Início > Infraestrutura > Gestão de Vulnerabilidades em Servidores Windows (Parte 2 de 2)

Gestão de Vulnerabilidades em Servidores Windows (Parte 2 de 2)

Na primeira parte do artigo que escrevi sobre estratégias de gestão de vulnerabilidades em redes Windows para o MBA, os tópicos compartilhados foram:

  1. Introdução
  2. Gestão de Vulnerabilidade
  3. Hardening Para Mitigação de Vulnerabilidades

Na segunda parte (esse post), vou compartilhar o restante do artigo:

  1. Considerações de Segurança em Florestas
  2. Ferramentas Para Automação de Atualizações de Segurança
  3. Conclusão
  4. Bibliografia

Considerações de Segurança em Florestas

Há aspectos das florestas que precisam ser analisados com muito cuidado, pois apresentam potenciais vulnerabilidades, como o conceito de trust (confiança, em português).

Uma confiança é um relacionamento estabelecido entre domínios que permitem aos usuários em um domínio se autenticarem por um domain controller em outro domínio (TECHNET, 2014e). O objetivo da confiança é criar um canal seguro entre dois domínios ou duas florestas utilizando protocolos de autenticação (Kerberos, NTLM), o serviço NET Logon, a LSA (Local Security Authority) e TDOs (Trusted Domain Objects como SID do domínio, o tipo de confiança e a transitividade) armazenados no Active Directory. Cada vez que uma confiança é estabelecida, um TDO é criado e armazenado no domínio.

Quando usuários em uma Floresta A necessitam de acesso aos recursos em uma Floresta B, os administradores de recursos na Floresta B podem adicionar as contas dos usuários na Floresta A para a ACL (Access Control List) no recurso. Quando existem muitos usuários com essa necessidade, é necessário um modelo de gerenciamento mais escalável, pois não é produtivo adicionar usuários à ACL em cada recurso.

Para resolver esse problema, o administrador cria um relacionamento de confiança entre os domínios raiz de cada floresta e cria também um grupo universal e adiciona grupos globais a ele. Em seguida, cria domínios locais nos recursos que deseja compartilhar e adiciona os grupos universais a eles. Dessa forma, basta adicionar contas de usuário aos respectivos grupos globais para que um usuário tenha acesso a um recurso em outra floresta.

Mesmo quando se cria florestas múltiplas para isolamento de dados ou serviços, relacionamento de confiança com outras florestas ou domínio individuais em outras florestas podem ser criados e usuários podem ser adicionados a grupos em outras florestas em qualquer dos seguintes grupos:

    • Grupos que são responsáveis por serviços de gerenciamento que armazenam ou que podem gerenciar a adesão de grupos de administradores de serviços.
    • Grupos com controle administrativo que armazenam dados protegidos.
    • Grupos que têm acesso a dados protegidos ou grupos responsáveis pelo gerenciamento de usuários ou grupos que tem acesso a dados protegidos.

    Adicionar usuários de outras florestas em qualquer um desses grupos é uma potencial brecha de segurança das demais florestas que podem levar à divulgação de dados protegidos ou a interrupção de serviços.

    O proprietário da floresta é o administrador do serviço. O ponto mais vulnerável em uma floresta e no relacionamento de confiança entre elas é o próprio administrador, pois ele pode acessar as florestas com privilégios administrativos. Para proteção contra uso indevido da floresta por administradores, é altamente recomendável (SEARCHWINDOWSSERVER, 2014c):

    • Minimizar a quantidade de administradores de serviços.
    • Permitir que administradores de serviços alterem apenas os membros dos grupos de administração.
    • Garantir que as alterações de membros de serviços administrativos sejam registradas.
    • Autenticar como administrador de serviço somente quando necessário. Administradores deveriam ter contas alternativas para o trabalho diário.
    • Restringir acesso físico aos backups. Não armazená-los em áreas consideradas inseguras.
    • Restringir acesso aos controladores de domínio aos administradores.
    • Permitir que somente membros dos grupos de administração de serviços gerenciem estações de trabalho.

    A criação de um relacionamento de confiança entre florestas causa impacto na segurança nos dois lados. Para cada impacto, há maneiras de mitigação (TECHNET, 2014e):

    • Kerberos Delegation – aplicações agentes serão capazes de se autenticar em nome dos usuários: Para mitigar, deve-se prevenir que contas sensíveis de usuários sejam delegadas. Aplicações que usam Kerberos Delegation deveriam ser configuradas com Constrained Delegation. Dessa forma, a conta de serviço só pode delegar contas de usuários limitadas a um conjunto de funcionalidades dentro das aplicações agentes.
    • Porta de firewall abertas para permitir conexões de controladores de domínio: Para mitigar, devem-se fazer verificações periódicas na rede para garantir boas práticas para operações de rede e monitoramento pró-ativo do tráfego na rede.
    • Administradores do Active Directory podem falsificar o SID para obter acesso aos recursos: Para mitigar, deve-se ativar filtro SID para permitir que os controladores de domínio no domínio de confiança removam todos os SIDs que não estão relacionados ao domínio de confiança em qualquer dado recebido.
    • Usuários com credenciais de Active Directory podem acessar outros recursos: Para mitigar, deve-se ativar a Autenticação Seletiva para explicitamente garantir acesso aos recursos.
    • Diferentes políticas que podem introduzir diferentes níveis de garantia de operações: Para mitigar, devem-se fazer verificações em ambas as florestas para garantir as boas práticas para operações de Active Directory e para garantir que processos de segurança e controles como o gerenciamento de atualizações e antivírus são executados de acordo com a política de segurança.

    Ferramentas para Automação de Atualizações de Segurança

    A forma mais rápida e fácil de fazer a blindagem e a atualização de um servidor Windows é utilizando ferramentas automatizadas para checar o status de segurança do servidor. Uma vez identificado o problema, pode-se fazer a correção. A maioria das ferramentas sugere uma lista de configurações necessárias para corrigir problemas de segurança. Em Segurança (2014a), a Microsoft disponibiliza uma lista das ferramentas de avaliação de vulnerabilidades e gerenciamento de atualizações. Em SecurityWing (2014), há uma explicação mais detalhada da utilização das ferramentas focadas em atualização.

    O SCM (Security Compliance Management) faz o download automático das últimas atualizações de segurança para vários produtos da Microsoft. É necessário que o administrador informe para quais produtos ele quer que a ferramenta faça as verificações de atualizações de segurança, como por exemplo domain controllers.

    O SCW (Security Configuration Wizard) reduz a superfície de ataque dos computadores executando o Windows Server 2008 através da personalização das configurações da política de segurança. Pode-se utilizar Group Policy para aplicar a política de segurança para múltiplos servidores que executem a mesma função. Pode-se também comparar as configurações de segurança de um servidor com uma política de segurança desejada para verificar as possíveis vulnerabilidades de configurações existentes no servidor.

    O MBSA (Microsoft Baseline Security Analyzer) ajuda empresas de pequeno e médio portes a determinar o estado da segurança de acordo com as recomendações da Microsoft. Ele oferece diretrizes de atualizações dos produtos e detecta erros comuns de configuração relacionados à segurança e atualizações de segurança que estão faltando. Ele pode inclusive fazer a varredura de um grupo de computadores baseado em suas regras de domínio.

    Das ferramentas de atualização disponibilizadas pela Microsoft, o WSUS (Windows Server Update Services) é o mais importante. Ele permite que os administradores implantem as atualizações mais recentes do Windows e que gerenciem integralmente a distribuição das atualizações lançadas no Microsoft Update nos computadores da rede. Ele permite, dentre outros:

    • Gerenciamento de banda para otimização do uso de recursos da rede
    • Download automático de atualizações por categoria
    • Endereçamento de atualizações para computadores específicos ou conjuntos de computadores

    O WSUS não se importa com o conceito de domínios, florestas e confiança. Para aplicação de patches, basta que todos os clientes apontem para um “servidor WSUS” para que ele possa endereçar as atualizações. Um cliente pode ser configurado por meio de Group Policy, que é a forma mais recomendada (UNIVERSITY, 2014). Uma Group Policy pode ser definida em um domínio do Active Directory por meio do console do GPM (Group Policy Managent) (TECHNET, 2014b). Deve-se configurar a frequência das atualizações e o local do “servidor WSUS”. Em um ambiente simples, basta relacionar o GPO (Group Policy Object) com as configurações do WSUS no domínio. Em ambientes complexos podem existir vários GPOS ligados à várias OUs (Organizational Units) (TECHNET, 2014a).

    Conclusão

    As ameaças que são potencializadas pelas vulnerabilidades sempre farão parte do cotidiano de qualquer sistema de informação. Sendo assim, medidas para mitigar vulnerabilidades e diminuir os riscos são necessárias. A blindagem do servidor diminui a área de ataque, pois reduz as funcionalidades do servidor ao mínimo necessário dado seu papel na rede. A blindagem de florestas merece atenção especial uma vez que a maior vulnerabilidade gira em torno do poder do administrador. A conta de administrador de serviço deve ser utilizada apenas quando necessária e tudo que esse usuário faz deve ser registrado.

    A Microsoft disponibiliza ferramentas que auxiliam a blindagem e as verificações e atualizações de segurança. É importante que todos os administradores conheçam e saibam utilizar bem o WSUS (Windows Server Update Services) e outras ferramentas disponível que fazem a varredura da rede em busca de vulnerabilidades e configurações de segurança que estejam faltando.

    Mesmo com um servidor devidamente blindado e com ferramentas de automação e verificação de segurança em mãos, ainda assim as vulnerabilidades existem e podem ser exploradas por um atacante. É necessários que as organizações invistam na capacitação dos profissionais envolvidos com segurança da informação e que tenham um processo de gerenciamento de vulnerabilidades adaptado às suas necessidades, pois sem um processo as organizações não são capazes de perceber riscos aos quais seus sistemas estão expostos.

    Um processo de gerenciamento de vulnerabilidades eficaz diminui a quantidade de recursos alocados. A mitigação de vulnerabilidades proporciona maior proteção às informações confidencias da organização, de seus clientes e de seus parceiros, o que melhora a imagem da organização no mercado.

    Mas e se uma vulnerabilidade for explorada e um desastre ocorrer? Para ampliar o trabalho apresentado, sugere-se pesquisar formas de recuperação de desastres. Pode-se partir do que é apresentado em SearchWindowsServer (2014a) e Technet (2014d).

    Bibliografia

    GUIA Definitivo para o Gerenciamento de Segurança. Capítulo 3: Medidas Proativas. Gestão e Reparação de Vulnerabilidade. Realtimepublishers.com, 2006. Disponível em: [http://www.ebah.com.br/content/ABAAAA76gAF/guia-definitivo-gerenciamento-seguranca]. Acesso em: 18 maio 2014.

    INFOSEC Institute. Windows Vulnerability Assessment. Disponível em: [http://resources.infosecinstitute.com/windows-vulnerability-assessment]. Acesso em: 18 maio 2014.

    PALMERS, Tom. Implementing a vulnerability management process. SANS Institute InfoSec Reading Room, 2013. Disponível em: [http://www.sans.org/reading-room/whitepapers/threats/implementing-vulnerability-management-process-34180]. Acesso em: 18 maio 2014.

    SCARFONE, K.; JANSEN, W.; Tracy, M. Guide to General Server Security. Recommendations of the  National Institute of Standards and Technology. Computer Security Division Information Technology Laboratory, 2008. Disponível em: [http://csrc.nist.gov/publications/nistpubs/800-123/SP800-123.pdf]. Acesso em: 18 maio 2014.

    SEARCHSECURITY.IN. Vulnerability Management. Acesso em 18 maio 2014. Disponível em: [http://searchsecurity.techtarget.in/definition/vulnerability-management]. Acesso em: 18 maio 2014.

    SEARCHWINDOWSSERVER – Disaster prevention strategies for Active Directory forests. Disponível em: [http://searchwindowsserver.techtarget.com/tip/Disaster-prevention-strategies-for-Active-Directory-forests]. Acesso em: 18 maio 2014a.

    ______. FAQ Hardening Windows Servers. Disponível em: [http://searchwindowsserver.techtarget.com/answer/FAQ-Hardening-Windows-servers]. Acesso em: 16 maio 2014b.

    ______. Protect Your Forests. Disponível em: [http://searchwindowsserver.techtarget.com/tip/Protect-your-forests]. Acesso em: 17 maio 2014c.

    SECURITYWING. Windows 2008 Server Security Hardening with Automated Tools. Disponível em: [http://securitywing.com/windows-2008-server-security-hardening-with-automated-tools]. Acesso em: 18 maio 2014.

    SEGURANÇA TechCenter. Ferramentas de Segurança. Disponível em: [http://technet.microsoft.com/pt-br/security/cc297183]. Acesso em: 18 maio 2014a.

    ______. Microsoft Security Bulletin Advance Notification. Disponível em [http://technet.microsoft.com/pt-BR/security/gg309152.aspx]. Acesso em: 17 maio 2014b.

    TECHNET. Configure Automatic Updates by Using Group Policy. Disponível em [http://technet.microsoft.com/en-us/library/cc720539(WS.10).aspx]. Acesso em: 21 maio 2014a.

    ______. Console de Gerenciando de Diretiva de Grupo (GPMC). Disponível em: [http://technet.microsoft.com/pt-br/library/cc668491.aspx]. Acesso em: 20 maio 2014b.

    ______. Definition of a Security Vulnerability. Disponível em: [http://technet.microsoft.com/en-us/library/cc751383.aspx]. Acesso em: 17 maio 2014c.

    ______. Help: I Got Hacked. Now What Do I Do? Disponível em: [http://technet.microsoft.com/en-us/library/cc700813.aspx]. Acesso em: 18 maio 2014d.

    ______. Mir’s Blog – Accessing Resources across forest and achieve Single Sign ON (Part1). Disponível em: [http://blogs.technet.com/b/mir/archive/2011/06/12/accessing-resources-across-forest-and-achieve-single-sign-on-part1.aspx]. Acesso em: 18 maio 2014e.

    TEVORA. 10 steps to harden Windows Server 2008. Disponível em: [http://blog.tevora.com/enterprise-applications/10-steps-to-harden-windows-server-2008-2]. Acesso em: 18 maio 2014.

    UNIVERSITY Information Services (Computing). Automatic Update Client Configuration. Disponível em: [http://www.ucs.cam.ac.uk/support/windows-support/winsuptech/wsus/wsusclientconfig]. Acesso em: 20 maio 2014.

    Anúncios
  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: