Consultoria em hardening de segurança de sistemas e ativos
A Hardsecure fornece serviços de consultoria no reforço da proteção de sistemas Windows Server, Linux, VMWare, Cisco, HP, entre outros fabricantes, de forma a identificar e corrigir as vulnerabilidades de segurança destes ativos. Como exemplo, apresentamos as principais práticas recomendadas de proteção do Windows Server que implementamos no imediato, para reduzir o risco de hackers comprometerem os sistemas e dados críticos da organização. Este processo é customizado conforme a realidade de cada organização, tendo como base as baselines estabelecidas pelos próprios fabricantes.
Segurança na Organização
- Manter um registo do inventário para cada servidor que documenta claramente a configuração de base e regista cada alteração executada no servidor.
- Testar e validar cuidadosamente todas as alterações propostas no hardware ou software do servidor antes de fazer a alteração no ambiente de produção.
- Fazer regularmente uma avaliação de risco. Usar os resultados para atualizar o plano de gestão de riscos e manter uma lista priorizada de todos os servidores para garantir que as vulnerabilidades de segurança sejam corrigidas em tempo útil.
- Manter todos os servidores no mesmo nível de revisão.
Preparação do Windows Server
- Proteger as máquinas recém-instaladas da rede de dados, até que o sistema operativo seja instalado e com proteção adequada. Proteger novos servidores numa rede DMZ que não esteja aberta à Internet.
- Definir uma senha de BIOS / firmeware para evitar alterações não autorizadas nas configurações de inicialização do servidor.
- Desativar o logon administrativo automático na consola de recuperação.
- Configurar a ordem de inicialização do dispositivo para impedir o arranque não autorizado de meios de comunicação social alternativos.
Instalação do Windows Server
- Assegurar que o sistema não seja encerrado durante a instalação.
- Usar o Assistente de Configuração de Segurança para criar uma configuração do sistema com base em funções específicas.
- Certificar que todos os patches, hotfixes e service packs sejam aplicados de forma apropriada. Os patches de segurança resolvem vulnerabilidades conhecidas que os hackers poderiam explorar para comprometer o sistema. Depois de instalar o Windows Server, atualizar imediatamente com as correções mais recentes via WSUS ou SCCM.
- Ativar a notificação automática de disponibilidade de patch. Sempre que um patch é lançado, ele deve ser analisado, testado e aplicado de maneira oportuna usando o WSUS ou o SCCM.
Proteção de segurança de conta do utilizador
- Assegurar que as passwords administrativas e de sistema respeitam as melhores práticas para criação de password. Em particular, verificar se as passwords de contas com privilégios não são baseadas numa palavra do dicionário e têm pelo menos 15 caracteres, com letras, números, caracteres especiais e caracteres invisíveis (CTRL ˆ) intercalados. Assegurar de que todas as passwords são alteradas a cada 90 dias.
- Configurar a Política de Grupo de bloqueio de conta de acordo com as práticas recomendadas de bloqueio de conta.
- Não permitir que os utilizadores criem e façam login com contas da Microsoft.
- Desativar a conta do convidado.
- Não permitir que as permissões de "todos" sejam aplicadas a utilizadores anónimos.
- Não permitir enumeração anónima de contas e partilhas SAM.
- Desativar tradução de SID/Nome.
- Desabilitar ou excluir rapidamente as contas de utilizadores não utilizadas.
Configuração de segurança de rede 
- Ativar a firewall do Windows em todos os perfis (domínio, privado, público) e configurar para bloquear o tráfego de entrada por padrão.
- Realizar o bloqueio de portas ao nível de configuração da rede. Executar uma análise para determinar que portas precisam ser abertas e restringir o acesso a todas as outras portas.
- Restringir a capacidade de acesso a cada computador através da rede apenas para utilizadores autenticados.
- Não conceder a nenhum utilizador o direito de "atuar como parte do sistema operativo".
- Negar às contas de convidados a capacidade de fazer logon como um serviço, um trabalho em batch, localmente ou via RDP.
- Se o RDP for utilizado, definir o nível de criptografia da ligação RDP como alto.
- Remover a pesquisa Enable LMhosts.
- Desativar o NetBIOS sobre TCP/IP.
- Removar o ncacn_ip_tcp.
- Configurar o Microsoft Network Client e o Microsoft Network Server para assinar digitalmente todas as comunicações.
- Desativar o envio de passwords não encriptadas para servidores SMB de terceiros.
- Não permitir que nenhuma partilha seja acedida anonimamente.
- Permitir que o sistema local use a identidade do computador para NTLM.
- Desativar o fallback de sessões NULL do sistema local.
- Configurar os tipos de criptografia permitidos para o Kerberos.
- Não armazenar valores de hash do LAN Manager.
- Definir o nível de autenticação do LAN Manager para permitir somente NTLMv2 e recusar LM e NTLM.
- Remover a partilha de ficheiros e de impressão das configurações de rede. A partilha de ficheiros e impressoras permite que qualquer pessoa se ligue a um servidor e aceda a dados críticos sem precisar de um utilizador ou password.
Configuração de segurança do registo
- Garantir de que todos os administradores reservam um tempo para entender completamente o funcionamento do registry e o propósito de cada uma das suas várias chaves. Muitas das vulnerabilidades no sistema operativo Windows podem ser corrigidas alterando chaves específicas, conforme é a seguir discriminado.
- Configurar as permissões do registo. Proteger o registo de acesso anónimo. Não permitir o acesso ao registo remoto, se tal não for necessário.
- Definir a (REG_DWORD) MaxCachedSockets (REG_DWORD) como 0.
- Definir a (REG_DWORD) SmbDeviceEnabled como 0.
- Definir a AutoShareServer como 0.
- Definir a AutoShareWks como 0.
- Excluir todos os dados do valor DENTRO da chave NullSessionPipes.
- Excluir todos os dados do valor DENTRO da chave NullSessionShares.
Configurações gerais de segurança 
- Desativar os serviços desnecessários. A maioria dos servidores possui a instalação padrão do sistema operativo, que geralmente contém serviços irrelevantes que não são necessários para o funcionamento do sistema e que representam uma vulnerabilidade de segurança. Como tal, é essencial remover todos os serviços desnecessários do sistema.
- Remover as funcionalidades desnecessárias do Windows. Qualquer funcionalidade desnecessária do Windows deve ser removida dos sistemas críticos para manter os servidores num estado seguro.
- Activar o EFS (Encrypting File System) integrado com o NTFS ou o BitLocker no Windows Server.
- Se a estação de trabalho tiver memória RAM significativa, desativar o swapfile do Windows. Isto aumentará o desempenho e a segurança, pois nenhum dado confidencial poderá ser gravado no disco rígido.
- Não usar o AUTORUN. Caso contrário, código não confiável pode ser executado sem o conhecimento direto do utilizador; Por exemplo, os hackers podem colocar um CD na máquina e fazer com que o seu próprio script seja executado.
- Apresentar um banner legal semelhante ao seguinte antes de o utilizador efetuar login: "O uso não autorizado deste computador e dos recursos de rede é proibido"
- Requerer CTRL+ALT+DEL para logins interativos.
- Configurar um limite de inatividade da máquina para proteger sessões interativas inativas.
- Assegurar de que todos os volumes estejam a utilizar o sistema de ficheiros NTFS.
- Configurar as permissões de ficheiros / pastas locais. Outro procedimento de segurança importante, mas geralmente negligenciado, é bloquear as permissões ao nível do ficheiro para o servidor. Por defeito, o Windows não aplica restrições específicas a nenhum ficheiro ou pasta local; conceder acesso a ficheiros e pastas usando grupos em vez de utilizadores e com base no princípio do least-privilege. Todas as tentativas devem ser feitas para remover Guest, Everyone e ANONYMOUS LOGON das listas de direitos de utilizadores. Com esta configuração, o Windows ficará mais seguro.
- Definir a data / hora do sistema e configurar para sincronizar com os servidores de relógio do domínio.
- Configurar uma proteção de ecrã para bloquear o ecrã do computador automaticamente no caso de existir algum tempo de inatividade.
Configurações de política de auditoria
- Ativar a política de auditoria de acordo com as práticas recomendadas da política de auditoria. A política de auditoria do Windows define quais os tipos de eventos que são gravados nos logs de segurança dos servidores Windows.
- Configurar o método de retenção do log de eventos para substituir conforme necessário e dimensionar até 4 GB.
- Configurar o envio de logs para o SIEM para monitorização, controlo e gestão de vulnerabilidades.
Guia de Segurança de Software
- Instalar e ativar o software de antivírus. Configurar para atualizar diariamente.
- Instalar e ativar o software anti-spyware. Configurar para atualizar diariamente.
- Instalar o software para verificar a integridade dos ficheiros críticos do sistema operativo. O Windows possui um recurso chamado Proteção de Recursos do Windows, que verifica automaticamente determinados ficheiros críticos e substitui-os se eles forem corrompidos.
Finalização
- Fazer uma imagem de cada sistema operativo usando o GHOST ou o Clonezilla para simplificar a instalação e o reforço do Windows Server.
- Inserir a licença do Windows Server.
- Ligar o servidor ao domínio e aplicar as políticas de grupo de domínio.