# M1028 — Operating System Configuration ## Visão Geral *Fonte: [MITRE ATT&CK — M1028](https://attack.mitre.org/mitigations/M1028)* ## Descrição A Configuração de Sistema Operacional envolve ajustar as definições do sistema e realizar o hardening das configurações padrão de um sistema operacional (SO) para mitigar a exploração por adversários e prevenir o abuso de funcionalidades do sistema. As configurações corretas de SO tratam vulnerabilidades de segurança, limitam superfícies de ataque e garantem uma defesa robusta contra uma ampla gama de técnicas. Esta mitigação pode ser implementada por meio das seguintes medidas: ```mermaid graph TB A["📋 Baseline<br/>CIS Benchmark / SCAP"] --> B["⚙️ Hardening<br/>DEP + ASLR + UAC + SELinux"] B --> C["🔐 Acesso Seguro<br/>Sudo restrito + NLA para RDP"] C --> D["📁 File System<br/>Permissões mínimas + auditoria"] D --> E["🔒 Boot Seguro<br/>Secure Boot + BitLocker/LUKS"] E --> F["🤖 Automação<br/>Ansible / GPO / Puppet"] ``` Desabilitar Funcionalidades Não Utilizadas: - Desative SMBv1, LLMNR e NetBIOS onde não forem necessários. - Desabilite o registro remoto e serviços desnecessários. Aplicar Proteções em Nível de SO: - Habilite Data Execution Prevention (DEP), Address Space Layout Randomization (ASLR) e Control Flow Guard (CFG) no Windows. - Use AppArmor ou SELinux no Linux para controles de acesso obrigatórios. Configurações de Acesso Seguro: - Habilite o User Account Control (UAC) no Windows. - Restrinja o acesso root/sudo no Linux/macOS e aplique permissões fortes usando arquivos sudoers. Hardening do Sistema de Arquivos: - Implemente acesso de menor privilégio para arquivos críticos e diretórios do sistema. - Audite permissões regularmente usando ferramentas como icacls (Windows) ou getfacl/chmod (Linux/macOS). Segurança no Acesso Remoto: - Restrinja RDP, SSH e VNC a IPs autorizados usando regras de firewall. - Habilite NLA para RDP e aplique políticas fortes de senha e bloqueio de conta. Hardening de Configurações de Boot: - Habilite o Secure Boot e aplique proteção de senha no UEFI/BIOS. - Use BitLocker ou LUKS para criptografar unidades de boot. Auditorias Regulares: - Audite periodicamente as configurações do SO usando ferramentas como CIS Benchmarks ou ferramentas SCAP. *Ferramentas para Implementação* Windows: - Microsoft Group Policy Objects (GPO): Aplica centralmente configurações de segurança do SO. - Windows Defender Exploit Guard: Proteção nativa do SO contra exploits. - CIS-CAT Pro: Auditoria de configurações de segurança do Windows baseada em CIS Benchmarks. Linux/macOS: - AppArmor/SELinux: Aplica controles de acesso obrigatórios. - Lynis: Realiza auditorias de segurança abrangentes. - SCAP Security Guide: Automatiza o hardening de configurações usando o Security Content Automation Protocol. Multiplataforma: - Ansible ou Chef/Puppet: Automatiza o hardening de configurações em escala. - OpenSCAP: Realiza verificações de conformidade e configuração. ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1562.003 | [[t1562-003-impair-command-history-logging\|T1562.003 — Impair Command History Logging]] | | T1574.006 | [[t1574-006-dynamic-linker-hijacking\|T1574.006 — Dynamic Linker Hijacking]] | | T1087.001 | [[t1087-001-local-account\|T1087.001 — Local Account]] | | T1553 | [[t1553-subvert-trust-controls\|T1553 — Subvert Trust Controls]] | | T1053.002 | [[t1053-002-at\|T1053.002 — At]] | | T1543.003 | [[t1543-003-windows-service\|T1543.003 — Windows Service]] | | T1548.001 | [[t1548-001-setuid-and-setgid\|T1548.001 — Setuid and Setgid]] | | T1542.005 | [[t1542-005-tftp-boot\|T1542.005 — TFTP Boot]] | | T1021.001 | [[t1021-001-remote-desktop-protocol\|T1021.001 — Remote Desktop Protocol]] | | T1003.001 | [[t1003-001-lsass-memory\|T1003.001 — LSASS Memory]] | | T1552 | [[t1552-unsecured-credentials\|T1552 — Unsecured Credentials]] | | T1548 | [[t1548-abuse-elevation-control-mechanism\|T1548 — Abuse Elevation Control Mechanism]] | | T1197 | [[t1197-bits-jobs\|T1197 — BITS Jobs]] | | T1563.002 | [[t1563-002-rdp-hijacking\|T1563.002 — RDP Hijacking]] | | T1543 | [[t1543-create-or-modify-system-process\|T1543 — Create or Modify System Process]] | | T1087 | [[t1087-account-discovery\|T1087 — Account Discovery]] | | T1053 | [[t1053-scheduled-taskjob\|T1053 — Scheduled Task/Job]] | | T1136 | [[t1136-create-account\|T1136 — Create Account]] | | T1011 | [[t1011-exfiltration-over-other-network-medium\|T1011 — Exfiltration Over Other Network Medium]] | | T1556.002 | [[t1556-002-password-filter-dll\|T1556.002 — Password Filter DLL]] | | T1087.002 | [[t1087-002-domain-account\|T1087.002 — Domain Account]] | | T1003.005 | [[t1003-005-cached-domain-credentials\|T1003.005 — Cached Domain Credentials]] | | T1564.002 | [[t1564-002-hidden-users\|T1564.002 — Hidden Users]] | | T1552.003 | [[t1552-003-shell-history\|T1552.003 — Shell History]] | | T1135 | [[t1135-network-share-discovery\|T1135 — Network Share Discovery]] | | T1553.004 | [[t1553-004-install-root-certificate\|T1553.004 — Install Root Certificaté]] | | T1003.002 | [[t1003-002-security-account-manager\|T1003.002 — Security Account Manager]] | | T1548.003 | [[t1548-003-sudo-and-sudo-caching\|T1548.003 — Sudo and Sudo Caching]] | | T1136.002 | [[t1136-002-domain-account\|T1136.002 — Domain Account]] | | T1092 | [[t1092-communication-through-removable-media\|T1092 — Commúnication Through Removable Media]] | | T1490 | [[t1490-inhibit-system-recovery\|T1490 — Inhibit System Recovery]] | | T1011.001 | [[t1011-001-exfiltration-over-bluetooth\|T1011.001 — Exfiltration Over Bluetooth]] | | T1036.007 | [[t1036-007-double-file-extension\|T1036.007 — Double File Extension]] | | T1546.008 | [[t1546-008-accessibility-features\|T1546.008 — Accessibility Features]] | | T1053.005 | [[t1053-005-scheduled-task\|T1053.005 — Scheduled Task]] | | T1556.008 | [[t1556-008-network-provider-dll\|T1556.008 — Network Provider DLL]] | | T1556 | [[t1556-modify-authentication-process\|T1556 — Modify Authentication Process]] | | T1003 | [[t1003-os-credential-dumping\|T1003 — OS Credential Dumping]] | | T1098 | [[t1098-account-manipulation\|T1098 — Account Manipulation]] | --- ## Contexto LATAM > [!globe] Relevância Regional > O hardening de sistema operacional é frequentemente negligenciado em organizações brasileiras de médio porte, onde sistemas Windows sem UAC habilitado, SMBv1 ativo e credenciais de serviço fracas são comuns — condições exploradas por ransomwares como LockBit e Medusa que têm alta atividade no Brasil. Ferramentas gratuitas como Lynis e CIS-CAT Lite estão disponíveis mas raramente são utilizadas de forma sistemática fora de ambientes regulados. > - Adoção em SOCs brasileiros: médio (grandes empresas) / baixo (PMEs e setor público) > - Regulamentações relevantes: BACEN 4893 (hardening obrigatório para IFs), LGPD (proteção de dados pessoais em sistemas), IN SGD/ME 01/2020 (governo federal) > - Desafios regionais: grande volume de sistemas legados Windows 7/2008 ainda em produção, resistência a mudanças de configuração por equipes de operações