Tel: (11) 2391-0994
Linkedin Instagram Youtube
Fale com a Safelevel

Security & Compliance Analyzer no Veeam v13 — Guia Completo de Hardening e Compliance

Guia completo para utilizar o Security & Compliance Analyzer no Veeam Backup & Replication v13, com foco em hardening, segurança operacional, proteção contra ransomware e adequação às melhores práticas recomendadas pela Veeam.

Por que este recurso é importante?

O servidor de backup é um dos ativos mais críticos da infraestrutura. Em um ataque de ransomware, uma das primeiras ações do invasor costuma ser tentar destruir, criptografar ou desativar os backups. Por isso, não basta ter backup: é necessário proteger o próprio ambiente de backup.

O Security & Compliance Analyzer ajuda a identificar configurações inseguras no ambiente Veeam, como ausência de MFA, protocolos antigos habilitados, firewall desativado, RDP exposto, falta de imutabilidade e outros pontos que aumentam o risco operacional.

Este artigo foi escrito para administradores de TI, analistas de infraestrutura e clientes que desejam aplicar uma rotina prática de verificação e melhoria de segurança no Veeam Backup & Replication v13.

Índice
  1. Visão geral
  2. Quando utilizar o Security & Compliance Analyzer
  3. Como acessar o recurso
  4. Entendendo os status dos checks
  5. Principais verificações de segurança
  6. Plano de ação recomendado
  7. Firewall, RDP e WinRM
  8. TLS, SSL e protocolos legados
  9. MFA e autenticação administrativa
  10. Imutabilidade e Hardened Repository
  11. Criptografia dos backups
  12. Automação com script oficial da Veeam
  13. Rotina operacional recomendada
  14. Troubleshooting
  15. Checklist final para clientes
  16. Referências oficiais

1. Visão geral

O Security & Compliance Analyzer é uma ferramenta nativa do Veeam Backup & Replication que verifica se a configuração do servidor de backup está alinhada às melhores práticas de segurança da Veeam.

Na prática, ele funciona como uma lista automatizada de verificação de segurança. O administrador executa a análise e o Veeam mostra quais recomendações estão aplicadas, quais ainda não foram implementadas e quais não puderam ser detectadas automaticamente.

A funcionalidade completa está disponível no console desktop do Veeam Backup & Replication. Na Web UI do VBR v13, é possível visualizar resultados, mas a execução e administração completa continuam centralizadas no console desktop.

ℹ Explicação simples: pense no Security & Compliance Analyzer como um “check-up de segurança” do servidor Veeam. Ele não corrige tudo sozinho, mas mostra onde o ambiente está fraco e quais ações devem ser tomadas.

2. Quando utilizar o Security & Compliance Analyzer

A recomendação é executar o Security & Compliance Analyzer de forma recorrente, e não apenas uma vez durante a implantação.

Momento Por que executar?
Após instalação do Veeam Validar se o servidor foi implantado de forma segura desde o início.
Após upgrade ou patch Confirmar se novas recomendações foram adicionadas ou se alguma configuração foi alterada.
Após mudança de firewall, GPO ou política de segurança Verificar se políticas corporativas não enfraqueceram o servidor de backup.
Antes de auditorias Gerar evidência de conformidade técnica e plano de ação.
Mensalmente Manter rotina de cyber hygiene e reduzir exposição a ransomware.

3. Como acessar o recurso

  1. Abra o console do Veeam Backup & Replication.
  2. Acesse a aba Home.
  3. Clique em Security & Compliance.
  4. Aguarde a execução automática da análise.
  5. Revise os resultados exibidos na tela.
⚠ Execute com uma conta administrativa. Algumas verificações exigem permissões elevadas para consultar configurações do Windows, serviços, firewall e componentes do Veeam.

4. Entendendo os status dos checks

Status Significado O que fazer?
Passed A recomendação está aplicada. Nenhuma ação imediata necessária.
Not Implemented A recomendação não está aplicada. Revisar impacto e aplicar a correção.
Unable to Detect O Veeam não conseguiu validar automaticamente. Verificar manualmente no Windows, Linux ou política corporativa.
Suppressed O administrador optou por ignorar temporariamente o item. Documentar a justificativa e revisar periodicamente.
Not Checked O item não foi avaliado na execução atual. Executar novamente a análise ou validar pré-requisitos.
🔴 Evite usar “Suppress” sem justificativa. Ignorar um alerta não corrige o risco. Use suppress apenas quando houver uma exceção documentada e aprovada.

5. Principais verificações de segurança

Categoria O que é verificado Risco se não aplicar
Firewall Se o Windows Firewall está habilitado. Maior exposição de portas e serviços.
RDP Se o acesso remoto está controlado ou desabilitado. Risco de brute force, roubo de credenciais e acesso indevido.
WinRM Se a administração remota está restrita. Movimentação lateral em caso de comprometimento.
TLS/SSL Se protocolos antigos estão desabilitados. Uso de criptografia fraca ou vulnerável.
MFA Se autenticação multifator está habilitada. Conta administrativa comprometida pode acessar o Veeam diretamente.
Credential Guard Se o Windows protege melhor credenciais em memória. Maior risco de credential dumping.
Imutabilidade Se há backups protegidos contra exclusão/alteração. Backups podem ser apagados por ransomware ou atacante.
Criptografia de backup Se os arquivos de backup estão criptografados. Exposição de dados em caso de vazamento ou roubo de mídia.

6. Plano de ação recomendado

Para clientes com pouca experiência, a melhor abordagem é aplicar as recomendações por fases. Isso reduz risco de indisponibilidade e facilita rollback.

Fase Ação Prioridade
Fase 1 Executar o Analyzer e documentar todos os itens Not Implemented. Alta
Fase 2 Habilitar MFA, revisar contas administrativas e remover acessos desnecessários. Alta
Fase 3 Habilitar firewall, restringir RDP/WinRM e revisar portas abertas. Alta
Fase 4 Desabilitar SSL/TLS legados, após validação de compatibilidade. Média/Alta
Fase 5 Implementar Hardened Repository ou outro repositório com imutabilidade. Alta
Fase 6 Habilitar criptografia de backups e proteger as chaves. Média/Alta
Fase 7 Executar novo scan e anexar evidência ao relatório interno. Alta

7. Firewall, RDP e WinRM

7.1 Windows Firewall

O Windows Firewall deve permanecer habilitado nos perfis Domain, Private e Public. Mesmo em redes internas, o firewall reduz a superfície de ataque e limita conexões inesperadas.

PowerShell
Get-NetFirewallProfile | Select-Object Name, Enabled

Para habilitar todos os perfis:

PowerShell
Set-NetFirewallProfile -Profile Domain,Private,Public -Enabled True

7.2 RDP

O RDP não deve ficar exposto de forma ampla. O ideal é administrar o servidor Veeam por console remoto controlado, jump server, VPN com MFA ou ferramenta corporativa de PAM.

⚠ Atenção: desabilitar RDP pode interromper o acesso remoto de administradores. Antes de alterar, confirme que existe outro método seguro de acesso ao servidor.

7.3 WinRM

O WinRM deve ser usado apenas quando necessário e restrito a hosts administrativos confiáveis. Em muitos ambientes, ele pode ser desabilitado no servidor de backup.

8. TLS, SSL e protocolos legados

Protocolos antigos, como SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1, não devem permanecer habilitados em servidores críticos. Eles podem permitir uso de algoritmos fracos e aumentar risco em comunicações sensíveis.

Protocolo Recomendação Observação
SSL 2.0 Desabilitar Obsoleto e inseguro.
SSL 3.0 Desabilitar Obsoleto e inseguro.
TLS 1.0 Desabilitar Manter apenas se houver dependência legada documentada.
TLS 1.1 Desabilitar Manter apenas se houver dependência legada documentada.
TLS 1.2 / TLS 1.3 Manter habilitado Preferencial para comunicação moderna.
🔴 Valide compatibilidade antes de desabilitar TLS legado. Ambientes antigos podem depender desses protocolos para integrações, agentes ou sistemas legados.

9. MFA e autenticação administrativa

A autenticação multifator reduz o risco de acesso indevido mesmo quando a senha de um administrador é comprometida. Para ambientes Veeam, MFA deve ser tratado como requisito mínimo de segurança.

Recomendações:

  • Habilitar MFA para usuários administrativos.
  • Evitar contas compartilhadas.
  • Usar contas nomeadas por administrador.
  • Remover usuários antigos ou sem função operacional.
  • Aplicar princípio de menor privilégio.
  • Separar contas de administração do Windows das contas de administração do Veeam.

10. Imutabilidade e Hardened Repository

Imutabilidade é um dos controles mais importantes contra ransomware. Ela impede que arquivos de backup sejam apagados ou alterados antes do fim do período definido.

No Veeam, isso pode ser implementado com:

  • Linux Hardened Repository
  • Object Storage com Object Lock
  • Veeam Data Cloud Vault
  • Appliances ou plataformas compatíveis com imutabilidade
🔴 Backup sem imutabilidade pode ser destruído por um atacante com privilégios suficientes.

10.1 Recomendações para Hardened Repository

  • Usar servidor físico sempre que possível.
  • Manter o repositório fora do domínio Active Directory.
  • Utilizar usuário Linux dedicado.
  • Remover sudo permanente após implantação, quando aplicável.
  • Restringir SSH por IP.
  • Habilitar XFS com reflink para Fast Clone.
  • Configurar período de imutabilidade compatível com a retenção.

11. Criptografia dos backups

A criptografia protege o conteúdo dos arquivos de backup em caso de roubo, cópia indevida ou acesso não autorizado ao storage.

Boas práticas:

  • Habilitar criptografia nos jobs que armazenam dados sensíveis.
  • Utilizar senhas fortes e únicas.
  • Exportar e proteger as encryption keys.
  • Armazenar as chaves fora do próprio servidor Veeam.
  • Documentar processo de recuperação das chaves.
⚠ Sem a chave de criptografia, o restore pode se tornar impossível. Proteja as chaves com o mesmo nível de criticidade dos dados de produção.

12. Automação com script oficial da Veeam

A Veeam disponibiliza a KB4525 com um script para automatizar parte das recomendações do Security & Compliance Analyzer. O script deve ser executado em PowerShell elevado no próprio Veeam Backup Server.

O script pode auxiliar na aplicação de configurações como firewall, protocolos legados, RDP e WinRM, dependendo do estado atual do servidor e da versão do script.

🔴 Não execute o script diretamente em produção sem validar impacto. Algumas ações podem desabilitar acessos administrativos, como RDP ou WinRM.

12.1 Processo seguro para usar o script

  1. Baixar o script pela KB oficial da Veeam.
  2. Ler as instruções da KB antes da execução.
  3. Executar primeiro em ambiente de teste, se possível.
  4. Executar em modo de relatório antes de aplicar correções.
  5. Revisar cada item que será alterado.
  6. Suprimir apenas itens com exceção documentada.
  7. Executar a aplicação das recomendações aprovadas.
  8. Reiniciar o servidor, se necessário.
  9. Executar novamente o Security & Compliance Analyzer.

13. Rotina operacional recomendada

Frequência Ação
Semanal Verificar alertas críticos, jobs com falha e status dos repositories.
Mensal Executar Security & Compliance Analyzer e revisar itens pendentes.
Mensal Confirmar se patches do Veeam e Windows estão atualizados.
Trimestral Executar teste de restore e validar RTO/RPO.
Trimestral Revisar usuários administrativos e permissões.
Semestral Revisar arquitetura de imutabilidade, retenção e cópias offsite.

14. Troubleshooting

Sintoma Causa provável Ação recomendada
Analyzer mostra “Unable to Detect” Permissão insuficiente, chave de registro ausente ou configuração feita por GPO. Executar como administrador e validar manualmente a configuração.
Firewall aparece como não habilitado Um dos perfis está desativado. Verificar Domain, Private e Public profiles.
RDP aparece como risco RDP habilitado sem restrição adequada. Restringir por firewall, VPN, jump server ou desabilitar se possível.
TLS legado detectado Protocolos antigos continuam ativos no Windows. Desabilitar após validar compatibilidade com sistemas legados.
MFA não implementado Autenticação administrativa ainda depende apenas de senha. Habilitar MFA para usuários administrativos.
Imutabilidade ausente Repository sem proteção contra alteração/exclusão. Implementar Hardened Repository ou Object Lock.
Script da KB4525 não aplica todas as recomendações Algumas recomendações exigem ação manual ou não são automatizáveis. Revisar o relatório e aplicar manualmente os itens restantes.

15. Checklist final para clientes

  • Security & Compliance Analyzer executado no console desktop.
  • Itens “Not Implemented” revisados e classificados por prioridade.
  • Justificativas documentadas para qualquer item “Suppressed”.
  • Windows Firewall habilitado em todos os perfis.
  • RDP restrito, protegido por MFA ou desabilitado.
  • WinRM restrito ou desabilitado quando não utilizado.
  • Protocolos SSL/TLS legados revisados e desabilitados quando possível.
  • MFA habilitado para contas administrativas.
  • Usuários administrativos revisados.
  • Backups críticos com imutabilidade.
  • Encryption keys exportadas e armazenadas com segurança.
  • Jobs de teste de restore executados.
  • Relatório de evidência salvo para auditoria.
  • Rotina mensal definida para nova execução do Analyzer.

16. Referências oficiais

Artigo técnico elaborado com base nas recomendações oficiais da Veeam para Security & Compliance Analyzer, hardening de infraestrutura de backup e práticas de proteção contra ransomware.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Veja também: