Solucionando Problemas de Configuração e Políticas de Grupo no Firewall do Windows Defender

As empresas operam com diversas peças que compõem suas redes, incluindo por exemplo o Firewall do Windows Defender, Políticas de Grupo (GPOs) e uma infraestrutura de Active Directory (AD).

Vulnerabilidades em qualquer ponto da rede podem desencadear um efeito dominó; uma vez que o primeiro elo da cadeia se rompa, toda a estrutura poderá entrar em colapso, acarretando potenciais danos irreversíveis à sua rede.

 

 

Como as vulnerabilidades são encontradas em uma infraestrutura? 

Esses são fatos comuns em relação à uma infraestrutura. Ao configurar uma VPN por exemplo, algumas opções, como o algoritmo de criptografia para proteger os dados, são definidas automaticamente.

Se a VPN que está sendo utilizada usa um conjunto de cifras padrão para a criptografia, talvez seja aconselhável atualizá-lo para o AES ou outro conjunto de cifras seguro de sua preferência, a fim de não depender das configurações padrão.

Sendo assim, aprimorar a segurança envolve a correção de configurações padrão e quaisquer configurações incorretas, pois essas podem representar vulnerabilidades de segurança.”

Reforçando a Segurança da Rede implantando Políticas de Grupo (GPOs) para Corrigir Vulnerabilidades

Um Objeto de Política de Grupo (GPO) desempenha um papel fundamental na aplicação de permissões e no controle de acesso a objetos dentro do Active Directory (AD).

As GPOs permitem definir as capacidades de acesso de um objeto AD e os níveis de privilégio que ele pode ter em uma rede.

Por exemplo, se você deseja impedir que os usuários desinstalem um aplicativo de detecção de ameaças que está instalado em seus computadores, é possível alcançar isso utilizando um GPO que restrinja a capacidade de desinstalação do aplicativo por parte dos usuários.

Correções de Configurações e Utilização de GPOs no Firewall do Windows Defender

O Firewall do Windows Defender é instalado com configurações padrão que podem não ser tão seguras quanto se espera que seja.

Além disso, muitas vezes as configurações podem ser negligenciadas ou mal configuradas durante o processo de instalação.

Tais configurações inadequadas podem abrir brechas de segurança no Firewall do Windows Defender, potencialmente comprometendo a segurança do Active Directory (AD).

Porém, é possível corrigir e gerenciar essas configurações inadequadas por meio do uso de Políticas de Grupo (GPOs). Neste blogpost vamos explorar algumas configurações comuns que podem estar configuradas incorretamente e como efetuar a correção.

Configuração Incorreta do Firewall do Windows Defender: Permitindo Exceções ICMP e Acesso Remoto em Sistemas Críticos

Correção por meio de GPO: Para abordar esses problemas de segurança, é crucial configurar um GPO que restrinja as respostas a solicitações de ping em sistemas críticos.

O Firewall do Windows Defender mantém a porta TCP 445 habilitada por padrão para compartilhamento de arquivos e impressoras, o que pode ainda permitir respostas a ping.

Portanto, após a configuração do GPO, é importante habilitar explicitamente as exceções ‘Permitir Compartilhamento de Arquivos e Impressoras’ e ‘Permitir Configurações de Exceção de Administração Remota’ no Firewall do Windows para interromper completamente as respostas a solicitações de ping recebidas.

Configuração Incorreta do Firewall do Windows Defender: Permitindo Acesso Remoto através de Protocolos MMC e WMI em Sistemas Críticos

Correção através de GPO: Para mitigar os riscos associados ao acesso remoto a sistemas críticos usando protocolos MMC e WMI, é fundamental restringir esse acesso. Isso pode ser alcançado por meio da criação de um GPO personalizado específico do Firewall do Windows Defender.

Acesse as configurações de segurança avançada do Firewall do Windows Defender em Configuração do Computador > Configurações do Windows > Configurações de Segurança > Firewall do Windows com Segurança Avançada e crie uma regra personalizada para bloquear o acesso remoto a partir de endereços IP específicos.

Se você deseja permitir o acesso remoto apenas a partir de software de gerenciamento confiável, é possível configurar um GPO específico do Firewall do Windows Defender que abra as portas utilizadas para administração remota, garantindo que apenas o software autorizado tenha permissão para acessá-las.

Configuração Incorreta do Firewall do Windows Defender: Políticas Locais Mais Tolerantes do que as de Domínio

Correção por meio de GPO: É importante garantir que as políticas de firewall de domínio sejam aplicadas de forma consistente em todos os sistemas, mesmo que as políticas locais sejam mais tolerantes por padrão.

Você pode utilizar GPOs para implementar as políticas de firewall de domínio também em nível local. Basta navegar até Configuração do Computador > Modelos Administrativos > Rede > Conexões de Rede > Firewall do Windows > (Perfil de Domínio ou Perfil Padrão) / Firewall do Windows: Proteger Todas as Conexões de Rede.

Após a ativação dessa configuração, crie um GPO com as configurações desejadas de firewall de domínio e aplique-o ao grupo de usuários aos quais você deseja impor essas políticas de segurança de rede de domínio.”

Essas alterações tem como objetivo as ações corretivas e as etapas envolvidas na configuração de GPOs para fortalecer a segurança do Firewall do Windows Defender em sistemas críticos.

Obviamente diante de tantas necessidade que um ambiente tecnológico possui hoje, inúmeras vezes se torna extremamente difícil acompanhar mudança, observar padrões vulneráveis, e tal dificuldade muitas vezes é a maior vulnerabilidade do ambiente ou seja um administrador que não está munido de ferramentas que podem ampliar sua visão acerca do seu ambiente.

Como sugestão, uma ferramenta SIEM como o Log360 da ManageEngine pode oferecer toda uma estrutura de monitoramento.

O Log360 é uma solução única para todos os seus desafios de gerenciamento de log e segurança de rede. Essa solução totalmente integrada combina os recursos do ADAudit Plus, do EventLog Analyzer, do O365 Manager Plus, do Exchange Reporter Plus e do Cloud Security Plus.

Com uma combinação versátil, você terá controle total sobre sua rede; poderá auditar as alterações do Active Directory, os logs de dispositivos de rede, os Microsoft Exchange Servers, o Microsoft Exchange Online, o Azure Active Directory e sua infraestrutura de nuvem pública, tudo a partir de um único console.

O que você pode fazer com o Log360?

• Monitore e audite alterações críticas do Active Directory em tempo real.
• Atenda aos requisitos rigorosos de exigências regulatórias, como PCI DSS, FISMA, HIPAA, SOX, GLBA, GPG 13 e GDPR, por meio de relatórios prontamente disponíveis.
• Receba informações completas na forma de relatórios de auditoria sobre eventos críticos no Active Directory do Azure e no Exchange Online.
• Utilize relatórios prontos em logs coletados de máquinas Windows e Linux / Unix; Servidores web IIS e Apache; Bancos de dados SQL e Oracle; e dispositivos de segurança de perímetro, como roteadores, switches, firewalls, sistemas de detecção de invasão e sistemas de prevenção contra intrusões.
• Obtenha visibilidade das infraestruturas de nuvem da AWS e do Azure.
• Gere alertas em tempo real quando endereços IP e URLs reconhecidos na lista negra de feeds baseados em STIX / TAXII são encontrados em sua rede.
• Melhore a segurança e garanta a integridade dos dados importantes em sua organização.
• Monitore, relate e audite eficientemente seus Microsoft Exchange Servers.

Gostou? Faça uma avaliação gratuita de 30 dias do Log360 da ManageEngine, um Sistema de Gerenciamento de Informações e Eventos de Segurança (SIEM) unificado que oferece monitoramento completo da rede e capacidades avançadas de detecção e correção de ameaças.