Pular para o conteúdo principal

TUTORIAL: FIREWALL DO WINDOWS XP

FIREWALL DO WINDOWS XP
Explorando recursos de monitoramento e auditoria

Por Luís Fernando da Silva Bittencourt
Um recurso de auditoria nativo do próprio Windows XP, pouco explorado e quase não divulgado é a possibilidade da criação de um registro de log de todas as atividades de entrada e saída das requisições dos protocolos TCP/IP que ocorrem no sistema. Por definição, tal recurso não é ativo por ocasião da instalação do Windows XP. O “pfirewall.log”, como é denominado o arquivo gerado, armazena informações excelentes, tais como: data e hora das requisições, IP de origem, IP de destino, tipo de pacote (UDP ou TCP), tamanho do pacote, portas utilizadas, entre outras informações, sendo mais completo que a utilização do comando NETSTAT. Enquanto este necessita que o usuário o ative quando precisar ver o que está acontecendo no seu sistema o PFIREWALL mantém registrado tudo o que ocorreu, possibilitando que no final das atividades o usuário possa verificar toda movimentação dos pacotes que trafegaram no sistema monitorado, guardando tais registros pelo tempo que achar necessário.
Para configurar tal recurso é necessário que o usuário abra o painel de controle e clique sobre o ícone “Windows Firewall”

Ao abrir a janela do Firewall, selecione a aba “Advanced”, figura 2.

Em seguida vá até a parte onde está escrito “Security Logging”, ou equivalente em português. Repare que está perguntando se você deseja criar um registro de log, sendo necessário para tal clicar sobre o botão “settings”, conforme figura 3.

Na janela “Log Settings”, figura 4, você pode manter a sugestão de local para a criação do respectivo registro de log ou selecionar um local de mais fácil acesso. Eu, por exemplo, costumo manter o local indicado e depois faço um atalho do mesmo na área de trabalho.

Finalmente clique em “OK” para concluir a operação. Depois disso, sempre que quiser ou precisar basta abrir o arquivo criado com o bloco de notas do Windows para verificar os registros constantes. Repare, conforme figura 4, que logo abaixo do campo que contém o caminho selecionado e o nome do arquivo, existe um campo destinado para o tamanho máximo que tal registro deve ter, indo até 32400kb. Tal recurso é importante que todo o investigador de crimes cibernéticos tenha configurado em sua máquina destinada a este tipo de investigação, haja vista que nunca se sabe quando vai precisar destes registros. Também pode ser de boa prática juntar aos autos do processo investigativo cópia do mesmo como embasamento das linhas de trabalho seguidas no curso de suas atividades.
Até a próxima!

Comentários

Blog do Emerson disse…
Excelente Tutorial Bittencourt!!

Parabéns!!

Emerson Wendt

Postagens mais visitadas deste blog

ARTIGO: VINCULAR FOTOS NO MS ACCESS

por Luís Fernando da Silva Bittencourt

Estes dias estava em um fórum na web e notei a grande dificuldade dos usuários mais inexperientes quanto à vinculação de imagens no MS ACCESS. O recurso de vinculação de imagens serve para não sobrecarregar a base de dados com objetos OLE, pois neste aplicativo as imagens podem ser inseridas diretamente na base de dados, aceitando imagens no formato bmp. Entretanto, “o peso” gerado, dependendo da função da base de dados criada com o Access, logo esgotará a possibilidade de novos cadastros, haja vista existir uma limitação de 4Gb de registros.

Então, ao invés de se inserir uma foto no formato bmp diretamente na base de dados, fica muito mais lógico guardar apenas o caminho desta imagem, fazendo com que o nosso sistema busque a imagem respectiva e a apresente em um formulário de consulta ou relatório.

Para tanto, devemos inicialmente criar na respectiva tabela (objeto do MS Access responsável pela guarda das informações, sendo esta a base de dados pro…

Destaque: Relação das Portas TCP/IP Mais Usadas!

por Luís Fernando da Silva Bittencourt

Uma das primeiras providências a se fazer quando existe a suspeita de algum tipo de invasão em um microcomputador é a verificação imediata das portas TCP/IP que estão em execução. Normalmente para isso é usado o comando NETSTAT (pretendo postar uma matéria específica futuramente), ou outro método qualquer de preferência do usuário. Entretanto, usuários menos experientes não sabem o tipo de serviço executados pelas portas em questão, para tanto relacionei as principais visado facilitar o entendimento destas, conforme segue: Observação: Para localizar um item específico use "Ctrl + F".
Porta Serviço 1 tcpmux
3
4
5 rje
7 echo
9 discard
11 systat
13 daytime
15 netstat
17 qotd
18 send/rwp
19 chargen
20 ftp-data
21 ftp
22 ssh, pcAnywhere
23 Telnet
25 SMTP
27 ETRN
29 msg-icp
31 msg-auth
33 dsp
37 time
38 RAP
39 rlp
40
41
42 nameserv, WINS
43 whois, nickname
49 TACACS, Login Host Protocol
50 RMCP, re-mail-ck
53 DNS
57 MTP
59 NFILE
63 whois++
66 sql*net
67 bootps
68 bootpd/dhcp
69 Tri…

ACCESS- CONTADOR DE REGISTROS

Olá meus amigos. Desta vez gostaria de postar uma idéia para um contador simples que pode servir como numeração de protocolo para registro de entrada de documentos. Bem, para começarmos, devemos criar uma consulta que vou chamar de "cns_contagem", onde colocaremos os campos base para o nosso contador. Estes campos são os de preenchimento obrigatório como Id, nome, registro etc.
No formulário, deve ser criado um campo chamado "protocolo" e nas propriedades deste campo, no evento "Ao receber foco", deve ser colocado o seguinte:

Dim N 'declaração da variável que vai receber o valor armazenado.
Dim contar 'declaração da variável q vai fazer a contagem.
contar = DCount("Id", "cns_contagem")
N = contar + 1 'Acrescenta 1 a contagem feita.

MyDate = Now()
MyYear = Year(MyDate) 'MyYear recebe o valor correspondente ao ano atual.

'bem, agora é só montar o valor que irá aparecer no campo protocolo
Me.protocolo.…