Entenda o que é hardening, como criar baselines e aplicar configurações seguras em servidores, endpoints, redes, aplicações, CFTV, IoT e ambientes OT.
Confira!
Hardening é o processo de reduzir a superfície de ataque de sistemas, aplicações, dispositivos e serviços por meio de configurações seguras, remoção de componentes desnecessários, controle de privilégios, atualização, monitoramento e padronização. O objetivo não é instalar uma ferramenta isolada, mas transformar um ambiente configurado para funcionar em um ambiente configurado para funcionar com o menor risco operacional possível.
Um projeto de hardening pode abranger estações de trabalho, servidores Windows e Linux, aplicações, bancos de dados, equipamentos de rede, câmeras IP, dispositivos IoT, plataformas de automação e ativos OT. As configurações precisam considerar a função do ativo: uma medida adequada para um notebook corporativo pode ser incompatível com um servidor SCADA, um VMS ou uma estação de engenharia.
A prática deve ser baseada em uma baseline aprovada, testada e rastreável. Sem uma referência comum, cada administrador configura o sistema de maneira diferente, exceções se acumulam e a organização perde a capacidade de provar o estado de segurança de seus ativos.
O que é hardening
Hardening significa endurecimento de segurança. Na prática, consiste em revisar o sistema e reduzir tudo que não é necessário à sua função, protegendo os recursos que permanecem habilitados.
As ações mais comuns incluem:
- alterar ou remover contas e credenciais padrão;
- desabilitar serviços, portas, protocolos e componentes não utilizados;
- aplicar configurações seguras do sistema operacional e das aplicações;
- limitar privilégios administrativos;
- controlar softwares e scripts autorizados;
- configurar firewall local e regras de comunicação;
- atualizar sistemas e corrigir vulnerabilidades;
- proteger logs, backups e arquivos de configuração;
- monitorar desvios em relação à baseline.
O resultado esperado é um sistema menos exposto, mais previsível e mais fácil de auditar.
Hardening não é apenas atualização
Patching e hardening são atividades relacionadas, mas diferentes.
A atualização corrige vulnerabilidades conhecidas e defeitos de software. O hardening também atua sobre recursos que podem estar tecnicamente atualizados, porém configurados de forma insegura. Um servidor com todos os patches pode continuar vulnerável se possuir credenciais padrão, administração exposta à internet, serviços desnecessários, permissões excessivas ou logs desativados.
Da mesma forma, uma configuração segura não elimina a necessidade de atualização. A baseline precisa definir tanto o estado esperado da configuração quanto o processo para manter versões suportadas.
Por que configurações padrão representam risco
Fabricantes precisam entregar produtos compatíveis com diferentes cenários. Por isso, configurações de fábrica frequentemente priorizam facilidade de instalação, interoperabilidade e suporte amplo.
Esse comportamento pode habilitar:
- contas iniciais conhecidas;
- serviços de descoberta;
- protocolos legados;
- interfaces administrativas em várias redes;
- permissões maiores que o necessário;
- aplicações de exemplo;
- funções de compartilhamento;
- portas abertas sem uso no ambiente final.
O projeto de hardening converte o produto genérico em um componente adequado à arquitetura e ao risco da organização.
Baseline de segurança e ambiente operacional padrão
A baseline é o conjunto de configurações aprovadas para uma família de ativos. Ela pode ser implementada por imagem padrão, políticas centralizadas, automação ou procedimentos controlados.
Uma baseline consistente deve registrar:
| Campo | Conteúdo esperado |
| Escopo | Sistema operacional, aplicação, equipamento ou família de ativos |
| Versão | Hardware, firmware, sistema e aplicação compatíveis |
| Configuração | Parâmetros obrigatórios, recomendados e proibidos |
| Justificativa | Risco ou requisito atendido por cada controle |
| Método de verificação | Comando, evidência, ferramenta ou inspeção utilizada |
| Exceções | Motivo, risco residual, controle compensatório e aprovação |
| Responsável | Equipe que mantém e aprova mudanças |
| Revisão | Data, versão e histórico de alterações |
Ambientes operacionais padronizados reduzem divergências entre equipamentos e simplificam implantação, recuperação, auditoria e suporte.
Inventário antes do hardening
Não é possível endurecer adequadamente um ativo desconhecido. O trabalho deve começar pelo inventário e pela classificação.
O levantamento deve identificar:
- função do ativo;
- proprietário técnico;
- localização e rede;
- fabricante e modelo;
- versão de hardware, firmware, sistema e aplicação;
- interfaces e protocolos;
- dependências;
- usuários e contas técnicas;
- nível de criticidade;
- janela de manutenção;
- suporte e fim de vida;
- procedimento de backup e restauração.
Em ambientes OT, o inventário precisa relacionar o ativo ao processo físico. Alterar um serviço em uma estação de engenharia ou servidor de automação pode afetar a comunicação com dispositivos de campo.
Hardening eficaz começa com uma baseline verificável.
A configuração precisa ser definida por família de ativos, aplicada de forma controlada e acompanhada de evidências, exceções e plano de manutenção.
Hardening de sistemas operacionais
O sistema operacional fornece a base para aplicações e serviços. As principais áreas de revisão são contas, privilégios, serviços, dispositivos, execução de código, rede e logs.
Contas e privilégios
- alterar, desabilitar ou remover contas padrão;
- separar contas administrativas das contas de uso comum;
- aplicar menor privilégio;
- controlar contas de serviço;
- revisar membros de grupos privilegiados;
- proteger contas de emergência;
- utilizar autenticação multifator onde suportada e adequada;
- registrar acessos administrativos.
Serviços e componentes
- remover pacotes e funções não utilizados;
- desabilitar protocolos legados;
- impedir inicialização automática de serviços desnecessários;
- restringir interfaces administrativas;
- revisar tarefas agendadas e mecanismos de persistência;
- limitar recursos de compartilhamento.
Execução de aplicações e scripts
O controle de aplicações permite definir quais executáveis, bibliotecas, scripts, instaladores e drivers podem ser utilizados. A política deve partir das necessidades do negócio, e não apenas autorizar tudo que já existe no equipamento.
Ferramentas de linha de comando e automação, como shells e PowerShell, são importantes para a administração, mas também podem ser utilizadas em ataques. O projeto deve definir quem pode utilizá-las, em quais equipamentos e quais eventos serão registrados.
Interfaces e mídias removíveis
USB, interfaces de manutenção e mídias removíveis podem introduzir malware ou retirar dados. Quando não houver necessidade operacional, devem ser desabilitadas. Quando forem necessárias, o uso precisa ser controlado por procedimento, inventário, análise de mídia e registro.
Hardening de servidores
Servidores concentram aplicações, dados e identidades. Além do sistema operacional, é necessário revisar o serviço hospedado.
Boas práticas incluem:
- utilizar o servidor somente para os papéis previstos;
- executar aplicações com contas próprias e privilégios mínimos;
- limitar o acesso ao sistema de arquivos;
- remover arquivos temporários de instalação;
- separar interfaces de gestão e produção quando justificável;
- restringir administração a origens aprovadas;
- proteger bancos de dados, certificados e segredos;
- configurar logs de aplicação e sistema;
- manter backup da configuração e testar restauração;
- documentar dependências de DNS, NTP, identidade e armazenamento.
Servidores de identidade, bancos de dados, VMS, SCADA, históricos e serviços de autenticação exigem baselines específicas.
Hardening de endpoints
Endpoints são alvos frequentes de phishing, execução de código e roubo de credenciais. A baseline deve combinar proteção técnica e controle de uso.
Entre os controles possíveis estão:
- aplicação de patches;
- EDR ou HIPS;
- firewall local;
- criptografia de disco;
- bloqueio de macros e conteúdo ativo não necessário;
- controle de navegador e extensões;
- controle de aplicações;
- limitação de privilégios locais;
- proteção de credenciais;
- logs centralizados;
- controle de dispositivos externos;
- política de bloqueio e tempo de sessão.
O hardening não deve impedir as atividades necessárias. Usuários que precisam executar ferramentas técnicas podem receber um perfil específico, com controles e monitoramento adequados ao risco.
Hardening de aplicações
Aplicações também possuem contas, serviços, APIs, módulos, plug-ins e parâmetros de segurança.
O processo deve verificar:
- credenciais padrão;
- usuários e perfis;
- módulos e extensões;
- interfaces administrativas;
- criptografia suportada;
- certificados;
- integração com diretórios;
- APIs expostas;
- arquivos de configuração;
- logs de auditoria;
- retenção de dados;
- atualizações e dependências.
Uma aplicação pode estar instalada em servidor endurecido e ainda expor risco por meio de permissões inadequadas ou funções desnecessárias.
Hardening de equipamentos de rede
Switches, roteadores, firewalls, access points e controladoras precisam de baseline própria.
Itens recorrentes:
- alterar credenciais padrão;
- restringir administração por rede e endereço de origem;
- utilizar protocolos de gestão seguros;
- desabilitar serviços de descoberta não necessários;
- bloquear portas físicas sem uso;
- limitar VLANs em portas e troncos;
- proteger configurações e backups;
- configurar autenticação, autorização e contabilização;
- registrar mudanças e acessos;
- sincronizar horário;
- definir banners e tempos de sessão;
- controlar SNMP e APIs;
- verificar suporte e firmware.
Em redes industriais, alterações devem considerar redundância, multicast, QoS, protocolos de automação e desempenho determinístico.
Hardening em ambientes OT
Ambientes OT apresentam restrições diferentes de servidores corporativos. Equipamentos podem possuir ciclos de vida longos, sistemas legados e janelas limitadas.
A prioridade é reduzir risco sem comprometer segurança operacional, proteção, controle e disponibilidade. Antes de aplicar uma configuração, devem ser avaliados:
- compatibilidade com o fabricante;
- impacto em protocolos industriais;
- necessidade de comunicação com IEDs, CLPs e gateways;
- latência e desempenho;
- redundância;
- dependência de contas locais;
- ferramentas de engenharia;
- possibilidade de retorno à configuração anterior;
- procedimento de teste.
Quando o ativo não suporta controles modernos, podem ser adotadas medidas compensatórias, como segmentação, jump server, restrição de origem, monitoramento passivo e proteção física.
Hardening de dispositivos IoT e sistemas de CFTV
Câmeras, gravadores, sensores e controladoras são computadores conectados. Devem ser tratados como ativos de rede.
O projeto deve considerar:
- alteração de credenciais iniciais;
- contas individuais quando disponíveis;
- HTTPS e protocolos seguros;
- desativação de visualização anônima;
- serviços e protocolos não utilizados;
- firmware suportado;
- certificados;
- armazenamento local;
- exportação e integridade de evidências;
- logs e syslog remoto;
- segmentação;
- acesso do VMS;
- acesso remoto do fabricante;
- fim de vida do equipamento.
As orientações do fabricante precisam ser combinadas com a arquitetura do sistema e com a política corporativa.
Firewall local, EDR e antivírus
Hardening não substitui ferramentas de proteção. Firewall local, EDR e antivírus atuam como camadas adicionais.
O firewall local restringe conexões de entrada e saída por serviço e aplicação. O EDR amplia a visibilidade sobre processos, comportamentos e eventos do endpoint. O antivírus ainda pode bloquear ameaças conhecidas e variantes detectadas por heurística.
Essas ferramentas precisam ser configuradas, monitoradas e protegidas contra alteração por usuários não autorizados. A simples instalação não comprova efetividade.
Logs e verificação contínua
O estado endurecido pode se degradar. Atualizações, suporte emergencial e mudanças operacionais introduzem desvios.
Devem ser monitorados:
- alterações de política;
- criação de contas;
- mudanças em grupos privilegiados;
- instalação de software;
- habilitação de serviços;
- alteração de firewall;
- desativação de controles;
- execução de comandos administrativos;
- falhas de autenticação;
- reinicializações;
- divergências em relação à baseline.
A organização pode utilizar ferramentas de gestão de configuração, scripts de auditoria, scanners autenticados e plataformas de monitoramento. Em OT, a forma de coleta precisa ser compatível com a operação.
Gestão de vulnerabilidades e patches
O processo de hardening deve estar integrado à gestão de vulnerabilidades.
O fluxo recomendado é:
1. identificar ativos e versões; 2. receber alertas de fabricantes e fontes confiáveis; 3. avaliar se a vulnerabilidade se aplica; 4. analisar exposição e consequência; 5. testar atualização ou mitigação; 6. planejar implantação e retorno; 7. aplicar em janela aprovada; 8. validar o serviço; 9. atualizar inventário e evidências.
Ativos sem suporte devem receber plano de substituição. Controles compensatórios podem reduzir o risco temporariamente, mas não eliminam a obsolescência.
Exceções e controles compensatórios
Nem toda recomendação pode ser aplicada. Uma exceção deve possuir:
- requisito não atendido;
- justificativa técnica;
- risco associado;
- impacto operacional;
- controle compensatório;
- responsável pela aprovação;
- prazo de revisão;
- condição para encerramento.
Exceções não documentadas se transformam em configurações informais e permanentes.
Checklist de hardening
| Área | Verificação |
| Inventário | ativo, função, versão e responsável registrados |
| Suporte | sistema e aplicações ainda suportados pelo fabricante |
| Contas | credenciais padrão removidas e privilégios revisados |
| Serviços | somente componentes necessários permanecem habilitados |
| Aplicações | softwares e scripts autorizados são controlados |
| Rede | firewall local e comunicações permitidas estão documentados |
| Administração | acesso restrito, autenticado e registrado |
| Atualizações | patches avaliados, testados e aplicados conforme risco |
| Logs | eventos relevantes são coletados e protegidos |
| Backup | configurações e dados críticos podem ser restaurados |
| Mídias | USB e interfaces externas possuem controle |
| Baseline | configuração aprovada possui versão e método de verificação |
| Exceções | desvios têm risco, compensação, responsável e prazo |
| Testes | funções operacionais foram validadas após as mudanças |
Projeto e entregáveis
Um projeto de hardening pode produzir:
- inventário e classificação de ativos;
- matriz de requisitos;
- baseline por sistema ou família de equipamentos;
- procedimentos de implantação;
- scripts e políticas centralizadas;
- matriz de exceções;
- plano de atualização;
- plano de logs;
- plano de backup e recuperação;
- roteiro de testes;
- relatório de conformidade;
- documentação as-built.
A baseline deve ser entregue em formato que permita aplicação e auditoria. Um relatório genérico sem parâmetros verificáveis não sustenta a operação.
Testes e aceite
O aceite deve demonstrar que os controles foram aplicados sem comprometer o serviço.
Os testes podem incluir:
- revisão de contas e privilégios;
- verificação de portas e serviços;
- tentativa de uso de credenciais padrão;
- validação do firewall local;
- confirmação de logs;
- teste de backup e restauração;
- verificação de EDR e antivírus;
- comparação com a baseline;
- teste funcional da aplicação;
- teste de redundância e recuperação;
- comprovação das exceções aprovadas.
Configurações seguras precisam ser testadas sem comprometer o serviço.
O aceite deve comprovar contas, serviços, firewall, logs, backup, recuperação e aderência à baseline, além da operação correta do sistema após as mudanças.
Erros comuns
Aplicar um checklist sem entender a função
Controles precisam ser adaptados ao sistema. Desabilitar um serviço necessário pode causar indisponibilidade.
Endurecer somente o sistema operacional
Aplicações, equipamentos de rede, contas, integrações e acessos também precisam ser revisados.
Não manter a baseline
A configuração segura envelhece com o ambiente. Revisões e monitoramento de desvios são necessários.
Aplicar patches diretamente em produção
Atualizações devem ser avaliadas, testadas e acompanhadas de plano de retorno.
Ignorar ativos legados
Equipamentos antigos precisam de controles compensatórios e plano de substituição.
Não testar restauração
Backup sem teste não comprova capacidade de recuperação.
Conclusão
Hardening é um processo de engenharia e governança que reduz a exposição de sistemas sem comprometer sua função. Seu valor está na combinação de inventário, baseline, aplicação controlada, testes, exceções documentadas e verificação contínua.
A organização precisa saber qual é o estado esperado de cada família de ativos e como comprovar esse estado. Quando o processo é integrado a gestão de vulnerabilidades, monitoramento, backup e controle de mudanças, o hardening deixa de ser uma atividade pontual e passa a sustentar a segurança operacional ao longo do ciclo de vida.
Referências técnicas
[1] AUSTRALIAN SIGNALS DIRECTORATE. Information Security Manual — Guidelines for system hardening. Março de 2026.
[2] ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT IEC/TS 62443-1-1:2023 — Segurança para sistemas de automação e controle industriais — Terminologia, conceitos e modelos.
[3] AXIS COMMUNICATIONS. AXIS OS Hardening Guide.
[4] MILESTONE SYSTEMS. Hardening Guide for XProtect VMS Products.
Perguntas frequentes
Hardening é o processo de reduzir a superfície de ataque de um sistema por meio de configurações seguras, remoção de recursos desnecessários, controle de privilégios, atualização, monitoramento e padronização.
Patching corrige vulnerabilidades por meio de atualizações. Hardening também trata contas, serviços, permissões, protocolos, aplicações, logs e outras configurações que podem permanecer inseguras mesmo em sistemas atualizados.
Pode, quando aplicado sem avaliação e testes. Por isso, cada controle deve considerar a função do ativo, dependências, janela de manutenção e procedimento de retorno.
É o conjunto aprovado de configurações de segurança para uma família de ativos, com parâmetros, justificativas, método de verificação, exceções e histórico de revisão.
Não. Antivírus, EDR e firewall local são camadas complementares. O hardening reduz a superfície de ataque e configura esses controles dentro de uma arquitetura coerente.
Quando o ativo não suporta controles modernos, podem ser utilizados segmentação, restrição de acesso, monitoramento, proteção física e outros controles compensatórios, além de um plano de substituição.
Ela deve ser revisada quando houver mudanças relevantes, novas versões, vulnerabilidades, alterações de arquitetura ou de risco. Também é recomendável uma revisão periódica formal.
Escopo, ativos, baseline utilizada, configurações verificadas, evidências, exceções, riscos, controles compensatórios, testes funcionais, pendências e responsáveis.
Sim. Credenciais, firmware, serviços, protocolos, certificados, logs, segmentação e acesso remoto também precisam ser configurados nesses dispositivos.
Por meio de auditorias de configuração, ferramentas de conformidade, scripts, gestão centralizada, logs de mudança e comparação periódica com a baseline aprovada.
Materiais técnicos complementares
Soluções
- Endpoint Hardening
- Endpoint Detection and Response (EDR/XDR)
- Network Access Control (NAC)
- Centro de Operações de Segurança (SOC)
Serviços de engenharia
Materiais técnicos complementares