9 dicas obrigatórias para proteger servidores Windows
O Windows Server está entre os sistemas operacionais mais comumente usados para alimentar os servidores. Devido à natureza da operação que geralmente envolve negócios, a segurança do Windows Server é crítica para os dados corporativos.
Por padrão, o Windows Server possui algumas medidas de segurança em vigor. Porém, você pode fazer mais para garantir que seus servidores Windows tenham defesa suficiente contra ameaças potenciais. Aqui estão algumas dicas essenciais para proteger seu Windows Server.
1. Mantenha o seu servidor Windows atualizado
Embora possa parecer algo óbvio, a maioria dos servidores instalados com imagens do Windows Server não possui as atualizações de segurança e desempenho mais recentes. Instalar os patches de segurança mais recentes é crucial para proteger seu sistema contra ataques maliciosos.
Se você configurou um novo servidor Windows ou recebeu credenciais para um, certifique-se de baixar e instalar todas as atualizações mais recentes disponíveis para o seu computador. Você pode adiar a atualização do recurso por algum tempo, mas deve instalar as atualizações de segurança assim que estiverem disponíveis.
2. Instale apenas os componentes essenciais do sistema operacional por meio do Windows Server Core
No Windows Server 2012 e superior, você pode usar o sistema operacional em seu modo principal. O Modo de Código do Windows Server é uma opção de instalação mínima que instala o Windows Server sem a GUI, o que significa recursos reduzidos.
A instalação do Windows Server Core tem muitos benefícios. O mais óbvio é a vantagem de desempenho. Você pode usar o mesmo hardware para obter melhorias de desempenho por meio de componentes do SO não utilizados, resultando em menos requisitos de RAM e CPU, melhor tempo de atividade e tempo de inicialização e menos patches.
Embora os benefícios de desempenho sejam bons, os benefícios de segurança são ainda melhores. Atacar um sistema com menos ferramentas e vetores de ataque é mais difícil do que hackear um sistema operacional totalmente baseado em GUI. O Windows Server Core reduz a superfície de ataque, oferece ferramentas Windows Server RSAT (Remote Server Administration) e a capacidade de alternar do Core para a GUI.
3. Proteja a conta de administrador
A conta de usuário padrão no Windows Server é chamada de Administrador . Como resultado, a maioria dos ataques de força bruta são direcionados a essa conta. Para proteger a conta, você pode renomeá-la para outra coisa. Como alternativa, você também pode desabilitar a conta de administrador local completamente e criar uma nova conta de administrador.
Depois de desabilitar a conta de administrador local, verifique se uma conta de convidado local está disponível. As contas de convidados locais são as menos seguras, portanto, é melhor tirá-las do caminho sempre que possível. Use o mesmo tratamento para contas de usuário não utilizadas.
Uma boa política de senha que requer mudanças regulares de senha, senhas complexas e longas com números, caracteres e caracteres especiais pode ajudá-lo a proteger contas de usuário contra ataques de força bruta .
4. Configuração NTP
É importante configurar seu servidor para sincronizar a hora com os servidores NTP (Network Time Synchronization) para evitar desvios do relógio. Isso é essencial, pois mesmo uma diferença de poucos minutos pode interromper várias funções, incluindo o login do Windows.
As organizações usam dispositivos de rede que usam relógios internos ou contam com um servidor público de horário na Internet para sincronização. Os servidores que são membros do domínio geralmente têm seu tempo sincronizado com um controlador de domínio. No entanto, os servidores autônomos exigirão que você configure o NTP para uma fonte externa para evitar ataques de repetição.
5. Habilite e configure o Firewall e Antivírus do Windows
Os servidores Windows vêm com um firewall integrado e uma ferramenta antivírus. Em servidores que não têm firewalls de hardware, o Firewall do Windows pode reduzir a superfície de ataque e fornecer proteção decente contra ataques cibernéticos, limitando o tráfego aos caminhos necessários. Dito isso, um firewall baseado em hardware ou em nuvem oferecerá mais proteção e aliviará a carga do servidor.
Configurar o firewall pode ser uma tarefa confusa e difícil de dominar no início. No entanto, se não configuradas corretamente, as portas abertas acessíveis a clientes não autorizados podem representar um grande risco de segurança para os servidores. Além disso, anote as regras criadas para seu uso e outros atributos para referências futuras.
6. Secure Remote Desktop (RDP)
Se você usar RDP (Remote Desktop Protocol), certifique-se de que ele não esteja aberto para a Internet. Para evitar o acesso não autorizado, altere a porta padrão e restrinja o acesso RDP a um endereço IP específico se você tiver acesso a um endereço IP dedicado. Você também pode decidir quem pode acessar e usar o RDP, já que ele é habilitado por padrão para todos os usuários no servidor.
Além disso, adote todas as outras medidas básicas de segurança para proteger o RDP, incluindo o uso de uma senha forte, habilitando a autenticação de dois fatores, mantendo o software atualizado, restringindo o acesso através de configurações avançadas de firewall, habilitando a autenticação em nível de rede e configurando um bloqueio de conta política.
7. Habilite a criptografia de unidade BitLocker
Semelhante ao Windows 10 Pro, a edição do servidor do sistema operacional vem com uma ferramenta de criptografia de unidade interna chamada BitLocker . É considerada uma das melhores ferramentas de criptografia pelos profissionais de segurança, pois permite criptografar todo o disco rígido, mesmo se a segurança física do servidor for violada.
Durante a criptografia, o BitLocker captura informações sobre o seu computador e as usa para verificar a autenticidade do computador. Depois de verificado, você pode fazer login no seu computador usando a senha. Quando uma atividade suspeita é detectada, o BitLocker solicitará que você insira a chave de recuperação . A menos que a chave de descriptografia seja fornecida, os dados permanecerão bloqueados.
Se você é novo na criptografia de disco rígido, verifique este guia detalhado sobre como usar o BitLocker no Windows 10 .
8. Use o Microsoft Baseline Security Analyzer
O Microsoft Baseline Security Analyzer (MBSA) é uma ferramenta de segurança gratuita usada por profissionais de TI para ajudar a gerenciar a segurança de seus servidores. Ele pode encontrar problemas de segurança e atualizações ausentes com o servidor e recomendar orientações de correção de acordo com as recomendações de segurança da Microsoft.
Quando usado, o MBSA verifica a existência de vulnerabilidades administrativas do Windows, como senhas fracas, a presença de vulnerabilidades de SQL e IIS e as atualizações de segurança ausentes em sistemas individuais. Ele também pode fazer a varredura de um indivíduo ou grupo de computadores por endereço IP, domínio e outros atributos. Finalmente, um relatório de segurança detalhado será preparado e mostrado na interface gráfica do usuário em HTML.
9. Configure o monitoramento de registro e desative portas de rede desnecessárias
Quaisquer serviços ou protocolos que não sejam necessários ou usados pelo Windows Server e componentes instalados devem ser desabilitados. Você pode executar uma verificação de porta para verificar quais serviços de rede estão expostos à Internet.
Monitorar as tentativas de login é útil para evitar intrusões e proteger seu servidor contra ataques de força bruta. Ferramentas de prevenção de intrusão dedicadas podem ajudá-lo a visualizar e revisar todos os arquivos de log e enviar alertas se atividades suspeitas forem detectadas. Com base nos alertas, você pode tomar as medidas adequadas para bloquear a conexão dos endereços IP aos seus servidores.
A proteção do Windows Server pode reduzir o risco de ataques cibernéticos!
Quando se trata da segurança do seu Windows Server, é sempre bom estar no controle de tudo, auditando o sistema para riscos de segurança regularmente. Você pode começar instalando as atualizações mais recentes, proteger a conta de administrador, usar o modo Windows Server Core sempre que possível e habilitar a criptografia de unidade por meio do BitLocker.
Embora o Windows Server possa compartilhar o mesmo código da edição de consumidor do Windows 10 e parecer idêntico, a maneira como é configurado e usado é muito diferente.