Luiz Henrique Lima Campos – Microsoft MVP

15 de julho de 2024
por luizhenriquelima
0 comentários

Atualização de Julho de 2024 para o Windows Server 2022

Em 9 de julho de 2024, a Microsoft lançou a atualização cumulativa KB5040437 para o Windows Server 2022, elevando a versão do sistema operacional para a build 20348.2582. Esta atualização trouxe uma série de melhorias de segurança, correções de bugs e aprimoramentos de desempenho.​

Principais Melhorias e Correções

  • Atualização da Pilha de Manutenção (SSU): A atualização inclui aprimoramentos na confiabilidade do componente responsável pela instalação de atualizações do Windows.​
  • Correções em Serviços de Área de Trabalho Remota (RDSH): Resolve um problema em que usuários não conseguiam se conectar ao RDSH devido ao travamento do processo dwm.exe.​
  • Solução para Condição de Corrida no Servidor MultiPoint: Corrige uma condição de corrida que fazia com que o serviço parasse de responder no Windows MultiPoint Server.​
  • Aprimoramentos no Windows Local Administrator Password Solution (LAPS): Garante que as Post Authentication Actions (PAA) ocorram corretamente ao final do período de carência, em vez de apenas após uma reinicialização.​
  • Atualizações no Protocolo RADIUS: Aborda questões relacionadas a colisões de MD5 no protocolo Remote Authentication Dial-In User Service (RADIUS).​
  • Melhorias no BitLocker: Adiciona o PCR 4 aos PCRs 7 e 11 para o perfil de validação padrão do Secure Boot, fortalecendo a segurança do sistema.​
  • Configuração de Caminhos Remotos para Ícones de Atalho: Altera a forma como administradores de TI devem configurar caminhos remotos para ícones de atalho de arquivos (.LNK), exigindo a configuração da política “Permitir o uso de caminhos remotos em ícones de atalho de arquivo”.​

Problemas Conhecidos Após a Atualização

  • Alteração da Foto do Perfil do Usuário: Após instalar esta atualização, pode não ser possível alterar a imagem do perfil do usuário, resultando no erro 0x80070520.​
  • Problemas com o Microsoft 365 Defender: Dispositivos podem enfrentar interrupções no serviço Network Detection and Response (NDR), afetando o relatório de dados de rede.​
  • Tela de Recuperação do BitLocker: Usuários podem ser solicitados a inserir a chave de recuperação do BitLocker ao iniciar o dispositivo após a atualização.​
  • Conexões de Área de Trabalho Remota: Alguns usuários relataram dificuldades em estabelecer conexões de Área de Trabalho Remota após a aplicação da atualização.​
  • Rede de Contêineres no Kubernetes: A funcionalidade de rede de contêineres no Kubernetes pode não operar conforme esperado, impedindo que contêineres alcancem redes externas ou se comuniquem entre pods.​

Recomendações

É altamente recomendável que os administradores de sistemas:

  • Realizem Backups Completos: Antes de aplicar a atualização, assegure-se de que backups completos do sistema e dos dados críticos foram realizados.​
  • Testem em Ambientes Controlados: Implemente a atualização inicialmente em um ambiente de teste para identificar possíveis impactos antes da implantação em produção.​
  • Monitorem Sistemas Após a Atualização: Após a aplicação da atualização, monitore os sistemas para detectar e resolver prontamente quaisquer problemas que possam surgir.​
  • Estejam Atentos a Novas Atualizações: Fique atento a futuras atualizações ou patches que possam corrigir os problemas conhecidos mencionados.​

Para obter informações detalhadas e atualizações adicionais, consulte a documentação oficial da Microsoft relacionada à atualização KB5040437.

30 de junho de 2024
por luizhenriquelima
0 comentários

Análise Forense: Identificando Comandos Executados por Outros Usuários via PowerShell no Windows Server 2022

A análise forense de atividades no Windows Server 2022 é crucial para detectar e responder a possíveis incidentes de segurança. Monitorar e revisar os comandos executados via PowerShell por diferentes usuários é uma prática essencial nesse processo. Este artigo orienta como localizar e analisar evidências de comandos executados por outros usuários utilizando o PowerShell.​

1. Entendendo o Histórico de Comandos do PowerShell

O PowerShell registra o histórico de comandos em arquivos específicos para cada usuário. Por padrão, esse histórico é armazenado no seguinte caminho:​ C:\Users\<NomeDoUsuário>\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt

Cada usuário possui seu próprio arquivo ConsoleHost_history.txt, que contém os comandos executados em sessões anteriores do PowerShell.​

2. Localizando o Histórico de Comandos de Outros Usuários

Para acessar o histórico de comandos de um usuário específico, siga os passos abaixo:

  1. Acesse o Diretório do Usuário:
    • Navegue até o diretório do perfil do usuário cujo histórico deseja analisar: C:\Users\<NomeDoUsuário>\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\
  2. Visualize o Arquivo de Histórico:
    • Abra o arquivo ConsoleHost_history.txt com um editor de texto para revisar os comandos executados por esse usuário.​

3. Utilizando o PowerShell para Acessar Históricos de Comandos

Para automatizar a coleta de históricos de comandos de múltiplos usuários, você pode utilizar o seguinte script no PowerShell:​$users = Get-ChildItem -Path 'C:\Users' | Select-Object -ExpandProperty Name foreach ($user in $users) { $historyPath = "C:\Users\$user\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt" if (Test-Path $historyPath) { Write-Output "Histórico de comandos para o usuário: $user" Get-Content $historyPath Write-Output "`n" } }

Este script percorre todos os perfis de usuários no diretório C:\Users, verifica a existência do arquivo de histórico do PowerShell para cada usuário e exibe seu conteúdo.​European Alternative for Cyber Security

4. Considerações Importantes

  • Permissões Adequadas: Para acessar os diretórios de outros usuários, é necessário ter privilégios administrativos no servidor.​
  • Limitações do Histórico: O arquivo ConsoleHost_history.txt registra apenas os comandos digitados interativamente no console do PowerShell. Comandos executados por scripts ou tarefas agendadas podem não aparecer nesse arquivo.​
  • Configuração de Logging Avançado: Para uma auditoria mais abrangente, considere habilitar o logging detalhado do PowerShell. Isso pode ser configurado via Diretivas de Grupo (GPO) ou utilizando soluções de monitoramento de logs, permitindo capturar todas as atividades do PowerShell no sistema.​

5. Análise e Monitoramento Contínuo

Além de revisar os históricos de comandos, é recomendável implementar monitoramento contínuo das atividades do PowerShell. Ferramentas de análise de logs podem ajudar a identificar comportamentos suspeitos ou não autorizados, contribuindo para a segurança proativa do ambiente.​

Conclusão

A análise do histórico de comandos do PowerShell é uma componente vital na investigação forense de atividades em servidores Windows Server 2022. Ao acessar e revisar os arquivos de histórico de usuários, administradores podem identificar ações potencialmente maliciosas ou não autorizadas, fortalecendo a postura de segurança da organização.

25 de junho de 2024
por luizhenriquelima
0 comentários

Melhorando a Segurança da Sincronização entre Active Directory e Microsoft Entra ID

Configuração do novo agente de sincronização na nuvem do Microsoft Entra - Microsoft Entra ID | Microsoft Learn

A sincronização entre o Active Directory (AD) on-premises e o Microsoft Entra ID é uma estratégia fundamental para empresas que utilizam ambientes híbridos. No entanto, esse processo pode representar riscos de segurança caso não seja configurado corretamente. A seguir, apresentamos práticas essenciais para garantir uma sincronização segura.

1. Restrinja a Sincronização de Contas Críticas

Contas administrativas locais possuem amplos privilégios e, se sincronizadas para a nuvem, podem se tornar alvos de ataques.

  • O que fazer? Evite sincronizar contas administrativas do AD local para o Microsoft Entra ID. Mantenha essas contas isoladas no ambiente on-premises e use contas específicas para administração na nuvem.

2. Ative a Sincronização de Hash de Senha com Proteção Reforçada

A sincronização de hash de senha permite que os usuários utilizem as mesmas credenciais no ambiente híbrido. Para evitar ataques de força bruta e vazamento de credenciais, é essencial aplicar proteção extra.

  • O que fazer? Ative a sincronização de hash de senha com criptografia reforçada. Caso utilize federação, configure esse recurso como um plano de contingência.

3. Exija Autenticação Multifator (MFA) para Todas as Contas

A autenticação multifator (MFA) reduz significativamente o risco de comprometimento de contas, pois exige uma verificação adicional além da senha.

  • O que fazer? Habilite a MFA para todos os usuários, especialmente para contas privilegiadas. Utilize métodos modernos, como autenticação por aplicativo móvel.

4. Utilize Protocolos Modernos de Autenticação

Métodos antigos de autenticação, como NTLM e Kerberos sem proteção, são vulneráveis a ataques como “Pass-the-Hash” e “Pass-the-Ticket”.

  • O que fazer? Adote protocolos modernos baseados em declarações, como OAuth 2.0, OpenID Connect e SAML, garantindo maior segurança na autenticação.

5. Configure Políticas de Acesso Condicional

Acesso irrestrito pode aumentar os riscos de ataques. Controlar quem pode acessar o ambiente híbrido ajuda a evitar acessos indevidos.

  • O que fazer? Configure políticas de acesso condicional para restringir logins suspeitos, bloquear acessos de locais desconhecidos e exigir dispositivos compatíveis e seguros.

6. Monitore e Audite as Atividades de Sincronização

Monitoramento ativo e alertas automáticos ajudam na identificação de anomalias e possíveis tentativas de ataque.

  • O que fazer? Habilite logs detalhados para acompanhar tentativas de login, mudanças em usuários e sincronizações inesperadas. Use ferramentas de monitoramento para análise contínua.

7. Proteja o Ambiente Local do Active Directory

O AD local continua sendo um dos principais alvos de ataques cibernéticos. Se comprometido, pode levar a ataques contra o ambiente de nuvem.

  • O que fazer? Mantenha os controladores de domínio atualizados, implemente hardening no AD, restrinja permissões desnecessárias e ative proteção contra ataques de elevação de privilégios.

8. Restrinja o Uso de Aplicações e APIs Não Seguras

O uso de aplicações sem conformidade com as diretrizes de segurança pode comprometer a sincronização de identidades.

  • O que fazer? Restrinja o acesso a APIs públicas, desative protocolos de autenticação legados e permita apenas aplicativos confiáveis conectados ao Microsoft Entra ID.

9. Utilize Contas de Serviço Gerenciadas para Sincronização

O uso de contas de serviço tradicionais pode representar um risco de segurança devido à falta de rotação de credenciais.

  • O que fazer? Configure Managed Service Accounts (MSA) ou Group Managed Service Accounts (gMSA) para as sincronizações, garantindo rotação automática de credenciais.

10. Revise e Ajuste as Configurações Periodicamente

Mesmo após a configuração inicial, novas ameaças podem surgir, tornando necessária a revisão constante das políticas de segurança.

  • O que fazer? Realize auditorias regulares, ajuste configurações conforme necessário e implemente novas práticas de segurança recomendadas.

Conclusão

A sincronização entre Active Directory e Microsoft Entra ID é um processo essencial para empresas híbridas, mas exige atenção redobrada à segurança. Seguindo essas práticas, é possível garantir maior proteção para credenciais, acessos e integridade do ambiente híbrido.

Implementar essas medidas reduz drasticamente os riscos e fortalece a segurança da identidade digital dentro da organização.

28 de maio de 2024
por luizhenriquelima
0 comentários

Monitorando Autenticações NTLMv1 no Windows Server e Registrando em Arquivo de Log com PowerShell

O NTLMv1 é um protocolo de autenticação antigo e menos seguro, sendo recomendado desativá-lo em ambientes modernos. Antes de desativá-lo, é essencial identificar quais sistemas ou aplicações ainda o utilizam. Este artigo orienta como monitorar autenticações NTLMv1 em um Windows Server, registrando os eventos em um arquivo de log utilizando PowerShell.

NTLMv1 überwachen und deaktivieren | WindowsPro

1. Habilitando a Auditoria de Logon

Para capturar eventos de autenticação NTLMv1, é necessário ativar a auditoria de logon nos controladores de domínio:

  1. Abra o Editor de Políticas de Grupo:
    • Execute gpedit.msc.
  2. Navegue até:
    • Configuração do Computador > Configurações do Windows > Configurações de Segurança > Políticas Locais > Política de Auditoria.
  3. Ative a Auditoria de Logon:
    • Clique duas vezes em Logon/Logoff > Auditar Logon e marque Êxito e Falha.

2. Identificando Autenticações NTLMv1 via Eventos

Após habilitar a auditoria, o Windows registrará eventos de logon no Visualizador de Eventos. Autenticações NTLMv1 são indicadas pelo Evento ID 4624 com detalhes específicos:

  • Caminho: Logs do Windows > Segurança
  • Evento ID: 4624 (Logon bem-sucedido)
  • Detalhes Relevantes:
    • Processo de Logon: NtLmSsp
    • Pacote de Autenticação: NTLM
    • Nome do Pacote (apenas NTLM): NTLM V1

Esses detalhes indicam que a autenticação utilizou NTLMv1.

3. Script PowerShell para Registrar Autenticações NTLMv1

Para automatizar a coleta desses eventos e registrá-los em um arquivo de log, utilize o seguinte script PowerShell:

powershellCopiarEditar# Defina o caminho para o arquivo de log
$logPath = "C:\Logs\NTLMv1_AuthLogs.txt"

# Verifique se o diretório existe; caso contrário, crie-o
if (-not (Test-Path -Path (Split-Path $logPath))) {
    New-Item -Path (Split-Path $logPath) -ItemType Directory
}

# Obtenha os eventos 4624 do log de segurança relacionados ao NTLMv1
$events = Get-WinEvent -LogName Security | Where-Object {
    $_.Id -eq 4624 -and
    $_.Properties[10].Value -eq "NTLM V1"
}

# Formate e registre os eventos no arquivo de log
foreach ($event in $events) {
    $logEntry = "Data/Hora: $($event.TimeCreated) | Usuário: $($event.Properties[5].Value) | Domínio: $($event.Properties[6].Value) | Estação de Trabalho: $($event.Properties[11].Value)"
    Add-Content -Path $logPath -Value $logEntry
}

Explicação do Script:

  • $logPath: Define o caminho onde o log será salvo.
  • Test-Path e New-Item: Verificam e criam o diretório para o log, se necessário.
  • Get-WinEvent: Obtém eventos do log de segurança.
  • Where-Object: Filtra eventos com ID 4624 e Properties[10].Value igual a “NTLM V1”.
  • Add-Content: Adiciona as entradas filtradas ao arquivo de log.

Observações:

  • Execute o script com privilégios administrativos.
  • Agende o script para execução periódica utilizando o Agendador de Tarefas do Windows, garantindo monitoramento contínuo.

4. Considerações Finais

Monitorar e identificar o uso de NTLMv1 é crucial para fortalecer a segurança do ambiente. Após identificar sistemas que ainda utilizam NTLMv1, planeje a migração para protocolos mais seguros, como o NTLMv2 ou o Kerberos. Além disso, considere desativar o NTLMv1 para evitar vulnerabilidades associadas a este protocolo legado.

Para mais informações sobre auditoria de NTLMv1, consulte a documentação oficial da Microsoft.