Enhanced Mitigation Experience Toolkit–Evite ataques de Hackers-Versão 2.1

Atualizado em 22/05/2011: Disponibilizado a versão 2.1: Entre as novidades estão o recurso de importação e exportação, habilidade para gerenciamento por linha de comando e suporte oficial pelos foruns da Microsoft. Detalhes em http://blogs.technet.com/b/srd/archive/2011/05/18/new-version-of-emet-is-now-available.aspx

Um dos maiores problemas hoje é a rapida propagação e criação de métodos para sermos hackeados. Como a plataforma Windows é utilizada em grande parte dos computadores pelo mundo precisamos estar atentos.

A Microsoft acaba de disponibilizar o EMET 2.1 que permite configurar aplicações e o seu sistema para usar o máximo de segurança possivel. O EMET 2.1 pode ser baixado em http://www.microsoft.com/downloads/en/details.aspx?FamilyID=e127dfaf-f8f3-4cd5-8b08-115192c491cb.

O EMET permite verificar em tempo real quais aplicações estão utilizando DEP (Disable Executive Bit) e saber aplicações que podem estar com propensas a se aproveitar de eventuais vulnerabilidades. É claro que algumas aplicações conhecidas como driversnão necessariamente executam com DEP, mas são conhecidas. O DEP protege o sistema por não permitir que outras aplicações façam uso do heap ou stack que pertença ao sistema, como um cadeado da memória.

Alem do DEP o EMET também permite configurar o Structure Exception Handler Overwrite Protection (SEHOP) que é um sistema criado a partir do Vista SP1 e protege que programas executem chamadas a ponteiros do stack de memória permitindo fazer um hiijack redirecionando as chamadas posteriores para este programa mal intencionado.

Outra proteção destacada do EMET é o Mandatory Address Space Layout Randomization (ASLR) que consiste em randomiza o endereço de memória onde uma função é alocada, com isso um hacker não saberá onde, por exemplo, está alocado na memória um processo vulnerável, já que este estará carregado em local diferente a cada ativação.

A tabela abaixo mostra as vantagens do EMET, pois o Windows XP e Windows 2003 não tem o recurso SEHOP e ASLR nativo e o EMET faz a proteção, o que aumenta em muito a segurança do sistema como mostra a tabela abaixo:

image

Bem, vamos ver o EMET na prática a partir das telas abaixo. A primeira é a tela principal:

EMET-1Note que o EMET mostra todas as aplicações e se estão ou não utilizando o CEP para proteção do sistema.

É possivel configurar uma aplicação suspeita para utilizar o DEP de modo forçado, para isso cadastre a aplicação em “Configure Apps”, como a tela abaixo mostra:

EMET-3

Após colocar a aplicação na lista e indicar os recursos de segurança obrigatórios veja como agora o EMET mostra a lista com o processo BTTray indicando que está sendo “monitorado”:

EMET-4

Também é possivel deixar os recursos de segurança ligados o tempo todo utilizando o botão “Configure System”:

EMET-2

Alem da interface gráfica é possivel configurar o EMET pela linha de comando. Para isso leia o manual de usuário que é instalado junto com o EMET. O manual também é muito bom por detalhar e mostrar gráficos que ilustram os diferentes tipos de ataques hacker, que estou anexando abaixo:

Users Guide.pdf (950,12 kb)

Tarefas e Configurações de um Server Core com WMIC

Continuando a falar sobre as dificuldades que muitos encontram ao administrar um Windows 2008 Server Core, vamos falar um pouco sobre o WMIC (Windows Management Instrumentation Command-Line).

Este é um comando que abre um console para administrar todos os recursos WMI disponiveis, o que inclui praticamente todo o ambiente do Windows.

Para acessá-lo use o command prompt e chame o WMIC:

image

Para conhecer todos os comandos digite “/?” e verá os switchs de formatação e saida e na sequencia a lista de comandos possiveis.

Seguem alguns exemplo de comandos disponíveis:

  • PRODUCT – Lista todos os programas instalados
  • QFE – Listar os updates instalados na maquina
  • SHARE – Listar os diretórios compartilhados
  • PROCESS – Lista os processos em execução (similar ao Task Manager)
  • NICCONFIG – Administrar as placas de rede, IP, etc.

Qualquer um destes comandos e subcomandos podem ser consultados com “/?”:

 image

O exemplo acima mostra como habilitar o DHCP em uma placa por utilizar “NICCONFIG CALL ENABLEDHCP”, ou então colocar o IP do DNS usando “NICCONFIG CALL ENABLEDNS(<IP>)”.

IMPORTANTE: Assim como o NETSH os comandos do WMIC podem ser executados em linha, o que o torna uma interessante ferramenta para uso em scripts.

Faça um teste agora mesmo e utilize esta interessante ferramenta que também está disponivel desde o Windows XP e também no Windows 7 e Windows 2008 em instalação normal (GUI).

Relação Completa de Portas e Serviços do Windows 2008 R2

Uma dúvida que temos com frequencia é quais são as portas que o Windows utiliza em determinado serviço. Por exemplo, ao configurar um firewall ou DMZ fazer a comunicação entre as pontas era complicado sem uma lista confiável de portas. Estas listas normalmente eram fragmentadas em serviços.

Eu possuia um documento que listava estas portas do Windows 2003, mas com os novos serviços muitas informações se tornaram obsoletas. Agora a Microsoft atualizou a lista para o Windows 2008 R2 no link http://support.microsoft.com/kb/832017

O melhor nesta lista é que ao final constam as referencias a outros serviços e produtos Microsoft.

Bom proveito, imprima ou copie esta relação e guarde-a !!!!