Recomendações de segurança do servidor preferencial

Práticas recomendadas de segurança para configuração de servidor preferencial

Este artigo descreve recomendações críticas de segurança na configuração de servidores preferenciais para garantir uma aplicação segura e eficiente de atualizações em seu ambiente. Estas diretrizes abordam o uso dos protocolos HTTPS e SMB, métodos de autenticação adequados, requisitos de FQDN (Nome de Domínio Totalmente Qualificado) e configurações que minimizam os riscos associados a conexões inseguras.

Recomendações de segurança importantes

1. Evite usar endereços IP

   Os servidores preferenciais devem ser configurados para usar nomes de domínio totalmente qualificados (FQDNs) em vez de endereços IP brutos. Isso garante compatibilidade e segurança entre protocolos:

   • Para HTTPS:

     • Os certificados devem corresponder ao FQDN do servidor. Usar um endereço IP para o URL do servidor invalidará o certificado.

     • Um certificado inválido pode comprometer a integridade dos dados, e desabilitar completamente a validação do certificado aumenta significativamente o risco, permitindo ataques do tipo man-in-the-middle.

     • Sempre valide os certificados e, se eles não coincidirem, bloqueie a conexão para manter a segurança.

   • Para SMB (caminhos UNC):

     • A autenticação Kerberos, método preferencial, requer o uso de um FQDN. Sem ele, a autenticação recorrerá ao NTLM, que é menos seguro.

2. Prefira a autenticação Kerberos

   O Kerberos deve ser o método de autenticação padrão sempre que possível, pois é mais seguro que o NTLM:

   • Por que o Kerberos é melhor:

     • As senhas nunca são enviadas ao servidor de destino. Em vez disso, o Kerberos usa tickets assinados, validados por um controlador de domínio, para conceder acesso ao servidor.

     • Os tickets são específicos do servidor e não podem ser reutilizados para acessar outras máquinas, reduzindo o risco de uso indevido de credenciais.

   • Alternativas ao NTLM:

     • O NTLM v1 nunca deve ser usado, pois é altamente vulnerável a ataques como quebra de hash.

     • O NTLM v2 pode ser usado como fallback, mas é menos seguro que o Kerberos. Aumente o comprimento das senhas para fortalecer as proteções do NTLM v2 contra ataques de força bruta.

3. Versão e configuração do protocolo SMB

   As versões e configurações do protocolo SMB desempenham um papel significativo na segurança das transferências de arquivos. Siga estas diretrizes:

   • Desabilitar SMB v1:

     • Ele é desatualizado, inseguro e fica desabilitado por padrão em sistemas modernos. Nunca habilite ou use o SMB v1.

   • Habilitar assinatura SMB (SMB v2):

     • Protege contra ataques de repetição garantindo que cada mensagem seja verificada.

   • Prefira SMB v3 com criptografia:

     • O SMB v3 suporta assinatura e criptografia. A criptografia protege os dados em trânsito, de modo que mesmo usuários na mesma rede não podem visualizar o conteúdo dos arquivos.

4. Credenciais de gravação vs. leitura

   Diferencie entre credenciais de gravação (usadas pelo agente de sincronização) e credenciais de leitura (usadas pelos pontos de extremidade) ao configurar servidores preferenciais:

   • Credenciais de gravação:

     • São mais sensíveis, pois permitem que o agente de sincronização carregue arquivos no servidor preferencial. Sempre aplique configurações seguras (por exemplo, Kerberos ou SMB v3 com criptografia) às operações de gravação.

   • Credenciais de leitura:

     • Usadas pelos pontos de extremidade para recuperar atualizações. Embora configurações seguras sejam preferíveis, restringir apenas a protocolos seguros pode resultar em problemas de compatibilidade com sistemas mais antigos. Equilibre os requisitos de segurança com as necessidades operacionais.

5. Modos de segurança padrão

   Recomendam-se as seguintes configurações de segurança padrão nos ambientes para proteger as configurações do servidor preferencial:

   • Impor conexões seguras nas operações de gravação:

     • O agente de sincronização deve usar somente configurações SMB seguras ao gravar no servidor preferencial. Rejeite configurações inseguras como SMB v1 ou NTLM v1.

     • Se o administrador optar por permitir conexões SMB inseguras, isso aumentará o risco.

   • Permitir conexões inseguras em operações de leitura (opcional):

     • Para pontos de extremidade que usam credenciais de leitura, permita o uso de protocolos menos seguros, se necessário, para dar suporte a sistemas legados ou não corrigidos. No entanto, limite isso a cenários específicos e esteja ciente dos riscos.

6. Segurança de senhas e credenciais

   Garanta práticas de autenticação fortes:

   • Use senhas complexas, preferencialmente com mais de 14 caracteres, para mitigar a quebra de senhas por força bruta no NTLM v2.

   • Evite métodos básicos de autenticação, como transmitir nomes de usuários e senhas em texto simples ou codificação base64.

Resumo

Seguindo as recomendações acima, você pode diminuir a exposição a riscos de segurança e, ao mesmo tempo, manter a compatibilidade em toda a sua organização. Sempre priorize a autenticação Kerberos, use FQDNs, imponha criptografia SMB v3 e valide os certificados cuidadosamente para obter uma configuração segura no servidor preferencial.

Para obter mais assistência, contate o Suporte Ivanti.