Windows Server™ 2003 SP1 & R2
Visão Geral
Rodrigo Vallim
Especialista em Infra-estrutura
Microsoft Brasil
O que será abordado...
Características do Service Pack 1
Ferramentas de configuração
Melhorias no Sistema de Segurança
Melhorias na Segurança de Rede
Opções de instalação
Windows Server 2003 SP1 e Exchange
Evolução do Windows Server
Agenda
Introdução
Objetivos do Windows Server 2003 SP1
Melhorias no Sistema de Segurança
Melhorias na Segurança de Rede
Opções de instalação do Service Pack 1
Windows Server 2003 SP1 e Exchange
Evolução do Windows Server
Introdução
Para que servem os Service Packs?
Atualizações do Produto
Melhorias na Estabilidade
Melhorias na Compatibilidade
Melhoria na Segurança
http://support.microsoft.com/sp
Agenda
Introdução
Objetivos do Windows Server 2003 SP1
Melhorias no Sistema de Segurança
Melhorias na Segurança de Rede
Opções de instalação do Service Pack 1
Windows Server 2003 SP1 e Exchange
Evolução do Windows Server
Objetivos do Service Pack 1 para
Windows Server 2003
Fornecer atualizações
Acrescentar novas Tecnologias de Segurança
Proteger o Sistema contra
Acesso indesejado ou desnecessário à aplicações ou
recursos do sistema operacional
Vírus
Worms
Agenda
Introdução
Objetivos do Windows Server 2003 SP1
Melhorias no Sistema de Segurança
Melhorias na Segurança de Rede
Opções de instalação do Service Pack 1
Windows Server 2003 SP1 e Exchange
Evolução do Windows Server
Melhorias no Sistema de Segurança
Windows Server Post-Setup Security Updates
Fornece proteção do servidor no período entre a
instalação do sistema operacional e a instalação
das últimas atualizações
Windows Firewall está habilitado e ativo, a menos
que seja explicitamente desabilitado durante a sua
instalação
Melhorias no Sistema de Segurança
Windows Server Post-Setup Security Updates
Iniciado automaticamente após a instalação
Atualização de Windows NT 4.0 para Windows 2003
Service Pack 1
Instalação combinada de Windows Server 2003 e Service
Pack 1
Não iniciado automaticamente após a instalação
Atualização de Windows 2000 para Windows Server 2003
com Service Pack 1
Atualização de Windows Server 2003 com Service Pack 1
Melhorias no Sistema de Segurança
Data Execution Prevention (DEP)
Configurável via Hardware ou Software
DEP por Hardware
Necessita de suporte por parte do processador
O processador assinala áreas de memória como sendo não
executáveis a menos que elas possuam especificamente código
executável
Pode causar problemas de compatibilidade
DEP por Software
Disponível para qualquer processador que suporte o Windows
Server 2003
Protege binários do sistema de ataques que exploram “exception
handling”
Improvável que cause problemas de compatibilidade
Melhorias no Sistema de Segurança
Data Execution Prevention (DEP)
NE
NE = No-Execute
NE NE
Melhorias no Sistema de Segurança
Data Execution Prevention (DEP)
Configurações do Boot.ini
/noexecute=PolicyLevel
OptIn – DEP via Software está habilitado e o DEP via Hardware é aplicado
somente para aplicações especificamente configuradas para usá-lo
OptOut – DEP via Software e DEP via Hardware estão habilitados para todos
os executáveis exceto para aplicações que constam da lista de exceção
AlwaysOn – DEP via Software e DEP via Hardware estão sempre habilitados;
Qualquer exceção configurada é ignorada
AlwaysOff – DEP via Software e DEP via Hardware estão desabilitados
Melhorias no Sistema de Segurança
Data Execution Prevention (DEP)
Interface Gráfica
Opção de Data Execution Prevention está em
Control Panel | System | Advanced |
Performance |
Configura a lista de exceções para
aplicações
Desabilita o DEP via Hardware
Melhorias no Sistema de Segurança
Internet Explorer
Melhorias
Prevenção de elevação de Zona
Gerenciamento de Add-on
Barra de informações
Gerenciamento de Pop-up
Restrição em Janelas
Controle mais rigoroso para downloads
Windows XP Service Pack 2
www.microsoft.com/downloads/details.aspx?FamilyId=9300BECF2DEE-4772-ADD9-AD0EAF89C4A7&displaylang=en
Melhorias no Sistema de Segurança
Security Configuration Wizard (SCW)
O que é o SCW?
Security Configuration Wizard (SCW) é uma ferramenta
para reduzir a superfície de ataque
Após aplicar o SP1, aparecerá um atalho do SCW no
desktop:
Instalado via Control Panel | Add/Remove Programs |
Windows Components
Melhorias no Sistema de Segurança
Security Configuration Wizard (SCW)
O que ele faz?
Fornece um passo-à-passo que:
Identifica portas abertas
O SCW deverá ser executado com as aplicações e serviços desejados ativos
no servidor
Seleciona os possíveis “papeis” do Security Configuration
Database
Configura os serviços requeridos
Desabilita serviços desnecessários
Configura as portas no Firewall
Bloqueia portas não utilizadas
Restringe (endereço) também de portas que ficaram abertas
Proíbe extensões Web desnecessários mesmo que estejam
ativas no IIS
Reduzir a exposição de protocolos (SMB, LanMan, LDAP)
Definir uma política de auditoria
Varias etapas do SCW podem ser puladas
Melhorias no Sistema de Segurança
Security Configuration Wizard (SCW)
Componente #1 do SCW
Interface gráfica do SCW
Cria novas políticas de segurança
Edita políticas de seguranças existentes geradas pelo SCW
Aplica políticas de seguranças existentes geradas pelo SCW
Realiza “Roll-back” da última política de segurança aplicada
pelo SCW
Melhorias no Sistema de Segurança
Security Configuration Wizard (SCW)
Componente #2 do SCW
Ferramenta de linha de comando Scwcmd
Sintaxe: scwcmd.exe configure /p:webserverpolicy.xml
Configura um ou mais servidores com uma política de
segurança gerada pelo SCW
Analisa um ou mais servidores com políticas de seguranças
geradas pelo SCW aplicadas
Permite visualização do resultado da análise em formato HTML
“Roll-back” de políticas de segurança do SCW
Transforma uma política gerada pelo SCW num arquivo nativo
que é suportado pelas Diretivas de Grupo (Group Policy)
Registra as extensões do Security Configuration Database no
SCW
Melhorias no Sistema de Segurança
Security Configuration Wizard (SCW)
Componente #3 do SCW
Security Configuration Database
É um
conjunto de documentos XML contendo uma lista de
Knowledge
Base
serviços e portas necessários para cada função desempenhada
no servidor e suportada no SCW
SQL.xml
%Systemroot%\Security\Msscw\KBs
W2k3.xml
Exchange.xml
SCW varre
o servidor em busca de serviços instalados e
SMS.xml
sugere quais serviços deverão estar ativos
…
Melhorias no Sistema de Segurança
Security Configuration Wizard (SCW)
Personalização do arquivo .XML (KB)
É suportado para atender uma necessidade específica
Quando estiver investigando problemas, lembre-se de
que o ambiente pode estar aplicando / reaplicando
arquivos .XML personalizados e que podem ou não
apresentar resultados previsíveis
Melhorias no Sistema de Segurança
Windows Firewall
Melhorias ao Internet Connection Firewall (ICF)
Não habilitado no padrão
Exceto no PSSU
Pode ser configurado durante a instalação
Melhorias no Sistema de Segurança
Windows Firewall
Port 80
App.exe
Melhorias no Sistema de Segurança
Windows Firewall
Benefícios
Segurança durante o tempo de Boot
Configurações Globais
Ativo sem exceções
Múltiplos Perfis
Melhorias no Sistema de Segurança
Windows Firewall
Melhorias no Sistema de Segurança
Windows Firewall
Melhorias no Sistema de Segurança
Windows Firewall
Agenda
Introdução
Objetivos do Windows Server 2003 SP1
Melhorias no Sistema de Segurança
Melhorias na Segurança de Rede
Opções de instalação do Service Pack 1
Windows Server 2003 SP1 e Exchange
Evolução do Windows Server
Melhorias na Segurança de Rede
Quarenta de VPN
Inclui os componentes Rqs.exe e Rqc.exe
que facilitam a instalação do Network Access
Quarantine Control
Quarentena de Virtual Private Network (VPN)
Etapa 1 – Autenticação de clientes
Etapa 2 – Acesso somente a uma área restrita da rede
Etapa 3 – Verificação de segurança
Etapa 4 – Acesso a rede corporativa
http://www.microsoft.com/windowsserver2003/techinfo/overview/qua
rantine.mspx
Melhorias na Segurança de Rede
Segurança de RPC
RPC é um protocolo para comunicação pela rede
Melhorias com o Service Pack 1
Requer conexões autenticadas
Não é compatível com Named Pipes
Melhorias na Segurança de Rede
Segurança de RPC
RPC
Sem
Autenticação
Autenticação
RPC
Melhorias na Segurança de Rede
Segurança de RPC
Configurações de Segurança do RPC
RestrictRemoteClients
EnableAuthEpResolution
http://msdn.microsoft.com/security/productinfo/XPSP2/
networkprotection/rpc.aspx
Melhorias na Segurança de Rede
Segurança do DCOM
Melhorias na Segurança de Rede
Segurança do DCOM
Permissões do DCOM
Launch
Activate
Access
Melhorias na Segurança de Rede
Segurança do DCOM
Segurança do Sistema como um todo
Configurados pelo Administrador
Afeta todos os servidores DCOM
Diretivas de Grupo (Group Policy)
Agenda
Introdução
Objetivos do Windows Server 2003 SP1
Melhorias no Sistema de Segurança
Melhorias na Segurança de Rede
Opções de instalação do Service Pack 1
Windows Server 2003 SP1 e Exchange
Evolução do Windows Server
Opções de Instalação do Service Pack 1
Possíveis Opções
Instalação Manual
Integrada (Slipstreaming)
Softwares de Imagem
Instalação via Scripts
Considerações:
Antes de proceder com a instalação do Service Pack1,
toda e qualquer versão anterior do Service Pack 1
deverá ser desinstalada. A Microsoft não oferece suporte
para instalação da versão final sobre versões Release
Candidate ou Beta do SP1.
Agenda
Introdução
Objetivos do Windows Server 2003 SP1
Melhorias no Sistema de Segurança
Melhorias na Segurança de Rede
Opções de instalação do Service Pack 1
Windows Server 2003 SP1 e Exchange
Evolução do Windows Server
Windows Server 2003 SP1 e Exchange
Considerações
O mecanismo preferencial para aumentar a
segurança em servidores Exchange é seguindo as
recomendações do Exchange Hardening Guide
SCW foi testado pela equipe do Exchange
O Exchange Hardening Guide possui informações
mais detalhadas e específicas para o Exchange
SCW faz uso de templates do Hardening Guide
Windows Server 2003 SP1 e Exchange
Considerações
As diretivas do SCW assumem que todas as
aplicações (serviços) estejam instaladas nos seus
diretórios padrões de instalação.
Se o Exchange não é instalado no
%ProgramFiles%\Exchsrvr, existe uma grande
chance de surgirem problemas
Na parte “Network Security” do SCW é habilitado o
Windows Firewall e definidas as exceções
Windows Server 2003 SP1 e Exchange
Considerações
Segurança de Rede irá alertar de que determinado
serviço não foi encontrado no seu diretório padrão
de instalação
Resolva o problema, ou o Windows Firewall vai
acabar bloqueando uma aplicação / serviço valido
Windows Server 2003 SP1 e Exchange
Considerações
Se os alertas do SCW são ignorados, os serviços
vão levantar, mas alguns clientes não vão
conseguir se conectar
Para corrigir:
Faça o Roll-back da política de segurança aplicada
usando o SCW
Edite manualmente a política de exceção do Windows
Firewall
Windows Server 2003 SP1 e Exchange
Itens a serem lembrados…
Windows Firewall é um FIREWALL 
Após adicionar um serviço, execute novamente o SCW e
edite a lista de exceções do Windows Firewall!
SCW permite a política em múltiplos servidores
Se a política do SCW que você criou num servidor
Exchange Server 2003 é importada num outro servidor
Exchange Server 2003 e cujo diretório de instalação é
diferente do que gerou a política, sérios problemas
poderão ocorrer
Windows Server 2003 SP1 e Exchange
Maiores informações…
Exchange Server 2003 Security Hardening Guide
http://www.microsoft.com/technet/prodtechnol/exchange/2003/lib
rary/exsecure.mspx
SCW Deployment Guide e SCW Troubleshooting
Guide.
http://www.microsoft.com/downloads/details.aspx?FamilyID=903fd
496-9eb9-4a45-aa00-3f2f20fd6171&displaylang=en
Agenda
Introdução
Objetivos do Windows Server 2003 SP1
Melhorias no Sistema de Segurança
Melhorias na Segurança de Rede
Opções de instalação do Service Pack 1
Windows Server 2003 SP1 e Exchange
Evolução do Windows Server
Futuro do Windows Server
2008 e além
2007
2006
2005 (2 semestre)
2005 (1 semestre)
Windows Server "Longhorn"
Windows Server "Longhorn" Beta 2
Windows Server 2003 SP2
Windows Server 2003 "R2" Update
Windows Server "Longhorn" Beta 1
Windows Server 2003 SP1
Windows Server 2003 for 64Feature packs ainda por vir
Windows Server "Longhorn"
Service Pack e Atualização
Windows Server 2003 “R2”
Principais Novidades
Baseado no Windows Server 2003 Service Pack1
Cenário de Branch Office
DFS Replication
DFS Management Console
Print Management Console
Sistema de Arquivos
Quota Management
Active Directory Federation Service
Monitoramento de Hardware
Cenário Atual de Branch Office
Maioria das Empresas estão consolidando servidores nos sites centrais
Novo movimento de consolidação de servidores nas Filiais para
melhorar o TCO
Servidores no Site Central?
Servidores nas Filias?
ou
+ Menor custo para gerenciar Servidores
- WAN afeta experiência dos usuários
Banda, latência, disponibilidade
+ Boa performance local, operações
desconectadas, flexível
- Maior custo para gerenciar Servidores
Backup de Filias, recuperação, correção, etc
Solução para Branch Office
Backup & Gerenciamento centralizados, Publicação e
Colaboração eficiente, Alta-disponibilidade
Central
Filial
Componentes para se alcançar isso:
DFSR eficiente para WAN e backup central
Compressão diferencial remota & replicação por demanda
Backup de dados das filias sem dispositivos, midias ou administradores nas filias
DFSR Management Console & Failover com Failback para alta disponibilidade
Print Management Console
Replicação do DFS
DFSR
DFS Replication (DFSR) é um replicador de arquivos estado-da-arte que
trabalha em conjunto com o DFS Namespace para oferecer altadisponibilidade e um sistema de arquivos distribuído para redes WAN
Substitui o File Replication Service (FRS)
Totalmente redesenhado para aumentar a sua confiabilidade e
performance
Novos Recursos para seu Gerenciamento
Console MMC, configuração via AD, Saúde e Monitoramento via WMI e
MOM pack
Utiliza um mecanismo eficiente de compressão diferencial remota para
enviar apenas os bytes modificados pela rede
Exemplo: Mudança do Título em PowerPoint de 3.5MB, sincronismo leva apenas
16KB
Tipo de Conexão
Salvar Tudo 3.5MB
Salvar apenas Mudanças
Modem 56K bps
DSL 500K bps
10 minutos
70 segundos
3 segundos
<1 segundos
Sistema de Arquivos
Gerenciamento de Cotas
Gerenciamento de Cotas na versão “R2” fornece um conjunto de
ferramentas para que administradores possam identificar e controlar o
tipo e quantidade de dados armazenados nos seus servidores
Relatórios de Armazenamento (Storage reports) – Informa a utilização
Geração de relatórios agendada ou por demanda
Escopo configurável: volumes, pastas e compartilhamentos
Relatórios são armazenados localmente ou enviados por e-mail
Cotas de Diretórios – monitora e controla o uso do espaço em disco
Aplicada para arquivos de todos os usuários contidos no diretório – é baseada
na utilização atual do disco
Ex.: Utilização é monitorada em tempo real, impede a operação de I/O quando excede o
limite
Rica notificação e pode ser disparada por múltiplos gatilhos de acordo com os
níveis de utilização configurados
Ex: envio de e-mail quando a utilização atingir 80%, 90%, 95%
File screening – Limita o tipo de arquivo permitidos no servidor
Regras de File screening aplicam-se para arquivos de todos os usuários contidos
numa pasta e são baseados em grupos de arquivos
Suportas as mesmas notificações ricas que o gerenciamento de cotas
Gerenciamento de Hardware
Gerenciamento de Hardware torna o Windows Server ciente
de instrumentação IPMI nas motherboards com novos
drivers
Eventos registrados no log de evento do hardware (SEL)
também são mostrados no log de eventos do Windows
Valores e provas fornecidas por sensores podem ser lidos e
configurados através de novo provedor WMI (Ex.: velocidade
da ventoinha e temperatura)
Isso permite que IPMI esteja accessível para todas as
ferramentas de gerenciamento e script que usam WMI
Inclusão de um novo Web Services para protocolo de
gerenciamento (WS-Management)
Permite o gerenciamento remoto de servidores através de Firewall
usando WMI via HTTP e SOAP
Permite o gerenciamento remoto de servidores (com BMC’s
suportando WS-Manangement) quando o sistema operacional não
está ativo
Ex.: pre-boot e post-crash (power-cycle, mudança de ordem de boot)
Seu potencial. Nossa inspiração.
Download

Windows Server 2003 SP1 - Visão Técnica