Tornando seu sistema mais seguro de uma forma simples

[Raphael Ventorim]

Boa tarde galera, existe uma maneira de deixar o seu sistema bem mais seguro, que é muito antiga já e na minha opinião a mais eficiente de todas, porém ainda pouco explorada. Já vi essa dica em vários lugares da internet, mas nunca enfatizando sua real importância, seu alto nível de proteção, então resolvi postar aqui no fórum. Uso há alguns anos e nem me preocupo muito com antivírus mais.

 

Bom, se trata de rebaixar as permissões do seu usuário do Windows. O procedimento é simples:

1) Entre na Lixeira e na barra de endereços digite "compmgmt.msc" (sem aspas), Enter

2) No menu à esquerda, entre em "Usuários e Grupos Locais", Usuários e clique duas vezes no nome do seu usuário.

3) Clique na aba "Membro de", Adicionar..., digite Usuários no campo em branco, OK

4) Agora, selecione o item Administradores e clique em Remover, pressione OK

5) Clique com o botão direito no usuário Administrador e defina uma senha que somente você saiba

6) Clique duas vezes em Administrador e desmarque a caixa de seleção "Conta Desativada", OK

 

Caso exista mais de uma conta em uso no Windows, repita os passos 3 e 4 para ela também.

 

Reinicie o computador para que as alterações tenham efeito!

 

Agora você pode deixar seu irmãozinho, sua mãe, seu tio usarem o seu computador à vontade sem precisar se preocupar com a instalação de malwares perigosos ao funcionamento do sistema operacional!. Afinal, eles só conseguiriam fazer isto com a senha de administrador.

 

Espero ter ajudado! Abraços

[sdriver]

Não seria muito mais fácil criar contas de usuários ou mesmo de convidados para eles em vez de tirar os direitos administrativos do seu usuário? Dá de criar contas sem senha cujo operador tenha essas permissões reduzidas.

Ou se quiser ser ainda mais drástico, existem programas que congelam o estado do pc. infelizmente o steady state foi abandonado pela MS, mas existem programas de deep freeze de terceiros que fazem o trabalho. 

[Raphael Ventorim]

Com certeza é muito mais fácil, mas muito menos seguro!

 

Li um artigo num site conceituado uma vez dizendo que mesmo a gente sendo o próprio administrador do computador, é recomendável usar uma conta de usuário padrão, pois o sistema se torna naturalmente mais seguro. O internet explorer, por exemplo, tem brechas de segurança que só são vulneráveis quando está sendo usado por um usuário administrador!

Não era pra ser assim, mas o windows infelizmente tem essas características...

Não me lembro o site agora que li esse artigo, mas vou procurar esse artigo de novo pra ver se posto aqui mais tarde.

 

Além disso tem aqueles momentos que você deixa seu computador desbloqueado e alguém resolve usá-lo sem sair da sua conta, aí quando a gente volta o estrago já pode ter sido feito! Estou me referindo mais a danos não intencionais, compreende?

 

abraços

 

[sdriver]

Se você for partir para essa linha de pensamento, se em algum momento você logar com a conta administrativa pra instalar algo e esquecer ela aberta, dá no mesmo. 

Já o IE hoje em dia existe muito mais preconceito do que ele merece. A versão 11 é tão insegura quanto o Chrome ou Firefox podem ser.  

Nenhum antivirus é mais eficaz do que o bom senso. Mas para quem tem aqueles parentes pentelhos de 12 anos que acham que sabem "mexer com o computador" ainda acho programas que programas de deep freeze sejam mais eficazes. 

 

 

[Raphael Ventorim]

Não, você não vai precisar logar na conta de Administrador para instalar algo! Você só vai precisar digitar a senha de administrador no momento da instalação (numa caixa de diálogo do UAC dentro da própria conta de usuário padrão) e estará automaticamente concedendo permissões administrativas, sem precisar trocar de conta ou fazer logoff 

 

Concordo que o IE não é tão ruim assim quanto dizem, estou o usando como exemplo apenas, por ele ser uma parte do sistema operacional, assim como outros programas do windows que podem sofrer mais com falhas de segurança por estarem sendo executados com permissões administrativas. Se acontece com o IE, pode muito bem acontecer com outro programa nativo, certo?

 

Esses programas de deep freeze atuam depois que a m*** foi feita, a conta de usuário padrão simplesmente impede que a m*** seja feita, sendo uma solução mais preventiva, portanto 

 

Agora, depois que você digitou a senha e deu OK, é por sua conta e risco também, aí sim seria interessante usar programas de deep freeze.

[Raphael Ventorim]

Algumas páginas com conteúdo que reforçam a ideia presente neste tópico:

 

Por que usar uma conta de usuário padrão em vez de uma conta de administrador?

http://windows.microsoft.com/pt-br/windows/why-standard-user-account

 

10 hábitos que todo usuário de Windows deve cultivar

http://canaltech.com.br/dica/windows/10-habitos-que-todo-usuario-de-windows-deve-cultivar/

 

Configurando o Windows 7 para uma conta de usuário com acesso limitado

https://technet.microsoft.com/pt-br/library/ee623984(v=ws.10).aspx

 

Façam bom proveito!

[Erickn]

Para os usuários comuns da internet agora estão usando uma variedade de métodos é um software anti-vírus, não são gratuitos, fui criado com as janelas 10 após o início da UPCleaner do computador. Sua função de otimização do pc bem.

[Raphael Ventorim]

6 horas atrás, Erickn disse:

Para os usuários comuns da internet agora estão usando uma variedade de métodos é um software anti-vírus, não são gratuitos, fui criado com as janelas 10 após o início da UPCleaner do computador. Sua função de otimização do pc bem.

 

Que língua é essa que você fala meu amigo? "Janelas 10", o que isso significa?

Acho que você não conseguiu se expressar muito bem kkkkkkkkkkkkkk

[Marcos FRM]

A Microsoft deveria ter obrigado isso ser padrão desde o Windows NT 3.1. Fizeram um verdadeiro desserviço a todo o ecossistema do Windows NT só com o UAC (2006!) terem começado a restringir o que o usuário padrão criado depois da instalação pode fazer.

 

Concordo com sua recomendação. O problema é que ainda existem aplicativos bugados que requerem contas com privilégio administrativo. Eu recomendo, para quer puder, jogar-los na lata do lixo, pois é seu lugar.

 

Usando uma conta limitada, você destruirá no máximo o seu perfil de usuário, não o sistema inteiro (desconsiderando eventuais falhas de segurança que permitam elevação de privilégio -- por isso manter o sistema atualizado é importante).

 

A partir do Vista, o Windows está mais amigável para contas limitadas. O acesso às configurações do sistema, por exemplo, passa pelo UAC, que vê quais usuários da máquina são administradores e pede autenticação de um deles.

[Raphael Ventorim]

46 minutos atrás, Marcos FRM disse:

A Microsoft deveria ter obrigado isso ser padrão desde o Windows NT 3.1. Fizeram um verdadeiro desserviço a todo o ecossistema do Windows NT só com o UAC (2006!) terem começado a restringir o que o usuário padrão criado depois da instalação pode fazer.

 

 

Se eu entendi o que você quis dizer, a primeira conta criada pelo sistema já deveria ser restrita, certo?

Eu concordo, acho que o windows deveria informar melhor quanto aos riscos de se elevar as permissões do usuário, ou talvez exigindo do usuário que insira uma senha de administrador forte logo após a instalação.

 

 

46 minutos atrás, Marcos FRM disse:

Concordo com sua recomendação. O problema é que ainda existem aplicativos bugados que requerem contas com privilégio administrativo. Eu recomendo, para quer puder, jogar-los na lata do lixo, pois é seu lugar.

 

 

Na verdade essa dica é válida a partir do Windows XP (considerando apenas os SOs feitos para usuários residenciais), mas só a partir do Vista que a situação começou a ficar mais amigável mesmo, com o UAC podendo elevar os privilégios sem precisar fazer logoff 

 

Esses aplicativos que requerem privilégios administrativos simplesmente para serem executados felizmente estão se tornando cada vez menos comuns, mas aqui por exemplo quando uma atualização do Java ou do iTunes está disponível, eles ainda pedem senha de administrador para que sejam atualizados, o que também é uma imbecilidade ao meu ver!

 

Veja um trecho do terceiro artigo que indiquei acima que é interessante:

"

Muito disso se deve aos primeiros sistemas operacionais para consumidor (Windows 95, Windows 98 e Windows ME), que não mantiveram nenhuma diferenciação técnica entre estas funções: todas as pessoas sempre foram administrador, e os desenvolvedores de software nem sonhavam em pensar numa separação de funções.

Mas até mesmo com os mais modernos sistemas Windows NT, Windows 2000 e Windows XP, era tão difícil trabalhar como usuário não administrativo que a maioria das pessoas simplesmente desistiu e trabalhavam com uma conta de Administrador. Isso aconteceu quase que completamente devido aos maus hábitos dos desenvolvedores de software: eles mesmos executavam como Administradores e simplesmente criaram um código malfeito que presumia que todos os usuários também eram administradores.

A Microsoft® tem se esforçado bastante para combater essa mentalidade de que "todos são administradores", e o UAC foi sua tentativa nesse sentido: se você vai executar como Administrador, pelo menos podemos fazer com que fique a par das diferenças entre as funções. É isto que o UAC vem tentando fazer.

"

 

47 minutos atrás, Marcos FRM disse:

Usando uma conta limitada, você destruirá no máximo o seu perfil de usuário, não o sistema inteiro (desconsiderando eventuais falhas de segurança que permitam elevação de privilégio -- por isso manter o sistema atualizado é importante).

 

 

Perfeitamente!!! Essa é a grande vantagem

[Marcos FRM]

 

Citar

Se eu entendi o que você quis dizer, a primeira conta criada pelo sistema já deveria ser restrita, certo?

Eu concordo, acho que o windows deveria informar melhor quanto aos riscos de se elevar as permissões do usuário, ou talvez exigindo do usuário que insira uma senha de administrador forte logo após a instalação.

 

Aham.

 

Citar

Na verdade essa dica é válida a partir do Windows XP (considerando apenas os SOs feitos para usuários residenciais), mas só a partir do Vista que a situação começou a ficar mais amigável mesmo, com o UAC podendo elevar os privilégios sem precisar fazer logoff 

 

Desde o princípio o NT é um sistema multiusuário. Naquele tempo, contudo, tinha um problema: NTFS não era obrigatório e era possível usar FAT, daí sem controle de acesso no sistema de arquivos tudo ia para o brejo. A Microsoft só foi tornar o NTFS obrigatório no Vista (2006)! Deveria tê-lo feito no máximo lá por volta do Windows 2000, preferencialmente antes. O NT 4.0 tinha uma limitação durante a instalação: o volume de boot era formatado em FAT16, os arquivos copiados. Depois o sistema reiniciava e convertia para NTFS (link). Porém no 2000 já não tinha mais nada disso e no XP tinha que ter sido mandatório.

 

Desde o 2000 dá para rodar algo como administrador a partir de outro usuário (comando runas e serviço "Logon secundário"). Mas foi a partir do Vista, com o UAC, que a GUI foi pensada levando isso em conta, especialmente nos itens do Painel de controle.

 

Citar

 

Esses aplicativos que requerem privilégios administrativos simplesmente para serem executados felizmente estão se tornando cada vez menos comuns, mas aqui por exemplo quando uma atualização do Java ou do iTunes está disponível, eles ainda pedem senha de administrador para que sejam atualizados, o que também é uma imbecilidade ao meu ver!

 

Sim. Pelo menos a Adobe instala um serviço que atualiza o Flash e o Reader sem a necessidade de elevar privilégio de usuários restritos.

 

Citar

Veja um trecho do terceiro artigo que indiquei acima que é interessante:

"

Muito disso se deve aos primeiros sistemas operacionais para consumidor (Windows 95, Windows 98 e Windows ME), que não mantiveram nenhuma diferenciação técnica entre estas funções: todas as pessoas sempre foram administrador, e os desenvolvedores de software nem sonhavam em pensar numa separação de funções.

Mas até mesmo com os mais modernos sistemas Windows NT, Windows 2000 e Windows XP, era tão difícil trabalhar como usuário não administrativo que a maioria das pessoas simplesmente desistiu e trabalhavam com uma conta de Administrador. Isso aconteceu quase que completamente devido aos maus hábitos dos desenvolvedores de software: eles mesmos executavam como Administradores e simplesmente criaram um código malfeito que presumia que todos os usuários também eram administradores.

A Microsoft® tem se esforçado bastante para combater essa mentalidade de que "todos são administradores", e o UAC foi sua tentativa nesse sentido: se você vai executar como Administrador, pelo menos podemos fazer com que fique a par das diferenças entre as funções. É isto que o UAC vem tentando fazer.

"

 

De dentro da própria Microsoft veio chumbo para cima dos desenvolvedores do UAC.

[Raphael Ventorim]

45 minutos atrás, Marcos FRM disse:

Desde o princípio o NT é um sistema multiusuário. Naquele tempo, contudo, tinha um problema: NTFS não era obrigatório e era possível usar FAT, daí sem controle de acesso no sistema de arquivos tudo ia para o brejo. A Microsoft só foi tornar o NTFS obrigatório no Vista (2006)! Deveria tê-lo feito no máximo lá por volta do Windows 2000, preferencialmente antes. O NT 4.0 tinha uma limitação durante a instalação: o volume de boot era formatado em FAT16, os arquivos copiados. Depois o sistema reiniciava e convertia para NTFS (link). Porém no 2000 já não tinha mais nada disso e no XP tinha que ter sido mandatório.

 

Desde o 2000 dá para rodar algo como administrador a partir de outro usuário (comando runas e serviço "Logon secundário"). Mas foi a partir do Vista, com o UAC, que a GUI foi pensada levando isso em conta, especialmente nos itens do Painel de controle.

 

Interessante!!! Não conhecia essa história. E pensar que o windows vista foi praticamente crucificado, não foi justo rsrs

Também não imaginava que esse assunto era tão polêmico. No entanto penso que ainda temos muito o que avançar neste campo, afinal, segurança não é mais um bicho de sete cabeças quando se tem disponível recursos com o UAC.

 

Obrigado pela atenção!

abraços