Lista de verificação do Windows Server protegido:
- Instale regularmente atualizações do sistema operacional e do software instalado.
- Use software de fontes confiáveis
- Configure adequadamente o firewall
- Renomear a conta do administrador
- Usar várias contas de administrador
- Usar uma conta de usuário com direitos limitados
- Restrinja o compartilhamento de arquivos e pastas, ative a proteção por senha
- Ative a solicitação de uma senha para fazer login ao sair do modo inativo, bem como a desconexão de sessões quando ociosas
- Usar o Assistente de configuração de segurança
- Configurar corretamente as políticas de segurança
- Usar políticas de segurança locais
- Proteger o serviço de área de trabalho remota (RDP)
- Configurar o Terminal Services Gateway
- Instalar o serviço de gateway do TS
- Instalar um certificado SSL
- Resta apenas configurar as políticas de grupo
- Isolar funções de servidor. Desative os serviços não utilizados
A questão da segurança do servidor tem sido e continuará sendo relevante. Vamos considerar as regras básicas para garantir a segurança dos servidores que executam sistemas operacionais da família Windows Server.
Instale regularmente as atualizações do sistema operacional e do software instalado.
Na vida cotidiana, há uma opinião de que o Windows não precisa de atualizações e, em geral, é melhor desativá-las, supostamente "para que o sistema não fique inativo". Esse é um dos maiores erros. É importante instalar as atualizações em tempo hábil, especialmente as críticas. Essa tarefa é simplificada por um utilitário especial, que pode ser encontrado no site oficial do Windows Update.
Também é importante manter atualizados os softwares relacionados instalados, incluindo DBMS, várias estruturas e assim por diante.
Use software de fontes confiáveis.
Recomendamos que você se certifique de que a fonte é confiável antes de fazer o download do pacote de instalação do software, inclusive de código aberto. Muitas vezes acontece de um recurso visualmente semelhante ao site oficial distribuir um software já comprometido (Fishing). Um arquivo com código malicioso pode ser adicionado ao pacote de instalação.
Configure adequadamente o firewall.
É importante entender que o servidor pode ser acessado pela Internet. Por esse motivo, o sistema operacional deve ser protegido por qualquer dispositivo que atue como firewall. Se não houver nenhum desses dispositivos, o Firewall do Windows será a última esperança de proteção contra conexões não autorizadas com o servidor.
Quanto menos portas TCP/UDP estiverem disponíveis do lado de fora, menor será a probabilidade de ataque ao servidor. Nesse caso, é importante entender o que você precisa bloquear. Se estivermos falando de um servidor da Web, as portas TCP 80 e 443 devem ficar disponíveis (o serviço escuta nessas portas por padrão).
Essas eram portas públicas, mas não se esqueça de que há portas cujo acesso deve ser fornecido de acordo com o princípio da lista "branca", ou seja, somente para um determinado grupo de pessoas. Exemplo de portas:
- 3389 - RDP (Remote Desktop Protocol);
- 135-139 - NetBIOS;
- 445 - Samba (compartilhamento de arquivos e pastas);
- 5000 - 5050 - FTP no modo passivo;
- 1433 - 1434 - portas SQL;
- 3306 - porta padrão para MySQL;
- 53 - DNS
Não é difícil criar uma regra. Abra o menu Iniciar→ Painel de controle → Sistema e segurança → Ferramentas administrativas → Firewall do Windows com segurança avançada.
Na janela do programa, clique com o botão direito do mouse em "Regras para conexões de entrada". No menu de contexto que é aberto, selecione "Create Rule...".
Renomear a conta do administrador.
Use várias contas de administrador.
Se várias pessoas estiverem administrando o servidor, você deverá criar uma conta individual para cada uma delas. Essa medida permitirá que você rastreie o culpado pelo que aconteceu.
Use uma conta de usuário com direitos limitados.
Nem sempre é necessário usar uma conta com direitos administrativos para executar tarefas cotidianas. Recomendamos que você crie uma conta com direitos limitados. Se a conta for comprometida, o invasor terá que tentar obter direitos de administrador e fazer algumas coisas ruins será muito mais complexo para ele. Além disso, essa medida pode ajudar a salvar o servidor de suas próprias ações.
Em caso de acesso não autorizado na conta de administrador, o invasor terá acesso total ao sistema.
Restrinja o compartilhamento de arquivos e pastas, ative a proteção por senha.
Recomendamos enfaticamente que você não compartilhe conexões com usuários anônimos ou usuários sem senha. Mesmo que os arquivos armazenados em pastas não tenham valor, nada impede que um invasor substitua seu arquivo por um arquivo com conteúdo malicioso. As consequências dessa alteração podem ser muito diferentes.
Além de usar proteção por senha, recomendamos restringir o nível de acesso de diferentes usuários a arquivos e pastas (leitura, gravação, alteração).
Ative a solicitação de uma senha para fazer login ao sair do modo inativo, bem como a desconexão de sessões quando ociosas.
Ao usar um servidor físico (não remoto ou virtual), é recomendável ativar a solicitação de senha do usuário ao despertar. Essa configuração é feita no painel de controle: Painel de controle → Todos os itens do painel de controle → Opções de energia.
Também é importante definir limites de inatividade do usuário e, "ao retornar", solicitar uma senha. Isso excluirá a possibilidade de outra pessoa fazer login em nome do usuário, caso ele tenha saído ou se esquecido de fechar a sessão RDP. Para configurar esse item, use a configuração de política local secpol.msc.
Use o Assistente de Configuração de Segurança.
(SCW - Security Configuration Wizard) permite criar arquivos XML de políticas de segurança, que podem ser transferidos posteriormente para outros servidores. Essas políticas incluem não apenas regras de uso de serviços, mas também configurações gerais do sistema e regras de firewall.
Configure corretamente as políticas de segurança.
Além da configuração inicial das políticas de grupo do Active Directory, elas devem ser periodicamente revisadas e reconfiguradas. Essa é uma das principais maneiras de garantir a segurança da infraestrutura do Windows.
Para a conveniência do gerenciamento de políticas de grupo, você pode usar não apenas o utilitário gpmc.msc incorporado ao Windows Server, mas também o (SCM-Security Compliance Manager).
O utilitário oferecido pela Microsoft.
Use políticas de segurança locais.
Além de usar as políticas de segurança de grupo do Active Directory, você também deve usar políticas locais que afetam os direitos dos usuários remotos e das contas locais.
Para gerenciar as políticas locais, você pode usar o snap-in apropriado "Política de segurança local", chamado pelo comando secpol.msc em Iniciar -> Executar (tecla Windows + R).
Proteja o serviço de área de trabalho remota (RDP).
- Bloqueie as conexões RDP para usuários com uma senha em branco.
A presença de usuários sem senhas é inaceitável, mas se isso não puder ser evitado, você pode pelo menos desativar a conexão com o RDP. Para fazer isso, abra Iniciar → Ferramentas administrativas.
No diretório que se abre, execute a Política de Segurança Local.
Na janela Políticas de segurança local, à esquerda, selecione Políticas locais → Opções de segurança. Na parte principal da janela, encontramos "Contas: Limitar o uso de senhas em branco pela conta local somente para logon no console".
Selecione esse item com um clique duplo e mova a chave para a posição "Disabled". Pressione o botão "OK".
Alterar a porta TCP padrão do RDP.
A substituição dos números de porta TCP dos serviços padrão por outros valores pode aumentar a segurança do servidor, mas o principal é não esquecer o novo número de porta.
Para alterar uma porta:
- Abra o Editor de Registro do Windows - Windows + R
- Por precaução, criamos uma cópia de backup do registro (File → Export)
- Expanda a ramificação HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp e, na parte direita da janela, localize o parâmetro PortNumber.
- Abra a opção clicando duas vezes com o mouse. Na janela que se abre, selecione o Sistema de cálculo: Decimal, especifique um novo valor de porta, clique no botão "OK" e feche a janela do editor de registro.
Para podermos nos conectar ao servidor, criamos uma regra apropriada para o Firewall do Windows. Clique com o botão direito do mouse em "Inbound Rules" e selecione "New Rule" no menu de contexto.
Na janela "Wizards", selecione "For Port"
Em seguida, selecione "TCP Protocol", "Specific Local Ports" e especifique um novo número de porta.
A próxima etapa é selecionar "Allow the connection"
Configuramos para quais redes a regra se aplicará e marcamos as necessárias com os daws.
Na etapa final, especifique o nome da regra e uma descrição para ela.
Reinicialize o servidor para aplicar as alterações.
Para conectar-se a uma área de trabalho remota, agora usamos um endereço IP ou um nome de domínio e especificamos a porta por meio de dois pontos.
Configurar o Terminal Services Gateway.
O serviço "TS (Remote Desktop Services) Gateway" permite proteger uma conexão de área de trabalho remota usando o protocolo HTTPS (SSL), evitando que o administrador do sistema tenha que configurar uma VPN. A ferramenta é capaz de controlar de forma abrangente o acesso às máquinas, bem como definir regras e requisitos de autorização para usuários remotos, por exemplo:
- Usuários ou grupos de usuários que têm permissão para se conectar a recursos de rede interna;
- Recursos de rede aos quais os usuários podem se conectar;
- Se os computadores clientes devem ter associação ao Active Directory;
- Se os clientes precisam usar autenticação baseada em cartão inteligente ou senha, ou se podem usar um dos métodos de autenticação acima.
A lógica de operação do Remote Desktop Gateway requer o uso de uma máquina separada. No entanto, ela não proíbe o uso de uma máquina virtual autônoma.
Instale o serviço de gateway TS.
Abra o Server Manager.
Selecione "Adicionar funções e recursos"
No estágio "Installation type" (Tipo de instalação), selecione "Install roles and features" (Instalar funções e recursos).
A próxima etapa é selecionar o servidor atual.
Função de servidor - Serviço de área de trabalho remota.
Vamos passar para o serviço de função. Selecione "Remote Desktop Gateway".
Prosseguimos para a etapa de confirmação, clique no botão "Install".
Instalação de um certificado SSL.
Depois de instalar a função, na janela Server Manager, selecione Ferramentas → Serviços de Área de Trabalho Remota → Remote Desktop Gateway Manager.
Na janela que se abre, em sua parte esquerda, clique no ícone do servidor. Na parte principal da janela, selecione "Ver e alterar as propriedades do certificado".
Na janela "Properties" que se abre, vá para a guia "SSL Certificate". Selecione o item "Criar um certificado autoassinado" e clique no botão "Criar e importar um certificado".
Se você tiver um certificado criado anteriormente, poderá usar uma das opções abaixo, dependendo de quem o emitiu.
Na nova janela, verifique as configurações. Se tudo estiver correto, clique em "OK".
Em uma nova janela, o sistema o notificará sobre a criação bem-sucedida do certificado e fornecerá o caminho para o arquivo.
Vá para a janela de propriedades do servidor. Clique em "Apply".
Resta apenas configurar as políticas de grupo.
Na janela "Remote Desktop Gateway Manager", na coluna da esquerda, expanda a ramificação do servidor, selecione "Policies" e, em seguida, "Connection Authorization Policies". Na coluna direita da mesma janela, selecione "Criar uma nova política" → "Assistente".
Na nova janela, selecione "Criar apenas uma política de autorização de conexão de área de trabalho remota" e clique em "Próximo".
Especifique o nome desejado para a política. Recomendamos que você digite o nome em latim.
A próxima etapa é escolher um método de autenticação conveniente - uma senha ou um smart-card. Deixe apenas a opção "Password" marcada. Clique em "Add Group..."
Na janela de seleção de grupos, clique no botão "Advanced".
O tamanho da janela será alterado. Clique no botão "Search". Nos resultados encontrados, selecione "Domain Admins" e clique no botão "OK".
Na janela de seleção de grupos, verifique os nomes de objetos selecionados e clique em "OK".
O grupo foi adicionado. Para prosseguir para a próxima etapa, clique no botão "Next".
Na próxima etapa, selecione o item "Habilitar redirecionamento de dispositivo para todos os dispositivos clientes" e clique em "Next".
Configure os tempos limite da sessão. E ações após sua expiração. Recomendamos desconectar a sessão para que os processos do usuário em segundo plano não ocupem o tempo da CPU. Clique em "Next".
Na última etapa, visualizamos o resumo e clicamos em "Finish".
Para confirmar a criação da política, clique em "Close".
Configure uma política de autorização de recursos.
O processo é realizado de forma semelhante ao anterior.
Na janela do Remote Desktop Gateway Manager, expanda a ramificação Políticas → Políticas de autorização de conexão. Na parte direita da janela, selecione "Criar uma nova política" → "Assistente".
Na janela que se abre, selecione "Criar apenas uma política de autorização de recursos de área de trabalho remota" e clique no botão "Próximo".
A primeira etapa é especificar o nome desejado para a política de autorização. É altamente recomendável que você especifique o nome em latim. Pressionamos o botão "Next".
Na janela de seleção de grupo, clique no botão "Advanced".
A janela será redimensionada. Pressione o botão "Search". Nos resultados da pesquisa, localize "Domain Admins" e clique no botão "OK".
Na janela de seleção de grupo, verifique os nomes de objetos selecionados e clique em "OK".
O grupo foi adicionado. Para prosseguir para a próxima etapa, clique no botão "Next".
Na próxima etapa, permitiremos que os usuários se conectem a qualquer recurso de rede. Para fazer isso, selecione a opção apropriada e clique no botão "Next".
Configure as portas permitidas. Se a porta do servidor RDP não tiver sido alterada, deixe 3389. Clique em "Next".
A etapa final é verificar as configurações e clicar no botão "Finish".
Na janela atualizada, clique em "Close".
Isolar as funções do servidor. Desative os serviços não utilizados.
Na etapa de planejamento preliminar da arquitetura de rede, uma das principais tarefas é planejar os riscos em caso de falha de qualquer elemento da rede. Pode haver muitos motivos para isso, desde a falha do equipamento até a "invasão" externa. Quanto mais funções forem atribuídas ao servidor, mais graves serão as consequências se o servidor falhar. Para minimizar os riscos e os danos, você deve, se possível, delinear as funções do servidor no estágio de projeto. Desativar serviços e funções de servidor que sejam necessários também terá um efeito positivo em sua operação.
O caso ideal é que um servidor execute uma função específica, como um controlador de domínio, um servidor de arquivos ou um servidor de terminal. Na prática, é difícil conseguir essa separação de funções.
O isolamento de funções também pode ser feito por servidores virtuais. As modernas tecnologias de virtualização oferecem um alto nível de desempenho e estabilidade, enquanto o administrador e o usuário não sofrem nenhuma restrição. O hardware adequadamente selecionado e as peças de software configuradas podem ser um substituto completo para toda uma frota de equipamentos.
Visão geral do Windows Nano Server.
O Nano Server tornou-se um desenvolvimento adicional do Windows Server Core. Essa versão do kit de distribuição exclui o uso de uma interface gráfica de usuário. Todo o gerenciamento é focado no WMI - Windows Management Instrumentation, bem como no Windows PowerShell. Essa distribuição do Windows Server tem 92% menos recomendações críticas de segurança. O Nano Server está disponível apenas para clientes do Microsoft Software Assurance e plataformas de computação em nuvem, como o Microsoft Azure e o Amazon Web Services. A partir do Windows Server build 1709, o Nano Server só pode ser instalado dentro de um host de contêiner.