Ainda que em uso por mais de uma década, esses sistemas operacionais ainda representam uma parte expressiva dos recursos de TI de organizações em todo o mundo. À frente das operações da Guardicore no Brasil, Fernando Ceolin lembra que mais de 50% dos clientes da Guardicore os utilizam em seus ambientes de produção, muitos em funções críticas, como controladores de domínio. E estimativas de mercado indicam que o Windows Server 2008 e o 2008 R2 constituem quase um terço dos servidores em atividade em todo o mundo.
Daniel Goldberg, pesquisador do Guardicore Security, observa que a Microsoft oferece às organizações duas opções para lidar com o fim da vida útil desses sistemas operacionais. Para ele, a primeira e melhor opção é atualizar esses sistemas para o Windows 10 e Windows Server 2016. Como alternativa, as organizações podem contratar à Microsoft soluções de segurança personalizadas, desde que o custo seja compensador para os negócios da empresa.
Quando nenhuma dessas duas opções for possível, acrescenta Daniel, há algumas práticas que funcionam como fatores de proteção para as organizações, enquanto elas planejam sua atualização:
- Em primeiro lugar, aplicar as recomendações de segurança para a utilização do Windows Server 2008 e Windows7 publicadas pela Microsoft.
- Sempre que possível, desativar a versão 1 do SMB (Server Message Block), substituindo-o pelo SMBv2. Isso evitará muitos ataques de movimento lateral, incluindo todos os ataques que se valem da família de vulnerabilidades EternalBlue, além de muitas das técnicas que abusam da retransmissão sobre o protocolo de autenticação de rede NTLM – uma abreviatura de NT LAN Manager.
- Alterar as configurações de autenticação de rede para bloquear o uso de métodos de autenticação pouco eficazes, como NTLMv1 e LanMan. Isso evitará ataques de roubo de senhas por ferramentas como o Mimikatz.
- Para ajudar a investigar futuros incidentes de segurança e reduzir o risco de registros alterados, a recomendação é encaminhar todos os logs de eventos para um servidor central, com segurança reforçada. A Microsoft fornece orientações para isso e o mercado oferece ferramentas para execução dessa tarefa.
- Utilizar técnicas de segmentação para limitar as opções de movimentos laterais de ataques. Ao dividir rede em segmentos lógicos, as organizações reduzem a superfície de ataque à sua rede. Na maioria das redes empresariais, por exemplo, não é necessário que os desktops se comuniquem. A microssegmentação pode bloquear essa comunicação, evitando movimentos laterais de ataques.
