Windows Server Hardening: Configure Configurações de Segurança e Políticas para o Windows Server. O Windows Server Hardening é essencial para reforçar a segurança de nossa infraestrutura do Windows Server. Fortificamos nosso servidor contra potenciais ameaças e acesso não autorizado configurando configurações de segurança e políticas. Este guia fornece-nos passos e práticas recomendadas para endurecer nosso ambiente do Windows Server.
Windows Server Hardening: Configure Configurações de Segurança e Políticas para o Windows Server
A cada nova versão do Windows Server foi adicionada a capacidade de segurança do Windows Server 2022 para proteger esse componente de infraestrutura vital. A lançamento do Windows Server 2022 significa que as organizações devem atualizar para o Windows Server 2022 antes que o suporte termine para versões mais antigas do Windows Server. É uma boa ideia considerar uma migração para o Windows Server 2022, especialmente para infraestruturas críticas como controladores de domínio.
A Windows Server 2022 upgrade brings the advantage of security features not existing in earlier Windows Server versions. In addition, given the sensitive nature of domain controllers and other infrastructure components in the data center, it makes sense to harden those servers to the newest server operating system.
Aprimoramentos na Segurança Básica do Windows Server
Uma ferramenta oferecida aos administradores para fortalecer o ambiente Windowsé o Microsoft Security Compliance Toolkit, que contém a linha de base de segurança do Windows Server 2022, composta por objetos de Política de Grupoconfigurados de acordo com as melhores práticas recomendadas pela Microsoft. Além disso, o toolkit inclui uma utilidade de visualização de políticas para comparar a configuração de um sistema com as configurações de segurança da linha de base.
O Microsoft Security Compliance Toolkit não é uma nova ferramenta, mas a Microsoft fez algumas alterações nas bases para o Windows Server 2022. Por exemplo, a lista de restrição de navegador do controlador de domínio mostra o Internet Explorer porque o Edge é o navegador recomendado pela Microsoft. Da mesma forma, a base de segurança do Windows Server 2022 agora trata a verificação de scripts como uma prática recomendada de segurança. Além disso, apenas os administradores podem instalar drivers de impressão.
Começando com as Bases de Segurança do Windows Server 2022
Visite a página do Microsoft Security Compliance Toolkit e baixe o Analisador de Política e a base de segurança do Windows Server 2022 como arquivos .zip que precisamos extrair. Para comparar um sistema Windows Server 2022 com a base de segurança:
- Execute o arquivo PolicyAnalyzer.exe.
- Clique no Adicionar botão e siga as instruções para abrir o Importador de Arquivos de Política.
- Selecione a opção Adicionar Arquivos de GPOs no menu Arquivo, conforme mostrado abaixo.
O Importador de Arquivos de Política exibe as GPOs disponíveis, conforme mostrado abaixo. As GPOs são específicas de função. Por exemplo, existem GPOs para fins gerais, mas existem diferentes GPOs para controladores de domínio, os quais precisamos fortalecer em maior grau do que servidores básicos.
Escolha o arquivo de política a ser usado e clique no Importar botão. Quando solicitado, salve a GPO importada como um arquivo de regras de política. Em seguida, para comparar a linha de base com o estado atual de um servidor, clique no Visualizar/Comparar botão. Este botão abre o Visualizador de Políticas para comparar a linha de base com o estado efetivo do sistema, conforme mostrado abaixo.
O Analisador de Políticas destaca as diferenças entre a linha de base de segurança e as GPOs atuais do sistema durante seu teste de comparação. A ferramenta também verifica configurações desnecessárias ou conflitantes. Os administradores exportam suas descobertas em formato Excel e fazem uma captura para verificar modificações em outro momento.
Ferramentas e Utilitários para Apoiar o Fortalecimento do Windows Server
Existem várias ferramentas poderosas disponíveis que ajudam a garantir a segurança do seu ambiente do Windows Server. Neste guia, exploramos algumas dessas ferramentas, destacando suas capacidades em fortalecer a segurança da sua infraestrutura do Windows Server 2022.
A Microsoft introduziu várias funcionalidades de segurança no Windows Server 2022, incluindo as seguintes:
Servidor Secured Core
O recurso de servidor Secured-core integra hardware, firmware e segurança de software para criar uma defesa robusta contra ameaças avançadas. Ele aproveita componentes de hardware confiáveis e processos de inicialização segura para estabelecer uma base altamente segura.
O Windows Server 2022 suportao uso de hardware secured-core, que armazena chaves criptográficas dentro da CPU em vez de em um chip separado de Módulo de Plataforma Confiável (TPM). Esse processo melhora drasticamente a segurança das chaves, tornando-as muito mais difíceis de acessar, mesmo que um atacante tenha posse física da máquina.
Hardware Root-of-Trust
Essa funcionalidade garante a integridade do sistema verificando a autenticidade dos componentes de hardware durante o processo de inicialização. Ela estabelece uma cadeia de confiança que começa no nível de hardware, oferecendo uma proteção sólida contra ataques no nível de firmware.
O Windows Server 2022 utiliza TPM 2.0 na placa-mãe ou em processadores mais recentes para implementar sua funcionalidade de Inicialização Segura e verificar códigos não autorizados antes de carregar o sistema operacional.
Proteção de Firmware
Mecanismos de proteção de firmware defendem contra ataques baseados em firmware. Isso inclui recursos como Inicialização Segura e inicialização medida, que validam a integridade do firmware e detectam tentativas de adulteração.
Tradicionalmente, o software antimalware não pode escanear o firmware do sistema. Um servidor equipado com um processador de núcleo seguro verifica o processo de inicialização por meio da tecnologia de raiz dinâmica de confiança para medição. Também é possível isolar drivers usando proteção de Acesso Direto à Memória.
Inicialização Segura UEFI
A security feature that verifies the operating system bootloader’s and firmware’s authenticity during the system start-up process. It prevents the execution of unauthorized or malicious code, protecting against boot-level attacks and rootkits.
Com este recurso, o sistema inicializa apenas firmware e arquivos do sistema operacional que o fabricante do servidor confia para proteger contra ataques de rootkit.
Segurança Baseada em Virtualização
Fornece isolamento e proteção para componentes críticos do sistema. Ele aproveita recursos de virtualização de hardware para criar ambientes isolados, conhecidos como modo seguro virtual, para proteger dados e processos sensíveis contra acesso não autorizado.
Este recurso de segurança armazena credenciais e chaves em um contêiner seguro ao qual o sistema operacional não pode acessar diretamente para evitar violações em caso de ataque de malware.
Habilitar HTTPS e Segurança de Camada de Transporte (TLS) 1.3 por Padrão
O Windows Server 2022 promove a comunicação segura ao habilitar o HTTPS e o TLS 1.3 como protocolos padrão. Esse processo garante que o tráfego de rede seja criptografado, protegendo os dados em trânsito e reduzindo o risco de escutas e adulterações.
A Microsoft habilitou o HTTPS e o TLS 1.3 por padrão no Windows Server 2022 para substituir protocolos mais antigos e menos seguros. Os administradores precisam configurar aplicativos ou serviços para usá-lo.
DNS Seguro
O Windows Server 2022 introduz maior segurança para o DNS (Domain Name System) de resolução. Ele inclui a criptografia DNS, DNS over HTTPS (DoH) e DNSSEC (Domain Name System Security Extensions), que fornecem confidencialidade, integridade e autenticação para consultas DNS, mitigando ataques baseados em DNS.
Essa funcionalidade, também conhecida como DNS-over-HTTPS, criptografa consultas DNS para melhorar a privacidade, protegendo o tráfego e evitando escutas na rede.
SMB Criptografia Leste Oeste
Ele criptografa o tráfego SMB entre servidores dentro do mesmo data center ou segmento de rede. Ele protege a confidencialidade e integridade dos dados, impedindo o acesso não autorizado a informações sensíveis dentro da infraestrutura do servidor.
Essa funcionalidade embaralha as comunicações dentro de clusters de Espaços de Armazenamento Direto para proteger a transferência de dados entre servidores.
SMB Direto e Criptografia RDMA
O Windows Server 2022 suporta SMB Direto e Criptografia RDMA (Acesso Direto à Memória Remota), o que aprimora a segurança das transferências de dados entre servidores criptografando os dados durante a transmissão. Esse processo protege contra escutas e interceptações não autorizadas do tráfego SMB.
A funcionalidade SMB Direto para transferências de alta velocidade em servidores de arquivos agora suporta criptografia. O Windows Server 2022 realiza a criptografia antes da colocação dos dados para um desempenho muito melhor em comparação com manifestações anteriores dessa tecnologia.
SMB Sobre QUIC
O SMB Sobre QUIC (Conexões Rápidas de Internet UDP) introduz um protocolo de transporte seguro e eficiente para o tráfego SMB. Ele aproveita os mecanismos de criptografia e autenticação fornecidos pelo QUIC para garantir a confidencialidade e integridade dos dados SMB trocados entre clientes e servidores.
Essa funcionalidade, combinada com o TLS 1.3, utiliza um protocolo de transporte relativamente novo para acessar dados de forma segura sem a necessidade de uma VPN. Disponível apenas na Edição Azure do Windows Server 2022 Datacenter.
Práticas recomendadas de segurança do Windows Server 2022
A Microsoft fornece analisadores de melhores práticas com base na função e versão do servidor que nos ajudam a fortalecer nossos sistemas por meio de varreduras e recomendações.
Embora o Controle de Conta de Usuário (UAC) sirva ao propósito vital de abstrair executáveis do contexto de segurança do usuário logado. Quando fazemos login como administrador, o UAC impede que aplicativos sejam executados sem nosso consentimento. Essa medida impede que malwares sejam executados em segundo plano e que sites maliciosos iniciem instaladores ou outros códigos. Portanto, deixe o UAC ativado sempre que possível.
O endurecimento de cada aplicação que executamos também é crucial para garantir a segurança do sistema operacional Windows, de acordo com as dicas fornecidas neste guia. Embora aplicações típicas de servidores Microsoft, como MSSQL e Exchange, tenham mecanismos de segurança específicos que ajudam a protegê-las contra ataques como ransomware como WannaCry, certifique-se de pesquisar e ajustar cada aplicação para obter máxima resiliência. Se estivermos construindo um servidor web, seguimos nosso guia de endurecimento para melhorar sua segurança voltada para a internet.
Confira nosso artigo sobre as melhores práticas de segurança do Windows Server para obter mais informações.
Endurecimento do Windows Server: Configurar Configurações de Segurança e Políticas para Conclusão do Windows Server
Em conclusão, a adequada proteção do Windows Server através da configuração das configurações e políticas de segurança são cruciais para proteger nossa infraestrutura de servidor contra ameaças em constante evolução. Ao implementar recursos como um servidor Secured-core, raiz de confiança de hardware, proteção de firmware, UEFI Secure Boot, segurança baseada em virtualização e habilitando HTTPS padrão e TLS 1.3, aprimoramos significativamente a segurança de nosso ambiente do Windows Server. Além disso, recursos como DNS seguro, Criptografia Leste-Oeste SMB, SMB Direct e Criptografia RDMA, e SMB Over QUIC contribuem ainda mais para fortalecer nosso servidor contra possíveis vulnerabilidades e acessos não autorizados.