Microsoft Windows Server 2008 R2: Proteja seu Windows Server
Com tantas opções, determinar as configurações e os recursos corretos de segurança para sua infraestrutura com o Microsoft Windows Server pode ser um desafio.
Brien M. Posey
A Microsoft fornece uma vasta gama de mecanismos de segurança para o Windows Server 2008 R2. Com tantas opções, pode ser difícil saber quais mecanismos de segurança individuais e configurações devem ser usadas para proteger adequadamente a seus servidores.
Há muitas técnicas para obter o máximo de diversos recursos de segurança do Windows Server 2008 R2. Não há nenhuma maneira que um único artigo pode abranger todos os recursos de segurança do Windows Server 2008 R2 — que exigiria um livro de bom tamanho. Portanto, para este artigo, gostaria de destacar alguns dos recursos de segurança e técnicas que provavelmente será o mais benéfico para a maioria de vocês.
Quando se trata de proteger o Windows Server 2008 R2, há duas fases você precisa considerar: segurança de pré-implantação e pós-implantação. Você pode pensar melhor de pré-implantação segurança como planejamento de segurança. Se você estiver indo para ser configurar um novo servidor, existem certas considerações de segurança, que você deve levar em conta antes mesmo de começar o processo de instalação.
Isolamento de papel de servidor
Uma das tarefas principais envolvidas no planejamento de segurança pré-implantação está tomando medidas para reduzir a superfície de ataque do seu servidor. Redução da superfície de ataque é baseada no conceito de que quanto mais código que é executando em um sistema, maior será a probabilidade de que o código contém uma vulnerabilidade que poderia ser explorada. Assim, para reduzir a superfície de ataque em seus servidores, você precisará garantir que esses servidores não estiverem executando qualquer código desnecessário.
Recomenda-se que você levar as coisas um passo além, porém, para maximizar a eficácia da sua postura de segurança. Como uma prática recomendada geral, você deve configurar cada servidor para executar uma tarefa específica. Por exemplo, em vez de executar serviços de DNS e DHCP Dynamic Host Configuration Protocol () em um servidor já configurado para atuar como um servidor de arquivos, é melhor do ponto de vista de segurança para executar cada função em um servidor dedicado. Não só o isso ajuda a reduzir a superfície de ataque, ele também pode tornar qualquer necessária solução mais fácil porque cada servidor está executando uma configuração menos complexo.
É compreensível que, por vezes, usar um servidor separado para cada função não é prático, por causa do custo ou por causa das exigências de funcionalidade. Mesmo assim, é uma boa idéia para isolar as funções de servidor sempre que possível.
Virtualização de servidores pode ajudar a trazer ainda mais os custos. Por exemplo, Windows Server 2008 R2 Enterprise Edition é licenciado para uso em até quatro máquinas virtuais (VMs), enquanto o servidor físico subjacente está executando Hyper-V e nada mais.
Use o Server Core
Outra tática para reduzir a superfície de ataque do servidor é configurá-lo para executar o servidor núcleo. Server Core é uma instalação do Windows Server 2008 R2 bare-bones que não inclui a interface do usuário gráfica completa.
Como implantações de núcleo do servidor executado um conjunto mínimo de serviços do sistema, eles têm uma superfície de ataque muito menor do que uma implantação de servidor Windows tradicional. Instalações do servidor núcleo também tendem a funcionar melhor que instalações Windows Server completas. O servidor tem que lidar com menos sobrecarga, o que o torna ideal para uso dentro de VMs.
Infelizmente, você não pode usar o servidor núcleo para todas as implantações do Windows Server 2008 R2, porque apenas determinados serviços de sistema e relativamente poucos aplicativos de servidor podem ser executados em implantações de núcleo do servidor. Como tal, é melhor implantar servidor núcleo onde você pode, mas aceita o fato de que você não será capaz de usá-lo em todos os seus servidores — pelo menos por agora.
Planejamento de diretiva de grupo
Planejamento de pré-implantação segurança é importante, mas assim que as coisas estão funcionando, suas melhores práticas de segurança devem incluir planejamento e gerenciamento contínuo de diretiva de grupo. É aconselhável levar em conta antes de implantação do Windows, as configurações de diretiva de grupo. Você também precisará ajustar as configurações de diretiva ao longo do tempo conforme a evolução de seus requisitos de segurança.
Embora você pode gerenciar totalmente as configurações de diretiva de grupo usando as ferramentas incluídas no Windows Server 2008 R2, a Microsoft oferece um utilitário gratuito chamado Security Compliance Manager (SCM) que podem simplificar o processo. Baixar SCM aqui. O processo de instalação é simples e usa um assistente simples. Apenas certifique-se de que marcar a caixa de seleção que informa o Assistente de configuração para verificar se há atualizações.
Depois que tiver instalado o SCM, você pode iniciá-lo através do menu Iniciar do servidor. Quando você executá-lo pela primeira vez, o software terá que importar um número de pacotes de linha de base de segurança diferentes. Esse processo pode levar vários minutos para concluir.
Depois de ter importado as linhas de base de segurança, você verá uma lista de categorias de linha de base dentro da árvore de console. Expanda o contêiner do Windows Server 2008 R2 SP1 para exibir as linhas de base do Windows Server 2008 R2 disponíveis. A Microsoft fornece linhas de base de segurança para um número de diferentes funções de servidor (consulte Figura 1).
.jpg)
Figura 1 Security Compliance Manager fornece um número de linhas de base de segurança diferentes para o Windows Server 2008 R2.
As Microsoft fornece cada uma das linhas de base representam uma coleção de configurações de diretiva de grupo considerado ideal para esse papel de servidor individual. Embora as linhas de base aderirem às melhores práticas de segurança da Microsoft, aceitar cegamente uma linha de base de segurança é considerada uma prática ruim. Sua organização terá suas necessidades de segurança exclusivas. Geralmente, a Microsoft recomenda que aumentar as linhas de base de segurança padrão para atender essas necessidades.
O primeiro passo para fazer assim é escolher uma linha de base de segurança que coincide com a função de servidor que deseja configurar. Em seguida, clique no link duplicado encontrado no painel de ações. Isso permite que você faça uma cópia da linha de base de segurança. Dessa forma que você pode modificar a cópia sem ter que se preocupar sobre como tornar irreversíveis alterações da linha de base de segurança original.
Quando solicitado, insira um nome para sua linha de base de segurança personalizado e, em seguida, clique em Salvar. Quando você fizer isso, você verá a linha de base de segurança recém-criado exibida na seção personalizada das linhas de base no topo da árvore de console.
Quando você seleciona a linha de base de segurança personalizado, você verá todas as configurações de segurança exibidas na coluna do centro do console. O console lista a configuração padrão, recomendável da Microsoft configuração e sua configuração personalizada (consulte Figura 2). Inicialmente, as configurações personalizadas irão corresponder as configurações de Microsoft. Ao fazer modificações, aqueles serão refletidas na coluna personalizado.
.jpg)
Figura 2 verá todas as suas configurações e selecione uma linha de base personalizada.
Você pode modificar as configurações de diretiva individuais clicando duas vezes em uma configuração e, em seguida, escolhendo um novo valor (ver Figura 3). Depois de modificar qualquer configuração, clique no link de colapso para salvar suas alterações. Quando você fizer isso, a configuração de diretiva será exibida dentro do console em uma fonte em negrito para indicar que as configurações foram modificadas.
.jpg)
Figura 3 você pode clicar duas vezes em uma configuração de diretiva de segurança para modificar suas propriedades.
Quando terminar de examinar as várias configurações e introduzir quaisquer alterações necessárias para as linhas de base de segurança, exporte sua linha de base de segurança. O painel de ações contém um número de opções de exportação diferentes.
Inicialmente você deve exportar o base de segurança para uma planilha do Excel. Dessa forma, você pode armazenar uma cópia documentada das suas definições de linha de base de segurança independentes do SCM. Você também deve exportar as configurações em uma cópia de segurança de objeto de diretiva de grupo (GPO). Você pode usar o Backup do GPO para importar as configurações de linha de base de segurança no Editor de diretiva de grupo.
Você pode importar uma linha de base no Editor de diretiva de grupo, abra a diretiva de segurança que deseja modificar, clicando com botão direito sobre o contêiner de configurações de segurança e escolha a opção Importar diretivas (consulte Figura 4).
.jpg)
Figura 4 pode importar configurações de segurança no Editor de diretiva de grupo.
O Assistente de configuração de segurança
O Assistente de configuração de segurança é uma ferramenta igualmente acessível que você pode usar para proteger seus servidores Windows 2008 R2. Este é instalado por padrão no Windows Server 2008 R2 e é acessível através do menu de ferramentas administrativas do servidor. Como o SCM, o Assistente de configuração de segurança é projetado para ajudá-lo a criar políticas de segurança específicas da função de servidor você pode exportar para os servidores na sua rede.
Quando você inicia o assistente, você verá uma tela introdutória. Clique em Avançar para limpar esta tela e você será levado a uma tela que perguntará qual ação você deseja realizar. Você pode criar, editar ou aplicar uma diretiva de segurança, ou você pode reverter a diretiva de segurança mais recente.
Supondo que você decidir criar uma nova diretiva, o Assistente de configuração de segurança solicitará que você forneça o nome ou endereço IP de um servidor para usar como uma base de segurança. Isso deve ser um servidor em que você gostaria de modelar a política que você está prestes a criar.
Clique em Avançar duas vezes, e você virá a uma tela solicitando que você as funções que o servidor irá executar (ver Figura 5). A lista de funções é preenchida automaticamente com base nas funções instaladas no servidor do qual você está modelando a nova política. Você pode modificar manualmente a lista de funções.
É importante para a lista de funções refletir com precisão as funções que você planeja instalar nos servidores que recebem a diretiva. As configurações de diretiva de grupo, configurações Registro e configuração de firewall tudo se baseará nas funções que você escolheu.
.jpg)
Figura 5 escolher os papéis que serão instalados em servidores de destino.
Clique em Avançar e você verá uma lista semelhante referindo-se aos recursos que você instalará no servidor. Mais uma vez, é importante que a lista de recursos ser exato. Também é importante notar que o Assistente de configuração de segurança realmente não instala funções e recursos. Ele só cria políticas baseadas nas funções e recursos que você indica são instalados.
As duas próximas telas seguem o mesmo formato básico como as telas de funções e recursos. Uma tela perguntará sobre as opções instaladas. Estas são coisas como como área de trabalho remota ou o gerenciamento de Volume remoto. A próxima tela perguntará sobre quaisquer serviços adicionais instalados como o Desfragmentador de disco ou o serviço de atualização do Adobe Acrobat. Você pode ver alguns serviços não-Microsoft exibidos nesta lista, dependendo de qual software é instalado no servidor de modelo.
A próxima tela perguntará o que deve acontecer quando inicialização encontra um serviço não especificado. Você pode deixar o tipo de inicialização de serviço inalterado, ou você pode bloquear o serviço. Na tela seguinte, você verá uma lista dos serviços cujos tipos de arranque serão alterados assim que você pode ter certeza que você não está prestes a desativar algo crítico.
O assistente agora leva você para a seção de segurança de rede. Você pode pular esta seção, se você assim escolher. Ele foi projetado para configurar o Firewall do Windows com base em como você vai usar o servidor. Esta secção permite-lhe rever as regras de firewall existentes e adicionar ou excluir regras baseadas em suas necessidades.
A seção do registro é o próxima. A parte do registro do assistente perguntará se todos os computadores que se conectarão ao servidor atendem a certos requisitos de sistema operacional mínimos. Ele também verifica se o servidor tem poder de processamento de excedentes. Essas definições de configuração determinam se ou não habilitar assinaturas de segurança Server Message Block.
Outras telas perguntam-lhe sobre os tipos de contas que você está usando e os tipos de controladores de domínio em sua rede. Depois que você termina de responder às perguntas do assistente, ela irá mostrar-lhe todas as modificações de registro é sobre fazer.
A última seção, que você encontrará antes que você for solicitado a salvar a política de segurança é a seção de diretiva de auditoria. Esta seção faz uma pergunta sobre sua filosofia geral de auditoria. Essencialmente, ele quer saber se você quer fazer auditoria em eventos bem-sucedidos, eventos com êxito e sem êxito ou nada em tudo. As configurações de diretiva de auditoria serão baseadas em sua escolha.
Quando você chegar ao final do assistente, você é solicitado a salvar a nova política como um arquivo XML. Você então tem a opção de aplicar a nova diretiva de segurança agora ou mais tarde. Se você optar por aplicar a configuração depois de segurança, você pode fazê-lo, executar novamente o Assistente de configuração de segurança e escolha aplicar uma configuração de diretiva de segurança existente (ver Figura 6).
.jpg)
Figura 6 você pode aplicar uma diretiva de segurança criada anteriormente através do Assistente de configuração de segurança.
Há muitos recursos de segurança do Windows Server para discutir dentro de um único artigo, mas estes são alguns dos destaques. As principais ferramentas como o Assistente de configuração de segurança e o Security Compliance Manager podem ajudá-lo a proteger seus servidores sem a necessidade de definir cada configuração individualmente de segurança.
.jpg)
**Brien M. Posey**MVP, é um escritor técnico freelance com milhares de artigos e dezenas de livros para o seu crédito. Você pode visitar o site da Posey em brienposey.com.