0
0
As especificações de hardware revisadas da Microsoft para a próxima versão do Windows 11 em 5 de outubro não mudam o fato de que estou preso no Windows 10 para a maioria das máquinas da minha rede. A Microsoft expandiu seu aplicativo de teste para incluir mais alguns processadores que suportam o Windows 11 (série Intel Core X, série Xeon W e alguns Intel Core 7820HQ), mas o resultado final é o mesmo: teremos uma rede mista de máquinas Windows 10 e Windows 11 daqui para frente.
Estou acostumado a rastrear não mais do que dois conjuntos de patches: o Windows 10 para a maior parte da rede e algumas atualizações isoladas do Windows 7 Extended Security para máquinas mais antigas mantidas para fins específicos. Terei que me acostumar a corrigir e manter mais sistemas operacionais.
Pode exigir anos de atualizações de infraestrutura antes que possamos aproveitar os muitos recursos de segurança do Windows 11, mas a ideia de que estamos perdendo é um pouco presunçosa. Proteções do Windows 11, como segurança baseada em virtualização, integridade de código protegida por hipervisor e inicialização segura ativada por padrão, podem precisar de novo hardware e licenciamento específico para serem totalmente implementadas. Eles também podem precisar de infraestrutura Active Directory ou Azure Active Directory para a qual sua rede não está pronta.
Atualizar seu caminho para os recursos de segurança mais recentes nunca foi uma boa ideia. É melhor ter um plano de ataque e um plano de atualização. As atualizações podem ser feitas ao longo do tempo com um processo baseado em risco, não apenas envelhecendo o hardware como fizemos no passado. Considere tomar estas medidas agora para proteger sua rede contra ataques.
Revise as dependências padrão do navegador e da aplicação web
Se você ainda confia no Java Script ou não consegue realizar atualizações que removem o Adobe Flash de seus navegadores por causa de aplicativos de apresentação de vídeo que dependem dele, avalie por que você confia em tecnologias de navegador mais antigas que colocam suas estações de trabalho em risco. Revise os aplicativos internos e sua dependência de tecnologias de navegador mais antigas e concentre seus recursos na remoção de dependências de tecnologias de navegador mais antigas.
Se seus aplicativos internos ainda dependem do Internet Explorer, é hora de revisá-los e possivelmente redesenha-los. Em vez de gastar dinheiro em atualizações de hardware do Windows 11, considere as atualizações internas de aplicativos da web primeiro.
Revise como você implanta o Windows 10
Revise as recomendações de linha de base de segurança da Microsoft ou as opções de Pontuação Segura do Microsoft 365. Teste se você pode implantar estações de trabalho que bloqueiam a Resolução de Nome Multicast Local de Link (LLMNR), NetBIOS, Descoberta Automática de Proxy Web (WPAD) e Hash LM por padrão. Aplicativos legados podem precisar desses padrões de resolução de nomes desatualizados. Teste para ver se você pode desativar esses métodos mais antigos e menos seguros. Se você não puder desativá-los agora, faça disso uma meta em breve. Os atacantes podem usar essas pesquisas legadas para coletar credenciais de autenticação, forçando as máquinas a enviar hashes de senha NTLMv2. Além disso, se você não tiver a assinatura SMB ativada, os atacantes podem retransmitir conexões SMB.
Desative o LLMNR usando Diretiva de Grupo ou Intune em implantações mais modernas. Abra o gpedit.msc e depois vá para “Configuração do Computador”, depois para “Modelos Administrativos” depois para “Rede” e depois para “Cliente DNS”. Defina “Desativar Resolução de Nome Multicast” como “Ativado”.
O NetBIOS não pode ser desativado diretamente através da Diretiva de Grupo, mas você pode usar um script PowerShell para desativá-lo.
O protocolo WPAD é um método usado pelos clientes para localizar a URL de um arquivo de configuração usando o método de descoberta DHCP ou DNS. Para desativar o WPAD, desative a opção de configurações automáticas de proxy no Internet Explorer. Na Diretiva de Grupo, expanda “Configuração do Usuário”, depois vá para “Modelos Administrativos”, depois para “Componentes do Windows”, depois para “Internet Explorer” e depois para “Desativar as configurações alteradas de Configuração Automática”. Alternativamente, você pode configurar o WPAD, pois isso tornará impossível envenenamento da entrada.
Revise o nível da floresta do Active Directory
Certifique-se de que ele tenha sido aumentado para o Servidor 2008 ou superior. Se você estiver em um nível de floresta mais baixo, ainda poderá ter valores LM Hash armazenados em sua rede. Mais uma vez na Diretiva de Grupo, expanda “Configuração do Computador”, depois vá para “Configurações do Windows”, depois para “Configurações de Segurança”, depois para “Políticas Locais” e depois para “Opções de Segurança” e depois para “Segurança de Rede: Não armazene o valor de hash do LAN Manager na próxima alteração de senha”.
Revise o comprimento da sua política de senha e aumente a política de senha para pelo menos 12 e, de preferência, 16 caracteres ou mais. Exorte os usuários a usar um programa gerenciador de senhas em seu processo de gerenciamento de senhas pessoais, bem como oferecer uma ferramenta em toda a empresa para seus processos internos. Muitas vezes reutilizamos as mesmas senhas em muitos sites e os atacantes podem quebrar uma senha em um banco de dados e depois reutilizar o valor hash em outro banco de dados.
Revise o uso da macro
Ajuste as configurações de macro em suas implantações do Office de acordo. Macros introduzem grande risco em uma rede e apenas os usuários que precisam devem ter a capacidade ativada. CISecurity.org recomenda o uso de Diretiva de Grupo para desativar macros do Office quando a função não for necessária.
Revise a autenticação de dois fatores para processos internos e aplicativos externos
Especialmente se você ainda estiver usando estações de trabalho e servidores locais, as soluções de dois fatores podem adicionar proteção e manter sua rede mais segura.
Resumindo, confiar e esperar que o Windows 11 proteja melhor sua rede resultará em risco de sua rede. Revise o que você pode fazer agora para proteger melhor sua rede.
FONTE: CSO ONLINE