Windows Server™ 2003 SP1 & R2 Visão Geral

Windows Server™ 2003 SP1 & R2 Visão Geral
Rodrigo Vallim Especialista em Infra-estrutura Microsoft Brasil

O que será abordado... Características do Service Pack 1
Ferramentas de configuração Melhorias no Sistema de Segurança Melhorias na Segurança de Rede Opções de instalação Windows Server 2003 SP1 e Exchange Evolução do Windows Server <SLIDETITLE>What We Will Cover</SLIDETITLE> <KEYWORDS></KEYWORDS> <KEYMESSAGE>Introduce the areas that will be covered.</KEYMESSAGE> <SLIDEBUILDS>5</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]We will consider the reasons for general service pack releases and then look more specifically at the features of Windows Server 2003 SP1. The session will cover the many security benefits of Service Pack 1, or SP1. [BUILD 2]We will investigate the tools, interfaces, and procedures used to configure the security features on a server with SP1 installed. [BUILD 3]The security features relate to either the individual system, such as data execution prevention ... [BUILD 4]… or the network, such as VPN quarantine. We will consider the major features in more depth, including demonstrations of their functionality and configuration. [BUILD 5]We will also investigate deployment options for SP1 as a server upgrade or as part of a Windows Server 2003 installation. </SLIDESCRIPT> <SLIDETRANSITION>Individuals taking part in the session are expected to already have some knowledge in specific areas.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Conhecimentos mínimos
Experiência com ambientes Windows Experiência gerenciando segurança em Windows Experiência gerenciando protocolos de comunicação em rede do Windows <SLIDETITLE>Prerequisite Knowledge</SLIDETITLE> <KEYWORDS></KEYWORDS> <KEYMESSAGE>Prerequisite knowledge for the session.</KEYMESSAGE> <SLIDEBUILDS>4</SLIDEBUILDS> <SLIDESCRIPT> To get the most from this session you should have an understanding of security concepts and procedures including the need for authentication mechanisms, the role of firewalls in a computer network, and the requirement for correct system configuration in a secure computer network environment. You should also have: [BUILD 1]Experience with network support roles in a Windows environment, [BUILD 2]An understanding of Windows security processes, procedures, and interfaces, [BUILD 3]And network communication protocols in a Windows environment. This is a level 200 session, which means we will drill down into some of the advanced features of the products and technologies in this session. </SLIDESCRIPT> <SLIDETRANSITION>Let's have a look at the agenda for the session.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Agenda Introdução Objetivos do Windows Server 2003 SP1
Melhorias no Sistema de Segurança Melhorias na Segurança de Rede Opções de instalação do Service Pack 1 Windows Server 2003 SP1 e Exchange Evolução do Windows Server

Introdução Para que servem os Service Packs?
Atualizações do Produto Melhorias na Estabilidade Melhorias na Compatibilidade Melhoria na Segurança

Melhorias no Sistema de Segurança Melhorias na Segurança de Rede Opções de instalação do Service Pack 1 Windows Server 2003 SP1 e Exchange Evolução do Windows Server <SLIDETITLE>Agenda</SLIDETITLE> <KEYWORDS></KEYWORDS> <KEYMESSAGE>System security enhancements.</KEYMESSAGE> <KEYMESSAGE>Describe the next agenda item.</KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT> We will now identify the goals of Windows Server 2003 SP1. </SLIDESCRIPT> <SLIDETRANSITION>SP1 specifically provides enhancements for Windows Server 2003 systems.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Objetivos do Service Pack 1 para Windows Server 2003
Fornecer atualizações Acrescentar novas Tecnologias de Segurança Proteger o Sistema contra Acesso indesejado ou desnecessário à aplicações ou recursos do sistema operacional Vírus Worms <SLIDETITLE>Reason for SP1</SLIDETITLE> <KEYWORDS>Windows Server 2003 Service Pack 1</KEYWORDS> <KEYMESSAGE>The benefits of Service Pack 1.</KEYMESSAGE> <SLIDEBUILDS>3</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]SP1 contains all of the released product updates for Windows Server 2003… [BUILD 2]… But it also contains a number of security enhancements to the operating system. These enhancements relate to both local security, including preventing unwanted code execution, and network security, including requiring authentication for remote connectivity. [BUILD 3]The security enhancements used as a whole, and correctly configured, control access to the operating system and applications that are running on it and help guard against many of the well-known virus attacks and worms that have recently appeared. </SLIDESCRIPT> <SLIDETRANSITION>You will now take a look at some of these enhancements in more depth.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION

Melhorias no Sistema de Segurança Melhorias na Segurança de Rede Opções de instalação do Service Pack 1 Windows Server 2003 SP1 e Exchange Evolução do Windows Server <SLIDETITLE>Agenda</SLIDETITLE> <KEYWORDS></KEYWORDS> <KEYMESSAGE>System security enhancements.</KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT> First, we will look at some of the system security enhancements that are included in SP1. </SLIDESCRIPT> <SLIDETRANSITION>The first of these is Post Setup Security Updates.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Melhorias no Sistema de Segurança Windows Server Post-Setup Security Updates
Fornece proteção do servidor no período entre a instalação do sistema operacional e a instalação das últimas atualizações Windows Firewall está habilitado e ativo, a menos que seja explicitamente desabilitado durante a sua instalação <SLIDETITLE>Post Setup Security Updates</SLIDETITLE> <KEYWORDS>Product updates, setup security</KEYWORDS> <KEYMESSAGE>Identify the features of the PSSU interface.</KEYMESSAGE> <SLIDEBUILDS>2</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]The Post Setup Security Update interface enables administrators to safely install product updates after an initial installation of Windows Server 2003 and SP1. [BUILD 2]To provide protection to the server, Windows Firewall is enabled until the administrator clicks Finish in the interface, preventing remote access to the server until the updates are installed. If Windows Firewall is explicitly configured in any way during the installation process, including being disabled, this configuration takes effect. </SLIDESCRIPT> <SLIDETRANSITION>Let's have a look at the PSSU interface.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION> <KEYWORDS>Post Setup Security Updates</KEYWORDS> <KEYMESSAGE>Show the PSSU interface.</KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> As you can see, the Post Setup Security Updates, or PSSU, interface enables the downloading of product updates and the configuration of the Automatic Updates service. This interface appears only when administrators log on to the server and will appear again if the server reboots, either due to a product update installation or other maintenance, until the Finish button is clicked. Windows Firewall is turned off and the service disabled when the Finish button is clicked. <SLIDETRANSITION>The PSSU interface does not appear with every installation of SP1.</SLIDETRANSITION>

Melhorias no Sistema de Segurança Windows Server Post-Setup Security Updates
Iniciado automaticamente após a instalação Atualização de Windows NT 4.0 para Windows 2003 Service Pack 1 Instalação combinada de Windows Server 2003 e Service Pack 1 Não iniciado automaticamente após a instalação Atualização de Windows 2000 para Windows Server 2003 com Service Pack 1 Atualização de Windows Server 2003 com Service Pack 1 <SLIDETITLE>Post Setup Security Updates</SLIDETITLE> <KEYWORDS>Post Setup Security Updates</KEYWORDS> <KEYMESSAGE>Explain when the PSSU interface appears.</KEYMESSAGE> <SLIDEBUILDS>2</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]The PSSU interface appears after an upgrade to Windows Server 2003 SP1 from Windows NT4 and also if SP1 is installed in combination with the operating system. [BUILD 2]The interface does not appear if Windows 2000 is upgraded to Windows Server 2003 SP1 or if an existing Windows Server 2003 server is upgraded to SP1. </SLIDESCRIPT> <SLIDETRANSITION>Let's have a look at another security enhancement.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Melhorias no Sistema de Segurança Data Execution Prevention (DEP)
Configurável via Hardware ou Software DEP por Hardware Necessita de suporte por parte do processador O processador assinala áreas de memória como sendo não executáveis a menos que elas possuam especificamente código executável Pode causar problemas de compatibilidade DEP por Software Disponível para qualquer processador que suporte o Windows Server 2003 Protege binários do sistema de ataques que exploram “exception handling” Improvável que cause problemas de compatibilidade <SLIDETITLE>Data Execution Prevention</SLIDETITLE> <KEYWORDS>Data Execution Prevention</KEYWORDS> <KEYMESSAGE>Explain DEP functionality.</KEYMESSAGE> <SLIDEBUILDS>3</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]SP1 provides Data Execution Prevention, or DEP, capabilities to Windows Server DEP can be enforced in both hardware and software. [BUILD 2]Hardware DEP requires processor support. Both Intel and AMD provide processors that support this feature. The processor marks any area of memory that does not contain executable code as non-executable. This helps to prevent exploits or attacks that insert code into memory and then execute it. Hardware DEP may cause compatibility issues with applications or drivers, especially those that dynamically create executable code. [BUILD 3]Software DEP works on any processor that supports Windows Server 2003. Software DEP protects the system from attacks that use the way Windows handles exceptions to run malicious code on the system. Software DEP only affects system binaries. Software DEP is unlikely to cause compatibility issues. </SLIDESCRIPT> <SLIDETRANSITION>Let's have a look at how that works.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

<SLIDETITLE>Data Execution Prevention</SLIDETITLE> <KEYWORDS>Data Execution Prevention</KEYWORDS> <KEYMESSAGE>Show how DEP works.</KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]The processor moves application processes and code into memory so that it can be used. With Hardware DEP, when the processor does this it marks memory locations that don’t contain executable code as non-executable. [BUILD 2]There may be an attempt to run code from a non-executable area of memory as may happen in a buffer overrun attack where the contents of the memory is overwritten with malicious code. [BUILD 3]The processor prevents the code execution from taking place. </SLIDESCRIPT> <SLIDETRANSITION>You can enable DEP in a couple of ways.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION> NE NE NE NE = No-Execute

Configurações do Boot.ini /noexecute=PolicyLevel OptIn – DEP via Software está habilitado e o DEP via Hardware é aplicado somente para aplicações especificamente configuradas para usá-lo OptOut – DEP via Software e DEP via Hardware estão habilitados para todos os executáveis exceto para aplicações que constam da lista de exceção AlwaysOn – DEP via Software e DEP via Hardware estão sempre habilitados; Qualquer exceção configurada é ignorada AlwaysOff – DEP via Software e DEP via Hardware estão desabilitados <SLIDETITLE>Data Execution Prevention</SLIDETITLE> <KEYWORDS>Data Execution Prevention</KEYWORDS> <KEYMESSAGE>How to enable DEP using Boot.ini.</KEYMESSAGE> <SLIDEBUILDS>5</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]DEP can be enabled using the /noexecute boot.ini switch. The /noexecute switch can be applied with four different levels of protection: [BUILD 2]The OptIn policy level enables software DEP and applies Hardware DEP to applications that are configured to use it. [BUILD 3]The OptOut policy level enables both Software DEP and Hardware DEP for all executables except those in the exception list. We will see where the exception list is configured in a moment. [BUILD 4]The AlwaysOn policy level enables Software DEP and Hardware DEP and applies them to all executables even if there is an exception list. [BUILD 5]The AlwaysOff policy level disables both Software DEP and Hardware DEP. </SLIDESCRIPT> <SLIDETRANSITION>Let's see where the exception list is configured.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Interface Gráfica Opção de Data Execution Prevention está em Control Panel | System | Advanced | Performance | Configura a lista de exceções para aplicações Desabilita o DEP via Hardware <SLIDETITLE>Data Execution Prevention</SLIDETITLE> <KEYWORDS>Data Execution Prevention</KEYWORDS> <KEYMESSAGE>How to configure DEP using the graphical interface.</KEYMESSAGE> <SLIDEBUILDS>4</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]The graphical interface for DEP is located in System Properties. [BUILD 2]It enables an administrator to configure an exception list of executables and … [BUILD 3]… to disable Hardware DEP altogether. [BUILD 4]The interface looks like this. </SLIDESCRIPT> <SLIDETRANSITION>The next feature concerns Internet Explorer.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Melhorias no Sistema de Segurança Internet Explorer
Prevenção de elevação de Zona Gerenciamento de Add-on Barra de informações Gerenciamento de Pop-up Restrição em Janelas Controle mais rigoroso para downloads Windows XP Service Pack 2 <SLIDETITLE>Internet Explorer</SLIDETITLE> <KEYWORDS>Internet Explorer</KEYWORDS> <KEYMESSAGE>Explain the changes to Internet Explorer.</KEYMESSAGE> <SLIDEBUILDS>2</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]There are many changes to the behavior of Internet Explorer implemented in SP1. These changes make the browser environment more secure and easier to use than before. The changes range from the blocking of pop-ups to the prevention of zone elevation and more stringent security for downloaded files. [BUILD 2]These changes were implemented for the client in Windows XP SP2. If you wish to know more about these changes and their effects on compatibility, they are covered in some depth in the Application Compatibility Guide for Windows XP SP2, which can be downloaded from Microsoft's Web site. </SLIDESCRIPT> <SLIDETRANSITION>SP1 introduces a new wizard that helps administrators configure security depending on server role.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Melhorias no Sistema de Segurança Security Configuration Wizard (SCW)
O que é o SCW? Security Configuration Wizard (SCW) é uma ferramenta para reduzir a superfície de ataque Após aplicar o SP1, aparecerá um atalho do SCW no desktop: Instalado via Control Panel | Add/Remove Programs | Windows Components <SLIDETITLE>Security Configuration Wizard</SLIDETITLE> <KEYWORDS>Security Configuration Wizard</KEYWORDS> <KEYMESSAGE>Explain how to configure the Security Configuration Wizard.</KEYMESSAGE> <SLIDEBUILDS>1</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]The Security Configuration Wizard enables role-based configuration but is not installed by default. It can be installed through Add/Remove programs in Control Panel under Windows Components. </SLIDESCRIPT> <SLIDETRANSITION>Let's see what the Security Configuration Wizard does.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

O que ele faz? Fornece um passo-à-passo que: Identifica portas abertas O SCW deverá ser executado com as aplicações e serviços desejados ativos no servidor Seleciona os possíveis “papeis” do Security Configuration Database Configura os serviços requeridos Desabilita serviços desnecessários Configura as portas no Firewall Bloqueia portas não utilizadas Restringe (endereço) também de portas que ficaram abertas Proíbe extensões Web desnecessários mesmo que estejam ativas no IIS Reduzir a exposição de protocolos (SMB, LanMan, LDAP) Definir uma política de auditoria Varias etapas do SCW podem ser puladas <SLIDETITLE>Security Configuration Wizard</SLIDETITLE> <KEYWORDS>Security Configuration Wizard</KEYWORDS> <KEYMESSAGE>Explain what the Security Configuration Wizard does.</KEYMESSAGE> <SLIDEBUILDS>7</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]The wizard should be run on a server that is running services and applications for their role as it identifies ports that need to be open in the firewall. [BUILD 2]The wizard utilizes a database of server roles and the general configurations for that role. We can select one or more roles for the server, and the wizard will store the necessary configuration. [BUILD 3]The wizard then guides you through configuration of services… [BUILD 4]…Windows firewall… [BUILD 5]...LDAP and SMB security… [BUILD 6]…And an audit policy, recording configuration requirements in each section. [BUILD 7]The wizard then configures services specific to the roles the server is performing. For example, if the server is running IIS it will include a section that allows you to configure the Web server. </SLIDESCRIPT> <SLIDETRANSITION>How does the wizard let you configure other servers?</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Componente #1 do SCW Interface gráfica do SCW Cria novas políticas de segurança Edita políticas de seguranças existentes geradas pelo SCW Aplica políticas de seguranças existentes geradas pelo SCW Realiza “Roll-back” da última política de segurança aplicada pelo SCW

Componente #2 do SCW Ferramenta de linha de comando Scwcmd Sintaxe: scwcmd.exe configure /p:webserverpolicy.xml Configura um ou mais servidores com uma política de segurança gerada pelo SCW Analisa um ou mais servidores com políticas de seguranças geradas pelo SCW aplicadas Permite visualização do resultado da análise em formato HTML “Roll-back” de políticas de segurança do SCW Transforma uma política gerada pelo SCW num arquivo nativo que é suportado pelas Diretivas de Grupo (Group Policy) Registra as extensões do Security Configuration Database no SCW

Componente #3 do SCW Security Configuration Database É um conjunto de documentos XML contendo uma lista de serviços e portas necessários para cada função desempenhada no servidor e suportada no SCW %Systemroot%\Security\Msscw\KBs SCW varre o servidor em busca de serviços instalados e sugere quais serviços deverão estar ativos W2k3.xml SQL.xml Exchange.xml Knowledge Base … SMS.xml

Personalização do arquivo .XML (KB) É suportado para atender uma necessidade específica Quando estiver investigando problemas, lembre-se de que o ambiente pode estar aplicando / reaplicando arquivos .XML personalizados e que podem ou não apresentar resultados previsíveis

Melhorias no Sistema de Segurança Windows Firewall
Melhorias ao Internet Connection Firewall (ICF) Não habilitado no padrão Exceto no PSSU Pode ser configurado durante a instalação <SLIDETITLE>Windows Firewall</SLIDETITLE> <KEYWORDS>Windows Firewall</KEYWORDS> <KEYMESSAGE>Explain the default settings for Windows Firewall.</KEYMESSAGE> <SLIDEBUILDS>2</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]Windows Firewall is an enhancement to the Internet Connection Firewall, providing greater security and configuration options. [BUILD 2]The firewall is not turned on by default unless the installation of SP1 invokes Post Setup Security Updates. It is possible to configure and turn on the firewall during installation via scripts or to have Group Policy configure it immediately the server joins a domain. </SLIDESCRIPT> <SLIDETRANSITION>Let's have a look at how Windows Firewall works.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

<SLIDETITLE>Windows Firewall</SLIDETITLE> <KEYWORDS>Windows Firewall</KEYWORDS> <KEYMESSAGE>Explain how Windows Firewall works.</KEYMESSAGE> <SLIDEBUILDS>8</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]Windows Firewall is a software-based, stateful firewall. [BUILD 2]When enabled, the firewall will protect the server by preventing remote unsolicited, incoming communication. [BUILD 3]To enable communication with the server, the firewall can be configured with a static port exception. This defines the port number and the protocol; TCP, UDP, or both. [BUILD 4]When the port exception is configured, communication with the server is allowed via that port. [BUILD 5]Alternatively, we can specify an application executable. This dynamically opens ports as the application requires and prevents you having to create multiple static port exceptions. [BUILD 6]Communication with the application running on the server can then take place through the firewall. [BUILD 7]When port or application exceptions are created, they can be configured to apply only to a specific computer, subnet, or collection of computers. [BUILD 8]This prevents the exception being used by all computers. </SLIDESCRIPT> <SLIDETRANSITION>You will now identify some of the features of Windows Firewall.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION> Port 80 App.exe

Benefícios Segurança durante o tempo de Boot Configurações Globais Ativo sem exceções Múltiplos Perfis <SLIDETITLE>Windows Firewall</SLIDETITLE> <KEYWORDS>Windows Firewall</KEYWORDS> <KEYMESSAGE>Explain some of the features of Windows Firewall.</KEYMESSAGE> <SLIDEBUILDS>4</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]Windows Firewall provides security during the server boot process. The server is allowed to perform basic network tasks such as DNS and DHCP, or it can communicate with a domain controller, but all other communication is disabled until the server is started and the firewall policy is loaded. [BUILD 2]We can configure a global policy for the firewall that will affect all network interface cards in the server. Alternatively, you can create different policies for each interface. [BUILD 3]The firewall can be configured to permit no exceptions. If this is enabled, any configured exceptions do not take effect. [BUILD 4]In mobile environments different policies can be configured. This enables the configuration of the firewall to differ whether the computer is connected to a domain or not. </SLIDESCRIPT> <SLIDETRANSITION>Windows Firewall can be configured in a number of ways.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

<SLIDETITLE>Windows Firewall</SLIDETITLE> <KEYWORDS>Windows Firewall</KEYWORDS> <KEYMESSAGE>Explain the use of the Net shell command.</KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT> We can use the Firewall option of the Net shell command to perform firewall configuration including adding port and program exceptions. </SLIDESCRIPT> <SLIDETRANSITION>You can also use Group Policy.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

<SLIDETITLE>Windows Firewall</SLIDETITLE> <KEYWORDS>Windows Firewall</KEYWORDS> <KEYMESSAGE>Explain the use of Group Policy.</KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT> Group Policy has a number of settings for Windows Firewall. Notice the Domain and Standard profiles. Group Policy can be used to automatically configure the firewall for multiple computers. </SLIDESCRIPT> <SLIDETRANSITION>There is of course also the graphical interface.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

<SLIDETITLE>Windows Firewall</SLIDETITLE> <KEYWORDS>Windows Firewall</KEYWORDS> <KEYMESSAGE>Explain the use of the graphical interface.</KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT> The graphical interface configures all aspects of Windows Firewall. It has changed in a number of ways from the interface for Internet Configuration Firewall. The interface is accessed from the Windows Firewall icon in Control Panel. </SLIDESCRIPT> <SLIDETRANSITION>You will now see a demonstration of Windows Firewall.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Melhorias no Sistema de Segurança Melhorias na Segurança de Rede Opções de instalação do Service Pack 1 Windows Server 2003 SP1 e Exchange Evolução do Windows Server <SLIDETITLE>Agenda</SLIDETITLE> <KEYWORDS></KEYWORDS> <KEYMESSAGE>Describe the next agenda item.</KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT> We will now have a look at some network security enhancements. </SLIDESCRIPT> <SLIDETRANSITION>First, we will have a look at VPN quarantine.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Melhorias na Segurança de Rede Quarenta de VPN
Inclui os componentes Rqs.exe e Rqc.exe que facilitam a instalação do Network Access Quarantine Control Quarentena de Virtual Private Network (VPN) Etapa 1 – Autenticação de clientes Etapa 2 – Acesso somente a uma área restrita da rede Etapa 3 – Verificação de segurança Etapa 4 – Acesso a rede corporativa <SLIDETITLE>VPN quarantine</SLIDETITLE> <KEYWORDS>VPN quarantine</KEYWORDS> <KEYMESSAGE>Explain the VPN quarantine feature.</KEYMESSAGE> <SLIDEBUILDS>5</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]VPN quarantine is already available in the Windows Server 2003 Deployment Kit but is now included in SP1. [BUILD 2]The feature authenticates the client but does not initially give access to the network as a whole. [BUILD 3]Instead, the client has access to a restricted area. [BUILD 4]The restricted access allows various checks to take place including the existence of specific software and software versions. We can also execute scripts to configure the client or install required or newer software. [BUILD 5]Once all the checks have taken place, the client is allowed full access to the network. </SLIDESCRIPT> <SLIDETRANSITION>SP1 also includes protection for Remote Procedure Calls.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Melhorias na Segurança de Rede Segurança de RPC
RPC é um protocolo para comunicação pela rede Melhorias com o Service Pack 1 Requer conexões autenticadas Não é compatível com Named Pipes <SLIDETITLE>RPC security</SLIDETITLE> <KEYWORDS>RPC security</KEYWORDS> <KEYMESSAGE>Explain RPC security.</KEYMESSAGE> <SLIDEBUILDS>2</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]RPC is a protocol that is used by many applications and services for network communication. [BUILD 2]SP1 provides security enhancements to RPC communication. [BUILD 3]SP1 enables you to configure the server so that it requires authentication for any RPC connection. This means you are not relying on the developer to implement all the required security in the application. [BUILD 4]The feature does not include communications that use named pipes because of compatibility issues. </SLIDESCRIPT> <SLIDETRANSITION>Let's have a look at an RPC connection.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

<SLIDETITLE>RPC Security</SLIDETITLE> <KEYWORDS>RPC Security</KEYWORDS> <KEYMESSAGE>Explain RPC Security.</KEYMESSAGE> <SLIDEBUILDS>5</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]Client/server communications can occur over RPC. [BUILD 2]When a client communicates with a server using RPC, it is possible that the connection will succeed without authenticating the client. This can be a potential security issue. [BUILD 3]With SP1 we can now require security for all RPC connections. [BUILD 4]If RPC security is required, a connection that does not provide authentication will be denied. [BUILD 5]But a connection that provides authentication, as long as permissions are assigned, will be allowed. </SLIDESCRIPT> <SLIDETRANSITION>Let's see how RPC security is configured.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION> RPC Sem Autenticação Autenticação RPC

Configurações de Segurança do RPC RestrictRemoteClients EnableAuthEpResolution <SLIDETITLE>RPC Security</SLIDETITLE> <KEYWORDS>RPC Security</KEYWORDS> <KEYMESSAGE>Explain how RPC Security is applied</KEYMESSAGE> <SLIDEBUILDS>2</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]There are two new registry keys that control most of the RPC Security available with SP1. [BUILD 2]The RestrictRemoteClients registry key sets the security requirements for RPC interfaces on the server. This can be set using Group Policy. [BUILD 3]The EnableAuthEpResolution registry key is configured on the client and forces the client to send credentials to the server that can be authenticated. Remember that a Windows Server 2003 computer can be the server or client in the RPC process. </SLIDESCRIPT> <SLIDETRANSITION>Let's see a demonstration of RPC Security.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION> networkprotection/rpc.aspx

Melhorias na Segurança de Rede Segurança do DCOM
<SLIDETITLE>DCOM Security</SLIDETITLE> <KEYWORDS>DCOM Security</KEYWORDS> <KEYMESSAGE>Explain DCOM Security enhancements.</KEYMESSAGE> <SLIDEBUILDS>5</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]If a computer is running a DCOM server it can be accessed … [BUILD 2]… Locally or remotely. Because of this SP1 enables you to differentiate between local and remote access when setting permissions on the DCOM server. [BUILD 3]It is also possible that the computer is running multiple DCOM servers. [BUILD 4]Each DCOM server can be secured individually by the developer or administrator. [BUILD 5]SP1 enables you to configure global permissions that will affect all DCOM servers running on the computer. The individual permissions will still take effect if they are more stringent than the global permissions. </SLIDESCRIPT> <SLIDETRANSITION>Let's have a look at the specific permissions that can be applied to a DCOM server.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Permissões do DCOM Launch Activate Access <SLIDETITLE>DCOM Security </SLIDETITLE> <KEYWORDS>DCOM Security </KEYWORDS> <KEYMESSAGE>Explain DCOM Security permissions.</KEYMESSAGE> <SLIDEBUILDS>3</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]These permissions can be applied for local or remote access. [BUILD 2]The launch permission is required to start a DCOM server. [BUILD 3]The activate permission is required to initialize a DCOM server; this is required for the first use of the DCOM server. Before SP1 the activate permission was grouped with the launch permission as a single launch permission. [BUILD 4]The access permission is required to access a DCOM server that is already launched and activated. </SLIDESCRIPT> <SLIDETRANSITION>Let's have a look at the system-wide permissions.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Segurança do Sistema como um todo Configurados pelo Administrador Afeta todos os servidores DCOM Diretivas de Grupo (Group Policy) <SLIDETITLE>DCOM Security</SLIDETITLE> <KEYWORDS>DCOM Security</KEYWORDS> <KEYMESSAGE>Explain system-wide security.</KEYMESSAGE> <SLIDEBUILDS>4</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]DCOM system-wide security is configurable by an administrator … [BUILD 2]… And affects all DCOM servers on the computer [BUILD 3]System-wide security can be configured in component services … [BUILD 4]… Or by Group Policy </SLIDESCRIPT> <SLIDETRANSITION>Let's see a demonstration of DCOM Security.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Melhorias no Sistema de Segurança Melhorias na Segurança de Rede Opções de instalação do Service Pack 1 Windows Server 2003 SP1 e Exchange Evolução do Windows Server <SLIDETITLE>Demonstration: DCOM Security</SLIDETITLE> <KEYWORDS>DCOM Security</KEYWORDS> <KEYMESSAGE>Demonstrate DCOM Security.</KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT> Let's see how DCOM security works. </SLIDESCRIPT> <SLIDETRANSITION>Let's have a look at the next agenda item.</SLIDETRANSITION> <ADDITIONALINFORMATION> <ITEM></ITEM> </ADDITIONALINFORMATION>

Opções de Instalação do Service Pack 1
Possíveis Opções Instalação Manual Integrada (Slipstreaming) Softwares de Imagem Instalação via Scripts Considerações: Antes de proceder com a instalação do Service Pack1, toda e qualquer versão anterior do Service Pack 1 deverá ser desinstalada. A Microsoft não oferece suporte para instalação da versão final sobre versões Release Candidate ou Beta do SP1. <SLIDETITLE>SP1 Deployment</SLIDETITLE> <KEYWORDS>SP1 Deployment</KEYWORDS> <KEYMESSAGE>Explain some deployment options for SP1.</KEYMESSAGE> <SLIDEBUILDS>4</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]We can deploy SP1 manually. This is suitable with a small number of servers in small and medium organizations. [BUILD 2]For new server builds, slipstreaming SP1 with the operating system source files is beneficial. This is a process that includes the service pack with the source files so that when the operating system is installed, SP1 is installed as well. [BUILD 3]We can also use imaging software, which enables you to install and configure a server with SP1, and then take an image of it that can be deployed to multiple systems. [BUILD 4]Scripted installations enable you to set multiple configurations as the installation process runs through the use of unattended scripts. We can also use scripts to automate remote installations. </SLIDESCRIPT> <SLIDETRANSITION>Let's have a look at one of these options.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Melhorias no Sistema de Segurança Melhorias na Segurança de Rede Opções de instalação do Service Pack 1 Windows Server 2003 SP1 e Exchange Evolução do Windows Server <SLIDETITLE>Demonstration: DCOM Security</SLIDETITLE> <KEYWORDS>DCOM Security</KEYWORDS> <KEYMESSAGE>Demonstrate DCOM Security.</KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT> Let's see how DCOM security works. </SLIDESCRIPT> <SLIDETRANSITION>Let's have a look at the next agenda item.</SLIDETRANSITION> <ADDITIONALINFORMATION> <ITEM></ITEM> </ADDITIONALINFORMATION>

Windows Server 2003 SP1 e Exchange Considerações
O mecanismo preferencial para aumentar a segurança em servidores Exchange é seguindo as recomendações do Exchange Hardening Guide SCW foi testado pela equipe do Exchange O Exchange Hardening Guide possui informações mais detalhadas e específicas para o Exchange SCW faz uso de templates do Hardening Guide

As diretivas do SCW assumem que todas as aplicações (serviços) estejam instaladas nos seus diretórios padrões de instalação. Se o Exchange não é instalado no %ProgramFiles%\Exchsrvr, existe uma grande chance de surgirem problemas Na parte “Network Security” do SCW é habilitado o Windows Firewall e definidas as exceções

Segurança de Rede irá alertar de que determinado serviço não foi encontrado no seu diretório padrão de instalação Resolva o problema, ou o Windows Firewall vai acabar bloqueando uma aplicação / serviço valido

Se os alertas do SCW são ignorados, os serviços vão levantar, mas alguns clientes não vão conseguir se conectar Para corrigir: Faça o Roll-back da política de segurança aplicada usando o SCW Edite manualmente a política de exceção do Windows Firewall

Windows Server 2003 SP1 e Exchange Itens a serem lembrados…
Windows Firewall é um FIREWALL  Após adicionar um serviço, execute novamente o SCW e edite a lista de exceções do Windows Firewall! SCW permite a política em múltiplos servidores Se a política do SCW que você criou num servidor Exchange Server 2003 é importada num outro servidor Exchange Server 2003 e cujo diretório de instalação é diferente do que gerou a política, sérios problemas poderão ocorrer

Windows Server 2003 SP1 e Exchange Maiores informações…
Exchange Server 2003 Security Hardening Guide SCW Deployment Guide e SCW Troubleshooting Guide.

Melhorias no Sistema de Segurança Melhorias na Segurança de Rede Opções de instalação do Service Pack 1 Windows Server 2003 SP1 e Exchange Evolução do Windows Server <SLIDETITLE>Agenda</SLIDETITLE> <KEYWORDS></KEYWORDS> <KEYMESSAGE>Describe the next agenda item.</KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT> Before we finish let’s see what is in the future for Windows. </SLIDESCRIPT> <SLIDETRANSITION>Let's have a look at a future roadmap.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Futuro do Windows Server
2008 e além 2007 2006 Windows Server "Longhorn" Service Pack e Atualização 2005 (2 semestre) Windows Server "Longhorn" 2005 (1 semestre) Windows Server "Longhorn" Beta 2 Windows Server 2003 SP2 Windows Server 2003 "R2" Update Windows Server "Longhorn" Beta 1 Windows Server 2003 SP1 Windows Server 2003 for 64-Feature packs ainda por vir

Windows Server 2003 “R2” Principais Novidades
Baseado no Windows Server 2003 Service Pack1 Cenário de Branch Office DFS Replication DFS Management Console Print Management Console Sistema de Arquivos Quota Management Active Directory Federation Service Monitoramento de Hardware

Cenário Atual de Branch Office
Maioria das Empresas estão consolidando servidores nos sites centrais Novo movimento de consolidação de servidores nas Filiais para melhorar o TCO Servidores no Site Central? Servidores nas Filias? ou + Menor custo para gerenciar Servidores - WAN afeta experiência dos usuários Banda, latência, disponibilidade + Boa performance local, operações desconectadas, flexível - Maior custo para gerenciar Servidores Backup de Filias, recuperação, correção, etc

Solução para Branch Office
Backup & Gerenciamento centralizados, Publicação e Colaboração eficiente, Alta-disponibilidade Componentes para se alcançar isso: DFSR eficiente para WAN e backup central Compressão diferencial remota & replicação por demanda Backup de dados das filias sem dispositivos, midias ou administradores nas filias DFSR Management Console & Failover com Failback para alta disponibilidade Print Management Console Central Filial

Salvar apenas Mudanças
Replicação do DFS DFSR DFS Replication (DFSR) é um replicador de arquivos estado-da-arte que trabalha em conjunto com o DFS Namespace para oferecer alta-disponibilidade e um sistema de arquivos distribuído para redes WAN Substitui o File Replication Service (FRS) Totalmente redesenhado para aumentar a sua confiabilidade e performance Novos Recursos para seu Gerenciamento Console MMC, configuração via AD, Saúde e Monitoramento via WMI e MOM pack Utiliza um mecanismo eficiente de compressão diferencial remota para enviar apenas os bytes modificados pela rede Exemplo: Mudança do Título em PowerPoint de 3.5MB, sincronismo leva apenas 16KB Tipo de Conexão Salvar Tudo 3.5MB Salvar apenas Mudanças Modem 56K bps 10 minutos 3 segundos DSL 500K bps 70 segundos <1 segundos

Sistema de Arquivos Gerenciamento de Cotas
Gerenciamento de Cotas na versão “R2” fornece um conjunto de ferramentas para que administradores possam identificar e controlar o tipo e quantidade de dados armazenados nos seus servidores Relatórios de Armazenamento (Storage reports) – Informa a utilização Geração de relatórios agendada ou por demanda Escopo configurável: volumes, pastas e compartilhamentos Relatórios são armazenados localmente ou enviados por Cotas de Diretórios – monitora e controla o uso do espaço em disco Aplicada para arquivos de todos os usuários contidos no diretório – é baseada na utilização atual do disco Ex.: Utilização é monitorada em tempo real, impede a operação de I/O quando excede o limite Rica notificação e pode ser disparada por múltiplos gatilhos de acordo com os níveis de utilização configurados Ex: envio de quando a utilização atingir 80%, 90%, 95% File screening – Limita o tipo de arquivo permitidos no servidor Regras de File screening aplicam-se para arquivos de todos os usuários contidos numa pasta e são baseados em grupos de arquivos Suportas as mesmas notificações ricas que o gerenciamento de cotas

Active Dirtectory Federation Service (ADFS)
STS Federada STS para a Aplicação Federation STS R2 SIDs Federation STS Active Directory IBM, Oblix, RSA, etc R2 R2 Portal de Pedidos Aplicação de Pedidos IBM, Oblix, RSA, etc R2 Empresa B Empresa A Usuário acessa portal da Empresa A para utilizar Aplicação de Pedidos da Empresa B O Browser é redirecionado para o Security Token Service (STS) da Empresa A Autenticação é transparente usando-se Active Directory & Autenticação Integrada do Windows (Kerberos security token) SAML security token é obtido do STS da Empresa A para o STS da Empresa B Solicitação de Federação é feita baseada no acordo de negócio formalizado entre empresa A e B SAML security token para a aplicação é obtido do STS da Empresa B Solicitação especifica para Empresa B O Browser é redirecionado para a aplicação de pedidos da Empresa B e liberado o acesso

Gerenciamento de Hardware
Gerenciamento de Hardware torna o Windows Server ciente de instrumentação IPMI nas motherboards com novos drivers Eventos registrados no log de evento do hardware (SEL) também são mostrados no log de eventos do Windows Valores e provas fornecidas por sensores podem ser lidos e configurados através de novo provedor WMI (Ex.: velocidade da ventoinha e temperatura) Isso permite que IPMI esteja accessível para todas as ferramentas de gerenciamento e script que usam WMI Inclusão de um novo Web Services para protocolo de gerenciamento (WS-Management) Permite o gerenciamento remoto de servidores através de Firewall usando WMI via HTTP e SOAP Permite o gerenciamento remoto de servidores (com BMC’s suportando WS-Manangement) quando o sistema operacional não está ativo Ex.: pre-boot e post-crash (power-cycle, mudança de ordem de boot) IPMI – Intelligent Platform Management Interface BMC – Baseborad Management Controller SEL – System Event Log

Seu potencial. Nossa inspiração.

Windows Server™ 2003 SP1 & R2 Visão Geral

Apresentações semelhantes

Apresentação em tema: "Windows Server™ 2003 SP1 & R2 Visão Geral"— Transcrição da apresentação:

Apresentações semelhantes

Sobre projeto

Feedback

Login

Autorizar-se através da rede social:

Windows Server™ 2003 SP1 & R2 Visão Geral

Apresentações semelhantes

Apresentação em tema: "Windows Server™ 2003 SP1 & R2 Visão Geral"— Transcrição da apresentação:

Apresentações semelhantes

Sobre projeto

Feedback