Garantindo a segurança dos seus servidores com Windows Defender, AppLocker, SCT e mais

Malware — vírus de computador, worms, cavalos de Troia, ransomware, spyware e assim por diante — é uma ameaça contínua para as organizações porque pode danificar dispositivos e permitir que partes não autorizadas acessem a rede remotamente para coletar e transmitir informações sensíveis. O Windows Server 2016 inclui as seguintes ferramentas e recursos para ajudar a mitigar a ameaça de malware:

• Aplicativo Windows Defender Security Center
• Windows Defender Device Guard
• Control Flow Guard
• Políticas de Restrição de Software (SRPs)
• AppLocker
• Kit de Conformidade de Segurança

Aplicativo Windows Defender Security Center

O aplicativo Windows Defender Server 2016 Security Center pode ajudá-lo a identificar e remover malware de computadores e outros dispositivos em seu ambiente. Aqui estão algumas das informações e funcionalidades que ele oferece:

• Proteção contra vírus e ameaças. Inclui informações sobre e acesso às configurações de antivírus e ao recurso de acesso controlado a pastas do Windows Defender Exploit Guard.
• Desempenho & saúde do dispositivo. Fornece informações sobre drivers, espaço de armazenamento e Windows Update.
• Proteção de firewall e rede. Inclui informações sobre e acesso às configurações de firewall, incluindo as configurações do Windows Defender Firewall.
• Controle de aplicativos e navegadores. Inclui mitigações de proteção contra exploits e configurações do Windows Defender SmartScreen.
• Opções de família. Inclui acesso aos controles parentais e configurações de família.

Windows Defender Device Guard

O Windows Defender Device Guard é um conjunto de recursos de segurança introduzidos no Windows Server 2016. Quando você o ativa, em vez de confiar em todos os aplicativos exceto aqueles bloqueados por um antivírus ou outra solução de segurança, o sistema operacional executará apenas os aplicativos em uma lista branca definida pela sua organização.

O Windows Defender Device Guard utiliza segurança baseada em virtualização para isolar o serviço de integridade de código do kernel do Windows. O Windows Defender Device Guard pode bloquear qualquer software, mesmo que um usuário não autorizado consiga assumir o controle do sistema operacional. Você pode escolher exatamente o que pode ser executado dentro do seu ambiente usando uma política de integridade de código para proteger seu ambiente.

O Windows Defender Device Guard não é um recurso único. É uma combinação de vários recursos, como:

• Modo Seguro Virtual. Um shell virtual que isola o processo ISASS.exe do sistema operacional, o que reduz o risco de usuários mal-intencionados comprometerem as credenciais de domínio dos seus usuários
• Windows Defender Application Control. Um componente do Windows que fornece um mecanismo de regras para ajudar a garantir a segurança de executáveis
• Integridade de Código Protegido pelo Modo Seguro Virtual. Move os componentes de Integridade de Código do Modo Kernel (KMCI) e Integridade de Código do Hipervisor (HVCI) para o modo seguro virtual para fortalecê-los contra ataques.
• Platform Governance e UEFI Secure Boot. O Secure Boot oferece um benefício de segurança de alto valor, utilizando assinaturas e medições para ajudar a proteger o código do carregador de inicialização e o firmware contra adulterações.

Control Flow Guard

CFG é um recurso de segurança de plataforma que ajuda a prevenir vulnerabilidades de corrupção de memória. CFG impõe restrições sobre onde uma aplicação pode executar código, o que torna mais difícil para hackers maliciosos executarem código subjetivo através de vulnerabilidades comuns, como estouros de buffer. CFG monitora e verifica certos aspectos do fluxo de controle de um programa, incluindo onde a execução muda de instrução sequencial direta. A tecnologia que suporta o CFG garante que todas as chamadas indiretas resultem em um salto para alvos legais. Hackers maliciosos fornecerão entradas incomuns a um programa em execução para fazê-lo se comportar de maneira inesperada.

Políticas de Restrição de Software (SRPs)

Uma das melhores maneiras de ajudar a bloquear softwares maliciosos e outras ameaças cibernéticas é limitar ou restringir os softwares que podem ser executados em um ambiente empresarial.

Uma opção é usar SRPs, que permitem aos administradores criar regras que especificam quais aplicações podem ser executadas nos dispositivos dos clientes. As regras são baseadas em um dos seguintes critérios:

• Hash. A impressão digital criptográfica do arquivo
• Certificado. Um certificado de editor de software que assina um arquivo digitalmente
• Caminho. O caminho local ou da Convenção de Nomenclatura Universal (UNC) para onde o arquivo está armazenado
• Zona. A zona da internet

AppLocker

AppLocker é outra forma de controlar quais aplicações os usuários podem executar. Você pode aplicar o AppLocker por meio de Group Policy para objetos de computador dentro de uma unidade organizacional (OU). Você também pode aplicar regras individuais do AppLocker a usuários ou grupos individuais do Active Directory Domain Services (AD DS). O AppLocker também contém opções que você pode usar para monitorar ou auditar a aplicação das regras.

Por exemplo, você pode usar o AppLocker para restringir softwares que:

• Você não quer que ninguém use na sua empresa.
• Funcionários não usam ou que você substituiu por uma versão mais recente.
• A sua empresa já não oferece suporte.
• Software que apenas departamentos específicos devem usar.

Você pode configurar as configurações do AppLocker no seguinte local no GPMC: “Computer ConfigurationPoliciesWindows SettingsSecurity SettingsApplication Control Policies”.

Toolkit de Conformidade de Segurança (SCT)

Para ajudar a proteger contra ameaças de segurança, as organizações devem ter políticas de segurança bem projetadas que cubram a maioria dos componentes organizacionais e relacionados à TI. As políticas de segurança devem estabelecer uma linha de base para a segurança fundamental de um servidor e, em seguida, garantir que essa linha de base seja aplicada a todos os servidores.

O SCT é um conjunto de ferramentas gratuitas da Microsoft que os administradores podem usar para ajudar a proteger os computadores em seu ambiente, independentemente de os computadores estarem localmente, remotamente ou na nuvem. Você pode baixar as linhas de base de configuração de segurança recomendadas pela Microsoft; testar, editar e armazená-las; e aplicá-las aos seus servidores. Você também pode comparar suas GPOs atuais com as linhas de base.

As principais características do SCT incluem:

• Policy Analyzer. Permite que você analise e compare conjuntos de objetos de Política de Grupo (GPOs)
• Utilitário de Objeto de Política de Grupo Local. Ajuda a automatizar a gestão da Política de Grupo local, incluindo a importação de configurações de backups de Política de Grupo, arquivos de política de registro, modelos de segurança e arquivos CSV de backup de auditoria avançada que o Policy Analyzer gera