Seminários Webcasts
Segurança em servidores
Windows
Marcos Santos
[email protected]
Microsoft Portugal
Agenda
Ciclo de Seminários Webcasts
Estratégia Microsoft para área de
Segurança
Tema 1ª Sessão
Segurança Servidores Windows
Conclusão
Ciclo de Seminários
Objectivo: proporcionar aos responsáveis
que trabalham com sistemas de
informação sessões técnicas com bons
oradores e com bom conteúdo
Vantagens deste formato:
Interactividade com o orador
Poupança de custos (deslocação, tempo)
Possibilidade de assistir ao evento à
posteriori
Temas
Segurança Servidores Windows
Implementar Segurança num servidor de
correio electrónico
Implementar o acesso seguro ao correio
electrónico e à rede da organização
Mitigar as ameaças no Windows 98 e NT 4.0
Como proteger os dados e a informação da sua
organização
Instalação, Segurança e Manutenção de Redes
Wireless
As vossas sugestões são importantes…
Logística
Utilização do Live Meeting
Problemas com Live Meeting enviar mail
para [email protected]
Como fazer perguntas aos oradores?
Janela do lado direito no fundo
As perguntas serão respondidas no final de
cada apresentação por ordem
Passatempo
Como ganhar a XBox 360?
O participante que fizer a
pergunta nº X irá receber
esta consola.
Estratégia Segurança
Ênfase na Segurança
Estratégia
Uma plataforma Segura reforçada por produtos e serviços
seguros e orientação para manter os clientes seguros
Investimentos
em
Tecnologia
Excelência no
fundamental
Inovações
Orientação
Prescritiva
Conteúdos e
ferramentas em
cenários
Resposta a
incidentes
Parceria
Com
Indústria
Informação e
educação
Colaboração e
parceria
Investimentos em Segurança
Autenticação e
Controlo
de Acessos
Ameaças e
Vulnerabilidades
Básico/Fundamental
Cumprimento
da Lei
Parceria com a Industria
Organismos
Locais
Alertar
Utilizadores
Domésticos
Orientação Prescritiva
Actualizações
Segurança
Formações
Segurança
Consciencialização
e informação
www.microsoft.com/portugal/seguranca
Implementação de
segurança em
servidores Windows
2000 e Windows 2003
Sergio Fonseca
Pedro Monteiro
Administrador de
Sistemas
Vodafone
Administrador de
Sistemas
Vodafone
Pre-requesitos aconselhados
Prática na utilização dos sistemas operativos
Windows 2000 Server ou Windows 2003 Server
Prática na utilização de utilitários do Windows
Conhecimentos de Active Directory e Group Policy
Nível 200
Agenda
Introdução à segurança de sistemas
Segurança na Active Directory
Reforçar membros do Domínio
Reforçar Controladores de Domínio
Reforçar Servidores com papeis específicos
Reforçar Servidores em workgroup
Windows 2003 Service Pack 1…
Porquê a segurança?
A segurança garante a fiabilidade dos
sistemas
A segurança ajuda o negócio da organização
Considerações sobre segurança em
pequenas e médias empresas
Servidores
com vários
papeis
Ataques vindos
de dentro
O acesso físico é
mais frequente
Recursos limitados
para segurança
Pouca
especialização
em segurança
Sistemas
ultrapassados
Compromisso a atingir
Segurança
Compromisso
Usabilidade
Custo
Segurança – Pretende-se Confidencialidade,
Integridade, Disponibilidade
Usabilidade – Os sistemas existem para serem
usados
Custo – Quanto estamos dispostos a gastar
A defesa por níveis
Utilizar uma aproximação por níveis
Aumenta a possibilidade de identificação do
atacante
Reduz a eficácia do ataque
Dados
Aplicações
Sistemas
Rede interna
Perímetro
Segurança Física
Procedimentos, Políticas,
percepção
ACL, encriptação,
LDAP/LDAPS
Reforço aplicacional, antivirus
Reforço do SO, gestão de patch ,
autenticação
Segmentos de rede, IPSec, NIDS
Firewalls, Quarentena VPN
Fechaduras, cadeados
Formação dos
users
Agenda
Introdução à segurança de sistemas
Segurança na Active Directory
Reforçar membros do Domínio
Reforçar Controladores de Domínio
Reforçar Servidores com papeis específicos
Reforçar Servidores em workgroup
Windows 2003 Service Pack 1…
Componentes da Active Directory
Floresta
Domínio
Site
Contas de users
Organizational Units
Grupos
Group Policy
Planear a segurança da Active
Directory Security
Analise do ambiente
Sistemas centrais
Site remoto
Sistemas em hosting
Analise de risco
Identificar os riscos para a Active Directory
Identificar os tipos de risco
Identificar a origem dos riscos
Implementar um plano para cada risco
identificado
Criar planos de contingência
Definir fronteiras seguras para
a Active Directory
Definir um modelo de Active
Directory baseado em delegações
Definir um modelo de Active
Directory baseado em delegações
Definir uma colaboração segura
com outras florestas
Reforçar as políticas de Domínio
Criar novas GPO de Domínio ou reforçar a
default GPO de Domínio
Reforçar a política passwords e de
bloqueio de contas do Domínio
Rever as definições de audit dos objectos
mais importantes da Active Directory
Definir uma estrutura
hierárquica assente em OU´s
Uma estrutura
baseada em funções
de Servidores:
Simplifica a gestão
de incidentes
Aplica as definições
de segurança a
outros objectos da
OU
Domain
Policy
Domain
Member
Servers
Member Server
Baseline Policy
Domain
Engineering
Domain
Controllers
Domain Controller
Policy
Operations
Admin
Print Server
Policy
Print Servers
Operations
Admin
File Server
Policy
File Servers
Web Service
Admin
IIS Server
Policy
Web Servers
Boas práticas de
administração
Boas práticas de administração
de SERVIÇOS
Boas práticas de administração
de DADOS
Reforçar o serviço de DNS
Implementar DNS seguros
Proteger os servidores de DNS
Usar zonas integradas na Active Directory
Proteger os dados do DNS
Zonas de DNS não integradas
Definir permissões NTFS nos ficheiros das
zonas
Agenda
Introdução à segurança de sistemas
Segurança na Active Directory
Reforçar membros do Domínio
Reforçar Controladores de Domínio
Reforçar Servidores com papeis específicos
Reforçar Servidores em workgroup
Windows 2003 Service Pack 1…
Reforçar Servidores
Infra-estrutura
Reforçar Active
Directory
Aplicar política
base de Servidores
Procedimentos
Ficheiros&Impressoras
Servidores IIS
Aplicar conjuntos
de definições de
segurança
Servidor RADIUS
Servidores Certificados
Servidores Públicos
Aplicar definições de segurança base para todos os
servidores membros do Domínio
Aplicar definições adicionais a servidores específicos
Usar o GPResult para garantir a aplicação correcta das
definições
Template base para Servidores
membros do Domínio
Modificar e aplicar o Template a todos os
servidores membros do Domínio
Definições do Template de segurança:
Audit das políticas
Aplicação dos User Rights
Opções de segurança
Registo de eventos
Serviços de sistema
Utilitários para reforço da
segurança
Microsoft Baseline Security Analyzer
Verifica e reporta as actualizações e
modificações necessárias
Security Configuration and Analysis tool
Permite comparar e aplicar os vários templates
de segurança
Secedit
Versão em linha de comando do "Security
Configuration and Analysis tool" permitindo
scriptar os Templates de segurança
Boas praticas no uso de
Templates de segurança
Rever e modificar os Templates
antes de os usar
Usar os utilitários Microsoft para
rever os Templates antes de os
aplicar
Testar intensivamente os
Templates antes de os aplicar
Fazer backup dos Templates
Recomendações adicionais
sobre segurança
Renomear a conta built-in Administrator e
Guest
Restringir o acesso a contas built-in e a
contas de serviços não-Microsoft
Evitar configurar os serviços com contas de
Domínio
Proteger os directórios e ficheiros com
permissões NTFS
Desabilitar o report de erros
Template de Segurança “Baseline
Security Template”
&
Microsoft Baseline Security
Analyzer
Pedro Monteiro
Administrador de Sistemas
Vodafone
Agenda
Introdução à segurança de sistemas
Segurança na Active Directory
Reforçar membros do Domínio
Reforçar Controladores de Domínio
Reforçar Servidores com papeis específicos
Reforçar Servidores em workgroup
Windows 2003 Service Pack 1…
Implementar Controladores de
Domínio seguros
Garantir a infra-estrutura dos
Controladores de Domínio
Definir as práticas de segurança
Garantir a segurança física
Recomendações para reforçar
Controladores de Domínio
Colocar em Disable os serviços
desnecessários
Manter um ficheiro para apagar em caso de
necessidade
Remover os direitos desnecessários
Aumentar as definições de segurança
Usar o Syskey para alterar o "master
secret" guardado na Active Directory
Instale pelo menos 2 Servidores
Como aplicar os Templates de
segurança
1.
2.
3.
4.
5.
6.
7.
Abrir a consola de gestão das políticas e escolher a OU
dos Controladores de Domínio
Criar uma nova GPO e criar link à OU dos Controladores
de Domínio
Escolher Computer Settings \ Windows Settings \ Security
Settings
Opção do lado direito do rato Security Settings e escolher
Import Policy
Seleccionar o Template de Controlador de Domínio e OK
As definições são aplicadas no próximo refresh ou restart
Como opção pode executar-se o "GPUpdate" em cada
sistema para aplicar imediatamente
Como usar o Syskey
1.
2.
3.
4.
5.
Click no Iniciar, click no Executar, escreva
syskey, e OK
Click Update
Seleccione a opção do Syskey que se
adapte ao seu ambiente
Se escolheu a opção "Password Startup",
deve introduzir uma password complexa no
campo "Password" e escolher "Confirm"
Click OK duas vezes
Agenda
Introdução à segurança de sistemas
Segurança na Active Directory
Reforçar membros do Domínio
Reforçar Controladores de Domínio
Reforçar Servidores com papeis específicos
Reforçar Servidores em workgroup
Windows 2003 Service Pack 1…
Usar Templates específicos
para os serviços a proteger
Os servidores podem ser organizados de acordo
com os serviços que disponibilizam em sub OU´s
da OU servers
Depois aplicar o Template base à OU servers
Em seguida aplicar os Templates dos serviços
específicos nas OU´s respectivas que estão dentro
da OU servers
Por fim customizar Templates para os servidores
que disponibilizam vários serviços
Proteger Servidores de
ficheiros
Aplicar o Template para servidor de ficheiros
Configurar manualmente algumas definições
extra:
Considerar desabilitar os serviços DFS e FRS
caso não sejam necessários
Proteger os ficheiros e partilhas com permissões
NTFS
Proteger as contas Built-In
Proteger as contas usadas nos serviços
Permitir apenas os portos necessários através de
filtros IPSec
Proteger Servidores Web (IIS)
Aplicar o Template para servidores IIS
Configurar manualmente em cada servidor
Instalar o IIS Lockdown e URLScan em todos os IIS 5.0
(Windows2000)
Desabilitar todos os componentes Web que não estejam em
uso
Configurar permissões NTFS em todos os os directórios
ligados aos componentes Web
Manter os dados dos sites num volume dedicado
Evitar habilitar as permissões de execução e escrita aos
mesmos sites
Nos servidores IIS 5.0 correr as aplicações em média ou alta
protecção
Aplicar filtros IPSec para permitir apenas os portos 80 e 443
Agenda
Introdução à segurança de sistemas
Segurança na Active Directory
Reforçar membros do Domínio
Reforçar Controladores de Domínio
Reforçar Servidores com papeis específicos
Reforçar Servidores em workgroup
Windows 2003 Service Pack 1…
Proteger os sistemas em
workgroup
Nos sistemas em workgroup não podem
ser aplicadas políticas (GPO)
As definições têm de ser aplicadas em
cada servidor individualmente
Podem ser usados os utilitários
Security Configuration and Analysis
Secedit
Pode ser customizado um Template a
aplicar em todos os servidores
Usar o Secedit para proteger os
servidores em workgroup
1.
2.
3.
Configurar um Template custumizado para aplicar
aos servidores em workgroup
Abrir uma janela de DOS no servidor
Criar uma base de dados com o Template
custumizado por base:
secedit /import /db c:\security.sdb /cfg nome do
template
4.
Aplicar as definições :
secedit /configure /db c:\security.sdb
Boas práticas na proteção dos
servidores em workgroup
Aplicar Templates customizados
Configurar os serviços de acordo com as
características do servidor
Definir audit para obter os dados relevantes
Usar filtros de IPSec de acordo com os serviços
Agenda
Introdução à segurança de sistemas
Segurança na Active Directory
Reforçar membros do Domínio
Reforçar Controladores de Domínio
Reforçar Servidores com papeis específicos
Reforçar Servidores em workgroup
Windows 2003 Service Pack 1…
Novidades sobre segurança no
Windows 2003 SP1
Actualiza o sistema com todos os updates
até à data do SP1
Security Configuration Wizard (SCW)
Data Executionn Prevention (DEP)
Distributed COM (DCOM)
Internet Explorer
Modificações no Protocolo RPC
(Anonymous)
Security Configuration Wizard
Pedro Monteiro
Administrador de Sistemas
Vodafone
Sumario da Sessão
Introdução à segurança de sistemas
Segurança na Active Directory
Reforçar membros do Domínio
Reforçar Controladores de Domínio
Reforçar Servidores com papeis específicos
Reforçar Servidores em workgroup
Windows 2003 Service Pack 1…
Perguntas e Respostas ?
Recursos
Windows Server 2003 Security Guide
http://go.microsoft.com/fwlink/?linkid=14846
Microsoft Security Baseline Analyzer 2.0 (MBSA)
http://www.microsoft.com/technet/security/tools/mbsa2/default.mspx
Ficheiro de defenições MBSA (wsusscan.cab)
http://go.microsoft.com/fwlink/?LinkId=40751
Site Segurança
http://www.microsoft.com/portugal/
Actualizações e Notificações de alerta gratuitas
http://www.microsoft.com/technet/security/bulletin/notify.mspx
Newsletter de segurança Microsoft
http://www.microsoft.com/technet/security/secnews/default.mspx
Auto-avaliação de Risco de Segurança
http://www.securityguidance.com/
Próximas Sessões
8 Fevereiro - Implementar Segurança num
servidor de correio electrónico
8 Março - Implementar o acesso seguro ao
correio electrónico e à rede da organização
12 Abril – Mitigar as ameaças no Windows 98
e NT 4.0
10 Maio - Como proteger os dados e a
informação da sua organização
14 Junho - Instalação, Segurança e
Manutenção de Redes Wireless
Recursos Úteis
Recursos para Comunidades Microsoft
http://www.microsoft.com/portugal/technet/comunidades
Subscrições TechNet
http://www.microsoft.com/portugal/technet/subscricoes
Certificações
http://www.microsoft.com/portugal/technet/certificacoes
IT’s Showtime Webcasts
http://www.microsoft.com/portugal/technet/itshowtime
Passatempo
Bónus Extra
Habilite-se a ganhar uma
primeiras sessões!
Xbox 360 nas duas
Complete o questionário de avaliação no final desta sessão e
na próxima sessão saberá quem é o vencedor.
© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only.
MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.