Um dos itens do TOP 10 da OWASP é o A6 – Configurações Gerais de Segurança
A6 - Configurações Gerais de Segurança
Uma boa segurança exige ter uma configuração segura definida e implantada para a aplicação, frameworks, servidor de aplicação, servidor web, servidor de banco de dados e plataforma. Todas essas definições devem ser definidas, implementadas e mantidas como muitos não são enviados com padrões seguros. Isso inclui manter todos os softwares atualizados, incluindo todas as bibliotecas de código usadas pela aplicação.
Então em seu time de desenvolvimento é muito importante ter um papel chamado Gestor de Configuração, que poderá lhe auxiliar a manter os itens como:
- Gerenciamento de códigos
- Componentes atualizados
- Ambientes de Testes e Desenvolvimento atualizados
- Etc.
E qual ferramenta esse papel pode usar para validar as configurações dos servidores?
Uma ferramenta para ambientes Microsoft é a MSBA, Microsoft Security Base Analyzer. Com ela é possível identificar:
- Vulnerabilidades Administrativas do Windows
- Vulnerabilidades Administrativas do SQL Server
- Vulnerabilidades Administrativas do Internet Information Services
- Updates de Segurança do Windows
- Entre outros.
- Instalando o MSBA
Para instalar o MSBA, faça o download aqui. Depois instale o mesmo, conforme a tela abaixo.
- Executando o MSBA
Execute o MSBA, selecione o servidor (local ou remoto) e quais itens que serão validados e execute.
Depois, analise os relatórios para identificar se há alguma informação de melhoria de configuração, update ou similar para ser feita no ambiente.
Simples assim!
Espero que ajude e até a próxima!
Alan Carlos
