Proteção de Infraestrutura
utilizando Group Policy e IPSec Parte 2
Rodrigo Immaginario
MVP Security
MCSE:Security
Agenda
• Relembrando o webcast parte 1
• Demonstração
Como eu implemento isolamento?
Implementando isolamento
Organize os computadores em grupos (grupos de
isolamento)
Baseado nos requisitos de segurança e política de
classificação de informações
Identifique fluxos de informação
Mapeie comunicações permitidas
Crie políticas para atender aos requisitos de negócio
Identifique e teste uma estratégia de implementação
Grupos básicos
Grupos básicos
Grupos não-IPSEC
Sistemas não confiáveis
Grupo default
Exceções
Isolation Domain
Infraestrutura confiável
Grupos IPSEC
Domínio isolado
Grupo confiável default
Fronteira
Grupo confiável de alto
risco
Boundary Isolation
Group
Untrusted
Systems
Grupos adicionais de isolamento …
Grupos adicionais
Necessidade de negócio
Por Exemplo
Grupo de isolamento
Bloqueia comunicação com
máquinas não confiáveis
Requer encriptação
Grupo de alta segurança
Todas as comunicações são
encriptadas
Isolation Domain
Encryption
Isolation
Group
No Fallback
Isolation
Group
Boundary
Isolation Group
Untrusted
Systems
Grupos de acesso de rede
Grupos de Rede
NAGs são usados para explicitamente permitir ou
negar acesso a um sistema pela rede
ANAG : Allow Network Access Group
DNAG : Deny Network Access Group
Podem conter computadores ou grupos
Grupos Domain Local
Formato de política IPSec
Política
IPsec
Métodos de troca
de Chaves (IKE)
Regras
Métodos de
Autenticação
Kerberos
Lista
Filtros
Ação
Encriptação
Filtros
Certificados
Pre-Shared
Keys
Métodos de
Segurança
Duração das
Chaves
Hashing
Ações definidas nos filtros
Filtros
Modo de Solicitação
Aceita receber conexões em claro
Permite iniciar conexões em claro
Modo de Solicitação Seguro
Permite iniciar conexões em claro
Modo de requisição
Todas as comunicações exigem IPSEC
Modo de requisição com encriptação
Somente aceita conexão com encriptação
Políticas de grupo para IPsec
Política de
Encriptação
{
{
{
{
:
Deny Apply Group Policy
:
Allow Read
Allow Apply Group Policy
CG_NoIPsec_Computers
CG_EncryptionIG_Computers
Ordem de Aplicação da Política
Política de
Isolamento
sem Fallback
:
Deny Apply Group Policy
:
Allow Read
Allow Apply Group Policy
CG_NoIPsec_Computers
CG_NoFallbackIG_Computers
Política de
Fronteira de
Isolamento
:
Deny Apply Group Policy
:
Allow Read
Allow Apply Group Policy
CG_NoIPsec_Computers
CG_BoundaryIG_Computers
Política de
Isolamento de
Domínio
:
Deny Apply Group Policy
:
Allow Read
Allow Apply Group Policy
CG_NoIPsec_Computers
CG_IsolationDomain_Computers
Demonstração …
Active Directory
Domain Controller
Zona Sem
Confiança
Confiáveis
Isolados e
Confiáveis
Servidores de
aplicação
X
`
X
Para Maiores Informações
Documentos:
Server and Domain Isolation Using IPsec and
Group Policy Guide:
http://go.microsoft.com/fwlink/?linkid=33947
Improving Security with Domain Isolation
(Implementação Interna de IPSec da Microsoft):
http://www.microsoft.com/technet/itsolutions/msit/security/
IPsecdomisolwp.mspx
Site Microsoft sobre IPSec:
http://www.microsoft.com/ipsec
Case:
https://members.microsoft.com/customerevidence/search/EvidenceDetails.aspx
?EvidenceID=14205&LanguageID=1
Artigo:
http://www.microsoft.com/technet/community/columns/secmvp/sv0906.mspx
Seu potencial. Nossa inspiração.
© 2006 Microsoft Corporation. Todos os direitos reservados.
O propósito desta apresentação é apenas informativa. Microsoft não faz nenhuma garantia expressa ou implícita nesta apresentação.
MR
Download
