Tutorial: Como Blindar o Windows XP

Nesse tutorial, vou explicar detalhe por detalhe como deixar o Windows XP blindado.

Para ter um Windows blindado, basta apenas criar uma conta de usuário Limitado no Windows e mais algumas configurações para finalizar, que vou explicar.

O objetivo dessa blindagem é bloquear determinadas pastas principais do Sistema e bloquear entradas de inicialização no registro do Windows para que o vírus não tenha nenhuma opção de iniciar na próxima reinicialização do sistema operacional, não podendo ser copiado em determinadas pastas do sistema principal e nem modificar os arquivos.

Algum tempo atrás andei fazendo testes com máquina virtual, infectando-a com Trojans Sality  e Virut. Com a utilização deste método que veremos a seguir, a maioria dos trojans não conseguiram se instalar em nenhuma pasta, em local nenhum.

Só 5 deles conseguiram se instalar em umas determinadas pastas que não podem ser bloqueadas contra gravação. Porém as chances de esses trojans serem executados são 0, porque nesse método todas as entradas de inicialização do registro estarão bloqueadas. Portanto o instalador do vírus não conseguirá adicionar uma entrada no registro para inicialização de um trojan!

Nem mesmo o famoso Sality, não conseguiu infectar os programas instalados na pastas C:\Arquivos de programas <-- essa pasta também fica protegida contra gravação e modificação dos arquivos.

As pastas que não estão bloqueadas são essas:

"C:\Documents and Settings\Protegido
C:\Documents and Settings\All users
C:\Recycler

E suas subpastas, e pastas Temp, onde ficam os arquivos temporários da internet!
Essas pastas não podem ser bloqueadas, principalmente a do usuário -> "Protegido".  Se bloquear, desse usuário não será possível abrir o navegador e programas.

Mas o método é que agora sabemos que os únicos lugares remotos que alguns vírus tentaram ser instalados são nessas pastas.

No tuto explicarei como limpar essas pastas, caso estiverem contaminadas por vírus, essa é a jogada. Sabemos agora o único lugar que eles tentaram se instalar, facilitando ao usuário saber onde o vírus estarão instalados, mas as chances disso acontecer são poucas. No teste que fiz, a maioria não conseguiu se instalar em lugar nenhum.

Apenas o instalador do trojan, o arquivo setup.exe, ficava ativo na pasta Temp tentando instalar o trojan, mas para remover isso ter um Antivirus instalado ajuda muito, é claro!

A única fraqueza é a pessoa instalar programas crakeados que vem com vírus embutidos, pelo seu usuário principal Administrador, pois o usuário Limitado não tem acesso a instalar programas. Nesse caso tomem cuidado nos programas que vocês instalam, sempre verifiquem os setups dos programas com antivírus e façam downloads dos programas em sites oficiais das empresas dos softwares!

Essa é a melhor forma de combater o vírus, e com um bom antivirus instalado, fica excelente a proteção.

Agora vamos ao que interessa, vamos lá.

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Primeiramente vamos fazer um procedimento importante:

1) Abra qualquer pasta do Windows. e clique em Ferramentas e em Opções de pastas.
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

2) Abrindo uma janela pequena, clique na aba Modo de exibição logo abaixo, desmarque a opção ((Usar compartilhamento simples de arquivos)) e clique em (OK).
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Pronto!!

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Criando um Usuário Limitado

Atenção: O usuário que será criado tem que se chamar -> Protegido

1) Clique no menu (Iniciar) -> ( Painel de controle) -> (Contas de usuário) -> (Crie uma nova conta)
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

2) Digite o nome do usuário -> Protegido e clique em (Avançar).
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

3) No tipo de usuário selecione Limitado e clique em (Criar conta).
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Pronto, feito!

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Bloqueando a Raiz do HD contra gravação

OBS: Podem fazer esse procedimento sem medo, não vai danificar nada no Windows, seguindo essa orientação não tem problema.

1) Vá no ícone (Meu computador) dando duplo clique, e ao abrir clique com o botão direito na unidade Disco local C: e depois clique em Propriedades.
*Abrindo uma janela pequena clique na aba Segurança.
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

2) Clique no botão Adicionar > Abrirá uma janela pequena, digite o nome de usuário Limitado criado -> Protegido e clique em (OK).
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

3) Agora o usuário "Protegido" está na lista de segurança > Clique sobre ele e abaixo em Gravar > No lado esquerdo Negar marque uma seta na caixa, e clique em (OK) e (SIM) para confirmar.
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

*Apenas marquem essa opção "Negar gravação", como em destaque na imagem.

*Se houver uma partição no HD e estiver em formato NTFS, faça esse mesmo procedimento para proteger essa partição contra infecção de vírus.

*Observação: se essa partição estiver em formato FAT32, esse procedimento de segurança contra gravação não funciona nesse formato FAT32. Funciona apenas em NTFS.

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Bloquear duas pastas contra gravação pelo Prompt (Necessário)

1) Copie os comandos abaixo no Código:

Código:

Cacls "%systemdrive%\Documents and Settings\All Users\Documentos" /e /t /p Administrador:W /d Protegido
Cacls "%systemdrive%\Windows\temp" /e /t /p Administrador:W /d Protegido

2) Vá em ((Iniciar))>((Executar))> e digite (cmd) e clique em (Ok). Abrirá uma janela > cole os comandos  clicando com o botão direito do mouse e escolhendo a opção (colar) e depois tecle (Enter).

Pronto, feito. Pode fechar o prompt de comando.

Atenção: vocês não podem usar esse comando por conta própria, querer fazer sem conhecimento e orientação, fazer esse procedimento pelo Prompt para bloquear outra pasta, como exemplo: Windows e System32. Não façam isso,  OK?

Aliás não é necessário porque quando se cria um Usuário Limitado, todas essas pastas do Sistemas do Windows já estão protegidas contra gravação!

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Criar um arquivo de limpeza, (Necessário)

1) Copie todos os comandos abaixo no Código:

Código:

Del /a/s/f/q "%systemdrive%\Documents and Settings\Protegido\*.exe"
Del /a/s/f/q "%systemdrive%\Documents and Settings\Protegido\*.dll"
Del /a/s/f/q "%systemdrive%\Documents and Settings\Protegido\*.scr"
Del /a/s/f/q "%systemdrive%\Documents and Settings\Protegido\*.bat"
Del /a/s/f/q "%systemdrive%\Documents and Settings\Protegido\*.cmd"
Del /a/s/f/q "%systemdrive%\Documents and Settings\Protegido\*.com"
Del /a/s/f/q "%systemdrive%\Documents and Settings\Protegido\*.pif"
Del /a/s/f/q "%systemdrive%\Documents and Settings\Protegido\*.sys"

Del /a/s/f/q "%systemdrive%\Documents and Settings\All users\*.exe"
Del /a/s/f/q "%systemdrive%\Documents and Settings\All users\*.dll"
Del /a/s/f/q "%systemdrive%\Documents and Settings\All users\*.scr"
Del /a/s/f/q "%systemdrive%\Documents and Settings\All users\*.bat"
Del /a/s/f/q "%systemdrive%\Documents and Settings\All users\*.cmd"
Del /a/s/f/q "%systemdrive%\Documents and Settings\All users\*.com"
Del /a/s/f/q "%systemdrive%\Documents and Settings\All users\*.pif"
Del /a/s/f/q "%systemdrive%\Documents and Settings\All users\*.sys"
Del /a/f/s/q "%systemdrive%\Documents and Settings\Protegido\Configurações locais\temp\*.*"
Del /a/f/s/q "%systemdrive%\Documents and Settings\Protegido\Configurações locais\Temporary Internet Files\*.*"
Del /a/f/s/q "%systemdrive%\Recycler"

2) Abra seu bloco de notas cole o conteudo no bloco e Salve no Desktop com este nome--> Limpeza.bat

O arquivo Limpeza.bat tem que estar salvo na sua conta de Usuário Administrador, seu usuário principal, que você sempre usa! OK?

No final explicarei para que serve esse arquivo de limpeza!

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Agora vamos entrar no usuário Limitado que foi criado -> Protegido

1) Vá no menu (Iniciar) > clique no botão (Fazer Logoff) e clique novamente em (Fazer Logoff) > Saindo, selecione o usuário -> Protegido
Agora vamos fazer o último procedimento pelo usuário Protegido que está agora aberto, bloqueando a entrada de inicialização do registro

1) Clique no Menu (Iniciar) -> (Executar) e digite Regedit e clique em (OK). Abrirá o edito de registro!

2) Navegue até a seguinte chave -> HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion\ Run <--- Run.
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

3) Clique com o botão direito do mouse sobre a chave Run e clique em Permissões.
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

4) Abrirá uma janela pequena, selecione o usuário -> Protegido e marque nas duas caixas no lado direito ((Negar)) e clique em (Ok) e (Sim) para confirmar!
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Pode fechar o Regedit > Está pronto!

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Para finalizar, vamos bloquear uma última pasta do Startup ou iniciar!

1) Copie os comando abaixo no Código:

Código:

Cacls "%Systemdrive%\Documents and Settings\Protegido\Menu Iniciar\Programas\Inicializar" /e /t /p Administrador:W /d Protegido

2) Vá em ((Iniciar))>((Executar))> e digite (cmd) e clique em (ok). Abrirá uma janela > cole os comandos clicando com o botão direito do mouse e clicando em (colar) e depois tecle (Enter).

Fim.

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Agora explicando para que serve o arquivo Limpeza.bat

Quando estiver utilizando o usuário Limitado -> "Protegido" e em algum momento seu antivírus detectar algum vírus, você volta para o usuário principal (Administrador) clicando no menu (Iniciar) -> (Fazer Logoff) e na próxima janela clique novamente em (Fazer Logoff) e entre no usuário principal onde nós salvamos o arquivo Limpeza.bat. Executando esse arquivo ele vai fazer uma limpeza nas seguintes pastas abaixo:

C:\Documents and Settings\Protegido

C:\Documents and Settings\All users

C:\Recycler

Essas são as pastas em que os vírus podem tentar se instalar, embora as chances sejam bem pequenas.

Agora será fácil para o usuário doméstico prevenir infecções de seu PC, pois saberá onde eles podem estar localizados, assim diminuindo as opções de um trojan ser instalado.

A técnica é parecido com o programa SandBoxie. Para quem não o conhece, pesquisem pela net, existem vários tutorais sobre ele, e é também uma boa dica instalá-lo no PC.

Excelente tuto.

Já testei há muito tempo esta sua dica. O usuário fica realmente muito restrito.

Talvez ele seja melhor aplicado em empresas e naqueles PC's domésticos com usuários que adoram instalar qualquer coisa.

Algo que dá para fazer também (caso você seja extremo em relação ao assunto): Criar uma conta que é automaticamente deletada (é excluida ao fazer logoff), na verdade um bug.

Você abre o Prompt de Comando/CMD, com privilégios administrativos, e utilize o comando NET USER para adicionar a conta de usuário:

Código:

net user <nome> /add

Onde pode ser:

Código:

con
com1 até com10
lpt1 até lpt10
aux
prn
nul (exceto Windows FLP)

Isso ocorre por causa que esses nomes são reservados pelo sistema, assim, ao tentar logar na conta, o sistema não consegue criar a pasta, assim, criando uma conta temporária. O efeito contrário é que o Windows avisa que o perfil está corrompido.

Boa dica Meyer!

Essa eu não conhecia...

Boa dica Meyer!

wings escreveu:Excelente tuto.

Já testei há muito tempo esta sua dica. O usuário fica realmente muito restrito.

Talvez ele seja melhor aplicado em empresas e naqueles PC's domésticos com usuários que adoram instalar qualquer coisa.

Sim, é bom para quem tem muita criançada em casa, e querem fuçar em tudo, e acabam clicando ou instalando o que não deve.

Eu que até sou um usuário avançado, uso o Windows dessa forma, todo restrito semelhante ao Linux.
Faço o seguinte, antes eu crio uma senha na conta de Administrador, Assim ao estar logado na conta Limitada, poderei instalar programas caso precisar.
Não consigo utilizar o sistema logado na conta de Administrador, me sinto totalmente inseguro, não me arisco, nem mesmo no Windows 7. com UAC.

Para leigos que não sabem é bem simples, clique com o botão direito do mouse no aplicativo que deseja instalar, e clique em (Executar como) abrindo uma pequena janela selecione o usuário que possui a senha e o privilégios de administrador.