Segurança aplicada à estações de trabalho institucionais:
Para que os usuários tenham acesso às estações de trabalho, elas deverão seguir os seguintes requisitos técnicos iniciais:
Princípio do Menor Privilégio:
|
|
Evitar que os sistemas operacionais das estações de trabalho institucionais sejam utilizados com privilégios de “Administrador” ou “root” pelos usuários. O usuário principal do equipamento deve operar com uma conta de usuário padrão, sem privilégios administrativos locais permanentes. |
|
|
A elevação de privilégios para instalação de software ou alteração de configurações deve ser controlada pela equipe de TI ou realizada por meio de uma conta administrativa separada e de uso pontual. |
Criação de contas individuais:
|
|
Usuários distintos no sistema operacional para cada pessoa, mantendo a obrigatoriedade de definição de uma senha individual e intransferível. |
|
|
Contas Microsoft (Windows): Desabilitar a opção que permite o uso de contas Microsoft de usuários em sistemas Windows, priorizando contas de domínio ou locais. |
Bloqueio automático de Tela Obrigatório:
|
|
Em ambientes institucionais sugere-se o tempo de 10 minutos de inatividade; |
|
|
Em ambientes públicos ou compartilhados sugere-se o tempo de 5 minutos de inatividade; |
Segurança Avançada:
Estações de trabalho institucionais utilizadas por servidores que, devido às suas atribuições, necessitem de acessos para gerenciamento de infraestruturas ou a sistemas e dados institucionais classificados como críticos ou confidenciais, deverão ser configuradas e mantidas pela equipe de TI em conformidade com as seguintes diretrizes de segurança avançada:
|
|
Criptografía de Dispositivo: A criptografía de de dispositivo, seja disco completo ou específica do sistema operacional (ex: BitLocker para Windows nas versões PRO, FileVault para mac OS, LUKS para Linux, etc) deve ser obrigatoriamente ativada para proteger os dados em repouso em caso de perda ou roubo do equipamento, especialmente em notebooks. |
Softwares Antivírus/Antimalware e Firewall:
|
|
Manter softwares antimalware/antivírus, nativo do sistema operacional ou de terceiros, instalados e atualizados em dispositivos institucionais (fixos e móveis), realizando varreduras frequentes. |
|
|
Habilitar o firewall do sistema operacional da estação de trabalho. |
Hardening do Sistema Operacional e de outros softwares:
As configurações padrões do sistema operacional e de outros softwares nele instalados devem ser revistas e fortalecidas, o que inclui a desativação de serviços e portas de rede desnecessários e a remoção de softwares não essenciais.
|
|
Manter navegadores de internet sempre atualizados. |
Definir políticas de segurança rígidas para navegadores de internet em estações públicas, compartilhadas ou em ambientes de laboratório:
|
|
Impeça o usuário de salvar senhas; |
|
|
Impeça o usuário de preencher campos automaticamente; |
|
|
Impeça o usuário de reter históricos; |
|
|
Impeça o usuário de sincronizar contas; |
|
|
Configurar para exclusão automática de dados de navegação (histórico, cookies, dados de cache) ao final de cada sessão ou ao fechar o navegador. |
|
|
A cada logout, reinício, desligamento do sistema operacional os dados do navegador sejam removidos; |
|
|
Forçar o uso de abas anônimas em ambientes onde isso é tecnicamente possível. |
|
|
Priorizar o uso de perfis de "convidados" ou modos efêmeros. |
Gestão de Softwares e Aplicações:
|
|
Impedir a instalação de softwares não autorizados, não licenciados ou com finalidades que possam oferecer riscos à segurança cibernética, integridade ou imagem da instituição. |
|
|
Em nenhuma hipótese faça uso de softwares ou sites ilegais. |
|
|
A instalação de softwares em dispositivos institucionais é atribuição exclusiva do setor de TI local. |
“Congelamento” de sistemas:
|
|
Utilização de softwares de "reset/congelamento de sistemas" em ambientes de estações públicas e laboratórios pode auxiliar a evitar o reaproveitamento não autorizado dos conteúdos, reverter comprometimentos e alterações de configurações. |
Uso de Diretiva de Grupos (GPOs):
|
|
Utilize Diretivas de Grupo (GPOs) para forçar restrições nas estações de trabalho. |
Controle de Acesso Remoto:
Remover, desabilitar e/ou impedir a instalação de softwares ou serviços de acesso remoto nos sistemas operacionais das estações institucionais de modo geral, como por exemplo SSH / RDP / WinRM / VNC / TeamView / AnyDesk e outros softwares de terceiros.
|
|
Filtrando e impedindo o tráfego dessas aplicações na entrada, saída e entre vlans, utilizando para isso o firewall local do s.o. e o firewall da rede. |
|
|
Se necessário, o acesso remoto deve ser restrito a usuários técnicos, com tráfego de origem exclusivo das redes das equipes de TI. |
É importante ressaltar que muitos desses softwares possuem apenas licenças comerciais e seu uso sem o devido licenciamento é ilegal.
Redes e Compartilhamentos:
Desabilite diretivas de compartilhamento inseguro entre estações de trabalho:
Protocolos legados:
|
|
Remoção de protocolos de compartilhamento legados, como o SMBv1 (vulnerável, descontinuado e utilizado frequentemente em ataques de ransomware). Caso ainda haja serviços locais que dependam deste protocolo, eles devem ser descontinuados o mais rápido possível; |
|
|
Verificação da exsitência de outros protocolos vulneráveis de compartilhamento. |
Compartilhamento Anônimo:
|
|
Impedir o sessões anônimas ou de visitantes para acesso a compartilhamentos; |
|
|
Desativar a opção de compartilhamento sem senha; |
|
|
Desativar o compartilhamento de pastas públicas; |
|
|
Desativar a descoberta de rede; |
|
|
Em ambiente de estações compartilhadas ou de uso público, desative o compartilhamento de arquivos e impressoras e faça o mesmo em outros ambientes em que os compartilhamentos locais não são necessários. |