Chegou a hora de falarmos de reforço de segurança de servidores, em especial com o Windows Server 2025 e estações de trabalho Windows 11.
No contexto de negócios, hardening refere-se ao processo de fortalecimento da segurança de sistemas, redes, ou dispositivos para reduzir vulnerabilidades e proteger informações sensíveis contra ameaças cibernéticas. É uma prática crítica para proteger ativos da organização e manter a conformidade com regulamentos e políticas de segurança.
É a implementação de medidas técnicas e administrativas para minimizar riscos operacionais e proteger os dados críticos da organização. Isso é alcançado através da remoção ou desativação de componentes desnecessários, atualização de software e aplicação de boas práticas de segurança.
O Microsoft Windows fornece a capacidade de exigir confirmação dos usuários, por meio da funcionalidade User Access Control (UAC), antes que quaisquer ações confidenciais sejam executadas.
As configurações padrão permitem que usuários privilegiados executem ações confidenciais sem primeiro fornecer credenciais e, embora usuários padrão devam fornecer credenciais privilegiadas, eles não são obrigados a fazê-lo por meio de um caminho confiável no Secure Desktop.
Isso fornece uma oportunidade para agentes mal-intencionados que obtêm acesso a uma sessão aberta de um usuário privilegiado executarem ações confidenciais à vontade, ou para que códigos maliciosos capturem quaisquer credenciais inseridas por um usuário padrão ao tentar elevar seus privilégios. Para mitigar esse risco, a funcionalidade UAC deve ser implementada para garantir que todas as ações confidenciais sejam autorizadas fornecendo credenciais no Secure Desktop.
As seguintes configurações de Política de Grupo podem ser implementadas para configurar a funcionalidade UAC de forma eficaz.
O UAC (User Account Control), ou Controle de Conta de Usuário, é uma funcionalidade de segurança presente no sistema operacional Windows, introduzida no Windows Vista e disponível em versões subsequentes. Seu principal objetivo é proteger o sistema contra alterações não autorizadas que possam ser feitas por aplicativos, usuários ou malwares, ajudando a minimizar os riscos de segurança.
O UAC opera monitorando e gerenciando as permissões de usuários e aplicativos. Quando uma tarefa requer privilégios administrativos (como instalar software, alterar configurações do sistema ou acessar arquivos protegidos), o UAC solicita a confirmação do usuário antes de executar a ação.
Benefícios do UAC
- Prevenção contra alterações não autorizadas: Reduz a probabilidade de malware ou usuários não autorizados realizarem mudanças no sistema.
- Proteção contra elevação de privilégios: Impede que aplicativos executem comandos administrativos sem a autorização explícita do usuário.
- Separação de tarefas: Mesmo usuários administrativos executam tarefas diárias com permissões reduzidas, o que melhora a segurança geral.
Exemplo Prático
- Cenário com UAC habilitado: Um usuário tenta instalar um software. Antes de iniciar a instalação, o Windows exibe uma mensagem do UAC solicitando confirmação ou autenticação.
- Cenário com UAC desabilitado: O software pode ser instalado automaticamente, sem verificar se o usuário tem permissão ou se o software é seguro.