HD Doctor Logo

Hardening Windows Server Pós-Incidente

Resposta direta

Restaurar Windows Server após ransomware sem aplicar hardening é convidar reinfecção em semanas. Esses 10 itens, aplicados em sequência, reduzem aproximadamente 80% da superfície de ataque do ambiente típico corporativo.

Por que hardening pós-incidente é diferente

Em ambiente comprometido, o atacante deixou persistência (Cobalt Strike Beacon, AnyDesk silencioso, contas de admin criadas, tarefas agendadas, golden ticket Kerberos). Restore sem limpeza apenas reativa esses mecanismos. Hardening pós-incidente combina: rotação total de credenciais, revisão de privilégios, eliminação de persistência, fechamento de vetores de entrada e implantação de detecção. Sem isso, o atacante volta pela mesma porta.

Erros que invalidam o hardening

  1. 1.
    Restaurar VM ou backup pré-incidente sem aplicar passos 1-3 primeiro. Backup pré-incidente pode conter persistência. Senhas/tickets pré-incidente continuam válidos sem reset.
  2. 2.
    Aplicar hardening sem reverificar 30 dias depois. Configurações são revertidas por automação ou GPO. Auditoria de hardening é processo contínuo.
  3. 3.
    Pular o passo 1 (reset KRBTGT). Sem isso, golden ticket continua válido. Atacante volta sem detecção.

Checklist de 10 itens em sequência

  1. 1

    Reset KRBTGT 2 vezes (intervalo 24h)

    A conta KRBTGT é a chave-mestre do Kerberos. Reset dela invalida todos os tickets golden/silver. Reset 2× é obrigatório pelo desenho do protocolo.

  2. 2

    Reset de todas as senhas de admin

    Domain Admin, Enterprise Admin, contas locais admin em todos os servidores. Não confie em senhas pré-incidente.

  3. 3

    MFA universal em acesso remoto

    RDP, VPN, RMM (Atera, ConnectWise), painéis web. Sem exceção.

  4. 4

    EDR moderno em todos os servidores

    CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint. Não Windows Defender free.

  5. 5

    Patches críticos aplicados

    Exchange, Fortinet, Citrix NetScaler, Cisco AnyConnect, VMware vCenter. Verifique CVEs dos últimos 24 meses.

  6. 6

    Desabilitar SMBv1 em todos os hosts

    WannaCry e variantes usam. Comando: Set-SmbServerConfiguration -EnableSMB1Protocol $false em cada host.

  7. 7

    LSASS Protected Process Light (PPL)

    Impede Mimikatz de dump de credenciais. Registry: HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL = 1.

  8. 8

    Segmentação de rede

    VLAN separada para servidores, regras de firewall internas negando tráfego lateral SMB/RDP entre estações.

  9. 9

    Backup imutável obrigatório

    S3 Object Lock ou Veeam Hardened. Reinfecção sem backup imutável é catastrófica.

  10. 10

    Logging centralizado + alerta

    Sentinel, Splunk ou Wazuh. Sem log centralizado, próxima invasão fica invisível até cifragem.

Perguntas frequentes

Quanto tempo leva o hardening completo?

Para ambiente de 50-200 servidores: 2-4 semanas com equipe dedicada. Os passos 1-3 podem ser feitos em 24-48h. Os demais demandam mais janela de manutenção.

Reset KRBTGT quebra alguma aplicação?

Tipicamente não, se feito corretamente. Aplicações com cache de ticket podem precisar reiniciar. Documente impacto antes em ambiente de teste.

Posso fazer hardening sem ter sido atacado?

Sim e recomendamos. Esses 10 itens são baseline para qualquer Windows Server corporativo em 2026, não só pós-incidente. Pular o reset KRBTGT se não houve indício de comprometimento.

EDR pago vale a pena para PME?

Sim. CrowdStrike Falcon Go ou Microsoft Defender for Endpoint Plan 1 custam R$50-100/host/mês. ROI defensivo gigante comparado a impacto de ataque.

Precisa de apoio no hardening pós-incidente?

Consultoria de hardening + auditoria + treinamento.

Próximas leituras