A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Windows Server 2003 SP1 & R2 Visão Geral Rodrigo Vallim Especialista em Infra-estrutura Microsoft Brasil.

Apresentações semelhantes


Apresentação em tema: "Windows Server 2003 SP1 & R2 Visão Geral Rodrigo Vallim Especialista em Infra-estrutura Microsoft Brasil."— Transcrição da apresentação:

1 Windows Server 2003 SP1 & R2 Visão Geral Rodrigo Vallim Especialista em Infra-estrutura Microsoft Brasil

2 O que será abordado... Características do Service Pack 1 Ferramentas de configuração Melhorias no Sistema de Segurança Melhorias na Segurança de Rede Opções de instalação Windows Server 2003 SP1 e Exchange Evolução do Windows Server

3 Conhecimentos mínimos Experiência com ambientes Windows Experiência gerenciando segurança em Windows Experiência gerenciando protocolos de comunicação em rede do Windows

4 Agenda Introdução Objetivos do Windows Server 2003 SP1 Melhorias no Sistema de Segurança Melhorias na Segurança de Rede Opções de instalação do Service Pack 1 Windows Server 2003 SP1 e Exchange Evolução do Windows Server

5 Introdução Introdução Para que servem os Service Packs? Atualizações do Produto Melhorias na Estabilidade Melhorias na Compatibilidade Melhoria na Segurança

6 Agenda Introdução Objetivos do Windows Server 2003 SP1 Melhorias no Sistema de Segurança Melhorias na Segurança de Rede Opções de instalação do Service Pack 1 Windows Server 2003 SP1 e Exchange Evolução do Windows Server

7 Objetivos do Service Pack 1 para Windows Server 2003 Fornecer atualizações Acrescentar novas Tecnologias de Segurança Proteger o Sistema contra Acesso indesejado ou desnecessário à aplicações ou recursos do sistema operacional VírusWorms

8 Agenda Introdução Objetivos do Windows Server 2003 SP1 Melhorias no Sistema de Segurança Melhorias na Segurança de Rede Opções de instalação do Service Pack 1 Windows Server 2003 SP1 e Exchange Evolução do Windows Server

9 Melhorias no Sistema de Segurança Windows Server Post-Setup Security Updates Fornece proteção do servidor no período entre a instalação do sistema operacional e a instalação das últimas atualizações Windows Firewall está habilitado e ativo, a menos que seja explicitamente desabilitado durante a sua instalação

10 Melhorias no Sistema de Segurança Windows Server Post-Setup Security Updates Iniciado automaticamente após a instalação Atualização de Windows NT 4.0 para Windows 2003 Service Pack 1 Instalação combinada de Windows Server 2003 e Service Pack 1 Não iniciado automaticamente após a instalação Atualização de Windows 2000 para Windows Server 2003 com Service Pack 1 Atualização de Windows Server 2003 com Service Pack 1

11 Melhorias no Sistema de Segurança Data Execution Prevention (DEP) Configurável via Hardware ou Software DEP por Hardware Necessita de suporte por parte do processador O processador assinala áreas de memória como sendo não executáveis a menos que elas possuam especificamente código executável Pode causar problemas de compatibilidade DEP por Software Disponível para qualquer processador que suporte o Windows Server 2003 Protege binários do sistema de ataques que exploram exception handling Improvável que cause problemas de compatibilidade

12 Melhorias no Sistema de Segurança Data Execution Prevention (DEP) NE NE = No-Execute

13 Melhorias no Sistema de Segurança Data Execution Prevention (DEP) Configurações do Boot.ini /noexecute=PolicyLevel OptIn – DEP via Software está habilitado e o DEP via Hardware é aplicado somente para aplicações especificamente configuradas para usá-lo OptOut – DEP via Software e DEP via Hardware estão habilitados para todos os executáveis exceto para aplicações que constam da lista de exceção AlwaysOn – DEP via Software e DEP via Hardware estão sempre habilitados; Qualquer exceção configurada é ignorada AlwaysOff – DEP via Software e DEP via Hardware estão desabilitados

14 Melhorias no Sistema de Segurança Data Execution Prevention (DEP) Interface Gráfica Opção de Data Execution Prevention está em Control Panel | System | Advanced | Performance | Configura a lista de exceções para aplicações Desabilita o DEP via Hardware

15 Melhorias no Sistema de Segurança Internet Explorer Melhorias Prevenção de elevação de Zona Gerenciamento de Add-on Barra de informações Gerenciamento de Pop-up Restrição em Janelas Controle mais rigoroso para downloads Windows XP Service Pack 2 2DEE-4772-ADD9-AD0EAF89C4A7&displaylang=en

16 Melhorias no Sistema de Segurança Security Configuration Wizard (SCW) O que é o SCW? Security Configuration Wizard (SCW) é uma ferramenta para reduzir a superfície de ataque Após aplicar o SP1, aparecerá um atalho do SCW no desktop: Instalado via Control Panel | Add/Remove Programs | Windows Components

17 Melhorias no Sistema de Segurança Security Configuration Wizard (SCW) O que ele faz? Fornece um passo-à-passo que: Identifica portas abertas O SCW deverá ser executado com as aplicações e serviços desejados ativos no servidor Seleciona os possíveis papeis do Security Configuration Database Configura os serviços requeridos Desabilita serviços desnecessários Configura as portas no Firewall Bloqueia portas não utilizadas Restringe (endereço) também de portas que ficaram abertas Proíbe extensões Web desnecessários mesmo que estejam ativas no IIS Reduzir a exposição de protocolos (SMB, LanMan, LDAP) Definir uma política de auditoria Varias etapas do SCW podem ser puladas

18 Melhorias no Sistema de Segurança Security Configuration Wizard (SCW) Componente #1 do SCW Interface gráfica do SCW Cria novas políticas de segurança Edita políticas de seguranças existentes geradas pelo SCW Aplica políticas de seguranças existentes geradas pelo SCW Realiza Roll-back da última política de segurança aplicada pelo SCW

19 Melhorias no Sistema de Segurança Security Configuration Wizard (SCW) Componente #2 do SCW Ferramenta de linha de comando Scwcmd Sintaxe: scwcmd.exe configure /p:webserverpolicy.xml Configura um ou mais servidores com uma política de segurança gerada pelo SCW Analisa um ou mais servidores com políticas de seguranças geradas pelo SCW aplicadas Permite visualização do resultado da análise em formato HTML Roll-back de políticas de segurança do SCW Transforma uma política gerada pelo SCW num arquivo nativo que é suportado pelas Diretivas de Grupo (Group Policy) Registra as extensões do Security Configuration Database no SCW

20 Melhorias no Sistema de Segurança Security Configuration Wizard (SCW) Componente #3 do SCW Security Configuration Database É um conjunto de documentos XML contendo uma lista de serviços e portas necessários para cada função desempenhada no servidor e suportada no SCW %Systemroot%\Security\Msscw\KBs SCW varre o servidor em busca de serviços instalados e sugere quais serviços deverão estar ativos W2k3.xml SQL.xml Exchange.xml Knowledge Base… SMS.xml

21 Melhorias no Sistema de Segurança Security Configuration Wizard (SCW) Personalização do arquivo.XML (KB) É suportado para atender uma necessidade específica Quando estiver investigando problemas, lembre-se de que o ambiente pode estar aplicando / reaplicando arquivos.XML personalizados e que podem ou não apresentar resultados previsíveis

22 Melhorias no Sistema de Segurança Windows Firewall Melhorias ao Internet Connection Firewall (ICF) Não habilitado no padrão Exceto no PSSU Pode ser configurado durante a instalação

23 Melhorias no Sistema de Segurança Windows Firewall Port 80 App.exe

24 Melhorias no Sistema de Segurança Windows Firewall Benefícios Segurança durante o tempo de Boot Configurações Globais Ativo sem exceções Múltiplos Perfis

25 Melhorias no Sistema de Segurança Windows Firewall

26

27

28 Agenda Introdução Objetivos do Windows Server 2003 SP1 Melhorias no Sistema de Segurança Melhorias na Segurança de Rede Opções de instalação do Service Pack 1 Windows Server 2003 SP1 e Exchange Evolução do Windows Server

29 Melhorias na Segurança de Rede Quarenta de VPN Inclui os componentes Rqs.exe e Rqc.exe que facilitam a instalação do Network Access Quarantine Control Quarentena de Virtual Private Network (VPN) Etapa 1 – Autenticação de clientes Etapa 2 – Acesso somente a uma área restrita da rede Etapa 3 – Verificação de segurança Etapa 4 – Acesso a rede corporativa rantine.mspx

30 Melhorias na Segurança de Rede Segurança de RPC RPC é um protocolo para comunicação pela rede Melhorias com o Service Pack 1 Requer conexões autenticadas Não é compatível com Named Pipes

31 Melhorias na Segurança de Rede Segurança de RPC RPC Sem Autenticação Autenticação RPC

32 Melhorias na Segurança de Rede Segurança de RPC Configurações de Segurança do RPC RestrictRemoteClientsEnableAuthEpResolution networkprotection/rpc.aspx

33 Melhorias na Segurança de Rede Segurança do DCOM

34 Permissões do DCOM LaunchActivateAccess

35 Melhorias na Segurança de Rede Segurança do DCOM Segurança do Sistema como um todo Configurados pelo Administrador Afeta todos os servidores DCOM Diretivas de Grupo (Group Policy)

36 Agenda Introdução Objetivos do Windows Server 2003 SP1 Melhorias no Sistema de Segurança Melhorias na Segurança de Rede Opções de instalação do Service Pack 1 Windows Server 2003 SP1 e Exchange Evolução do Windows Server

37 Opções de Instalação do Service Pack 1 Possíveis Opções Instalação Manual Integrada (Slipstreaming) Softwares de Imagem Instalação via Scripts Considerações: Antes de proceder com a instalação do Service Pack1, toda e qualquer versão anterior do Service Pack 1 deverá ser desinstalada. A Microsoft não oferece suporte para instalação da versão final sobre versões Release Candidate ou Beta do SP1.

38 Agenda Introdução Objetivos do Windows Server 2003 SP1 Melhorias no Sistema de Segurança Melhorias na Segurança de Rede Opções de instalação do Service Pack 1 Windows Server 2003 SP1 e Exchange Evolução do Windows Server

39 Windows Server 2003 SP1 e Exchange Considerações O mecanismo preferencial para aumentar a segurança em servidores Exchange é seguindo as recomendações do Exchange Hardening Guide Exchange Hardening GuideExchange Hardening Guide SCW foi testado pela equipe do Exchange O Exchange Hardening Guide possui informações mais detalhadas e específicas para o Exchange SCW faz uso de templates do Hardening Guide

40 Windows Server 2003 SP1 e Exchange Considerações As diretivas do SCW assumem que todas as aplicações (serviços) estejam instaladas nos seus diretórios padrões de instalação. Se o Exchange não é instalado no %ProgramFiles%\Exchsrvr, existe uma grande chance de surgirem problemas Na parte Network Security do SCW é habilitado o Windows Firewall e definidas as exceções

41 Windows Server 2003 SP1 e Exchange Considerações Segurança de Rede irá alertar de que determinado serviço não foi encontrado no seu diretório padrão de instalação Resolva o problema, ou o Windows Firewall vai acabar bloqueando uma aplicação / serviço valido

42 Windows Server 2003 SP1 e Exchange Considerações Se os alertas do SCW são ignorados, os serviços vão levantar, mas alguns clientes não vão conseguir se conectar Para corrigir: Faça o Roll-back da política de segurança aplicada usando o SCW Edite manualmente a política de exceção do Windows Firewall

43 Windows Server 2003 SP1 e Exchange Itens a serem lembrados… Windows Firewall é um FIREWALL Windows Firewall é um FIREWALL Após adicionar um serviço, execute novamente o SCW e edite a lista de exceções do Windows Firewall! SCW permite a política em múltiplos servidores Se a política do SCW que você criou num servidor Exchange Server 2003 é importada num outro servidor Exchange Server 2003 e cujo diretório de instalação é diferente do que gerou a política, sérios problemas poderão ocorrer

44 Windows Server 2003 SP1 e Exchange Maiores informações… Exchange Server 2003 Security Hardening Guide brary/exsecure.mspx SCW Deployment Guide e SCW Troubleshooting Guide eb9-4a45-aa00-3f2f20fd6171&displaylang=en

45 Agenda Introdução Objetivos do Windows Server 2003 SP1 Melhorias no Sistema de Segurança Melhorias na Segurança de Rede Opções de instalação do Service Pack 1 Windows Server 2003 SP1 e Exchange Evolução do Windows Server

46 Futuro do Windows Server 2005 (1 semestre) (2 semestre) e além Windows Server 2003 SP1 Windows Server 2003 for 64- Feature packs ainda por vir Windows Server 2003 "R2" Update Windows Server "Longhorn" Beta 1 Windows Server "Longhorn" Beta 2 Windows Server 2003 SP2 Windows Server "Longhorn" Windows Server "Longhorn" Service Pack e Atualização

47 Windows Server 2003 R2 Principais Novidades Baseado no Windows Server 2003 Service Pack1 Cenário de Branch Office DFS Replication DFS Management Console Print Management Console Sistema de Arquivos Quota Management Active Directory Federation Service Monitoramento de Hardware

48 Cenário Atual de Branch Office Maioria das Empresas estão consolidando servidores nos sites centrais Novo movimento de consolidação de servidores nas Filiais para melhorar o TCO Servidores no Site Central? Servidores nas Filias? ou + Menor custo para gerenciar Servidores - WAN afeta experiência dos usuários Banda, latência, disponibilidade + Boa performance local, operações desconectadas, flexível - Maior custo para gerenciar Servidores Backup de Filias, recuperação, correção, etc

49 Solução para Branch Office Backup & Gerenciamento centralizados, Publicação e Colaboração eficiente, Alta-disponibilidade Componentes para se alcançar isso: DFSR eficiente para WAN e backup central Compressão diferencial remota & replicação por demanda Backup de dados das filias sem dispositivos, midias ou administradores nas filias DFSR Management Console & Failover com Failback para alta disponibilidade Print Management Console Central Filial

50 Replicação do DFS DFSR DFS Replication (DFSR) é um replicador de arquivos estado-da-arte que trabalha em conjunto com o DFS Namespace para oferecer alta- disponibilidade e um sistema de arquivos distribuído para redes WAN Substitui o File Replication Service (FRS) Totalmente redesenhado para aumentar a sua confiabilidade e performance Novos Recursos para seu Gerenciamento Console MMC, configuração via AD, Saúde e Monitoramento via WMI e MOM pack Utiliza um mecanismo eficiente de compressão diferencial remota para enviar apenas os bytes modificados pela rede Exemplo: Mudança do Título em PowerPoint de 3.5MB, sincronismo leva apenas 16KB Tipo de Conexão Salvar Tudo 3.5MB Salvar apenas Mudanças Modem 56K bps 10 minutos 3 segundos DSL 500K bps 70 segundos <1 segundos

51 Sistema de Arquivos Gerenciamento de Cotas Gerenciamento de Cotas na versão R2 fornece um conjunto de ferramentas para que administradores possam identificar e controlar o tipo e quantidade de dados armazenados nos seus servidores Relatórios de Armazenamento (Storage reports) – Informa a utilização Geração de relatórios agendada ou por demanda Escopo configurável: volumes, pastas e compartilhamentos Relatórios são armazenados localmente ou enviados por Cotas de Diretórios – monitora e controla o uso do espaço em disco Aplicada para arquivos de todos os usuários contidos no diretório – é baseada na utilização atual do disco Ex.: Utilização é monitorada em tempo real, impede a operação de I/O quando excede o limite Rica notificação e pode ser disparada por múltiplos gatilhos de acordo com os níveis de utilização configurados Ex: envio de quando a utilização atingir 80%, 90%, 95% File screening – Limita o tipo de arquivo permitidos no servidor Regras de File screening aplicam-se para arquivos de todos os usuários contidos numa pasta e são baseados em grupos de arquivos Suportas as mesmas notificações ricas que o gerenciamento de cotas

52 Active Dirtectory Federation Service (ADFS) 1.Usuário acessa portal da Empresa A para utilizar Aplicação de Pedidos da Empresa B 2.O Browser é redirecionado para o Security Token Service (STS) da Empresa A Autenticação é transparente usando-se Active Directory & Autenticação Integrada do Windows (Kerberos security token) 3.SAML security token é obtido do STS da Empresa A para o STS da Empresa B Solicitação de Federação é feita baseada no acordo de negócio formalizado entre empresa A e B 4.SAML security token para a aplicação é obtido do STS da Empresa B Solicitação especifica para Empresa B 5.O Browser é redirecionado para a aplicação de pedidos da Empresa B e liberado o acesso Empresa B Empresa A ActiveDirectory FederationSTS FederationSTS SIDs STSFederada STS para a Aplicação Aplicação de Pedidos Portal de Pedidos

53 Gerenciamento de Hardware Gerenciamento de Hardware torna o Windows Server ciente de instrumentação IPMI nas motherboards com novos drivers Eventos registrados no log de evento do hardware (SEL) também são mostrados no log de eventos do Windows Valores e provas fornecidas por sensores podem ser lidos e configurados através de novo provedor WMI (Ex.: velocidade da ventoinha e temperatura) Isso permite que IPMI esteja accessível para todas as ferramentas de gerenciamento e script que usam WMI Inclusão de um novo Web Services para protocolo de gerenciamento (WS-Management) Permite o gerenciamento remoto de servidores através de Firewall usando WMI via HTTP e SOAP Permite o gerenciamento remoto de servidores (com BMCs suportando WS-Manangement) quando o sistema operacional não está ativo Ex.: pre-boot e post-crash (power-cycle, mudança de ordem de boot)

54 Seu potencial. Nossa inspiração.


Carregar ppt "Windows Server 2003 SP1 & R2 Visão Geral Rodrigo Vallim Especialista em Infra-estrutura Microsoft Brasil."

Apresentações semelhantes


Anúncios Google