SlideShare uma empresa Scribd logo
1 de 32
Baixar para ler offline
Segurança em Redes Microsoft

Uilson Souza | Analista de Projetos Sr.
MCTS, MTAC
Blog: http://uilson76.wordpress.com
Twitter: http://twitter.com/usouzajr

Quintas da T.I –
Agenda
Desenhando um ambiente seguro
Continuidade de serviços em Redes Microsoft
Segurança na instalação e mitigação de vulnerabilidades
Patches de segurança – WSUS e Cluster Aware Updating (CAU)
Protegendo a rede com 802.1x
BitLocker e SMB Encryption
Proxy Reverso com Web Application Proxy e ARR
Demo – Algumas features de Segurança no Windows Server
2012 R2
Referências para Estudo
Quintas da T.I –
Desenhando um ambiente Seguro
Entendimento do ambiente e objetivos
Quais dados vão trafegar e como
Quantas VLAN s serão necessárias
Distribuição dos servidores
Servidores de aplicação, File Server, Database Server
Equipes responsáveis e tipos de acesso
Storage – qual a quantidade necessária x custos
Definição dos devices de rede (routers, swtiches e appliances)
Quintas da T.I –
Desenhando um Ambiente Seguro
Suas VLAN´s sempre
separadas por funcionalidade e
protegidas por Firewall
Rede Interna/Intranet
DMZ Extranet

Servidores – AD, Correio, Aplicação,
File Server e Proxy

Infra de servidores web (IIS) protegidos
por publicação de aplicações no Forefront
TMG

AD

Bancos de dados sempre em
VLAN´s próprias

Usuários

DMZ Banco de Dados

Servidores de aplicação
protegidos por um servidor de
proxy reverso – ex: UAG, ARR
ou ainda o Forefront TMG
Quintas da T.I –
Desenhando um ambiente Seguro
Rack 2 - Storage

Rack – Failover Clustering / NLB
3U

Node 1

3U

Node 2

3U

Node 3

3U

Node 4

3U

NLB - 1

3U

NLB - 2

3U

NLB - 3

3U

Como NÃO montar
sua infra estrutura
Método muito
encontrado em
empresas que
pensam com exagero
no “bom e barato”

NLB - 4

Router

25 U

LUN´s

3U

Quintas da T.I –
Desenhando um ambiente seguro
Rack 2 - Storage

25 U

Rack 2 - Storage

LUN´s

25 U

A redundância deve
ser planejada para
todos os itens da infra
estrutura, inclusive o
prédio que abriga o
seu datacenter

LUN´s

Router
Rack – Failover Clustering / NLB
3U

Node 2

3U

NLB - 1

3U

3U

Node 1

3U

NLB - 2

Rack – Failover Clustering / NLB Contingência

3U

3U
3U

NLB - 3

3U

3U

Node 4

3U

Router

Node 3

NLB - 4

3U

Quintas da T.I –
Desenhando um ambiente seguro
Definir sempre alta disponibilidade – Failover Cluster ou NLB (Windows ou via hardware)
Varia de acordo com a aplicação a ser implementada
Os nodes devem estar em locais distintos
Se mau pensado estes serviços não funcionam
A continuidade também deve contemplar crescimento
A continuidade de serviços é contemplada em auditorias
Quintas da T.I –
Continuidade de Serviços em Redes
Microsoft

 Veja porque o Windows Server 2012 R2 é a melhor escolha

Informação retirada do blog do MPV Aidan Finn - http://www.aidanfinn.com/?page_id=2

Quintas da T.I –
Segurança na Instalação e mitigação de
vulnerabilidades
A preocupação com a segurança no ambiente começa no deploy
Lembre-se de que ao planejar a instalação do servidor também
pense na mitigação de riscos e vulnerabilidades
Uma das vulnerabilidades de sistema operacional exploradas são
as de “password required” e share de pastas

Ficar atento a vulnerabilidades de Web Server e Banco de
Dados, seguindo as orientações do fabricante para mitiga-las
Quintas da T.I –
Segurança na Instalação e mitigação de
vulnerabilidades
Mitigando
vulnerabilidade do
Password Required
em estações e
servidores Windows

Quintas da T.I –
Segurança na Instalação e mitigação de
vulnerabilidades
Para ambientes legados de IIS:
As vulnerabilidades conhecidas de IIS eram frequentes até a versão 5, sendo
que partir da versão 6, os cuidados para mitigação foram maiores.
Sempre que habilitar o IIS, verificar novos patches. Ajuda a manter o
ambiente protegido.
Vulnerabilidades mais frequentes no IIS 6 eram refentes a arquivos ASP e
WEBDAV (http://technet.microsoft.com/pt-br/library/cc781730(v=ws.10).aspx )
Para ficar craque no IIS visite http://iisbrasil.wordpress.com
Quintas da T.I –
Patches de segurança – WSUS e Cluster Aware Updating
(CAU)
A aplicação de patches constante garante, além da segurança, o correto
funcionamento de sistema operacional e aplicações
Use o WSUS para manter o ambiente atualizado
Para entender tudo sobre o WSUS http://technet.microsoft.com/enus/library/cc706995(WS.10).aspx
A partir do Windows Server 2012 o WSUS é nativo (Role)
Mantenha atenção especial a servidores de banco de dados, aplicações e
ambientes de cluster (SQL Server e Oracle)
Quintas da T.I –
Patches de segurança – WSUS e Cluster Aware Updating
(CAU)
Nativo a partir do
Windows Server 2012
Maior e melhor
controle da
atualização de
patches do parque

Quintas da T.I –
Patches de segurança – WSUS e Cluster Aware Updating
(CAU)
DMZ Banco de Dados
WWW

Rede Interna/Intranet
Servidores – AD, Correio, Aplicação,
File Server e Proxy

AD

Usuários

WSUS Server

DMZ Extranet
Infra de servidores web (IIS) protegidos
por publicação de aplicações no Forefront
TMG

A distribuição para a rede pode
ser feita por um único WSUS

A distribuição pode ser
automatizada via GPO

O mesmo pode ser roteado
para várias VLAN s

Em redes não cobertas pelo AD,
pode se usar uma chave de
registry para receber os updates

Quintas da T.I –
Patches de segurança – WSUS e Cluster Aware Updating
(CAU)
O CAU (Cluster Aware
Updating) é um recurso
automatizado que permite
atualizar servidores em
cluster com pouca ou
nenhuma perda de
disponibilidade durante o
processo de atualização

Quintas da T.I –
Patches de segurança – WSUS e Cluster Aware Updating
(CAU)
O recurso CAU no Windows Server 2012 é compatível somente
com failover de cluster Windows Server 2012 e as funções de
cluster que são suportadas no Windows Server 2012.
Executa nos modos Self-Update Mode ou Remote-Update
Mode
Pode trabalhar em conjunto com um servidor WSUS ou
diretamente conectado a internet. Também é possível definir uma
pasta onde ele irá buscar as atualizações
Para usar um proxy deve-se configurar o acesso ao proxy via
System Mode usando o comando netsh:
netsh winhttp set proxy server.dominio.com:8080 "<local>"

Quintas da T.I –
Patches de segurança – WSUS e Cluster Aware Updating
(CAU)
Para ambientes de cluster com recursos de file server é
necessário declarar o domínio interno:
netsh winhttp set proxy proxy.uilson.net:8080 "<local>;*.uilson.net“

Para saber as principais novidades de Failover Clustering e uma
demo do Cluster Aware Updating assista um vídeo feito pelo
Vinicus Apolinário em:
http://bit.ly/1b33Vyp

Documentação sobre CAU:
http://technet.microsoft.com/en-us/library/hh831694.aspx

Quintas da T.I –
Protegendo a rede com 802.1x
 Padrão de controle de acesso a rede por
RADIUS
 Com o 802.1x é possível determinar que só as
estações criadas no padrão da corporação
tenham acesso a rede
 Evita infecção por acesso de estações de
terceiros
 O DHCP da rede só concede IP a estação
após validação pelo Network Policy Server que
processará
regras
pré-definidas
pelo
administrador, garantindo a segurança no
ambiente.

Quintas da T.I –
Protegendo a rede com 802.1x
Requisitos:
Servidor AD CS (Certificate Services – CA Interna)
Servidor com a Role do Network Policy Server
Servidor com IIS
Servidor AD DS – onde as GPO s serão definidas
Servidor DHCP
A implementação do 802.1x é um fatores mais importantes para
segurança em redes Microsoft
Quintas da T.I –
BitLocker e SMB Encryption
Bitlocker
Tecnologia que permite proteger com senha e criptografar o
conteúdo de mídias de armazenamento via senha ou smart card
Surgiu no Windows Vista com intuito de criptografar as unidades
de disco
A partir do Windows 7 foi criado o “BitLocker To Go” que
possibilitava a proteção de conteúdo em unidades removíveis
A partir do Windows 8 é possível, além imprimir ou gravar em
arquivo, salvar em sua conta Microsoft
Quintas da T.I –
BitLocker e SMB Encryption
Bitlocker no Windows Server 2012
Criptografa o storage local
Criptografa discos do failover cluster
Criptografa Cluster Shared Volumes 2.0
No Windows 8.1 e Windows Server 2012 R2 é possível usar
método de criptografia para o volume todo ou somente para o
volume usado.
Para saber o que há de novo no BitLocker do Windows Server
2012 R2:
http://technet.microsoft.com/en-us/library/hh831412.aspx
Quintas da T.I –
BitLocker e SMB Encryption
SMB Encryption
Criptografa os dados SMB em trânsito de fim a fim – Windows 8 e
Windows Server 2012
Protege dados contra ataques “eavesdropping”
O custo e tempo de implementação é muito menor do que outra
solução de criptografia de dados em trânsito – IPSEC
A configuração é simples – Via Server Manager em um share
específico

Quintas da T.I –
BitLocker e SMB Encryption
Pode ser configurado também via Power Shell:
Para uma share específica - Set-SmbShare –Name <sharename> EncryptData $true
Para todo o servidor - Set-SmbServerConfiguration –EncryptData
$true
Secure SMB Connections – Windows Security.com
http://www.windowsecurity.com/articlestutorials/misc_network_security/Secure-SMB-Connections.html
Quintas da T.I –
Proxy Reverso com Web Application Proxy e ARR
Web Application Proxy
Uma função agregada a role Remote Access no Windows Server
2012 R2
Executa o serviço de proxy reverso para aplicações web
provendo acesso para conexões externas ao ambiente
Faz a pré-autenticação usando o Active Directory Federation
Services (AD FS) e também age como um proxy para o AD FS

Quintas da T.I –
Proxy Reverso com Web Application Proxy e ARR
Web Application Proxy

Quintas da T.I –
Proxy Reverso com Web Application Proxy e ARR
Web Application Proxy
Active Directory® Domain Services – para ambientes com KCD
(Kerberos Constrained Delegation)
Active Directory Federation Services – para serviços de
autorização e autenticação e armazenamento das configurações
do Web Application Proxy
Remote Access – a role que contém o Web Application Proxy
Publicando aplicações com Web Application Proxy
http://technet.microsoft.com/en-us/library/dn383650.aspx
Quintas da T.I –
Proxy Reverso com Web Application Proxy e ARR
ARR – Application Request Routing
Integrado ao IIS 8 no Windows Server 2012 R2
Específico para publicação do CAS (OWA) do Exchange Server
2013
Vem como opção pós TMG
Melhor opção que o UAG na questão da complexidade e preço
Implementando o Application Request Routing
http://www.msexchange.org/articles-tutorials/exchange-server2013/mobility-client-access/iis-application-request-routingpart1.html
Quintas da T.I –
Algumas features de segurança do
Windows Server 2012 R2

Demo
Quintas da T.I –
Referências para estudo
Best Practices em Failover Cluster para Windows Servers:
http://blogs.technet.com/b/hugofe/archive/2012/12/06/best-practices-formigration-of-cluster-windows-2008-r2-2012-as-melhores-praticas-paramigrar-um-cluster-de-windows-2008-para-windows-2012.aspx
O que há de novo no failover clustering do Windows Server 2012 R2
http://technet.microsoft.com/en-us/library/dn265972.aspx
Network Load Balance Best Practices:
http://allcomputers.us/windows_server/windows-server-2008-r2--deploying-network-load-balancing-clusters-(part-1).aspx
Quintas da T.I –
Referências para estudo
802.1x para Windows Server 2008 R2, Windows Server 2012 e
Windows Server 2012 R2:
http://technet.microsoft.com/en-us/library/cc731853.aspx
Treinamento – Implementação de núvem privada
http://technet.microsoft.com/pt-br/gg578594.aspx
Segurança na núvem com recursos do Azure
http://msdn.microsoft.com/pt-br/windowsazure/ff384165.aspx
Quintas da T.I –
Referências para estudo

http://www.amazon.com/Windows-Server-2012-SecurityBeyond/dp/1597499803

Quintas da T.I –
Realizaçã
o:

Mais conteúdo relacionado

Mais procurados

Datasheet ESET Endpoint Solutions (web version)
Datasheet ESET Endpoint Solutions (web version)Datasheet ESET Endpoint Solutions (web version)
Datasheet ESET Endpoint Solutions (web version)ESET Brasil
 
Tutorial de instalacao_configuracao_utilizacao_nessus_scanner
Tutorial de instalacao_configuracao_utilizacao_nessus_scannerTutorial de instalacao_configuracao_utilizacao_nessus_scanner
Tutorial de instalacao_configuracao_utilizacao_nessus_scannerRosan Tavares
 
Introdução aos comandos ios cli 15 licensing
Introdução aos comandos ios cli 15 licensingIntrodução aos comandos ios cli 15 licensing
Introdução aos comandos ios cli 15 licensingVitor Albuquerque
 
Apresentação do eScan Internet Security 14
Apresentação do eScan Internet Security 14Apresentação do eScan Internet Security 14
Apresentação do eScan Internet Security 14roger1977br
 
Ferramentas de ataques
Ferramentas de ataquesFerramentas de ataques
Ferramentas de ataquesCarlos Veiga
 
Virtualização com Citrix XENSERVER
Virtualização com Citrix XENSERVERVirtualização com Citrix XENSERVER
Virtualização com Citrix XENSERVERImpacta Eventos
 
Apostila - Tutorial Citrix XenServer 6
Apostila - Tutorial Citrix XenServer 6Apostila - Tutorial Citrix XenServer 6
Apostila - Tutorial Citrix XenServer 6Lorscheider Santiago
 
Virtualização: Um comparativo entre Xen e VMware
Virtualização: Um comparativo entre Xen e VMware Virtualização: Um comparativo entre Xen e VMware
Virtualização: Um comparativo entre Xen e VMware Thiago Reis da Silva
 
WEBINAR BE AWARE - Gerenciando os ativos de TI
WEBINAR BE AWARE -  Gerenciando os ativos de TIWEBINAR BE AWARE -  Gerenciando os ativos de TI
WEBINAR BE AWARE - Gerenciando os ativos de TISymantec Brasil
 
Trabalho snmp the dude
Trabalho snmp   the dudeTrabalho snmp   the dude
Trabalho snmp the dudeRafael Pimenta
 
Evolução Windows Server 2003
Evolução Windows Server 2003 Evolução Windows Server 2003
Evolução Windows Server 2003 Phalaenopsis AC
 
S.o. windows server2008
S.o. windows server2008S.o. windows server2008
S.o. windows server2008teacherpereira
 
Windows 8 - Recuperação e Segurança
Windows 8 - Recuperação e SegurançaWindows 8 - Recuperação e Segurança
Windows 8 - Recuperação e SegurançaRodrigo Immaginario
 

Mais procurados (20)

Datasheet ESET Endpoint Solutions (web version)
Datasheet ESET Endpoint Solutions (web version)Datasheet ESET Endpoint Solutions (web version)
Datasheet ESET Endpoint Solutions (web version)
 
Tutorial de instalacao_configuracao_utilizacao_nessus_scanner
Tutorial de instalacao_configuracao_utilizacao_nessus_scannerTutorial de instalacao_configuracao_utilizacao_nessus_scanner
Tutorial de instalacao_configuracao_utilizacao_nessus_scanner
 
Introdução aos comandos ios cli 15 licensing
Introdução aos comandos ios cli 15 licensingIntrodução aos comandos ios cli 15 licensing
Introdução aos comandos ios cli 15 licensing
 
Apresentação do eScan Internet Security 14
Apresentação do eScan Internet Security 14Apresentação do eScan Internet Security 14
Apresentação do eScan Internet Security 14
 
Ferramentas de ataques
Ferramentas de ataquesFerramentas de ataques
Ferramentas de ataques
 
Virtualização com Citrix XENSERVER
Virtualização com Citrix XENSERVERVirtualização com Citrix XENSERVER
Virtualização com Citrix XENSERVER
 
Apostila - Tutorial Citrix XenServer 6
Apostila - Tutorial Citrix XenServer 6Apostila - Tutorial Citrix XenServer 6
Apostila - Tutorial Citrix XenServer 6
 
Virtualização: Um comparativo entre Xen e VMware
Virtualização: Um comparativo entre Xen e VMware Virtualização: Um comparativo entre Xen e VMware
Virtualização: Um comparativo entre Xen e VMware
 
Windows Server
Windows ServerWindows Server
Windows Server
 
Firewall
FirewallFirewall
Firewall
 
Firewall
FirewallFirewall
Firewall
 
Windows server
Windows serverWindows server
Windows server
 
Windows 7 visão geral
Windows 7   visão geralWindows 7   visão geral
Windows 7 visão geral
 
WEBINAR BE AWARE - Gerenciando os ativos de TI
WEBINAR BE AWARE -  Gerenciando os ativos de TIWEBINAR BE AWARE -  Gerenciando os ativos de TI
WEBINAR BE AWARE - Gerenciando os ativos de TI
 
Trabalho snmp the dude
Trabalho snmp   the dudeTrabalho snmp   the dude
Trabalho snmp the dude
 
Wsus
WsusWsus
Wsus
 
Evolução Windows Server 2003
Evolução Windows Server 2003 Evolução Windows Server 2003
Evolução Windows Server 2003
 
S.o. windows server2008
S.o. windows server2008S.o. windows server2008
S.o. windows server2008
 
Firewall
FirewallFirewall
Firewall
 
Windows 8 - Recuperação e Segurança
Windows 8 - Recuperação e SegurançaWindows 8 - Recuperação e Segurança
Windows 8 - Recuperação e Segurança
 

Semelhante a Quintas de ti_segurança em redes microsoft

Segurança em Plataforma Microsoft
Segurança em Plataforma MicrosoftSegurança em Plataforma Microsoft
Segurança em Plataforma MicrosoftUilson Souza
 
Opções de trabalho remoto na nuvem
Opções de trabalho remoto na nuvemOpções de trabalho remoto na nuvem
Opções de trabalho remoto na nuvemFabio Hara
 
Sistemas de proteção de perímetro
Sistemas de proteção de perímetroSistemas de proteção de perímetro
Sistemas de proteção de perímetroRodrigo Campos
 
Treinamento Tropa de Elite Aws - Business - D2
Treinamento Tropa de Elite Aws - Business - D2Treinamento Tropa de Elite Aws - Business - D2
Treinamento Tropa de Elite Aws - Business - D2Jonathan Baraldi
 
Como montar um ambiente de alta disponibilidade com o Hyper-V
Como montar um ambiente de alta disponibilidade com o Hyper-VComo montar um ambiente de alta disponibilidade com o Hyper-V
Como montar um ambiente de alta disponibilidade com o Hyper-VRodrigo Immaginario
 
Azure Weekend 2ed - Azure Confidential Computing
Azure Weekend 2ed - Azure Confidential ComputingAzure Weekend 2ed - Azure Confidential Computing
Azure Weekend 2ed - Azure Confidential ComputingWalter Coan
 
Alta Disponibilidade
Alta DisponibilidadeAlta Disponibilidade
Alta Disponibilidadeelliando dias
 
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdfAWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdfAmazon Web Services LATAM
 
Windows server 2003
Windows server 2003Windows server 2003
Windows server 2003guestdf16d4b
 
Deploying infrastructure as-a-service with cloudstack
Deploying infrastructure as-a-service with cloudstackDeploying infrastructure as-a-service with cloudstack
Deploying infrastructure as-a-service with cloudstackLorscheider Santiago
 
Introdução à computação na nuvem e Windows Azure
Introdução à computação na nuvem e Windows AzureIntrodução à computação na nuvem e Windows Azure
Introdução à computação na nuvem e Windows AzureGiovanni Bassi
 
TDC Connections 2021 – Trilha Software Security - Proteção de dados sensíveis...
TDC Connections 2021 – Trilha Software Security - Proteção de dados sensíveis...TDC Connections 2021 – Trilha Software Security - Proteção de dados sensíveis...
TDC Connections 2021 – Trilha Software Security - Proteção de dados sensíveis...Walter Coan
 
TDC2021 Innovation - Proteção de dados sensíveis com a computação confidencia...
TDC2021 Innovation - Proteção de dados sensíveis com a computação confidencia...TDC2021 Innovation - Proteção de dados sensíveis com a computação confidencia...
TDC2021 Innovation - Proteção de dados sensíveis com a computação confidencia...Walter Coan
 
Guia de configuração de um servidor linux para utilização em uma pequena empresa
Guia de configuração de um servidor linux para utilização em uma pequena empresaGuia de configuração de um servidor linux para utilização em uma pequena empresa
Guia de configuração de um servidor linux para utilização em uma pequena empresaSoftD Abreu
 
Systemcenter2012r2 140928162048-phpapp02
Systemcenter2012r2 140928162048-phpapp02Systemcenter2012r2 140928162048-phpapp02
Systemcenter2012r2 140928162048-phpapp02Juliana Borges
 

Semelhante a Quintas de ti_segurança em redes microsoft (20)

Segurança em Plataforma Microsoft
Segurança em Plataforma MicrosoftSegurança em Plataforma Microsoft
Segurança em Plataforma Microsoft
 
What's New On Azure IaaS
What's New On Azure IaaSWhat's New On Azure IaaS
What's New On Azure IaaS
 
Aula 12 infraestrutura - 24032012
Aula 12   infraestrutura - 24032012Aula 12   infraestrutura - 24032012
Aula 12 infraestrutura - 24032012
 
Opções de trabalho remoto na nuvem
Opções de trabalho remoto na nuvemOpções de trabalho remoto na nuvem
Opções de trabalho remoto na nuvem
 
Sistemas de proteção de perímetro
Sistemas de proteção de perímetroSistemas de proteção de perímetro
Sistemas de proteção de perímetro
 
Treinamento Tropa de Elite Aws - Business - D2
Treinamento Tropa de Elite Aws - Business - D2Treinamento Tropa de Elite Aws - Business - D2
Treinamento Tropa de Elite Aws - Business - D2
 
Como montar um ambiente de alta disponibilidade com o Hyper-V
Como montar um ambiente de alta disponibilidade com o Hyper-VComo montar um ambiente de alta disponibilidade com o Hyper-V
Como montar um ambiente de alta disponibilidade com o Hyper-V
 
Azure Weekend 2ed - Azure Confidential Computing
Azure Weekend 2ed - Azure Confidential ComputingAzure Weekend 2ed - Azure Confidential Computing
Azure Weekend 2ed - Azure Confidential Computing
 
Thedude
ThedudeThedude
Thedude
 
Alta Disponibilidade
Alta DisponibilidadeAlta Disponibilidade
Alta Disponibilidade
 
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdfAWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
 
Windows server 2003
Windows server 2003Windows server 2003
Windows server 2003
 
Deploying infrastructure as-a-service with cloudstack
Deploying infrastructure as-a-service with cloudstackDeploying infrastructure as-a-service with cloudstack
Deploying infrastructure as-a-service with cloudstack
 
Segurança na Nuvem
Segurança na NuvemSegurança na Nuvem
Segurança na Nuvem
 
Virtualização
VirtualizaçãoVirtualização
Virtualização
 
Introdução à computação na nuvem e Windows Azure
Introdução à computação na nuvem e Windows AzureIntrodução à computação na nuvem e Windows Azure
Introdução à computação na nuvem e Windows Azure
 
TDC Connections 2021 – Trilha Software Security - Proteção de dados sensíveis...
TDC Connections 2021 – Trilha Software Security - Proteção de dados sensíveis...TDC Connections 2021 – Trilha Software Security - Proteção de dados sensíveis...
TDC Connections 2021 – Trilha Software Security - Proteção de dados sensíveis...
 
TDC2021 Innovation - Proteção de dados sensíveis com a computação confidencia...
TDC2021 Innovation - Proteção de dados sensíveis com a computação confidencia...TDC2021 Innovation - Proteção de dados sensíveis com a computação confidencia...
TDC2021 Innovation - Proteção de dados sensíveis com a computação confidencia...
 
Guia de configuração de um servidor linux para utilização em uma pequena empresa
Guia de configuração de um servidor linux para utilização em uma pequena empresaGuia de configuração de um servidor linux para utilização em uma pequena empresa
Guia de configuração de um servidor linux para utilização em uma pequena empresa
 
Systemcenter2012r2 140928162048-phpapp02
Systemcenter2012r2 140928162048-phpapp02Systemcenter2012r2 140928162048-phpapp02
Systemcenter2012r2 140928162048-phpapp02
 

Quintas de ti_segurança em redes microsoft

  • 1. Segurança em Redes Microsoft Uilson Souza | Analista de Projetos Sr. MCTS, MTAC Blog: http://uilson76.wordpress.com Twitter: http://twitter.com/usouzajr Quintas da T.I –
  • 2. Agenda Desenhando um ambiente seguro Continuidade de serviços em Redes Microsoft Segurança na instalação e mitigação de vulnerabilidades Patches de segurança – WSUS e Cluster Aware Updating (CAU) Protegendo a rede com 802.1x BitLocker e SMB Encryption Proxy Reverso com Web Application Proxy e ARR Demo – Algumas features de Segurança no Windows Server 2012 R2 Referências para Estudo Quintas da T.I –
  • 3. Desenhando um ambiente Seguro Entendimento do ambiente e objetivos Quais dados vão trafegar e como Quantas VLAN s serão necessárias Distribuição dos servidores Servidores de aplicação, File Server, Database Server Equipes responsáveis e tipos de acesso Storage – qual a quantidade necessária x custos Definição dos devices de rede (routers, swtiches e appliances) Quintas da T.I –
  • 4. Desenhando um Ambiente Seguro Suas VLAN´s sempre separadas por funcionalidade e protegidas por Firewall Rede Interna/Intranet DMZ Extranet Servidores – AD, Correio, Aplicação, File Server e Proxy Infra de servidores web (IIS) protegidos por publicação de aplicações no Forefront TMG AD Bancos de dados sempre em VLAN´s próprias Usuários DMZ Banco de Dados Servidores de aplicação protegidos por um servidor de proxy reverso – ex: UAG, ARR ou ainda o Forefront TMG Quintas da T.I –
  • 5. Desenhando um ambiente Seguro Rack 2 - Storage Rack – Failover Clustering / NLB 3U Node 1 3U Node 2 3U Node 3 3U Node 4 3U NLB - 1 3U NLB - 2 3U NLB - 3 3U Como NÃO montar sua infra estrutura Método muito encontrado em empresas que pensam com exagero no “bom e barato” NLB - 4 Router 25 U LUN´s 3U Quintas da T.I –
  • 6. Desenhando um ambiente seguro Rack 2 - Storage 25 U Rack 2 - Storage LUN´s 25 U A redundância deve ser planejada para todos os itens da infra estrutura, inclusive o prédio que abriga o seu datacenter LUN´s Router Rack – Failover Clustering / NLB 3U Node 2 3U NLB - 1 3U 3U Node 1 3U NLB - 2 Rack – Failover Clustering / NLB Contingência 3U 3U 3U NLB - 3 3U 3U Node 4 3U Router Node 3 NLB - 4 3U Quintas da T.I –
  • 7. Desenhando um ambiente seguro Definir sempre alta disponibilidade – Failover Cluster ou NLB (Windows ou via hardware) Varia de acordo com a aplicação a ser implementada Os nodes devem estar em locais distintos Se mau pensado estes serviços não funcionam A continuidade também deve contemplar crescimento A continuidade de serviços é contemplada em auditorias Quintas da T.I –
  • 8. Continuidade de Serviços em Redes Microsoft  Veja porque o Windows Server 2012 R2 é a melhor escolha Informação retirada do blog do MPV Aidan Finn - http://www.aidanfinn.com/?page_id=2 Quintas da T.I –
  • 9. Segurança na Instalação e mitigação de vulnerabilidades A preocupação com a segurança no ambiente começa no deploy Lembre-se de que ao planejar a instalação do servidor também pense na mitigação de riscos e vulnerabilidades Uma das vulnerabilidades de sistema operacional exploradas são as de “password required” e share de pastas Ficar atento a vulnerabilidades de Web Server e Banco de Dados, seguindo as orientações do fabricante para mitiga-las Quintas da T.I –
  • 10. Segurança na Instalação e mitigação de vulnerabilidades Mitigando vulnerabilidade do Password Required em estações e servidores Windows Quintas da T.I –
  • 11. Segurança na Instalação e mitigação de vulnerabilidades Para ambientes legados de IIS: As vulnerabilidades conhecidas de IIS eram frequentes até a versão 5, sendo que partir da versão 6, os cuidados para mitigação foram maiores. Sempre que habilitar o IIS, verificar novos patches. Ajuda a manter o ambiente protegido. Vulnerabilidades mais frequentes no IIS 6 eram refentes a arquivos ASP e WEBDAV (http://technet.microsoft.com/pt-br/library/cc781730(v=ws.10).aspx ) Para ficar craque no IIS visite http://iisbrasil.wordpress.com Quintas da T.I –
  • 12. Patches de segurança – WSUS e Cluster Aware Updating (CAU) A aplicação de patches constante garante, além da segurança, o correto funcionamento de sistema operacional e aplicações Use o WSUS para manter o ambiente atualizado Para entender tudo sobre o WSUS http://technet.microsoft.com/enus/library/cc706995(WS.10).aspx A partir do Windows Server 2012 o WSUS é nativo (Role) Mantenha atenção especial a servidores de banco de dados, aplicações e ambientes de cluster (SQL Server e Oracle) Quintas da T.I –
  • 13. Patches de segurança – WSUS e Cluster Aware Updating (CAU) Nativo a partir do Windows Server 2012 Maior e melhor controle da atualização de patches do parque Quintas da T.I –
  • 14. Patches de segurança – WSUS e Cluster Aware Updating (CAU) DMZ Banco de Dados WWW Rede Interna/Intranet Servidores – AD, Correio, Aplicação, File Server e Proxy AD Usuários WSUS Server DMZ Extranet Infra de servidores web (IIS) protegidos por publicação de aplicações no Forefront TMG A distribuição para a rede pode ser feita por um único WSUS A distribuição pode ser automatizada via GPO O mesmo pode ser roteado para várias VLAN s Em redes não cobertas pelo AD, pode se usar uma chave de registry para receber os updates Quintas da T.I –
  • 15. Patches de segurança – WSUS e Cluster Aware Updating (CAU) O CAU (Cluster Aware Updating) é um recurso automatizado que permite atualizar servidores em cluster com pouca ou nenhuma perda de disponibilidade durante o processo de atualização Quintas da T.I –
  • 16. Patches de segurança – WSUS e Cluster Aware Updating (CAU) O recurso CAU no Windows Server 2012 é compatível somente com failover de cluster Windows Server 2012 e as funções de cluster que são suportadas no Windows Server 2012. Executa nos modos Self-Update Mode ou Remote-Update Mode Pode trabalhar em conjunto com um servidor WSUS ou diretamente conectado a internet. Também é possível definir uma pasta onde ele irá buscar as atualizações Para usar um proxy deve-se configurar o acesso ao proxy via System Mode usando o comando netsh: netsh winhttp set proxy server.dominio.com:8080 "<local>" Quintas da T.I –
  • 17. Patches de segurança – WSUS e Cluster Aware Updating (CAU) Para ambientes de cluster com recursos de file server é necessário declarar o domínio interno: netsh winhttp set proxy proxy.uilson.net:8080 "<local>;*.uilson.net“ Para saber as principais novidades de Failover Clustering e uma demo do Cluster Aware Updating assista um vídeo feito pelo Vinicus Apolinário em: http://bit.ly/1b33Vyp Documentação sobre CAU: http://technet.microsoft.com/en-us/library/hh831694.aspx Quintas da T.I –
  • 18. Protegendo a rede com 802.1x  Padrão de controle de acesso a rede por RADIUS  Com o 802.1x é possível determinar que só as estações criadas no padrão da corporação tenham acesso a rede  Evita infecção por acesso de estações de terceiros  O DHCP da rede só concede IP a estação após validação pelo Network Policy Server que processará regras pré-definidas pelo administrador, garantindo a segurança no ambiente. Quintas da T.I –
  • 19. Protegendo a rede com 802.1x Requisitos: Servidor AD CS (Certificate Services – CA Interna) Servidor com a Role do Network Policy Server Servidor com IIS Servidor AD DS – onde as GPO s serão definidas Servidor DHCP A implementação do 802.1x é um fatores mais importantes para segurança em redes Microsoft Quintas da T.I –
  • 20. BitLocker e SMB Encryption Bitlocker Tecnologia que permite proteger com senha e criptografar o conteúdo de mídias de armazenamento via senha ou smart card Surgiu no Windows Vista com intuito de criptografar as unidades de disco A partir do Windows 7 foi criado o “BitLocker To Go” que possibilitava a proteção de conteúdo em unidades removíveis A partir do Windows 8 é possível, além imprimir ou gravar em arquivo, salvar em sua conta Microsoft Quintas da T.I –
  • 21. BitLocker e SMB Encryption Bitlocker no Windows Server 2012 Criptografa o storage local Criptografa discos do failover cluster Criptografa Cluster Shared Volumes 2.0 No Windows 8.1 e Windows Server 2012 R2 é possível usar método de criptografia para o volume todo ou somente para o volume usado. Para saber o que há de novo no BitLocker do Windows Server 2012 R2: http://technet.microsoft.com/en-us/library/hh831412.aspx Quintas da T.I –
  • 22. BitLocker e SMB Encryption SMB Encryption Criptografa os dados SMB em trânsito de fim a fim – Windows 8 e Windows Server 2012 Protege dados contra ataques “eavesdropping” O custo e tempo de implementação é muito menor do que outra solução de criptografia de dados em trânsito – IPSEC A configuração é simples – Via Server Manager em um share específico Quintas da T.I –
  • 23. BitLocker e SMB Encryption Pode ser configurado também via Power Shell: Para uma share específica - Set-SmbShare –Name <sharename> EncryptData $true Para todo o servidor - Set-SmbServerConfiguration –EncryptData $true Secure SMB Connections – Windows Security.com http://www.windowsecurity.com/articlestutorials/misc_network_security/Secure-SMB-Connections.html Quintas da T.I –
  • 24. Proxy Reverso com Web Application Proxy e ARR Web Application Proxy Uma função agregada a role Remote Access no Windows Server 2012 R2 Executa o serviço de proxy reverso para aplicações web provendo acesso para conexões externas ao ambiente Faz a pré-autenticação usando o Active Directory Federation Services (AD FS) e também age como um proxy para o AD FS Quintas da T.I –
  • 25. Proxy Reverso com Web Application Proxy e ARR Web Application Proxy Quintas da T.I –
  • 26. Proxy Reverso com Web Application Proxy e ARR Web Application Proxy Active Directory® Domain Services – para ambientes com KCD (Kerberos Constrained Delegation) Active Directory Federation Services – para serviços de autorização e autenticação e armazenamento das configurações do Web Application Proxy Remote Access – a role que contém o Web Application Proxy Publicando aplicações com Web Application Proxy http://technet.microsoft.com/en-us/library/dn383650.aspx Quintas da T.I –
  • 27. Proxy Reverso com Web Application Proxy e ARR ARR – Application Request Routing Integrado ao IIS 8 no Windows Server 2012 R2 Específico para publicação do CAS (OWA) do Exchange Server 2013 Vem como opção pós TMG Melhor opção que o UAG na questão da complexidade e preço Implementando o Application Request Routing http://www.msexchange.org/articles-tutorials/exchange-server2013/mobility-client-access/iis-application-request-routingpart1.html Quintas da T.I –
  • 28. Algumas features de segurança do Windows Server 2012 R2 Demo Quintas da T.I –
  • 29. Referências para estudo Best Practices em Failover Cluster para Windows Servers: http://blogs.technet.com/b/hugofe/archive/2012/12/06/best-practices-formigration-of-cluster-windows-2008-r2-2012-as-melhores-praticas-paramigrar-um-cluster-de-windows-2008-para-windows-2012.aspx O que há de novo no failover clustering do Windows Server 2012 R2 http://technet.microsoft.com/en-us/library/dn265972.aspx Network Load Balance Best Practices: http://allcomputers.us/windows_server/windows-server-2008-r2--deploying-network-load-balancing-clusters-(part-1).aspx Quintas da T.I –
  • 30. Referências para estudo 802.1x para Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2: http://technet.microsoft.com/en-us/library/cc731853.aspx Treinamento – Implementação de núvem privada http://technet.microsoft.com/pt-br/gg578594.aspx Segurança na núvem com recursos do Azure http://msdn.microsoft.com/pt-br/windowsazure/ff384165.aspx Quintas da T.I –