar sobre vrus, anti-vrus, cavalo de tria, Trojan e outros viles da segurana. Neste tpico vou procurar salientar o quo importante o monitoramento constante, a viglia constante em relao as questes de segurana. Mostrarei onde so os principais pontos de falha e de negligncia, em relao a segurana. Dando seqncia, falarei sobre a importncia de se ter uma boa estratgia de Backup das informaes. Mostrarei como o backup est diretamente relacionada a questo da disponibilidade das informaes. A questo do Backup , sem dvidas, um dos aspectos de segurana, mais negligenciados pela maioria dos usurios. Para encerrar o mdulo, apresentarei mais alguns conceitos importantes, relacionados a segurana no Windows XP Professional. Ento mos obra. Chega de apresentaes e rodeios e vamos iniciar o nosso estudo sobre Segurana. Um bom estudo a todos e no esquea: em caso de dvidas sobre os exemplos apresentados neste curso, entre em contato pelo e-mail: webmaster@juliobattisti.com.br.
Segurana no Windows XP Professional - Bsico Introduo Por que nos preocuparmos com segurana?? Esta a primeira questo a ser respondida, ou seja, por que devo dedicar tempo para aprender os recursos de segurana do Windows XP? A resposta simples, por que voc poder ter muitos problemas relacionados com a segurana, se voc no souber como se proteger dos inmeros perigos virtuais, existentes atualmente. Apenas alguns exemplos: Exemplo 01: Algum consegue acessar os arquivos do disco rgido do teu computador e apagar todos os documentos do Word (.DOC) e todas as planilhas do Excel (.xls), de uma maneira que estes no possam mais ser recuperados. E para piorar voc no tem uma cpia de segurana (Backup). Este um problema de segurana?? Certamente, pois se voc souber configurar corretamente a segurana do Windows XP, ser muito pouco provvel que algum consiga acessar os arquivos do disco rgido do computador e apag-los, sem a sua permisso. Exemplo 02: Ainda considerando o exemplo 01, imagine que entre os arquivos excludos esteja a sua teste de mestrado, praticamente pronta, a qual represente horas e horas de trabalho e pesquisa. E agora, o que voc pode fazer?? Como voc no se preocupou com a segurana na hora certa, agora s resta chorar. Exemplo 03: Peguei um vrus no meu computador e ele simplesmente fez uma baguna no Windows. Agora, ao invs de passar o final de semana brincando com o meu filho e jogando futebol com os amigos, terei que passar o final de semana reinstalando o Windows, reinstalando todos os programas e configurando tudo de novo. Esta uma situao muito comum e tambm tem a ver com segurana. Bastaria um bom anti-vrus, sempre atualizado e alguns cuidados em relao ao uso do e-mail, que todo este problema seria evitado e voc poderia curtir o final de semana com o seu filho, esposa e amigos. Exemplo 04: No sei como, mas um Trojan se instalou no meu computador. O Trojan ficou capturando tudo o que eu digitava no teclado. O Trojan conseguiu capturar o nmero da minha conta e agncia e o pior, a minha senha. Agora apareceram saques na minha contacorrente, os quais no fui eu que fiz. Agora terei que correr atrs do prejuzo, para provar para o banco que no fui eu que fiz os saques, na tentativa de reaver o prejuzo. Mais um caso muito mais comum do que o amigo leitor imagina. Mais uma questo relacionada com segurana. Mais um problema que poderia, facilmente, ser evitado, com o uso de um bom anti-vrus e com algumas medidas preventivas. Com estes quatro exemplos, eu procurei mostrar porque todos nos devemos nos preocupar e, principalmente, nos informar sobre as questes relacionadas com segurana. Se no estivermos atento a estas questes, aumentaro muito as chances de perdermos horas e horas de trabalho devido a arquivos que so apagados sem a nossa autorizao, devido a problemas com vrus que bagunam completamente o Windows ou devido a Trojans e outras pragas, que nos roubam informaes confidenciais e fazem mau uso desta informao. O meu objetivo neste curso exatamente ensinar o amigo leitor a usar os recursos de segurana do Windows, para que voc possa se prevenir deste e de outros problemas relacionados a segurana.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 16 de 290
Segurana no Windows XP Professional - Bsico Um Histrico da Evoluo dos Ambientes Informatizados de Redes Neste tpico apresentarei um histrico da evoluo das redes de computadores, desde a poca do Mainframe (o qual continua mais vivo do que nunca), passando pelas redes Cliente/Servidor clssicas, at o modelo mais atual, baseado em tecnologia de 3 ou mais camadas, como por exemplo a Internet, a maior de todas as redes. No princpio, um modelo Centralizado baseado no Mainframe Todos sabem que a evoluo em informtica bastante rpida. Sempre esto surgindo novos conceitos, programas e servios. H algumas dcadas, quando a informtica comeou a ser utilizada para automatizar tarefas administrativas nas empresas, tnhamos um modelo baseado nos computadores de grande porte, os chamados Mainframes. Durante a dcada de 70 e at a metade da dcada de 80 este foi o modelo dominante, sem nenhum concorrente para amea-lo. Os programas e os dados ficavam armazenados nos computadores de grande porte. Para acessar estes computadores eram utilizados (na prtica sabemos que ainda hoje este modelo bastante utilizado, mas isso discusso para daqui a pouco) os chamados terminais burros. Para falar um pouco mais sobre este modelo, considere o diagrama da Figura a seguir:
Figura - O modelo baseado no Mainframe e no acesso via terminais burros. O Mainframe um equipamente extremamente caro, na casa de milhes de dlares. Normalmente uma empresa prestadora de servios de informtica compra o Mainframe e hospeda neste equipamento, os sistemas e os dados de diversas empresas. O Mainframe um equipamente que precisa de instalaes adequadas, nas quais existe controle de temperatura, umidade do ar, alimentao eltrica estabilizada e assim por diante.
Segurana no Windows XP Professional - Bsico Os aplicativos e dados ficam armazenados no Mainframe. Vamos supor que a empresa X a dona do Mainframe, no qual esto hospedados aplicativos e dados da empreza Y. Para ter acesso a estes dados, a empresa Y contrata uma linha de dados (que at o incio da dcada de 90, aqui no Brasil, apresenava velocidades da ordem de 1 ou 2 kbps). Na sede da empresa, a linha de dadados conectada a um Modem, o qual era conectado com um equipamente chamado MUX. O papel do MUX permitir que mais de um terminal burro possa se comunicar com o Mainframe, ao mesmo tempo, usando uma nica linha de dados. Os terminais burros eram ligados ao equipamento MUX, diretamente atravs da cabos padro para este tipo de ligao. Com isso os terminais so, na prtica, uma extenso da console do Mainframe, o qual permite que vrios terminais estejam conectados simultaneamente, inclusive acessando diferentes sistemas. Este modelo ainda muito utilizado, embora novos elementos tenham sido introduzidos. Por exemplo, os terminais burros foram praticamente extintos. Agora o terminal simplesmente um software emulador de terminal, que fica instalada em um computador PC ligado em rede. Mas muitos dos sistemas e dados empresariais, utilizados hoje em dia ainda esto hospedados no Mainframe. Pegue a lista dos dez maiores bancos brasileiros (pblicos ou privados) e, no mnimo, cinco deles, ainda tem grande parte dos dados no Mainframe. Um dos bancos do qual sou correntista mantm os dados no Mainframe. Quando eu acesso meu extrato via Internet, com toda segurana, usando Certificado Digital, com uma interface grfica (tudo muito moderno) estou na verdade acessando dados que esto no Mainframe. Tem alguma coisa de errado com isso? Nada. Conforme voc mesmo poder concluir ao final deste tpico, o modelo baseado no Mainframe tem muitas vantagens que foram desprezadas na dcada de 90, mas que hoje so mais valorizadas do que nunca. O modelo baseado no Mainframe tem inmeras vantagens, dentre as quais destaco as listadas a seguir: Gerenciamento e Administrao centralizada: Como os programas e os dados ficam instalados no mainframe, fica mais fcil fazer o gerenciamento deste ambiente. A partir de um nico local o Administrador pode instalar novos sistemas, atualizar as verses dos sistemas j existentes, gerenciar o espao utilizado em disco, gerenciar as operaes de Backup/Restore, atualizaes do sistema operacional e configuraes de segurana. Ambiente mais seguro: Com o gerenciamento centralizado mais fcil manter o ambiente seguro, uma vez que um nmero menor de pessoas tem acesso ao ambiente. A segurana fsica tambm fica mais fcil de ser mantida, pois existe um nico local a ser protegido. Este o ponto principal e o objetivo para incluso deste tpico neste curso de Segurana no Windows XP. Ao final deste tpico voc entender porque hoje, aumentaram tantos os riscos relacionados a segurana. Facilidade para atualizao dos sistemas: Como os sistemas so instalados em um nico local, centralizadamente no Mainframe, fica muito simplificada a tarefa de instalar novos sistemas e fazer atualizaes nos sistemas j existentes. Por exemplo, quando voc precisa atualizar um novo sistema, s instalar a nova verso no Mainframe e pronto. A prxima vez que os usurios fizerem a conexo com o Mainframe, j tero acesso a verso atualizada, sem que tenha que ser atualizado o
Segurana no Windows XP Professional - Bsico software em cada um dos terminais que iro acessar a aplicao. Isso elimina grande parte do trabalho de administrao, implementao e suporte a aplicaes. Claro que este modelo no era (e no ainda hoje), somente vantagens. Pois se assim fosse, no teriam surgidos novos modelos, com propostas de descentralizao como foi o caso do modelo Cliente/Servidor (o qual descreverei logo a seguir). Dentre as principais desvantagens do Mainframe, podemos destacar as seguintes: O custo elevado: Ou pelo menos as pessoas achavam que o custo era elevado, at descobrirem o chamado TCO Total Cost Ownership, do modelo Cliente/Servidor. Mais adiante, quando for apresentado o modelo Cliente/Servidor, voc entender melhor o que de ironia nesta frase. Velocidade dos links: As linhas de comunicao no Brasil apresentavam problemas serissimos de desempenho e confiabilidade e custavam verdadeiras fortunas (no que hoje esteja uma maravilha, mas convenhamos que melhorou bastante). Alm disso, a dependncia da linha de comunicao era completa, ou seja, quando a linha ficasse fora do ar (o que acontecia com uma freqncia espantosa no incio dos anos 90), ningum tinha acesso aos sistemas. Administrao terceirizada: Na maioria dos casos, os sistemas e dados da empresa eram administrados por terceiros. O fato de os dados vitais para o funcionamento da empresa estarem sob a guarda de terceiros comeou a ser questionado. As empresas no tinham nenhuma garantia concreta de como estes dados estavam sendo manipulados, e sobre quem tinha acesso aos dados e aos logs de auditoria de acesso aos dados. Neste momento comea surgir um movimento pr descentralizao dos dados, em favor de trazer os dados para servidores dentro da empresa ou sob o controle da empresa. Logo a seguir descrevo este e outros motivos que foram as grandes promessas do modelo Cliente/Servidor, modelo este que seria o paraso (permitam-me um sorriso irnico) comparado com o modelo centralizado, baseado no Mainframe.
Morte ao Mainframe, viva a descentralizao!!! Normalmente quando comea a surgir um movimento de mudana, este apresenta caractersticas contrrias aos princpios do modelo vigente. Foi mais ou menos o que aconteceu com o modelo Cliente/Servidor, em relao ao modelo baseado no Mainframe. No final da dcada de 80, incio dos anos 90, os computadores padro PC j eram uma realidade. Com o aumento das vendas os custos comearam a baixar e mais e mais empresas comearam a comprar computadores padro PC. O prximo estgio neste processo foi, naturalmente, a ligao deste computadores em rede. Desde as primeiras redes, baseadas em cabos coaxiais, at as modernas redes, baseadas em cabeamento estruturado e potentes Switchs de 100 MB ou de 1GB, o computador padro PC continua sendo amplamente utilizado. A idia bsica do modelo Cliente/Servidor era uma descentralizao dos dados e dos aplicativos, trazendo os dados para servidores localizados na rede local onde os dados fossem
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 19 de 290
Segurana no Windows XP Professional - Bsico utilizados e os aplicativos instalados nos computadores da rede. Este movimento de um computador de grande porte Mainframe, em direo a servidores de menor porte servidores de rede local, foi conhecido como Downsizing, que eu me atrevo a traduzir como Reduo de Tamanho. A seguir apresento um diagrama para ilustrar o modelo Cliente/Servidor. Depois fao alguns comentrios para salientar os elementos deste modelo e em seguida comento as vantagens e desvantagens. No diagrama da Figura a seguir temos um exemplo de uma rede baseada no modelo Cliente/Servidor:
Figura - O modelo de rede Cliente/Servidor. No modelo Cliente/Servidor temos um ou mais equipamentos de maior capacidade de processamento, atuando como Servidores. Estes equipamentos normalmente ficam reunidos em uma sala conhecida como Sala dos Servidores. So equipamentos com maior poder de processamento (normalmente com dois ou mais processadores) , com grande quantidade de memria RAM e grande capacidade de armazenamento em disco. Os servidores normalmente rodam um Sistema Operacional especfico para servidor, como por exemplo um dos sistemas operacionais listados a seguir: Alguma verso do UNIX: AIX, HP-UX, SCO, etc. Novell Linux Windows 2000 Server Windows Server 2003
Nos servidores ficam os recursos a serem acessados pelas estaes de trabalho da rede, como por exemplo pastas compartilhadas, impressoras compartilhadas, pginas da Intranet da empresa, aplicaes empresariais, bancos de dados, etc. Como o prprio nome sugere, o
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 20 de 290
Segurana no Windows XP Professional - Bsico servidor Serve recursos e servios que sero utilizados pelas estaes de trabalho da rede, as quais so chamadas de estaes cliente ou simplesmente clientes. Nas estaes de trabalho dos usurios (conhecidas como clientes), so instalados programas, que fazem acesso a recursos disponibilizados pelos servidores. O exemplo mais tpico de aplicao Cliente/Servidor, uma aplicao desenvolvida em Visual Basic ou Delphi, a qual acessa dados de um servidor SQL Server 2000, instalado em um servidor da rede. No diagrama da Figura anterior, temos um exemplo onde esto sendo utilizados trs servidores: Servidor de arquivos Servidor de banco de dados Servidor para outras funes (autenticao de usurios, resoluo de nomes, etc).
O modelo Cliente/Servidor pareceu, no incio, ser uma soluo definitiva em substituio ao modelo baseado no Mainframe. Porm os problemas, que no foram poucos, comearam a aparecer, dentre eles o elevado custo de administrao e manuteno de uma rede baseada neste modelo, conforme descreveremos mais adiante. Para entender o porqu deste custo elevado, preciso falar um pouco sobre o modelo de aplicaes em duas camadas, tambm conhecido como Cliente/Servidor clssico e todos os seus problemas. Modelo em 2 camadas No incio da utilizao do modelo Cliente/Servidor, as aplicaes foram desenvolvidas utilizando-se um modelo de desenvolvimento em duas camadas. Neste modelo, os programas, normalmente desenvolvidos em um ambiente grfico de desenvolvimento, como o Visual Basic, Delphi ou Power Builder, so instalados em cada estao de trabalho - Cliente. Este programa acessa dados em um servidor de banco de dados, conforme ilustrado na Figura a seguir:
Segurana no Windows XP Professional - Bsico Neste modelo ,cada programa instalado na estao de trabalho Cliente. Programa esse que faz acesso ao banco de dados que fica residente no Servidor de Banco de dados. Na maioria dos casos, a mquina do cliente um PC rodando Windows, e a aplicao Cliente desenvolvida utilizando-se um dos ambientes conhecidos, conforme citado anteriormente. Sendo a aplicao cliente, um programa para Windows (na grande maioria dos casos), esta deve ser instalada em cada um das estaes de trabalho da rede. o processo de instalao normal, para qualquer aplicao Windows. No modelo de 2 camadas, a aplicao Cliente responsvel pelas seguintes funes: Apresentao: O Cdigo que gera a Interface visvel do programa, faz parte da aplicao cliente. Todos os formulrios, menus e demais elementos visuais, esto contidos no cdigo da aplicao cliente. Caso sejam necessrias alteraes na interface do programa, faz-se necessria a gerao de uma nova verso do programa, e todos as estaes de trabalho que possuem a verso anterior, devem receber a nova verso, para que o usurio possa ter acesso as alteraes da interface. A que comeam a surgir os problemas no modelo em 2 camadas: Uma simples alterao de interface, suficiente para gerar a necessidade de atualizar a aplicao, em centenas ou milhares de estaes de trabalho, dependendo do porte da empresa. O gerenciamento desta tarefa, algo extremamente complexo e oneroso financeiramente. Lgica do Negcio: As regras que definem a maneira como os dados sero acessados e processados, so conhecidas como Lgica do Negcio. Fazem parte da Lgica do Negcio, desde funes simples de validao da entrada de dados, como o clculo do digito verificador de um CPF ou CNPJ, at funes mais complexas, como descontos escalonados para os maiores clientes, de acordo com o volume da compra. Questes relativas a legislao fiscal e escrita contbil, tambm fazem parte da Lgica do Negcio. Por exemplo, um programa para gerncia de Recursos Humanos, desenvolvido para a legislao dos EUA, no pode ser utilizado, sem modificaes, por uma empresa brasileira. Isso acontece porque a legislao dos EUA diferente da legislao brasileira. Em sntese, as regras para o sistema de Recursos humanos so diferentes. Alteraes nas regras do negcio so bastante freqentes, ainda mais com as repetidas mudanas na legislao do nosso pas. Com isso, faz-se necessria a gerao de uma nova verso do programa, cada vez que uma determinada regra de negcio muda, ou quando regras forem acrescentadas ou retiradas. Desta forma, todos as estaes de trabalho que possuem a verso anterior, devem receber a nova verso, para que o usurio possa ter acesso as alteraes . Agora temos mais um srio problema no modelo de 2 camadas: Qualquer alterao nas regras do negcio (o que ocorre com freqncia), suficiente para gerar a necessidade de atualizar a aplicao, em centenas ou milhares de computadores. O que j era complicado, piorou um pouco mais.
A outra camada, no modelo de 2 camadas, o Banco de dados, o qual fica armazenado no Servidor de banco de dados. Por exemplo, um servidor com o Windows Server 2003 e com o SQL Server 2000, no qual esto os bancos de dados utilizados pelos aplicativos Cliente/Servidor da empresa. Com a evoluo do mercado e as alteraes da legislao, mudanas nas regras do negcio so bastante freqentes. Com isso o modelo de duas camadas, demonstrou-se de difcil
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 22 de 290
Segurana no Windows XP Professional - Bsico manuteno e gerenciamento, alm de apresentar um TCO Total Cost Ownership (Custo Total de Propriedade) bastante elevado. O TCO uma medida do custo total, anual, para manter uma estao de trabalho conectada rede, e funcionando com todos os programas que o usurio necessita, atualizados. Este custo leva em conta uma srie de fatores, tais como o custo do Hardware, o custo das licenas de software, o custo do desenvolvimento de aplicaes na prpria empresa, o custo das horas paradas em que o funcionrio no pode utilizar os sistemas por problemas na sua estao de trabalho e assim por diante. Alguns clculos chegaram a apontar que o custo para manter um PC em rede, por ano, fica na casa dos U$ 10.000 ( dlares mesmo). Na prtica este custo mostrou-se impraticvel. Sempre que um determinado modelo apresenta problemas, aparentemente intransponveis, a indstria de informtica parte para a criao de novos modelos. Em busca de solues para os problemas do modelo de duas camadas, que surgiu a proposta do modelo de 3 camadas, conforme analisaremos a seguir. Para que voc possa entender como a evoluo partiu do mundo baseado no Mainframe, para uma tentativa de um mundo baseado completamente no modelo Cliente/Servidor e acabou por chegar a um modelo misto, vou detalhar o modelo de aplicaes Web, baseado em 3 ou mais camadas. Aplicaes em 3 camadas Como uma evoluo do modelo de 2 camadas, surge o modelo de trs camadas. A idia bsica do modelo de 3 camadas, retirar as Regras do Negcio, da aplicao Cliente e centraliz-las em um determinado ponto (as aplicaes saram do Mainframe para as estaes de trabalho agora comeam a ser centralizadas novamente nos servidores da rede), o qual chamado de Servidor de Aplicaes. O acesso ao banco de dados feito atravs das regras contidas no Servidor de Aplicaes. Ao centralizar as Regras do Negcio em um nico ponto, fica muito mais fcil a atualizao destas regras, as quais conforme descrito anteriormente, mudam constantemente. A Figura a seguir, nos d uma viso geral do modelo em 3 camadas:
Segurana no Windows XP Professional - Bsico Todo o acesso do cliente, aos dados do servidor de Banco de dados, feito de acordo com as regras contidas no Servidor de Aplicaes. O cliente no tem acesso aos dados do servidor de Banco de dados, sem antes passar pelo servidor de aplicaes. Com isso as trs camadas so as seguintes: Apresentao: Continua a fazer parte do programa instalado no cliente. Alteraes na Interface do programa, ainda iro gerar a necessidade de atualizar a aplicao em todos as estaes de trabalho da rede, onde a aplicao estiver sendo utilizada. Porm cabe ressaltar, que alteraes na interface, so menos freqentes do que alteraes nas regras do negcio. Lgica: So as regras do negcio, as quais determinam de que maneira os dados sero utilizados e manipulados pelas aplicaes. Esta camada foi deslocada para o Servidor de Aplicaes. Desta maneira, quando uma regra do negcio for alterada, basta atualiz-la no Servidor de Aplicaes. Aps a atualizao, todos os usurios passaro a ter acesso a nova verso, sem que seja necessrio reinstalar o programa cliente em cada um dos computadores da rede. Vejam que ao centralizar as regras do negcio em um Servidor de Aplicaes, estamos facilitando a tarefa de manter a aplicao atualizada. As coisas esto comeando a melhorar. Dados: Nesta camada temos o servidor de banco de dados, no qual reside toda a informao necessria para o funcionamento da aplicao. Cabe reforar, que os dados somente so acessados atravs do Servidor de Aplicao, e no diretamente pela aplicao cliente. Esta uma caracterstica muito importante do modelo em 3 camadas, ou seja, a aplicao nunca faz acesso direto aos dados. Todo acesso aos dados feito atravs do servidor de aplicaes, onde esto as regras do negcio.
Com a introduo da camada de Lgica, resolvemos o problema de termos que atualizar a aplicao, em centenas ou milhares de estaes de trabalho, toda vez que uma regra do negcio for alterada. Porm continuamos com o problema de atualizao da interface da aplicao, cada vez que sejam necessrias mudanas na Interface. Por isso que surgiram os modelos de n-camadas. No prximo tpico, vou falar um pouco sobre o modelo de 4 camadas Aplicaes em quatro camadas Como uma evoluo do modelo de trs camadas, surge o modelo de quatro camadas. A idia bsica do modelo de 4 camadas, retirar a apresentao do cliente e centraliz-las em um determinado ponto (agora est ainda mais parecido com a poca do Mainframe, onde a aplicao ficava residente no mainframe e era acessada via terminal burro), o qual na maioria dos casos um servidor Web. Com isso o prprio Cliente deixa de existir como um programa que precisa ser instalado em cada computador da rede. O acesso a aplicao, feito atravs de um Navegador, como por exemplo, o Internet Explorer ou o Netscape Navigator. A Figura a seguir, nos d uma viso geral do modelo em quatro camadas:
Figura - O Modelo de desenvolvimento em quatro camadas. Para acessar a aplicao, o cliente acessa o endereo da aplicao, utilizando o seu navegador, como no exemplo a seguir: http://intranet.minhaempresa.com/sistemas/vendas.aspx Todo o acesso do cliente ao Banco de dados, feito de acordo com as regras contidas no Servidor de aplicaes. O cliente no tem acesso ao Banco de dados, sem antes passar pelo servidor de aplicaes. Com isso temos as seguintes camadas: Cliente: Nesta caso o Cliente o Navegador utilizado pelo usurio, quer seja o Internet Explorer, quer seja o Netscape Navigator, ou outro navegador qualquer. Apresentao: Passa a ser disponibilizada pelo Servidor Web. A interface pode ser composta de pginas HTML, ASP, PHP, Flash ou qualquer outra tecnologia capaz de gerar contedo para o navegador. Com isso alteraes na interface da aplicao, so feitas diretamente no servidor Web, sendo que estas alteraes estaro, automaticamente, disponveis para todos os Clientes (parece ou no parece Mainframe, com o Navegador fazendo o papel do terminal de acesso?). Com este modelo no existe a necessidade de reinstalar a aplicao em todos os computadores da rede. Fica muito mais fcil garantir que todos esto tendo acesso a verso mais atualizada da aplicao. A nica coisa que o cliente precisa ter instalado na sua mquina, o navegador. Com isso os custos de manuteno e atualizao de aplicaes fica bastante reduzido, ou seja, baixa o TCO Total Cost Ownership.
Segurana no Windows XP Professional - Bsico Lgica: So as regras do negcio, as quais determinam de que maneira os dados sero utilizados. Esta camada est no Servidor de Aplicaes. Desta maneira, quando uma regra do negcio for alterada, basta atualiz-la no Servidor de Aplicaes. Aps a atualizao, todos os usurios passaro a ter acesso a nova verso, sem que seja necessrio reinstalar o programa em cada estao de trabalho da rede. Vejam que ao centralizar as regras do negcio em um Servidor de Aplicaes, estamos facilitando a tarefa de manter a aplicao atualizada. Dados: Nesta camada temos o servidor de banco de dados, no qual reside toda a informao necessria para o funcionamento da aplicao.
Com o deslocamento da camada de apresentao para um Servidor Web, resolvemos o problema de termos que atualizar a aplicao, em centenas ou milhares de computadores, cada vez que uma a interface precisar de alteraes. Neste ponto a atualizao das aplicaes uma tarefa mais gerencivel, muito diferente do que acontecia no caso do modelo em 2 camadas. Os servidores de Aplicao, Web e banco de dados, no precisam, necessariamente ser servidores separados, isto , uma mquina para fazer o papel de cada um dos servidores. O conceito de servidor de Aplicao, servidor Web ou servidor de Banco de dados, um conceito relacionado com a funo que o servidor desempenha. Podemos ter, em um mesmo equipamento, um Servidor de aplicaes, um servidor Web e um servidor de banco de dados. Claro que questes de desempenho devem ser levadas em considerao. Tambm podemos ter a funcionalidade do Servidor de Aplicaes distribuda atravs de vrios servidores, com cada servidor tendo alguns componentes que formam parte das funcionalidades da aplicao. Este modelo onde temos componentes em diversos equipamentos, conhecido como Modelo de Aplicaes Distribudas. Tambm podemos colocar os componentes em mais do que um servidor para obter um melhor desempenho, ou redundncia, no caso de um servidor falhar. O Jlio ficou louco ou estamos voltando ao Mainframe? Amigo leitor, nem uma, nem outra. Voc deve estar utilizando os seguintes passos de raciocnio, baseado no texto que acabou de ler: 1. Na poca do Mainframe os aplicativos e os dados ficavam no Mainframe. O acesso era feito atravs de terminais, conhecidos como terminais burros. A administrao era feita centralizadamente, o que facilitava a atualizao e manuteno das aplicaes. 2. No modelo Cliente/Servidor clssico a aplicao e a lgica ficava no programa instalado na estao de trabalho cliente e os dados no servidor de banco de dados. Isso gera dificuldades para atualizao das aplicaes e um elevado custo para manter este modelo funcionando. 3. A nova tendncia portar as aplicaes para um modelo de n camadas, onde as aplicaes, a lgica e os dados ficam em servidores (de aplicaes, Web e de banco de dados) e o acesso feito atravs de um Navegador. 4. Puxa, mas o modelo em n camadas praticamente o mesmo modelo do Mainframe, com aplicaes e dados no servidor, administrao centralizada e reduo no custo de
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 26 de 290
Segurana no Windows XP Professional - Bsico propriedade (TCO) em relao ao modelo Cliente/Servidor tradicional? isso mesmo, este modelo muito prximo do modelo do Mainframe, porm com todas as vantagens da evoluo da informtica nestas ltimas dcadas, tais como interfaces grficas, programas mais poderosos e por a vai. Na prtica, o que est em uso nas empresas um modelo misto, onde algumas aplicaes rodam no PC do usurio e outras so acessadas atravs da rede, mas rodam nos servidores da rede da empresa. O que se busca o melhor dos dois mundos, ou seja os recursos sofisticados e aplicaes potentes com interfaces ricas do modelo Cliente/Servidor, com a facilidade e baixo custo do modelo Centralizado da poca do Mainframe. Posso citar o exemplo de um dos bancos com os quais trabalho. Quando vou ao banco renovar um seguro ou tratar algum assunto diretamente com o gerente, vejo que ele tem na sua estao de trabalho, aplicativos de produo do dia-a-dia, tais como o Microsoft Word, Microsoft Excel, um aplicativo de clculos e anlise de crdito e assim por diante. Este mesmo gerente utiliza o site da empresa para fornecer informaes. Ele tambm utiliza a Intranet da empresa para se manter atualizado. Alm disso ele utiliza alguns sistemas que ainda residem no bom e velho mainframe. Por exemplo, quando eu peo que ele faa uma alterao no meu endereo de correspondncia, ela acessa a famosa telinha verde, de um programa emulador de terminal, que acessa uma aplicao que est no Mainframe da empresa. Este caminho me parece muito mais sensato, ou seja, no precisa ser um ou outro modelo, mas sim o melhor dos dois mundos. E o que que todo este histrico tem a ver com segurana? Um pergunta que o amigo leitor pode estar se fazendo a seguinte:Mas o que tem a ver todo este histrico, com a questo de segurana, a qual o foco deste curso? Muito bem, eu apresentei este histrico, para mostrar que hoje, vivemos em um mundo conectado. Ou seja, a quase totalidade dos computadores est ligado em redes locais e as redes locais de uma mesma empresa, conectadas entre si atravs de linhas de comunicao e tambm conectadas com a Internet. Vejam que hoje o que temos uma grande rede mundial. como se todos estivssemos conectados a uma nica rede, rede esta conhecida como Internet. O fato de estarmos todos conectados em rede, faz com que a questo de segurana assuma uma importncia sem precedentes. Ao estarmos conectados, todos temos um caminho fsico para tentar acessar outros computadores e recursos desta imensa rede global. Se no dermos a devido importncia a segurana, nossos computadores e sistemas estaro mal configurados e sero presa fcil para acesso de hackers mau intencionados. O objetivo principal deste histrico foi chamar a ateno para o fato de estarmos todos conectados, em rede, via Internet. E isso demanda cuidados especiais em relao a segurana. O foco deste curso justamente este, ou seja, ensinar o amigo leitor a utilizar os recursos bsicos de segurana do Windows XP Professional, para que voc possa se proteger o mximo possvel, dos perigos de segurana existentes.
Segurana no Windows XP Professional - Bsico Quais as Principais Ameaas existentes? Quando tratamos de segurana, existem trs conceitos fundamentais que temos que ter em mente: Integridade, Disponibilidade e Confidencialidade. Todo planejamento de segurana deve buscar um equilbrio e um bom senso entre estes trs fatores. Por exemplo, que valor tem um sistema absolutamente seguro, 100% mas ao qual ningum tem acesso, nem mesmo os usurios que deveriam ter acesso. Neste exemplo o quesito Confidencialidade est 100%, porm o quesito Disponibilidade est 0%, ou seja, os trs fatores esto desequilibrados. O grande desafio da segurana promover um equilbrio entre estes trs fatores, com base nos requisitos reais de uso da informao. A seguir vamos nos deter um pouco mais sobre estes trs fatores, antes de passarmos a apresentao das principais ameaas a segurana. Integridade das Informaes: As informaes tornaram-se, sem dvidas, o bem mais precioso de uma empresa e tambm do usurio. Voc no pode correr o risco de perder seus arquivos de dados ou ter estes arquivos modificados, por pessoas no autorizadas. Da mesma forma, uma empresa no pode correr o risco de ter suas informaes alteradas ou excludas, quer seja intencionalmente ou por engano. A integridade existe e est garantida quando a preciso e a confiabilidade das informaes esto garantidas e quando no possvel a modificao ou excluso no autorizada das informaes. Em resumo, a integridade deve garantir que somente deve ter acesso s informaes os usurios realmente autorizados e com o nvel de acesso autorizado. Por exemplo, vamos supor que voc utilize um computador em casa, o qual tambm utilizado por seus filhos pequenos e pelo seu marido. Voc quer alguma garantia de que quando os seus filhos estejam usando o computador, no seja possvel para eles modificar arquivos importantes que voc criou ou at mesmo excluir estes arquivos. Ao fazer isso voc est garantindo a integridade da informao contida no seu computador. J imaginou o seu filho de seis anos, excluindo o arquivo .DOC que contm toda a sua tese de mestrado, na noite anterior a apresentao?? E para piorar voc no tem uma cpia de segurana?? Um belo problema, no mesmo. A boa notcia que o Windows XP Professional contm mecanismos eficientes para garantir a integridade da informao. Voc ver nos tpicos sobre Permisses NTFS (Mdulo 3) e sobre Criptografia (Mdulo 7) que voc pode proteger arquivos e pastas, de tal pessoa que usurios no autorizados no possam acessar ou possam acessar os arquivos com um nvel reduzido de permisses, como por exemplo somente leitura. Com isso j estamos vendo que o Windows XP tem recursos importantes (e fceis de usar, conforme voc ver durante este curso), para garantir a segurana e a Integridade das informaes. Observe que neste exemplo eu tambm fiz a seguinte afirmao E para piorar voc no tem uma cpia de segurana??. As cpias de segurana tem a ver com o prximo fator relacionado a segurana: disponibilidade. A seguir vamos falar um pouco mais sobre disponibilidade.
Segurana no Windows XP Professional - Bsico Disponibilidade das Informaes: As informaes tornaram-se, sem dvidas, o bem mais precioso de uma empresa e tambm do usurio. Imagine um site que vende pela Internet. Se ele tiver problemas no banco de dados do site, pode correr o risco de ficar fora do ar por horas ou dias. Isso sinnimo de prejuzo. E se ele perder informaes sobre pagamentos e parcelamentos?? Mais prejuzos, pois no ter como cobrar clientes que atrazarem pagamentos. Problemas com o acesso s informaes , sempre, sinnimo de prejuzo. A disponibilidade a garantia de que os usurios e sistemas tero acesso aos seus dados, sempre que for necessrio. No exemplo do filho que excluiu o .DOC com a tese de mestrado da me e no havia uma cpia de segurana, temos um problema de disponibilidade da informao, ou seja, a informao que ela tanto precisava (o seu arquivo .DOC com toda a sua tese de mestrado) no est mais disponvel, porque no foi seguido uma das recomendaes mais bsicas sobre segurana: a criao peridica de cpias de segurana (Backup). Por isso que eu citei anteriormente, que as Cpias de Segurana (Backup) esto relacionadas com a disponibilidade da informao. Uma boa estratgia de backup, garante que a informao estar disponvel, sempre que for necessria. Confidencialidade das Informaes: Existem informaes que devem ter o acesso restringido, ou seja, somente determinados usurios devem ter acesso a determinadas informaes. Alm disso, pode ocorrer de haver nveis diferentes de acesso, tais como somente consulta, consulta e alterao, consulta, alterao e excluso e assim por diante. Todas estas questes esto relacionadas a Confidencialidade da informao, conforme fica fcil de entender, com base na definio de Confidencialidade, apresentada a seguir: Definio: Propriedade de certas informaes que no podem ser disponibilizadas ou divulgadas sem autorizao para pessoas, entidades ou processos. O conceito de garantir a informao sensvel confidencial, limitada para um grupo apropriado de pessoas ou organizaes. A confidencialidade diz que a informao s deve estar disponvel usurios devidamente autorizados. Em resumo, a confidencialidade, diz que as informaes somente devem ser acessadas por usurios explicitamente autorizadas; a proteo de sistemas de informao para impedir que pessoas no autorizadas tenham acesso as informaes. O aspecto mais importante deste item garantir a identificao e autenticao das partes envolvidas. Neste curso veremos diversos tpicos, diretamente relacionados com a Confidencialidade. Por exemplo, do pargrafo anterior, extraio o seguinte trecho: O aspecto mais importante deste item garantir a identificao e autenticao das partes envolvidas. A identificao de um usurio, no Windows XP, feita atravs da obrigatoriedade do logon do usurio. Para fazer o logon o usurio fornece o seu nome de logon e senha. Com isso, o usurio fica identificado para o Windows XP.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 29 de 290
Segurana no Windows XP Professional - Bsico Principais Inimigos da Segurana da Informao Nos j vimos at agora que estamos em um mundo conectado, todos em redes e que esse ambiente fez com que aumentasse bastante os cuidados que devemos ter em relao s segurana. Pelo que vimos no item anterior, vemos que o principal papel dos recursos de segurana garantir a Integridade, a Disponibilidade e a confiabilidade da informao. A integridade deve garantir que somente deve ter acesso s informaes os usurios realmente autorizados e com o nvel de acesso autorizado. A disponibilidade a garantia de que os usurios e sistemas tero acesso aos seus dados, sempre que for necessrio. A confidencialidade, diz que as informaes somente devem ser acessadas por usurios explicitamente autorizadas; a proteo de sistemas de informao para impedir que pessoas no autorizadas tenham acesso as informaes. Estas so as caractersticas/fatores que devem ser garantidos. Mas quem so os principais inimigos da segurana da informao?? o que vamos apresentar, brevemente, neste tpico. Vrus de computador: Vamos iniciar pela ameaa mais conhecida, os famigerados vrus de computador. Na Cartilha de Segurana na Internet, de autoria do NBSO, no endereo a seguir: http://www.nbso.nic.br/docs/cartilha/cartilha-01-conceitos.html#sec7, temos o seguinte conceito para vrus: Vrus um programa capaz de infectar outros programas e arquivos de um computador. Para realizar a infeco, o vrus embute uma cpia de si mesmo em um programa ou arquivo, que quando executado tambm executa o vrus, dando continuidade ao processo de infeco. Simplificando, um vrus de computador , em primeiro lugar, um programa de computador. Este programa capaz de embutir cpias de si mesmo em outros programas. Quando um programa infectado com um vrus executado, o vrus tambm executado e passa a atuar. Existem vrus que fazem as mais variadas aes no computador, desde aes inofensivas a segurana, tais como ficar exibindo mensagens na tela, at aes catastrficas, capazes de fazer com que toda a informao do computador seja perdida. Como que um vrus foi parar no meu computador??? O vrus instalado quando voc executa um programa contaminado com o vrus. Pode ser um arquivo que voc recebeu anexado, via e-mail, com uma linda mensagem. Voc executa o programa e enquanto voc l a mensagem, o vrus est sendo instalado no seu computador. Depois, cada vez que voc abrir um dos arquivos infectados com o vrus, este ser executado e poder infectar novos arquivos, at o ponto em que o vrus esteja disseminado por dezenas ou centenas de arquivos, no seu computador. O exemplo do arquivo anexado via e-mail apenas uma das maneiras como um computador pode ser infectado por um vrus. Os vrus tambm podem estar em documentos do Word,
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 30 de 290
Segurana no Windows XP Professional - Bsico planilhas do Excel ou apresentaes do PowerPoint. Podem estar em um arquivo que voc baixou da Internet e resolveu instalar no seu computador, podem estar em um arquivo em disquete ou CD, que voc usou em outros computadores, os quais estavam infectados e assim por diante. Em resumo, um vrus de computador nada mais do que um programa de computador, o qual capaz de instalar cpias de si mesmo, em outros arquivos. Um arquivo que contm uma cpia de um vrus dito um arquivo infectado. Ao executar um arquivo infectado, o vrus ser tambm executado e passar a atuar no seu computador. Felizmente existem remdios bem eficientes para ajudar no combate a estas verdadeiras pragas virtuais, que so os vrus. Para combate-los, usamos os chamados programas antivrus. Conforme detalharei no mdulo 6, hoje em dia imprescindvel ter um bom antivrus instalado no computador e manter este anti-vrus sempre atualizado. Worms: Nos podemos considerar o Worm como uma evoluo dos vrus. Os vrus so capazes de infectar outros arquivos, no computador onde o vrus est presente. J os Worms so capazes de se propagar atravs da rede, ou seja, um Worm capaz de enviar cpias de si mesmo, para outros computadores da rede. Observem que a capacidade de infeco de um Worm muito maior do que a de um simples vrus, pois o Worm capaz de se instalar remotamente, nas mquinas da rede. Um dos exemplos mais conhecidos e recentes de Worm foi o famigerado MS Blast, o qual fez estragos no segundo semestre do ano passado. Este um dos Worms com maior capacidade de propagao, j conhecidos. Ele capaz de, at mesmo, se propagar via Internet. Computadores com o Windows 2000, Windows XP ou Windows Server 2003, que no estivessem atualizados, com as ltimas correes de segurana, seriam infectados pelo MS Blast, simplesmente ao se conectar Internet. Ao contrrio de grande parte dos worms, o Blaster, como tambm ficou conhecido o MS Blast, no se propaga via e-mail. Em vez disso, ele "escaneia" a Internet procura do computadores vulnerveis (computadores que no tem instalada as correes de segurana). Quando encontra um, cria uma ligao remota, na porta 4444 usando o protocolo TCP e copia para o computador um arquivo chamado msblast.exe, via FTP. Tambm altera o registro do sistema para executar o vrus sempre que o computador reiniciado. O MS Blast chegou a incrvel marca de ter infectado 5% de todos os computadores do mundo. Este dado importante para mostrar o poder de infeco de um Worm. Veja o que diz a Cartilha de segurana da NBSO sobre os Worms: Worms so notadamente responsveis por consumir muitos recursos. Degradam sensivelmente o desempenho de redes e podem lotar o disco rgido de computadores, devido grande quantidade de cpias de si mesmo que costumam propagar. Alm disso, podem gerar grandes transtornos para aqueles que esto recebendo tais cpias.
Segurana no Windows XP Professional - Bsico Cavalo de Tria: Todos conhecem a famosa histria da guerra entre Gregos e Trorianos, onde os gregos presentearam os Trorianos com uma imensa esttua de um cavalo. S que a esttua estava recheada de soldados gregos, os quais fizeram um verdadeiro estrago aos Trorianos. Ou seja um presente nada desejado. Este fato inspirou a nomeao de um tipo de ameaa que haja de forma parecida. Ou seja, o que um cavalo de tria em informtica? A Cartilha de Segurana na Internet, da NBSO, apresenta a seguinte definio para Cavalo de Tria: Na informtica, um Cavalo de Tria (Trojan Horse) um programa que alm de executar funes para as quais foi aparentemente projetado, tambm executa outras funes normalmente maliciosas e sem o conhecimento do usurio. Ou seja, um verdadeiro presente de grego. O cavalo de tria um programa que voc instala, o qual aparentemente no tem maiores problemas. Por exemplo, voc baixa da Internet um programa para fazer grficos de funes matemticas. Voc usa o programa e ele funciona perfeitamente, fazendo grficos de funes de primeiro grau, de segundo grau, grficos de funes exponenciais e outros, sem nenhum problema. S que, ao mesmo tempo em que faz os grficos, o programa tambm abre portas para que o seu computador possa ser acessado pela rede. Este um exemplo tpico de Cavalo de tria, ou seja, o programa executa as suas funes normais, para que o usurio no desconfie de nada. Mas em segundo plano, bem na surdina, fica alterando configuraes e abrindo portas para que o seu computador possa ser acessado pela rede. Os cavalos de tria so muito utilizados pelos estelionatrios virtuais. Alm de abrir portas para invaso, o cavalo de tria tambm pode ser programado para roubar informaes importantes do usurio, tais como nmero de contas bancrias e as respectivas senhas, nmero do Carto de Crdito e assim por diante. O estelionatrio disponibiliza o programa com o cavalo de tria como se fosse um programa para executar uma funo qualquer, tal como converter CDs para o formato .mp3. O usurio baixa o programa, instala e usa ele. O programa funciona normalmente, ou seja, faz a converso ao qual se propem. O usurio fica contente e no desconfia de nada. Porm alm das funes para o qual se propem, o programa tambm executa aes em segundo plano, sem que o usurio saiba. O programa fica tentando roubar informaes do usurio e envia-las para um e-mail do responsvel pelo programa. Temos aqui um exemplo tpico de um cavalo de tria. A boa notcia que os programas anti-vrus so capazes de detectar e eliminar os cavalos de tria. Mas a melhor proteo ainda a preveno. Ou seja, voc deve evitar baixar e instalar programas de origens desconhecidas. Se voc encontra um programa na Internet, o qual executa algo que voc est precisando, mas voc no conhece o autor ou a empresa, recomendo tomar maiores cuidados e se informar mais, antes de baixar e instalar o programa. Os falsrios so expertos e disponibilizam os programas gratuitamente, para atrair o usurio. Muitas vezes, entre pagar 10 ou 15 dlares por um programa de uma empresa conhecida, o usurio prefere baixar um programa gratuito, de uma fonte desconhecida. Este o tipo de ao burra, que para poupar uma meia dzia de dlares, pode comprometer toda a segurana do seu computador, fazendo com que um cavalo de tria seja instalado.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 32 de 290
Segurana no Windows XP Professional - Bsico Questes relacionadas a segurana no Windows Muito bem, neste tpico, farei uma apresentao rpida das principais configuraes/opes bsicas de segurana do Windows XP Professional, sempre procurando relacionar estas configuraes/opes com a Integridade, Disponibilidade e Confidencialidade. Logon = Identificao do usurio Para ter acesso ao Windows XP o usurio deve fazer o logon. Fazer o logon significa informar o seu nome de usurio (o que feito clicando em uma lista de nomes de usurios ou digitando diretamente o nome de usurio) e a respectiva senha. Ao fornecer o seu nome de usurio e senha, o usurio est sendo identificado. Dizemos que com isso o Windows sabe quem o usurio logado. O logon serve para identificar o usurio. Ao identificar o usurio, o Windows XP pode verificar se o usurio tem ou no permisso para acessar determinados recursos. Por exemplo, vamos imaginar que exista uma pasta C:\Documentos, para a qual somente tem permisso de acesso os usurios jsilva e Maria. Se o usurio Pedro fizer o logon e tentar acessar esta pasta, o usurio receber uma mensagem de Acesso negado. Isso porque o Windows consegue identificar o usurio pelo seu logon, o Windows sabe que quem est usando o Windows o Pedro. Ao tentar acessar a pasta C:\Documentos, o Windows verifica a lista de usurios com permisso de acesso. Como o usurio Pedro no est na lista com permisso de acesso, o Windows emite a mensagem de acesso negado. Observe que com a identificao do usurio (atravs do logon), o Windows capaz de bloquear o acesso aos recursos para os quais o usurio no tem permisso. Com isso estamos garantindo a Confidencialidade dos dados, ou seja, a confidencialidade, diz que as informaes somente devem ser acessadas por usurios explicitamente autorizados; a proteo de sistemas de informao para impedir que pessoas no autorizadas tenham acesso as informaes. O aspecto mais importante deste item garantir a identificao e autenticao das partes envolvidas. A identificao/autenticao feita pelo logon. Ou seja, ao fazer o logon o usurio se identifica, se autentica com o Windows. No Mdulo 2 ns veremos todos os detalhes sobre o logon no Windows XP, sobre a criao de contas de usurios e grupos de usurios. Este ser o primeiro tpico sobre segurana no Windows, que iremos abordar neste curso. Ser o primeiro porque todos os demais tpicos dependem deste. Ou seja, toda a segurana configurada com base em contas de usurios e grupos de usurios. Permisses de acesso = garantia de confidencialidade No Mdulo 3 veremos dois tpicos relacionados diretamente com a confidencialidade da informao: Permisses de Compartilhamento e Permisses NTFS. atravs da definio de permisses, que possvel definir quais usurios e grupos tero acesso a determinadas pastas e arquivos e qual o nvel de acesso de cada usurio/grupo. Por exemplo, posso definir permisso somente leitura para o grupo Estagirios e Leitura, Alterao e Excluso para o grupo gerentes. Com isso garantimos a confidencialidade da informao, ou seja, os dados somente so acessados por usurios autorizados e com o nvel de acesso adequado.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 33 de 290
Backup = Disponibilidade de dados No Mdulo 4 veremos como utilizar os recursos de Backup do Windows XP. Ter uma boa estratgia de Backup sinnimo de garantir a Disponibilidade dos dados. Problemas ocorrem, arquivos podem ser excludos por engano, pode ocorrer um problema fsico no HD, um vrus pode detonar com os arquivos do HD e assim por diante. A nica garantia de no perder os seus arquivos (o que sinnimo de perder horas e horas de trabalho) ter uma boa estratgia de backup. Todo o Mdulo 4 ser dedicado a um dos tpicos mais esquecidos, quando se trata de segurana: Backup. Fazer o Backup significa ter uma ou mais cpia de segurana, de arquivos importantes. Ter uma boa estratgia de Backup fundamental para evitar perda de dados, perda de tempo e retrabalho. Neste mdulo apresentarei os aspectos tericos e prticos, relacionados ao Backup. Darei dicas de como organizar as informaes no seu computador, visando facilitar o Backup dos dados. Tambm mostrarei as diferentes opes disponveis para fazer o Backup/Restore dos seus dados. No esquea, Backup = proteo contra perda de dados. Diretivas de Segurana = Garantia de Confidencialidade e Integridade O conceito de Diretivas de Segurana de grande importncia para aprimorar a segurana do Windows XP Professional. No mdulo 5 eu apresentarei o conceito de diretivas de segurana, mostrarei as diferentes categorias de diretivas disponveis, mostrarei como configurar as diretivas. Tambm apresentarei uma descrio detalhada, sobre as principais diretivas de segurana do Windows XP Professional. Falarei tambm sobre as GPOs Group Policy Objects. As GPOs so diretivas de segurana usadas, normalmente, em grandes redes, baseadas no Windows 2000 Server ou no Windows Server 2003 e no Active Directory. As GPOs so configuradas nos servidores (baseados no Windows 2000 Server ou Windows Server 2003) e aplicadas nas estaes clientes da rede, normalmente baseadas no Windows 2000 Professional ou Windows XP Professional. Com o uso de diretivas possvel restringir bastante o que cada usurio pode fazer e quais usurios podem fazer determinadas aes. Por exemplo, voc pode limitar quais usurios podem fazer o logon no computador ou qual usurios podem instalar programas e drivers e assim por diante. Este nvel adicional de proteo muito importante para garantir a Confidencialidade e a Integridade das informaes. Ao limitar quais usurios podem executar determinadas aes, voc limita a possibilidade de que os usurios instalem programas que possam causar perdas de dados ou que possam corromper as informaes. Com isso voc est aumentando as garantias de Integridade das informaes. Uso seguro da Internet = Confidencialidade + Integridade + Disponibilidade No incio deste mdulo eu apresentei um breve histrico sobre a evoluo dos ambientes informatizados, onde conclumos que hoje vivemos em um mundo conectado, onde a grande rede a Internet. Tambm salientei que este mundo conectado, alm de inmeras vantagens, traz tambm inmeros perigos. Com a Internet os novos vrus so rpida e facilmente distribudos, s esperando por um usurio mais descuidado, que ir executar um anexo de email infectado. Por isso a necessidade de saber como usar a Internet com segurana, procurando evitar os incontveis perigos existentes.
Segurana no Windows XP Professional - Bsico No Mdulo 6 Uso Seguro da Internet, eu apresento diversos tpicos relacionados a Segurana no uso da Internet. Vou iniciar o mdulo falando sobre o Compartilhamento da conexo Internet. Em seguida, tratarei sobre as configuraes de segurana do Internet Explorer e do Outlook Express. O prximo tpico ser sobre vrus e a importncia de manter um bom anti-vrus, sempre atualizado. Tambm falarei sobre o uso do Firewall do Windows XP IFC. Mostrarei como ativar e configurar este Firewall. Para encerrar o mdulo, tratarei sobre a importncia de manter o Windows atualizado, atravs da utilizao do recurso Windows Update. Saber usar a Internet com a segurana fundamental para evitar problemas com vrus, cavalos de tria e outras pragas virtuais. Este um ponto fundamental para a integridade, confidencialidade e a disponibilidade das informaes. Ou seja, um ponto vital para a segurana da informao.
As permisses NTFS servem como uma primeira barreira de defesa, para garantir que s tenham acesso aos arquivos e pastas do computador, usurios devidamente autorizados. Porm, em caso de roubo de um computador, relativamente simples burlar a proteo das permisses NTFS. Conforme mostrarei no mdulo 3, bastara colocar o HD como secundrio em um outro computador, fazer o logon como Administrador e retirar as permisses NTFS. Pronto, o ladro passar a ter acesso a todos os arquivos do HD. J com o uso de criptografia, a histria bem diferente. No Mdulo 7 Criptografia e Auditoria de Eventos, apresentarei mais dois tpicos bsicos sobre segurana no Windows XP Professional: Criptografia de dados e Logs de auditoria. Mostrarei que com o uso da Criptografia voc obtm um nvel adicional de proteo, em relao ao uso das permisses NTFS. Tambm mostrarei os cuidados necessrios para que voc no perca o acesso aos dados criptografados. Para encerrar, mostrarei como utilizar o recurso de Logs de auditoria e Logs de segurana do Windows XP Professional. Os logs so o registro das aes que so executadas no computador. Este um registro importante, para poder identificar tentativas de quebra de segurana (como por exemplo um usurio, repetidamente, tentando acessar arquivos e pastas para os quais ele no tem a devida permisso) e evitar a quebra. Ou seja, os logs so uma excelente ferramenta para a tomada de aes preventivas, agindo pr ativamente, antes que o problema efetivamente acontea.
Segurana no Windows XP Professional - Bsico Concluso Neste mdulo apresentei uma srie de conceitos tericos sobre segurana. Os conceitos e definies apresentados neste mdulo, sero de grande importncia para o entendimento e acompanhamento dos demais mdulos deste curso. Dentre outros, sero apresentados os seguintes tpicos: Introduo a segurana A necessidade de segurana Principais ameaas A necessidade do anti-vrus A importncia do Backup Questes relacionadas a segurana no Windows
Iniciei o Mdulo fazendo um histrico desde os ambientes mais antigos, onde dominava o uso de computadores de grande porte, conhecidos como Mainframe, at os dias de hoje, onde tempos um ambiente baseado em redes locais e a interconexo destas redes entre si e com a Internet. Mostrei quais os perigos para segurana, que vieram com o uso deste novo modelo, onde estamos todos conectados a uma grande rede mundial: A Internet. Na seqncia apresentei uma descrio bsica sobre o porqu da segurana, qual a importncia de nos preocuparmos com a segurana das informaes e os seguintes conceitos, relacionados diretamente com a segurana das informaes: Integridade Disponibilidade Confidencialidade Na seqncia falei sobre as principais ameaas a segurana. Mostrarei quais os viles quando se trata de segurana. Vou falar sobre vrus, anti-vrus, cavalo de tria, Trojan e outros viles da segurana. Neste tpico vou salientei o quo importante o monitoramento constante, a viglia constante em relao as questes de segurana. Mostrei onde so os principais pontos de falha e de negligncia, em relao a segurana. Dando seqncia, falei sobre a importncia de se ter uma boa estratgia de Backup das informaes. Mostrei como o backup est diretamente relacionada a questo da disponibilidade das informaes. A questo do Backup , sem dvidas, um dos aspectos de segurana, mais negligenciados pela maioria dos usurios. Para encerrar o mdulo, apresentei mais alguns conceitos importantes, relacionados a segurana no Windows XP Professional, bem como os mdulos onde cada um deles ser detalhado. Em caso de dvidas sobre os exemplos apresentados neste curso, entre em contato pelo email: webmaster@juliobattisti.com.br.
Iniciarei o Mdulo fazendo um histrico desde os ambientes mais antigos, onde dominava o uso de computadores de grande porte, conhecidos como Mainframe, at os dias de hoje, onde tempos um ambiente baseado em redes locais e a interconexo destas redes entre si e com a Internet. Vou mostrar quais os perigos para segurana, que vieram com o uso deste novo modelo. Na seqncia apresentarei uma descrio bsica sobre o porqu da segurana, qual a importncia de nos preocuparmos com a segurana das informaes e os seguintes conceitos, relacionados diretamente com a segurana das informaes: Integridade Disponibilidade Confidencialidade Na seqncia falarei sobre as principais ameaas a segurana. Mostrarei quais os viles quando se trata de segurana. Vou falar sobre vrus, anti-vrus, cavalo de tria, Trojan e outros viles da segurana. Neste tpico vou procurar salientar o quo importante o monitoramento constante, a viglia constante em relao as questes de segurana. Mostrarei onde so os principais pontos de falha e de negligncia, em relao a segurana. Dando seqncia, falarei sobre a importncia de se ter uma boa estratgia de Backup das informaes. Mostrarei como o backup est diretamente relacionada a questo da disponibilidade das informaes. A questo do Backup , sem dvidas, um dos aspectos de segurana, mais negligenciados pela maioria dos usurios. Para encerrar o mdulo, apresentarei mais alguns conceitos importantes, relacionados a segurana no Windows XP Professional. Ento mos obra. Chega de apresentaes e rodeios e vamos iniciar o nosso estudo sobre Segurana. Um bom estudo a todos e no esquea: em caso de dvidas sobre os exemplos apresentados neste curso, entre em contato pelo e-mail: webmaster@juliobattisti.com.br.
Segurana no Windows XP Professional - Bsico Contas de Usurios, Grupos e Logon Neste mdulo apresentarei uma srie de conceitos tericos sobre segurana. Os conceitos e definies apresentados neste mdulo, sero de grande importncia para o entendimento e acompanhamento dos demais mdulos deste curso. Dentre outros, sero apresentados os seguintes tpicos: Introduo a segurana A necessidade de segurana Principais ameaas A necessidade do anti-vrus A importncia do Backup Questes relacionadas a segurana no Windows
Iniciarei o Mdulo fazendo um histrico desde os ambientes mais antigos, onde dominava o uso de computadores de grande porte, conhecidos como Mainframe, at os dias de hoje, onde tempos um ambiente baseado em redes locais e a interconexo destas redes entre si e com a Internet. Vou mostrar quais os perigos para segurana, que vieram com o uso deste novo modelo. Na seqncia apresentarei uma descrio bsica sobre o porqu da segurana, qual a importncia de nos preocuparmos com a segurana das informaes e os seguintes conceitos, relacionados diretamente com a segurana das informaes: Integridade Disponibilidade Confidencialidade Na seqncia falarei sobre as principais ameaas a segurana. Mostrarei quais os viles quando se trata de segurana. Vou falar sobre vrus, anti-vrus, cavalo de tria, Trojan e outros viles da segurana. Neste tpico vou procurar salientar o quo importante o monitoramento constante, a viglia constante em relao as questes de segurana. Mostrarei onde so os principais pontos de falha e de negligncia, em relao a segurana. Dando seqncia, falarei sobre a importncia de se ter uma boa estratgia de Backup das informaes. Mostrarei como o backup est diretamente relacionada a questo da disponibilidade das informaes. A questo do Backup , sem dvidas, um dos aspectos de segurana, mais negligenciados pela maioria dos usurios. Para encerrar o mdulo, apresentarei mais alguns conceitos importantes, relacionados a segurana no Windows XP Professional. Ento mos obra. Chega de apresentaes e rodeios e vamos iniciar o nosso estudo sobre Segurana. Um bom estudo a todos e no esquea: em caso de dvidas sobre os exemplos apresentados neste curso, entre em contato pelo e-mail: webmaster@juliobattisti.com.br.
Segurana no Windows XP Professional - Bsico Introduo Neste mdulo voc entender melhor o porqu da necessidade de efetuar o logon no Windows XP. Mostrarei que o Windows XP usa a conta do usurio como se fosse a identidade do usurio. atravs da conta de logon que o Windows XP consegue identificar qual o usurio logado e carregar configuraes personalizadas para cada usurio. Voc tambm aprender a criar e a administrar contas de usurios e de grupos de usurios. O conceito de grupo de usurio um conceito bem importante, o qual ser utilizado bastante no Mdulo 3 deste curso. Neste Mdulo abordarei os seguintes tpicos: Por que tenho que fazer logon. Contas de usurio conceito Contas de usurio criao e administrao Grupos de usurios conceito Grupos de usurios criao e administrao
Vamos tratar em detalhes sobre o conceito de conta de usurio e grupos de usurios. No Windows XP possvel criar um ambiente personaliado para cada usurio que faz o logon no Windows XP. Para que um usurio possa fazer o logon preciso que uma conta de usurio tenha sido criada. Ao fazer o logon, com base na conta de usurio utilizada, o Windows XP identifica o usurio que est fazendo o logon e exiba um ambiente personalizado para o usurio. Faz parte deste ambiente, uma srie de detalhes, tais como: Os cones da rea de trabalho. Configuraes de vdeo. Configuraes da barra de tarefas. Configuraes de pastas. Histrioco de navegao na Internet. Cache de pginas da Internet. Lista de favoritos do Internet Explorer
e assim por diante. Para manter este ambiente personalizado, o Windows XP utiliza uma estrutura de pastas e subpastas, dentro do pasta C:\Documents and Settings. Por exemplo, para o usurio cujo nome de logon jsilva, criada a pasta C:\Documents and Settings\jsilva. Dentro da pasta jsilva, o Windows XP cria um conjunto de arquivos e sub-pastas, os quais so utilizados para gravar as configuraes personalizadas do usurio jsilva. Uma vez entendido o conceito de conta de usurio, passaremos a parte prtica, ou seja, como criar contas, definir uma senha, e realizar todas as tarefas administrativas, relacionadas com contas de usurios, tais como: Alterar o nome da conta. Alterar a senha. Remover a senha.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 39 de 290
Segurana no Windows XP Professional - Bsico Alterar a imagem que exibida ao lado do nome da conta. Excluir a conta. Tambm falaremos sobre tipo de contas, o que significam, na prtica, cada tipo de conta e as permisses associadas. Em seguida trataremos sobre o conceito de grupos de usurios. Veremos da importncia da utilizao de grupos de usurios para facilitar a administrao e a atribuio de permisses de segurana. Tambm aprenderemos as tarefas prticas relacionadas a grupos, tais como: Criar um grupo. Adicionar contas de usurio ao grupo. Excluir contas do grupo. Renomear um grupo.
As contas de usurios e grupos de usurios formam a base sobre a qual estruturada a segurana no Windows XP. Para o Windows fundamental identificar quem o usurio que est tentando acessar um determinado recurso, tal como uma pasta ou impressora compartilhada. Uma vez identificado quem o usurio, o Windows pode determinar, com base nas permisses de acesso, se o usurio tem ou no permisso de acessar o recurso e qual o nvel de acesso que ele tem. A identificao do usurio feita atravs do logon, onde o usurio informa a sua conta de logon e a respectiva senha. Feito o logon, o usurio est identificado para o Windows. O conceito de Logon est diretamente ligado com o princpio da autenticidade, ou seja, antes de liberar o acesso a um recurso, o Windows precisa identificar quem o usurio que est tentando fazer o acesso, ou seja, precisa autentificar o usurio.
Segurana no Windows XP Professional - Bsico Contas de usurio - definio Vamos ver um pouco de teoria sobre contas de usurio. Uma Conta de usurio a identidade do usurio para o Windows XP, em outras palavras a maneira que o Windows XP tem de identificar cada usurio. A partir do momento em que possvel identificar o usurio que faz o logon, possvel manter um ambiente personalizado para o usurio, bem como um conjunto de permisses que definem o que o usurio pode e o que o usurio no pode fazer, quais recursos o usurio pode e no pode acessar e qual o nvel de acesso a cada recurso. Se voc est trabalhando em um computador isoladamente, ou em uma pequena rede onde no exista a definio de um domnio, com servidores rodando o Windows 2000 Server ou Windows Server 2003 e o Active Directory, as contas de usurio que so criadas so gravadas no prprio computador. Com isso cada computador ter a sua lista de contas de usurio. Estas contas so chamadas de contas locais de usurio, do ingls: local user account. Uma conta local permite que o usurio faa o logon somente no computador em que a conta foi criada e que acesse somente recursos deste computador. Quando criamos uma conta local, esta criada em uma base de dados chamada base de dados local de segurana (local security database). Ao fazer o logon, o Windows XP compara o nome do usurio e a senha fornecida, com os dados da base de segurana local. Se os valores fornecidos estiverem corretos, o logon completado, caso contrrio o logon negado e uma mensagem de erro emitida. J em redes de grande porte, baseadas em Servidores com o Windows 2000 Server ou Windows Server 2003 (ou at mesmo o NT Server 4.0) comum a criao de domnios. Em um domnio, existe uma nica lista de contas de usurios e grupos e esta lista compartilhada por todos os computadores que fazem parte do domnio. A lista de usurios mantida nos servidores da Rede, nos chamados Controladores de Domnios DCs (Comain Controllers), conforme descrito em detalhes no Mdulo 2 do seguinte curso: Manual de Estudos Para o Exame 70-271, de minha autoria. Quando um usurio faz o logon, utilizando uma conta do domnio, atravs da rede, o Windows verifica se o usurio forneceu um nome e senha que so vlidos para o domnio. Em caso afirmativo o logon liberado, caso contrrio o logon negado. Uma conta de domnio armazenada na base de segurana do servidores do domnio. Esta base conhecida como SAM no NT Server 4.0 e como Active Directory no Windows 2000 Server e no Windows Server 2003. Neste tpico vamos aprender a criar e a manter contas que fazem parte do computador onde estas esto sendo criadas. Aprenderemos a criar contas, definir o tipo da conta, atribuir uma senha, renomear a conta, excluir a conta e adicion-la a um ou mais grupos de usurios. Tambm aprenderemos a configurar as diversas propriedades de configurao de cada conta. Importante: Para que voc possa criar e administrar contas, voc deve fazer o logon com uma conta com permisses de Administrador. Ao instalar o Windows XP (Home ou Professional) criada, automaticamente, uma conta chamada Administrador. Durante o processo de instalao voc solicitado a definir uma senha para a conta Administrador. Na parte final da instalao voc pode criar mais algumas contas (at cinco contas). Toda a conta criada durante o processo de instalao tem as permisses de Administrador. Por padro, a conta Administrador no exibida na lista de contas, quando inicializamos o Windows XP.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 41 de 290
Segurana no Windows XP Professional - Bsico No Windows XP Professional possvel fazer o logon com a conta Administrador, apesar desta conta no ser exibida na lista de contas. Ao ser exibida a lista de contas, pressione Ctrl+Alt+Del duas vezes seguidas. Ser aberta uma janela de logon solicitando o nome do usurio e senha para logon. Digite Administrador para o nome do usurio e a respectiva senha. Com este procedimento voc consegue fazer o logon com a conta Administrador, apesar desta estar oculta. Nota: No possvel excluir a conta Administrador, porm podemos renome-la. recomendado que voc renomeie a conta Administrador. Se um usurio no autorizado quiser acessar o seu computador e voc no tiver renomeado a conta Administrador, este usurio j tem metade da informao que ele precisa para acessar o computador, s falta descobrir a senha. J se voc tiver renomeado a conta Administrador, as coisas ficaro mais difceis para o nosso aspirante a invasor, pois alm da senha ele tambm ter que descobrir qual o novo nome para a conta Administrador. H dois tipos de conta de usurio disponveis no seu computador: administrador do computador e limitada. Existe tambm uma conta de convidado (guest), a qual est disponvel para os usurios que no possuem conta de usurio no computador. Toda conta do tipo administrador ter permisses sobre todos os recursos do computador. J as contas do tipo limitada, como o prprio nome sugere, tero permisses limitadas no uso dos recursos do computador. A conta de administrador do computador destina-se aos usurios que podem alterar o sistema do computador, instalar programas e acessar todos os arquivos no computador. Somente o usurio com uma conta de administrador do computador tem acesso completo s contas dos outros usurios no computador, conforme j havamos descrito anteriormente. O usurio Administrador tem as seguintes permisses: Pode criar e excluir contas de usurio no computador. Pode criar senhas de contas para as contas dos outros usurios no computador. Pode alterar nomes, imagens, senhas e tipos de contas dos outros usurios. No pode alterar o tipo de sua prpria conta para conta limitada, a menos que haja um outro usurio com uma conta de administrador no computador. Esse procedimento garante que haver sempre um usurio, pelo menos, com uma conta de administrador do computador. Isso feito para evitar a situao em que nenhuma das contas tivesse permisso de Administrador. Neste caso nenhum usurio teria permisso para instalar novos programas, configurar o Windows e alterar as contas de usurio.
Uma conta do tipo limitada destina-se aos usurios que no tm permisso para alterar a maioria das configuraes do computador nem para excluir arquivos importantes. Um usurio com este tipo de conta tem as seguintes limitaes: No pode instalar software ou hardware (drivers), mas pode acessar programas j instalados no computador. Pode alterar a imagem de sua prpria conta, alm de criar, alterar ou excluir sua prpria senha.
Segurana no Windows XP Professional - Bsico No pode alterar o nome ou o tipo de sua prpria conta. Um usurio com uma conta de administrador do computador deve fazer esses tipos de alterao.
Nota: possvel que alguns programas no funcionem corretamente para os usurios com contas limitadas. Se for esse o caso, altere, temporria ou permanentemente, o tipo de conta do usurio para uma conta do tipo Administrador. Um bom exemplo em que pode ser til a utilizao de uma conta do tipo limitada para um usurio que est aprendendo a utilizar o computador. Ao dispor de uma conta limitada, o usurio no ter permisso para executar operaes (como por exemplo Formatar o disco rgido) que possam fazer com que o Windows XP deixe de funcionar e tenha que ser reinstalado. Existe tambm uma conta de convidado, a qual destina-se aos usurios que no possuem conta de usurio no computador. No h senha para a conta de convidado, de forma que o usurio pode fazer logon rapidamente para verificar se h e-mail ou navegar na Internet. Um usurio que tenha feito logon neste tipo de conta tem as seguintes limitaes: No pode instalar software ou hardware, mas pode acessar programas j instalados no computador. No pode alterar o tipo de conta de convidado. Pode alterar a imagem da conta de convidado.
Nota: No Windows NT, 2000 Server e Windows Server 2003 tambm existe a conta convidado, cujo nome guest. Por padro a conta guest tem acesso bastante limitado aos recursos da rede. Regras e dicas para a criao de contas de usurio Existem algumas regras para a criao de contas de usurios. A primeira regra que no podem existir duas contas com o mesmo nome. Tambm no podem existir dois grupos com o mesmo nome, no mesmo computador. Alis, esta uma regra geral do Windows. J que o Windows utiliza o nome para identificar os diversos elementos com os quis trabalha, mais do que natural que no possam existir dois elementos com o mesmo nome no mesmo local. Por exemplo, no possvel existir dois arquivos com o mesmo nome, dentro da mesma pasta. No mximo devemos utilizar vinte caracteres para o nome de uma conta. Embora possamos utilizar mais do que vinte caracteres, somente os vinte primeiros sero reconhecidos pelo Windows XP. O Windows XP no distingue entre letras maisculas e minsculas para o nome das contas. Para o Windows XP a conta Jsilva ou jsilva ou JSILVA a mesma conta. Se j existir a conta Jsilva e voc tentar criar a conta JSILVA, o Windows XP no deixar, afirmando que a conta j existe.
Segurana no Windows XP Professional - Bsico Caracteres que no podem ser utilizados como parte do nome de uma conta de usurio: " / \ [ ] : ; | = , + * ? < >.
Se um computador for utilizado por um grande nmero de usurios diferentes, ser necessrio criar uma conta de logon para cada usurio. Podem existir situaes em que existam conflitos de nome, por exemplo podem existir dois Jos da Silva e voc no poder criar duas contas jsilva. Nestes casos interessante que voc defina um padro a ser utilizado, quando existem nomes duplicados. Um dos padres normalmente adotados : o primeiro a ser cadastrado utiliza o nome escolhido. O prximo, caso haja conflito, adiciona-se a primeira ou ltima letra do sobrenome ou um nmero, ao nome da conta, para diferenci-la da conta j existente. A seguir temos alguns exemplos de como diferenciar as contas de usurio: Usurio: Jos da Silva Costa Usurio: Jos da Silva Farias Usurio: Jose da Silva Freitas e assim por diante. Quando o nmero de contas a ser criado e administrado grande, a palavra chave : PLANEJAMENTO. Embora nestas situaes mais comum o uso de servidores de rede e a criao de domnios, conforme citado anteriormente. Regras e dicas para a criao de senhas Embora no seja obrigatrio sempre recomendvel a definio de uma senha para cada conta de usurio que for criada. A senha uma forma de proteo, de tal maneira que somente o usurio que sabe a senha poder fazer o logon utilizando uma determinada conta. Importante: Eu diria no s recomendvel, eu diria que a definio de uma senha para cada conta IMPRESCINDVEL, se no todo o planejamento de segurana ser prejudicado, pois qualquer usurio pode fazer o logon com uma conta para a qual no definida uma senha. Por isso que este um ponto fundamental, ou seja, voc deve definir senhas para todas as contas de usurios, criadas no Windows XP Professional. Diferentemente do nome das contas, as senhas fazem distino entre maisculas e minsculas. Por exemplo a senha abc12345 diferente da senha ABC12345, a qual por sua vez tambm diferente da senha Abc12345. Sempre aconselhvel definir uma senha utilizando letras maisculas e minsculas, pois isso dificulta a descoberta da senha por parte de usurios mau intencionados. Uma senha pode ter at 128 caracteres e um mnimo de 8 caracteres recomendado. Conforme veremos no Mdulo 5 , sobre diretivas de segurana, possvel definir o tamanho mnimo da senha que aceito pelo Windows XP. Eduque os seus usurios para que no usem senhas fceis de serem descobertas, tais como nome dos filhos, da esposa, data de nascimento, etc. Outro padro que deve ser evitado trocar somente a parte da senha. Por exemplo, o usurio usa sempre a mesma palavra chave Conta: jsilva Conta: jsilvaf Conta: jsilvaf2 Cadastrado: 01/02/2002 Cadastrado: 10/02/2002 Cadastrado: 18/02/2002
Segurana no Windows XP Professional - Bsico como senha e anexa ao final o nmero do ms. Por exemplo: Kjlddu01 no ms de janeiro, Kjlddu02 no ms de fevereiro, Kjlddu03 no ms de maro e assim por diante. Para no esquecer: Sempre defina uma senha para o usurio Administrador. E no esquea desta senha. Troque a senha, periodicamente. Agora que j vimos a parte terica sobre a criao de contas e senhas, vamos para a parte prtica, onde aprenderemos a criar contas, definir uma senha para a conta e configurar as demais propriedades. Criando Contas de usurio no Windows XP Existem duas opes para a criao e administrao de contas de usurio: A opo Contas de usurio do Painel de controle. O console Gerenciamento do computador que acessado atravs da opo Ferramentas Administrativas do Painel de controle.
A opo Contas de usurio do painel de controle oferece uma interface mais amigvel, orientada para tarefas. ideal para usurios menos experientes, que esto comeando a estudar e a lidar com contas de usurios e grupos. J os usurios mais experientes, com certeza, iro preferir o console Gerenciamento do computador ou criar os seus prprios consoles personalizados. Neste mdulo vou utilizar as duas interfaces, porm com maior nfase no console Gerenciamento do computador. Tambm faremos alguns exerccios utilizando a opo Contas de usurio, para que voc possa se familiarizar com a nova interface, orientada tarefas. A principal vantagem do console Gerenciamento do computador que ele nos oferece, fcil e rapidamente, acesso a todas as propriedades da conta do usurio, o que facilita a alterao destas propriedades. Importante: Estas so contas locais, do prprio Windows XP. Para administrar contas do Domnio, armazenadas no Active Directory, utiliza-se o console Usurios e Computadores do Active Directory (Active Directory Users and Computers). Este console no instalado, automaticamente, no Windows XP. Para instalar este e outros consoles de Administrao do Active Directory, voc tem que instalar o arquivo AdminPak.msi. O arquivo AdminPak.msi est disponvel nos servidores, na pasta onde est instalado o Windows 2000 Server ou Windows Server 2003. Para instalar as ferramentas administrativas, basta clicar com o boto direito do mouse no arquivo AdminPak.msi e, no menu de opes que exibido, clicar em Instalar. Depois s seguir as etapas do assistente.
Segurana no Windows XP Professional - Bsico Exemplo prtico de criao de contas de usurios: Exemplo: Vamos criar trs usurios e definir senhas, conforme indicado na Tabela a seguir. Criaremos os dois primeiros usurios utilizando o console Gerenciamento do computador e o ltimo usurio, utilizando a opo Contas de usurio do Painel de controle. Tabela - Contas de usurios para o exemplo proposto. Conta jpedro mariax pepexu Senha senha123 msenha24 xde2002 Criar usando a seguinte ferramenta: Console Gerenciamento do computador. Console Gerenciamento do computador. Opo Contas de usurio do Painel de controle
Conforme veremos a criao de contas de usurio um processo relativamente simples, sem maiores dificuldades. Para criar as contas jpedro e mariax, utilizando o console Gerenciamento do Computador, siga os passos indicados a seguir: 1. Abra o Painel de controle: Iniciar -> Painel de controle. 2. Se voc estiver no modo de exibio por categoria, d um clique na opo Alternar para modo de exibio clssico, que aparece no lado esquerdo da janela. 3. Abra a opo Ferramentas administrativas. Sero exibidos vrios consoles de administrao do Windows XP. 4. D um clique duplo na opo Gerenciamento do computador. Ser aberto o console Gerenciamento do computador. Com este console temos acesso a uma srie de tarefas administrativas, dentre as quais est a opo Usurios e grupos locais, destacada na Figura a seguir, opo esta que nos d acesso a todas as tarefas relacionadas com a criao, manuteno e administrao de contas de usurios e grupos.
Segurana no Windows XP Professional - Bsico 5. D um clique no sinal de + ao lado da opo Usurios e grupos locais. Observe que abaixo desta opo so exibidas as opes Usurios e Grupos. 6. D um clique na opo Usurios para selecion-la. 7. Para criar um novo usurio utilize o comando Ao -> Novo usurio... Surge a janela Novo usurio para que voc digite as informaes sobre o novo usurio que est sendo criado. Nota: Para criar um novo usurio voc tambm pode clicar com o boto direito do mouse na opo Usurios e no menu que surge clicar na opo Novo usurio... Na janela Novo usurio temos os seguintes campos a preencher: Nome de usurio: Digite o nome de logon do usurio. Por exemplo: jsilva, Maria, etc. Nome Completo: Digite o nome verdadeiro do usurio. Este nome que ser exibido na listagem de nomes, na tela de abertura, quando o Windows XP inicializado. Descrio: Pode ser preenchido com a funo, seo, cargo ou outra informao que identifica o usurio que est senda criado. Senha e Confirmar senha: Nestes campos voc digita a senha que ser utilizada pela conta que est sendo criada. O usurio deve alterar a senha no prximo logon: Se voc marcar esta opo, quando o usurio fizer o primeiro logon, ser solicitado que ele troque a senha. Esta opo utilizada quando as contas so criadas pelo Administrador. Ao criar a conta, a senha digitada pelo Administrador, o qual fica sabendo qual a senha do usurio. Ao marcar esta opo, estamos forando o usurio a trocar a senha no prximo logon, de tal maneira que somente o prprio usurio saiba a senha da sua conta. Se esta opo estiver marcada, as opes O usurio no pode alterar a senha e A senha nunca espira, estaro desabilitadas. O usurio no pode alterar a senha: Especifica que o usurio no pode alterar a senha atribuda pelo Administrador. Em geral, ela selecionada apenas para contas usadas por mais de uma pessoa, como a conta Convidado. Essa configurao no tem efeito sobre os membros do grupo interno Administradores, ou seja, membros deste grupo podero trocar a senha, mesmo que esta opo esteja marcada. A senha nunca expira: Especifica que a senha no expirar e substitui a configurao Durao mxima da senha especificada nas diretivas de segurana local. Selecione esta opo ao atribuir servios como o Duplicador de pastas usando Servios. Essa configurao substitui O usurio deve alterar a senha no prximo logon. No final deste captulo falaremos mais sobre diretivas de segurana local. Conta desativada: Especifica que a conta selecionada est desativada.A conta interna Administrador no pode ser desativada. Se uma conta estiver desativada, a conta no poder ser usada para fazer o logon, at que a conta seja desativada pelo Administrador.
Segurana no Windows XP Professional - Bsico 8. Vamos criar a conta jpedro. Para isso, na janela Novo usurio digite as informaes indicadas na Figura a seguir:
Figura - Criando o usurio jpedro. 9. D um clique no boto Criar e pronto, a conta jpedro ser criada.
A janela Novo usurio continua aberta, com os campos em branco, para que voc possa criar outro usurio. 10. Vamos criar o usurio mariax. Para isso utilize as seguintes informaes para preencher os campos da janela Novo usurio: Nome de usurio: mariax Nome completo: Maria Xuxa da Silva. Descrio: Gerente de Vendas. Senha: msenha24 Confirmar senha: msenha24 O usurio deve alterar a senha no prximo logon: Desmarcado O usurio no pode alterar a senha: Desmarcado A senha nunca expira: Marcado Conta desativada: Desmarcado.
11. Aps preencher as informaes, d um clique no boto Criar. O usurio mariax ser criado.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 48 de 290
Segurana no Windows XP Professional - Bsico 12. D um clique no boto Fechar. 13. Voc estar de volta ao Console Gerenciamento do computador. Observe que os usurios jpedro e mariax j foram criados, conforme indicado na Figura a seguir:
Figura - Usurios jpedro e mariax j criados. 14. Feche o console Gerenciamento do computador.
A opo Contas de usurio, do Painel de Controle: Agora ainda falta criar o usurio pepexu, utilizando a opo Contas de usurio do Painel de controle. Depois testaremos as contas recm criadas, fazendo o logon com cada uma das contas que foram criadas. Para criar as contas pepexu, utilizando a opo Contas de usurio do Painel de controle, siga os passos indicados a seguir: 1. Abra o Painel de controle: Iniciar -> Painel de controle. 2. Abra a opo Contas de usurio. 3. A janela Contas de usurio ser aberta. Observe que os usurios Jos Pedro e Maria Xuxa da Silva, j aparecem na listagem de usurios. 4. D um clique na opo Criar uma nova conta. 5. Ser aberto um assistente para a criao da nova conta. Na primeira etapa solicitado o nome completo do usurio. Este o nome que ser exibido na listagem de usurios, na inicializao do Windows XP. Digite: Pedro Pereira Xunar e d um clique no boto Avanar, seguindo para a prxima etapa. 6. Na segunda etapa voc deve escolher o tipo de conta: Administrador do computador ou limitado. Na Figura a seguir, temos as diferenas entre os dois tipos de contas. 7. Marque a opo Limitado e d um clique no boto Criar conta. Observe que com a opo Contas de usurio, no temos acesso a uma srie de opes, desde a definio da senha,
Segurana no Windows XP Professional - Bsico at opes como o nome de logon e assim por diante. Por isso que prefervel utilizar o console Gerenciamento do computador, utilizado anteriormente. 8. A conta ser criada e voc estar de volta janela Contas de usurio. Observe que a conta Pedro Pereira Xunar j aparece na lista de contas. Ao lado do nome da conta aparea Conta limitada. Voc pode alterar a conta recm criada. Veremos como fazer isso, utilizando a janela Contas de usurio.
Figura - Permisses para os diferentes tipos de contas: Administrador e Limitada. 9. D um clique na opo Alterar uma conta. 10. Ser exibida a lista de contas do computador. D um clique na conta a ser alterada. No nosso exemplo clique na conta Pedro Pereira Xunar. 11. Sero exibidas opes para Alterar o nome, Criar uma senha, Alterar a imagem (altera a figura que aparece ao lado do nome da conta), Alterar o tipo de conta e Excluir a conta. 12. Vamos definir uma senha para a conta Pedro Pereira Xunar. 13. Clique na opo Criar uma senha. 14. Na janela que surge digite a senha duas vezes e uma dica para ajudar a lembrar da senha. Esta dica deve ser uma frase que somente faa sentido para o usurio, de tal forma que, atravs da frase, o usurio seja capaz de lembrar da senha, caso ele a tenha esquecido. Digite xde2002 para a senha e no campo de Dica de senha digite: O meu primeiro apelido que s a Pafncia conhece. 15. D um clique no boto Criar senha. Pronto, agora o usurio tem uma senha definida e dever fornecer esta senha, sempre que fizer o logon. 16. Feche a janela Contas de usurio. Agora vamos fazer alguns testes com as contas recm criadas. Vamos fazer o logon com as contas criadas e fazer alguns testes.
Segurana no Windows XP Professional - Bsico Nota: Nos demais exemplos prticos deste e de outros mdulos, utilizarei sempre o console Gerenciamento do computador, pois este fornece muito mais opes e facilidades na criao e administrao de contas de usurios e grupos. Para testar o logon com as contas recm criadas, faa o seguinte: 1. Feche todos os programas que voc tiver aberto. 2. Faa o logoff: Iniciar -> Fazer logoff. 3. Na janela Fazer logoff, d um clique na opo Fazer logoff. Lembre que a opo Trocar usurio utilizada para permitir que mais de um usurio esteja logado, ao mesmo tempo. O Windows XP mantm uma rea de trabalho personalizada para cada usurio. Atravs da opo Trocar usurio, podemos alternar entre os usurios logados. Voc aprender mais sobre esta opo, mais adiante, neste mdulo. Ser apresentada a lista de Usurios cadastrados no computador. Observe que exibido o nome completo do usurio, conforme indicado na Figura a seguir. Os trs usurios criados anteriormente so exibidos nesta lista.
Figura - Lista com o nome completo dos usurios. 4. D um clique no usurio Jos Pedro. Ser solicitada a senha deste usurio. Digite senha123, que foi a senha cadastrada para este usurio e pressione Enter. 5. Surge uma janela avisando que o usurio Jos Pedro deve trocar a senha. Esta mensagem exibida porque, ao criar a conta do usurio Jos Pedro, marcamos a opo O usurio deve trocar a senha no prximo logon. D um clique no boto OK para fechar o aviso de troca de senha. 6. Ser exibida uma janela onde voc deve digitar a nova senha no campo Nova senha e confirm-la no campo Confirmar nova senha. Digite groza567 nestes dois campos e d um clique no boto OK.
Segurana no Windows XP Professional - Bsico 7. Ser exibida uma janela avisando que a senha foi alterada com sucesso. D um clique no boto OK para fechar esta janela. O Windows XP faz o logon e cria um ambiente personalizado para o usurio Jos Pedro (jpedro). Este ambiente personalizado mantido atravs de uma estrutura de pastas e subpastas. Esta estrutura criada na pasta Documents and Settings, do drive onde est instalado o Windows XP. Para manter o ambiente personalizado de cada usurio, criada uma pasta com o nome do usurio, no nosso exemplo foi criada a pasta jpedro, dentro da pasta Documents and Settings. Dentro da pasta jpedro, o Windows XP cria uma srie de sub-pastas, nas quais sero mantidas as configuraes para o usurio jpedro, conforme indicado na Figura a seguir:
Figura - Pastas e subpastas para o usurio jpedro. O usurio jpedro foi criado como sendo uma conta do tipo Administrador do computador, portanto ele poder instalar programas, instalar Hardware, configurar o sistema, enfim, tem todas as permisses. Voc pode testar se estas permisses esto funcionando, tentando instalar um novo programa ou um novo dispositivo de Hardware. Com certeza voc conseguir, pois a conta jpedro tem permisses de Administrador.
Segurana no Windows XP Professional - Bsico Agora vamos fazer o logoff do usurio jpedro e fazer o logon com a conta de usurio Pedro Pereira Xunar, a qual do tipo Conta limitada, ou seja, no tem permisses para realizar uma srie de aes que somente as contas com permisso de Administrador pede. Faremos o logon e tentaremos realizar uma ao no permitida para a conta Pedro Pereira Xunar. Vamos observar o comportamento do Windows XP. 8. Faa o logoff da conta Jos Pedro: Iniciar -> Fazer logoff -> Fazer logoff.
9. Ser exibida a listagem de usurios. Faa o logon com a conta do usurio Pedro Pereira Xunar. D um clique nesta conta. Ser solicitada a senha. Digite: xde2002 e pressione Enter. Ser feito o logon com a conta Pedro Pereira Xunar, a qual do tipo Acesso Limitado. O primeiro logon com a conta de um usurio, demora um pouco mais do que o normal, pois o Windows XP tem que criar a estrutura de pastas e sub-pastas necessria a manuteno de um ambiente personalizado para o usurio, conforme descrito anteriormente. Vamos tentar realizar uma operao no permitida para esta conta. 10. Abra o Painel de controle. 11. Abra a opo Adicionar ou remover programas. 12. D um clique na guia Adicionar/remover componentes do Windows. Voc receber a mensagem de Acesso negado, indicada na Figura a seguir:
Figura - Acesso negado, para uma conta do tipo Limitada. O usurio Pedro Pereira Xunar recebe esta mensagem, porque a sua conta do tipo Limitada e, portanto, ele no tem permisso para Adicionar ou remover componentes do Windows XP. Somente contas do tipo Administrador do computador tem estas permisses. 13. 14. D um clique em OK para fechar a mensagem de acesso negado. Faa o logoff.
Com este exemplo podemos constatar, na prtica, as diferentes permisses associadas com os diferentes tipos de contas. A seguir aprenderemos a configurar a maneira como o logon feito no Windows XP. Veremos que existem duas maneiras diferentes de se fazer o logon.
Segurana no Windows XP Professional - Bsico Definindo o modo de logon do Windows XP Existem duas opes que controlam a maneira como feito o logon/logoff no Windows XP. Estas opes esto descritas a seguir: Usar a tela de boas vindas: Esta a maneira usada pelo Windows XP logo aps a instalao, ou seja, a configurao padro. Ao inicializar o Windows XP exibida uma tela com uma listagem dos usurios cadastrados. Para fazer o logon basta clicar no nome do usurio e, se necessrio, fornecer a senha. Se esta opo estiver desmarcada, ser exibida a tela tradicional de logon, usada nas verses anteriores do Windows, onde o usurio tem que fornecer o nome de logon (jsilva, Maria, etc) e a senha. Use a Troca rpida de usurio: Esta opo define se ser possvel ou no termos mais de um usurio logado ao mesmo tempo e alternar entre os diversos usurios logados. Se esta opo estiver marcada o logon de mltiplos usurios estar habilitado.
Somente um usurio com conta do tipo Administrador do computador poder alterar estas duas opes. Para alterar as opes de logon/logoff do Windows XP faa o seguinte: 1. Faa o logon utilizando uma conta de Administrador. Abra o Painel de Controle. Abra a opo Contas de usurio. 2. Na janela Contas de usurio d um clique na opo Alterar a maneira como os usurios fazem logon ou logoff. Ser exibida uma janela onde voc pode alterar as opes descritas anteriormente, conforme indicado na Figura a seguir. Configure as opes de acordo com as suas necessidades e d um clique no boto Aplicar opes.
Figura - Alterando as opes de logon ou logoff do Windows XP. 3. Voc estar de volta janela Contas de usurio. Feche-a.
Segurana no Windows XP Professional - Bsico Administrando e alterando contas de usurios Aps criadas as contas de usurios, existe uma srie de configuraes e alteraes que tem que ser feitas periodicamente. Por exemplo, pode acontecer de um usurio esquecer a sua senha. Neste caso voc pode fazer o logon como Administrador, configurar uma nova senha para o usurio e marcar a opo Alterar senha no prximo logon. Pode acontecer de um usurio no utilizar mais o computador, neste caso voc deve excluir a sua conta. Pode acontecer de um usurio afastar-se por algum perodo ao fim do qual ele voltar ao usar o computador; neste caso voc deve apenas desativar a conta do usurio e ativ-la quando ele estiver de volta. possvel renomear, excluir e alterar contas de usurio. isto que aprenderemos neste tpico. Vamos utilizar o console Gerenciamento do computador, para aprender a realizar as configuraes/alteraes relacionadas a contas de usurio. Veremos que, com este console, estas aes se tornam extremamente simples. Exemplo: Vamos fazer algumas alteraes nas contas criadas anteriormente. 1. Faa o logon com uma conta de Administrador. 2. Abra o Painel de controle. 3. Abra a opo Ferramentas administrativas. 4. Dentro das opes de Ferramentas administrativas d um clique duplo na opo Gerenciamento do computador. 5. Se a opo Ferramentas do sistema estiver fechada, d um clique no sinal de + ao lado dela para abri-la. 6. Nas opes abaixo de Ferramentas do sistema, d um clique no sinal de + ao lado da opo Usurios e grupos locais. Nota: Os passos 1 a 6 foram utilizados para chegar at a opo Usurios e grupos locais. atravs desta opo que temos acesso s diversas opes de configurao para as contas de usurios. Nos prximos exemplos, no vou repetir estes passos, ao invs disso vou resumi-los com o seguinte passo: 1. Acesse a opo Usurios e grupos locais do console Gerenciamento do computador.
Alterando a senha de uma conta de usurio: Pode acontecer de o usurio esquecer a sua senha. Neste caso o Administrador deve gerar uma nova senha. Para alterar a senha de uma conta, faa o seguinte: 1. Acesse a opo Usurios e grupos locais do console Gerenciamento do computador. 2. D um clique na opo Usurios. Ser exibida uma lista com a relao de todas as contas de usurios cadastradas. 3. Clique com o boto direito do mouse na conta para a qual ser definida uma nova senha. 4. No menu de opes que exibido d um clique na opo Definir senha...
Segurana no Windows XP Professional - Bsico Surge uma janela de aviso. Nesta janela informado que poder haver perda de informaes do usurio e que estas perdas ocorrero no prximo logon. O aviso salienta que somente deve ser realizada a troca quando o usurio esqueceu a senha, conforme indicado na Figura a seguir:
Figura - Aviso quando o Administrador redefine a senha do usurio. 5. D um clique no boto Prosseguir para fechar o aviso.
Surge a janela Definir senha para nome do usurio. Nesta janela so informadas as possveis perdas que iro ocorrer com a troca da senha do usurio. Observe que a mais importante a perda do acesso aos arquivos criptografados pelo usurio. Falaremos mais sobre criptografia no Mdulo 7. 6. Digite a nova senha no campo Nova senha: e confirme-a no campo Confirmar senha e d um clique no boto OK. 7. Surge uma mensagem de aviso dizendo que a senha foi definida. D um clique no boto OK para fechar esta janela. 8. Voc estar de volta ao console Gerenciamento do computador. Renomeando uma conta de usurio: Renomear uma conta de usurio pode ser uma soluo til na seguinte situao: Um determinado usurio, que trabalha como empregado temporrio ou estagirio, utiliza uma conta para acessar o computador. Associada a esta conta, esto uma srie de permisses de acesso e tambm restries de acesso. Por exemplo, esta conta pode acessar determinadas pastas do computador mas tem acesso negado a outras pastas. Agora imagine que chegou ao fim o perodo de estgio ou do trabalho temporrio e esta pessoa ser substituda e outra entrar no seu lugar. Ao invs de excluir a conta da pessoa que est saindo e criar uma nova conta para o funcionrios que est chegando, podemos, simplesmente, renomear a conta j em uso e pedir para que o novo funcionrio utilize esta conta. A grande vantagem de apenas renomear a conta que, ao utilizar a conta renomeada, o novo funcionrio ter as mesmas permisses do que est saindo. Esta uma soluo interessante no caso em que o que est
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 56 de 290
Segurana no Windows XP Professional - Bsico entrando realizar as mesmas funes do que est saindo. Se tivssemos excluindo a conta do que est saindo e criado uma nova para o que est entrando, o Administrador teria que definir todas as permisses necessrias para a nova conta, o que seria bem mais trabalhoso. Para renomear uma conta de usurio faa o seguinte: 1. Acesse a opo Usurios e grupos locais do console Gerenciamento do computador. 2. D um clique na opo Usurios. Ser exibida uma lista com a relao de todas as contas de usurios cadastradas. 3. Clique com o boto direito do mouse na conta a ser renomeada. 4. No menu de opes que exibido d um clique na opo Renomear. 5. Digite o novo nome e pressione Enter. Importante: Ao utilizar o procedimento descrito anteriormente, somente o nome de logon (jsilva, pderox, etc) ser alterado. Alm do nome de logon importante alterar o nome completo. Para alterar o nome completo, na lista de usurios no console Gerenciamento do computador, d um clique duplo na conta do usurio. Ser exibida a janela de propriedades da conta do usurio. D um clique na guia Geral. Digite o novo nome completo, no campo Nome completo: D um clique no boto OK. Excluindo uma conta de usurio: Se voc precisar excluir uma conta de usurio, faa o seguinte: 1. Acesse a opo Usurios e grupos locais do console Gerenciamento do computador. 2. D um clique na opo Usurios. Ser exibida uma lista com a relao de todas as contas de usurios cadastradas. 3. Clique com o boto direito do mouse na conta a ser excluda. 4. No menu de opes que exibido d um clique na opo Excluir. 5. O Windows XP exibe uma janela pedindo confirmao. D um clique no boto Sim e pronto, a conta do usurio ser excluda. Importante: Internamente, para o Windows XP, cada usurio representado por um nmero que o SID (Security ID Identificador de Segurana) do usurio. Este nmero nico para cada usurio ou grupo. Se voc excluir um usurio, mesmo que voc crie novamente o usurio, com o mesmo nome, o Windows XP utilizar um SID diferente. Com isso, mesmo criando o usurio com o mesmo nome de um usurio que foi excludo, para o Windows XP como se fossem usurios diferentes, pois tem diferentes SID. Com isso o novo usurio no ter acesso aos recursos (pastas compartilhadas, impressoras, etc) que o antigo usurio tinha, pois embora o nome seja o mesmo, o SID diferente e as permisses de segurana so definidas com base no SID e no no nome do usurio. No esquea deste detalhe, para o exame. Propriedades da conta do usurio Para acessar as propriedades de uma conta de usurio, faa o seguinte: 1. Acesse a opo Usurios e grupos locais do console Gerenciamento do computador.
Segurana no Windows XP Professional - Bsico 2. D um clique na opo Usurios. Ser exibida uma lista com a relao de todas as contas de usurios cadastradas. 3. D um clique duplo na conta de usurio para exibir suas propriedades. 4. Na guia Geral, indicada na Figura a seguir, temos as mesmas opes que so exibidas quando da criao da conta do usurio. A nica opo diferente : Conta bloqueada. Por padro, quando o usurio pode errar a senha inmeras vezes que a sua conta no ser bloqueada. Esta no uma boa configurao para ambientes que necessitam de um elevado grau de segurana, pois seno uma pessoa poder ficar tentando, indefinidamente, adivinhar a senha do usurio. Podemos configurar, por exemplo, que se forem feitas trs tentativas de logon, com a senha incorreta, a conta ser bloqueada. Depois que uma conta bloqueada, somente um usurio Administrador pode desbloque-la. Enquanto a conta estiver bloqueada no ser possvel fazer o logon com esta conta.
Figura - Guia Geral das propriedades da conta do usurio. 5. D um clique na guia Membro de. Nesta guia esto listados os grupos dos quais o usurio membro. Aprenderemos a utilizar esta guia, no tpico sobre Grupos, mais adiante neste mdulo. 6. D um clique na guia Perfil. Esta guia, indicada na Figura a seguir, tem uma srie de opes que definem o ambiente de trabalho do usurio, quando ele faz o logon. A seguir vamos descrever estas opes.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 58 de 290
Figura - Guia Perfil das propriedades da conta do usurio. Caminho do Perfil: Fornece um espao para voc digitar o caminho do perfil do usurio para a conta do usurio. O Perfil do usurio um conjunto de pastas utilizado para definir o ambiente personalizado do usurio. No Perfil ficam definidas diversas configuraes do ambiente de trabalho do usurio, como por exemplo o Papel de parede, os cones da rea de trabalho, a lista de Favoritos do Internet Explorer e assim por diante. Quando o computador faz parte de uma rede empresarial, pode ser interessante manter o perfil do usurio gravado nos servidores da rede, ao invs de na prpria estao de trabalho. A vantagem de ter um perfil no servidor que, este perfil ser aplicado ao usurio, em qualquer computador no qual ele faa o logon. Quando o usurio faz o logon, o Windows XP verifica se existe um perfil definido na propriedade Caminho do Perfil da conta do usurio. Se houver, o Windows XP copia o perfil a partir do caminho informado. Com isso o usurio ter o mesmo ambiente de trabalho, indiferente do computador que ele estiver utilizando. Se ao fazer o logon, o servidor onde est o perfil no estiver disponvel, o Windows XP criar um perfil padro para o usurio, este perfil baseado no perfil All users, que existe em todo computador com o Windows XP. Para ativar um perfil de usurio mvel ou obrigatrio para a conta de usurio selecionada, digite um caminho de rede nesse espao no formato \\nome do servidor\nome da pasta de perfis\nome do usurio. Por exemplo, \\servidor025\perfisdeusuarios\jsilva
Segurana no Windows XP Professional - Bsico Script de logon: Fornece um espao para voc digitar o nome do script de logon. Se o script de logon estiver localizado em uma sub-pasta do caminho padro do script de logon, esse caminho relativo deve preceder o nome de arquivo. O script de logon um arquivo de comandos que fica gravado em um servidor de logon ou no prprio computador. Normalmente utilizamos arquivos com a extenso .bat ou .cmd. Nestes arquivos cada comando colocado em uma linha e executado seqencialmente, toda vez que o usurio fizer o logon. Por exemplo, podem ser colocados comandos para montar um drive de rede, para acessar uma impressora compartilhada e assim por diante. mais comum o uso de scripts de logon em redes empresariais, com servidores baseados em Windows 2000 Server. Quando o usurio faz o logon na estao de trabalho com o Windows XP, o script de logon executado a partir do servidor da rede que est autenticando o usurio. Neste campo colocamos o caminho completo para o script de logon que est no servidor. Por exemplo, para armazenar o script de logon inicia.bat armazenado no servidor servidor010, em uma pasta compartilhada chamada Scripts de logon. Para acessar este script, nos utilizamos o seguinte caminho: \\servidor010\Scripts de logon\inicia.bat Caminho local: Especifica um caminho local como a pasta base. Digite um caminho local no espao fornecido. Por exemplo, voc pode digitar c:\usuarios\jsilva ou C:\Pastas base\Julio. A pasta onde sero criadas subpastas para cada usurio definida pelo Administrador. Para um administrador, as pastas base e Meus documentos facilitam o backup de arquivos de usurios e o gerenciamento de contas de usurio ao juntar muitos ou todos os arquivos de um usurio em um local.
Nota: No Windows NT 4.0 e 3.x, uma pasta base atribuda se torna a pasta padro de um usurio para as caixas de dilogo Abrir e Salvar como, para as sesses de prompt de comando e para todos os programas sem uma pasta de trabalho definida. A pasta base atribuda pode ser uma pasta local no computador de um usurio ou uma pasta compartilhada na rede, e pode ser atribuda a um ou mais usurios. No Windows 2000 e no Windows XP, a pasta Meus documentos uma alternativa para pastas base, mas no as substitui. Quando um usurio tenta salvar ou abrir um arquivo, a maior parte dos programas determina se a pasta base ou Meus documentos ser usada de uma destas duas formas: Alguns programas procuram primeiro na pasta base os arquivos que coincidem com o tipo do arquivo que deve ser aberto ou salvo (por exemplo, *.doc ou *.txt). Se for encontrado algum arquivo com a extenso procurada, o programa abre a pasta base e ignora Meus documentos. Se no for encontrado nenhum arquivo, o programa abre Meus documentos. Em outros programas, a pasta base ignorada, independentemente da pasta base conter arquivos. Quando o Windows 2000 ou o Windows XP for instalado por cima de uma verso do Windows NT, os programas que armazenaram documentos na pasta base continuaro a abrir e a salvar documentos na pasta base. No entanto, se o programa for instalado aps a instalao do Windows 2000 ou do Windows XP, ou se o programa nunca foi usado para criar um arquivo no Windows NT, o programa usar Meus documentos para abrir e salvar arquivos.
Segurana no Windows XP Professional - Bsico Conectar: Esta opo utilizada para que possamos usar uma pasta compartilhada em um servidor da rede, como pasta base para o usurio. A pasta aparece como um drive de rede, como por exemplo M:, R:, X:, etc. Digite uma letra de unidade em Conectar e, em seguida, digite um caminho de rede em Para. Por exemplo, voc pode especificar a unidade X e digitar \\servidor010\usuarios\maria. Ao usar pastas base para gravar arquivos no servidor, estamos facilitando os procedimentos de backup, pois o Administrador faz o backup no servidor, ao invs de ter que fazer o backup em cada estao de trabalho.
Conforme descrito anteriormente, as opes da guia Perfil definem uma srie de caractersticas do ambiente de trabalho do usurio. Esta uma maneira de manter um ambiente personalizado para cada usurio. Com isso encerramos o nosso estudo sobre contas de usurios. No prximo tpico vamos aprender sobre grupos de usurios.
Segurana no Windows XP Professional - Bsico Grupos de usurios conceito Neste tpico vamos ver um pouco de teoria sobre grupos de usurios. No prximo item vamos praticar criando alguns grupos e adicionando alguns membros aos grupos criados. Um grupo de usurios uma coleo de contas de usurios. Por exemplo, podemos criar um grupo chamado Contabilidade, do qual faro parte todos os usurios do departamento de Contabilidade. A principal funo dos grupos de usurios facilitar a administrao e a atribuio de permisses para acesso a recursos, tais como: pastas compartilhadas, impressoras remotas, servios diversos, etc. Ao invs de darmos permisses individualmente, para cada um dos usurios que necessitam acessar um determinado recurso (uma pasta, arquivos, uma impressora, etc.), podemos criar um grupo e atribuir permisses para o grupo. Para que um usurio tenha permisso ao recurso, basta incluir o usurio no grupo, pois todos os usurios de um determinado grupo, herdam as permisses dos grupos aos quais o usurio pertence. Quando um usurio troca de seo, por exemplo, basta trocar o usurio de grupo. Vamos supor que o usurio jsilva trabalha na seo de contabilidade e pertence ao grupo Contabilidade. Ao ser transferido para a seo de marketing, basta retirar o usurio do grupo Contabilidade e adicion-lo ao grupo Marketing. Com isso o jsilva deixa de ter as permisses atribudas ao grupo Contabilidade e passa a ter as mesmas permisses que tem o grupo Marketing. Veja o quanto a utilizao de grupos pode facilitar a atribuio de permisses. Podemos inclusive ter situaes mais especficas. Vamos supor que exista um sistema chamado SANAT, para o qual somente um nmero restrito de usurios deve ter acesso, sendo que so usurios de diferentes sees. A maneira mais simples de solucionar este problema criar um grupo chamado SANAT e dar permisses para esse grupo. Assim cada usurio que precisar acessar o sistema SANAT, deve ser includo no grupo SANAT. Quando o usurio no deve mais ter acesso ao sistema SANAT, basta remov-lo do grupo SANAT. Tudo muito simples, rpido e prtico. Na Figura a seguir temos uma ilustrao para o conceito de Grupo de usurios. O Grupo Contabilidade possui direito para um recurso compartilhado, o qual pode ser acessado atravs da rede. Todos os usurios que pertencem ao grupo contabilidade, tambm possuem permisso para o recurso compartilhado, uma vez que os usurios de um grupo, herdam as permisses atribudas ao grupo.
Segurana no Windows XP Professional - Bsico Quando estiver trabalhando com grupos de usurios, considere os seguintes fatos: Grupos so uma coleo de contas de usurios. Os membros de um grupo, herdam as permisses atribudas ao grupo. Os usurios podem ser membros de vrios grupos Grupos podem ser membros de outros grupos.
Existem dois tipos de grupos no Windows XP, conforme descrevo a seguir. Grupos Internos (Built-in groups): Estes so grupos criados durante a instalao do Windows XP. A cada grupo associado um conjunto especfico de permisses. So os grupos de segurana padro instalados com o sistema operacional. Os grupos internos possuem conjuntos teis de direitos e habilidades internas previamente concedidos. Na maioria dos casos, os grupos internos fornecem todos os recursos necessrios para um usurio especfico. Por exemplo, se uma conta de usurio do domnio pertencer ao grupo interno Administradores, fazer logon com essa conta conceder a um usurio recursos administrativos sobre o domnio e os servidores do domnio. Para fornecer um conjunto de recursos necessrios a uma conta de usurio, atribua a conta ao grupo interno apropriado. A seguir coloco um breve resumo sobre as permisses atribudas a cada um dos grupos internos do Windows XP. Administradores: Os membros do grupo Administradores possuem o maior nmero de permisses padro e a capacidade de alterar suas prprias permisses. Em outras palavras: Membros do grupo Administradores podem tudo, inclusive formatar o disco rgido. Operadores de cpia: Os membros do grupo Operadores de cpia podem fazer backup e restaurar arquivos no computador, independentemente das permisses que protegem esses arquivos. Por exemplo, se um determinado usurio responsvel por fazer o Backup de todas as informaes do computador, este usurio deve ser adicionado ao grupo Operadores de cpia. Com isso o usurio poder fazer o Backup de qualquer pasta, mesmo daquelas pastas para as quais ele no tenha permisso de acesso. Falaremos mais sobre Permisses de acesso no Mdulo 3. Membros do grupo Operadores de cpia tambm podem fazer logon no computador e deslig-lo, mas no podem alterar as configuraes de segurana. Usurios Avanados: Os membros do grupo Usurios avanados podem criar contas de usurio, mas s podem modificar e excluir as contas que eles criaram. Esses usurios podem criar grupos locais e remover usurios dos grupos locais que eles criaram. Eles tambm podem remover os usurios dos grupos Usurios avanados, Usurios e Convidados. Eles no podem modificar os grupos Operadores de cpia ou Administradores, nem podem se apropriar de arquivos, fazer backup de pastas ou restaur-las, carregar ou descarregar drivers de dispositivos, ou gerenciar a segurana e os logs de auditoria. Falaremos sobre se apropriar de arquivos no Mdulo 3.
Segurana no Windows XP Professional - Bsico Usurios: Os membros do grupo Usurios podem realizar as tarefas mais comuns, como executar aplicativos, utilizar impressoras locais e da rede, e desligar e bloquear a estao de trabalho. Esses usurios podem criar grupos locais, mas s podem modificar os grupos locais que criaram. Eles no podem compartilhar diretrios ou criar impressoras locais. Por padro quando criamos uma nova conta de usurio, ela automaticamente adicionada ao grupo Usurios. Convidados: O grupo Convidados permite que usurios ocasionais ou visitantes faam logon em uma conta interna Convidado da estao de trabalho com acesso limitado aos recursos do computador. Os membros do grupo Convidados tambm podem desligar o sistema em uma estao de trabalho. Duplicadores: O grupo Duplicadores fornece suporte a funes de replicao de pastas. O nico membro do grupo Duplicadores deve ser uma conta de usurio de domnio usada para fazer logon nos servios Duplicadores do controlador do domnio. No adicione as contas de usurio dos usurios reais a esse grupo, isso porque uma conta que realiza esta funo deve ter acesso a pastas em vrios computadores da rede e uma conta local de usurio somente tem acesso aos recursos do prprio computador. Este grupo normalmente utilizado em ambientes de redes empresariais, onde uma conta do domnio adicionada ao grupo para que possam ser replicadas informaes a partir dos servidores, diretamente para as estaes de trabalho dos usurios.
Grupos criados pelo usurio: So os grupos criados pelos prprios usurios. Tanto os grupos internos, quanto os grupos criados pelos usurios, so listados no console Gerenciamento do computador, na opo Usurios e grupos locais -> Grupos. Podemos adicionar membros tanto aos grupos internos quanto aos grupos criados pelos usurios. Agora faremos alguns exemplos prticos com grupos aprenderemos a criar grupos e adicionar usurios ao grupo. Tambm aprenderemos a configurar as propriedades de um grupo, renomear e excluir grupos: Importante: A exemplo do que feito com as contas de usurios, o Windows XP cria uma Identificador de Segurana (SID) para cada grupo. Para o Windows XP a identificao do grupo o SID e no o nome do grupo. Por isso se voc excluir um grupo e cri-lo novamente, com o mesmo nome, para o Windows XP como se fossem dois grupos diferentes, pois ao criar novamente o grupo ser gerado um novo SID. Com isso aps recriar o grupo, este no ter acesso aos recursos (pastas e impressoras compartilhadas e outros recursos) aos quais o antigo grupo (com o mesmo nome, porm com um SID diferente) tinha.
Segurana no Windows XP Professional - Bsico Criando grupos e adicionando usurios ao grupo Exemplo: Vamos criar um grupo chamado Gerentes e adicionar alguns usurios a este grupo. Antes porm, usando os conhecimentos apresentados anteriormente neste captulo, crie os usurios indicados na Tabela a seguir: Tabela - Crie as seguintes contas de usurio. Conta user1 user2 user3 user4 user5 Senha senha123 senha123 senha123 senha123 senha123 Nome completo Usurio um Usurio dois Usurio trs Usurio quatro Usurio cinco
Nota: Ao criar estes usurios desmarque a opo O Usurio deve alterar a senha no prximo logon. Neste exemplo vamos criar o grupo Gerentes e vamos adicionar os usurios User1, User2 e User3 ao grupo Gerentes. Para criar o grupo gerentes e adicionar usurios, siga os passos indicados a seguir: 1. Faa o logon com uma conta de Administrador. 2. Abra o Painel de controle. 3. Abra a opo Ferramentas administrativas. 4. Dentro das opes de Ferramentas administrativas d um clique duplo na opo Gerenciamento do computador. 5. Se a opo Ferramentas do sistema estiver fechada, d um clique no sinal de + ao lado dela para abri-la. 6. Nas opes abaixo de Ferramentas do sistema, d um clique no sinal de + ao lado da opo Usurios e grupos locais. Nota: Os passos 1 a 6 foram utilizados para chegar at a opo Usurios e grupos locais. atravs desta opo que temos acesso s diversas opes de criao e configurao de grupos de usurios. Nos prximos exemplos, no vou repetir estes passos, ao invs disso vou resumi-los com o seguinte passo: 1. Acesse a opo Usurios e grupos locais do console Gerenciamento do computador.
Segurana no Windows XP Professional - Bsico Criando um novo grupo de usurios Para criar um novo grupo de usurios, siga os passos indicados a seguir: 1. 2. 3. Acesse a opo Usurios e grupos locais do console Gerenciamento do computador. D um clique na opo Grupos Selecione o comando Ao -> Novo grupo.
Nota: Voc tambm pode clicar com o boto direito do mouse na opo Grupos e no menu que surge dar um clique na opo Novo grupo. Ser exibida a janela Novo grupo, na qual voc pode preencher o nome do grupo, uma descrio para o grupo e adicionar usurios ao grupo, conforme indicado na Figura a seguir:
Figura - A janela Novo grupo. 4. 5. No campo Nome do grupo digite: Gerentes. No campo Descrio digite: Gerentes da empresa.
Adicionando usurios a um grupo Agora vamos adicionar os usurios user1, user2 e user3 ao grupo Gerentes. 6. D um clique no boto Adicionar.
Segurana no Windows XP Professional - Bsico 7. Ser aberta a janela Selecionar Usurios. Digite o nome dos usurios que sero adicionados ao grupo. Os nomes devem ser digitados separados por ponto e vrgula, conforme indicado na Figura a seguir:
Figura - Informando os usurios que sero adicionados ao grupo. 8. D um clique no boto Verificar nomes. O Windows XP ir verificar se voc no digitou o nome de um usurio que no existe. Caso seja encontrado algum nome incorreto, uma janela ser aberta pedindo que voc corrija o nome. 9. Se todos os nomes estiverem corretos, o Windows XP acrescenta o nome da estao, antes do nome do usurio. Por exemplo, se voc estiver utilizando uma estao de trabalho chamada CONTAB01, os nomes dos usurios deste exemplo ficariam assim: CONTAB01\user1; CONTAB01\user2; CONTAB01\user3. D um clique no boto OK e o nome dos usurios selecionados j ser exibida no campo Membros. Se voc quiser remover um usurio do grupo, basta clicar no usurio a ser removido e depois clicar no boto Remover. 10. D um clique no boto OK e pronto, o grupo Gerentes ser criado com os seguintes usurios fazendo parte do grupo: user1, user2 e user3. 11. Voc estar de volta a janela Novo grupo, com os campos em branco, para que voc possa criar mais grupos. Mantenha esta janela aberta para fazer o exerccio proposto a seguir. Exerccio: Para exercitar um pouco, crie os seguintes grupos e adicione os respectivos usurios. Grupo: Diretoria Usurios: Administrador user2 user4 user3 user4 user5
Grupo: Vendas
Usurios:
Segurana no Windows XP Professional - Bsico Grupo: Empresa Usurios: user1 user2 user3 user4 user5
Observe que um mesmo usurio pode pertencer a mais de um grupo, com isso o usurio herda as permisses de todos os grupos aos quais ele pertence. Exibindo as propriedades de um grupo de usurios Para exibir/alterar as propriedades de um grupo, faa o seguinte: 1. Acesse a opo Usurios e grupos locais do console Gerenciamento do computador. 2. D um clique na opo Grupos 3. Na lista de grupos d um clique duplo no grupo a ser alterado. 4. Ser exibida a janela de propriedades do grupo, na qual voc pode alterar a descrio do grupo e Adicionar ou Remover usurios. Depois de ter feito as alteraes desejadas, d um clique no boto OK para aplic-las. Renomeando um grupo de usurios Para renomear um grupo faa o seguinte: 1. Acesse a opo Usurios e grupos locais do console Gerenciamento do computador. 2. D um clique na opo Grupos 3. Na lista de grupos d um clique com o boto direito do mouse no grupo a ser renomeado. 4. No menu que surge d um clique na opo Renomear. Digite o novo nome e pressione Enter. Excluindo um grupo de usurios Para excluir um grupo faa o seguinte: 1. 2. 3. 4. Acesse a opo Usurios e grupos locais do console Gerenciamento do computador. D um clique na opo Grupos Na lista de grupos d um clique com o boto direito do mouse no grupo a ser excludo. No menu que surge d um clique na opo Excluir.
Consideraes de segurana no uso de contas do tipo Administrador Se voc fizer o logon no Windows XP como um administrador, isto pode tornar o sistema vulnervel a cavalos de Tria e outros riscos de segurana. O simples ato de visitar um site da Internet pode ser extremamente prejudicial ao sistema. Um site da Internet desconhecido pode conter cdigos do cavalo de Tria que sero descarregados para o sistema e executados. Se voc tiver feito logon com privilgios de administrador, um cavalo de Tria poder, por exemplo, reformatar seu disco rgido, excluir todos os seus arquivos, criar uma nova conta de
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 68 de 290
Segurana no Windows XP Professional - Bsico usurio com acesso administrativo entre outros. Em outras palavras, quando voc est logado com privilgios de administrador, se algum conseguir invadir o seu computador, este algum ter os privilgios do usurio logado, que no caso do usurio logado ser uma conta do tipo Administrador do computador, significa ter acesso completo ao sistema, sem restries. Nota: Um Cavalo de tria um Programa que se mascara como um outro programa comum visando a obter informaes. Um exemplo de programa cavalo de Tria um programa que se faz passar por tela de logon do sistema para obter informaes sobre nomes de usurios e senhas, que os criadores do programa cavalo de Tria podero usar posteriormente para entrar no sistema. Para mais detalhes sobre cavalo de tria, consulte o Mdulo 1 Voc deve incluir-se no grupo Usurios ou Usurios avanados. Ao fazer logon como um membro do grupo Usurios, voc pode realizar tarefas de rotina, inclusive executar programas e visitar sites da Internet, sem expor seu computador a riscos desnecessrios. Como um membro do grupo Usurios avanados, voc pode realizar tarefas de rotina e tambm instalar programas, adicionar impressoras e usar a maioria dos itens do Painel de controle. Se for necessrio realizar tarefas administrativas, como atualizar o sistema operacional ou configurar parmetros do sistema, faa logoff e volte a fazer logon como administrador. De preferncia no acesse a Internet enquanto estiver logado com privilgios de Administrador. Como executar um programa com privilgios de Administrador, sem estar logado como Administrador? Est uma possibilidade que foi introduzida no Windows 2000 e tambm est presente no Windows XP. Voc pode estar logado com uma conta de usurio, mas executar um programa como se fosse outro usurio. Para isso localize o atalho ou o programa a ser executado. D um clique no atalho/programa para marc-lo. Pressione e mantenha a tecla Shift pressionada. Clique com o boto direito do mouse no atalho/programa a ser executado. No menu de opes que exibido selecione o comando Executar como...Surge a janela Executar como. Marque a opo O seguinte usurio. Informe o nome da conta e a senha, conforme indicado na Figura 4.58. D um clique no boto OK e pronto, o programa ser executado com as permisses do usurio informado na janela Executar como.
O uso de permisses de acesso um conceito fundamental para a segurana no Windows. Quando voc compartilha uma pasta na rede, no significa que todos os usurios devam ter acesso a esta pasta. Para restringir quais usurios e grupos tero acesso a pasta compartilhada, voc define permisses de compartilhamento. Estas permisses tem efeito quando o usurio faz o acesso da pasta compartilhada, remotamente, atravs da rede. Se o usurio fizer o logon localmente, no computador onde est gravada a pasta, as permisses de compartilhamento no tero efeito. Para aplicar restries de acesso quando o acesso feito localmente, que existem as permisses NTFS. As permisses NTFS oferecem um nmero maior de opes e possibilidades de configuraes, do que as permisses de compartilhamento. Com as permisses NTFS, posso ter diferentes nveis de permisses de acesso, para diferentes usurios e grupos, para arquivos de uma mesma pasta. Por exemplo, posso dar permisso de leitura e alterao em um arquivo e somente leitura em outro e assim por diante. Este mdulo ser completamente dedicado as permisses de acesso, tanto as permisses de compartilhamento, quanto as permisses NTFS e os assuntos relacionados, tais como a combinao entre estes dois tipos de permisses, o gerenciamento de pastas compartilhadas, a montagem de drives de rede, para acesso as pastas compartilhadas e assim por diante.
Segurana no Windows XP Professional - Bsico Criando e Administrando Compartilhamentos e Permisses de Acesso Neste mdulo aprenderemos a criar e a administrar Pastas compartilhadas. Ao compartilharmos uma pasta, esta passa a estar acessvel para outros computadores da rede. O uso de pastas compartilhadas a maneira de possibilitar a todos os usurios da rede, o acesso a uma ou mais pastas, na qual so gravados arquivos de interesse comum, utilizados por um grupo de pessoas. Por exemplo, pode ser o caso de uma equipe de projeto que utiliza uma pasta compartilhada em um computador, para gravar os arquivos com os manuais e a documentao do projeto. Desta maneira todos tem acesso aos referidos arquivos. O mais importante que ao utilizar um nico local de armazenamento a pasta compartilhada todos esto tendo acesso a mesma verso de cada documento. Isto evita a situao em que os documentos esto espalhados em pastas de vrios computadores e um documento alterado. Neste caso, para que os demais participantes do grupo pudessem ter acesso a verso atualizada do documento, teramos que copiar o arquivo com a verso atualizada para cada um dos computadores. Vejam que este seria um mtodo bem mais trabalhoso. Com a pasta compartilhada no, alterou um documento, todos acessam a verso atualizada. Ao criar uma pasta compartilhada podemos definir quais usurios tem acesso pasta e qual o nvel de acesso de cada usurio. Por exemplo, podemos dar permisso de leitura e escrita para um determinado grupo e somente de leitura para outro grupo e, ainda, negar o acesso para um terceiro grupo. Para definir as permisses, conforme comentado no Mdulo 4, utilizamos grupos, ao invs de definir as permisses individualmente para cada usurio. No que no seja possvel definir as permisses para cada usurio individualmente. Possvel , apenas recomendado que se utilize grupos, para facilitar a definio e a administrao das permisses de acesso. Uma pasta compartilhada pode ser acessada de diversas maneiras, conforme veremos neste mdulo. Pode-se usar diretamente o caminho para a pasta ou pode-se montar um drive. Montar um drive significa que teremos um novo drive no sistema, como por exemplo: X: ou Y: ou S:. Na prtica, este drive um atalho para a pasta compartilhada, ou seja, ao acessarmos o referido drive, estamos, na verdade, acessando a pasta compartilhada. O uso de drives montados facilita o acesso s pastas compartilhadas, pois com uso de drivers mapeados o usurio no precisa lembrar o nome do servidor e o nome do compartilhamento, tudo o que o usurio precisa acessar o drive que serve como atalho para a pasta compartilhada. Em seguida falarei um pouco sobre sistemas de arquivos e mais especificamente sobre o NTFS. Veremos que com o sistema de arquivos NTFS possvel definir permisses de acesso para pastas e arquivos, possvel compactar pastas e arquivos, criptografar e configurar auditoria dos acessos. Voc aprender sobre os tipos de permisses NTFS existentes e como configur-las. Farei diversos exemplos prtico para entender como funcionam as permisses NTFS e como so combinadas as permisses de pastas com as permisses de arquivos. Aprenderemos a definir permisses para usurios e grupos e veremos que as permisses so cumulativas. Tamb falaremos sobre a precedncia de negar sobre permitir. Por fim vamos entender como so combinadas as permisses NTFS com as permisses de compartilhamento. Pode existir situaes em que existe um conjunto de permisses de compartilhamento e um conjunto diferente de permisses NTFS. Nestes casos temos que saber avaliar qual a permisso efetiva resultante. Tambm aprenderemos o conceito de Tornar-se dono de um
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 71 de 290
Segurana no Windows XP Professional - Bsico arquivo ou pasta Take Ownership. Veremos como realizar esta operao e em que situaes necessrio o uso de Take Ownership para recuperar o acesso a arquivos e pastas. O uso do sistema de arquivos NTFS aumenta consideravelmente a segurana do Windows XP em relao a verses anteriores, como por exemplo o Windows 95/98 ou o Windows Me. No Windows NT e Windows 2000 j existia o suporte ao NTFS e as permisses e acesso. Importante: Um detalhe importante a ressaltar que somente no Windows XP Professional possvel o controle de acesso a pastas e arquivos em drives formatados com o NTFS. Embora o Windows XP Home suporte parties NTFS, este no oferece a possibilidade de definirmos permisses de acesso para pastas e arquivos. Na prtica o Windows XP Home no d suporte a uma srie de funes importantes para uso em uma rede empresarial, por isso que recomendado o uso do Windows XP Professional, em estaes de trabalho de uma rede de computadores de grande porte. Pastas compartilhadas, permisses de compartilhamento e permisses NTFS Vamos iniciar o tpico apresentando os conceitos tericos relacionados com o compartilhamento de pastas, permisses de compartilhamento, permisses NTFS e a interao entre permisses de compartilhamento e permisses NTFS. Quando compartilhamos uma pasta, estamos permitindo que o seu contedo seja acessado por outros usurios, atravs de outros computadores da rede. Quando uma pasta compartilhada, os usurios podem acess-la atravs da rede, bem como o contedo da pasta. Por exemplo, poderamos criar uma pasta compartilhada onde seriam colocados documentos, orientaes e manuais, de tal forma que estes possam ser acessados a partir de qualquer estao conectada a rede. Ao compartilharmos uma pasta todo o contedo da pasta passa a estar disponvel Isso significa que se houverem outras sub-pastas, dentro da pasta compartilhada, estas tambm estaro disponveis para acesso atravs da rede. Considere o exemplo da Figura do incio da prxima pgina. Se a pasta C:\Documentos for compartilhada, todo o seu contedo e tambm o contedo das sub-pastas C:\Documentos\Ofcios e C:\Documentos\Memorandos estaro disponveis para acesso atravs da rede. Importante: Quando uma pasta compartilhada em um computador, criado um caminho para acessar esta pasta a partir dos demais computadores da rede. Este caminho segue o padro UNC Unified Namming Convention (Conveno Unificada de Nomes). Todo caminho que segue o padro UNC inicia com duas barras invertidas, seguida pelo nome do computador onde est o recurso compartilhado (que pode ser uma pasta compartilhada, um impressora compartilhada, etc), mais uma barra invertida e o nome do compartilhamento. Vamos imaginar que estamos compartilhando recursos em um servidor da rede cujo nome : SRVRS001. Neste servidor criamos trs pastas compartilhadas com os seguintes nomes de compartilhamento: documentos, manuais e memorandos. Tambm compartilhamos uma impressora com o nome de compartilhamento lasera1. Qual seria o caminho para acessar estes recursos, segundo o padro UNC?
Figura - Ao compartilhar uma pasta, todo o seu contedo estar disponvel. \\SRVRS001\documentos \\SRVRS001\manuais \\SRVRS001\memorandos \\SRVRS001\lasera1
Nota: Conforme veremos na parte prtica, o nome do compartilhamento no precisa ser igual ao da pasta que est sendo compartilhada. recomendado que o nome do compartilhamento sirva como indicao para o contedo da pasta compartilhada, para facilitar a localizao dos recursos disponveis na rede. Restringindo o acesso s pastas compartilhadas Porm quando uma pasta compartilhada, no significa que o seu contedo deva ser acessado por todos os usurios da rede. Podemos restringir quais usurios que tero acesso pasta compartilhada, e qual o nmero mximo de usurios simultaneamente, isso feito atravs de Permisses de compartilhamento. Com o uso de permisses de compartilhamento, podemos definir quais os usurios que podero acessar o contedo da pasta compartilhada. Para isso, criada uma lista com o nome dos usurios e grupos que possuem permisso de acesso. Alm disso possvel limitar o que os usurios com permisso de acesso podem fazer. Pode haver situaes em que alguns usurios devem ter permisso apenas para ler o contedo da pasta compartilhada, podem haver outras situaes em que alguns usurios devem ter permisso de leitura e escrita,
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 73 de 290
Segurana no Windows XP Professional - Bsico enquanto outros devem ter permisses totais, tais como leitura, escrita e at excluso de arquivos. Na Figura a seguir, temos um exemplo, em que o grupo Gerentes possui permisses de Controle total, enquanto o grupo Usurios possui permisses apenas para leitura.
Figura - Grupos diferentes com permisses diferentes. IMPORTANTE: As permisses definem o que o usurio pode fazer com o contedo de uma pasta compartilhada, desde somente leitura, at um controle total sobre o contedo da pasta compartilhada. Porm as permisses de compartilhamento somente tem efeito se o acesso for feito pela rede. Se o usurio fizer o logon no computador onde est a pasta compartilhada e acess-la localmente, atravs do drive C: (ou outro drive qualquer onde est a pasta compartilhada), as permisses de compartilhamento no sero verificadas e, portanto, no tero nenhum efeito. Este detalhe to importante, que vou repeti-lo vrias vezes ao longo deste tpico. No esquea: Permisses de compartilhamento, no impedem o acesso ao contedo da pasta localmente, isto , se um usurio fizer o logon no computador onde est a pasta compartilhada, o usurio ter acesso a todo o contedo da pasta, a menos que as Permisses NTFS estejam configurados de acordo. Permisses NTFS assunto para daqui a pouco. Ao criarmos um compartilhamento em uma pasta, por padro o Windows XP atribui como permisso de compartilhamento Controle total para o grupo Todos, que conforme o nome sugere, significa qualquer usurio com acesso ao computador, seja localmente, seja pela rede. Por isso ao criar um compartilhamento, j devemos configurar as permisses necessrias, a menos que estejamos compartilhando uma pasta de domnio pblico, onde todos os usurios possam ter Controle total sobre os arquivos e sub-pastas da mesma. Controle total significa que o usurio poder ler, alterar e excluir arquivos, alm de poder criar novos arquivos e pastas. Aviso importante para os usurios do Windows 2000 (Professional e Server): No Windows 2000 Professional ou Server, para compartilhar uma pasta, basta clicar com o boto direito do mouse na pasta e, no menu de opes que exibido, selecionar a opo Compartilhamento. Com isso exibida uma janela onde podemos definir o nome do compartilhamento, as permisses e o nmero mximo de usurios acessando o compartilhamento simultaneamente.
Segurana no Windows XP Professional - Bsico No Windows XP o procedimento bastante semelhante: Clicamos com o boto direito do mouse na pasta a ser compartilhada e, no menu de opes que exibido, selecionamos o comando Compartilhamento e segurana... exibida uma janela que nos permite compartilhar a pasta com os usurios do prprio computador ou com usurios de outros computadores da rede. Esta janela uma janela de Compartilhamento simplificada, pois no temos acesso a definio de todas as permisses disponveis, nem a configurao do nmero mximo de usurios, conforme indicado na Figura a seguir:
Figura - Janela de compartilhamento simplificada padro do Windows XP. Quando eu comecei a testar as verses de avaliao do Windows XP e me deparei com esta janela, a primeira impresso que eu tive foi: NO GOSTEI. O segundo pensamento foi: TEM COMO EXIBIR A JANELA DE COMPARTILHAMENTO TRADICIONAL, QUE ERA EXIBIDA NO WINDOWS 2000? Felizmente a resposta sim, podemos fazer com que seja exibida a janela de compartilhamento tradicional, na qual temos acesso a todas as opes de configurao. Conhea bem este detalhe para o exame, pois ele muito importante e poder ser cobrado em uma ou mais questes do exame. Para fazer com que seja exibida a janela tradicional de configurao dos compartilhamentos, siga os passos indicados a seguir: 1. Abra o Meu computador.
Segurana no Windows XP Professional - Bsico 2. Selecione o comando Ferramentas -> Opes de pasta. 3. D um clique na guia Modo de exibio. 4. Utilize a barra de rolagem vertical para ir para o final da lista de opes. 5. Localize a opo Usar compartilhamento simples de arquivo (recomendvel) e, se ela estiver marcada, desmarque-a. 6. D um clique no boto OK para aplicar a alterao. 7. Agora navegue at uma pasta qualquer, clique com o boto direito do mouse e selecione o comando Compartilhamento e segurana... 8. Observe que exibida uma janela com bem mais opes, conforme indicado na Figura a seguir. Aprenderemos a utilizar estas opes mais adiante, neste mdulo. D um clique no boto Cancelar para fechar esta janela.
Segurana no Windows XP Professional - Bsico Entendendo as permisses de compartilhamento. Existem trs nveis de permisses de compartilhamento, conforme descrito a seguir: Leitura: A permisso de Leitura permite ao usurio: Listar os nomes de arquivos e de sub-pastas, dentro da pasta compartilhada. Acessar as sub-pastas da pasta compartilhada. Abrir os arquivos para leitura. Execuo de arquivos de programa (.exe, .com, etc).
OBS: Pastas e arquivos possuem atributos, que o Windows XP utiliza para gerenciar os arquivos. Por exemplo, existe um atributo Somente leitura, que uma vez marcado torna o arquivo somente leitura, isto , no podem ser feitas alteraes no arquivo. Para ver os atributos de um arquivo ou pasta, basta dar um clique com o boto direito do mouse sobre o arquivo ou pasta, e no menu que surge d um clique na opo Propriedades, e o Windows XP exibe uma janela onde possvel verificar e modificar os atributos do arquivo ou pasta, desde que o usurio tenha as devidas permisses. Alterao: Permite ao usurio os mesmos direitos da permisso leitura, mais os seguintes direitos: Criao de arquivos e sub-pastas. Alterao de dados nos arquivos Excluso de sub-pastas e arquivos
OBS: No Windows XP, objetos como pastas e arquivos possuem um dono, o qual por padro o usurio logado que criou a pasta ou arquivo. Conforme veremos no final deste captulo possvel, ao Administrador, tornar-se dono de uma pasta ou arquivo, utilizando uma ao de Take Ownership. Aprenderemos sobre o Take Ownership no final deste mdulo. Controle total: Esta a permisso padro que se aplica a todos os novos compartilhamentos. Essa permisso atribuda ao grupo Todos, ao compartilhar um recurso. Controle total possibilita as mesmas operaes que Leitura e Alterao, mais as seguintes: Alterao de permisses (apenas para arquivos e pastas do NTFS) Apropriao (Take Ownership), apenas para arquivos e pastas do NTFS.
As permisses de compartilhamento Leitura, Alterao e Controle total, podem ser Permitidas ou Negadas. Ou seja podemos permitir o acesso com um determinado nvel (leitura, alterao ou Controle total) ou negar explicitamente o acesso para um usurio. Vamos considerar um exemplo prtico. Vamos supor que todos os usurios do grupo Gerentes devem ter acesso de Leitura a uma pasta compartilhada, com exceo de um gerente cuja conta de usurio jsilva, o qual deve ter negado o direito de leitura na referida pasta. Para simplificar a atribuio de permisses fazemos o seguinte:
Segurana no Windows XP Professional - Bsico Permisso de Leitura para o grupo Gerentes Permitir. Permisso de Leitura para o usurio jsilva Negar.
Com isso todos os usurios do grupo Gerentes tero permisso de leitura, com exceo do usurio jsilva, o qual teve a permisso de leitura negada. Outra recomendao que sempre devemos atribuir permisses para grupos de usurios, ao invs de atribuir para usurios individuais, pois isso facilita a administrao, conforme descrito no Mdulo anterior. Importante: Negar sempre tem precedncia sobre permitir. Por exemplo, se o usurio pertencer a cinco grupos, sendo que quatro dos quais tem permisso de acesso e um tem negada a permisso de acesso, o usurio ter negada a permisso de acesso. A permisso negar acesso, herdada de um dos grupos, ter precedncia sobre todas as demais permisses herdadas dos demais grupos. Usurio pertence a mais de um grupo, qual a permisso efetiva do usurio?? Quando um usurio pertence, por exemplo, a dois grupos e os dois grupos recebem permisso para acessar um compartilhamento, sendo que os dois grupos possuem permisses diferentes, por exemplo, um tem permisso de Leitura e o outro de Alterao, como que ficam as permisses do usurio que pertence aos dois grupos? Para responder a esta questo, considere o seguinte: Quando um usurio pertence a mais de um grupo, cada qual com diferentes nveis de permisses para uma pasta compartilhada, o nvel de permisso para o usurio que pertence a mais de um grupo, a combinao das permisses atribudas aos diferentes grupos.
No nosso exemplo, o usurio pertence a dois grupos, um com permisso de somente leitura e outro com permisso de alteraes. A nvel de permisso do usurio de alteraes, pois a soma das permisses dos dois grupos, conforme indicado na Figura a seguir:
Segurana no Windows XP Professional - Bsico Negar tm precedncia sobre quaisquer outras permisses:
Vamos considerar o exemplo do usurio que pertence a trs grupos. Se em um dos grupos ele tiver permisso de leitura e em outro grupo permisso de alterao. Mas se para o terceiro grupo, for negado o acesso pasta compartilhada, o usurio ter o acesso negado, uma vez que Negar tem precedncia sobre quaisquer outras permisses, conforme indicado pela Figura a seguir:
Figura - Negar tem precedncia sobre permitir. IMPORTANTE: Quando copiamos uma pasta compartilhada, a pasta original permanece compartilhada, porm a cpia no compartilhada. Quando movemos uma pasta compartilhada, a pasta deixa de ser compartilhada. Lembre destes detalhes, pois eles so muito importantes. Orientaes para a criao de pastas compartilhadas: Todo compartilhamento deve ter um nome, para que o compartilhamento possa ser acessado pela rede, conforme descrito anteriormente e ser demonstrado na parte prtica mais adiante. O nome do compartilhamento pode ser diferente do nome da pasta. Uma recomendao importante para que seja escolhido um nome descritivo do contedo da pasta, de tal maneira que o compartilhamento seja mais facilmente localizada na rede. Voc no colocaria um nome de compartilhamento Projetos em uma pasta compartilhada com documentos contbeis ? Organize os recursos, de tal maneira que todos os pastas que devam ser acessadas pelo mesmo grupo de usurios, com o mesmo nvel de permisso, estejam dentro da mesma pasta compartilhada. Por exemplo, se voc possui sete pastas com documentos e programas, os quais devem ser acessados pelos grupos Contabilidade e Marketing. Coloque estas pastas dentro de uma pasta principal e compartilhe a pasta principal, ao invs de criar sete compartilhamentos individuais. Configure o nvel de permisso mnimo necessrio para que os usurios realizem o seu trabalho. Por exemplo se os usurios precisam apenas ler os documentos em uma pasta compartilhada, atribua permisso de Leitura e no de Alterao ou Controle total.
Sempre que possvel, atribua permisses para grupos de usurios e no para usurios individuais, pois isso facilita a administrao, conforma j salientado diversas vezes neste captulo e no Mdulo 2. Determine quais grupos necessitam acesso a quais pastas compartilhadas e com quais nveis de permisso. Documente bem todo esse processo, para que voc possa ter um bom controle sobre os recursos compartilhados e as permisses atribudas.
Sistemas de arquivos e permisses NTFS conceito Agora vamos ver alguns detalhes sobre os sistemas de arquivos que o Windows XP reconhece e tambm sobre permisses NTFS. Um sistema de arquivos determina a maneira como o Windows XP organiza e recupera as informaes no Disco rgido ou em outros tipos de mdia. O Windows XP reconhece os seguintes sistemas de arquivos: FAT FAT32 NTFS NTFS 5
O sistema FAT vem desde a poca do DOS e tem sido mantido por questes de compatibilidade. Alm disso se voc tiver instalado mais de um Sistema Operacional no seu computador, alguns sistemas mais antigos (DOS, Windows 3.x e as primeiras verses do Windows 95 ) somente reconhecem o sistema FAT. Com o sistema de arquivos FAT, a nica maneira de restringir o acesso ao contedo de uma pasta compartilhada, atravs das permisses de compartilhamento, as quais, conforme descrito anteriormente, no tero nenhum efeito se o usurio estiver logado localmente, na mquina onde a pasta foi compartilhada. Com a utilizao do sistema FAT, alguns recursos avanados, tais como compresso, criptografia e auditoria , no esto disponveis. O sistema FAT32 apresenta algumas melhorias em relao ao sistema FAT. Existe um melhor aproveitamento do espao no disco, o que conseqentemente gera menor desperdcio do espao em disco. Um grande inconveniente do sistema FAT32 que ele no reconhecido pelo Windows NT Server 4.0. . Com o sistema de arquivos FAT32, a nica maneira de restringir o acesso ao contedo de uma pasta compartilhada, atravs das permisses de compartilhamento, as quais, conforme descrito anteriormente, no tero nenhum efeito se o usurio estiver logado localmente, na mquina onde a pasta foi compartilhada. Com a utilizao do sistema FAT32, alguns recursos avanados, tais como compresso e criptografia e auditoria , no esto disponveis. O sistema de arquivos NTFS utilizado no Windows NT Server 4.0 e foi mantido no Windows 2000 Server por questes de compatibilidade. um sistema bem mais eficiente do que FAT e FAT32, alm de permitir uma srie de recursos avanados, tais como:
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 80 de 290
Segurana no Windows XP Professional - Bsico Permisses de controle de acesso a arquivos e pastas Compresso Auditoria de acesso Parties bem maiores do que as permitidas com FAT e FAT32 Desempenho bem superior do que com FAT e FAT32
Uma das principais vantagens do NTFS que o ele permite que sejam definidas permisses de acesso para arquivos e pastas, individualmente, isto , posse ter arquivos em uma mesma pasta, com permisses diferentes para usurios diferentes. Alm disso, as permisses NTFS tm efeito localmente, isto , mesmo que o usurio faa o logon no computador onde um determinado arquivo existe, se o usurio no tiver as permisses NTFS necessrias, ele no poder acessar o arquivo. Isso confere um alto grau de segurana, desde que as permisses NTFS sejam configuradas corretamente. No Windows 2000 Server foi introduzido NTFS 5, a nova verso do NTFS, que a verso utilizada pelo Windows XP. O NTFS 5 apresenta diversas melhorias em relao a verso mais antiga do NTFS, tais como: Criptografia de arquivos e pastas (a criptografia uma maneira de embaralhar a informao de tal forma que mesmo que um arquivo seja copiado, o arquivo se torna ilegvel, a no ser para a pessoa que possui a chave para descriptografar o arquivo). Se em uma questo for especificado que voc precisa instalar o Windows XP em um micro, onde o usurio precisar usar criptografia, voc tem que optar por usar o NTFS, j que o FAT e o FAT32 no suportam criptografia de arquivos e pastas. A criptografia de pastas e arquivos ser abordada no Mdulo 7. Quotas de usurio, fazendo com que seja possvel limitar o espao em disco que cada usurio pode utilizar. Gerenciamento e otimizao melhorados.
Conforme descrito anteriormente, podemos definir permisses de acesso para pastas ou arquivos, mas somente em unidades formatadas com o sistema de arquivos NTFS (seja na verso do NT Server 4.0 ou o NTFS 5 do Windows 2000 Server ). Por isso que aconselhvel instalar o Windows XP sempre em unidades formatadas com NTFS, pois isso melhora a segurana. As parties NTFS apresentam um desempenho um pouco inferior do que as parties FAT32, em termos de velocidade. Porm em termos de segurana no existe comparao, por isso recomendo a utilizao do sistema NTFS. Se voc estiver em dvidas, no momento da instalao do Windows XP, pode optar por formatar o disco rgido utilizando FAT 32. Depois possvel converter para NTFS, sem perda de dados. Porm cuidado, uma vez convertido o disco rgido para NTFS no possvel reverter para FAT32. A nica maneira fazer um backup do disco rgido, formatando-o novamente com FAT32 e restaurar o backup.
Segurana no Windows XP Professional - Bsico Permisses NTFS disponveis Com relao as permisses NTFS, temos um conjunto diferente de permisses quando tratamos de pastas ou arquivos. Na Figura a seguir temos um resumo das permisses de pasta e de arquivos, com as aes associadas com cada permisso.
Figura - Aes associadas com as permisses de pasta e arquivos. A seguir temos a descrio, com maiores detalhes, para cada uma das permisses listadas na Figura anterior: Permisso Desviar pasta/Executar arquivo: Estas permisses so aplicadas a pastas e arquivos. Para as pastas, Desviar pasta permite ou nega o movimento atravs de pastas para acessar outros arquivos ou pastas, mesmo que o usurio no tenha permisses referentes s pastas desviadas (aplica-se somente a pastas). Por exemplo vamos supor que o usurio tem permisso na pasta C:\Documentos, no tem permisso na pasta C:\Documentos\Ofcios e tem na pasta C:\Documentos\Ofcios\2001. Neste caso, o usurio para chegar at a pasta 2001, ter que passar pela pasta Ofcios, para a qual ele no tem permisso. Para que o usurio possa passar pela pasta Ofcio, podemos atribuir-lhe a permisso Desviar pasta. Desviar pasta tem efeito apenas quando o grupo ou usurio no tem o direito de usurio Ignorar verificao com desvio no snap-in de diretivas de grupo. (Por padro,
Segurana no Windows XP Professional - Bsico o grupo Todos tem o direito de usurio Ignorar verificao com desvio.) Para os arquivos: Executar arquivo permite ou nega a execuo de arquivos de programa (aplica-se somente a arquivos). Ao definir a permisso Desviar pasta em uma pasta, voc no est automaticamente definindo a permisso Executar arquivo em todos os arquivos dessa pasta. Permisso Listar pasta/Ler dados: Listar pasta permite ou nega a exibio de nomes de arquivos e sub-pastas dentro da pasta. Essa permisso afeta apenas o contedo da pasta em questo, no afetando o fato de a pasta na qual a permisso est sendo definida ser listada ou no. Aplica-se somente a pastas. Ler dados permite ou nega a exibio de dados em arquivos (aplica-se somente a arquivos). Por exemplo, se o usurio tem permisso de Ler dados em um arquivo do Word, este usurio poder abrir o arquivo, porm no poder alter-lo ou exclu-lo. Permisso Ler atributos: Permite ou nega a exibio de atributos de um arquivo ou pasta, como somente leitura ou oculto. Os atributos so definidos pelo NTFS. Para acessar os atributos de uma pasta ou arquivo, clique com o boto direito do mouse na pasta/arquivo e, no menu que surge, d um clique na opo Propriedades. Permisso Ler atributos estendidos: Permite ou nega a exibio de atributos estendidos de um arquivo ou pasta. Os atributos estendidos so definidos por programas e podem variar de acordo com o programa. Permisso Criar arquivos/Gravar dados: Criar arquivos permite ou nega a criao de arquivos dentro da pasta (aplica-se somente a pastas). Gravar dados permite ou nega as alteraes no arquivo e a substituio de um contedo existente (aplica-se somente a arquivos). Esta permisso mais conhecida por permisso de Escrita (ou Alterao). Permisso Criar pastas/Acrescentar dados: Criar pastas permite ou nega a criao de pastas dentro da pasta (aplica-se somente a pastas). Acrescentar dados permite ou nega as alteraes no final do arquivo, mas no a alterao, excluso ou substituio de dados existentes (aplica-se somente a arquivos). Permisso Gravar atributos: Permite ou nega a alterao de atributos de um arquivo ou pasta, como somente leitura ou oculto. Os atributos so definidos pelo NTFS. A permisso Gravar atributos no implica na criao ou excluso de arquivos ou pastas, apenas inclui a permisso para efetuar alteraes nos atributos de um arquivo ou de uma pasta. Permisso Gravar atributos estendidos: Permite ou nega a alterao de atributos estendidos de um arquivo ou pasta. Os atributos estendidos so definidos por programas e podem variar de acordo com o programa. A permisso Gravar atributos estendidos no implica na criao ou excluso de arquivos ou pastas, apenas inclui a permisso para efetuar alteraes nos atributos de um arquivo ou de uma pasta
Segurana no Windows XP Professional - Bsico Permisso Excluir sub-pastas e arquivos: Permite ou nega a excluso de sub-pastas e arquivos, mesmo que a permisso Excluir no tenha sido concedida na sub-pasta ou arquivo. (aplica-se a pastas). Por exemplo, se voc no tem permisso de Excluir na pasta Documentos, mas tem permisso de Excluir em um arquivo memo.doc, que est na pasta Documentos, voc conseguir Excluir o documento memo.doc, pois as permisses de arquivo tem precedncia sobre as permisses de pastas, quando conflitantes. Permisso Ler permisses: Permite ou nega a leitura de permisses do arquivo ou pasta, como Controle total, Ler e Gravar. Se o usurio no tiver esta permisso, ele no poder exibir a lista com as permisses definidas para um arquivo e/ou pasta. Permisso Alterar permisses: Permite ou nega a alterao de permisses do arquivo ou pasta, como Controle total, Ler e Gravar. Esta uma permisso poderosa e que deve ser utilizada com cuidado. Uma vez que o usurio tem permisso para Alterar permisses, ele pode perfeitamente atribuir Controle total para ele mesmo, ou seja, para a sua conta de usurio. Permisso Apropriar-se (Take Ownership): Permite ou nega a apropriao do arquivo ou pasta. O proprietrio de um arquivo ou pasta sempre pode alterar permisses, independentemente de qualquer permisso existente que proteja o arquivo ou pasta. O dono de um arquivo ou pasta o usurio que cria o arquivo /pasta. Permisso Sincronizar: Permite ou nega a espera de segmentos diferentes no identificador para o arquivo ou pasta e a sincronizao com outro segmento que possa sinaliz-lo. Essa permisso aplica-se somente a programas de vrios segmentos e processos, envolvidos com processos de sincronizao de dados.
Todo arquivo ou pasta em uma unidade formatada com NTFS, possui uma Lista de controle de acesso (Access Control List ) ACL. Nesta ACL fica uma lista de todas as contas de usurios e grupos para os quais foi garantido acesso para o recurso, bem como o nvel de acesso de cada um deles. Como funcionam as permisses NTFS Permisses NTFS so cumulativas, isto , se um usurio pertence a mais de um grupo, o qual tem diferentes nveis de permisso para um recurso, a permisso efetiva do usurio a soma das permisses. Permisses NTFS para um arquivo tm prioridade sobre permisses NTFS para pastas. Por exemplo se um usurio tm permisso NTFS de escrita em uma pasta, mas somente permisso NTFS de leitura para um arquivo dentro desta pasta, a sua permisso efetiva ser somente a de leitura, pois a permisso para o arquivo tem prioridade sobre a permisso para a pasta. Negar uma permisso NTFS tem prioridade sobre permitir. Por exemplo, se um usurio pertence a dois grupos diferentes. Para um dos grupos foi dado permisso de
Segurana no Windows XP Professional - Bsico leitura para um arquivo e para o outro grupo foi Negada a permisso de leitura, o usurio no ter o direito de leitura, pois Negar tem prioridade sobre Permitir. Agora que j vimos a teoria necessria, vamos praticar um pouco. Nas prximas lies iremos aprender a compartilhar pastas, atribuir permisses de compartilhamento. Iremos aprender a acessar pastas compartilhadas atravs da rede. Depois vamos trabalhar um pouco com as permisses NTFS. Veremos como atribuir permisses NTFS e testar uma srie de situaes prticas. Importante: Para os exemplos prticos a seguir, vamos utilizar as contas e grupos criados no Mdulo 2: user1, user2, user3, user4 e user5, bem como os respectivos grupos: vendas, diretoria e empresa. Caso tenham sido feitas alteraes nas diretivas locais de segurana, aps a criao das contas, possvel que algumas contas tenham sido bloqueadas. O Windows XP bloqueia as contas que no atendem as novas definies e diretivas de segurana. Por exemplo, se definimos que o tamanho mnimo da senha ser de 8 caracteres, sero bloqueadas todas as contas com senha menor do que 8 caracteres. Para evitar que estas contas sejam bloqueadas, vamos redefinir a senha de cada conta. Abra o console Gerenciamento do computador, navegue at a opo Usurios e grupos locais, d um clique na opo Usurios e localize cada usurio criado no mdulo 2. D um clique duplo na conta do usurio, para abrir a janela de propriedades da conta. Se a opo Conta bloqueada estiver marcada, desmarque-a e d um clique no boto OK. Quando uma conta est bloqueada, ela no exibida na lista de contas que mostrada na inicializao do Windows XP. Agora que j desbloqueamos as contas, vamos redefinir a senha de uma por uma. Clique com o boto direito do mouse na conta user1, no menu de opes que exibido d um clique na opo Definir senha... Surge uma janela de aviso. D um clique no boto Prosseguir. Ser exibida uma janela para que voc digite e confirme a nova senha do usurio user1. Digite senha123 e confirme. D um clique no boto OK. Surge uma janela com um aviso de que a senha foi redefinida com sucesso. D um clique no boto OK. Redefina a senha para as demais contas: user2, user3, user4 e user5. Para estas contas utilize a mesma senha: senha123. Com isso temos a seguinte configurao de usurios/grupos: Contas criados no Mdulo 2 ****************************************** Usurio: user1 senha: senha123 Usurio: user2 senha: senha123 Usurio: user3 senha: senha123 Usurio: user4 senha: senha123 Usurio: user5 senha: senha123 ****************************************** Grupos criados no Mdulo 2: ****************************************** Grupo: Diretoria Usurios: Administrador user2 user4 Grupo: Vendas Usurios: user3
Segurana no Windows XP Professional - Bsico user4 user5 Grupo: Empresa user1 user2 user3 user4 user5 ****************************************** Utilizaremos estes grupos e usurios para definir as permisses de compartilhamento e tambm as permisses NTFS, mais adiante. Importante: Estou utilizando com exemplo, uma pequena rede com dois computadores. Neste caso, no existe um domnio baseado em servidores com o Windows 2000 Server. Nesta situao, temos que criar as mesmas contas e grupos em cada um dos computadores da rede. Com isso os usurios tem que ser criados nos dois computadores e com a mesma senha. Quando alteramos a senha de um usurio em um dos computadores, tambm devemos alterar no outro. Veja o trabalho de administrao que teremos. Agora imagine isto multiplicado para 5, 10 ou 20 computadores. Por isso que, normalmente, a partir de 10 computadores utilizada uma rede baseada em domnios, onde temos servidores Windows 2000 Server ou Windows Server 2003, com o Active Directory instalado. Se voc for conectar um recurso em um computador e a senha est diferente no computador de destino, voc ser solicitado a digitar a senha que est configurada, para o usurio logado, no computador de destino. Por exemplo, vamos supor que o usurio jsilva tem a senha senha123 no computador1 e senhaabc no computador2. O usurio jsilva faz o logon no computador1 e tenta acessar uma pasta compartilhada no computador2. Ao tentar fazer a conexo, o seu nome de logon (jsilva) e a sua senha (senha123) so enviadas para o computador2, para verificar se o jsilva pode acessar o referido recurso. Como as senhas esto diferentes nos dois computadores, ser aberta uma janela para que o usurio jsilva digite a senha que est configurada para este usurio no computador2. Parece complicado de administrar para dois computadores? Imagine para 10 ou 20? Agora j d para entender o porqu do uso de redes baseadas no conceito de domnio, com servidores baseados no Windows 2000 Server. Usurios:
Segurana no Windows XP Professional - Bsico Compartilhando pastas e configurando permisses de compartilhamento Vamos fazer um exemplo prtico, onde vamos criar uma estrutura de pastas, depois vamos compartilhar algumas pastas, definir permisses de acesso e, finalmente, acessar as pastas compartilhadas, a partir de outro computador ligado em rede. Para este exemplo prtico, estou utilizando dois computadores ligados em rede, um com o nome de microxp01 e outro com o nome de microxp02, conform ilustrado no diagrama da Figura a seguir:
Figura - Computadores ligados em rede, para o exemplo proposto. Passo 1 executado no computador microxp01: Criar a seguinte estrutura de pastas e subpastas indicadas na Figura a seguir, no disco rgido C:
Figura - Estrutura de pastas para o exemplo proposto. Passo 2 executado no computador microxp01: Compartilhar a pasta Documentos com as seguintes permisses de compartilhamento: Grupo: Grupo: Grupo: Diretoria: Vendas: Empresa: Permisso: Leitura e escrita Permisso: Leitura e escrita Permisso: Leitura
Segurana no Windows XP Professional - Bsico 1. Abra o Windows Explorer. 2. Localize a pasta Documentos criada no Passo 1. 3. Clique com o boto direito do mouse na pasta Documentos e no menu de opes que exibido, d um clique na opao Compartilhamento e segurana. Nota: Deve ser exibida a janela Compartilhamento completa, com todas as opes, inclusive com o boto Permisses. Se o boto Permisses no estiver sendo exibido porque o computador est configurado para exibir o modo de compartilhamento simplificado. Para informaes sobre como desabilitar o modo de compartilhamento simplificado, consulte o tpico Aviso importante para os usurios do Windows 2000 (Professional e Server), descrito anteriormente. 4. D um clique na opo Compartilhar esta pasta. 5. No campo Nome do compartilhamento digite: Documentos 6. No campo Comentrio digite: Documentos no computador microxp01. 7. Limite o nmero mximo de usurios conectados a 5, conforme indicado na Figura a seguir:
Segurana no Windows XP Professional - Bsico Importante: O Windows 2000 Professional e o Windows XP Professional aceitam o mximo de 10 conexes simultneas. Ou seja, na prtica, no possvel que mais de 10 usurios, acessem ao mesmo tempo, uma pasta ou impressora compartilhada em um micro com o Windows XP Professional ou com o Windows 2000 Professional. Se voc precisa compartilhar recursos, tais como pastas e impressoras, para serem acessados por mais de 10 usurios, simultaneamente, voc precisa usar o Windows NT Server 4.0, Windows 2000 Server ou Windows Server 2003. 8. D um clique no boto Permisses. Oberve que por padro definida a permisso de compartilhamento Controle total, para o grupo Todos, conforme j descrito anteriormente. 9. D um clique no boto Adicionar. Ser exibida a janela Usurios ou grupos. Vamos definir permisses para os grupos Diretoria, Vendas e Empresa. Digite o nome dos grupos separados por ponte e vrgula, conforme indicado na Figura a seguir:
Figura - Adicionando os grupos que recebero permisses no compartilhamento. 10. D um clique no boto OK. Voc estar de volta janela Permisses para Documentos. Observe que os grupos j esto na lista. Vamos remover o grupo Todos e depois configurar permisses solicitadas para os demais grupos. 11. D um clique no grupo Todos e depois clique no boto Remover. O grupo retirado da lista. 12. D um clique no grupo Diretoria e marque as permisses Alterao e Leitura. 13. D um clique no grupo Vendas e marque as permisses Alterao e Leitura. 14. D um clique no grupo Empresa e marque somente a opo Leitura. 15. D um clique no boto OK. Voc estar de volta a janela de definio do compartilhamento. 16. D um clique no boto OK e pronto, a pasta ser compartilhada e as permisses de compartilhamento definidas. Observe que aps ter compartilhada a pasta, a figura de uma pequena mo, segurando a pasta exibida.
Segurana no Windows XP Professional - Bsico Uma questo importante: Com base nas permisses atribuidas aos grupos, quais as permisses efetivas dos usurios: user1, user2, user3, user4 e user5?? Vamos analisar caso a caso: user1: Pertence somente ao grupo Empresa, portanto somente herda a permisso de leitura. Este usurio ao acessar a pasta compartilhada pela rede, ter permisso somente de leitura. user2: Pertence aos grupos Diretoria e Empresa. Herdar as permisses dos dois grupos, que na soma resulta em Leitura e Escrita. user3: Pertence aos grupos Vendas e Empresa. Herdar as permisses dos dois grupos, que na soma resulta em Leitura e Escrita, ou seja, o usurio vai acumulando as permisses de todos os grupos aos quais ele pertence. user4: Pertence aos trs grupos. Herdar as permisses dos trs grupos, o que na soma d Leitura e Escrita. user5: Pertence aos grupos Vendas e Empresa. Herdar as permisses dos dois grupos, que na soma resulta em Leitura e Escrita.
Vamos fazer algumas perguntas para entender bem como funciona esta combinao de permisses? 1) O que aconteceria se negssemos permisso de leitura para o grupo Empresa?? R: Com todos os usurios pertencem ao grupo Empresa e, negar tem precedncia sobre permitir, ao negar Leitura para o grupo Empresa, estaremos negando Leitura para todos os usurios: user1, user2, user3, user4 e user5. Com esta configurao, ao tentar acessar a pasta compartilhada pela rede, o usurio iria receber uma mensagem de acesso negado. 2) Se o usurio user2 fizer o logon no computador onde est a pasta compartilhada Documentos, qual a permisso efetiva de compartilhamento?? R: Nenhuma. Lembre que as permisses de compartilhamento no tem efeito localmente, somente atravs da rede. Localmente somente tem efeito as permisses NTFS. Se o usurio user2 ou um grupo ao qual ele pertence, tiver as permisses NTFS necessrias, ele poder acessar a pasta Programas. 3) Criei um compartilhamento chamado Documentos, no computador microxp01. Muito bem, qual o caminho que eu uso em outro computador da rede, para acessar este compartilhamento? R: \\microxp01\documentos
Segurana no Windows XP Professional - Bsico Passo 3 executado no computador microxp01: Compartilhar a pasta Porgramas, com o nome de compartilhamento Programas, criada no Passo 1, com um nmero mximo de 10 usurios simultnos e com as seguintes permisses de compartilhamento: Grupo: Grupo: Grupo: Diretoria: Vendas: Empresa: Permisso: Negado Leitura Permisso: Leitura e escrita Permisso: Controle total
Com base no que foi explicado no Passo 2, crie e configure o compartilhamento Programas, no computador microxp01. Vamos fazer algumas perguntas para entender bem como funciona esta combinao de permisses? 1) Qual a permisso para o usurio user2, com base nas permisses atribudas aos grupos Diretoria, Vendas e Empresa? R: Sempre comeamos a anlise verificando se existe a permisso Negado para algum grupo. No nosso caso existe: Negado Leitura para o grupo Diretoria. Como o usurio user2 pertence ao grupo Diretoria e negado tem precedncia sobre qualquer outra permisso, o usurio user2 ter acesso negado ao compartilhamento documentos. O mesmo vlido para o usurio user4, o qual tambm pertence ao grupo Diretoria. 2) Se o usurio user2 fizer o logon no computador onde est a pasta compartilhada Programas, ele ter acesso Negado a pasta Programas?? R: No, pois ao acessar localmente as permisses de compartilhaemnto no tem efeito. Localmente somente tem efeito as permisses NTFS. Se o usurio user2 ou um grupo ao qual ele pertence, tiver as permisses NTFS necessrias, ele poder acessar a pasta Programas. 3) Criei um compartilhamento chamado Programas, no computador microxp01. Muito bem, qual o caminho que eu uso em outro computador da rede, para acessar este compartilhamento? R: \\microxp01\Programas Muito bem, criamos os compartilhamentos e definimos as permisses de compartilhamento. Agora vamos no computador microxp02, acessar os compartilhamentos criados no computador microxp01. Passo 4 Executado no computador microxp02: Fazer o logon como user1, no computador microxp02 e montar um drive M:, o qual acessa o compartilhamento Documentos que est no computador microxp01: \\microxp01\Documentos. 1. Faa o logon como user2 no computador microxp02. 2. Selecione o comando Iniciar -> Executar. 3. No campo Abrir digite \\microxp01, conforme indicado na Figura a seguir e d um clique no boto OK.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 91 de 290
Figura - Acessando os recursos compartilhados do computador microxp01. Nota: Ao executar o comando \\microxp01, Windows XP exibe uma janela com todos os recursos compartilhados no computador microxp01. Importante: Se voc quiser ocultar um compartilhamento, de tal maneira que ele no seja exibido na lista de recursos compartilhados quando usamos o comando \\nome_do_computador, basta finalizar o nome do compartilhamento com o caractere $. Por exemplo, se voc criar um compartilhamento chamado Docs$, este ser um compartilhamento oculto, o qual somente poder ser acessado se utilizarmos o caminho completo: \\nome_do_computador\Docs$. Por padro, o Windows XP cria alguns compartilhamentos ocultos para funes especficas do prprio Sistema Operacional. Estes compartilhamentos tambm tem permisses especficas. Por exemplo, criad o um compartilhamento C$, o qual d acesso a pasta raiz do disco rgido, porm somente usurios com conta de Administrador tem acesso a este compartilhamento. 4. Observe que as pastas compartilhadas Documentos e Programas j so exibidas na janela que aberta. 5. Para associar um drive (no nosso exemplo M:), com uma pasta compartilhada, clique com o boto direito do mouse na pasta desejada. No nosso exemplo, clique com o boto direito do mouse na pasta Documentos. 6. No menu que exibido, d um clique na opo Mapear unidade de rede... Ser exibida uma janela para que voc selecione a unidade que ser associada com a pasta compartilhada e se voc deseja refazer o mapeamento toda vez que o usurio atual (no nosso exemplo o usurio logado o usurio user2) fizer o logon, conforme indicado na primeira Figura da prxima pgina. 7. D um clique no boto Concluir. O Windows XP abre uma janela onde so exibidas as subpastas de Documentos. Feche esta janela. 8. Abra o Meu computador e observe, j deve ser exibido um drive de rede M:, conforme indicado na segunda Figura da prxima pgina.
Segurana no Windows XP Professional - Bsico A partir deste momento, toda vez que acessarmos o drive M:, estaremos acessando, na prtica, a pasta compartilhada Documentos, no computador \\microxp01. Observe que a utilizao de drives mapeados (drives de rede), facilita bastante o acesso s pastas compartilhadas, pois serve como um atalho para estas pastas. 9. D um clique duplo no drive M, para acess-lo. Abra a pasta Memorandos. 10. Vamos tentar criar um novo arquivo de texto. Clique com o boto direito do mouse na rea em branco, na pasta Documentos. No menu que surge selecione o comando Novo -> Documento de texto. Voc deve receber uma mensagem de acesso negado, conforme indicado na Figura a seguir:
Figura - Acesso negado para o usurio user1 criar um novo arquivo. Por que voc recebeu esta mensagem de acesso negado?? Porque, conforme descrito anteriormente, o usurio user1 tem permisso de compartilhamento somente de Leitura. Com esta permisso ele no poder criar e salvar novos arquivos na pasta Documentos e nas suas sub-pastas. Nota: Quando no for mais necessrio o acesso a um drive de rede, voc pode desconectar este drive. Para desconectar um drive de rede, d um clique com o boto direito do mouse no drive a ser desconectado. No menu que surge d um clique na opo Desconectar. Se houver arquivos abertos no drive, surge uma janela de aviso. D um clique no boto Sim e o drive ser desconectado. Se no houver arquivos abertos, no drive que est sendo desconectado, a mensagem de aviso no ser exibida. Passo 5 executado no computador microxp02: Com base no que foi explicado no Passo 4, faa o logon como user1 e monte um drive N: associado com o compartilhamento \\microxp01\Programas. Tente criar um arquivo de texto dentro do compartilhamento programas. Voc conseguir?? R: Sim, pois a permisso efetiva do usurio user1 Controle total. Com isso este usurio tem todas as permisses no compartilhamento Programas, inclusive para excluir todo o contedo da pasta Programas. Muito bem, com isso encerramos o nosso estudo sobre Compartilhamentos, drives de rede e permisses de compartilhamento. Agora vamos aprender a usar o console Gerenciamento do computador, para gerenciar/administrar as pastas compartilhadas no computador.
Segurana no Windows XP Professional - Bsico Monitorando/Administrando os compartilhamentos do computador Podemos usar a opo Pastas compartilhadas, do console Gerenciamento do computador, para monitorar o acesso s pastas compartilhados no computador. Com esta ferramenta temos informaes sobre todos as pastas que esto compartilhadas, o nmero de conexes com cada pasta, o nmero de sesses atravs da rede, e quais os arquivos que esto sendo acessados e quais usurios esto acessando cada arquivo. Exemplo: Gerenciando pastas compartilhadas com o console Gerenciamento do computador: 1. Abra o Painel de controle. 2. Abra a opo Ferramentas administrativas. 3. Abra o console Gerenciamento do computador. 4. Se a opo Ferramentas do sistema no estiver aberta, d um clique no sinal de + ao lado dela para abri-la. 5. D um clique no sinal de + ao lado da opo Pastas compartilhadas. 6. D um clique na opo Compartilhamentos, abaixo de Pastas compartilhadas. Observe que no painel da direita so exibidos todos os compartilhamentos do computador, inclusive os compartilhamentos ocultos. Tambm exibido o nmero de conexes por compartilhamento. 7. D um clique na opo Sesses. Sero listados todos os usurios e o nmero de sees por usurio. Cada arquivo ou pasta que um usurio abre contabilizado como uma seo. 8. D um clique na opo Arquivos abertos. Ser exibida uma lista com os arquivos que esto sendo utilizados pelos usurios (arquivos que esto abertos) e o nome de logon do usurio que est acessando cada arquivo, conforme indicado na Figura a seguir:
Figura - A lista de arquivos abertos e o respectivo usurio. Quando voc tem que desligar ou reinicializar um computador, onde existem pastas compartilhadas que esto sendo acessadas por outros usurios, importante que voc avise os usurios antes de reinicializar o computador, pois caso contrrio, o usurio perde a conexo com o drive de rede e no consegue salvar as alteraes que fez no arquivo no qual estava trabalhando. Em determinadas situaes o usurio poder perder as suas alteraes. Por isso
Segurana no Windows XP Professional - Bsico recomendado que voc envie um aviso, para que o usurio possa salvar seu trabalho, antes que a conexo com o drive de rede seja perdia. Para enviar um aviso aos usurios faa o seguinte: 1. Clique com o boto direito do mouse na opo Pastas compartilhadas, do console Gerenciamento do computador. 2. Selecione o comando: Todas as tarefas...-> Enviar mensagem do console. 3. Ser aberta uma janela onde voc pode digitar a mensagem e selecionar os destinatrios. Por padro, na lista de destinatrios somente so exibidos os destinatrios que esto conectados a alguma pasta compartilhada do computador, conforme indicado na Figura a seguir. Para adicionar outros usurios, d um clique no boto Adiconar...
Figura - Enviando um aviso aos usurios conectados. 4. Digite a mensagem e d um clique no boto Enviar.
Segurana no Windows XP Professional - Bsico Ao receber esta mensagem o usurio ter tempo para salvar o seu trabalho, sem que haja perda de dados. 5. Feche o console Gerenciamento do computador.
Agora vamos fazer alguns exemplos prticos sobre permisses NTFS e logo em seguida, analisaremos a combinao entre permisses de compartilhamento e permisses NTFS. Configurando as permisses NTFS Neste tpico aprenderemos a atribuir permisses NTFS e testar o efeito prtico destas permisses, tanto localmente quanto atravs da rede. Para que voc possa acompanhar todos os exemplos propostos nesta lio, necessrio que voc tenha acesso a mais um computador em rede, alm do computador onde foi criada a pasta compartilhada Documentos, no exemplo sobre pastas compartilhadas. Para os exemplos propostos, continuaremos a considerar dois computadores ligados em rede microxp01 e microxp02, conforme ilustrado na Figura 5.32, anteriormente. Nos exemplos, utilizarei o computador microxp01 como sendo o computador onde se encontra a pasta compartilhada Documentos e microxp02 o outro computador em rede. Caso os nomes dos computadores e do domnio que voc est utilizando para acompanhar esta lio, sejam diferentes, utilize-os no lugar dos nomes aqui descritos. Exemplo: Atribuindo permisses NTFS. Passo 1 no computador microxp01: Atribuindo permisses NTFS para a pasta C:\Documentos: 1. Efetue o logon como Administrador microxp01. 2. Abra o Windows Explorer: Iniciar -> Programas -> Acessrios -> Windows Explorer. 3. Localize a unidade onde voc criou a pasta Documentos, na lio anterior, abra a unidade e localize a pasta Documentos. No nosso exemplo C:\Documentos. 4. D um clique com o boto direito do mouse sobre a pasta Documentos, e no menu de opes que surge d um clique em Propriedades. 5. Surge a janela Propriedades de Documentos, com a guia Geral selecionado por padro. 6. D um clique na guia Segurana, que a guia que utilizaremos para configurar as permisses NTFS para a pasta Documentos. Surge a janela indicada na Figura a seguir: Nota: Se a guia Segurana no estiver sendo exibida porque o computador est configurado para exibir o modo de compartilhamento simplificado. Para informaes sobre como desabilitar o modo de compartilhamento simplificado, consulte o tpico Aviso importante para os usurios do Windows 2000 (Professional e Server).
Figura - A guia Segurana. IMPORTANTE: Na lista de usurios com permisso, d um clique no grupo Todos. Observe que as opes na coluna Permitir esto marcadas para o grupo Todos, porm se tentarmos alter-las clicando com o mouse, nada acontece, como se estas opes estivessem desabilitadas. Isso acontece, porque quando criamos a pasta Documentos, ela herdou as permisses do objeto pai, que no caso a pasta raiz da unidade onde a pasta Documentos foi criada (C:\). Esse o comportamento padro do Windows XP, baseado no que j acontecia no Windows 2000. Outro detalhe importante, que as permisses NTFS herdadas no podem ser alteradas, a menos que desativemos o mecanismo de herana. 7. Para verificar se o mecanismo de herana est habilitado, d um clique no boto Avanado. Ser exibida a janela Configuraes de segurana avanadas para Documentos. Nesta janela, se a opo Herdar do pai as entradas de permisso aplicveis a objetos filho. Inclu-las nas entradas explicitamente definidas aqui. estiver marcada, o mecanismo de herana est habilitado, conforme destacado na Figura a seguir:
Figura - O mecanismo de Herana de permisses. Alm das permisses herdadas, podemos adicionar permisses NTFS para usurios ou grupos. Permisses adicionadas desta maneira so conhecidas como Permisses explcitas, as quais podem ser alteradas a qualquer momento pelo Administrador do sistema, conforme a necessidade. J as permisses herdadas no podem ser alteradas pelo Administrador. 8. O Mecanismo de herana pode ser desativado. Para isso basta desmarcar a opo Herdar do pai as entradas de permisso aplicveis a objetos filho. Inclu-las nas entradas explicitamente definidas aqui.. Ao fazer isso o Windows XP abre uma janela perguntando se voc deseja Copiar as permisses herdados caso em que o Windows XP as transforma como se tivessem sido explicitamente definidas ou se voc deseja remov-las, caso em que todas as permisses herdadas sero removidas. Esta janela est indicada na Figura a seguir. 9. D um clique no boto Remover, para revomer todas as permisses. 10. Voc estar de volta a janela de Configuraes de segurana avanadas. D um clique no boto OK para fech-la. 11. O Windows XP exibe uma janela com um aviso de que todos os usurios foram removidos da lista e somente o dono ter acesso aos arquivos/pastas. D um clique no boto Sim para fechar esta janela de aviso.
Figura - Desabilitando o mecanismo de herana para a pasta selecionada. 9. D um clique no boto Remover, para revomer todas as permisses. 10. Voc estar de volta a janela de Configuraes de segurana avanadas. D um clique no boto OK para fech-la. 11. O Windows XP exibe uma janela com um aviso de que todos os usurios foram removidos da lista e somente o dono ter acesso aos arquivos/pastas. D um clique no boto Sim para fechar esta janela de aviso. 11. Vamos adicionar permisso de Alterao para os usurios user1 e user2. Clique no boto Adicionar. Surge a janela Selecione usurio ou grupo. 12. Digite o nome dos usurios, separando os nomes por ponto e vrgula. No nosso exemplo, digite: user1;user2. Sua janela deve ficar conforme a indicada na Figura a seguir, onde foram adicionados os usurios user1 e user2.
Figura - Adicionando os usurios user1 e user2. Nota: Quando o nmero de usurios grande, fica difcil de lembrar o nome de cada usurio. Nestas situaes podemos fazer com que o Windows XP exiba uma listagem de usurios e/ou grupos, para que possamos selecionar um ou mais usurios e/ou grupos nesta listagem. Em primeiro lugar devemos definir que tipo de objetos desejamos que aparea na listagem: Segurana interna principal, grupos ou usurios. Para definir os tipos de objetos que devem
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 100 de 290
Segurana no Windows XP Professional - Bsico aparecer na listagem, d um clique no boto Tipos de objeto..., da janela indicada na Figura a seguir. Ser aberta a janela Tipos de objeto, onde podemos marcar os tipos de objetos que sero exibidos. Deixe marcada apenas as opes Grupos e Usurios, conforme indicado na Figura a seguir. D um clique no boto OK.
Figura - A janela Tipos de objeto. Voc estar de volta a janela Selecione usurio ou grupo. D um clique no boto Avanado. Ser exibida a janela Selecionar Usurio ou Grupo. Observe que no campo Selecionar este tipo de objeto, j vem preenchido o valor: Usurio ou Grupo. Para listar todos os usurios e grupos cadastrados, d um clique no boto Localizar agora. Na parte de baixo da janela ser exibida uma listagem com todos os usurios e grupos cadastrados. D um clique no usurio ou grupo para o qual voc deseja atribuir permisses NTFS e d um clique no boto OK. Voc estar de volta janela Selecione Usurio ou grupo. Se for necessrio voc pode utilizar as teclas Ctrl e Shift para selecionar vrios usurios ou grupos de um s vez. 13. Voc estar de volta a janela Propriedades de Documentos e os usurios user1 e user2 j aparecem e os usurios selecionados j aparecem na lista. Por padro so definidas as permisses Ler & Executar, Listar contedo da pasta e Leitura. Alm de adicionar os dois usurios, devemos configurar o nvel de acesso das permisses NTFS dos mesmos.Vamos atribuir uma permisso NTFS de alterao para ambos. 14. D um clique em user1 para marc-lo. Na parte do meio da janela, onde tem Permisses, d um clique na opo Modificar , da coluna Permitir. Observe que todas as outras opes abaixo de Modificar, so automaticamente selecionadas, inclusive Gravar. 15. Repita a operao para o usurio user2 com as mesmas permisses do usurio user1. Adicione o usurio user3 e negue todas as permisses para este usurio, isto , para o usurio user3, marque todas as opes da coluna Negado.
Segurana no Windows XP Professional - Bsico 16. Use o boto Adicionar para incluir o usurio Administrador. Porm para o usurio Administrador, na coluna Permitir marque a permisso Controle total. Sua janela deve estar conforme indicado pela Figura a seguir:
Figura - Permisses NTFS na pasta C:\Documentos. 17. D um clique no boto OK, para fechar a janela Propriedades de Documentos. 18. Agora a pasta Documentos possui permisses NTFS Modificar para os usurios user1 e user2 e permisso Controle total para o usurio Administrador. Vamos testar estas permisses, tanto atravs da rede, quanto localmente. Passo 2 no computador microxp02: Testando o funcionamento das permisses NTFS atravs da rede: 1. Faa o logon no computador microxp02 com a conta de usurio user2 e para a senha digite senha123. 2. Selecione o comando Iniciar -> Executar. 3. Digite \\microxp01\documentos e d um clique no boto OK. Sero exibidos os compartilhamentos do computador microxp01. 4. Clique com o boto direito do mouse no compartilhamento Documentos e selecione a opo Mapear unidade de rede. 5. Na janela que exibida selecione a letra Y para o drive e d um clique no boto OK.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 102 de 290
Segurana no Windows XP Professional - Bsico 6. Voc conseguiu ? O drive mapeado com sucesso? claro que sim, uma vez que o usurio user2 tem permisso para acessar esse compartilhamento e tambm tem as permisses NTFS necessrias. 7. Abra o Meu computador. 8. D um clique duplo no drive de rede Y: 9. Abra a pasta Memorandos. Crie um arquivo de texto, digite algum texto e salve-o com o nome de teste de permisses.txt. Voc conseguiu salvar o arquivo? claro que sim, pois alm de ter permisso de compartilhamento de Leitura e escrita (definida nos exemplos sobre compartilhamentos de pastas), o usurio user2 tambm tem as permisses NTFS Leitura e Gravao na pasta Documentos. Importante: Observe que neste caso temos dois conjuntos de permisses a ser considerados: Permisses de compartilhamento e permisses NTFS. Vamos analisar o caso do usurio user2, para entender como funciona a combinao destes dois conjuntos de permisses. Mais adiante detalharemos com mais exemplos, o efeito da combinao entre as permisses NTFS e de compartilhamento. Permisses atribudas ao usurio user2: Permisses de compartilhamento: O usurio user2 pertence ao grupo Diretoria, o qual tem permisses de compartilhamento Leitura e escrita. O usurio user2 tambm pertence ao grupo Empresa, o qual tem permisso de compartilhamento somente de leitura. O primeiro passo definir qual a permisso de compartilhamento efetiva, do usurio user2. Para simplificar a questo, considere o esquema a seguir: Permisso de compartilhamento Leitura e Alterao Leitura Permisso de compartilhamento resultante Leitura e Alterao
Ento j sabemos que a permisso de compartilhamento efetiva para o usurio user2 : Leitura e Alterao. Permisses NTFS: O usurio user 2 tem as seguintes permisses NTFS: Modificar, Ler & Executar, Listar contedo da pasta, Leitura e Gravar.
Observe que tanto nas permisses de compartilhamento, quanto nas permisses NTFS, o usurio tem permisso para criar arquivos (Alterao no compartilhamento e Gravar no NTFS). Por isso que o usurio user2. pode criar e gravar um novo arquivo de texto Passo 3 no computador microxp01: Testando o funcionamento das permisses NTFS localmente. Para testar o funcionamento das permisses NTFS localmente, faa o seguinte: 1. Faa o logon no computador microxp01 com a conta de usurio user3 e para a senha digite paulo123. 2. Abra o Meu computador, acesse o drive C:. Dentro do drive C: d um clique duplo para acessar a pasta Documentos.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 103 de 290
Segurana no Windows XP Professional - Bsico 3. Voc conseguiu? 4. No. Mas como possvel se voc est acessando a pasta Documentos localmente, isto , no computador onde ela foi criada ? Lembre-se de que voc fez o logon no computador microxp01, onde a pasta Documentos foi criada, mas utilizando a conta de usurio user3, a qual possui as permisses NTFS negadas para acessar a pasta Documentos. No esquea que as permisses NTFS tem efeito tanto localmente quanto atravs da rede, diferente das permisses de compartilhamento, as quais no tem nenhum efeito localmente. Porm existe uma situao onde as permisses de compartilhamento so a nica alternativa, que no caso de unidades formatadas com FAT. Para estas unidades no existem permisses NTFS. 5. Feche a mensagem de acesso negado e efetue o log off do usurio user3.
Agora vamos criar um arquivo de texto chamado teste.txt dentro da pasta Documentos e atribuir permisses NTFS para este arquivo. Passo 4 no computador microxp01: Criando um arquivo teste.txt e atribuindo permisses NTFS para este arquivo. 1. Efetue o logon como Administrador, no computador microxp01. 2. Abra o Windows Explorer. 3. Acesse a pasta Documentos criada anteriormente. 3. No painel da esquerda, d um clique sobre a pasta Documentos para abri-la. 4. No painel da direita, em qualquer espao em branco, d um clique com o boto direito do mouse, e no menu que surge aponte para Novo e nas opes do menu Novo d um clique sobre a opo Documento de texto. 5. Surge uma caixa onde est escrito Novo documento de texto. 6. No clique em lugar nenhum nem tecle Enter, simplesmente digite o nome do arquivo que est sendo criada, no nosso exemplo digite teste.txt e tecle Enter. O Windows XP cria um documento de texto em branco, com o nome de teste.txt. 7. D um clique com o boto direito sobre teste.txt e no menu que surge d um clique sobre Propriedades. 8. Surge a janela Propriedades de teste.txt, com a guia Geral selecionado por padro. D um clique na guia Segurana, que a guia que utilizaremos para configurar as permisses NTFS IMPORTANTE: Observe que algumas opes na coluna Permitir esto marcadas para os usurios Administrador, user1, user2 e user3, porm no podemos alter-las clicando com o mouse, pois esto desabilitadas para alterao. Isso acontece, porque quando criamos o arquivo teste.txt ele herdou as permisses do objeto pai, que no caso a pasta Documentos. Esse o comportamento padro do Windows XP. Outro detalhe importante, que as permisses NTFS herdadas no podem ser alteradas, a menos que seja desativado o mecanismo de herana, para o arquivo teste.txt, conforme j descrito anteriormente.
Segurana no Windows XP Professional - Bsico Alm das permisses herdadas, podemos adicionar permisses NTFS para usurios ou grupos. Permisses adicionadas desta maneira so conhecidas como Permisses explcitas, as quais podem ser alteradas a qualquer momento pelo Administrador do sistema, conforme a necessidade. 8. Vamos Copiar as permisses herdadas. D um clique no boto Avanado e, na janela que surge, desmarque a opo Herdar do pai as entradas..... Ser exibida janela solicitando confirmao, d um clique no boto Copiar. Com isso copiamos as permisses herdados, transformando-as em permisses explcitas, as quais podem ser alteradas. D um clique no boto OK para fechar a janela de configuraes avanadas e voltar para a guia Segurana. 9. D um clique em user1 para marc-lo. Na parte do meio da janela, onde tem Permisses, deixe apenas o opo Leitura marcada. 10. Repita a operao para o usurio user2. 11. D um clique no boto OK, para fechar a janela Propriedades de teste.txt. 12. Agora a pasta Documentos possui permisses NTFS Modificar para os usurios user1 e user2 e Controle total para o usurio Administrador. J o arquivo teste.txt tem permisso Leitura para os usurios user1 e user2, e Controle total para o usurio Administrador. Agora temos permisses NTFS para a pasta Documentos e permisses NTFS diferentes para o arquivo teste.txt que est dentro da pasta Documentos. Vamos testar estas permisses, tanto atravs da rede, quanto localmente. Antes de iniciarmos os testes lembre que, no caso de conflito entra as permisses de pasta e as permisses do arquivo, prevalece as permisses do arquivo. Passo 5 no computador microxp02: Testando o funcionamento das permisses NTFS atravs da rede. 1. Faa o logon no computador microxp02 com a conta de usurio user2 e para a senha digite senha123. 2. Tente acessar o compartilhamento Documentos, no computador microxp01. Voc conseguiu? claro que sim, uma vez que o usurio user2 tem permisso para acessar esse compartilhamento e tambm tem as permisses NTFS necessrias. 3. Dentro da pasta Documentos deve estar o arquivo teste.txt. D um clique para marclo e pressione a tecla Delete para exclu-lo. Voc conseguiu eliminar o arquivo teste.txt? No. Isso porque o usurio user2 possui permisses NTFS modificar na pasta Documentos, mas no arquivo teste.txt, as permisses do usurio user2 so apenas Leitura. Como as permisses de arquivo tem prioridade sobre as permisses de pasta, a permisso efetiva do usurio user2 no arquivo teste.txt Leitura, a que no permite que o arquivo seja excludo pelo usurio user2. 4. Voc deve ter recebido uma mensagem de Acesso negado. D um clique em OK para fech-la. 5. Faa o logoff do usurio user2.
Segurana no Windows XP Professional - Bsico Passo 6 no computador microxp01: Testando o funcionamento das permisses NTFS localmente. 1. Faa o logon no computador microxp01 com a conta de usurio user2 e para a senha digite senha123. 2. Abra o Windows Explorer e acesse a pasta C:\Documentos. Voc conseguiu ? 3. claro que sim, uma vez que o usurio user tem as permisses NTFS necessrias para acessar a pastas Documentos. 4. Dentro da pasta Documentos deve estar o arquivo teste.txt. D um clique para marclo e pressione a tecla Delete para elimin-lo. Voc conseguiu eliminar o arquivo teste.txt ? 5. No. Isso porque o usurio user2 possui permisses NTFS modificar na pasta Documentos, mas no arquivo teste.txt, as permisses do usurio user2 so apenas Leitura. Como as permisses de arquivo tem prioridade sobre as permisses de pasta, a permisso efetiva do usurio user2 sobre o arquivo teste.txt Leitura, a qual no permite que o arquivo seja excludo por este usurio. Alm disso nunca demais lembrar que as permisses NTFS so vlidas tanto para acessos atravs da rede, quanto para acessos locais. 6. Voc deve ter recebido uma mensagem de Acesso negado. D um clique em OK para fech-la. 7. Faa o logoff do usurio user2. Exerccio: Crie uma pasta chamada Ofcios em uma unidade formatada com NTFS. Desative opo para herdar as permisses do objeto pai. Atribui permisses de leitura para o grupo de usurios Empresa e permisso de Controle total para o usurio user3. Poder o usurio user3 criar um novo arquivo dentro da pasta Ofcios ? Sim, pois a permisso efetiva do usurio user3 a soma das permisses atribudas aos grupos aos quais ele pertence, no caso ao grupo Empresa mais as permisses atribudas ao prprio usurio, conforme explicado anteriormente. Combinando permisses de compartilhamento e permisses NTFS Voc pode estar se perguntando como que o Windows XP trata quando existem diferenas entre as permisses de compartilhamento e as permisses NTFS. Por exemplo se nas permisses de compartilhamento o usurio maria tem direito de Controle total e nas permisses NTFS o usurio maria tem direito apenas de Leitura. Qual a permisso efetiva do usurio maria ? Nos j comentamos um pouco sobre a combinao entre as permisses de compartilhamento e as permisses NTFS. Neste tpico iremos detalhar esta combinao. NO ESQUEA: Quando existem diferenas entre as permisses de compartilhamento e as permisses NTFS, a permisso efetiva a mais restritiva, isto , aquele que restringe mais as aes que podem ser tomadas. No exemplo do primeiro pargrafo, a permisso efetiva para o usurio maria seria Leitura, a qual mais restritiva do que Controle total.
Segurana no Windows XP Professional - Bsico Vamos analisar algumas situaes prticas para fixar bem a combinao entre permisses de compartilhamento e NTFS. Exemplo 01: Considere a situao indicada na Figura a seguir. Qual a permisso efetiva do usurio jsilva2, na pasta compartilhada Documentos?
Figura - A permisso efetiva a mais restritiva. Para entender a situao da Figura a seguir, devemos ter em mente que no caso de diferenas entre as permisses de compartilhamento e as permisses NTFS, a permisso efetiva a mais restritiva. No exemplo da figura a permisso efetiva do usurio jsilva2 leitura a qual a mais restritiva entre Modificar (a permisso NTFS do usurio jsilva2) e Leitura (permisso de compartilhamento do usurio jsilva2). A mesma anlise vlida em relao ao usurio maria. Vamos considerar uma situao um pouco mais complexa, onde temos que considerar a combinao das permisses dos diferentes grupos aos quais pertence um usurio, alm da combinao entre permisses de compartilhamento e permisses NTFS. Vamos admitir que o usurio paulo pertena aos grupos Contabilidade e Marketing. Com base na Figura a seguir, qual seria a permisso efetiva para o usurio paulo sobre a pasta compartilhada Documentos ?
Figura - Usurio paulo pertence aos grupos Marketing e Contabilidade. Para definir a permisso efetiva para o usurio jsilva2, temos que levar em conta diversos regras.
Segurana no Windows XP Professional - Bsico Quando um usurio pertence a vrios grupos, os quais recebem diferentes permisses ( quer sejam permisses de compartilhamento ou NTFS), a permisso efetiva a soma das permisses. Alm disso devemos lembrar que Negar tem prioridade sobre permitir. No caso das permisses de compartilhamento, um dos grupos ao qual o usurio jsilva2 pertence grupo Contabilidade tem a permisso de leitura negada. Logo a permisso efetiva de compartilhamento para jsilva2 Negar leitura.
A permisso efetiva NTFS para o usurio jsilva2 a soma das permisses do usurio com as permisses dos grupos Marketing e Contabilidade. Com isso a permisso NTFS efetiva Permitir Controle total. Com isso podemos reduzir a nossa situao a uma situao mais simplificada, conforme indicado na Figura a seguir:
Figura - Simplificando a situao. Agora temos que lembrar que quando existe diferena entre as permisses de compartilhamento e NTFS vale a mais restritiva.
Com isso podemos determinar que a permisso efetiva do usurio jsilva2 sobre o compartilhamento Documentos Negar Leitura, isto , o usurio no conseguir nem listar o contedo da pasta. Mapeando de unidades de rede J falamos sobre o mapeamento de unidades de rede, nos exemplos anteriores. Agora vamos detalhar um pouco mais este conceito. At agora acessvamos uma pasta compartilhada, utilizando o comando Iniciar -> Executar. Quando precisamos acessar um determinado compartilhamento seguidamente, devemos Mapear uma unidade, o que torna o acesso a pasta compartilhada, muito mais fcil. Mapear uma unidade significa que vamos associar uma determinada letra com o compartilhamento da rede. Por exemplo, poderamos associar a unidade M:\ como o compartilhamento Documentos do computador microxp01. Com isso ao acessar a unidade M:\, na verdade estamos acessando o contedo da pasta compartilhada \\microxp01\Documentos. Alm disso podemos fazer com que o Windows XP restabelea este mapeamento toda vez que for feito o logon. Com isso a unidade estar sempre disponvel. Em captulos anteriores, me referi a estas unidades como Drives de rede. Os termos so sinnimos.
Autor: Jlio Cesar Fabris Battisti Site: www.juliobattisti.com.br
proibido usar este material em treinamentos ou em sala de aula. Pgina 108 de 290
Segurana no Windows XP Professional - Bsico Exemplo: Mapeando o drive M: para a pasta compartilhada Documentos no computador microxp01. 1. Faa o logon como Administrador no computador microxp02. 2. Abra o Meu computador ou o Windows Explorer. 3. Selecione o comando Ferramentas -> Mapear unidade de rede... Surge a janela Mapear unidade de rede, indicada na Figura a seguir:
Figura - Janela Mapear unidade de rede. 4. Na lista unidade escolha M: 5. No campo Pasta: digite \\microxp01\Documentos. Conforme vimos antes este o nome UNC do compartilhamento Documentos no computador microxp01. Certifique-se que a opo Reconectar-se durante o logon esteja marcada. Essa opo faz com que o drive M: seja mapeado cada vez que o usurio Administrador fizer o logon. Observe que o drive somente ser automaticamente montado para o usurio Administrador. possvel fazer com que um ou mais drives sejam montados automaticamente, para todos os usurios. Para isso utilizamos scripts de Inicializao, conforme aprenderemos no Captulo 16. 6. D um clique no boto OK para concluir o mapeamento. Nota: Voc pode utilizar a opo nome de usurio diferente, para acessar a pasta compartilhada como sendo um usurio diferente do usurio logado. Neste caso, valero as permisses do usurio informado e no as permisses do usurio que est logado. 7. O Windows XP abre uma janela mostrando o contedo do drive mapeado. Feche essa janela. 8. Voc estar de volta na janela Meu computador (ou ao Windows Explorer).
Segurana no Windows XP Professional - Bsico 9. Procure por um drive M:. Se este ainda no aparece, d um toque na tecla F5 para atualizar a listagem. 10. O drive M: deve aparecer na listagem de drives de rede. Nota: Voc pode acrescentar o smbolo do cifro ($) no final do nome de um compartilhamento. O efeito de acrescentar o cifro que voc torna o compartilhamento oculto, isto , este no pode ser localizado atravs da opo Meus locais de rede. Por exemplo, se voc criar um compartilhamento no computador microxp01, cujo nome de compartilhamento Dados$, a nica maneira de acess-lo atravs do nome UNC: \\microxp01\Dados$. Compartilhamentos deste tipo, so chamados de compartilhamentos ocultos. Podemos mapear uma unidade de rede para um compartilhamento oculto, desde que saibamos o caminho para o compartilhamento. Existem alguns compartilhamentos ocultos especiais, para os quais somente Administradores tem acesso e cujas permisses de acesso no podem ser modificadas. Por padro o Windows XP cria compartilhamentos administrativos para todas as unidades de disco rgido do computador. Por exemplo, se voc tem duas unidades de disco rgido C: e D: , o Windows XP ir criar dois compartilhamentos administrativos C$ e D$, para os quais somente o grupo Administradores tem acesso, podendo inclusive mapear uma unidade para um compartilhamento administrativo. Quando no precisamos mais de um drive mapeado podemos, facilmente, desconect-lo. Para desconectar um drive mapeado, faa o seguinte: 1. Abra o Meu computador. 2. Localize o drive a ser desconectado e d um clique com o boto direito sobre o respectivo drive. 3. No menu que surge d um clique na opo Desconectar-se e pronto. Caso o drive ainda esteja aparecendo tecle F5 para atualizar a listagem.
Nunca demais ressaltar a importncia de termos cpias de seguranas de todos os nossos arquivos de dados: documentos do Word, planilhas do Excel, bancos de dados, documentos de texto e assim por diante. A cpia de segurana a nica proteo que temos para o caso de um dano fsico no disco rgido, o que no difcil de acontecer. Neste mdulo, aprenderemos sobre os diferentes tipos de cpia de segurana (backup) que existem, quais as estratgias de backup/restore que podem ser utilizadas. Na parte prtica, veremos a quais tipos de backup o Windows XP d suporte e vamos reforar a importncia do planejamento para a criao de um estratgia de backup eficiente. Veremos que possvel automatizar as rotinas de backup, mediante o uso do agendamento de tarefas. Este um exemplo tpico de tarefa repetitiva, que deve ser executada fora do horrio de expediente e que adequada para a automao por meio do recurso de tarefas agendadas do Windows XP.
Segurana no Windows XP Professional - Bsico Backup Introduo e Conceitos Fazer o Backup, significa fazer uma ou mais cpias de segurana dos arquivos e pasta do seu disco rgido ou das configuraes do sistema, para que seja possvel restaurar estas configuraes, em caso de problemas. Muitos usurios e at mesmo pequenas empresas simplesmente ignoram a necessidade de implementar uma poltica de Backup. Muitas vezes os usurios s se do conta do problema quando tarde demais, ou seja, quando houve uma perda de dados importantes. o usurio que perdeu os documentos do Word e figuras da sua tese de mestrado, a vdeo locadora que perdeu os dados de anos de locaes, o Dentista que perdeu as informaes sobre as fichas dos pacientes, sobre quais pacientes deviam e assim por diante. Em resumo: grandes dores de cabea e prejuzos. Fazer cpia de segurana uma necessidade real, no temos como fugir deste fato. Alm disso o custo insignificante, isto mesmo: insignificante se compararmos com os prejuzos que podem ser causados pela perda de dados. Nota: Utilizarei a palavra Backup como sinnimo de Cpia de segurana, por ser este termo j conhecido e consagrado. Neste tpico veremos alguns detalhes sobre os tipos de backup existentes e sobre estratgias de backup que devem ser implementadas. Tambm darei algumas sugestes sobre os dispositivos de Backup que voc pode utilizar caso seja um usurio domstico ou dono de uma pequena empresa e no tenha dinheiro para gastar com um sistema de backup mais sofisticado. Definindo o tipo de Backup a ser utilizado Dependendo da quantidade de dados e do tempo disponvel, podemos utilizar diferentes estratgias de backup. As estratgias de backup so baseadas em um ou mais tipo de backup. Podemos ter estratgias bastante simples, baseadas na cpia completa de todos os arquivos, at estratgias mais sofisticadas, baseadas na combinao entre diferentes tipos de backup. Vamos inicialmente apresentar os diferentes tipos de backup. No Windows XP podemos utilizar os seguintes tipos de backup: Normal: Com este tipo de backup todos os arquivos so copiados, toda vez que o backup for feito, independentemente de os arquivos terem sido alterados ou no desde o ltimo backup. O arquivo marcado como tendo sido feito o backup, ou seja, o atributo de arquivamento desmarcado. A principal vantagem a facilidade para fazer a restaurao dos arquivos, quando necessrio. Com o backup do tipo normal, para restaurar os arquivos, precisamos apenas do ltimo backup. A desvantagem o tamanho do backup e o tempo para execuo deste, uma vez que a cada execuo do backup, todos os arquivos e pastas sero copiados Geralmente, o backup normal executado quando voc cria um conjunto de backup pela primeira vez. Nos backup subseqentes utilizamos outros tipos de backup, conforme descreveremos a seguir.