Seminários Webcasts Segurança num servidor de correio electrónico Marcos Santos Microsoft Portugal

Agenda Introdução Seminários Webcasts Tema 2ª Sessão Segurança num servidor de correio electrónico Perguntas e Respostas Conclusão

Ciclo de Seminários Objectivo: proporcionar aos responsáveis que trabalham com sistemas de informação sessões técnicas com bons oradores e com bom conteúdo Vantagens deste formato: Interactividade com o orador Poupança de custos (deslocação, tempo) Possibilidade de assistir ao evento à posteriori

Comentários da 1ª Sessão A melhorar: O discurso deverá ser mais pausado, por vezes falou-se rápido demais. O som estava muito baixo Haver em alternativa um horário pós-laboral, pois nem sempre é possível assistir a estas sessões neste horário. Mais tempo para esclarecer as duvidas. Mais interactividade entre os participantes e os Formadores

Comentários da 2ª Sessão Positivos: Parabéns! Foi um excelente evento! Os meus parabéns por esta iniciativa. Sou um grande fã do modelo webcast e quero deixar claro o meu contentamento por ouvir falar português nestas iniciativas. O número de participantes foi também uma agradável surpresa. Parabéns. Excelente, assim posso receber formação e se for necessário fazer manutenção urgente! A minha presença foi também a dos alunos das três turmas do Curso de Informática, que se tudo correr bem assistirão aos próximos eventos

Temas Segurança Servidores Windows – já disponível Implementar Segurança num servidor de correio electrónico Combater o Spam e os Vírus num sistema de correio electrónico Implementar o acesso seguro ao correio electrónico e à rede da organização Como proteger os dados e a informação da sua organização Instalação, Segurança e Manutenção de Redes Wireless As vossas sugestões são importantes…

Logística Utilização do Live Meeting Problemas com Live Meeting enviar mail para Como fazer perguntas aos oradores? Janela do lado direito no fundo As perguntas serão respondidas no final de cada apresentação por ordem

Passatempo Como ganhar a XBox 360? O participante que fizer a pergunta nº X irá receber esta consola. Vencedor da 1ª Sessão Mário Luís Leandro Direcção de Sistemas de Informação Sistemas Distribuídos Banco BPI Banco BPI

Segurança num Servidor de Correio Electrónico Alessandra Rodrigues Consultora de Segurança Unisys Portugal Francisco Sanches Consultor de Segurança Unisys Portugal

Sobre a Unisys A Unisys é uma companhia multinacional de consultoria, fornecedora de serviços e soluções de tecnologias de informação, cujos profissionais disponibilizam conhecimento especializado em consultoria, integração de sistemas, outsourcing, infra-estruturas e tecnologia de servidores, para apoiar as organizações em todo o mundo e assegurar as suas operações de negócio.

Pré-requisitos Aconselhados Experiência com Microsoft Windows Server 2003 Conhecimentos de redes, incluindo TCP/IP, DNS e IIS Conhecimentos de Microsoft Exchange Server 2003 Conhecimentos de protocolos Internet incluindo POP3, IMAP4, SMTP, HTTP e NNTP Conhecimentos sobre os conceitos e tecnologias PKI Nível 200

Desafios ao Sistema de Correio Electrónico O correio só por si já não chega Contactos, agenda, lista de tarefas… Repositório do correio electrónico Acesso remoto seguro Protocolo SMTP não foi desenhado a pensar na segurança AutenticaçãoConfidencialidadeIntegridade Não repúdio

Agenda Implementar um Exchange Server 2003 Proteger os serviços e protocolos de mensagem do Exchange Server 2003 Manter o Exchange Server 2003 seguro Exchange Server 2003 SP2

Implementar um Exchange Server Implementar um Exchange Server 2003 Proteger os serviços e protocolos de mensagem do Exchange Server 2003 Manter o Exchange Server 2003 seguro Exchange Server 2003 SP2

Segurança num Exchange Server Secure by design Seguro by default Suporte para filtragem de Sender, Recipient e Connection, incluindo serviços de Block List Seguro by default Suporte para filtragem de Sender, Recipient e Connection, incluindo serviços de Block List Secure by default User logon no servidor está desabilitada Configuração de limites de mensagens (10MB) User logon no servidor está desabilitada Configuração de limites de mensagens (10MB) Microsoft Exchange Server 2003 Security Enhancements security_E2k3.mspx

Cenários de Instalação do Exchange Server Cenário ISA Server Cenário Base Cenário FE/BE Exchange server Exchange server Internet Front-end Exchange server Front-end Exchange server Back-end Exchange server Back-end Exchange server ISA server Exchange server Exchange server

Clientes do Exchange Server Cliente para acesso genérico: Microsoft Outlook Cliente para acesso Mobile: Outlook Web Access Outlook Mobile Access Exchange Server ActiveSync Outlook Web Access Outlook Mobile Access Exchange Server ActiveSync Os cenários de clientes para o Exchange Server 2003 incluem os seguintes:

Configuração e Actualizações de Segurança Recomendadas para o Exchange Server ComponenteConfiguração Sistema Operativo e Software Microsoft Windows Server 2003 com as últimas actualizações de segurança Exchange Server 2003 com o Service Pack 2 (ou mais alto) Microsoft Exchange Intelligent Message Filter Browser Internet Explorer 6 com as últimas actualizações de segurança Gestão das Actualizações de Segurança Microsoft Baseline Security Analyzer Configuração do Exchange Exchange Best Practice Analyzer

A defesa em profundidade Utilizar uma aproximação por níveis: Aumenta a possibilidade de identificação do atacante Reduz a eficácia de um ataque Políticas e procedimentos de Segurança, formação dos utilizadores Políticas, procedimentos e percepção Guardas, fechaduras, cadeados Segurança Física Fortalecer a aplicação Aplicações Fortalecer o SO, autenticação, Gestão de actualizações, auditar Sistemas Segmentos de rede, NIDS, IPSec Rede Interna Firewalls, border routers, VPNs com procedimentos de quarentena Perímetro Senhas fortes, ACLs, estratégia de salvaguarda e recuperação Dados

Proteger os serviços e protocolos de mensagem do Exchange Server 2003 Implementar um Exchange Server 2003 Proteger os serviços e protocolos de mensagem do Exchange Server 2003 Manter a Segurança no Exchange Server 2003 Exchange Server 2003 SP2

Proteger o Exchange Server: Quais os desafios? Os desafios para proteger o Exchange Server incluem: Manter a segurança da Infra-estrutura Windows subjacente Manter baselines de segurança como prática de hardening Compreender as opções de segurança para os vários cenários de implementação Manter a segurança da Infra-estrutura Windows subjacente Manter baselines de segurança como prática de hardening Compreender as opções de segurança para os vários cenários de implementação

Fortalecer o Ambiente de Mensagens Para fortalecer o ambiente de mensagens do Exchange, recomenda-se: Ambiente ConfiguraçãoExemplo Ambiente Servidor Aplicar as Baseline Policy templates para Domínio, Controlador de Domínio e Servidores Membros Windows Server 2003 Security Guide disponível em Ambiente Mensagem Aplicar a Baseline Policy template do Exchange Domain Controller Exchange Server 2003 Security Hardening Guide disponível em echnol/exchange/2003/library/exsecure. mspx

Hardening de um Back-End Exchange Server As tarefas para efectuar o hardening de um back-end Exchange server incluem: Hardening dos serviços Hardening das listas de controlo de acessos a ficheiros (ACLs) Alteração de Privilégios Activação de serviços adicionais (opcional) Hardening dos serviços Hardening das listas de controlo de acessos a ficheiros (ACLs) Alteração de Privilégios Activação de serviços adicionais (opcional) Aplicar o template de segurança Exchange 2003 Backend.inf aos servidores back-end

Hardening de um Front-End Exchange Server As tarefas para efectuar o hardening de um front-end Exchange server incluem: Hardening dos serviços Hardening das listas de controlo de acessos a ficheiros (ACLs) Activação de serviços adicionais (opcional) Utilizar o URLScan (opcional, mas recomendado) Dismount o Mailbox Store e apagar o Public Folder Store (opcional, mas recomendado) Hardening dos serviços Hardening das listas de controlo de acessos a ficheiros (ACLs) Activação de serviços adicionais (opcional) Utilizar o URLScan (opcional, mas recomendado) Dismount o Mailbox Store e apagar o Public Folder Store (opcional, mas recomendado) Aplicar o template de segurança Exchange 2003 Frontend.inf aos front-end servers

Clientes Remotos Outlook Web Access Virtualmente qualquer ponto Security: Public or shared / Private Client: Basic / Premium Tratamento de anexos RPC over HTTP Ligação através do cliente Outlook Não necessita de hardware especial Necessidade de firewall com capacidade de reverse proxy.

SMTP Relaying SMTP Relaying : Quando um servidor SMTP aceita mensagens de um domínio DNS endereçadas a caixas de correio de outro domínio, sendo que nenhum dos domínios é gerido por este servidor Relaying pode ser necessário quando: Se aceita correio destinado a outra organização Suporte para clientes que utilizam POP3 ou IMAP4 Suporte para aplicações que geram correio SMTP Se aceita correio destinado a outra organização Suporte para clientes que utilizam POP3 ou IMAP4 Suporte para aplicações que geram correio SMTP Evitar open relays: Permitindo que só computadores autenticados o possam fazer Limitando a capacidade de relay a um conjunto específico Utilizando um conector SMTP para fazer relay para domínios específicos Permitindo que só computadores autenticados o possam fazer Limitando a capacidade de relay a um conjunto específico Utilizando um conector SMTP para fazer relay para domínios específicos

Protegendo as comunicações SMTP entre Servidores de Correio Electrónico Para proteger comunicações SMTP entre servidores: Instalar e configurar um certificado X.509 no servidor SMTP 1 1 Activar e configurar a cifra TLS para correio a chegar 2 2 Activar e configurar cifra TLS para correio a enviar para domínios específicos 3 3

Protegendo Exchange Servers: Melhores Práticas Limitar as funcionalidades do Exchange Server aos clientes que são estritamente necessários Estar informado das últimas actualizações para o Exchange Server 2003 e para o sistema operativo Utilizar SSL/TLS e autenticação forms-based no Outlook Web Access Utilizar o ISA Server 2004 para regular o tráfego HTTP, RPC sobre HTTPS, POP3, e IMAP4

Manter a Segurança do Exchange Server 2003 Implementar um Exchange Server 2003 Proteger os serviços e protocolos de mensagem do Exchange Server 2003 Manter a Segurança no Exchange Server 2003 Exchange Server 2003 SP2

Manter a Segurança no Exchange Server: Quais os desafios? Os desafios para manter a segurança no Exchange Server incluem: Acompanhar as últimas actualizações de segurança Acompanhar as melhores práticas recomendadas Compreender o impacto da configuração das várias opções do Exchange Server 2003 Manter actualizada a documentação sobre a configuração e opções de segurança Acompanhar as últimas actualizações de segurança Acompanhar as melhores práticas recomendadas Compreender o impacto da configuração das várias opções do Exchange Server 2003 Manter actualizada a documentação sobre a configuração e opções de segurança

Utilizar Permissões e Perfis de Administração Identificar os diferentes perfis dos administradores Definir as permissões necessárias e aplicar o perfil de administração do Exchange 2003 adequado com base no princípio do Privilégio Mínimo. Utilizar Exchange Administration Delegation Wizard Exchange View Only Exchange Administrator Exchange Full Administrator

Analisar o Exchange Server 2003 com o MBSA O MBSA analisa as questões relacionadas com: Questões de segurança conhecidas relacionadas com o Windows e o Internet Explorer Actualizações de segurança em falta Senhas fracas Questões de segurança do Internet Information Services (IIS) Questões de segurança do Exchange Server Questões de segurança do SQL Server

Validar as Configurações do Exchange Server O ExBPA examina os servidores Exchange para: Gerar uma lista de questões, tais como más configurações ou opções não suportadas ou não recomendadas Julgar o estado geral de saúde do sistema Ajudar a resolver problemas específicos Ferramentas de Análise do Exchange: Best Practice Analyzer Tool Performance Troubleshooting Analyzer Tool Disaster Recovery Analyzer Tool Best Practice Analyzer Tool Performance Troubleshooting Analyzer Tool Disaster Recovery Analyzer Tool exchange/downloads/2003/analyzers/default.mspx

Implementar uma Protecção Antivírus no Exchange Server Durante o desenho e implementação de uma solução de antivírus, deve ter em consideração: Desenhar uma abordagem de defesa em profundidade Implementar um antivírus que suporte AVAPI 2.5 Configurar correctamente a lista de excepções do antivírus nas directorias do Exchange Server Desenhar uma abordagem de defesa em profundidade Implementar um antivírus que suporte AVAPI 2.5 Configurar correctamente a lista de excepções do antivírus nas directorias do Exchange Server Overview of Exchange Server 2003 and antivirus software default.aspx?scid=kb;en-us; Overview of Exchange Server 2003 and antivirus software default.aspx?scid=kb;en-us;823166

Exchange Server 2003 Implementar um Exchange Server 2003 Proteger os serviços e protocolos de mensagem do Exchange Server 2003 Manter a Segurança no Exchange Server 2003 Exchange Server 2003 SP2

Direct Push O Exchange entrega automaticamente os dados aos clientes móveis sobre HTTP ou HTTPS. A sincronização inclui a lista de tarefas. Suporta Policy Enforcement Remote Wipe Pin Lock Local Wipe Pesquisa remota de contactos a partir do dispositivos móvel Pesquisar a Global Address List

Exchange Server 2003 SP2 Aumento da dimensão máxima do repositório de mensagens A versão Standard passa de 16GB para 75GB Simplificação da administração de Public Folders Interromper uma replicação Groupwise migration tool Suporte para coexistência ou migração de Novel GroupWise6.x para Exchange 2003

Exchange Server 2003 SP2 Versão melhorada do IMF e das funcionalidades de SenderID juntamente com SPF reverse lookup PCL (Phishing Confidential Level) SCL (SPAM Confidential Level) Custom Weights List Autenticação baseada em certificados e suporte a Secure/Multipurpose Internet Mail Extensions (S/MIME) Melhor suporte aos dispositivos móveis Compressão dos dados com GZIP

Sumário da Sessão Implementar o Exchange Server 2003 juntamente com o Microsoft Office Outlook 2003 para obter a vantagem das últimas alterações de segurança Implementar os templates de segurança adequados para tornar o Exchange Server 2003 seguro Configurar as permissões e privilégios de segurança adequadamente Instalar antivírus Exchange-aware e manter a segurança utilizando as ferramentas MBSA e ExBPA Exchange Server 2003 SP2

Francisco Sanches Consultor de Segurança Unisys Portugal Demonstração 1: Protegendo e Testando o SMTP Relaying

Alessandra Rodrigues Consultor de Segurança Unisys Portugal Demonstração 2: Analisar as Configurações do Exchange Server 2003 Analisar o Exchange Server utilizando o MBSA e o ExBPA

Sobre a Unisys na Segurança A área de Segurança da Unisys disponibiliza soluções de consultoria, implementação e gestão de serviços de segurança, que assenta em 5 pilares operacionais: Continuidade de Negócio: identificação de soluções que previnem incidentes ou interrupções do negócio (ex. Gestão de Risco, BIA). Protecção de Infra-estruturas TIC: soluções que permitem defender os sistemas de informação de interrupções internas e externas (ex. Firewall, IDS, Anti-Vírus, Filtro de Conteúdos, Sistema de Monitorização, VPN, Auditoria, Política de Segurança, entre outros controlos). (cont.)

Sobre a Unisys na Segurança (cont.) Identificação: soluções de autenticação para aceder à organização ou aos seus sistemas de informação (ex. User/Password, Smartcard, Tokens, Certificados, Biometria). Colaboração: soluções para gestão e partilha segura de informação interna e externa da organização (ex. gestão de acessos com base no nível de autorização do utilizador, de acordo com as aplicações e funcionalidades). Privacidade: soluções que asseguram que os dados encontram-se protegidos e só são trocados entre as organização autorizadas (ex. cifra de dados, selo temporal, assinatura digital e legislação).

Perguntas e Respostas ?

Recursos Exchange Server 2003 in Depth Configuration and Security Update recommendations for Exchange Server estconfig.mspx estconfig.mspx Microsoft Exchange Server Analyzer Tools oads/2003/analyzers/default.mspx oads/2003/analyzers/default.mspx ISA server Exchange Server = More Secure You Had Me At EHLO... aka the Microsoft Exchange Team

Recursos Microsoft Security Baseline Analyzer 2.0 (MBSA) Site Segurança Actualizações e Notificações de alerta gratuitas Newsletter de segurança Microsoft Auto-avaliação de Risco de Segurança

Próximas Sessões 8 Março - Combater o Spam e os Vírus num sistema de correio electrónico 12 Abril – Implementar o acesso seguro ao correio electrónico e à rede da organização 10 Maio - Como proteger os dados e a informação da sua organização 14 Junho - Instalação, Segurança e Manutenção de Redes Wireless

Já reparou que o Portal TechNet está diferente?

Recursos Úteis Recursos para Comunidades Microsoft Subscrições TechNet Certificações ITs Showtime Webcasts

Passatempo Bónus Extra Habilite-se a ganhar uma Xbox 360 nas duas primeiras sessões! Complete o questionário de avaliação no final desta sessão e na próxima sessão saberá quem é o vencedor.

Link para preenchimento do questionário de avaliação eu.microsoft.com/cui/WelcomePage.aspx?EventID = &culture=pt-PT Live Meeting Web Changes directly made to this slide will not be displayed in Live Meeting. Edit this slide by selecting Properties in the Live Meeting Presentation menu.

© 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.