Guia completo para utilizar o Security & Compliance Analyzer no Veeam Backup & Replication v13, com foco em hardening, segurança operacional, proteção contra ransomware e adequação às melhores práticas recomendadas pela Veeam.
Por que este recurso é importante?
O servidor de backup é um dos ativos mais críticos da infraestrutura. Em um ataque de ransomware, uma das primeiras ações do invasor costuma ser tentar destruir, criptografar ou desativar os backups. Por isso, não basta ter backup: é necessário proteger o próprio ambiente de backup.
O Security & Compliance Analyzer ajuda a identificar configurações inseguras no ambiente Veeam, como ausência de MFA, protocolos antigos habilitados, firewall desativado, RDP exposto, falta de imutabilidade e outros pontos que aumentam o risco operacional.
Este artigo foi escrito para administradores de TI, analistas de infraestrutura e clientes que desejam aplicar uma rotina prática de verificação e melhoria de segurança no Veeam Backup & Replication v13.
- Visão geral
- Quando utilizar o Security & Compliance Analyzer
- Como acessar o recurso
- Entendendo os status dos checks
- Principais verificações de segurança
- Plano de ação recomendado
- Firewall, RDP e WinRM
- TLS, SSL e protocolos legados
- MFA e autenticação administrativa
- Imutabilidade e Hardened Repository
- Criptografia dos backups
- Automação com script oficial da Veeam
- Rotina operacional recomendada
- Troubleshooting
- Checklist final para clientes
- Referências oficiais
1. Visão geral
O Security & Compliance Analyzer é uma ferramenta nativa do Veeam Backup & Replication que verifica se a configuração do servidor de backup está alinhada às melhores práticas de segurança da Veeam.
Na prática, ele funciona como uma lista automatizada de verificação de segurança. O administrador executa a análise e o Veeam mostra quais recomendações estão aplicadas, quais ainda não foram implementadas e quais não puderam ser detectadas automaticamente.
A funcionalidade completa está disponível no console desktop do Veeam Backup & Replication. Na Web UI do VBR v13, é possível visualizar resultados, mas a execução e administração completa continuam centralizadas no console desktop.
2. Quando utilizar o Security & Compliance Analyzer
A recomendação é executar o Security & Compliance Analyzer de forma recorrente, e não apenas uma vez durante a implantação.
| Momento | Por que executar? |
|---|---|
| Após instalação do Veeam | Validar se o servidor foi implantado de forma segura desde o início. |
| Após upgrade ou patch | Confirmar se novas recomendações foram adicionadas ou se alguma configuração foi alterada. |
| Após mudança de firewall, GPO ou política de segurança | Verificar se políticas corporativas não enfraqueceram o servidor de backup. |
| Antes de auditorias | Gerar evidência de conformidade técnica e plano de ação. |
| Mensalmente | Manter rotina de cyber hygiene e reduzir exposição a ransomware. |
3. Como acessar o recurso
- Abra o console do Veeam Backup & Replication.
- Acesse a aba Home.
- Clique em Security & Compliance.
- Aguarde a execução automática da análise.
- Revise os resultados exibidos na tela.
4. Entendendo os status dos checks
| Status | Significado | O que fazer? |
|---|---|---|
| Passed | A recomendação está aplicada. | Nenhuma ação imediata necessária. |
| Not Implemented | A recomendação não está aplicada. | Revisar impacto e aplicar a correção. |
| Unable to Detect | O Veeam não conseguiu validar automaticamente. | Verificar manualmente no Windows, Linux ou política corporativa. |
| Suppressed | O administrador optou por ignorar temporariamente o item. | Documentar a justificativa e revisar periodicamente. |
| Not Checked | O item não foi avaliado na execução atual. | Executar novamente a análise ou validar pré-requisitos. |
5. Principais verificações de segurança
| Categoria | O que é verificado | Risco se não aplicar |
|---|---|---|
| Firewall | Se o Windows Firewall está habilitado. | Maior exposição de portas e serviços. |
| RDP | Se o acesso remoto está controlado ou desabilitado. | Risco de brute force, roubo de credenciais e acesso indevido. |
| WinRM | Se a administração remota está restrita. | Movimentação lateral em caso de comprometimento. |
| TLS/SSL | Se protocolos antigos estão desabilitados. | Uso de criptografia fraca ou vulnerável. |
| MFA | Se autenticação multifator está habilitada. | Conta administrativa comprometida pode acessar o Veeam diretamente. |
| Credential Guard | Se o Windows protege melhor credenciais em memória. | Maior risco de credential dumping. |
| Imutabilidade | Se há backups protegidos contra exclusão/alteração. | Backups podem ser apagados por ransomware ou atacante. |
| Criptografia de backup | Se os arquivos de backup estão criptografados. | Exposição de dados em caso de vazamento ou roubo de mídia. |
6. Plano de ação recomendado
Para clientes com pouca experiência, a melhor abordagem é aplicar as recomendações por fases. Isso reduz risco de indisponibilidade e facilita rollback.
| Fase | Ação | Prioridade |
|---|---|---|
| Fase 1 | Executar o Analyzer e documentar todos os itens Not Implemented. | Alta |
| Fase 2 | Habilitar MFA, revisar contas administrativas e remover acessos desnecessários. | Alta |
| Fase 3 | Habilitar firewall, restringir RDP/WinRM e revisar portas abertas. | Alta |
| Fase 4 | Desabilitar SSL/TLS legados, após validação de compatibilidade. | Média/Alta |
| Fase 5 | Implementar Hardened Repository ou outro repositório com imutabilidade. | Alta |
| Fase 6 | Habilitar criptografia de backups e proteger as chaves. | Média/Alta |
| Fase 7 | Executar novo scan e anexar evidência ao relatório interno. | Alta |
7. Firewall, RDP e WinRM
7.1 Windows Firewall
O Windows Firewall deve permanecer habilitado nos perfis Domain, Private e Public. Mesmo em redes internas, o firewall reduz a superfície de ataque e limita conexões inesperadas.
Get-NetFirewallProfile | Select-Object Name, Enabled
Para habilitar todos os perfis:
Set-NetFirewallProfile -Profile Domain,Private,Public -Enabled True
7.2 RDP
O RDP não deve ficar exposto de forma ampla. O ideal é administrar o servidor Veeam por console remoto controlado, jump server, VPN com MFA ou ferramenta corporativa de PAM.
7.3 WinRM
O WinRM deve ser usado apenas quando necessário e restrito a hosts administrativos confiáveis. Em muitos ambientes, ele pode ser desabilitado no servidor de backup.
8. TLS, SSL e protocolos legados
Protocolos antigos, como SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1, não devem permanecer habilitados em servidores críticos. Eles podem permitir uso de algoritmos fracos e aumentar risco em comunicações sensíveis.
| Protocolo | Recomendação | Observação |
|---|---|---|
| SSL 2.0 | Desabilitar | Obsoleto e inseguro. |
| SSL 3.0 | Desabilitar | Obsoleto e inseguro. |
| TLS 1.0 | Desabilitar | Manter apenas se houver dependência legada documentada. |
| TLS 1.1 | Desabilitar | Manter apenas se houver dependência legada documentada. |
| TLS 1.2 / TLS 1.3 | Manter habilitado | Preferencial para comunicação moderna. |
9. MFA e autenticação administrativa
A autenticação multifator reduz o risco de acesso indevido mesmo quando a senha de um administrador é comprometida. Para ambientes Veeam, MFA deve ser tratado como requisito mínimo de segurança.
Recomendações:
- Habilitar MFA para usuários administrativos.
- Evitar contas compartilhadas.
- Usar contas nomeadas por administrador.
- Remover usuários antigos ou sem função operacional.
- Aplicar princípio de menor privilégio.
- Separar contas de administração do Windows das contas de administração do Veeam.
10. Imutabilidade e Hardened Repository
Imutabilidade é um dos controles mais importantes contra ransomware. Ela impede que arquivos de backup sejam apagados ou alterados antes do fim do período definido.
No Veeam, isso pode ser implementado com:
- Linux Hardened Repository
- Object Storage com Object Lock
- Veeam Data Cloud Vault
- Appliances ou plataformas compatíveis com imutabilidade
10.1 Recomendações para Hardened Repository
- Usar servidor físico sempre que possível.
- Manter o repositório fora do domínio Active Directory.
- Utilizar usuário Linux dedicado.
- Remover sudo permanente após implantação, quando aplicável.
- Restringir SSH por IP.
- Habilitar XFS com reflink para Fast Clone.
- Configurar período de imutabilidade compatível com a retenção.
11. Criptografia dos backups
A criptografia protege o conteúdo dos arquivos de backup em caso de roubo, cópia indevida ou acesso não autorizado ao storage.
Boas práticas:
- Habilitar criptografia nos jobs que armazenam dados sensíveis.
- Utilizar senhas fortes e únicas.
- Exportar e proteger as encryption keys.
- Armazenar as chaves fora do próprio servidor Veeam.
- Documentar processo de recuperação das chaves.
12. Automação com script oficial da Veeam
A Veeam disponibiliza a KB4525 com um script para automatizar parte das recomendações do Security & Compliance Analyzer. O script deve ser executado em PowerShell elevado no próprio Veeam Backup Server.
O script pode auxiliar na aplicação de configurações como firewall, protocolos legados, RDP e WinRM, dependendo do estado atual do servidor e da versão do script.
12.1 Processo seguro para usar o script
- Baixar o script pela KB oficial da Veeam.
- Ler as instruções da KB antes da execução.
- Executar primeiro em ambiente de teste, se possível.
- Executar em modo de relatório antes de aplicar correções.
- Revisar cada item que será alterado.
- Suprimir apenas itens com exceção documentada.
- Executar a aplicação das recomendações aprovadas.
- Reiniciar o servidor, se necessário.
- Executar novamente o Security & Compliance Analyzer.
13. Rotina operacional recomendada
| Frequência | Ação |
|---|---|
| Semanal | Verificar alertas críticos, jobs com falha e status dos repositories. |
| Mensal | Executar Security & Compliance Analyzer e revisar itens pendentes. |
| Mensal | Confirmar se patches do Veeam e Windows estão atualizados. |
| Trimestral | Executar teste de restore e validar RTO/RPO. |
| Trimestral | Revisar usuários administrativos e permissões. |
| Semestral | Revisar arquitetura de imutabilidade, retenção e cópias offsite. |
14. Troubleshooting
| Sintoma | Causa provável | Ação recomendada |
|---|---|---|
| Analyzer mostra “Unable to Detect” | Permissão insuficiente, chave de registro ausente ou configuração feita por GPO. | Executar como administrador e validar manualmente a configuração. |
| Firewall aparece como não habilitado | Um dos perfis está desativado. | Verificar Domain, Private e Public profiles. |
| RDP aparece como risco | RDP habilitado sem restrição adequada. | Restringir por firewall, VPN, jump server ou desabilitar se possível. |
| TLS legado detectado | Protocolos antigos continuam ativos no Windows. | Desabilitar após validar compatibilidade com sistemas legados. |
| MFA não implementado | Autenticação administrativa ainda depende apenas de senha. | Habilitar MFA para usuários administrativos. |
| Imutabilidade ausente | Repository sem proteção contra alteração/exclusão. | Implementar Hardened Repository ou Object Lock. |
| Script da KB4525 não aplica todas as recomendações | Algumas recomendações exigem ação manual ou não são automatizáveis. | Revisar o relatório e aplicar manualmente os itens restantes. |
15. Checklist final para clientes
- Security & Compliance Analyzer executado no console desktop.
- Itens “Not Implemented” revisados e classificados por prioridade.
- Justificativas documentadas para qualquer item “Suppressed”.
- Windows Firewall habilitado em todos os perfis.
- RDP restrito, protegido por MFA ou desabilitado.
- WinRM restrito ou desabilitado quando não utilizado.
- Protocolos SSL/TLS legados revisados e desabilitados quando possível.
- MFA habilitado para contas administrativas.
- Usuários administrativos revisados.
- Backups críticos com imutabilidade.
- Encryption keys exportadas e armazenadas com segurança.
- Jobs de teste de restore executados.
- Relatório de evidência salvo para auditoria.
- Rotina mensal definida para nova execução do Analyzer.