Filosofia de Segurança em Cibersegurança: Como Eliminar a Decisão do Usuário e Proteger sua Empresa

Índice

Filosofia de Segurança: Eliminar a Decisão do Usuário

O pilar fundamental desta estratégia é remover o peso da segurança dos ombros do funcionário. Na cibersegurança moderna, sabemos que o “erro humano” é o vetor de ataque mais comum. A engenharia social (o engano) funciona porque explora a vontade de ajudar, a urgência ou o medo do usuário.

Por que esse enfoque é crucial?

  1. O usuário não é um especialista: Não se pode esperar que um funcionário de finanças ou recursos humanos reconheça tecnicamente entre uma janela de conexão legítima e uma ilegítima, especialmente sob pressão.
  2. A fadiga da decisão: Diante de vários alertas ou uma ligação telefônica urgente e agressiva de um suposto “suporte técnico”, o usuário tende a ceder para resolver o problema rapidamente.
  3. Bloqueio Técnico vs. Bloqueio Humano: Se dependermos que o usuário diga “Não”, existe uma margem de erro. Se configurarmos o software para que tecnicamente não possa dizer “Sim” (embora queira), eliminamos o risco.

Ao implementar as medidas desta guia, transformamos a segurança de reativa (esperar que o usuário detecte a fraude) em preventiva (o sistema rejeita a fraude automaticamente sem intervenção humana).

Proteção contra Engenharia Social e Acessos Não Autorizados

Esta guia detalha a configuração técnica avançada para ambientes corporativos utilizando a licença Standard (e o addon de Namespace), com o objetivo de prevenir que invasores externos enganem os funcionários para obter acesso remoto.

1. Aprofundamento em ACL (Listas de Controle de Acesso)

A ACL é a barreira mais crítica. Funciona sob um princípio de “Negar tudo por padrão”. Se a lista estiver vazia, o AnyDesk permite conexões de qualquer um (com confirmação). Se houver uma única entrada na lista, o AnyDesk bloqueia automaticamente qualquer conexão que não corresponda a essa entrada.

Sintaxe e Estratégia de Configuração

Em vez de adicionar IDs numéricos individuais (o que é difícil de manter se a equipe de TI muda), recomenda-se o uso de Wildcards (Curingas) se você possui um Namespace, ou IDs específicos se não.

A. Filtragem por ID Numérico (Básico)

Se seus técnicos usam AnyDesk genérico ou se você não tem Namespace próprio.

  • Formato: 123456789 (Um ID por linha).
  • Vantagem: Controle granular.
  • Desvantagem: Você deve atualizar o cliente de todos os funcionários se contratar um novo técnico.

B. Filtragem por Namespace e Wildcards (Avançado)

Se sua empresa adquiriu o addon de Namespace (ex. @minhaempresa).

  • Formato: *@minhaempresa
  • Funcionamento: O asterisco age como um curinga. Isso permite que qualquer técnico cujo usuário termine em @minhaempresa possa se conectar, mas bloqueia instantaneamente:
    • Qualquer usuário @ad (a versão gratuita/pública).
    • Qualquer usuário de outra empresa.
    • Qualquer invasor usando contas roubadas de outros domínios.

Localização na Configuração

Para testes locais antes de implantar:

  1. Vá para Configurações > Segurança.
  2. Desbloqueie o cadeado de segurança (necessita de admin).
  3. Seção Lista de Controle de Acesso.
  4. Ative Restringir acesso às seguintes IDs e aliases.
  5. Insira os padrões (ex. *@minhaempresa ou os IDs).

2. Configuração do Cliente Personalizado (Custom Client)

Você não deve permitir que os funcionários instalem o AnyDesk público. Você deve gerar um executável MSI/EXE a partir de my.anydesk.com que contenha as regras de segurança “embutidas”.

Passos Críticos no Gerador (my.AnyDesk):

Ao criar um novo cliente na aba Clients, configure o seguinte:

A. Seção “Options” (Opções)

  • Disable Settings (Desativar configuração): RADICAL. Geralmente, essa configuração não é necessária se a empresa gerencia bem os privilégios de seus usuários (administradores e usuários regulares separados), mas se você deseja que o acesso remoto esteja protegido mesmo diante de um mau uso de uma conta de administrador, deve marcar esta caixa. Isso elimina a aba de configuração do menu do usuário.
    • Por que: Evita que um invasor, por meio de engenharia social (“Senhora, por favor vá à configuração e apague a lista para que eu possa ajudá-la”), consiga evadir a segurança.
  • Request Elevation at Startup: Recomendado habilitar. Esta opção solicita elevação de privilégios (UAC) ao iniciar, evitando que o Windows bloqueie o técnico ao executar tarefas administrativas. Importante: Aplica-se apenas para versões portáteis ou que não requerem instalação, uma vez que a instalação do AnyDesk por si só precisa de privilégios de administrador.

B. Seção “Security” (Segurança)

  • Access Control List (ACL): Aqui é onde “queimamos” a lista branca no instalador.
    • Insira aqui os IDs de seus técnicos ou o curinga *@minhaempresa.
    • Ao ser instalado este cliente no PC do funcionário, a lista já estará ativa e bloqueada.
  • Interactive Access: Deixe em “Always Show Incoming Session Requests” (Sempre mostrar solicitações). Nunca permita acesso sem vigilância, a menos que seja um servidor.

Ativar ACL
Ativar ACL

C. Seção “Program Name & Icon” (Identidade Visual)

  • Carregue o logotipo da sua empresa.
  • Mude o nome de “AnyDesk” para “Suporte Remoto [SuaEmpresa]”.
  • Efeito Psicológico: Treine os usuários: “Se o programa não tem o logo azul da nossa empresa, é um vírus/fraude”.

2.1. Gestão Avançada: Clientes Dinâmicos (Dynamic Configuration)

Existe uma limitação operacional com os clientes personalizados tradicionais (Estáticos): a configuração fica “queimada” dentro do arquivo .exe ou .msi no momento de baixá-lo. Se você precisa mudar a lista de acesso (ACL) porque um técnico saiu ou alterou uma política de segurança, deve gerar um novo instalador e reimplantá-lo em toda a empresa, o que é custoso e demorado.

Para resolver isso, o AnyDesk (versão 8.0.3 ou superior) oferece a Configuração de Cliente Dinâmica.

O que são e como funcionam?

Ao contrário do cliente estático, o cliente dinâmico não tem a configuração embutida de forma permanente. Em vez disso, o cliente instalado consulta periodicamente os servidores do AnyDesk (my.anydesk.com) para baixar sua configuração mais recente.

Vantagens Críticas (Zero Re-implantação)

  1. Atualização da ACL em Tempo Real:
    • Cenário: Você demite um técnico com acesso crítico ou detecta que um ID foi comprometido.
    • Solução: Você acessa a consola web, remove aquele ID da ACL do perfil e salva.
    • Resultado: Automaticamente, todos os computadores da empresa atualizam sua lista e bloqueiam o técnico. Você não precisa tocar nos PCs dos usuários nem enviar atualizações por GPO.
  2. Flexibilidade nas Políticas:
    • Você pode endurecer a segurança em tempo real (ex. desativar a área de transferência globalmente diante de uma ameaça de vazamento de dados) sem reinstalar o software.
  3. Facilidade de Gestão:
    • Mantém uma “fonte única de verdade” na nuvem. Você sabe que todos os clientes têm a mesma configuração de segurança, independentemente de quando foram instalados.

Como Implementar Clientes Dinâmicos

  1. Em my.anydesk.com, vá até a aba Files ou Clients (dependendo da sua versão).
  2. Certifique-se de ativar a opção “Private key”; caso contrário, você não poderá selecionar o tipo de cliente.
  3. Crie uma nova configuração de cliente.
  4. Verifique se a opção de Dynamic Configuration (ou atribuir a um perfil centralizado) está ativa.
  5. Ao instalar este cliente nos equipamentos, ele será vinculado a esse perfil na nuvem. Qualquer mudança futura que você realizar no perfil web se replicará aos agentes instalados.
  6. Importante: Um cliente estático não pode ser convertido em dinâmico. Se você já implantou um estático, deverá reinstalar o AnyDesk utilizando o cliente dinâmico que gerou anteriormente.

Gerar cliente dinâmico
Gerar cliente dinâmico

3. O Addon “Namespace” (Espaço de Nomes)

No AnyDesk, todos os usuários públicos têm o alias nome@ad. O Namespace permite que você tenha seu próprio sufixo, ex. nome@minhaempresa.

Por que é a ferramenta definitiva contra a falsificação?

1. Verificação de Identidade (Anti-Spoofing)

Ninguém no mundo pode criar um alias que termine em @suaempresa, exceto você (o administrador da licença). O AnyDesk verifica a propriedade do domínio/nome.

  • Cenário de ataque: Um hacker liga dizendo ser do “Suporte TI”. Seu ID será hacker@ad ou um número 332-112-445.
  • Defesa: Se sua ACL estiver configurada como *@suaempresa, a conexão do hacker retorna automaticamente. Nem mesmo dispara o alerta no PC do funcionário.

2. Gestão Escalável

Sem Namespace, toda vez que entra um novo técnico, você deve atualizar a ACL de 500 funcionários para adicionar o ID do novo técnico.
Com Namespace:

  1. Crie o alias do novo técnico em sua consola (novo.tecnico@minhaempresa).
  2. Como a ACL dos funcionários diz *@minhaempresa, o novo técnico tem acesso imediato sem tocar nas configurações dos usuários.

3. Auditoria Forense

Nos logs de conexão (my.anydesk.com > Sessions), você verá claramente juan@minhaempresa conectou a recepcion@minhaempresa. É muito mais fácil de auditar do que ver ID 445212 conectou a ID 998212.

Custo e Implementação

O Namespace é um “Add-on” (custo adicional) sobre a licença Standard ou Advanced, embora às vezes venha incluído nas licenças Enterprise. É comprado uma única vez por nome.

Resumo da Arquitetura Proposta

Para uma segurança tipo “Fortaleza”:

  1. Adquirir Namespace: Comprar @minhaempresa.
  2. Atribuir Alias: Dar a cada técnico seu alias corporativo (tecnico1@minhaempresa).
  3. Criar Cliente Personalizado Dinâmico:
    • Logo corporativo.
    • Configuração desabilitada para o usuário.
    • Vinculado a perfil dinâmico na nuvem.
    • ACL Centralizada: *@minhaempresa.
  4. Implantação: Instalar este MSI via GPO (Políticas de Grupo) ou MDM (Intune/ManageEngine) em todos os equipamentos.
  5. Resultado: Apenas os técnicos com alias @minhaempresa podem iniciar uma conexão. O resto da internet está bloqueado e você pode revogar acessos em segundos a partir da consola web.

Notas adicionais sobre a implementação

  1. Implantação via GPO (Políticas de Grupo):
    Depois de baixar o arquivo .msi do seu cliente personalizado, você não precisa ir PC por PC. Pode usar um comando de instalação silenciosa no seu Ativo Diretório ou ferramenta de gestão:
    AnyDesk_Custom_Client.msi /qn

    Como é um cliente personalizado com a configuração “embutida”, você não precisa de scripts adicionais para configurar a senha ou a ACL; o MSI já leva isso dentro.

  2. Se não comprar o Namespace:
    Você ainda pode usar a estratégia, mas a ACL do cliente personalizado deverá ser uma lista estática de IDs:
    111222333, 444555666, 777888999
    O risco é operacional: se o técnico 111222333 sair da empresa e levar seu laptop, você deve urgentemente atualizar os clientes dos funcionários para revogar seu acesso (a menos que use Clientes Dinâmicos para atualizar a lista remotamente).

  3. Segurança Física do Técnico:
    Lembre-se que com essa configuração, a “chave mestra” são os laptops dos seus técnicos. Certifique-se de que seus técnicos tenham:

    • Autenticação de Duplo Fator (2FA) ativada em seu acesso ao AnyDesk.
    • Senha forte em sua própria sessão do Windows.

Experimente gratuitamente o AnyDesk e aproveite todos os seus benefícios. Entre em contato conosco para mais informações sobre a compra do AnyDesk no Brasil!

Haz clic para continuar leyendo

Publicado em

Deixe um comentário

Seu endereço de e-mail não será publicado

Nenhum comentário ainda