Entenda o que é hardening, como criar baselines e aplicar configurações seguras em servidores, endpoints, redes, aplicações, CFTV, IoT e ambientes OT.

Confira!

Hardening é o processo de reduzir a superfície de ataque de sistemas, aplicações, dispositivos e serviços por meio de configurações seguras, remoção de componentes desnecessários, controle de privilégios, atualização, monitoramento e padronização. O objetivo não é instalar uma ferramenta isolada, mas transformar um ambiente configurado para funcionar em um ambiente configurado para funcionar com o menor risco operacional possível.

Um projeto de hardening pode abranger estações de trabalho, servidores Windows e Linux, aplicações, bancos de dados, equipamentos de rede, câmeras IP, dispositivos IoT, plataformas de automação e ativos OT. As configurações precisam considerar a função do ativo: uma medida adequada para um notebook corporativo pode ser incompatível com um servidor SCADA, um VMS ou uma estação de engenharia.

A prática deve ser baseada em uma baseline aprovada, testada e rastreável. Sem uma referência comum, cada administrador configura o sistema de maneira diferente, exceções se acumulam e a organização perde a capacidade de provar o estado de segurança de seus ativos.

O que é hardening

Hardening significa endurecimento de segurança. Na prática, consiste em revisar o sistema e reduzir tudo que não é necessário à sua função, protegendo os recursos que permanecem habilitados.

As ações mais comuns incluem:

  • alterar ou remover contas e credenciais padrão;
  • desabilitar serviços, portas, protocolos e componentes não utilizados;
  • aplicar configurações seguras do sistema operacional e das aplicações;
  • limitar privilégios administrativos;
  • controlar softwares e scripts autorizados;
  • configurar firewall local e regras de comunicação;
  • atualizar sistemas e corrigir vulnerabilidades;
  • proteger logs, backups e arquivos de configuração;
  • monitorar desvios em relação à baseline.

O resultado esperado é um sistema menos exposto, mais previsível e mais fácil de auditar.

Hardening não é apenas atualização

Patching e hardening são atividades relacionadas, mas diferentes.

A atualização corrige vulnerabilidades conhecidas e defeitos de software. O hardening também atua sobre recursos que podem estar tecnicamente atualizados, porém configurados de forma insegura. Um servidor com todos os patches pode continuar vulnerável se possuir credenciais padrão, administração exposta à internet, serviços desnecessários, permissões excessivas ou logs desativados.

Da mesma forma, uma configuração segura não elimina a necessidade de atualização. A baseline precisa definir tanto o estado esperado da configuração quanto o processo para manter versões suportadas.

Por que configurações padrão representam risco

Fabricantes precisam entregar produtos compatíveis com diferentes cenários. Por isso, configurações de fábrica frequentemente priorizam facilidade de instalação, interoperabilidade e suporte amplo.

Esse comportamento pode habilitar:

  • contas iniciais conhecidas;
  • serviços de descoberta;
  • protocolos legados;
  • interfaces administrativas em várias redes;
  • permissões maiores que o necessário;
  • aplicações de exemplo;
  • funções de compartilhamento;
  • portas abertas sem uso no ambiente final.

O projeto de hardening converte o produto genérico em um componente adequado à arquitetura e ao risco da organização.

Baseline de segurança e ambiente operacional padrão

A baseline é o conjunto de configurações aprovadas para uma família de ativos. Ela pode ser implementada por imagem padrão, políticas centralizadas, automação ou procedimentos controlados.

Uma baseline consistente deve registrar:

CampoConteúdo esperado
EscopoSistema operacional, aplicação, equipamento ou família de ativos
VersãoHardware, firmware, sistema e aplicação compatíveis
ConfiguraçãoParâmetros obrigatórios, recomendados e proibidos
JustificativaRisco ou requisito atendido por cada controle
Método de verificaçãoComando, evidência, ferramenta ou inspeção utilizada
ExceçõesMotivo, risco residual, controle compensatório e aprovação
ResponsávelEquipe que mantém e aprova mudanças
RevisãoData, versão e histórico de alterações

Ambientes operacionais padronizados reduzem divergências entre equipamentos e simplificam implantação, recuperação, auditoria e suporte.

Inventário antes do hardening

Não é possível endurecer adequadamente um ativo desconhecido. O trabalho deve começar pelo inventário e pela classificação.

O levantamento deve identificar:

  • função do ativo;
  • proprietário técnico;
  • localização e rede;
  • fabricante e modelo;
  • versão de hardware, firmware, sistema e aplicação;
  • interfaces e protocolos;
  • dependências;
  • usuários e contas técnicas;
  • nível de criticidade;
  • janela de manutenção;
  • suporte e fim de vida;
  • procedimento de backup e restauração.

Em ambientes OT, o inventário precisa relacionar o ativo ao processo físico. Alterar um serviço em uma estação de engenharia ou servidor de automação pode afetar a comunicação com dispositivos de campo.

Hardening eficaz começa com uma baseline verificável.

A configuração precisa ser definida por família de ativos, aplicada de forma controlada e acompanhada de evidências, exceções e plano de manutenção.

Conhecer a solução de Endpoint Hardening

Hardening de sistemas operacionais

O sistema operacional fornece a base para aplicações e serviços. As principais áreas de revisão são contas, privilégios, serviços, dispositivos, execução de código, rede e logs.

Contas e privilégios

  • alterar, desabilitar ou remover contas padrão;
  • separar contas administrativas das contas de uso comum;
  • aplicar menor privilégio;
  • controlar contas de serviço;
  • revisar membros de grupos privilegiados;
  • proteger contas de emergência;
  • utilizar autenticação multifator onde suportada e adequada;
  • registrar acessos administrativos.

Serviços e componentes

  • remover pacotes e funções não utilizados;
  • desabilitar protocolos legados;
  • impedir inicialização automática de serviços desnecessários;
  • restringir interfaces administrativas;
  • revisar tarefas agendadas e mecanismos de persistência;
  • limitar recursos de compartilhamento.

Execução de aplicações e scripts

O controle de aplicações permite definir quais executáveis, bibliotecas, scripts, instaladores e drivers podem ser utilizados. A política deve partir das necessidades do negócio, e não apenas autorizar tudo que já existe no equipamento.

Ferramentas de linha de comando e automação, como shells e PowerShell, são importantes para a administração, mas também podem ser utilizadas em ataques. O projeto deve definir quem pode utilizá-las, em quais equipamentos e quais eventos serão registrados.

Interfaces e mídias removíveis

USB, interfaces de manutenção e mídias removíveis podem introduzir malware ou retirar dados. Quando não houver necessidade operacional, devem ser desabilitadas. Quando forem necessárias, o uso precisa ser controlado por procedimento, inventário, análise de mídia e registro.

Hardening de servidores

Servidores concentram aplicações, dados e identidades. Além do sistema operacional, é necessário revisar o serviço hospedado.

Boas práticas incluem:

  • utilizar o servidor somente para os papéis previstos;
  • executar aplicações com contas próprias e privilégios mínimos;
  • limitar o acesso ao sistema de arquivos;
  • remover arquivos temporários de instalação;
  • separar interfaces de gestão e produção quando justificável;
  • restringir administração a origens aprovadas;
  • proteger bancos de dados, certificados e segredos;
  • configurar logs de aplicação e sistema;
  • manter backup da configuração e testar restauração;
  • documentar dependências de DNS, NTP, identidade e armazenamento.

Servidores de identidade, bancos de dados, VMS, SCADA, históricos e serviços de autenticação exigem baselines específicas.

Hardening de endpoints

Endpoints são alvos frequentes de phishing, execução de código e roubo de credenciais. A baseline deve combinar proteção técnica e controle de uso.

Entre os controles possíveis estão:

  • aplicação de patches;
  • EDR ou HIPS;
  • firewall local;
  • criptografia de disco;
  • bloqueio de macros e conteúdo ativo não necessário;
  • controle de navegador e extensões;
  • controle de aplicações;
  • limitação de privilégios locais;
  • proteção de credenciais;
  • logs centralizados;
  • controle de dispositivos externos;
  • política de bloqueio e tempo de sessão.

O hardening não deve impedir as atividades necessárias. Usuários que precisam executar ferramentas técnicas podem receber um perfil específico, com controles e monitoramento adequados ao risco.

Hardening de aplicações

Aplicações também possuem contas, serviços, APIs, módulos, plug-ins e parâmetros de segurança.

O processo deve verificar:

  • credenciais padrão;
  • usuários e perfis;
  • módulos e extensões;
  • interfaces administrativas;
  • criptografia suportada;
  • certificados;
  • integração com diretórios;
  • APIs expostas;
  • arquivos de configuração;
  • logs de auditoria;
  • retenção de dados;
  • atualizações e dependências.

Uma aplicação pode estar instalada em servidor endurecido e ainda expor risco por meio de permissões inadequadas ou funções desnecessárias.

Hardening de equipamentos de rede

Switches, roteadores, firewalls, access points e controladoras precisam de baseline própria.

Itens recorrentes:

  • alterar credenciais padrão;
  • restringir administração por rede e endereço de origem;
  • utilizar protocolos de gestão seguros;
  • desabilitar serviços de descoberta não necessários;
  • bloquear portas físicas sem uso;
  • limitar VLANs em portas e troncos;
  • proteger configurações e backups;
  • configurar autenticação, autorização e contabilização;
  • registrar mudanças e acessos;
  • sincronizar horário;
  • definir banners e tempos de sessão;
  • controlar SNMP e APIs;
  • verificar suporte e firmware.

Em redes industriais, alterações devem considerar redundância, multicast, QoS, protocolos de automação e desempenho determinístico.

Hardening em ambientes OT

Ambientes OT apresentam restrições diferentes de servidores corporativos. Equipamentos podem possuir ciclos de vida longos, sistemas legados e janelas limitadas.

A prioridade é reduzir risco sem comprometer segurança operacional, proteção, controle e disponibilidade. Antes de aplicar uma configuração, devem ser avaliados:

  • compatibilidade com o fabricante;
  • impacto em protocolos industriais;
  • necessidade de comunicação com IEDs, CLPs e gateways;
  • latência e desempenho;
  • redundância;
  • dependência de contas locais;
  • ferramentas de engenharia;
  • possibilidade de retorno à configuração anterior;
  • procedimento de teste.

Quando o ativo não suporta controles modernos, podem ser adotadas medidas compensatórias, como segmentação, jump server, restrição de origem, monitoramento passivo e proteção física.

Hardening de dispositivos IoT e sistemas de CFTV

Câmeras, gravadores, sensores e controladoras são computadores conectados. Devem ser tratados como ativos de rede.

O projeto deve considerar:

  • alteração de credenciais iniciais;
  • contas individuais quando disponíveis;
  • HTTPS e protocolos seguros;
  • desativação de visualização anônima;
  • serviços e protocolos não utilizados;
  • firmware suportado;
  • certificados;
  • armazenamento local;
  • exportação e integridade de evidências;
  • logs e syslog remoto;
  • segmentação;
  • acesso do VMS;
  • acesso remoto do fabricante;
  • fim de vida do equipamento.

As orientações do fabricante precisam ser combinadas com a arquitetura do sistema e com a política corporativa.

Firewall local, EDR e antivírus

Hardening não substitui ferramentas de proteção. Firewall local, EDR e antivírus atuam como camadas adicionais.

O firewall local restringe conexões de entrada e saída por serviço e aplicação. O EDR amplia a visibilidade sobre processos, comportamentos e eventos do endpoint. O antivírus ainda pode bloquear ameaças conhecidas e variantes detectadas por heurística.

Essas ferramentas precisam ser configuradas, monitoradas e protegidas contra alteração por usuários não autorizados. A simples instalação não comprova efetividade.

Logs e verificação contínua

O estado endurecido pode se degradar. Atualizações, suporte emergencial e mudanças operacionais introduzem desvios.

Devem ser monitorados:

  • alterações de política;
  • criação de contas;
  • mudanças em grupos privilegiados;
  • instalação de software;
  • habilitação de serviços;
  • alteração de firewall;
  • desativação de controles;
  • execução de comandos administrativos;
  • falhas de autenticação;
  • reinicializações;
  • divergências em relação à baseline.

A organização pode utilizar ferramentas de gestão de configuração, scripts de auditoria, scanners autenticados e plataformas de monitoramento. Em OT, a forma de coleta precisa ser compatível com a operação.

Gestão de vulnerabilidades e patches

O processo de hardening deve estar integrado à gestão de vulnerabilidades.

O fluxo recomendado é:

1. identificar ativos e versões; 2. receber alertas de fabricantes e fontes confiáveis; 3. avaliar se a vulnerabilidade se aplica; 4. analisar exposição e consequência; 5. testar atualização ou mitigação; 6. planejar implantação e retorno; 7. aplicar em janela aprovada; 8. validar o serviço; 9. atualizar inventário e evidências.

Ativos sem suporte devem receber plano de substituição. Controles compensatórios podem reduzir o risco temporariamente, mas não eliminam a obsolescência.

Exceções e controles compensatórios

Nem toda recomendação pode ser aplicada. Uma exceção deve possuir:

  • requisito não atendido;
  • justificativa técnica;
  • risco associado;
  • impacto operacional;
  • controle compensatório;
  • responsável pela aprovação;
  • prazo de revisão;
  • condição para encerramento.

Exceções não documentadas se transformam em configurações informais e permanentes.

Checklist de hardening

ÁreaVerificação
Inventárioativo, função, versão e responsável registrados
Suportesistema e aplicações ainda suportados pelo fabricante
Contascredenciais padrão removidas e privilégios revisados
Serviçossomente componentes necessários permanecem habilitados
Aplicaçõessoftwares e scripts autorizados são controlados
Redefirewall local e comunicações permitidas estão documentados
Administraçãoacesso restrito, autenticado e registrado
Atualizaçõespatches avaliados, testados e aplicados conforme risco
Logseventos relevantes são coletados e protegidos
Backupconfigurações e dados críticos podem ser restaurados
MídiasUSB e interfaces externas possuem controle
Baselineconfiguração aprovada possui versão e método de verificação
Exceçõesdesvios têm risco, compensação, responsável e prazo
Testesfunções operacionais foram validadas após as mudanças

Projeto e entregáveis

Um projeto de hardening pode produzir:

  • inventário e classificação de ativos;
  • matriz de requisitos;
  • baseline por sistema ou família de equipamentos;
  • procedimentos de implantação;
  • scripts e políticas centralizadas;
  • matriz de exceções;
  • plano de atualização;
  • plano de logs;
  • plano de backup e recuperação;
  • roteiro de testes;
  • relatório de conformidade;
  • documentação as-built.

A baseline deve ser entregue em formato que permita aplicação e auditoria. Um relatório genérico sem parâmetros verificáveis não sustenta a operação.

Testes e aceite

O aceite deve demonstrar que os controles foram aplicados sem comprometer o serviço.

Os testes podem incluir:

  • revisão de contas e privilégios;
  • verificação de portas e serviços;
  • tentativa de uso de credenciais padrão;
  • validação do firewall local;
  • confirmação de logs;
  • teste de backup e restauração;
  • verificação de EDR e antivírus;
  • comparação com a baseline;
  • teste funcional da aplicação;
  • teste de redundância e recuperação;
  • comprovação das exceções aprovadas.

Configurações seguras precisam ser testadas sem comprometer o serviço.

O aceite deve comprovar contas, serviços, firewall, logs, backup, recuperação e aderência à baseline, além da operação correta do sistema após as mudanças.

Conhecer o serviço de Comissionamento e Aceite Técnico

Erros comuns

Aplicar um checklist sem entender a função

Controles precisam ser adaptados ao sistema. Desabilitar um serviço necessário pode causar indisponibilidade.

Endurecer somente o sistema operacional

Aplicações, equipamentos de rede, contas, integrações e acessos também precisam ser revisados.

Não manter a baseline

A configuração segura envelhece com o ambiente. Revisões e monitoramento de desvios são necessários.

Aplicar patches diretamente em produção

Atualizações devem ser avaliadas, testadas e acompanhadas de plano de retorno.

Ignorar ativos legados

Equipamentos antigos precisam de controles compensatórios e plano de substituição.

Não testar restauração

Backup sem teste não comprova capacidade de recuperação.

Conclusão

Hardening é um processo de engenharia e governança que reduz a exposição de sistemas sem comprometer sua função. Seu valor está na combinação de inventário, baseline, aplicação controlada, testes, exceções documentadas e verificação contínua.

A organização precisa saber qual é o estado esperado de cada família de ativos e como comprovar esse estado. Quando o processo é integrado a gestão de vulnerabilidades, monitoramento, backup e controle de mudanças, o hardening deixa de ser uma atividade pontual e passa a sustentar a segurança operacional ao longo do ciclo de vida.

Referências técnicas

[1] AUSTRALIAN SIGNALS DIRECTORATE. Information Security Manual — Guidelines for system hardening. Março de 2026.

[2] ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT IEC/TS 62443-1-1:2023 — Segurança para sistemas de automação e controle industriais — Terminologia, conceitos e modelos.

[3] AXIS COMMUNICATIONS. AXIS OS Hardening Guide.

[4] MILESTONE SYSTEMS. Hardening Guide for XProtect VMS Products.

Perguntas frequentes
O que significa hardening?

Hardening é o processo de reduzir a superfície de ataque de um sistema por meio de configurações seguras, remoção de recursos desnecessários, controle de privilégios, atualização, monitoramento e padronização.

Qual é a diferença entre hardening e patching?

Patching corrige vulnerabilidades por meio de atualizações. Hardening também trata contas, serviços, permissões, protocolos, aplicações, logs e outras configurações que podem permanecer inseguras mesmo em sistemas atualizados.

Hardening pode causar indisponibilidade?

Pode, quando aplicado sem avaliação e testes. Por isso, cada controle deve considerar a função do ativo, dependências, janela de manutenção e procedimento de retorno.

O que é uma baseline de hardening?

É o conjunto aprovado de configurações de segurança para uma família de ativos, com parâmetros, justificativas, método de verificação, exceções e histórico de revisão.

Hardening substitui antivírus ou EDR?

Não. Antivírus, EDR e firewall local são camadas complementares. O hardening reduz a superfície de ataque e configura esses controles dentro de uma arquitetura coerente.

Como aplicar hardening em equipamentos legados?

Quando o ativo não suporta controles modernos, podem ser utilizados segmentação, restrição de acesso, monitoramento, proteção física e outros controles compensatórios, além de um plano de substituição.

Com que frequência a baseline deve ser revisada?

Ela deve ser revisada quando houver mudanças relevantes, novas versões, vulnerabilidades, alterações de arquitetura ou de risco. Também é recomendável uma revisão periódica formal.

O que deve constar em um relatório de hardening?

Escopo, ativos, baseline utilizada, configurações verificadas, evidências, exceções, riscos, controles compensatórios, testes funcionais, pendências e responsáveis.

Hardening é aplicável a câmeras e dispositivos IoT?

Sim. Credenciais, firmware, serviços, protocolos, certificados, logs, segmentação e acesso remoto também precisam ser configurados nesses dispositivos.

Como comprovar que o hardening continua aplicado?

Por meio de auditorias de configuração, ferramentas de conformidade, scripts, gestão centralizada, logs de mudança e comparação periódica com a baseline aprovada.

Materiais técnicos complementares

Soluções

Serviços de engenharia

Materiais técnicos complementares