Microsoft lançou prévia da proteção de servidor destinada a pequenas e médias empresas, agregando a segurança adicional ao Defender for Business
Você administra uma pequena empresa com servidores locais?
Provavelmente, você confia em tecnologia que inclui servidores, sejam eles baseados em Windows ou Linux. Com isso em mente, a Microsoft anunciou recentemente que está visualizando a “proteção do servidor para pequenas empresas” – agrupando a oferta com o Microsoft Defender for Business.
Isso é digno de nota porque, até agora, a maioria das soluções de detecção e resposta de endpoint (EDR) eram caras e normalmente implantadas apenas por empresas maiores. (EDR é uma abordagem integrada e em camadas para proteção de endpoints que combina monitoramento contínuo em tempo real e análise de dados de endpoints com resposta automatizada baseada em regras.)
Conforme a Microsoft aponta em uma postagem de blog anunciando a mudança:
“A experiência de servidores do Microsoft Defender for Business oferece o mesmo nível de proteção para clientes e servidores em uma única experiência de administração dentro do Defender for Business, ajudando você a proteger todos os seus pontos de extremidade em um local”.
Atualmente, os usuários podem ativar uma avaliação para cada servidor por meio do portal de segurança do Microsoft 365 Defender (que também recomenda configurações de segurança para tornar seus servidores mais seguros). Quando a Microsoft lançar oficialmente o produto, ele custará US$ 3 por servidor, por mês. Se você for um cliente do Microsoft 365 for Business, poderá iniciar uma avaliação e ver qual será o impacto da implantação em seus servidores.
Existem várias maneiras de integrar servidores; você pode usar scripts locais, política de grupo ou gerenciador de configuração. Uma das maneiras mais fáceis de experimentar a nova oferta é usar o processo de script. Primeiro, ative as ofertas de visualização acessando https://security.microsoft.com, vá para Settings > Endpoints > General > Advanced features > Preview features. (Aqui está um link direto.)
No painel de navegação, escolha Settings > Endpoints e, em Device Management, escolha Onboarding. Agora selecione um sistema operacional, como Windows Server 1803, 2019 e 2022 e, na seção Deployment method, escolha Local Script. Nota: para esses sistemas mais novos, você só precisa executar este script; nenhuma outra etapa de instalação é necessária. Basta executar a linha de comando como um comando elevado. (Se você não fornecer as permissões corretas ao script de integração, ele o alertará para fazer isso.
Para softwares mais antigos, como Windows Server 2012 R2 e 2016, você terá dois pacotes para baixar e executar: um pacote de instalação e um pacote de integração. O pacote de instalação contém especificamente um arquivo que instala o agente Defender for Business. Depois de executar o arquivo de instalação, você executa o script como se estivesse em uma das plataformas de servidor mais recentes. Servidores mais recentes (e sistemas operacionais de estação de trabalho) incluem o código para o defensor de integração automaticamente.
O arquivo de comando específico para servidores integrados é denominado WindowsDefenderATPLocalOnboardingScript.cmd. Seu servidor deve aparecer no console do Defender, embora não seja instantâneo. Pode demorar um pouco para aparecer.
Agora, é hora de revisar as recomendações e alertas.
Em primeiro lugar, o Defender oferece uma visão da linha do tempo de seus sistemas – pense nisso como um sistema forense em nuvem. Você logo descobrirá que seus servidores (e também suas estações de trabalho) são objetos muito ativos, constantemente enviando comandos e atividades.
Por exemplo, na tela acima, “MpCmdRun.exe” é o utilitário de linha de comando de proteção contra malware da Microsoft e está executando atividades no servidor. Na coluna à direita, ele sinaliza a potencial técnica de segurança que está sendo usada. Observe que, neste caso, a atividade não é maliciosa, o console está apenas acompanhando as ações normais do servidor. Nesse caso, é identificado como uma atividade de “credenciais de armazenamento de senhas” da MITRE.
Em seguida, na seção de recomendações de segurança, você verá ajustes sugeridos que podem ser usados para proteger melhor seus servidores de pequenas empresas.
Muitas dessas recomendações têm a ver com regras de Redução de Superfície de Ataque que muitas vezes esquecemos de habilitar nas instalações do servidor.
Os servidores Linux também podem ser integrados ao console Defender for Servers, embora não esteja claro para mim se as unidades de armazenamento conectadas à rede baseadas em Linux seriam totalmente suportadas. Entre em contato com seus fornecedores de NAS para determinar se eles oferecerão suporte ao uso do Defender for Servers em seus dispositivos Linux. Para integrar um dispositivo Linux ao seu console, você seguirá procedimentos de instalação semelhantes. Você pode usar um script de implantação manual ou ferramentas de gerenciamento de configuração Puppet, Ansible ou Chef.
As distribuições de servidor Linux suportadas incluem:
Esteja ciente de que essa lista não inclui distribuições específicas do Linux que vejo com frequência em pequenas empresas. Por exemplo, vejo rotineiramente dispositivos NAS como Synology em pequenas empresas e não tenho certeza se eles serão suportados pelo Defender for Servers. (Vou dar feedback à Microsoft de que ela precisa adicionar esse estilo de dispositivos NAS à matriz de suporte.)
Também não está claro no momento a estrutura exata de licenciamento necessária para usar o Defender for Servers. Atualmente, o licenciamento do Defender for Endpoint for Server exige um certo número mínimo de usuários (50). Não está claro qual o número de licenças do Microsoft Defender for Business que podem ser detidas para se qualificar para o Defender for Servers ou se é necessário um número mínimo de licenças. Teremos que esperar até que o produto seja lançado oficialmente para saber como funciona o licenciamento.
Conclusão: se você administra uma pequena empresa, recomendo que você dê uma olhada no Defender for Servers. Ele trará proteção adicional à rede da sua pequena empresa.
