Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosLista de verificação
Lista de Verificação de Endurecimento do Windows Server

Lista de Verificação de Endurecimento do Windows Server

Embora a implantação de servidores em seu estado padrão possa ser a maneira mais rápida de torná-los operacionais, isso fica significativamente aquém em termos de segurança. Por padrão, os servidores são otimizados para facilidade de uso — o que muitas vezes ocorre às custas da segurança.

Esta ressalva é particularmente importante para sistemas Windows Server devido ao papel vital que desempenham no ecossistema da Microsoft, incluindo autenticação e autorização. Ao investir um pouco mais de tempo configurando seus sistemas Windows Server de forma segura, você pode reduzir drasticamente sua superfície de ataque.

Para ajudar, este guia oferece uma lista extensiva de melhores práticas de endurecimento do Windows Server. Primeiro, vamos cobrir o próprio Windows Server: usuários, funcionalidades, papéis, serviços e assim por diante. Mas depois, forneceremos um guia de endurecimento do Windows para uma variedade de outros aspectos do ambiente de TI que também impactam a segurança e disponibilidade do Windows Server, como configuração de rede e firewall, configuração de aplicativos e serviços, gerenciamento de acesso e políticas de auditoria. Por fim, ofereceremos uma solução que simplifica drasticamente o processo de endurecimento de servidores.

Preparação do Servidor

O endurecimento do servidor começa mesmo antes de instalar o sistema operacional. Para fornecer uma base sólida para a segurança do servidor, siga os seguintes passos:

  • Estabeleça e mantenha um inventário detalhado de todos os seus servidores.
  • Isole novos servidores da rede e do tráfego da internet até que estejam totalmente reforçados.
  • Proteja o BIOS/firmware com uma senha robusta.
  • Desative o logon administrativo automático para o console de recuperação.
  • Configure a ordem de inicialização do dispositivo para impedir a inicialização a partir de mídias alternativas.

Atualize a instalação do Windows Server e mantenha-a atualizada

Após instalar o sistema operacional Windows Server, atualize-o imediatamente com as últimas correções para mitigar vulnerabilidades conhecidas. As atualizações podem ser baixadas diretamente da Microsoft ou por meio do Window Server Update Services (WSUS) ou System Center Configuration Manager (SCCM).

Para ajudar a manter seus servidores seguros, habilite a notificação automática de disponibilidade de patches e instale as atualizações prontamente. No entanto, antes de implantar qualquer patch, hotfix ou service pack, certifique-se de testá-lo completamente para garantir que funcione corretamente em seu ambiente específico.

Fortalecimento da Segurança de Contas de Usuário

Assim que um servidor for implantado e atualizado com as correções de segurança, prossiga para a configuração de segurança do usuário para mitigar o risco de acesso não autorizado. As melhores práticas de configuração de usuário incluem o seguinte:

  • Desative a conta de convidado em cada servidor.
  • Renomeie a conta de Administrador local ou desative-a e crie uma nova conta com um nome único.
  • Minimize tanto a associação quanto as permissões de grupos integrados como Local System (NT AUTHORITY\System), Network Service (NT AUTHORITY\NetworkService), Administradores, Operadores de Backup, Usuários e Todos. Por exemplo, para evitar o acesso remoto irrestrito aos seus servidores, certifique-se de alterar a configuração padrão que concede o direito de ‘Acessar este computador pela rede’ ao grupo Todos.
  • Garanta que as senhas das contas de sistema e administrador estejam de acordo com as melhores práticas de senhas. Em particular, exija que essas senhas tenham pelo menos 15 caracteres e utilizem uma combinação de letras, números e caracteres especiais, e que sejam alteradas a cada 90–180 dias.
  • Configure uma política de bloqueio de conta de acordo com as melhores práticas de bloqueio de conta.
  • Desative a tradução anônima de SID/Nome.
  • Desative ou exclua prontamente contas de usuário não utilizadas.
  • Exija que os administradores de servidor façam login usando uma conta de administrador local em vez de uma conta de domínio privilegiada para limitar o risco de problemas ou comprometimentos em todo o domínio.

Configuração de Recursos e Funções

Outra prática recomendada importante para reforçar a segurança dos servidores Windows é remover quaisquer funcionalidades e papéis que não sejam necessários para o propósito pretendido do servidor. Esta estratégia reduz a superfície de ataque e também torna o servidor mais fácil de gerir.

Configuração de Aplicativos e Serviços

Da mesma forma, minimize o número de aplicações, serviços e protocolos que são instalados em cada servidor. Em particular, não instale nenhum navegador web adicional no servidor e restrinja o acesso à web para todos os usuários.

Limitar os aplicativos e serviços executados em um servidor reduz sua superfície de ataque e também simplifica o gerenciamento de atualizações e patches.

Configuração de Rede

A configuração da sua rede impacta drasticamente a segurança dos seus servidores Windows. Aqui estão algumas práticas chave de configuração de rede que você deve seguir.

  • Isole o servidor de redes ou segmentos não confiáveis usando VLANs, subnetting ou outras técnicas de segregação de rede. Esta estratégia limita a exposição do servidor a potenciais ameaças.
  • Certifique-se de que as configurações de DNS e nome de host estão precisas para prevenir manipulações relacionadas ao DNS.
  • Implemente restrições de IP e regras de filtragem para controlar quais endereços ou faixas de IP podem se comunicar com o servidor. Isso ajuda a limitar o acesso não autorizado e a exposição a ataques.
  • Se a administração remota for necessária, limite o acesso RDP a endereços IP específicos ou redes para ajudar a prevenir o acesso não autorizado.
  • Desative tanto o NetBIOS sobre TCP/IP quanto a pesquisa LMHosts, a menos que sejam necessários para software ou hardware legado.

Configuração de Firewall

Para ajudar a proteger seus servidores Windows de acessos não autorizados e tráfego malicioso, siga estas melhores práticas de configuração de firewall:

  • Ative o firewall do Windows.
  • Configure cada perfil de firewall do Windows (Domínio, Privado e Público) para bloquear o tráfego de entrada por padrão. Quando o acesso de entrada for necessário para um servidor, limite-o aos protocolos essenciais, portas e endereços IP específicos.
  • Abra apenas as portas de rede necessárias; restrinja ou negue acesso para todas as outras portas.

Configuração de Tempo de Rede (NTP)

O NTP é vital para garantir carimbos de data e hora precisos em eventos, o que ajuda as organizações a se protegerem contra ataques de falsificação de tempo e de replay.

Designe um servidor específico como o principal cronometrista e configure-o para sincronizar com uma fonte confiável de relógio atômico. Em seguida, estabeleça uma política que exija que todos os servidores e estações de trabalho sincronizem seu tempo exclusivamente com esse servidor.

Configuração do Registro

Configurar adequadamente as configurações do registro e controlar as alterações nelas também é vital para a segurança do servidor. As melhores práticas incluem o seguinte:

  • Se o serviço Remote Registry não for necessário, desative-o. Se for necessário, controle rigorosamente o acesso a ele.
  • Desative as configurações "NullSessionPipes" e "NullSessionShares" para limitar o acesso anônimo aos recursos da rede.
  • Permita apenas que usuários autorizados e administradores modifiquem chaves e subchaves críticas do registro.

Criptografia

Para melhorar a segurança do servidor, é aconselhável ativar e configurar a criptografia de unidade BitLocker para todo o sistema de unidade, bem como quaisquer outras unidades que contenham dados. Para uma proteção de dados mais detalhada, considere utilizar o Sistema de Encriptação de Arquivos (EFS) para criptografar arquivos individuais.

Para garantir a confidencialidade e integridade dos dados em toda a rede, você pode implementar IPsec para criptografar o tráfego de rede entre servidores.

Gestão de Acesso

O gerenciamento de acesso é um componente crítico da lista de verificação de endurecimento do Windows porque controla quem pode acessar quais recursos de TI e qual nível de acesso eles têm. As melhores práticas de gerenciamento de acesso incluem o seguinte:

  • Aplique o princípio do menor privilégio concedendo aos usuários e processos os direitos mínimos necessários para realizar suas tarefas. Em particular, seja muito criterioso ao conceder permissões ao grupo Everyone.
  • Permita apenas que usuários autenticados acessem qualquer computador da rede.
  • Configure os tipos de criptografia permitidos para autenticação Kerberos.
  • Não armazene valores de hash do LAN Manager.
  • Desative o compartilhamento de arquivos e impressoras se não for necessário.
  • Desative o protocolo NTLMv1, a menos que seja necessário para dar suporte a tecnologias mais antigas.

Configuração de Acesso Remoto

O Protocolo de Área de Trabalho Remota (RDP) é um alvo comum para hackers, portanto, deve ser habilitado apenas se necessário. Se o RDP estiver habilitado, configure o nível de criptografia da conexão RDP para alto.

Além disso, conceda direitos de acesso remoto apenas aos usuários específicos que precisam deles e, se possível, use autenticação multifator (MFA) para adicionar uma camada extra de proteção.

Práticas Gerais de Reforço de Segurança

Considere implementar estas melhores práticas gerais de segurança:

  • Desative o uso de mídias removíveis, como pendrives, para mitigar o risco de exfiltração de dados e injeção de malware.
  • Exiba um aviso legal como o seguinte antes do usuário fazer login: “O uso não autorizado deste computador e dos recursos de rede é proibido.”
  • Exija Ctrl+Alt+Del para logins interativos e configure um limite de tempo para encerrar automaticamente sessões interativas inativas.
  • Se o servidor possui RAM suficiente, considere desativar o arquivo de troca do Windows para melhorar o desempenho e aumentar a segurança, evitando que dados sensíveis sejam gravados no disco rígido.

Guia de Hardening do Windows Server: Recomendações Adicionais

Outras recomendações de endurecimento incluem as seguintes:

  • Realize avaliações de risco regulares e utilize-as para atualizar o seu plano de gestão de riscos.
  • Utilize uma solução de segurança de endpoint para proteger seus servidores e outras máquinas. O Windows Defender já vem incluído por padrão, mas também existem soluções de terceiros disponíveis. Considere também a proteção contra spyware.
  • Instale uma solução de prevenção contra perda de dados (DLP) para ajudar a proteger informações sensíveis contra acesso impróprio e vazamento.
  • Monitore atividades que possam comprometer a segurança do servidor. Os logs nativos fornecem alguma visão; esses logs podem ser revisados usando o Visualizador de Eventos do Windows. Mas para capacidades de registro e monitoramento mais abrangentes, implemente uma solução de auditoria empresarial que ofereça não apenas monitoramento, mas recursos avançados como análise de comportamento do usuário (UBA), alertas em tempo real e resposta automatizada a incidentes.

Como a Netwrix pode ajudar

Netwrix Change Tracker simplifica drasticamente o endurecimento e a gestão de configuração do Windows Server. Em particular, ele:

  • Torna fácil estabelecer configurações de linha de base seguras que estejam em conformidade com padrões como os do Center for Internet Security (CIS) e o US Department of Defense Security Technical Implementation Guide (STIG)
  • Detecta automaticamente desvios ou alterações em relação às suas configurações de base usando tecnologia de monitoramento de integridade de sistema e arquivos (FIM)
  • Coordena-se com a sua solução de gerenciamento de serviços de TI (ITSM) para identificar mudanças inesperadas na configuração e alertar os administradores
  • Acelera a resposta a incidentes fornecendo informações detalhadas sobre as alterações
  • Simplifica auditorias de conformidade com relatórios prontos para uso que cobrem NIST, PCI DSS, CMMC, STIG e NERC CIP.

Compartilhar em

Recursos Relacionados

Aprofunde-se com nossos recursos relacionados

Resource Center
eBook

Facilitando a Prevenção de Perda de Dados com as Soluções Netwrix

Prevenção de Perda de Dados
eBook

Instalando Software no Windows: Doloroso, mas não precisa ser

Endpoint Management