Seminários Webcasts Segurança em servidores Windows Marcos Santos [email protected] Microsoft Portugal

Seminários WebcastsSeminários WebcastsSegurança em servidores Segurança em servidores WindowsWindows

Marcos SantosMarcos Santos

[email protected]@microsoft.com

Microsoft PortugalMicrosoft Portugal

mailto:[email protected]

AgendaAgenda

Ciclo de Seminários WebcastsCiclo de Seminários WebcastsEstratégia Microsoft para área de Estratégia Microsoft para área de SegurançaSegurançaTema 1ª SessãoTema 1ª Sessão

Segurança Servidores WindowsSegurança Servidores Windows

ConclusãoConclusão

Ciclo de SemináriosCiclo de Seminários

Objectivo: proporcionar aos Objectivo: proporcionar aos responsáveis que trabalham com responsáveis que trabalham com sistemas de informação sessões sistemas de informação sessões técnicas com bons oradores e com técnicas com bons oradores e com bom conteúdobom conteúdo

Vantagens deste formato:Vantagens deste formato:Interactividade com o oradorInteractividade com o orador

Poupança de custos (deslocação, Poupança de custos (deslocação, tempo)tempo)

Possibilidade de assistir ao evento à Possibilidade de assistir ao evento à posteriori posteriori

TemasTemas

Segurança Servidores WindowsSegurança Servidores Windows

Implementar Segurança num servidor de Implementar Segurança num servidor de correio electrónicocorreio electrónico

Implementar o acesso seguro ao correio Implementar o acesso seguro ao correio electrónico e à rede da organizaçãoelectrónico e à rede da organização

Mitigar as ameaças no Windows 98 e NT Mitigar as ameaças no Windows 98 e NT 4.04.0

Como proteger os dados e a informação Como proteger os dados e a informação da sua organizaçãoda sua organização

Instalação, Segurança e Manutenção de Instalação, Segurança e Manutenção de Redes WirelessRedes WirelessAs vossas sugestões são As vossas sugestões são

importantes…importantes…

LogísticaLogística

Utilização do Live MeetingUtilização do Live MeetingProblemas com Live Meeting enviar Problemas com Live Meeting enviar mail para [email protected] para [email protected]

Como fazer perguntas aos oradores?Como fazer perguntas aos oradores?Janela do lado direito no fundoJanela do lado direito no fundo

As perguntas serão respondidas no final As perguntas serão respondidas no final de cada apresentação por ordemde cada apresentação por ordem

PassatempoPassatempo

Como ganhar a XBox Como ganhar a XBox 360? O participante que 360? O participante que fizer a pergunta nº X irá fizer a pergunta nº X irá receber esta consola. receber esta consola.

Estratégia SegurançaEstratégia Segurança

Uma plataforma Segura reforçada por produtos e serviços Uma plataforma Segura reforçada por produtos e serviços seguros e orientação para manter os clientes segurosseguros e orientação para manter os clientes seguros

Excelência no Excelência no fundamentalfundamental

InovaçõesInovações

Conteúdos e Conteúdos e ferramentas em ferramentas em cenárioscenários

Resposta a Resposta a incidentesincidentes

Informação e Informação e educaçãoeducação

Colaboração e Colaboração e parceriaparceria

Ênfase na Segurança Ênfase na Segurança

EstratégiaEstratégia

InvestimentosInvestimentos emem

TecnologiaTecnologia

Orientação Orientação PrescritivaPrescritiva

ParceriaParceriaCom Com

IndústriaIndústria

Autenticação e Autenticação e Controlo Controlo

de Acessos de Acessos

Ameaças e Ameaças e VulnerabilidadesVulnerabilidades

Básico/FundamentalBásico/Fundamental

Investimentos em Investimentos em Segurança Segurança

Cumprimento Cumprimento da Leida Lei

Alertar Alertar Utilizadores Utilizadores DomésticosDomésticos

Organismos Organismos LocaisLocais

Parceria com a IndustriaParceria com a Industria

www.microsoft.com/portugal/seguranca www.microsoft.com/portugal/seguranca

Orientação PrescritivaOrientação Prescritiva

Actualizações Actualizações SegurançaSegurança

Formações Formações SegurançaSegurança

Consciencialização Consciencialização e informaçãoe informação

Implementação de Implementação de segurança em segurança em servidores servidores Windows 2000 e Windows 2000 e Windows 2003Windows 2003

Pedro Pedro MonteiroMonteiroAdministrador de Administrador de SistemasSistemas

VodafoneVodafone

Sergio Sergio Fonseca Fonseca Administrador de Administrador de SistemasSistemas

VodafoneVodafone

Pre-requesitos Pre-requesitos aconselhadosaconselhados

Prática na utilização dos sistemas operativos Prática na utilização dos sistemas operativos Windows 2000 Server ou Windows 2003 Windows 2000 Server ou Windows 2003 ServerServer

Prática na utilização de utilitários do Prática na utilização de utilitários do WindowsWindows

Conhecimentos de Active Directory e Group Conhecimentos de Active Directory e Group PolicyPolicy

Nível 200Nível 200

AgendaAgendaIntrodução à segurança de sistemasIntrodução à segurança de sistemas

Segurança na Active DirectorySegurança na Active Directory

Reforçar membros do Domínio Reforçar membros do Domínio

Reforçar Controladores de DomínioReforçar Controladores de Domínio

Reforçar Servidores com papeis Reforçar Servidores com papeis específicosespecíficos

Reforçar Servidores em workgroupReforçar Servidores em workgroup

Windows 2003 Service Pack 1…Windows 2003 Service Pack 1…

Porquê a segurançaPorquê a segurança??

A segurança garante a fiabilidade dos A segurança garante a fiabilidade dos sistemassistemas

A segurança ajuda o negócio da A segurança ajuda o negócio da organizaçãoorganização

Considerações sobre segurança Considerações sobre segurança em pequenas e médias em pequenas e médias empresas empresas

Servidores com vários

papeis

Ataques vindos de

dentro

Recursos limitados para

segurança

Pouca especialização em segurança

Sistemas ultrapassado

s

O acesso físico é mais frequente

Compromisso a atingirCompromisso a atingir

Segurança – Pretende-se Segurança – Pretende-se ConfidencialidadeConfidencialidade, , IntegridadeIntegridade, , DisponibilidadeDisponibilidade

Usabilidade – Os sistemas existem para Usabilidade – Os sistemas existem para serem usados serem usados

Custo – Quanto estamos dispostos a gastarCusto – Quanto estamos dispostos a gastar

SegurançaSegurança

CustoCustoUsabilidadeUsabilidade

Compromisso

A defesa por níveisA defesa por níveisUtilizar uma aproximação por níveisUtilizar uma aproximação por níveis

Aumenta a possibilidade de identificação Aumenta a possibilidade de identificação do atacantedo atacante

Reduz a eficácia do ataqueReduz a eficácia do ataque

Procedimentos, Políticas, percepção

Reforço do SO, gestão de Reforço do SO, gestão de patch , autenticaçãopatch , autenticação

Firewalls, Quarentena Firewalls, Quarentena VPN VPN Fechaduras, cadeadosFechaduras, cadeados

Segmentos de rede, IPSec, Segmentos de rede, IPSec, NIDSNIDS

Reforço aplicacional, antivirusReforço aplicacional, antivirus

ACL, ACL, encriptação, encriptação, LDAP/LDAPSLDAP/LDAPS

Formação dos Formação dos usersusers

Segurança Física

Perímetro

Rede interna

Sistemas

Aplicações

Dados








Componentes da Active Componentes da Active DirectoryDirectory

FlorestaFloresta

DomínioDomínio

SiteSite

Contas de usersContas de users

Organizational UnitsOrganizational Units

GruposGrupos

Group PolicyGroup Policy

Planear a segurança da Planear a segurança da Active Directory SecurityActive Directory Security

Analise do ambienteAnalise do ambienteSistemas centraisSistemas centrais

Site remotoSite remoto

Sistemas em hostingSistemas em hosting

Analise de riscoAnalise de riscoIdentificar os riscos para a Active DirectoryIdentificar os riscos para a Active Directory

Identificar os tipos de riscoIdentificar os tipos de risco

Identificar a origem dos riscosIdentificar a origem dos riscos

Implementar um plano para cada risco Implementar um plano para cada risco identificadoidentificado

Criar planos de contingênciaCriar planos de contingência

Definir fronteiras seguras Definir fronteiras seguras para a Active Directorypara a Active Directory

Definir uma colaboração segura com outras florestas

Definir um modelo de Active Directory baseado em delegações

Definir um modelo de Active Directory baseado em delegações

Reforçar as políticas de DomínioReforçar as políticas de Domínio

Reforçar a política passwords e de bloqueio de contas do Domínio

Criar novas GPO de Domínio ou reforçar a default GPO de Domínio

Rever as definições de audit dos objectos mais importantes da Active Directory

Definir uma estrutura Definir uma estrutura hierárquica assente em OUhierárquica assente em OU´s ´s Uma estrutura Uma estrutura

baseada em baseada em funções de funções de Servidores:Servidores:

Simplifica a Simplifica a gestão de gestão de incidentesincidentes

Aplica as Aplica as definições de definições de segurança a segurança a outros objectos da outros objectos da OUOU

Domain Policy Domain

Domain Engineering

Member Server Baseline Policy

Member Servers

Domain Controllers

Domain Controller Policy

Print Server Policy

File Server Policy

IIS Server Policy

Print Servers

File Servers

Web Servers

Operations Admin

Operations Admin

Web Service Admin

Boas práticas de Boas práticas de administraçãoadministração

Boas práticas de administração de SERVIÇOS

Boas práticas de administração de DADOS

Reforçar o serviço deReforçar o serviço de DNS DNS

ImplementarImplementar DNS DNS seguros segurosProteger os servidores de DNSProteger os servidores de DNS

Usar zonas integradas na Active Usar zonas integradas na Active DirectoryDirectory

Proteger os dados do Proteger os dados do DNSDNS

Zonas de DNS não integradasZonas de DNS não integradasDefinir permissõesDefinir permissões NTFS NTFS nos ficheiros nos ficheiros das zonasdas zonas








Reforçar ServidoresReforçar Servidores

Aplicar definições de segurança base para todos os Aplicar definições de segurança base para todos os servidores membros do Domínio servidores membros do Domínio

Aplicar definições adicionais a servidores Aplicar definições adicionais a servidores específicosespecíficos

Usar o GPResult para garantir a aplicação correcta Usar o GPResult para garantir a aplicação correcta das definições das definições

Reforçar Active Directory

Aplicar política base de

Servidores

Pro

ced

imen

tos

Aplicar conjuntos de definições de segurança

Infra-estrutura

Ficheiros&Impressoras

Servidores IIS

Servidores Certificados

Servidores Públicos

Servidor RADIUS

Template base para Template base para Servidores membros do Servidores membros do DomínioDomínioModificar e aplicar o Template a todos Modificar e aplicar o Template a todos

os servidores membros do Domínioos servidores membros do Domínio

Definições do Template de segurançaDefinições do Template de segurança::AuditAudit das políticas das políticas

Aplicação dos Aplicação dos User RightsUser Rights

Opções de segurançaOpções de segurança

Registo de eventosRegisto de eventos

Serviços de sistemaServiços de sistema

Utilitários para reforço da Utilitários para reforço da segurançasegurança

Microsoft Baseline Security AnalyzerMicrosoft Baseline Security AnalyzerVerifica e reporta as actualizações e Verifica e reporta as actualizações e modificações necessáriasmodificações necessárias

Security Configuration and Analysis toolSecurity Configuration and Analysis toolPermite comparar e aplicar os vários Permite comparar e aplicar os vários templates de segurançatemplates de segurança

SeceditSeceditVersão em linha de comando do "Versão em linha de comando do "Security Security Configuration and Analysis toolConfiguration and Analysis tool"" permitindo scriptar os Templates de permitindo scriptar os Templates de segurançasegurança

Boas praticas no uso de Boas praticas no uso de Templates de segurançaTemplates de segurança

Rever e modificar os Templates antes de os usar

Usar os utilitários Microsoft para rever os Templates antes de os aplicar

Testar intensivamente os Templates antes de os aplicar

Fazer backup dos Templates

Recomendações adicionais Recomendações adicionais sobre segurança sobre segurança

Renomear a conta built-in Renomear a conta built-in Administrator e Guest Administrator e Guest

Restringir o acesso a contas built-in e a Restringir o acesso a contas built-in e a contas de serviços não-Microsoft contas de serviços não-Microsoft

Evitar configurar os serviços com Evitar configurar os serviços com contas de Domíniocontas de Domínio

Proteger os directórios e ficheiros com Proteger os directórios e ficheiros com permissões NTFSpermissões NTFS

Desabilitar o report de errosDesabilitar o report de erros

Pedro MonteiroPedro MonteiroAdministrador de SistemasAdministrador de SistemasVodafoneVodafone

Template de Segurança Template de Segurança “Baseline Security Template”“Baseline Security Template”&&Microsoft Baseline Security Microsoft Baseline Security AnalyzerAnalyzer








Implementar Controladores Implementar Controladores de Domínio seguros de Domínio seguros

Garantir a infra-estrutura dos Controladores de Domínio

Definir as práticas de segurança

Garantir a segurança física

Recomendações para reforçar Recomendações para reforçar Controladores de Domínio Controladores de Domínio

Colocar em Disable os serviços desnecessários

Manter um ficheiro para apagar em caso de necessidade

Remover os direitos desnecessários

Aumentar as definições de segurança

Usar o Syskey para alterar o "master secret" guardado na Active Directory

Instale pelo menos 2 Servidores

Como aplicar os Templates Como aplicar os Templates de segurança de segurança

1.1. Abrir a consola de gestão das políticas e escolher a Abrir a consola de gestão das políticas e escolher a OU dos Controladores de DomínioOU dos Controladores de Domínio

2.2. Criar uma nova GPO e criar link à OU dos Criar uma nova GPO e criar link à OU dos Controladores de DomínioControladores de Domínio

3.3. Escolher Escolher Computer Settings \ Windows Settings \ Computer Settings \ Windows Settings \ Security SettingsSecurity Settings

4.4. Opção do lado direito do rato Opção do lado direito do rato Security Settings Security Settings e e escolher escolher Import PolicyImport Policy

5.5. Seleccionar o Template de Controlador de Domínio Seleccionar o Template de Controlador de Domínio e e OKOK

6.6. As definições são aplicadas no próximo refresh ou As definições são aplicadas no próximo refresh ou restart restart

7.7. Como opção pode executar-se o "GPUpdate" em Como opção pode executar-se o "GPUpdate" em cada sistema para aplicar imediatamentecada sistema para aplicar imediatamente

Como usar o SyskeyComo usar o Syskey

1.1. Click no Click no IniciarIniciar, click no , click no ExecutarExecutar, , escreva escreva syskeysyskey, e , e OKOK

2.2. Click Click UpdateUpdate

3.3. Seleccione a opção do Syskey que se Seleccione a opção do Syskey que se adapte ao seu ambienteadapte ao seu ambiente

4.4. Se escolheu a opção "Password Se escolheu a opção "Password Startup", deve introduzir uma password Startup", deve introduzir uma password complexa no campo "complexa no campo "Password"Password" e e escolher "escolher "Confirm"Confirm"

5.5. Click Click OKOK duas vezes duas vezes








Usar Templates específicos Usar Templates específicos para os serviços a protegerpara os serviços a proteger

Os servidores podem ser organizados de Os servidores podem ser organizados de acordo com os serviços que disponibilizam acordo com os serviços que disponibilizam em sub OU´s da OU serversem sub OU´s da OU servers

Depois aplicar o Template base à OU servers Depois aplicar o Template base à OU servers

Em seguida aplicar os Templates dos Em seguida aplicar os Templates dos serviços específicos nas OU´s respectivas serviços específicos nas OU´s respectivas que estão dentro da OU serversque estão dentro da OU servers

Por fim customizar Templates para os Por fim customizar Templates para os servidores que disponibilizam vários serviçosservidores que disponibilizam vários serviços

Proteger Servidores de Proteger Servidores de ficheirosficheirosAplicar o Template para servidor de Aplicar o Template para servidor de ficheirosficheirosConfigurar manualmente algumas Configurar manualmente algumas definições extra:definições extra:

Considerar desabilitar os serviços DFS e Considerar desabilitar os serviços DFS e FRS caso não sejam necessáriosFRS caso não sejam necessáriosProteger os ficheiros e partilhas com Proteger os ficheiros e partilhas com permissões NTFSpermissões NTFSProteger as contas Built-InProteger as contas Built-InProteger as contas usadas nos serviçosProteger as contas usadas nos serviçosPermitir apenas os portos necessários Permitir apenas os portos necessários através de filtros IPSecatravés de filtros IPSec

Proteger Servidores Web Proteger Servidores Web (IIS)(IIS)Aplicar o Template para servidores IIS Aplicar o Template para servidores IIS Configurar manualmente em cada servidorConfigurar manualmente em cada servidor

Instalar o IIS Lockdown e URLScan em todos os IIS 5.0 (Windows2000)Desabilitar todos os componentes Web que não estejam em usoConfigurar permissões NTFS em todos os os directórios ligados aos componentes WebManter os dados dos sites num volume dedicadoEvitar habilitar as permissões de execução e escrita aos mesmos sites Nos servidores IIS 5.0 correr as aplicações em média ou alta protecçãoAplicar filtros IPSec para permitir apenas os portos 80 e 443








Proteger os sistemas em Proteger os sistemas em workgroup workgroup

Nos sistemas em workgroup não Nos sistemas em workgroup não podem ser aplicadas políticas (GPO)podem ser aplicadas políticas (GPO)

As definições têm de ser aplicadas As definições têm de ser aplicadas em cada servidor individualmenteem cada servidor individualmente

Podem ser usados os utilitários Podem ser usados os utilitários Security Configuration and AnalysisSecurity Configuration and Analysis

SeceditSecedit

Pode ser customizado um Template a Pode ser customizado um Template a aplicar em todos os servidoresaplicar em todos os servidores

Usar o Secedit para Usar o Secedit para proteger os servidores em proteger os servidores em workgroup workgroup 1.1. Configurar um Template custumizado para Configurar um Template custumizado para

aplicar aos servidores em workgroupaplicar aos servidores em workgroup

2.2. Abrir uma janela de DOS no servidorAbrir uma janela de DOS no servidor

3.3. Criar uma base de dados com o Template Criar uma base de dados com o Template custumizado por base:custumizado por base:secedit /import /db c:\security.sdb /cfg secedit /import /db c:\security.sdb /cfg nome do nome do templatetemplate

4.4. Aplicar as definições :Aplicar as definições :secedit /configure /db c:\security.sdbsecedit /configure /db c:\security.sdb

Boas práticas na proteção Boas práticas na proteção dos servidores em dos servidores em workgroupworkgroup

Aplicar Templates customizados

Configurar os serviços de acordo com as características do servidor

Definir audit para obter os dados relevantes

Usar filtros de IPSec de acordo com os serviços








Novidades sobre segurança Novidades sobre segurança no Windows 2003 SP1 no Windows 2003 SP1

Actualiza o sistema com todos os Actualiza o sistema com todos os updates até à data do SP1updates até à data do SP1

Security Configuration Wizard (SCW)Security Configuration Wizard (SCW)

Data Executionn Prevention (DEP)Data Executionn Prevention (DEP)

Distributed COM (DCOM)Distributed COM (DCOM)

Internet ExplorerInternet Explorer

Modificações no Protocolo RPC Modificações no Protocolo RPC (Anonymous)(Anonymous)

Pedro MonteiroPedro MonteiroAdministrador de SistemasAdministrador de SistemasVodafoneVodafone

Security Configuration Security Configuration WizardWizard

Sumario da SessãoSumario da SessãoIntrodução à segurança de sistemasIntrodução à segurança de sistemas







Perguntas e Respostas ?

RecursosRecursos

Windows Server 2003 Security GuideWindows Server 2003 Security Guidehttp://go.microsoft.com/fwlink/?linkid=14846http://go.microsoft.com/fwlink/?linkid=14846Microsoft Security Baseline Analyzer 2.0 (MBSA)Microsoft Security Baseline Analyzer 2.0 (MBSA)http://www.microsoft.com/technet/security/tools/mbsa2/default.mspxhttp://www.microsoft.com/technet/security/tools/mbsa2/default.mspx

Ficheiro de defenições MBSA (wsusscan.cab)Ficheiro de defenições MBSA (wsusscan.cab)http://go.microsoft.com/fwlink/?LinkId=40751http://go.microsoft.com/fwlink/?LinkId=40751

Site SegurançaSite Segurança http://www.microsoft.com/portugal/

Actualizações e Notificações de alerta gratuitasActualizações e Notificações de alerta gratuitas http://www.microsoft.com/technet/security/bulletin/notify.mspx

Newsletter de segurança Microsoft Newsletter de segurança Microsoft http://www.microsoft.com/technet/security/secnews/default.mspx

Auto-avaliação de Risco de SegurançaAuto-avaliação de Risco de Segurança http://www.securityguidance.com/

http://www.microsoft.com/portugal/



http://www.microsoft.com/technet/security/bulletin/notify.mspx

http://www.microsoft.com/technet/security/secnews/default.mspx

http://www.microsoft.com/technet/security/secnews/default.mspx

http://www.securityguidance.com/



Próximas SessõesPróximas Sessões8 Fevereiro8 Fevereiro - Implementar Segurança - Implementar Segurança num servidor de correio electróniconum servidor de correio electrónico

8 Março8 Março - Implementar o acesso seguro - Implementar o acesso seguro ao correio electrónico e à rede da ao correio electrónico e à rede da organizaçãoorganização

12 Abril12 Abril – Mitigar as ameaças no – Mitigar as ameaças no Windows 98 e NT 4.0Windows 98 e NT 4.0

10 Maio10 Maio - Como proteger os dados e a - Como proteger os dados e a informação da sua organizaçãoinformação da sua organização

14 Junho14 Junho - Instalação, Segurança e - Instalação, Segurança e Manutenção de Redes WirelessManutenção de Redes Wireless

Recursos ÚteisRecursos ÚteisRecursos para Comunidades Recursos para Comunidades MicrosoftMicrosofthttp://www.microsoft.com/portugal/technet/comunidadeshttp://www.microsoft.com/portugal/technet/comunidades

Subscrições TechNetSubscrições TechNethttp://www.microsoft.com/portugal/technet/subshttp://www.microsoft.com/portugal/technet/subscricoescricoes

CertificaçõesCertificaçõeshttp://www.microsoft.com/portugal/technet/http://www.microsoft.com/portugal/technet/certificacoescertificacoes

IT’s Showtime WebcastsIT’s Showtime Webcastshttp://www.microsoft.com/portugal/technet/itshohttp://www.microsoft.com/portugal/technet/itshowtimewtime

PassatempoPassatempoBónus ExtraBónus Extra

Habilite-se a ganhar uma Habilite-se a ganhar uma Xbox 360Xbox 360 nas duas nas duas

primeiras sessões!primeiras sessões!

Complete o questionário de avaliação no final desta sessão e Complete o questionário de avaliação no final desta sessão e na próxima sessão saberá quem é o vencedor.na próxima sessão saberá quem é o vencedor.

© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only.MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.

Documents

Seminários Webcasts Segurança em servidores Windows Marcos Santos [email protected] Microsoft Portugal