Protegendo as redes do Windows: volte ao básico

Início / Tecnologia da Informação / Protegendo as redes do Windows: volte ao básico
Protegendo as redes do Windows: volte ao básico

 É um novo ano, o que temos a sugerir é adotar novas soluções, software ou métodos para proteger uma rede do Windows. Na verdade, esse é um instinto enganoso. É muito melhor voltar ao básico para nossas redes, muitas vezes é negligenciado à medida que adicionamos mais softwares e mais métodos que claramente não estão funcionando.

Pode ser mais fácil ou mais conveniente implementar novas ferramentas de proteção externa, mas elas não chegam à raiz do problema: a facilidade com que os invasores podem assumir o controle quando estão dentro de uma rede. O que deveríamos fazer é garantir as bases dos nossos domínios e proteger-nos contra movimentos laterais, há muito uma técnica de ataque proeminente utilizada por malfeitores. Apenas quebrando a senha de um administrador local, eles podem obter acesso rápido e fácil a contas em muitas máquinas em uma rede.

Implementar totalmente Windows em seu modo básico

Para começar, toda rede deve ter um sistema com implementação inicial do Windows, com senha de administrador local (LAPS). Enquanto antigamente tínhamos que instalar o LAPS manualmente em cada estação de trabalho, com Windows 10 e 11 e Server 2019 e Server 2022 desde abril de 2023, o código LAPS está incluído na plataforma. Você pode usar o Active Directory ou o Entra (anteriormente Azure AD) para controlar e gerenciar a criptografia de senha local.

Windows O LAPS oferece especificamente os seguintes benefícios:

  • Proteção contra ataques pass-the-hash e travessia lateral.
  • Segurança aprimorada para cenários de suporte técnico remoto.
  • Capacidade de fazer login e recuperar dispositivos que de outra forma seriam inacessíveis.
  • Um modelo de segurança refinado (listas de controle de acesso e criptografia de senha opcional) para proteger senhas armazenadas em Windows Servidor Active Directory.
  • Suporte para o modelo de controle de acesso baseado em função Entra para proteger senhas armazenadas no Entra ID.

Dispositivos diferentes usam métodos diferentes para ingressar em uma rede, portanto será necessário planejar adequadamente o gerenciamento dos vários métodos empregados para backup de senha em cada caso. Por exemplo, os dispositivos que são ingressados ​​apenas no Entrar ou no Azure AD têm backup de suas senhas apenas no Entra ou no Azure AD.

Os dispositivos associados ao Active Directory têm suas senhas armazenadas em backup no Active Directory. Se um dispositivo for híbrido, pode ser feito backup de sua senha no Entra, no Azure AD ou no Active Directory tradicional. Se você ainda estiver usando a solução Microsoft LAPS herdada, reserve tempo e recursos para implantar Windows LAPS. Proteger o administrador local é apenas uma das formas possíveis de proteger melhor uma rede. Mas muitas vezes essas proteções adicionais exigem testes para garantir que as estações de trabalho ainda funcionem conforme esperado.

Implantar domínios hierárquicos

A seguir, revise as opções para implantação de domínios hierárquicos. Configurar uma rede usando este conceito permite o particionamento de domínios e subdomínios para limitar a replicação dentro da rede. Muitos de nós não utilizamos o software integrado como o Firewall do Windows para reduzir o tráfego de rede e garantir que apenas essas estações de trabalho e servidores estejam se comunicando apenas com os dispositivos com os quais precisam se comunicar.

Além disso, revise o roteamento entre domínios e segmentos e a configuração de LANs e VLANs. Muitos desses conceitos não são novos e não precisam de software adicional além da política de grupo ou do recurso do Intune já disponível em muitas redes. Comece fazendo um exemplo de análise das políticas de firewall nas estações de trabalho. Que portos estão abertos e por que foram criados dessa forma? As portas poderiam ser restringidas sem impacto na rede existente? Reserve tempo e recursos para revisar suas regras de firewall.

Segmente sua rede do Windows

Um conceito semelhante que pode ser empregado com grande efeito é a segmentação de rede. Garantir que a rede seja dividida em sub-redes menores permite separar e compartimentar para que, caso ocorra um evento cibernético, toda a empresa não seja afetada. Para as organizações de saúde, em particular, isso pode garantir que um hospital ou clínica não seja completamente fechado durante um evento cibernético ou de ransomware.

Estações de trabalho privilegiadas também precisam ser inspecionadas. As notícias sobre segurança cibernética têm sido frequentemente dominadas nos últimos anos por histórias de que um engenheiro de rede ou alguém de importância semelhante dentro de uma organização foi vítima de phishing e suas credenciais roubadas. Ninguém com informações importantes relacionadas a uma rede deve acessar dispositivos em uma estação de trabalho que possa ter software malicioso instalado.

É por isso que é fundamental garantir que o pessoal administrativo chave tenha estações de trabalho especificamente concebidas para serem utilizadas apenas para essa função. O risco para o administrador não é novo nem único; o administrador da rede é muitas vezes o elo mais fraco de uma organização e não deve ser esquecido nas avaliações de risco. Eles devem estar sempre protegidos.

Leia também: Pesquisadores demonstram novas técnicas de ataque CI/CD na cadeia de suprimentos PyTorch

Usando técnicas comprovadas para impedir muitos ataques

Embora nenhuma metodologia seja infalível, acredito que o emprego dessas técnicas teria atenuado ou evitado muitos dos ataques cibernéticos à rede que se tornaram muito comuns e reduzido o impacto nas pequenas e grandes empresas. Muitas dessas técnicas não requerem recursos ou licenças adicionais, mas exigem tempo, esforço e principalmente testes para serem implementadas. Muitas vezes temos redes do tipo legado e fazer alterações nas políticas de grupo, firewalls ou outras políticas de estações de trabalho requer aprovação das alterações. Talvez seja necessário considerar o uso dos recursos de teste usados ​​para executar a implementação do gerenciamento de patches ao fazer qualquer uma dessas alterações na segmentação de rede. Os mesmos recursos e metodologia para garantir que as estações de trabalho funcionem corretamente após os patches geralmente são os mesmos que você precisará para determinar a melhor forma de proteger o acesso à sua rede.

Garantir que os aplicativos de linha de negócios ainda funcionem enquanto você faz alterações traz riscos para uma rede comercial funcional. Pode parecer mais fácil colocar algo novo na rede que proteja a rede externa ou monitore o acesso do que alterar a forma como uma rede existente é implantada. Mas investir nestas técnicas, muitas das quais estão disponíveis há muitos anos, pode trazer frutos no futuro.

Leitura relacionada:

Roberto Magalhães

O cérebro editor por trás do Tecnologico.online, é um entusiasta apaixonado por tecnologia. Canaliza sua fascinação para criar conteúdo envolvente e informativo. Sua dedicação à inovação reflete-se nos artigos que produz, abrangendo uma ampla gama de tópicos tecnológicos. Com um olhar atento para as últimas tendências e desenvolvimentos, busca tornar...

Voltar para o blog

Deixe um comentário

Os comentários precisam ser aprovados antes da publicação.