Capa do Ebook gratuito Governança de Segurança da Informação na Prática (ISO 27001/27002 sem burocracia)

Governança de Segurança da Informação na Prática (ISO 27001/27002 sem burocracia)

Novo curso

19 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Segurança em endpoints e servidores com padrões de configuração e hardening

Capítulo 9

Tempo estimado de leitura: 14 minutos

+ Exercício

O que são endpoints e servidores (e por que tratá-los como “alvos padrão”)

Endpoints são dispositivos usados por pessoas para trabalhar e acessar recursos: notebooks, desktops, estações de trabalho, smartphones corporativos e, em alguns cenários, tablets e terminais industriais. Servidores são sistemas que fornecem serviços e dados para outros sistemas: servidores de arquivos, aplicações, bancos de dados, controladores de domínio, servidores web, hosts de virtualização e instâncias em nuvem.

Na prática, endpoints e servidores concentram a maior parte das superfícies de ataque do dia a dia: execução de código, instalação de software, acesso a dados, credenciais em memória, serviços expostos e integrações. Por isso, “segurança em endpoints e servidores” não é um conjunto de ferramentas isoladas; é um padrão repetível de configuração e operação que reduz variações, remove fraquezas conhecidas e torna o ambiente previsível para monitorar e responder.

Padrões de configuração e hardening: conceito e diferença

Padrões de configuração são definições objetivas do “como deve ficar” um sistema: quais serviços podem rodar, quais configurações de segurança são obrigatórias, quais versões mínimas são aceitas, como deve ser o registro de logs, quais agentes devem estar instalados, como deve ser o firewall local, etc. O objetivo é padronizar e permitir auditoria técnica (por evidência) sem depender de interpretações.

Hardening é o processo de aplicar esses padrões e reduzir a superfície de ataque: desabilitar o que não é necessário, restringir permissões, remover softwares e componentes, reforçar autenticação, limitar comunicação, endurecer configurações de rede e de sistema operacional, e garantir atualização contínua. Em outras palavras: padrão define o alvo; hardening é a execução e manutenção do alvo.

Um erro comum é tratar hardening como “checklist de uma vez só”. Na prática, hardening é um ciclo: construir imagem base, aplicar baseline, validar, monitorar deriva (drift), corrigir e registrar exceções quando inevitáveis.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo

Princípios práticos para hardening sem burocracia

  • Menos variação, mais controle: quanto mais modelos de endpoint e “sabores” de servidor, mais difícil manter seguro. Padronize por perfis (ex.: notebook corporativo padrão, servidor Linux web, servidor Windows de aplicação).
  • Configuração como requisito de operação: se um sistema não atende ao baseline, ele não deveria entrar em produção ou na rede corporativa sem exceção formal.
  • Segurança por padrão (secure by default): o baseline deve ser o estado inicial, não um ajuste posterior.
  • Exceções são inevitáveis, mas controladas: exceção precisa de justificativa técnica, prazo e compensações (ex.: segmentação, regra de firewall, monitoramento reforçado).
  • Evidência automática: sempre que possível, use coleta automática (relatórios de conformidade, export de configurações, logs) em vez de prints manuais.

Componentes de um baseline de endpoint (o que definir no padrão)

1) Sistema operacional e atualização

Defina versões suportadas e janela de atualização. Um baseline típico inclui: versão mínima do sistema, atualizações automáticas habilitadas, política de reinício, e prazos máximos para correções críticas.

  • Exemplo de regra objetiva: “Atualizações críticas aplicadas em até X dias após liberação; endpoints fora do prazo entram em quarentena/restrição de acesso.”

2) Controle de aplicações

Controle de aplicações reduz execução de software não autorizado. Pode ser por allowlist (mais restritivo) ou por bloqueio de categorias e assinaturas (mais simples). O padrão deve definir: fontes permitidas, instalação com privilégios, e bloqueio de executáveis em pastas de usuário quando aplicável.

  • Exemplo: bloquear execução de binários em diretórios temporários e de downloads, permitindo apenas assinados e instalados via repositório corporativo.

3) Antimalware/EDR

Defina requisitos mínimos: agente obrigatório, proteção em tempo real, proteção contra adulteração (tamper protection), envio de telemetria, e política de resposta (quarentena automática, isolamento de rede em caso de ameaça severa).

4) Firewall local e postura de rede

O firewall local deve estar habilitado e com regras padrão: negar entradas não necessárias, permitir apenas serviços corporativos e gestão remota controlada. Em endpoints, a regra geral é “sem serviços expostos”.

5) Criptografia de disco e proteção de credenciais

Em endpoints, criptografia de disco é parte do baseline para reduzir impacto de perda/roubo. Também inclua proteção de credenciais: bloqueio de armazenamento inseguro de senhas, restrição de cache quando aplicável e uso de mecanismos do sistema para proteger segredos.

6) Configurações de navegador e e-mail

Grande parte dos ataques entra por navegação e anexos. O baseline deve definir: bloqueio de extensões não aprovadas, proteção contra downloads perigosos, desabilitar macros por padrão (quando aplicável), e restrições de execução automática.

7) Logs e telemetria

Sem logs, não há como investigar incidentes. Defina quais eventos devem ser coletados (logon, elevação de privilégio, criação de serviços, execução de binários suspeitos, alterações de política, eventos do EDR) e por quanto tempo manter localmente e centralmente.

Componentes de um baseline de servidor (o que muda em relação ao endpoint)

1) Função mínima e remoção de componentes

Servidor deve ter apenas o necessário para sua função. O padrão deve exigir: remoção de pacotes não usados, desabilitar serviços padrão não necessários, e proibir ferramentas de navegação e e-mail em servidores (salvo casos justificados).

2) Exposição de rede e portas

Em servidores, a regra é “expor só o que serve ao serviço”. Defina portas permitidas por perfil (web, banco, aplicação, diretório, arquivos). Combine isso com firewall local e regras de rede. O padrão deve exigir documentação de portas e justificativa.

3) Contas e privilégios

Servidores costumam acumular contas técnicas e permissões elevadas. O baseline deve definir: proibição de login direto como root/administrador quando possível, uso de contas nominativas para administração, e separação de contas de serviço. Também inclua exigência de MFA para acessos administrativos quando aplicável.

4) Hardening de serviços (web, SSH, RDP, banco de dados)

O padrão deve conter configurações mínimas por serviço. Exemplos: SSH sem autenticação por senha (preferir chaves), RDP restrito por rede e com NLA, TLS com versões e cifras seguras em servidores web, e bancos com autenticação forte e sem usuários padrão.

5) Integridade, backup e recuperação

Embora backup não seja “hardening” puro, ele reduz impacto de ransomware e falhas. O baseline deve exigir: backup com retenção definida, cópias imutáveis/offline quando possível, e testes periódicos de restauração. Em servidores críticos, inclua verificação de integridade e monitoramento de alterações em arquivos sensíveis.

Como criar padrões de configuração (modelo prático)

Um padrão útil precisa ser técnico, mensurável e aplicável. Um formato simples é dividir por “perfil” e por “categoria de controle”.

Estrutura sugerida do documento de padrão

  • Escopo: quais sistemas entram (ex.: Windows 11 corporativo, Ubuntu LTS, Windows Server 2022, etc.).
  • Perfil: endpoint padrão, endpoint privilegiado (admin), servidor web, servidor de aplicação, servidor de banco, servidor de diretório.
  • Requisitos mandatórios: itens que devem estar sempre presentes.
  • Requisitos condicionais: aplicáveis quando um serviço existe (ex.: se houver SSH, então configurar X).
  • Como validar: comando, caminho de configuração, relatório do agente, ou verificação automatizada.
  • Exceções: critérios, prazo máximo, compensações e evidência.

Exemplo de requisito bem escrito (objetivo e auditável)

Requisito: Firewall local habilitado e bloqueando entrada por padrão (deny inbound default). Validação: comando/relatório do gerenciador de configuração mostrando perfil ativo e política padrão. Exceção: servidores que exigem portas específicas devem listar portas e origem permitida; prazo máximo 90 dias para revisão.

Passo a passo prático: implementar hardening em endpoints

Passo 1 — Definir perfis de endpoint

Crie no mínimo dois perfis: (1) usuário padrão e (2) usuário com funções administrativas (TI, suporte, engenharia). O perfil administrativo deve ser mais restrito em navegação, instalação e acesso a dados, porque é um alvo mais valioso.

Passo 2 — Construir uma imagem base (golden image) ou baseline gerenciado

Padronize a instalação: sistema atualizado, drivers aprovados, criptografia habilitada, agentes corporativos instalados (EDR, inventário, gestão de patches), e configurações de segurança aplicadas via política/gerenciador.

Passo 3 — Aplicar controles de execução e privilégios

  • Remover privilégios de administrador local do usuário padrão.
  • Definir processo de elevação temporária (quando necessário) com registro.
  • Bloquear execução em locais comuns de abuso (temp, downloads) quando viável.

Passo 4 — Endurecer navegador e e-mail

Aplicar configurações corporativas: bloquear extensões não aprovadas, restringir downloads executáveis, desabilitar execução automática de conteúdo ativo e macros por padrão quando aplicável. Se a operação depende de macros, trate como exceção controlada por assinatura e origem.

Passo 5 — Validar conformidade e corrigir deriva

Defina um conjunto de verificações automáticas: criptografia ativa, EDR ativo e atualizado, firewall ativo, nível de patch dentro do prazo, e ausência de softwares proibidos. Quando houver deriva, corrija automaticamente ou restrinja acesso até regularização.

Passo 6 — Evidências e trilha de auditoria

Guarde evidências de forma simples: relatórios periódicos de conformidade, export de configurações e logs de aplicação de políticas. O objetivo é provar que o baseline está em vigor e que desvios são tratados.

Passo a passo prático: implementar hardening em servidores

Passo 1 — Classificar servidores por função técnica

Crie perfis por função: web, aplicação, banco, diretório, arquivos, bastion/jump host, virtualização. Cada perfil terá portas, serviços e configurações diferentes. Evite “servidor faz tudo”.

Passo 2 — Provisionar com padrão desde o início

O hardening deve acontecer no provisionamento: imagem base do sistema, pacotes mínimos, agentes instalados, firewall configurado, logs habilitados e integração com monitoramento. Para nuvem, use templates e scripts de configuração para reduzir variação.

Passo 3 — Remover e desabilitar o que não é necessário

  • Desinstalar pacotes e ferramentas não usadas.
  • Desabilitar serviços padrão que não suportam a função do servidor.
  • Proibir acesso interativo desnecessário (ex.: bloquear login direto em servidores de banco para usuários comuns).

Passo 4 — Restringir administração e acesso remoto

Defina um caminho de administração: acesso via rede administrativa, jump host, ou VPN corporativa. Restrinja RDP/SSH por origem e por grupo. Registre sessões administrativas quando possível e habilite logs detalhados de autenticação e comandos críticos.

Passo 5 — Hardening de serviços expostos

Para cada serviço exposto, aplique configurações mínimas:

  • Web: TLS forte, cabeçalhos de segurança, desabilitar versões antigas, remover páginas padrão, limitar métodos HTTP.
  • SSH: desabilitar login por senha quando possível, restringir usuários permitidos, tempo de sessão, e chaves com rotação.
  • RDP: exigir NLA, restringir por rede, bloquear redirecionamentos desnecessários.
  • Banco: desabilitar usuários padrão, restringir acesso por rede, auditoria de queries administrativas.

Passo 6 — Patches e reinícios com janela operacional

Servidor precisa de disciplina de atualização com janelas. Defina: frequência, prioridade para vulnerabilidades críticas, e como lidar com dependências. Para serviços críticos, use estratégia de alta disponibilidade para reduzir impacto de reinícios.

Passo 7 — Verificação contínua e detecção de drift

Hardening se perde com o tempo: alguém abre uma porta “temporária”, instala uma ferramenta, muda uma configuração. Defina verificações recorrentes e alertas para mudanças: novas portas abertas, novos serviços, alterações em arquivos de configuração sensíveis, e desativação de agentes.

Checklist operacional (o que checar semanalmente/mensalmente)

Endpoints

  • Percentual de endpoints com patch dentro do prazo.
  • Status do EDR/antimalware (ativo, atualizado, sem falhas).
  • Criptografia de disco ativa.
  • Firewall local ativo.
  • Softwares não autorizados detectados e removidos.
  • Eventos de elevação de privilégio e instalações fora do padrão.

Servidores

  • Servidores com portas expostas fora do perfil.
  • Serviços novos ou não aprovados em execução.
  • Contas administrativas e de serviço: criação/alteração recente.
  • Conformidade de patch e reinícios pendentes.
  • Configurações de SSH/RDP/TLS conforme baseline.
  • Logs sendo enviados e retidos conforme definido.

Exceções de hardening: como permitir sem perder controle

Exceções acontecem por legado, dependências de fornecedor, limitações técnicas ou urgência operacional. O problema não é ter exceção; é ter exceção permanente e invisível.

Modelo prático de exceção

  • O que está fora do padrão: item específico (ex.: “TLS 1.0 habilitado”).
  • Justificativa: dependência do sistema X com evidência.
  • Risco técnico: impacto e cenário de exploração.
  • Compensações: segmentação, regra de firewall por origem, monitoramento reforçado, WAF, isolamento, etc.
  • Prazo: data de expiração e plano de correção.
  • Evidência: registro de aprovação e validação técnica.

Exemplos práticos de hardening que geram resultado rápido

1) Bloquear execução em diretórios de usuário (quando possível)

Muitos malwares executam a partir de Downloads, AppData, Temp. Bloquear execução nesses locais reduz infecções por anexos e downloads. Em ambientes com ferramentas legítimas que rodam nesses diretórios, trate como exceção por assinatura e caminho controlado.

2) Remover admin local do usuário padrão

Reduz instalação de software não autorizado e limita impacto de exploração. Para necessidades pontuais, use elevação temporária com registro e tempo limitado.

3) Restringir RDP/SSH por origem e exigir caminho administrativo

Evita varredura e brute force. Mesmo com credenciais vazadas, o atacante não consegue alcançar o serviço se ele não estiver exposto amplamente.

4) Desabilitar serviços padrão não usados em servidores

Serviços desnecessários aumentam superfície de ataque e ruído operacional. Uma revisão por perfil normalmente reduz portas abertas e vulnerabilidades aplicáveis.

5) Padronizar TLS e remover cifras fracas

Melhora segurança de tráfego e reduz achados recorrentes em varreduras. Defina versões mínimas e cifras aprovadas por perfil de serviço.

Como medir se o hardening está funcionando (métricas operacionais)

  • Conformidade do baseline: % de endpoints/servidores aderentes por perfil.
  • Tempo para corrigir drift: tempo médio entre desvio detectado e correção.
  • Exceções ativas: quantidade, idade média e % vencidas.
  • Redução de superfície: número médio de portas abertas por perfil; número de serviços instalados.
  • Saúde de agentes: % com EDR/logs ativos e reportando.
  • Incidentes evitados/contidos: eventos bloqueados por controle de execução, isolamento automático, tentativas de acesso remoto bloqueadas.

Armadilhas comuns (e como evitar)

Hardening que quebra a operação

Evite aplicar baseline “genérico” sem testar. Use piloto por perfil e valide com times que operam o sistema. Um baseline bom é restritivo, mas previsível e testado.

Checklist sem validação

Se não há como medir automaticamente, o controle vira papel. Sempre inclua “como validar” no padrão e priorize itens com evidência fácil (relatórios, comandos, logs).

Exceções sem prazo

Exceção sem expiração vira padrão informal. Defina prazo e revisão obrigatória, com compensações claras.

Servidores com múltiplas funções

Quando um servidor acumula funções, ele herda portas, bibliotecas e permissões extras. Isso aumenta risco e dificulta hardening. Prefira separar por função ou, no mínimo, separar por camadas e segmentação.

Agora responda o exercício sobre o conteúdo:

Qual afirmativa descreve corretamente a diferença entre padroes de configuracao e hardening em endpoints e servidores?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

Padrao define o estado alvo, de forma tecnica e auditavel. Hardening e a aplicacao e manutencao desse alvo para reduzir superficie de ataque, incluindo validacao e correcao de drift ao longo do tempo.

Próximo capitúlo

Segurança de rede e monitoramento com critérios de detecção e resposta

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store