Política de Endurecimento de Servidor: Exemplos e Dicas

Diversas pesquisas revelam que impressionantes 80% dos incidentes relatados envolvem a exploração de vulnerabilidades nas configurações dos sistemas de TI. Para bloquear ataques proativamente e, assim, prevenir tempos de inatividade custosos e data breaches, especialistas recomendam a implementação de uma política de hardening policy, que é um tipo específico de política de system hardening.

Uma política de fortalecimento de servidor é um conjunto de diretrizes, procedimentos e controles projetados para proteger sistemas de acesso não autorizado e exploração. De fato, um servidor implantado em seu estado padrão está em risco de comprometimento e ataques de malware. Mas, ao remover softwares e recursos desnecessários, configurar adequadamente as definições de segurança e implementar as melhores práticas para controle de acesso, auditoria e resposta a incidentes, você pode reduzir drasticamente sua área de superfície de ataque.

As dicas e exemplos a seguir podem servir como um ponto de partida para seus esforços de fortalecimento.

Contas de Usuário e Senhas

• A duração e o limite de bloqueio da conta estão definidos?
• A criptografia Kerberos está ativada e os tipos selecionados são suficientemente fortes?
• As contas locais padrão, como as contas integradas de Administrador e Convidado nos sistemas Windows, estão desativadas ou renomeadas?
• Os requisitos de senha dos usuários estão alinhados com as melhores práticas, como as diretrizes do NIST?

Exemplo: Configure uma política de senha de conta com os seguintes parâmetros:

• Idade mínima da senha: 1 ou mais dias
• Comprimento mínimo da senha: 14 caracteres ou mais
• Limite de tentativas de bloqueio de conta: 10 ou menos (mas não 0)
• Redefinir contador de bloqueio de conta: 15 minutos ou mais

Sistemas Operacionais

• Todos os sistemas operacionais (OS) são totalmente suportados pelo fornecedor e atualizados para os níveis mais recentes? E isso é revisado pelo menos uma vez por mês?
• Todos os serviços e daemons desnecessários foram removidos ou desativados? O acesso via web, FTP, telnet e desktop remoto foi removido? A melhor dica é desativar tudo o que você sabe que não é necessário (como o serviço de Temas) e depois experimentar cuidadosamente, um de cada vez, com outros serviços que você acha desnecessários. Se desativar um serviço comprometer as operações comerciais, mantenha-o ativado.
• Você sabe quais portas estão abertas? Há um bom motivo para que permaneçam abertas ou podem ser removidas? Você consegue detectar novas portas abertas quando elas aparecem?
• A Política de Segurança Local Security Policy foi totalmente aproveitada? Vulnerabilidades exploráveis podem ser mitigadas usando essa política, que oferece centenas de controles de configuração de segurança detalhados para fortalecer a segurança.

Exemplo: Defina as seguintes configurações para sistemas operacionais Windows:

• Permitir que aplicativos UIAccess solicitem elevação sem usar a área de trabalho segura: Desativado
• Solicitação de elevação para administradores no Modo de Aprovação de Admin: Solicitar consentimento na área de trabalho segura
• Prompt de elevação para usuários padrão: Negar automaticamente solicitações de elevação
• Detectar instalações de aplicativos e solicitar elevação: Ativado
• Apenas eleve aplicações UIAccess que estão instaladas em locais seguros: Ativado
• Execute todos os administradores no Modo de Aprovação de Admin: Ativado
• Virtualize falhas de escrita em arquivos e registros para localizações por usuário: Ativado

Sistemas de Arquivos

• Para servidores Unix e Linux, as permissões em arquivos de segurança chave (como /etc/password e /etc/shadow) estão definidas de acordo com as recomendações das melhores práticas? O sudo está sendo utilizado? Se sim, apenas membros do grupo root wheel têm permissão para usá-lo?
• Para servidores Windows, os executáveis, DLLs e drivers principais estão protegidos nas pastas System32 e SysWOW64, juntamente com os Program Files/(x86)?

Example: Apply file integrity monitoring to the following files and folders:

• %PROGRAMFILES%: Use o hash SHA1, alterações de arquivos do sistema, exclua arquivos de log, recursivo
• %PROGRAMFILES(x86)%: Use o hash SHA256, alterações em arquivos do sistema, exclua arquivos de log, recursivo
• %SYSDIR%: Use o hash SHA256, alterações no arquivo do sistema, exclua arquivos de log, recursivo
• %WINDIR%SysWOW64: Use o hash SHA256, alterações no arquivo do sistema, exclua arquivos de log, recursivo

Rede Cliente/Servidor

• O firewall de software integrado está habilitado e configurado como “Negar Tudo”?
• No Linux, os TCP Wrappers foram configurados para “Negar Todos”?
• Os caminhos de registro e compartilhamentos acessíveis remotamente foram restringidos adequadamente para o seu ambiente? Isso será diferente para um servidor membro em comparação com um controlador de domínio.

Exemplo: Em sua política de segurança, especifique as seguintes configurações de cliente de rede e servidor de rede:

• Assinar digitalmente as comunicações (se o servidor concordar): Ativado
• Enviar senha não criptografada para servidores SMB de terceiros: Desativado
• Assinar digitalmente comunicações (sempre): Ativado
• Assinar digitalmente as comunicações (se o cliente concordar): Ativado
• Desconectar clientes quando o horário de logon expirar: Ativado

Auditoria e Controle de Mudanças

• Os registros de auditoria estão ativados para todo o acesso, uso de privilégios, alterações de configuração e acesso, criação e exclusão de objetos?
• Os registros de auditoria são seguramente armazenados e mantidos por pelo menos 12 meses?
• Uma fonte central e protegida de NTP está configurada e em uso?
• É a file integrity monitoring (FIM) utilizada para manter seus padrões de construção segura?
• Existe um processo de change management definido que inclui proposta de mudança (abrangendo análise de impacto e provisões de reversão), aprovação de mudança, testes de QA e revisão pós-implementação?
• Os eventos registrados são seguramente respaldados em um servidor central? Isso requer um meio de encaminhar eventos dos servidores monitorados para o servidor de logs (geralmente um agente de encaminhamento Syslog ou uma solução mais abrangente como Netwrix Change Tracker) bem como uma política de audit policy estruturada.

Exemplo: Defina as seguintes configurações na sua Política de Auditoria Avançada:

• Auditoria de Logoff: Sucesso
• Auditoria de Logon: Sucesso e Falha
• Auditar outros eventos de Logon/Logoff: Sucesso e Falha
• Auditoria de Logon Especial: Sucesso

Software e Aplicações

• Quais pacotes e aplicações são definidos pelo seu padrão de construção segura? Por exemplo, você possui padrões para o seu anti-vírus, prevenção de vazamento de dados , firewall e ferramentas FIM? Qual é o processo para atualizar periodicamente as linhas de base com quaisquer alterações aprovadas?
• Existe um processo para garantir que você tenha as versões mais recentes e que os patches tenham sido testados e aplicados?
• As atualizações automáticas de pacotes estão desativadas em favor da implementação programada de atualizações?

Escolhendo uma Política de Endurecimento de Servidor e Adaptando-a à Sua Organização

Obter uma lista de verificação de hardening ou uma política de hardening de servidor é bastante fácil. Por exemplo, o Center for Internet Security (CIS) fornece hardening checklists; a Microsoft oferece listas de verificação para dispositivos Windows; a Cisco fornece listas de verificação para seus roteadores; e o National Vulnerability Database hospedado pelo NIST fornece listas de verificação para uma ampla gama de dispositivos Linux, Unix, Windows e firewalls. O NIST também fornece o National Checklist Program Repository, que é baseado nos padrões SCAP e OVAL.

Estes são ótimos pontos de partida, mas você precisa personalizar qualquer lista de verificação com base na operação e função de um servidor. Por exemplo, um servidor voltado para a internet precisa de um controle de acesso mais forte do que um servidor de banco de dados que está atrás do seu firewall.

Once you have established your server hardening policy and applied the best-practice checklists to your standard build, you need to continuously audit all devices for any configuration drift. Your change management process should define how changes are assessed and then either remediated or promoted to the configuration baseline. Netwrix Change Tracker provides intelligent change control, so changes need to be approved only once for one server, and then any other occurrences of the same change will automatically be approved. This removes the biggest problem with most FIM and SIEM systems, which is that change noise can easily become overwhelming.

Resumo

O primeiro passo mais eficaz em qualquer estratégia de data security é prevenir violações de segurança. Ao abordar proativamente as vulnerabilidades de configuração através do hardening, os servidores podem ser tornados mais seguros e resistentes a ataques. Soluções de gestão de mudanças e file integrity monitoring então monitoram qualquer desvio da sua linha de base para garantir que todos os servidores permaneçam configurados de forma segura.

FAQ

O que é o endurecimento de servidor?

O endurecimento de servidores é o processo proativo de desabilitar programas e funcionalidades não utilizados, reforçar as configurações de segurança do servidor e impor as melhores práticas de auditoria e resposta a incidentes para tornar os servidores menos vulneráveis a ataques.

O que é uma política de hardening?

Uma política de hardening é um conjunto de diretrizes e procedimentos implementados para reduzir a superfície de ataque de um sistema.
A política deve ser baseada em controles de acesso, registro de logs e resposta a incidentes.
Ela pode ser específica para um sistema em particular — como Linux ou Windows Server — ou mais geral, como uma política de hardening para bancos de dados.

O que é um modelo de política de hardening de sistema?

Um modelo de política de hardening de sistema é um documento que descreve as diretrizes e procedimentos a serem seguidos para proteger e garantir a segurança dos sistemas.
Normalmente, ele inclui uma lista de melhores práticas e controles de segurança a serem implementados para determinados ativos.
O modelo pode ser usado como ponto de partida para criar uma política de hardening personalizada para diversos tipos de sistemas.

Como reforçar a segurança do meu servidor?

As etapas principais geralmente incluem:

• Remover softwares e serviços desnecessários para reduzir a superfície de ataque.
• Configurar firewalls e sistemas de detecção/prevenção de intrusões para bloquear acessos não autorizados.
• Ativar recursos de segurança, como criptografia e inicialização segura (secure boot).
• Aplicar as melhores práticas de controle de acesso, como autenticação multifatorial e princípio do menor privilégio.
• Atualizar regularmente os softwares e aplicar os patches de segurança.
• Implementar registros de eventos e monitoramento de tráfego robustos para detectar e responder a possíveis incidentes de segurança.
• Testar e revisar periodicamente a política de hardening do servidor para identificar e corrigir vulnerabilidades.