5 medidas de segurança que deve aplicar no Windows Server 2022

Partilhar

Vivemos num mundo com cada vez mais ameaças à segurança. Temos cada vez mais serviços conectados e os nossos atacantes são cada dia mais numerosos e estão melhor equipados, por isso devemos estar prestar atenção e manter sempre uma postura defensiva e vigilante no que diz respeito à segurança de todos os nossos sistemas.

Não há um único sistema, serviço ou máquina, por mais insignificante que seja, que não possa ser explorado por invasores, o que pode acabar por comprometer a nossa organização.

Portanto, devemos ter em conta algumas medidas para que a nossa organização seja o mais segura possível. Neste artigo, propomos cinco delas, pequenas grandes ideias que contribuem para uma infraestrutura segura baseada em servidores Windows Server 2022.

NOTA: Embora estejamos a falar do Windows Server 2022, estas dicas servem para qualquer versão do Windows e até mesmo para sistemas GNU/Linux. Claro que a forma de implementá-las em cada sistema será diferente, mas os princípios são os mesmos.

Ao longo deste artigo é provável que se aperceba de que tudo o que estamos a dizer aqui se pode resumir a dedicar tempo suficiente e planeamento, para evitar muitos problemas.

 

As 5 medidas de segurança que deve aplicar no Windows Server 2022

Neste artigo vamos abordar as cinco medidas de segurança que devemos sempre aplicar à nossa infraestrutura de servidores, sejam de Windows Server 2022 ou qualquer outra versão.

1.       Minimize a superfície de ataque: Instale apenas os serviços e as funções de que precisa.

2.       Dedique tempo a configurar a firewall do Windows.

3.       Mantenha tudo atualizado.

4.       Planifique a continuidade do serviço.

5.       Agende auditorias do sistema de forma recorrente.

 

Minimize a superfície de ataque: instale apenas os serviços e as funções de que precisa:

Não há melhor maneira de colocar em risco a nossa infraestrutura do que instalar programas, serviços e funções que não vamos usar.

Sempre que instalamos um servidor devemos planear cuidadosamente para que o queremos. Se tivermos isso claro, podemos começar com a operação e instalar o que queremos implementar.

Sem esta tarefa prévia, podemos acabar por implementar mais serviços e funções do que gostaríamos, o que irá expor serviços legítimos a uma superfície de ataque maior do que o desejável.

Cada serviço, função ou programa que instalamos deixa portas abertas a solicitações que possam vir de fora do servidor, e é por aí que um invasor pode entrar.

Além disso, devemos deixar claro que alguns serviços, como o Active Directory Domain Services (AD DS) não devem ser instalados num único computador (neste caso, um único Domain Controller), pois deve-se criar redundância para evitar indisponibilidades de serviço. Assim, devem ser implementados vários servidores com a mesma finalidade ou um cluster para serviços como DNS, DHCP, impressão, etc.

Outro ponto a ter em mente a este respeito é que, com o aumento da virtualização, e até da virtualização em containers, podemos implementar vários servidores para isolar serviços e minimizar o impacto se um deles for comprometido.

 

Dedique tempo a configurar a firewall do Windows:

Depois de instalar apenas os serviços necessários para suportar a nossa infraestrutura, ou seja, apenas aqueles que devem operar para evitar falhas de segurança, também devemos ter em conta a configuração da firewall do Windows.

Neste sentido, devemos começar por dizer que a abordagem de “ter uma firewall de perímetro é mais que suficiente” está completamente errada. Num mundo tão complexo como aquele em que vivemos, com ameaças crescentes e atacantes que se podem aproveitar de qualquer descuido, todos os cuidados são poucos, o que significa que devemos proteger todos os elementos.

Devemos passar tempo a rever cada servidor, a fazer uma lista dos serviços que os servidores devem prestar e negar o acesso a todos os restantes. E sim, a política de firewall deve ser uma política de segurança padrão, ou seja, negar tudo e abrir apenas as portas necessárias quando necessárias.

E tenha muito cuidado com o último ponto! Quando dizemos que devemos abrir as portas necessárias, não devemos abrir todas as portas de um serviço, mas apenas aquelas que queremos utilizar.

Um exemplo é o Microsoft SQL Server, que possui inúmeras portas para cumprir as suas diversas funções; neste caso, não abriremos as portas relacionadas com o Analysis Services se não implementarmos esse serviço.

NOTA: Para saber mais sobre portas do SQL Server, pode visitar o artigo (em inglês) “Como gerir portas SQL no Windows Server” no nosso blog.

Por outro lado, é possível que fique a pensar no tempo que pode demorar a implementar e configurar corretamente todas as firewalls da sua infraestrutura. Nesse sentido, recomendamos a leitura do artigo (em inglês) “Como configurar firewalls com GPO“, que descreve como podemos usar políticas de grupo (GPO) para exibir a configuração da firewall, que poderíamos agrupar, por exemplo, em computadores clientes, servidores web, controladores de domínio, servidores de bases de dados etc., para ajustar as configurações da firewall.

Imagem. Front-end de administração do Windows Defender Firewall com segurança avançada.
Imagem. Front-end de administração do Windows Defender Firewall com segurança avançada.

 

Mantenha tudo atualizado:

Outro ponto crítico da segurança dos sistemas é manter tudo atualizado. E nesse sentido temos que gerir vários aspetos.

Para começar, devemos pensar no que devemos manter atualizado. Sobre isto, há várias interpretações:

  1. Devemos manter os sistemas operativos atualizados com as atualizações de sistema mais recentes, quando tivermos a certeza de que isto não representa uma ameaça para os nossos sistemas.
  2. Devemos manter os nossos serviços e funções atualizados, bem como as nossas aplicações, da mesma forma que aplicamos as atualizações do sistema operativo.
  3. Devemos manter-nos a nós próprios atualizados e rever constantemente as notícias sobre segurança e, para isso, devemos reservar uma parte da semana para poder ler fóruns, sites especializados, boletins de segurança, etc.
  4. Reforçamos o ponto anterior: devemos manter-nos atualizados, reciclar conhecimentos, descobrir novas formas de gerir os sistemas, aprender, por exemplo, sobre o PowerShell e como automatizar processos que nos ajudam a poupar tempo em tarefas repetitivas, tempo que podemos investir em tarefas mais importantes, como melhorar a infraestrutura.

Em relação às atualizações dos sistemas operativos e serviços, devemos fazer um pequeno investimento para implementar um ambiente de teste, comummente chamado “piloto” ou “mockup”, no qual podemos testar as atualizações e novos serviços ou programas a instalar antes de avançar para o ambiente de produção.

Para gerir este tipo de atualizações, podemos utilizar diferentes abordagens que podem ser executadas em função do orçamento disponível.

Por um lado, temos o System Center, que já está no mercado há alguns anos e com o qual alguns de nós temos vindo a trabalhar. Este possui o System Center Configuration Manager em versões um pouco mais antigas, sendo que esta aplicação já migrou para a cloud nas versões mais recentes. O SCCM, como é conhecido entre os administradores de plataformas “wintel”, tornou a administração deste tipo de plataforma muito mais fácil para aqueles que tiveram a sorte de ter um orçamento para isso. A única desvantagem que pode ser apontada a esta plataforma de gestão é que requer um bom volume de horas para implementar a infraestrutura e configurá-la inicialmente.

NOTA: O Microsoft Endpoint Configuration Manager está atualmente disponível como um substituto natural deste software.

Por outro lado, no mercado existem muitas opções de MDM para implementação, atualização e controlo de dispositivos, mas todas exigem um bom investimento.

Para quem não tem um orçamento suficiente, está disponível o WSUS (Windows Server Update Services), um sistema de gestão de atualizações de sistemas e aplicações da Microsoft que pode ser usado para criar diferentes perfis de servidor e cliente e fornecer apenas os pacotes considerados adequados para cada perfil.

Imagem. Instalação do WSUS no Windows Server 2022.
Imagem. Instalação do WSUS no Windows Server 2022.

 

Planeie a continuidade do serviço:

O próximo ponto é planear a continuidade do seu serviço e, consequentemente, do seu negócio. E para isso não é necessário fazer uma implementação completa da ISO/IEC-22301, que é dedicada a Sistemas de Gestão de Continuidade de Negócios, que costuma ser mais um selo de qualidade e conformidade formal do que uma medida real de continuidade.

Para isto devemos começar a usar o bom senso e aplicar medidas técnicas, que quando acompanhadas dos procedimentos adequados, garantem que a nossa empresa pode sobreviver a quase todas as eventualidades.

Em primeiro lugar, devemos pensar na formação: não só a nossa e a da nossa equipa de trabalho, mas também a do pessoal de outros departamentos.

Todos os nossos colaboradores devem ter, pelo menos, um certo nível de formação e conhecimento em matérias de segurança e operação dos serviços em que estão envolvidos, de forma a atuar da melhor forma possível perante uma eventualidade ou mesmo para evitar cometer pequenos erros que comprometam a segurança, como cair em armadilhas de phishing, engenharia social, etc.

O próximo ponto que devemos ter em conta é algo óbvio que, infelizmente, nem sempre é abordado: as cópias de segurança. Todos os nossos servidores e serviços devem ter cópias de segurança, principalmente os mais críticos, que devem ter mais cópias de segurança, menos tempo e com maiores retenções.

Além disso, não devemos esquecer-nos de alguns utilizadores-chave da empresa, cujo trabalho é essencial para a sobrevivência da mesma. Para dar um exemplo real de algo que acontece, há empresas cujo sistema de geração de recibos de pagamento é totalmente dispensável e, se falhar, isso não será um problema, mas pelo contrário existem empresas cujo sistema de geração de recibos de pagamento é a sua razão de existir, porque se dedicam a fornecer esse serviço. Portanto, devemos sempre adequar as cópias e os sistemas às necessidades do negócio, e não o contrário.

No caso da Jotelulu, para dar um exemplo, existem backups agendados por padrão para todos os servidores implementados pelos clientes, algo que pode ser verificado na página Infraestrutura e Segurança.

Tanto no caso de cópias de backup como no do cluster de servidores, é boa ideia (sempre que possível) guardar uma das cópias ou servidores externamente, num local remoto e, idealmente, manter também mais outro provedor externalizado.

 

Agende auditorias de sistema de forma recorrente:

Por fim, acreditamos que um plano de auditorias programadas de forma periódica pode ajudar a manter a infraestrutura sob controlo.

 

Conclusões:

Neste artigo vimos algumas das medidas que podemos tomar para manter o Windows Server 2022 (ou outras versões) seguro contra ameaças. Estas ações podem ser úteis para diferentes sistemas, tanto on-premise como on-cloud.

Neste artigo analisámos apenas cinco pontos, mas não devemos ignorar outros fatores, como contas de utilizadores e passwords, por exemplo.

Estas medidas são direcionados a melhorar a segurança, mas devemos dizer que o mais importante, como já dissemos noutras ocasiões, é ter um planeamento correto, algo que nos ajudará a eliminar a maioria das vulnerabilidades ou erros de implementação.

Este artigo é demasiado curto, porque não queríamos aborrecer o leitor, por isso deixámos de fora alguns pontos que iremos abordar mais adiante.

Acreditamos que com estas dicas irá melhorar a segurança dos seus servidores, mas lembre-se de que estes são apenas alguns dos pontos importantes – recomendamos que investigue e adicione outras medidas ao seu plano de segurança.

Obrigado por acompanhar-nos!

Categorias:Cloud e sistemas

Outros artigos que podem interessar-lhe

13 de Novembro de 2024
Temos novas distribuições em Servidores! Em resposta aos múltiplos pedidos de vários dos nossos parceiros, foi ativada a opção
13 de Novembro de 2024
Já é possível configurar modelos de diferentes softwares através do assistente de configuração de servidores. Inauguramos esta funcionalidade do
13 de Novembro de 2024
Integração com QNAP! Agora é possível criar cópias sincronizadas entre dispositivos de armazenamento local QNAP e o nosso serviço