Webcasts TechNet Windows Small Business Server 2003 R2 Parte 2 Carlos Fernando Paleo da Rocha - MVP Denis Martini MUG-RS –
Agenda O que é o Small Business Server? O que muda com o R2? Visão geral do SBS 2003 R2 Segurança no SBS
Solução completa para pequenas empresas Tecnologia\VersãoStandardPremium Exchange Server 2003 SP2 Outlook® 2003 Windows SharePoint Services 2.0 SP2 Serviço de Fax Compartilhados Suporte Usuário/Dispositivo Móvel Área de Trabalho Remota via Web Gerenciamento de Arquivos Avançado Backup e Restauração Gerenciamento Baseado em Tarefas Windows Server Update Services SQL Server 2005 Workgroup Edition ISA Server 2004 FrontPage® 2003
O que muda? WSUS agora é integrado – Melhor gerenciamento de patches Gerenciamento avançado de arquivos – gerenciamento eficiente com FSRM Política de uso de CALs – pode usar para acessar servidores membros (W03, EXCH e SQL) Management Studio Pode usar Entourage ou invés Outlook SharePoint 2.0 SP2 Caixa Exchange 16 GB -> 75 GB
Visão Geral SBS 2003 R2 Demo
Reduzindo a superfície de ataque do SBS Gerenciamento de Segurança da Rede Gerenciamento de Atualizações Fortalecendo
Reduzindo a superfície de ataque do SBS Gerenciamento de segurança rede – Defesa em camadas – Privilégios mínimos Extrema vigilância nas atualizações – NÃO apenas o OS –Considerar ferramentas como HFNetChkPro Fortalecendo todos componentes críticos –Use Microsoft Security Guidelines and Best Practices –Use os SBS wizards SEMPRE que possível
MÍNIMO de portas para o Firewall 25 – SMTP (Exchange mail) 443 – HTTPS (Secure IIS web) 444 – Sharepoint (APENAS se deseja Company web/sharepoint disponível externamente) Remote Web access (RDP via web)
Portas secundárias para o SBS 20/21 - FTP 80 - HTTP (Unencrypted IIS web) 139 – SMB over Netbios (para compartilhamento de arquivos) License logging service VPN RDP (Terminal services)
Antivirus e Antispyware? Muito importantes como outra camada Você NÃO DEVE rodar QUALQUER aplicativo, navegar na web ou checar e- mail etc NO servidor SBS, limitando sua exposição a malware. AV é reativo… tornando-se uma linha secundária de defesa, menos importante que as posturas citadas
Abordagem Disco para fortalecer o SBS ISA Firewall Policies Fortalecer Web Server Fortalecer Mail Server Fortalecer Database Server FortalecerOS Gerenciamento Patches De Patches
Guia Microsoft para fortalecer SBS e Guidelines and Security Best Practices NÃO existe para Small Business Server SÃO muito bem documentados se você tiver tempo para lê-los (em torno de 600 páginas) Incluem GPOs muito úteis
Guias de Fortalecimento Operating System Hardening –Windows Server 2003 Security Guide Includes info for web server hardening Mail Server Hardening –Microsoft Exchange Server 2003 Security Hardening Guide Database Hardening –SQL Server 2005 Security Features and Best Practices * Links no final da apresentação
Usando modelos de GPO Pros incluem: – Fácil instalação – Bem testados – Bem documentados Contras incluem: – Abordagem tudo ou nada – toma as decisões de segurança por você, sem conhecer sua configuraçã de rede
Considerações de política de senha Force histórico = 24 últimas Tempo máximo de vida = 42 dias Tempo mínimo de vida = 2 dias Comprimento mínimo = 8 caracteres Atende a requisitos de complexidade = Enabled Armazena usando criptografia reversa = Disabled
Account Lockout Policy Considerations Account Lockout Duration = 15 minutes Account lockout threshold = 20 attempts Reset account lockout counter after = 15 minutes
Fortalecendo pilha de rede (tcp) EnableICMPRedirect = 0 SynAttackProtect = 1 EnableDeadGWDetect = 0 EnablePMTUDiscovery = 0 KeepAliveTime = 300,000 DisableIPSourceRouting = 2 TcpMaxConnectResponseRetransmissions = 2 TcpMaxDataRetransmissions = 3 PerformRouterDiscovery = 0 TCPMaxPortsExhausted = 5 Localizados em HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\
Fortalecendo a pilha de rede (afd.sys) DynamicBacklogGrowthDelta = 10 EnableDynamicBacklog = 1 MinimumDynamicBacklog = 20 MaximumDynamicBacklog = Localizados em HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\AFD\Parameters\
Logs e Auditoria Use logs grandes = KB Só apague quando precisar de espaço Não permita shutdown se não puder logar Audite sucesso e falha dos eventos com contas NADA disto é útil se ninguém for ler!!!!!!!
Ferramentas disponíveis …
Recursos Windows Server 2003 Security Guide x x Microsoft Exchange Server 2003 Security Hardening Guide How To Harden the TCP Stack us/secmod/html/secmod109.asp us/secmod/html/secmod109.asp Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP Dana Epps personal blog HFNetCheckPro
Links Úteis Comunidades Technet Brasil
Carlos Fernando Paleo da Rocha – MVP Denis Martini MUG-RS –