Serviços

Consultoria em hardening de segurança de sistemas e ativos

A Hardsecure fornece serviços de consultoria no reforço da proteção de sistemas Windows ServerLinuxVMWareCisco, HP, entre outros fabricantes, de forma a identificar e corrigir as vulnerabilidades de segurança destes ativos. Como exemplo, apresentamos as principais práticas recomendadas de proteção do Windows Server que implementamos no imediato, para reduzir o risco de hackers comprometerem os sistemas e dados críticos da organização. Este processo é customizado conforme a realidade de cada organização, tendo como base as baselines estabelecidas pelos próprios fabricantes.

 

Segurança na Organização

  • Manter um registo do inventário para cada servidor que documenta claramente a configuração de base e regista cada alteração executada no servidor.
  • Testar e validar cuidadosamente todas as alterações propostas no hardware ou software do servidor antes de fazer a alteração no ambiente de produção.
  • Fazer regularmente uma avaliação de risco. Usar os resultados para atualizar o plano de gestão de riscos e manter uma lista priorizada de todos os servidores para garantir que as vulnerabilidades de segurança sejam corrigidas em tempo útil.
  • Manter todos os servidores no mesmo nível de revisão.

 

Preparação do Windows Server 

  • Proteger as máquinas recém-instaladas da rede de dados, até que o sistema operativo seja instalado e com proteção adequada. Proteger novos servidores numa rede DMZ que não esteja aberta à Internet.
  • Definir uma senha de BIOS / firmeware para evitar alterações não autorizadas nas configurações de inicialização do servidor.
  • Desativar o logon administrativo automático na consola de recuperação.
  • Configurar a ordem de inicialização do dispositivo para impedir o arranque não autorizado de meios de comunicação social alternativos.

 

Instalação do Windows Server

  • Assegurar que o sistema não seja encerrado durante a instalação.
  • Usar o Assistente de Configuração de Segurança para criar uma configuração do sistema com base em funções específicas.
  • Certificar que todos os patcheshotfixes e service packs sejam aplicados de forma apropriada. Os patches de segurança resolvem vulnerabilidades conhecidas que os hackers poderiam explorar para comprometer o sistema. Depois de instalar o Windows Server, atualizar imediatamente com as correções mais recentes via WSUS ou SCCM.
  • Ativar a notificação automática de disponibilidade de patch. Sempre que um patch é lançado, ele deve ser analisado, testado e aplicado de maneira oportuna usando o WSUS ou o SCCM.

 

Proteção de segurança de conta do utilizador

  • Assegurar que as passwords administrativas e de sistema respeitam as melhores práticas para criação de password. Em particular, verificar se as passwords de contas com privilégios não são baseadas numa palavra do dicionário e têm pelo menos 15 caracteres, com letras, números, caracteres especiais e caracteres invisíveis (CTRL ˆ) intercalados. Assegurar de que todas as passwords são alteradas a cada 90 dias.
  • Configurar a Política de Grupo de bloqueio de conta de acordo com as práticas recomendadas de bloqueio de conta.
  • Não permitir que os utilizadores criem e façam login com contas da Microsoft.
  • Desativar a conta do convidado.
  • Não permitir que as permissões de "todos" sejam aplicadas a utilizadores anónimos.
  • Não permitir enumeração anónima de contas e partilhas SAM.
  • Desativar tradução de SID/Nome.
  • Desabilitar ou excluir rapidamente as contas de utilizadores não utilizadas.

 

Configuração de segurança de rede

  • Ativar a firewall do Windows em todos os perfis (domínio, privado, público) e configurar para bloquear o tráfego de entrada por padrão.
  • Realizar o bloqueio de portas ao nível de configuração da rede. Executar uma análise para determinar que portas precisam ser abertas e restringir o acesso a todas as outras portas.
  • Restringir a capacidade de acesso a cada computador através da rede apenas para utilizadores autenticados.
  • Não conceder a nenhum utilizador o direito de "atuar como parte do sistema operativo".
  • Negar às contas de convidados a capacidade de fazer logon como um serviço, um trabalho em batch, localmente ou via RDP.
  • Se o RDP for utilizado, definir o nível de criptografia da ligação RDP como alto.
  • Remover a pesquisa Enable LMhosts.
  • Desativar o NetBIOS sobre TCP/IP.
  • Removar o ncacn_ip_tcp.
  • Configurar o Microsoft Network Client e o Microsoft Network Server para assinar digitalmente todas as comunicações.
  • Desativar o envio de passwords não encriptadas para servidores SMB de terceiros.
  • Não permitir que nenhuma partilha seja acedida anonimamente.
  • Permitir que o sistema local use a identidade do computador para NTLM.
  • Desativar o fallback de sessões NULL do sistema local.
  • Configurar os tipos de criptografia permitidos para o Kerberos.
  • Não armazenar valores de hash do LAN Manager.
  • Definir o nível de autenticação do LAN Manager para permitir somente NTLMv2 e recusar LM e NTLM.
  • Remover a partilha de ficheiros e de impressão das configurações de rede. A partilha de ficheiros e impressoras permite que qualquer pessoa se ligue a um servidor e aceda a dados críticos sem precisar de um utilizador ou password.

 

Configuração de segurança do registo

  • Garantir de que todos os administradores reservam um tempo para entender completamente o funcionamento do registry e o propósito de cada uma das suas várias chaves. Muitas das vulnerabilidades no sistema operativo Windows podem ser corrigidas alterando chaves específicas, conforme é a seguir discriminado.
  • Configurar as permissões do registo. Proteger o registo de acesso anónimo. Não permitir o acesso ao registo remoto, se tal não for necessário.
  • Definir a (REG_DWORD) MaxCachedSockets (REG_DWORD) como 0.
  • Definir a (REG_DWORD) SmbDeviceEnabled como 0.
  • Definir a AutoShareServer como 0.
  • Definir a AutoShareWks como 0.
  • Excluir todos os dados do valor DENTRO da chave NullSessionPipes.
  • Excluir todos os dados do valor DENTRO da chave NullSessionShares.

 

Configurações gerais de segurança

  • Desativar os serviços desnecessários. A maioria dos servidores possui a instalação padrão do sistema operativo, que geralmente contém serviços irrelevantes que não são necessários para o funcionamento do sistema e que representam uma vulnerabilidade de segurança. Como tal, é essencial remover todos os serviços desnecessários do sistema.
  • Remover as funcionalidades desnecessárias do Windows. Qualquer funcionalidade desnecessária do Windows deve ser removida dos sistemas críticos para manter os servidores num estado seguro.
  • Activar o EFS (Encrypting File System) integrado com o NTFS ou o BitLocker no Windows Server.
  • Se a estação de trabalho tiver memória RAM significativa, desativar o swapfile do Windows. Isto aumentará o desempenho e a segurança, pois nenhum dado confidencial poderá ser gravado no disco rígido.
  • Não usar o AUTORUN. Caso contrário, código não confiável pode ser executado sem o conhecimento direto do utilizador; Por exemplo, os hackers podem colocar um CD na máquina e fazer com que o seu próprio script seja executado.
  • Apresentar um banner legal semelhante ao seguinte antes de o utilizador efetuar login: "O uso não autorizado deste computador e dos recursos de rede é proibido"
  • Requerer CTRL+ALT+DEL para logins interativos.
  • Configurar um limite de inatividade da máquina para proteger sessões interativas inativas.
  • Assegurar de que todos os volumes estejam a utilizar o sistema de ficheiros NTFS.
  • Configurar as permissões de ficheiros / pastas locais. Outro procedimento de segurança importante, mas geralmente negligenciado, é bloquear as permissões ao nível do ficheiro para o servidor. Por defeito, o Windows não aplica restrições específicas a nenhum ficheiro ou pasta local; conceder acesso a ficheiros e pastas usando grupos em vez de utilizadores e com base no princípio do least-privilege. Todas as tentativas devem ser feitas para remover GuestEveryone e ANONYMOUS LOGON das listas de direitos de utilizadores. Com esta configuração, o Windows ficará mais seguro.
  • Definir a data / hora do sistema e configurar para sincronizar com os servidores de relógio do domínio.
  • Configurar uma proteção de ecrã para bloquear o ecrã do computador automaticamente no caso de existir algum tempo de inatividade.

 

Configurações de política de auditoria

  • Ativar a política de auditoria de acordo com as práticas recomendadas da política de auditoria. A política de auditoria do Windows define quais os tipos de eventos que são gravados nos logs de segurança dos servidores Windows.
  • Configurar o método de retenção do log de eventos para substituir conforme necessário e dimensionar até 4 GB.
  • Configurar o envio de logs para o SIEM para monitorização, controlo e gestão de vulnerabilidades.

 

Guia de Segurança de Software

  • Instalar e ativar o software de antivírus. Configurar para atualizar diariamente.
  • Instalar e ativar o software anti-spyware. Configurar para atualizar diariamente.
  • Instalar o software para verificar a integridade dos ficheiros críticos do sistema operativo. O Windows possui um recurso chamado Proteção de Recursos do Windows, que verifica automaticamente determinados ficheiros críticos e substitui-os se eles forem corrompidos.

 

Finalização

  • Fazer uma imagem de cada sistema operativo usando o GHOST ou o Clonezilla para simplificar a instalação e o reforço do Windows Server.
  • Inserir a licença do Windows Server.
  • Ligar o servidor ao domínio e aplicar as políticas de grupo de domínio.