Todos os cursos > Profissionalizantes > Eletrônica ::

Segurança em CFTV: senhas fortes, atualizações, hardening e contas de usuário

Capítulo 14

Tempo estimado de leitura: 10 minutos

+ Exercício

Por que segurança em CFTV é diferente de “só colocar senha”

Um sistema de CFTV moderno é um conjunto de dispositivos conectados (câmeras, DVR/NVR, switches, estações de monitoramento e apps). Se um único ponto for comprometido, o invasor pode: assistir às imagens, apagar gravações, desativar câmeras, criar usuários ocultos, alterar DNS para redirecionar acessos ou usar o equipamento como “ponte” para entrar na rede.

Segurança em CFTV, na prática, é reduzir a superfície de ataque e controlar quem pode fazer o quê, com rastreabilidade. Isso envolve quatro pilares: credenciais fortes, atualizações, hardening (desativar o que não precisa e restringir acesso) e gestão de contas com menor privilégio.

Troca de credenciais padrão e políticas de senha

Conceito

Credenciais padrão (ex.: admin/admin) e senhas fracas são o caminho mais comum para invasões. Em CFTV, isso é crítico porque muitos dispositivos ficam expostos a redes maiores (empresa, condomínio) e às vezes acabam acessíveis remotamente. Uma política de senha define regras mínimas para reduzir ataques por tentativa e por dicionário.

Passo a passo: troca segura de credenciais no primeiro acesso

  • 1) Acesse localmente (preferencialmente na mesma rede física do equipamento) e faça login com a credencial inicial fornecida.
  • 2) Altere a senha do administrador imediatamente. Evite reutilizar senha de Wi‑Fi, e-mail ou outros sistemas.
  • 3) Crie um usuário “operador” para uso diário e deixe o admin apenas para manutenção.
  • 4) Configure e registre um e-mail/contato de recuperação se o fabricante oferecer (com cuidado para não expor dados).
  • 5) Desative contas padrão extras (ex.: “guest”, “default”, “support”) se existirem e não forem necessárias.

Política de senha recomendada (prática e aplicável)

  • Tamanho: 12 a 16+ caracteres (quanto maior, melhor).
  • Complexidade: use frase-senha (ex.: 4 a 6 palavras) ou mistura de letras/números/símbolos. Priorize comprimento.
  • Unicidade: senha diferente para cada DVR/NVR e para cada câmera (quando aplicável).
  • Rotação: troque em eventos (troca de equipe, suspeita de vazamento, auditoria) e periodicamente conforme política interna.
  • Armazenamento: use cofre de senhas (password manager) e controle de acesso ao cofre.

Exemplos de senhas melhores (padrão “frase-senha”)

  • Vento-Lago-Mapa-72-Fev
  • cftv!porta!luz!13!noite

Evite: nome do condomínio/empresa, datas óbvias, placa do carro, telefone, “123456”, “admin2026”.

Contas de usuário e menor privilégio (least privilege)

Conceito

“Menor privilégio” significa que cada pessoa (ou integração) recebe apenas as permissões necessárias. Isso reduz danos caso a conta seja vazada e diminui erros operacionais (por exemplo, alguém apagar gravações sem querer).

Continue em nosso aplicativo e ...
  • Ouça o áudio com a tela desligada
  • Ganhe Certificado após a conclusão
  • + de 5000 cursos para você explorar!
ou continue lendo abaixo...
Download App

Baixar o aplicativo

Modelo prático de papéis (roles) em CFTV

PapelUsoPermissões típicas
AdministradorManutenção e mudançasTudo: rede, usuários, firmware, armazenamento, exportação, logs
SupervisorGestão operacionalVer ao vivo, playback, exportar evidências, alterar layouts, sem mexer em rede/firmware
OperadorMonitoramento diárioVer ao vivo e playback limitado, sem exportação (ou exportação controlada)
AuditoriaCompliance/segurançaAcesso a logs e relatórios, sem alterar configurações
IntegraçãoVMS/automaçãoSomente leitura (RTSP/ONVIF) quando possível

Passo a passo: criando contas e reduzindo riscos

  • 1) Crie usuários nominais (um por pessoa). Evite “operador1/operador2” sem rastreio.
  • 2) Remova compartilhamento de senha: cada usuário com sua senha.
  • 3) Restrinja por câmera/canal quando o sistema permitir (ex.: operador do bloco A não vê bloco B).
  • 4) Restrinja ações críticas: apagar gravação, formatar disco, restaurar padrão, alterar rede, alterar DNS, alterar P2P/DDNS.
  • 5) Defina processo de desligamento: ao sair da empresa, desativar conta no mesmo dia.

Bloqueio por tentativas, tempo de sessão e MFA (quando disponível)

Conceito

Mesmo com senhas fortes, ataques de força bruta podem ocorrer. Bloqueio por tentativas e limites de sessão reduzem esse risco. Alguns sistemas oferecem MFA/2FA (segundo fator) no acesso web/app; quando existir, habilite.

Configurações recomendadas

  • Bloqueio por tentativas: 5 a 10 tentativas falhas → bloqueio temporário (ex.: 10 a 30 minutos).
  • Backoff progressivo: se houver opção, aumente o tempo de bloqueio a cada nova sequência de falhas.
  • Timeout de sessão: 5 a 15 minutos em consoles de operação; menor em acesso web administrativo.
  • MFA/2FA: habilitar para contas administrativas e acesso remoto.
  • Alertas: se o equipamento enviar e-mail/alerta por falhas de login, habilite para o responsável.

Passo a passo: validando o bloqueio

  • 1) Em um usuário de teste, erre a senha repetidas vezes até atingir o limite.
  • 2) Confirme se o bloqueio ocorre e por quanto tempo.
  • 3) Verifique se o evento aparece em logs/auditoria.
  • 4) Ajuste o limite para equilibrar segurança e operação (evitar travar operadores por erro comum).

Registro de auditoria (logs): o que ativar e como usar

Conceito

Logs são o “rastro” do que aconteceu: logins, falhas, mudanças de configuração, exportações, exclusões, reinicializações, atualizações. Sem auditoria, você pode até recuperar o sistema, mas não sabe como foi comprometido nem quem fez o quê.

O que registrar (quando o equipamento permitir)

  • Autenticação: login/logout, falhas, bloqueios.
  • Administração: criação/remoção de usuários, mudança de permissões.
  • Configuração: rede (IP/DNS/gateway), P2P/DDNS, portas/serviços, horário/NTP.
  • Armazenamento: formatação, falhas de disco, mudanças de retenção/sobrescrita.
  • Vídeo: exportação de evidências, alterações de stream, desativação de canais.
  • Sistema: reboot, reset de fábrica, upgrade/downgrade de firmware.

Passo a passo: rotina simples de auditoria

  • 1) Ative logs detalhados (se houver níveis: normal/detalhado).
  • 2) Ajuste data/hora corretamente (logs sem horário correto perdem valor).
  • 3) Defina retenção de logs (ex.: 90 dias) e exportação periódica.
  • 4) Revise semanalmente eventos de falha de login e mudanças de configuração.
  • 5) Em incidentes, exporte logs imediatamente antes de qualquer reset/upgrade.

Firmware atualizado: por que importa e como atualizar sem “quebrar” o sistema

Conceito

Firmware corrige vulnerabilidades, melhora estabilidade e pode ajustar compatibilidades. Porém, atualizar sem planejamento pode causar indisponibilidade, perda de configurações ou incompatibilidade com recursos (por exemplo, integrações, apps, ou funcionalidades específicas do gravador/câmera).

Planejamento de janelas de atualização (prático)

  • 1) Inventário: liste modelo, versão atual, função (câmera crítica, NVR principal), e local.
  • 2) Prioridade: atualize primeiro o que está mais exposto (interfaces web, acesso remoto) e o que tem correções críticas.
  • 3) Janela: escolha horário de baixo impacto e avise usuários (ex.: madrugada/horário comercial reduzido).
  • 4) Backup: exporte configuração do DVR/NVR e registre parâmetros importantes (usuários, rede, gravação, regras).
  • 5) Plano de rollback: confirme se existe firmware anterior disponível e o procedimento para voltar.

Como evitar quebra de compatibilidade

  • Leia as notas de versão (release notes) e verifique: mudanças de protocolo, ONVIF, RTSP, codecs, requisitos de app, alterações de senha/criptografia.
  • Evite “pular muitas versões” se o fabricante recomendar atualizações intermediárias.
  • Teste em um dispositivo não crítico (uma câmera de laboratório ou canal menos importante) antes de atualizar em massa.
  • Compatibilidade NVR ↔ câmeras: em ambientes mistos, atualize com cautela. Às vezes o NVR precisa ser atualizado antes para reconhecer firmware novo das câmeras (ou o inverso, conforme fabricante).
  • Não interrompa energia durante upgrade. Use nobreak no NVR e, se possível, no switch PoE.

Passo a passo: atualização segura (fluxo genérico)

  • 1) Baixe o firmware correto para o modelo exato (variações de hardware importam).
  • 2) Verifique integridade (hash/assinatura se disponível) e origem oficial.
  • 3) Faça backup de configuração e exporte lista de usuários/perfis.
  • 4) Atualize um item por vez (principalmente NVR/DVR) e monitore reinício.
  • 5) Valide pós-upgrade: login, visualização ao vivo, gravação, playback, exportação, data/hora, rede, eventos.
  • 6) Registre a mudança (data, versão, responsável, observações).

Checklist de hardening (redução de superfície de ataque)

Conceito

Hardening é “fechar portas” do que não é necessário e limitar quem pode acessar. Em CFTV, isso normalmente significa desativar serviços, restringir origens de acesso e reduzir exposição de interfaces administrativas.

Checklist prático (marque o que for aplicável)

  • Credenciais e contas
    • Senha do admin alterada e guardada em cofre.
    • Usuários nominais criados; contas genéricas removidas.
    • Menor privilégio aplicado (operador não administra).
    • Bloqueio por tentativas ativado.
  • Serviços e interfaces
    • Desativar serviços não usados (ex.: Telnet, UPnP, SNMP, SSH, RTSP público, descoberta ampla) conforme necessidade real.
    • Desativar acesso por navegador/HTTP simples se houver HTTPS (ou restringir a rede interna).
    • Desativar “cloud/P2P” se não for usado.
    • Desativar contas de suporte remoto não utilizadas.
  • Restrição de acesso
    • Permitir acesso administrativo apenas de IPs específicos (whitelist) quando o equipamento suportar.
    • Restringir acesso por sub-rede/VLAN (se disponível no ambiente).
    • Evitar administração pela mesma rede usada por visitantes/usuários finais.
  • Segurança operacional
    • Timeout de sessão configurado.
    • Logs/auditoria ativados e com retenção definida.
    • Sincronização de horário configurada para manter logs confiáveis.
  • Atualizações
    • Versões registradas (inventário).
    • Janela de manutenção definida.
    • Procedimento de backup e rollback documentado.

Passo a passo: hardening rápido em 30–60 minutos (por equipamento)

  1. Mapeie o que está habilitado: abra o menu de rede/serviços e anote tudo que estiver ativo (web, RTSP, ONVIF, P2P, UPnP, SNMP, etc.).

  2. Desative o que não usa: se ninguém usa ONVIF/RTSP, desligue; se não há monitoramento por app, desligue P2P; se não há gerenciamento por SNMP, desligue.

  3. Restrinja administração: se houver “IP allowlist”, cadastre apenas IPs das máquinas de segurança/TI. Se houver perfis, remova permissões de rede/usuários dos operadores.

  4. Ative bloqueio e logs: configure tentativas e retenção; valide gerando um evento de teste (login errado).

  5. Registre o estado final: exporte configuração e documente as mudanças (para repetir em outros sites).

Roteiro de implantação segura (para novos projetos e para sistemas já instalados)

Em instalação nova

  • 1) Trocar senha admin no primeiro boot.
  • 2) Criar usuários por função (operador/supervisor/auditoria).
  • 3) Ativar bloqueio por tentativas e timeout.
  • 4) Desativar serviços não usados e restringir IPs de administração.
  • 5) Checar firmware e atualizar dentro da janela planejada.
  • 6) Ativar logs e definir rotina de revisão.

Em sistema já em operação (retrofit de segurança)

  • 1) Levantar usuários existentes e remover contas desconhecidas.
  • 2) Trocar senhas (admin e usuários) e aplicar política mínima.
  • 3) Habilitar bloqueio por tentativas e revisar acessos remotos.
  • 4) Fazer inventário de firmware e planejar atualização por etapas.
  • 5) Aplicar hardening: desligar serviços e restringir origens de acesso.
  • 6) Ativar/exportar logs e guardar evidências de mudanças.

Agora responda o exercício sobre o conteúdo:

Ao aplicar o princípio do menor privilégio em um sistema de CFTV, qual prática reduz melhor o impacto caso uma conta de operador seja comprometida?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

Menor privilégio significa dar apenas as permissões necessárias. Com usuários nominais e restrição de ações críticas, um vazamento causa menos danos e melhora a rastreabilidade do que foi feito.

Próximo capitúlo

Segmentação de rede para CFTV: VLAN, sub-redes e isolamento do tráfego de câmeras

Arrow Right Icon
Capa do Ebook gratuito CFTV do Zero: Entendendo Analógico, IP, PoE e Armazenamento
82%

CFTV do Zero: Entendendo Analógico, IP, PoE e Armazenamento

Novo curso

17 páginas
Aprenda Eletrônica

AprendaEletrônica

Explore cursos online gratuitos de Eletrônica, como Eletrônica Básica e Segurança, e conquiste sua certificação gratuita. Transforme seu futuro agora!

 Aprenda Profissionalizantes

AprendaProfissionalizantes

Os cursos online profissionalizantes gratuitos preparam você para o mercado de trabalho, conquiste sua qualificação profissional nos cursos com certificado.
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store