Seminários Webcasts Segurança em servidores Windows Marcos Santos marcoss@microsoft.com Microsoft Portugal
Agenda Ciclo de Seminários Webcasts 3/24/2017 Agenda Ciclo de Seminários Webcasts Estratégia Microsoft para área de Segurança Tema 1ª Sessão Segurança Servidores Windows Conclusão
Ciclo de Seminários Objectivo: proporcionar aos responsáveis que trabalham com sistemas de informação sessões técnicas com bons oradores e com bom conteúdo Vantagens deste formato: Interactividade com o orador Poupança de custos (deslocação, tempo) Possibilidade de assistir ao evento à posteriori
Temas As vossas sugestões são importantes… Segurança Servidores Windows Implementar Segurança num servidor de correio electrónico Implementar o acesso seguro ao correio electrónico e à rede da organização Mitigar as ameaças no Windows 98 e NT 4.0 Como proteger os dados e a informação da sua organização Instalação, Segurança e Manutenção de Redes Wireless As vossas sugestões são importantes…
Logística Utilização do Live Meeting Problemas com Live Meeting enviar mail para wcport@microsoft.com Como fazer perguntas aos oradores? Janela do lado direito no fundo As perguntas serão respondidas no final de cada apresentação por ordem
Passatempo Como ganhar a XBox 360? O participante que fizer a pergunta nº X irá receber esta consola.
3/24/2017 Estratégia Segurança
Orientação Prescritiva 3/24/2017 Ênfase na Segurança Estratégia Uma plataforma Segura reforçada por produtos e serviços seguros e orientação para manter os clientes seguros Investimentos em Tecnologia Parceria Com Indústria Orientação Prescritiva Excelência no fundamental Inovações Conteúdos e ferramentas em cenários Resposta a incidentes Informação e educação Colaboração e parceria
Investimentos em Segurança 3/24/2017 Investimentos em Segurança Autenticação e Controlo de Acessos Ameaças e Vulnerabilidades Básico/Fundamental
Parceria com a Industria Alertar Utilizadores Domésticos 3/24/2017 Cumprimento da Lei Parceria com a Industria Organismos Locais Alertar Utilizadores Domésticos
Orientação Prescritiva 3/24/2017 Orientação Prescritiva Actualizações Segurança New guidance since June Available on: Microsoft.com/technet/security : Password Management and Identity Management Microsoft Identity and Access Management Series Microsoft Shared Computer Toolkit for Windows XP. Five New Planning Guides The Services and Service Accounts Security Planning Guide (for Windows Services) The Security Monitoring and Attack Detection Planning Guide The Secure Access Using Smart Cards Planning Guide The Administrator Accounts Security Planning Guide Implementing Quarantine Services with Microsoft Virtual Private Network Planning Guide Formações Segurança Consciencialização e informação www.microsoft.com/portugal/seguranca
Implementação de segurança em servidores Windows 2000 e Windows 2003 3/24/2017 Implementação de segurança em servidores Windows 2000 e Windows 2003 Sergio Fonseca Administrador de Sistemas Vodafone Pedro Monteiro Administrador de Sistemas Vodafone 12
Pre-requesitos aconselhados 3/24/2017 Pre-requesitos aconselhados Prática na utilização dos sistemas operativos Windows 2000 Server ou Windows 2003 Server Prática na utilização de utilitários do Windows Conhecimentos de Active Directory e Group Policy Nível 200 13
Agenda Introdução à segurança de sistemas 3/24/2017 Agenda Introdução à segurança de sistemas Segurança na Active Directory Reforçar membros do Domínio Reforçar Controladores de Domínio Reforçar Servidores com papeis específicos Reforçar Servidores em workgroup Windows 2003 Service Pack 1… 14
Porquê a segurança? A segurança garante a fiabilidade dos sistemas 3/24/2017 Porquê a segurança? A segurança garante a fiabilidade dos sistemas A segurança ajuda o negócio da organização 15
Considerações sobre segurança em pequenas e médias empresas 3/24/2017 Considerações sobre segurança em pequenas e médias empresas Servidores com vários papeis Recursos limitados para segurança Pouca especialização em segurança Ataques vindos de dentro O acesso físico é mais frequente Sistemas ultrapassados 16
3/24/2017 Compromisso a atingir Segurança Compromisso Usabilidade Custo Segurança – Pretende-se Confidencialidade, Integridade, Disponibilidade Usabilidade – Os sistemas existem para serem usados Custo – Quanto estamos dispostos a gastar 17
Procedimentos, Políticas, percepção 3/24/2017 A defesa por níveis Utilizar uma aproximação por níveis Aumenta a possibilidade de identificação do atacante Reduz a eficácia do ataque Procedimentos, Políticas, percepção Segurança Física Dados ACL, encriptação, LDAP/LDAPS Aplicações Reforço aplicacional, antivirus Reforço do SO, gestão de patch , autenticação Sistemas Rede interna Segmentos de rede, IPSec, NIDS Perímetro Firewalls, Quarentena VPN Fechaduras, cadeados Formação dos users 18
Agenda Introdução à segurança de sistemas 3/24/2017 Agenda Introdução à segurança de sistemas Segurança na Active Directory Reforçar membros do Domínio Reforçar Controladores de Domínio Reforçar Servidores com papeis específicos Reforçar Servidores em workgroup Windows 2003 Service Pack 1… 19
Componentes da Active Directory 3/24/2017 Componentes da Active Directory Floresta Domínio Site Contas de users Organizational Units Grupos Group Policy 20
Planear a segurança da Active Directory Security 3/24/2017 Planear a segurança da Active Directory Security Analise do ambiente Sistemas centrais Site remoto Sistemas em hosting Analise de risco Identificar os riscos para a Active Directory Identificar os tipos de risco Identificar a origem dos riscos Implementar um plano para cada risco identificado Criar planos de contingência 21
Definir fronteiras seguras para a Active Directory 3/24/2017 Definir fronteiras seguras para a Active Directory Definir um modelo de Active Directory baseado em delegações Definir um modelo de Active Directory baseado em delegações Definir uma colaboração segura com outras florestas 22
Reforçar as políticas de Domínio 3/24/2017 Reforçar as políticas de Domínio Criar novas GPO de Domínio ou reforçar a default GPO de Domínio Reforçar a política passwords e de bloqueio de contas do Domínio Rever as definições de audit dos objectos mais importantes da Active Directory 23
Definir uma estrutura hierárquica assente em OU´s 3/24/2017 Definir uma estrutura hierárquica assente em OU´s Domain Policy Domain Domain Engineering Member Server Baseline Policy Member Servers Domain Controllers Domain Controller Policy Print Server Policy File Server Policy IIS Server Policy Print Servers File Servers Web Servers Operations Admin Web Service Admin Uma estrutura baseada em funções de Servidores: Simplifica a gestão de incidentes Aplica as definições de segurança a outros objectos da OU 24
Boas práticas de administração 3/24/2017 Boas práticas de administração Boas práticas de administração de SERVIÇOS Boas práticas de administração de DADOS 25
Reforçar o serviço de DNS 3/24/2017 Reforçar o serviço de DNS Implementar DNS seguros Proteger os servidores de DNS Usar zonas integradas na Active Directory Proteger os dados do DNS Zonas de DNS não integradas Definir permissões NTFS nos ficheiros das zonas 26
Agenda Introdução à segurança de sistemas 3/24/2017 Agenda Introdução à segurança de sistemas Segurança na Active Directory Reforçar membros do Domínio Reforçar Controladores de Domínio Reforçar Servidores com papeis específicos Reforçar Servidores em workgroup Windows 2003 Service Pack 1… 27
Aplicar conjuntos de definições de segurança 3/24/2017 Reforçar Servidores Infra-estrutura Ficheiros&Impressoras Servidores IIS Servidores Certificados Servidores Públicos Reforçar Active Directory Aplicar política base de Servidores Procedimentos Servidor RADIUS Aplicar definições de segurança base para todos os servidores membros do Domínio Aplicar definições adicionais a servidores específicos Usar o GPResult para garantir a aplicação correcta das definições 28
Template base para Servidores membros do Domínio 3/24/2017 Template base para Servidores membros do Domínio Modificar e aplicar o Template a todos os servidores membros do Domínio Definições do Template de segurança: Audit das políticas Aplicação dos User Rights Opções de segurança Registo de eventos Serviços de sistema 29
Utilitários para reforço da segurança 3/24/2017 Utilitários para reforço da segurança Microsoft Baseline Security Analyzer Verifica e reporta as actualizações e modificações necessárias Security Configuration and Analysis tool Permite comparar e aplicar os vários templates de segurança Secedit Versão em linha de comando do "Security Configuration and Analysis tool" permitindo scriptar os Templates de segurança 30
Boas praticas no uso de Templates de segurança 3/24/2017 Boas praticas no uso de Templates de segurança Rever e modificar os Templates antes de os usar Usar os utilitários Microsoft para rever os Templates antes de os aplicar Testar intensivamente os Templates antes de os aplicar Fazer backup dos Templates 31
Recomendações adicionais sobre segurança 3/24/2017 Recomendações adicionais sobre segurança Renomear a conta built-in Administrator e Guest Restringir o acesso a contas built-in e a contas de serviços não-Microsoft Evitar configurar os serviços com contas de Domínio Proteger os directórios e ficheiros com permissões NTFS Desabilitar o report de erros 32
Pedro Monteiro Administrador de Sistemas Vodafone 3/24/2017 Template de Segurança “Baseline Security Template” & Microsoft Baseline Security Analyzer Pedro Monteiro Administrador de Sistemas Vodafone
Agenda Introdução à segurança de sistemas 3/24/2017 Agenda Introdução à segurança de sistemas Segurança na Active Directory Reforçar membros do Domínio Reforçar Controladores de Domínio Reforçar Servidores com papeis específicos Reforçar Servidores em workgroup Windows 2003 Service Pack 1… 34
Implementar Controladores de Domínio seguros 3/24/2017 Implementar Controladores de Domínio seguros Garantir a infra-estrutura dos Controladores de Domínio Definir as práticas de segurança Garantir a segurança física 35
Recomendações para reforçar Controladores de Domínio 3/24/2017 Recomendações para reforçar Controladores de Domínio Colocar em Disable os serviços desnecessários Manter um ficheiro para apagar em caso de necessidade Remover os direitos desnecessários Aumentar as definições de segurança Usar o Syskey para alterar o "master secret" guardado na Active Directory Instale pelo menos 2 Servidores 36
Como aplicar os Templates de segurança 3/24/2017 Como aplicar os Templates de segurança Abrir a consola de gestão das políticas e escolher a OU dos Controladores de Domínio Criar uma nova GPO e criar link à OU dos Controladores de Domínio Escolher Computer Settings \ Windows Settings \ Security Settings Opção do lado direito do rato Security Settings e escolher Import Policy Seleccionar o Template de Controlador de Domínio e OK As definições são aplicadas no próximo refresh ou restart Como opção pode executar-se o "GPUpdate" em cada sistema para aplicar imediatamente 37
3/24/2017 Como usar o Syskey Click no Iniciar, click no Executar, escreva syskey, e OK Click Update Seleccione a opção do Syskey que se adapte ao seu ambiente Se escolheu a opção "Password Startup", deve introduzir uma password complexa no campo "Password" e escolher "Confirm" Click OK duas vezes 38
Agenda Introdução à segurança de sistemas 3/24/2017 Agenda Introdução à segurança de sistemas Segurança na Active Directory Reforçar membros do Domínio Reforçar Controladores de Domínio Reforçar Servidores com papeis específicos Reforçar Servidores em workgroup Windows 2003 Service Pack 1… 39
Usar Templates específicos para os serviços a proteger 3/24/2017 Usar Templates específicos para os serviços a proteger Os servidores podem ser organizados de acordo com os serviços que disponibilizam em sub OU´s da OU servers Depois aplicar o Template base à OU servers Em seguida aplicar os Templates dos serviços específicos nas OU´s respectivas que estão dentro da OU servers Por fim customizar Templates para os servidores que disponibilizam vários serviços 40
Proteger Servidores de ficheiros 3/24/2017 Proteger Servidores de ficheiros Aplicar o Template para servidor de ficheiros Configurar manualmente algumas definições extra: Considerar desabilitar os serviços DFS e FRS caso não sejam necessários Proteger os ficheiros e partilhas com permissões NTFS Proteger as contas Built-In Proteger as contas usadas nos serviços Permitir apenas os portos necessários através de filtros IPSec 41
Proteger Servidores Web (IIS) 3/24/2017 Proteger Servidores Web (IIS) Aplicar o Template para servidores IIS Configurar manualmente em cada servidor Instalar o IIS Lockdown e URLScan em todos os IIS 5.0 (Windows2000) Desabilitar todos os componentes Web que não estejam em uso Configurar permissões NTFS em todos os os directórios ligados aos componentes Web Manter os dados dos sites num volume dedicado Evitar habilitar as permissões de execução e escrita aos mesmos sites Nos servidores IIS 5.0 correr as aplicações em média ou alta protecção Aplicar filtros IPSec para permitir apenas os portos 80 e 443 42
Agenda Introdução à segurança de sistemas 3/24/2017 Agenda Introdução à segurança de sistemas Segurança na Active Directory Reforçar membros do Domínio Reforçar Controladores de Domínio Reforçar Servidores com papeis específicos Reforçar Servidores em workgroup Windows 2003 Service Pack 1… 43
Proteger os sistemas em workgroup 3/24/2017 Proteger os sistemas em workgroup Nos sistemas em workgroup não podem ser aplicadas políticas (GPO) As definições têm de ser aplicadas em cada servidor individualmente Podem ser usados os utilitários Security Configuration and Analysis Secedit Pode ser customizado um Template a aplicar em todos os servidores 44
Usar o Secedit para proteger os servidores em workgroup 3/24/2017 Usar o Secedit para proteger os servidores em workgroup Configurar um Template custumizado para aplicar aos servidores em workgroup Abrir uma janela de DOS no servidor Criar uma base de dados com o Template custumizado por base: secedit /import /db c:\security.sdb /cfg nome do template Aplicar as definições : secedit /configure /db c:\security.sdb 45
Boas práticas na proteção dos servidores em workgroup 3/24/2017 Boas práticas na proteção dos servidores em workgroup Aplicar Templates customizados Configurar os serviços de acordo com as características do servidor Definir audit para obter os dados relevantes Usar filtros de IPSec de acordo com os serviços 46
Agenda Introdução à segurança de sistemas 3/24/2017 Agenda Introdução à segurança de sistemas Segurança na Active Directory Reforçar membros do Domínio Reforçar Controladores de Domínio Reforçar Servidores com papeis específicos Reforçar Servidores em workgroup Windows 2003 Service Pack 1… 47
Novidades sobre segurança no Windows 2003 SP1 3/24/2017 Novidades sobre segurança no Windows 2003 SP1 Actualiza o sistema com todos os updates até à data do SP1 Security Configuration Wizard (SCW) Data Executionn Prevention (DEP) Distributed COM (DCOM) Internet Explorer Modificações no Protocolo RPC (Anonymous) 48
Pedro Monteiro Administrador de Sistemas Vodafone 3/24/2017 Security Configuration Wizard Pedro Monteiro Administrador de Sistemas Vodafone
Sumario da Sessão Introdução à segurança de sistemas 3/24/2017 Sumario da Sessão Introdução à segurança de sistemas Segurança na Active Directory Reforçar membros do Domínio Reforçar Controladores de Domínio Reforçar Servidores com papeis específicos Reforçar Servidores em workgroup Windows 2003 Service Pack 1… 50
3/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/2017 3/24/2017 Perguntas e Respostas ? 51
Recursos Windows Server 2003 Security Guide 3/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/2017 3/24/2017 Recursos Windows Server 2003 Security Guide http://go.microsoft.com/fwlink/?linkid=14846 Microsoft Security Baseline Analyzer 2.0 (MBSA) http://www.microsoft.com/technet/security/tools/mbsa2/default.mspx Ficheiro de defenições MBSA (wsusscan.cab) http://go.microsoft.com/fwlink/?LinkId=40751 Site Segurança http://www.microsoft.com/portugal/ Actualizações e Notificações de alerta gratuitas http://www.microsoft.com/technet/security/bulletin/notify.mspx Newsletter de segurança Microsoft http://www.microsoft.com/technet/security/secnews/default.mspx Auto-avaliação de Risco de Segurança http://www.securityguidance.com/ 52
3/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/2017 3/24/2017 Próximas Sessões 8 Fevereiro - Implementar Segurança num servidor de correio electrónico 8 Março - Implementar o acesso seguro ao correio electrónico e à rede da organização 12 Abril – Mitigar as ameaças no Windows 98 e NT 4.0 10 Maio - Como proteger os dados e a informação da sua organização 14 Junho - Instalação, Segurança e Manutenção de Redes Wireless 53
3/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/2017 3/24/2017 Recursos Úteis Recursos para Comunidades Microsoft http://www.microsoft.com/portugal/technet/comunidades Subscrições TechNet http://www.microsoft.com/portugal/technet/subscricoes Certificações http://www.microsoft.com/portugal/technet/certificacoes IT’s Showtime Webcasts http://www.microsoft.com/portugal/technet/itshowtime 54
Passatempo Bónus Extra 3/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/2017 3/24/2017 Passatempo Bónus Extra Habilite-se a ganhar uma Xbox 360 nas duas primeiras sessões! Complete o questionário de avaliação no final desta sessão e na próxima sessão saberá quem é o vencedor. 55
3/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/2017 3/24/2017 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY. 56