Seminários Webcasts
Segurança num servidor de
correio electrónico
Marcos Santos
[email protected]
Microsoft Portugal
Agenda
Introdução Seminários Webcasts
Tema 2ª Sessão
Segurança num servidor de correio
electrónico
Perguntas e Respostas
Conclusão
Ciclo de Seminários
Objectivo: proporcionar aos responsáveis
que trabalham com sistemas de
informação sessões técnicas com bons
oradores e com bom conteúdo
Vantagens deste formato:
Interactividade com o orador
Poupança de custos (deslocação, tempo)
Possibilidade de assistir ao evento à
posteriori
Comentários da 1ª Sessão
A melhorar:
O discurso deverá ser mais pausado, por
vezes falou-se rápido demais.
O som estava muito baixo
Haver em alternativa um horário pós-laboral,
pois nem sempre é possível assistir a estas
sessões neste horário.
Mais tempo para esclarecer as duvidas. Mais
interactividade entre os participantes e os
Formadores
Comentários da 2ª Sessão
Positivos:
Parabéns! Foi um excelente evento!
Os meus parabéns por esta iniciativa. Sou
um grande fã do modelo webcast e quero
deixar claro o meu contentamento por ouvir
falar português nestas iniciativas. O número
de participantes foi também uma agradável
surpresa. Parabéns.
Excelente, assim posso receber formação e
se for necessário fazer manutenção urgente!
A minha presença foi também a dos alunos
das três turmas do Curso de Informática, que
se tudo correr bem assistirão aos próximos
eventos
Temas
Segurança Servidores Windows – já disponível
Implementar Segurança num servidor de
correio electrónico
Combater o Spam e os Vírus num sistema de
correio electrónico
Implementar o acesso seguro ao correio
electrónico e à rede da organização
Como proteger os dados e a informação da sua
organização
Instalação, Segurança e Manutenção de Redes
Wireless
As vossas sugestões são importantes…
Logística
Utilização do Live Meeting
Problemas com Live Meeting enviar mail
para [email protected]
Como fazer perguntas aos oradores?
Janela do lado direito no fundo
As perguntas serão respondidas no final de
cada apresentação por ordem
Passatempo
Como ganhar a XBox 360?
O participante que fizer a
pergunta nº X irá receber
esta consola.
Vencedor da 1ª Sessão
Mário Luís Leandro
Direcção de Sistemas de Informação
Sistemas Distribuídos
Banco BPI
Segurança num Servidor de
Correio Electrónico
Alessandra Rodrigues
Francisco Sanches
Consultora de Segurança
Unisys Portugal
Consultor de Segurança
Unisys Portugal
Sobre a Unisys
A Unisys é uma companhia multinacional de
consultoria, fornecedora de serviços e soluções
de tecnologias de informação, cujos
profissionais disponibilizam conhecimento
especializado em consultoria, integração de
sistemas, outsourcing, infra-estruturas e
tecnologia de servidores, para apoiar as
organizações em todo o mundo e assegurar as
suas operações de negócio.
Pré-requisitos Aconselhados
Experiência com Microsoft Windows Server
2003
Conhecimentos de redes, incluindo TCP/IP,
DNS e IIS
Conhecimentos de Microsoft Exchange Server
2003
Conhecimentos de protocolos Internet
incluindo POP3, IMAP4, SMTP, HTTP e NNTP
Conhecimentos sobre os conceitos e
tecnologias PKI
Nível 200
Desafios ao Sistema de Correio
Electrónico
O correio só por si já não chega
Contactos, agenda, lista de tarefas…
Repositório do correio electrónico
Acesso remoto seguro
Protocolo SMTP não foi desenhado a pensar na
segurança
Autenticação
Confidencialidade
Integridade
Não repúdio
Agenda
Implementar um Exchange Server 2003
Proteger os serviços e protocolos de
mensagem do Exchange Server 2003
Manter o Exchange Server 2003 seguro
Exchange Server 2003 SP2
Implementar um Exchange Server
Implementar um Exchange Server 2003
Proteger os serviços e protocolos de
mensagem do Exchange Server 2003
Manter o Exchange Server 2003 seguro
Exchange Server 2003 SP2
Segurança num Exchange Server
Secure by design
Seguro by default
Suporte para filtragem de Sender, Recipient e
Connection, incluindo serviços de Block List
Secure by default
User logon no servidor está desabilitada
Configuração de limites de mensagens (10MB)
Microsoft Exchange Server 2003 Security
Enhancements
http://www.microsoft.com/exchange/evaluation/
security_E2k3.mspx
Cenários de Instalação do Exchange
Server
Cenário FE/BE
Cenário Base
Front-end
Exchange
server
Back-end
Exchange
server
Exchange
server
Cenário ISA Server
ISA server
Internet
Exchange
server
Clientes do Exchange Server
Os cenários de clientes para o Exchange Server
2003 incluem os seguintes:
Cliente para acesso genérico:
Microsoft Outlook
Cliente para acesso Mobile:
Outlook Web Access
Outlook Mobile Access
Exchange Server ActiveSync
Configuração e Actualizações de Segurança
Recomendadas para o Exchange Server
Componente
Sistema
Operativo e
Software
Configuração
Microsoft Windows Server 2003 com as
últimas actualizações de segurança
Exchange Server 2003 com o Service
Pack 2 (ou mais alto)
Microsoft Exchange Intelligent Message
Filter
Browser
Internet Explorer 6 com as últimas
actualizações de segurança
Gestão das
Actualizações
de Segurança
Microsoft Baseline Security Analyzer
Configuração do
Exchange
Exchange Best Practice Analyzer
A defesa em profundidade
Utilizar uma aproximação por níveis:
Aumenta a possibilidade de identificação do atacante
Reduz a eficácia de um ataque
Dados
Aplicações
Senhas fortes, ACLs,
estratégia de salvaguarda e
recuperação
Fortalecer a aplicação
Sistemas
Fortalecer o SO, autenticação,
Gestão de actualizações, auditar
Rede Interna
Segmentos de rede, NIDS, IPSec
Perímetro
Segurança Física
Políticas, procedimentos e percepção
Firewalls, border routers, VPNs com
procedimentos de quarentena
Guardas, fechaduras, cadeados
Políticas e procedimentos de
Segurança, formação dos
utilizadores
Proteger os serviços e protocolos de
mensagem do Exchange Server 2003
Implementar um Exchange Server 2003
Proteger os serviços e protocolos de
mensagem do Exchange Server 2003
Manter a Segurança no Exchange Server
2003
Exchange Server 2003 SP2
Proteger o Exchange Server:
Quais os desafios?
Os desafios para proteger o Exchange Server incluem:
Manter a segurança da Infra-estrutura Windows
subjacente
Manter baselines de segurança como prática de
hardening
Compreender as opções de segurança para os vários
cenários de implementação
Fortalecer o Ambiente de Mensagens
Para fortalecer o ambiente de mensagens do Exchange, recomenda-se:
Ambiente
Configuração
Ambiente
Servidor
Aplicar as Baseline Policy templates
para Domínio, Controlador de Domínio e
Servidores Membros
Windows Server 2003 Security Guide
disponível em
http://go.microsoft.com/fwlink/?LinkId=2
1638
Ambiente
Mensagem
Aplicar a Baseline Policy template do
Exchange Domain Controller
Exchange Server 2003 Security
Hardening Guide disponível em
http://www.microsoft.com/technet/prodt
echnol/exchange/2003/library/exsecure.
mspx
Exemplo
Hardening de um Back-End Exchange
Server
As tarefas para efectuar o hardening de um back-end
Exchange server incluem:
Hardening dos serviços
Hardening das listas de controlo de acessos a ficheiros
(ACLs)
Alteração de Privilégios
Activação de serviços adicionais (opcional)
Aplicar o template de segurança “Exchange
2003 Backend.inf” aos servidores back-end
Hardening de um Front-End Exchange
Server
As tarefas para efectuar o hardening de um front-end
Exchange server incluem:
Hardening dos serviços
Hardening das listas de controlo de acessos a
ficheiros (ACLs)
Activação de serviços adicionais (opcional)
Utilizar o URLScan (opcional, mas recomendado)
Dismount o Mailbox Store e apagar o Public Folder
Store (opcional, mas recomendado)
Aplicar o template de segurança “Exchange
2003 Frontend.inf” aos front-end servers
Clientes Remotos
Outlook Web Access
Virtualmente qualquer ponto
Security: Public or shared / Private
Client: Basic / Premium
Tratamento de anexos
RPC over HTTP
Ligação através do cliente Outlook
Não necessita de hardware especial
Necessidade de firewall com capacidade de
reverse proxy.
SMTP Relaying
SMTP Relaying: Quando um servidor SMTP aceita
mensagens de um domínio DNS endereçadas a caixas de
correio de outro domínio, sendo que nenhum dos domínios
é gerido por este servidor
Relaying pode ser necessário quando:
Se aceita correio destinado a outra organização
Suporte para clientes que utilizam POP3 ou IMAP4
Suporte para aplicações que geram correio SMTP
Evitar open relays:
Permitindo que só computadores autenticados o possam fazer
Limitando a capacidade de relay a um conjunto específico
Utilizando um conector SMTP para fazer relay para domínios
específicos
Protegendo as comunicações SMTP
entre Servidores de Correio Electrónico
Para proteger comunicações SMTP entre servidores:
Instalar e configurar um
certificado X.509 no servidor
SMTP
1
Activar e configurar a cifra
TLS para correio a chegar
2
3
Activar e configurar cifra
TLS para correio a enviar
para domínios específicos
Protegendo Exchange Servers:
Melhores Práticas
 Limitar as funcionalidades do Exchange Server
aos clientes que são estritamente necessários
 Estar informado das últimas actualizações para o
Exchange Server 2003 e para o sistema operativo
 Utilizar o ISA Server 2004 para regular o tráfego
HTTP, RPC sobre HTTPS, POP3, e IMAP4
 Utilizar SSL/TLS e autenticação forms-based no
Outlook Web Access
Manter a Segurança do Exchange
Server 2003
Implementar um Exchange Server 2003
Proteger os serviços e protocolos de
mensagem do Exchange Server 2003
Manter a Segurança no Exchange Server
2003
Exchange Server 2003 SP2
Manter a Segurança no Exchange Server:
Quais os desafios?
Os desafios para manter a segurança no Exchange
Server incluem:
Acompanhar as últimas actualizações de segurança
Acompanhar as melhores práticas recomendadas
Compreender o impacto da configuração das várias
opções do Exchange Server 2003
Manter actualizada a documentação sobre a
configuração e opções de segurança
Utilizar Permissões e Perfis de
Administração
Identificar os diferentes perfis dos
administradores
Definir as permissões necessárias e aplicar o
perfil de administração do Exchange 2003
adequado com base no princípio do Privilégio
Mínimo.
Utilizar Exchange Administration Delegation
Wizard
Exchange View Only
Exchange Administrator
Exchange Full Administrator
Analisar o Exchange Server 2003
com o MBSA
O MBSA analisa as questões relacionadas com:
Questões de segurança conhecidas relacionadas com o
 Windows e o Internet Explorer
 Actualizações de segurança em falta
 Senhas fracas
Questões de segurança do Internet Information
 Services (IIS)
 Questões de segurança do SQL Server
 Questões de segurança do Exchange Server
Validar as Configurações do
Exchange Server
O ExBPA examina os servidores Exchange para:
 Gerar uma lista de questões, tais como más configurações
ou opções não suportadas ou não recomendadas
 Julgar o estado geral de saúde do sistema
 Ajudar a resolver problemas específicos
Ferramentas de Análise do Exchange:
Best Practice Analyzer Tool
Performance Troubleshooting Analyzer Tool
Disaster Recovery Analyzer Tool
http://www.microsoft.com/technet/prodtechnol/
exchange/downloads/2003/analyzers/default.mspx
Implementar uma Protecção Antivírus
no Exchange Server
Durante o desenho e implementação de uma solução de
antivírus, deve ter em consideração:
Desenhar uma abordagem de defesa em profundidade
Implementar um antivírus que suporte AVAPI 2.5
Configurar correctamente a lista de excepções do
antivírus nas directorias do Exchange Server
Overview of Exchange Server 2003 and
antivirus software
http://support.microsoft.com/
default.aspx?scid=kb;en-us;823166
Exchange Server 2003
Implementar um Exchange Server 2003
Proteger os serviços e protocolos de
mensagem do Exchange Server 2003
Manter a Segurança no Exchange Server
2003
Exchange Server 2003 SP2
Exchange Server 2003 SP2
Direct Push
O Exchange entrega automaticamente os dados
aos clientes móveis sobre HTTP ou HTTPS. A
sincronização inclui a lista de tarefas.
Suporta Policy Enforcement
Remote Wipe
Pin Lock
Local Wipe
Pesquisa remota de contactos a partir do
dispositivos móvel
Pesquisar a Global Address List
Exchange Server 2003 SP2
Aumento da dimensão máxima do repositório
de mensagens
A versão Standard passa de 16GB para 75GB
Simplificação da administração de Public
Folders
Interromper uma replicação
Groupwise migration tool
Suporte para coexistência ou migração de Novel
GroupWise6.x para Exchange 2003
Exchange Server 2003 SP2
Versão melhorada do IMF e das
funcionalidades de SenderID juntamente com
SPF reverse lookup
PCL (Phishing Confidential Level)
SCL (SPAM Confidential Level)
Custom Weights List
Autenticação baseada em certificados e
suporte a Secure/Multipurpose Internet Mail
Extensions (S/MIME)
Melhor suporte aos dispositivos móveis
Compressão dos dados com GZIP
Sumário da Sessão
 Implementar o Exchange Server 2003 juntamente com
o Microsoft Office Outlook 2003 para obter a vantagem
das últimas alterações de segurança
 Implementar os templates de segurança adequados
para tornar o Exchange Server 2003 seguro
 Configurar as permissões e privilégios de segurança
adequadamente
 Instalar antivírus Exchange-aware e manter a
segurança utilizando as ferramentas MBSA e ExBPA
 Exchange Server 2003 SP2
Demonstração 1: Protegendo e
Testando o SMTP Relaying
Francisco Sanches
Consultor de Segurança
Unisys Portugal
Demonstração 2: Analisar as
Configurações do Exchange Server 2003
Analisar o Exchange Server utilizando o MBSA e o ExBPA
Alessandra Rodrigues
Consultor de Segurança
Unisys Portugal
Sobre a Unisys na Segurança
A área de Segurança da Unisys disponibiliza
soluções de consultoria, implementação e
gestão de serviços de segurança, que
assenta em 5 pilares operacionais:
Continuidade de Negócio: identificação de
soluções que previnem incidentes ou interrupções
do negócio (ex. Gestão de Risco, BIA).
Protecção de Infra-estruturas TIC: soluções que
permitem defender os sistemas de informação de
interrupções internas e externas (ex. Firewall, IDS,
Anti-Vírus, Filtro de Conteúdos, Sistema de
Monitorização, VPN, Auditoria, Política de
Segurança, entre outros controlos).
(cont.)
Sobre a Unisys na Segurança (cont.)
Identificação: soluções de autenticação para aceder à
organização ou aos seus sistemas de informação (ex.
User/Password, Smartcard, Tokens, Certificados,
Biometria).
Colaboração: soluções para gestão e partilha segura
de informação interna e externa da organização (ex.
gestão de acessos com base no nível de autorização
do utilizador, de acordo com as aplicações e
funcionalidades).
Privacidade: soluções que asseguram que os dados
encontram-se protegidos e só são trocados entre as
organização autorizadas (ex. cifra de dados, selo
temporal, assinatura digital e legislação).
Perguntas e Respostas ?
Recursos
Exchange Server 2003 in Depth
http://www.microsoft.com/events/series/tnexchangeserver.mspx
Configuration and Security Update recommendations
for Exchange Server 2003
http://www.microsoft.com/technet/prodtechnol/exchange/2003/b
estconfig.mspx
Microsoft Exchange Server Analyzer Tools
http://www.microsoft.com/technet/prodtechnol/exchange/downl
oads/2003/analyzers/default.mspx
ISA server 2004 + Exchange Server = More Secure
http://www.microsoft.com/isaserver/solutions/exchange.mspx
You Had Me At EHLO... aka the Microsoft Exchange
Team
http://blogs.technet.com/exchange/
Recursos
Microsoft Security Baseline Analyzer 2.0 (MBSA)
http://www.microsoft.com/technet/security/tools/mbsa2/default.mspx
Site Segurança
http://www.microsoft.com/portugal/
Actualizações e Notificações de alerta gratuitas
http://www.microsoft.com/technet/security/bulletin/notify.mspx
Newsletter de segurança Microsoft
http://www.microsoft.com/technet/security/secnews/default.mspx
Auto-avaliação de Risco de Segurança
http://www.securityguidance.com/
Próximas Sessões
8 Março - Combater o Spam e os Vírus num
sistema de correio electrónico
12 Abril – Implementar o acesso seguro ao
correio electrónico e à rede da organização
10 Maio - Como proteger os dados e a
informação da sua organização
14 Junho - Instalação, Segurança e
Manutenção de Redes Wireless
http://www.microsoft.com/portugal/webcasts/
Já reparou que o Portal TechNet
está diferente?
http://www.microsoft.com/portugal/technet
Recursos Úteis
Recursos para Comunidades Microsoft
http://www.microsoft.com/portugal/technet/comunidades
Subscrições TechNet
http://www.microsoft.com/portugal/technet/subscricoes
Certificações
http://www.microsoft.com/portugal/technet/certificacoes
IT’s Showtime Webcasts
http://www.microsoft.com/portugal/technet/itshowtime
Passatempo
Bónus Extra
Habilite-se a ganhar uma
primeiras sessões!
Xbox 360 nas duas
Complete o questionário de avaliação no final desta sessão e
na próxima sessão saberá quem é o vencedor.
Live Meeting Web
Link para preenchimento do questionário de avaliação
https://mseventseu.microsoft.com/cui/WelcomePage.aspx?EventID
=118767987&culture=pt-PT
Changes directly made to this slide will not be displayed in Live Meeting. Edit this slide by selecting Properties in the Live Meeting Presentation menu.
© 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only.
MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.