2 de novembro de 2024
por luizhenriquelima
0 comentários

Segurança do SMB no Windows Server 2025

O Windows Server 2025 traz uma série de aprimoramentos no protocolo Server Message Block (SMB), visando fortalecer a segurança, mitigar ataques e melhorar a proteção de arquivos compartilhados na rede. Com essas novas funcionalidades, as empresas podem reduzir vulnerabilidades e aumentar a integridade dos dados.

Abaixo, detalho as principais melhorias.

1. SMB sobre QUIC – Acesso Seguro sem VPN

O SMB sobre QUIC agora está disponível para todas as edições do Windows Server 2025. Ele permite que usuários acessem compartilhamentos de arquivos com segurança pela internet, sem necessidade de VPN.

Utiliza TLS 1.3 para garantir criptografia ponta a ponta.
Elimina risco de exposição de credenciais NTLM em redes não confiáveis.
Ideal para usuários remotos, mantendo segurança e desempenho elevado.

2. Assinatura SMB Obrigatória

Agora, todas as conexões SMB exigem assinatura digital por padrão. Antes, esse requisito era aplicado apenas para controladores de domínio, mas agora se estende a todas as conexões SMB no Windows Server 2025.

Evita ataques de adulteração de pacotes interceptados na rede.
Garante a autenticidade dos dados durante a transmissão.
Elimina acessos anônimos e de usuários convidados, tornando o SMB mais seguro.

3. Limitador de Tentativas de Autenticação SMB

Para prevenir ataques de força bruta, foi implementado um limitador de tentativas de autenticação no SMB.

Após uma tentativa falha, há um atraso de 2 segundos antes da próxima tentativa.
Essa medida torna ataques de força bruta significativamente mais lentos, aumentando o tempo necessário para comprometer credenciais.
Protege servidores contra ataques automatizados que tentam descobrir senhas.

4. Bloqueio de NTLM no SMB

A autenticação NTLM é uma das mais visadas por ataques cibernéticos. No Windows Server 2025, agora é possível bloquear totalmente o uso do NTLM para conexões SMB, exigindo protocolos mais seguros como Kerberos.

Impedir conexões NTLM reduz o risco de ataques de relay e pass-the-hash.
Força a utilização de Kerberos, que é mais seguro e resistente a ataques.
Administradores podem criar exceções, permitindo NTLM apenas em sistemas legados.

5. Auditoria de Assinatura e Criptografia SMB

Agora, o Windows Server 2025 permite auditar conexões SMB inseguras, ajudando administradores a identificar clientes sem suporte a criptografia ou assinatura SMB.

Auditar conexões sem criptografia, garantindo que todos os dados transmitidos estejam protegidos.
Registrar tentativas de login inseguras, impedindo ataques que exploram credenciais fracas.
Facilidade para identificar vulnerabilidades SMB na rede da empresa.

Conclusão

O Windows Server 2025 eleva a segurança do SMB a um novo patamar, garantindo mais proteção contra ataques cibernéticos.

A autenticação NTLM pode ser bloqueada para eliminar vulnerabilidades antigas.
O SMB sobre QUIC permite conexões seguras sem VPN.
A assinatura SMB obrigatória protege contra adulteração de dados.
O limitador de tentativas de login dificulta ataques de força bruta.

Com essas melhorias, empresas podem manter seus servidores e compartilhamentos SMB mais seguros do que nunca, garantindo a proteção dos dados e um ambiente de rede mais confiável.

1 de novembro de 2024
por luizhenriquelima
0 comentários

Windows Server 2025: Novidades no Serviço DNS

O Windows Server 2025 apresenta aprimoramentos significativos no serviço de DNS (Domain Name System), reforçando a segurança, desempenho e eficiência na resolução de nomes em redes corporativas. Este artigo destaca as principais novidades e melhorias introduzidas nesta versão.

1. Suporte Aprimorado para DNS sobre HTTPS (DoH)

Uma das principais inovações é a implementação nativa do DNS sobre HTTPS (DoH), que criptografa as consultas DNS utilizando o protocolo HTTPS. Isso garante maior privacidade e integridade dos dados, impedindo interceptações e manipulações maliciosas.

Segurança Reforçada: As consultas DNS são encapsuladas em sessões HTTPS, protegendo-as contra ataques de intermediários.
Privacidade do Usuário: Impedimento de monitoramento das consultas DNS por terceiros não autorizados.
Compatibilidade: Integração transparente com navegadores e aplicações que já suportam DoH.

Configuração do DNS sobre HTTPS no Windows Server 2025

2. Resolução de Nomes Híbrida com Azure DNS

O Windows Server 2025 facilita a integração entre ambientes on-premises e a nuvem através da Resolução de Nomes Híbrida com o Azure DNS. Essa funcionalidade permite uma resolução de nomes consistente em infraestruturas híbridas.

Integração Simplificada: Configuração unificada entre servidores DNS locais e o Azure DNS.
Alta Disponibilidade: Resolução de nomes resiliente, garantindo acesso contínuo aos recursos, independentemente de estarem on-premises ou na nuvem.
Gerenciamento Centralizado: Administração eficiente das zonas DNS através do portal do Azure.

3. Suporte a DNSSEC com Algoritmos Criptográficos Modernos

O DNSSEC (DNS Security Extensions) no Windows Server 2025 foi atualizado para suportar algoritmos criptográficos modernos, assegurando a autenticidade e integridade das respostas DNS.

Segurança Avançada: Implementação de algoritmos como ECDSA e EdDSA para assinaturas digitais.
Desempenho Otimizado: Processamento mais rápido de assinaturas e validações DNSSEC.
Compatibilidade Ampliada: Suporte a novos tipos de registros e funcionalidades avançadas do DNSSEC.

Configuração de DNSSEC no Windows Server 2025

4. Monitoramento e Diagnóstico Avançados de DNS

O Windows Server 2025 introduz ferramentas aprimoradas para monitoramento e diagnóstico do serviço DNS, facilitando a identificação e resolução de problemas.

Logs Detalhados: Registro abrangente de consultas e respostas DNS para auditoria e análise.
Alertas em Tempo Real: Notificações imediatas sobre eventos críticos ou anômalos no serviço DNS.
Interface Intuitiva: Painel de controle atualizado com visualização clara do desempenho e saúde do serviço DNS.

Painel de monitoramento do serviço DNS no Windows Server 2025

Conclusão

As melhorias no serviço DNS do Windows Server 2025 reforçam a segurança, eficiência e integração com ambientes modernos de TI. A adoção dessas novas funcionalidades é essencial para organizações que buscam manter uma infraestrutura de rede robusta e confiável.

25 de setembro de 2024
por luizhenriquelima
0 comentários

Microsoft está encerrando o desenvolvimento do Windows Server Update Services (WSUS)

Microsoft encerra desenvolvimento do Windows Server Update Services (WSUS).

A Microsoft anunciou oficialmente que o Windows Server Update Services (WSUS) agora está preterido, mas planeja manter a funcionalidade atual e continuar publicando atualizações por meio do canal.

Essa mudança não é surpreendente, já que a Microsoft listou o WSUS pela primeira vez como um dos “recursos removidos ou não mais desenvolvidos a partir do Windows Server 2025” em 13 de agosto. Em junho, a empresa também revelou que em breve também descontinuaria a sincronização do driver WSUS.

Introduzido em 2005 como Software Update Services (SUS), o WSUS permite que os administradores de TI gerenciem e distribuam atualizações para produtos da Microsoft em grandes redes corporativas que exigem atualizações consistentes e controladas para um grande número de dispositivos Windows. Ele atua como intermediário e oferece controle centralizado sobre as atualizações, em vez de fazer com que cada dispositivo as baixe individualmente dos servidores da Microsoft.

Embora os novos recursos e o desenvolvimento do WSUS sejam interrompidos, a Microsoft disse hoje que planeja continuar oferecendo suporte à funcionalidade e às atualizações existentes do serviço, que ainda serão distribuídas, mesmo após a descontinuação.

“Especificamente, isso significa que não estamos mais investindo em novos recursos, nem estamos aceitando novos pedidos de recursos para o WSUS”, disse Nir Froimovici, da Microsoft, na sexta-feira. “No entanto, estamos preservando a funcionalidade atual e continuaremos a publicar atualizações por meio do canal WSUS. Também daremos suporte a qualquer conteúdo já publicado por meio do canal WSUS.”

A alteração afeta os ambientes corporativos que dependem do WSUS para gerenciar atualizações entregues a muitos dispositivos, mas não afeta os usuários domésticos ou aqueles que usam o Microsoft Configuration Manager.

Após a substituição do WSUS, a Microsoft incentiva as empresas a adotar soluções baseadas em nuvem para atualizações de cliente e servidor, como Windows Autopatch, Microsoft Intune e Azure Update Manager.

“Embora a função WSUS permaneça disponível no Windows Server 2025, recomendamos que as organizações façam a transição para ferramentas de nuvem, incluindo o Windows Autopatch e o Microsoft Intune para gerenciamento de atualizações do cliente e o Azure Update Manager para gerenciamento de atualizações do servidor”, disse Froimovici.

“Lembre-se: o WSUS permanece operacional, mas não está mais investindo em novos recursos”, acrescentou.

Em junho, a Microsoft também anunciou que havia descontinuado oficialmente a autenticação NTLM em servidores Windows e Windows, aconselhando os desenvolvedores a fazer a transição para Kerberos ou autenticação de negociação para evitar problemas futuros.

24 de agosto de 2024
por luizhenriquelima
0 comentários

Microsoft Entra Connect Novidades Com SYNC

O Microsoft Entra Connect (antigo Azure AD Connect) é a ferramenta essencial para sincronizar identidades entre o Active Directory local (on-premises) e o Microsoft Entra ID (Azure Active Directory). A versão mais recente, 2.3.20.0, trouxe aprimoramentos significativos em segurança, compatibilidade e desempenho.

1. Requisito de TLS 1.2 ou Superior

A nova versão exige o uso do protocolo TLS 1.2 ou superior para garantir comunicações seguras. Antes de atualizar, é fundamental assegurar que o TLS 1.2 esteja habilitado no servidor. Todas as versões recentes do Windows Server suportam o TLS 1.2; caso não esteja ativado, será necessário configurá-lo previamente.

Além disso, o Microsoft Entra Connect agora oferece suporte ao TLS 1.3, embora sua implementação completa nos serviços do Microsoft Entra ID ainda esteja em andamento. Por isso, não é recomendado forçar o uso exclusivo do TLS 1.3 neste momento.

2. Atualizações nos Drivers SQL

Os drivers SQL incluídos no Microsoft Entra Connect foram atualizados para versões mais recentes, garantindo maior compatibilidade e desempenho:

ODBC atualizado para a versão 17.10.6
OLE DB atualizado para a versão 18.7.2

Essas melhorias otimizam as conexões com bancos de dados SQL Server, reduzindo possíveis falhas de compatibilidade.

3. Melhorias no Auto-Upgrade

A versão mais recente aprimorou o mecanismo de autoatualização, tornando o processo mais seguro e eficiente. Agora, o sistema detecta se o ambiente atende aos requisitos mínimos antes de realizar a atualização automática, evitando problemas de compatibilidade com versões desatualizadas do sistema operacional ou do runtime do .NET.

4. Recomendações para Atualização

Para garantir uma atualização segura e sem imprevistos, siga estas recomendações:

Verifique o TLS 1.2: Certifique-se de que está ativado no servidor antes da atualização.
Realize um backup: Faça uma cópia de segurança das configurações atuais para evitar problemas.
Confirme a compatibilidade: Verifique se o sistema operacional e os componentes do servidor atendem aos requisitos da nova versão.
Siga o procedimento correto: A atualização deve ser feita seguindo as diretrizes recomendadas para evitar falhas.

Conclusão

Manter o Microsoft Entra Connect atualizado é essencial para garantir a segurança e a eficiência na sincronização entre o Active Directory on-premises e o Microsoft Entra ID. A versão mais recente reforça a proteção das conexões e melhora o desempenho, tornando o gerenciamento de identidades em ambientes híbridos mais confiável e seguro.