Aumentando a segurança em um servidor Windows Server

Aumentando a segurança em um servidor Windows Server

Há algumas rotinas, procedimentos e regras básicas para manter a segurança de um servidor Windows Server. Esse princípios contemplam a correção de vulnerabilidades do sistema, revisão sobre configurações com padrão de fábrica, desativação de protocolos desnecessários ou aplicativos vulneráveis. Todos esses são aspectos explorados por um hacker deseja atacar um servidor Windows. O processo de fechar e corrigir essas vulnerabilidades (ou pelo menos a maioria delas) é conhecido como hardening server, ou endurecimento do servidor em uma tradução livre.

Infelizmente, como um fisiculturista, um sistema endurecido não fica em forma com poucos exercícios e sem atenção contínua, por isso temos uma lista de itens para verificar.

Veja também o nosso post Aumentando a segurança do sistema operacional.

Lista de verificação de proteção do Windows Server

#1 – Atualizações de segurança

No processo de proteção do servidor, muitos administradores relutam em instalar automaticamente os patches do Windows, já que as chances de um patch causar problemas no sistema operacional ou em um aplicativo são relativamente altas. Há várias soluções para evitar a instalação manual de patches, sistemas que gerenciam a aplicação de correções de segurança Microsoft e até de terceiros como Java, Adobe e outros. Alguns podem instalar patches em um ambiente de testes (sandbox), permitindo testá-los antes de aplicá-los aos sistemas de produção.

#2 – Portas e protocolos de rede

No nível mais simples, um firewall mapeia UDP (User Datagram Protocol) e TCP (Transmission Control Protocol) de solicitações externas para portas específicas em servidores internos. Bloquear todas as portas por padrão e, em seguida, habilitar (podendo até alterar o número padrão) somente as necessárias para fazer com que os aplicativos funcionem é uma etapa básica no fortalecimento do servidor. Isso é feito através de firewalls ou roteadores e em aplicativos de segurança.

#3 – Configurações de usuário

No nível mais simples, essa etapa de proteção do servidor refere-se às opções de confirmação básicas, como exigir senhas complexas para todas as contas de usuário e administrativas, histórico de senhas, autenticação de dois fatores ou até biometria. Existem ferramentas de proteção de servidor para auditar contas de usuário e aplicativos afim de garantir que as senhas sejam suficientemente complexas e sejam alteradas conforme necessário.

Conceder excesso de direitos administrativos a contas de usuários do servidor pode resultar em infecções ou danos causados por falta de conhecimento, sabemos que pode ser realmente trabalhoso fazer com que alguns aplicativos funcionem com direitos limitados, mas é uma das melhores maneiras de bloquear ataques.

#4 – Recursos e funções administrativas de usuários

Durante o processo de proteção do servidor, também é interessante criar ou remover funções, e adicionar ou subtrair recursos de segurança do Windows em contas de usuário, conforme necessário. Por exemplo, o suporte contratado do sistema interno utilizado pela empresa, deve ter acesso administrativo ao servidor, mas apenas ao sistema de banco de dados e ao próprio software, mas não às pastas compartilhadas pelo servidor e o cadastro de usuários do AD (Active Directory).

#5 – Configuração do Firewall

Em termos de proteção do servidor, os firewalls podem ser essenciais para interromper a maioria dos ataques de hackers. Se uma conexão externa não puder acessar um sistema interno, ela não poderá roubar informações. Bloquear tudo por padrão e colocar na lista de permissões apenas as portas necessárias é um bom começo, mas os firewalls também podem criar logs de todas as tentativas de conexão a um sistema interno. A verificação desses registros pode dar uma boa ideia se as tentativas são causadas por usuários com credenciais de login incorretas ou se os hackers contratam serviços para seus concorrentes.

Além disso, muitos firewalls podem detectar o tráfego típico de determinados ataques ou identificar usuários internos ou aplicativos que estão enviando informações para um sistema externo.

#6 – Configuração NTP (Network Time Protocol)

O Network Time Protocol destina-se a garantir que todos os servidores em uma organização (sejam todos em um data center ou localizados em todo o mundo) sejam sincronizados com o mesmo padrão de tempo. Servidores ou estações de trabalho fora de sincronia em apenas alguns minutos podem causar erros de configuração ou introduzir vulnerabilidades (ataques man-in-the-middle e outros spoofing contam com sistemas fora de padrão).

#7 – Monitoramento e registro de logs

O registro e o monitoramento de logs podem ser os melhores amigos de um administrador de segurança. Há ataques que as vezes não são possíveis de serem bloqueados (como variantes de vírus que aparecem diariamente), mas com o registro de log é possível descobrir o problema e impedir que o mesmo venha a se repetir.

Simplesmente registrar tudo não é prático pois normalmente geram-se centenas de milhares de linhas de texto por dia. A chave para o fortalecimento bem-sucedido do servidor Windows é registrar apenas os eventos do sistema que são úteis e, em seguida, localizar os eventos certos se houver um problema.

Num servidor de compartilhamento de arquivos, é interessante ativar a auditoria de arquivos, com ela é possível o que ocorreu com determinado arquivo, quem abriu, editou ou deletou.

#8 – Proteção de e-mails

Como um meio de proteção, firewalls e aplicativos de segurança de e-mail podem impedir a maioria dos e-mails de phishing. (Atualmente, estima-se que até 95% das violações de segurança começam com um ataque desse tipo bem-sucedido.)

#9 – Restringir e Monitorar Acesso Remoto

O acesso remoto permite que um usuário com as credenciais adequadas se conecte a um servidor Windows a partir de outro equipamento e acesse todo o seu conteúdo. É uma das melhores invenções para agilizar o suporte ou acesso externo, no entanto, também é uma ótima maneira de um usuário não autorizado obter acesso a vários recursos restritos.

Além do básico de limitar o acesso remoto a funções específicas é possível limitar o acesso a endereços IP ou blocos de endereços específicos, ou ainda adicionar autenticação baseada em token adicional para garantir que o usuário realmente é autorizado. Além disso, o registro de todos os acessos remotos e o endereço IP de origem podem ajudá-lo a descobrir as ações dos usuários, caso ocorra uma violação.

#10 – Serviços do Windows

Assim como na remoção ou limitação de funções e recursos de servidor, os serviços são aplicativos de nível mais baixo que permitem protocolos de rede específicos, acesso a hardware de servidor, funcionalidade de aplicativos etc. Muitos serviços podem ser desligados ou configurados para serem executados sob demanda, em vez de serem constantemente ativados .

O truque é saber quais serviços são necessários para quais aplicativos, a desativação dos serviços corretos pode não apenas ajudar a proteger o servidor, desativando maneiras comuns de atacar o mesmo, como também pode aumentar o desempenho do mesmo liberando o uso CPU, disco ou memória.

Conclusão

O endurecimento do servidor é um processo complexo que, como a maioria das coisas, fornecerá resultados em proporção ao esforço aplicado. Uma simples lista de verificação já tornará os servidores mais seguros que o padrão, podendo ser aprimorada com novos itens.

A HF Tecnologia é especialista em implantação, monitoramento e suporte a servidores Windows Server, temos mais de 15 anos de experiência na área e centenas de servidores implantados. Se a sua empresa precisa de atendimento nessa área, faça contato conosco.

Atualizado em 30/07/2018 às 15:31.

Comentários (2)

  • Luis Fernando Andreani Reply

    Boa tarde,

    “Além do básico de limitar o acesso remoto a funções específicas é possível limitar o acesso a endereços IP ou blocos de endereços específicos, ou ainda adicionar autenticação baseada em token adicional para garantir que o usuário realmente é autorizado. Além disso, o registro de todos os acessos remotos e o endereço IP de origem podem ajudá-lo a descobrir as ações dos usuários, caso ocorra uma violação.”

    Como vocês disseram nesse parágrafo é possível adicionar uma autenticação de token no acesso remoto.
    Minha empresa está querendo implementar isso já que temos servidores importantes.
    Gostaria de saber se sabem me indicar onde consigo contratar alguém para criar esse processo ou onde posso aprender a criar esse processo,

    Aguardo resposta.

    23 de janeiro de 2019 at 11:35
    • HF Tecnologia Reply

      Olá Luis, sim, é possível.

      Fazemos isso em servidores gerenciados por nós de clientes que exigem esse nível de segurança.

      Atenciosamente,
      Equipe HF Tecnologia

      30 de janeiro de 2019 at 11:11

Deixe um comentário

Seu e-mail não será divulgado.