Segurança aplicada à estações de trabalho institucionais:
Para que os usuários tenham acesso às estações de trabalho, elas deverão seguir os seguintes requisitos técnicos iniciais:
Princípio do Menor Privilégio:
|
|
Evitar que os sistemas operacionais das estações de trabalho institucionais sejam utilizados com privilégios de “Administrador” ou “root” pelos usuários. O usuário principal do equipamento deve operar com uma conta de usuário padrão, sem privilégios administrativos locais permanentes. |
|
|
A elevação de privilégios para instalação de software ou alteração de configurações deve ser controlada pela equipe de TI ou realizada por meio de uma conta administrativa separada e de uso pontual. |
Criação de contas individuais:
|
|
Usuários distintos no sistema operacional para cada pessoa, mantendo a obrigatoriedade de definição de uma senha individual e intransferível. |
|
|
Contas Microsoft (Windows): Desabilitar a opção que permite o uso de contas Microsoft de usuários em sistemas Windows, priorizando contas de domínio ou locais. |
Bloqueio automático de Tela Obrigatório:
|
|
Em ambientes institucionais sugere-se o tempo de 10 minutos de inatividade; |
|
|
Em ambientes públicos ou compartilhados sugere-se o tempo de 5 minutos de inatividade; |
Segurança Avançada:
Estações de trabalho institucionais utilizadas por servidores que, devido às suas atribuições, necessitem de acessos para gerenciamento de infraestruturas ou a sistemas e dados institucionais classificados como críticos ou confidenciais, deverão ser configuradas e mantidas pela equipe de TI em conformidade com as seguintes diretrizes de segurança avançada:
|
|
Criptografía de Dispositivo: A criptografía de de dispositivo, seja disco completo ou específica do sistema operacional (ex: BitLocker para Windows nas versões PRO, FileVault para mac OS, LUKS para Linux, etc) deve ser obrigatoriamente ativada para proteger os dados em repouso em caso de perda ou roubo do equipamento, especialmente em notebooks. |
Softwares Antivírus/Antimalware e Firewall:
|
|
Manter softwares antimalware/antivírus, nativo do sistema operacional ou de terceiros, instalados e atualizados em dispositivos institucionais (fixos e móveis), realizando varreduras frequentes. |
|
|
Habilitar o firewall do sistema operacional da estação de trabalho. |
Hardening do Sistema Operacional e de outros softwares:
As configurações padrões do sistema operacional e de outros softwares nele instalados devem ser revistas e fortalecidas, o que inclui a desativação de serviços e portas de rede desnecessários e a remoção de softwares não essenciais.
|
|
Manter navegadores de internet sempre atualizados. |
Definir políticas de segurança rígidas para navegadores de internet em estações públicas, compartilhadas ou em ambientes de laboratório:
|
|
Impeça o usuário de salvar senhas; |
|
|
Impeça o usuário de preencher campos automaticamente; |
|
|
Impeça o usuário de reter históricos; |
|
|
Impeça o usuário de sincronizar contas; |
|
|
Configurar para exclusão automática de dados de navegação (histórico, cookies, dados de cache) ao final de cada sessão ou ao fechar o navegador. |
|
|
A cada logout, reinício, desligamento do sistema operacional os dados do navegador sejam removidos; |
|
|
Forçar o uso de abas anônimas em ambientes onde isso é tecnicamente possível. |
|
|
Priorizar o uso de perfis de "convidados" ou modos efêmeros. |
Gestão de Softwares e Aplicações:
|
|
Impedir a instalação de softwares não autorizados, não licenciados ou com finalidades que possam oferecer riscos à segurança cibernética, integridade ou imagem da instituição. |
|
|
Em nenhuma hipótese faça uso de softwares ou sites ilegais. |
|
|
A instalação de softwares é atribuição exclusiva do setor de TI local. |
“Congelamento” de sistemas:
|
|
Utilização de softwares de "reset/congelamento de sistemas" em ambientes de estações públicas e laboratórios pode auxiliar a evitar o reaproveitamento não autorizado dos conteúdos, reverter comprometimentos e alterações de configurações. |
Uso de Diretiva de Grupos (GPOs):
|
|
Utilize Diretivas de Grupo (GPOs) para forçar restrições nas estações de trabalho. |