10140A_08 [Modo de Compatibilidade]
-
Upload
tiago-henrique-ribeiro-ferreira -
Category
Documents
-
view
237 -
download
0
Transcript of 10140A_08 [Modo de Compatibilidade]
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
1/39
Mdulo 8Implementao de
segurana usando Diretiva
de Grupo
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
2/39
Viso geral do mdulo
Configurao de diretivas de segurana
Implementao de diretivas refinadas de senha
Restrio de associao de grupo e de acesso ao software
Gerenciamento da segurana usando modelos de segurana
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
3/39
Lio 1: Configurao de diretivas de segurana
O que so as diretivas de segurana?
O que a diretiva de segurana de domnio padro?
O que so as diretivas de conta?
O que so diretivas locais?
O que so diretivas de segurana de rede?
Firewall do Windows com segurana avanada Diretivas do controlador de domnio padro
Caractersticas das configuraes da diretiva de segurana
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
4/39
O que so as diretivas de segurana?
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
5/39
O que so diretivas de conta?
Configuraes padroDiretivas
Controla a complexidade e a vida til das senhas Durao mxima da senha: 42 dias
As diretivas de conta consistem em:
As diretivas de conta amenizam a ameaa de se adivinharsenhas de conta atravs de ataques de fora bruta
Senha
Bloqueio de conta
Kerberos
Comprimento mnimo da senha: 7 caracteres Senha Complexa: habilitada Armazene senha c/ criptografia reversvel: desabilitado
Controla quantas tentativas incorretas podem ser feitas Durao do bloqueio: no definida Limite de bloqueio: 0 tentativas de logon invlidas Zerar contador de bloqueios de conta aps: no definido
Subconjunto de atributos da diretiva de segurana dedomnio
S pode ser aplicado no nvel de domnio
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
6/39
O que so diretivas locais?
Todo computador que executa o Windows 2000 e versesposteriores tem uma diretiva de segurana local que faz parte daDiretiva de Grupo local
Em um grupo de trabalho, voc deve configurar diretivas de
As diretivas locais determinam as opes de segurana de uma conta deusurio ou de servio
A diretiva de domnio substituir diretivas locais em casos de conflito
rana ocas para proporc onar segurana
Voc pode atribuir direitos locais atravs de Diretivas de Grupolocais
As opes de segurana controlam vrios aspectos diferentes dasegurana de um computador
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
7/39
O que so diretivas de segurana de rede?
Diretivas de conexo sem fio separadas para Windows XP e
Windows Vista
As diretivas do Windows Vista contm mais opes para conexosem fio
Defina as redes e os mtodos de autenticao disponveis para conexessem fio para clientes Windows Vista e Windows XP e a autenticao deLAN para clientes Windows Vista e Windows Server 2008
acesso a redes sem fio
A autenticao 802.1x pode ser configurada via Diretiva de Grupo
Somente o Windows Vista e verses posteriores podem receberdiretivas de rede com fios
Windows XP
Windows Vista
Sem fio
Com fio
Somentesem fio Windows XP
Windows Vista
Sem fio
Com fio
Somentesem fio
GPO
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
8/39
Firewall do Windows com segurana avanada
Suporta filtragem do trfego de entrada e de sada
Usado para a definio de configuraes avanadas
Configuraes de proteo IPsec integradas ao Firewall do Windows
Um firewall baseado em host com monitoramento de estado que autorizaou bloqueia o trfego de rede de acordo com a configurao
Permite a configurao de regras para vrios critrios, como usurios,grupos e portas TCP e UDP
Fornece perfis com reconhecimento de locais de rede
Pode importar ou exportar diretivas
WindowsServer 2008
Internet
LANFirewall
As regras de firewall controlamo trfego de entrada e de sada
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
9/39
Demonstrao: Viso geral das configuraes desegurana adicionais
Nesta demonstrao, voc ver como:
Definir configuraes de segurana adicionais
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
10/39
Diretivas do controlador de domnio padro
Existem trs reas que devem ser examinadas:
Diretiva Atribuio de Direitos de Usurio: logon localmente,
desligamento
Diretiva Opes de Segurana: auditoria, dispositivos,controlador de domnio
Diretiva Log de Eventos: tamanho do log, reteno
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
11/39
O que a diretiva de segurana de domnio padro?
Fornece diretivas de conta para o domnio; outras configuraes no sodefinidas por padro
Use para fornecer configuraes de segurana que afetaro odomnio inteiro
Use a diretiva de domnio para fornecer configuraes de segurana,.
outros tipos de configuraes
Domnio
Diretiva de domnio padro
Configuraes de conta esegurana
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
12/39
Demonstrao: O que a diretiva de seguranade controlador de domnio padro?
Nesta demonstrao, voc ver:
Configuraes da diretiva de controlador de domnio padro
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
13/39
Caractersticas das configuraes da diretiva desegurana
Ao examinar configuraes de diretiva de segurana,considere que:
As diretivas de conta so passadas para clientes do controlador
de domnio
O controlador de domnio recebe diretivas de conta de uma diretiva no nvelde domnio
As configuraes de segurana so provenientes do GPO que tem aprioridade mais alta
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
14/39
Lio 2: Implementao de diretivas refinadas desenha
O que so as diretivas refinadas de senha?
Como as diretivas refinadas de senha so implementadas
Implementao de diretivas refinadas de senha
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
15/39
O que so as diretivas refinadas de senha?
Alteraes desenha: 7
dias
Senhas refinadas permitem que vrias diretivas de senhaexistam no mesmo domnio
GrupoAdministrador
Grupo GerenteGrupo Usurio
final
Alteraes de
senha: 14 dias
Alteraes de
senha: 30 dias
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
16/39
Como as diretivas refinadas de senha soimplementadas
Consideraes sobre a implementao de PSOs:
Continer de Configurao de Senha e Objetos de Configuraode Senha so novas classes de objeto de esquema
S possvel aplicar PSOs a usurios ou grupos globais
possvel criar PSOs atravs de ADSI Edit ou LDIFDE
Um PSO tem as seguintes configuraes disponveis:
Diretivas de senha
Diretivas de bloqueio de conta Link de PSO
Precedncia
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
17/39
Implementao de diretivas refinadas de senha
Grupos de sombra podem ser usados para aplicar um PSO a todos osusurios que ainda no compartilham uma associao de grupoglobal
Um usurio ou grupo pode ter vrios PSOs vinculados
Valores de precedncia mais baixos tm prioridade mais alta Os PSOs vinculados diretamente a objetos de usurio substituem os
PSOs vinculados a grupos globais de um usurio
Se no houver PSOs, sero aplicadas diretivas normais de conta de
domnio
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
18/39
Demonstrao: Implementao de diretivas refinadasde senha
Nesta demonstrao, voc ver como:
Criar e aplicar PSOs
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
19/39
Laboratrio A: Implementao de segurana usandoDiretiva de Grupo
Exerccio 1: Definio de configuraes de conta e dediretiva de segurana
Exerccio 2: Implementao de diretivas refinadas de senha
Informaes de logon
Mquina virtual NYC-DC1, NYC-CL1, NYC-SVR1
Nome de usurio Administrador
Senha Pa$$w0rd
Tempo estimado: 35 minutos
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
20/39
Cenrio do laboratrio
O Woodgrove Bank decidiu implementar a Diretiva de Grupopara configurar a segurana de usurios e computadores daorganizao. A empresa atualizou recentemente todas asestaes de trabalho com o Windows Vista e todos osservidores com o Windows Server 2008. A organizao querutilizar a Diretiva de Grupo para implementar configuraesde segurana para as estaes de trabalho, servidores eusurios.
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
21/39
Lio 3: Restrio de associao de grupo e deacesso ao software
O que associao de grupo restrito?
O que uma diretiva de restrio de software?
Opes de configurao de diretivas de restrio de software
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
22/39
O que associao de grupo restrito?
A Diretiva de Grupo pode controlar as associaes de grupo:
De qualquer grupo de um computador local, aplicando um GPO
UO que detm a conta de computador De qualquer grupo no AD DS, aplicando um GPO ao controladorde domnio
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
23/39
Demonstrao: Configurao da associao agrupo restrito
Nesta demonstrao, voc ver como:
Configurar grupos restritos
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
24/39
O que uma diretiva de restrio de software?
Um mecanismo baseado em diretiva que identifica e controlasoftwares em um computador cliente
Um mecanismo que restringe vrus e instalaes de software
Um componente de duas partes: Uma regra padro com trs opes: Irrestrito, Bsico e No
Permitido Exce es re ra adro
d f d d d d
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
25/39
Opes de configurao de diretivas de restrio desoftware
Regra de certificado
Procura uma assinatura digitalno aplicativo
Use quando quiser restringiraplicativos Win32 e contedoActiveX
Regra de hash
Use para empregar o hashMD5 ou SHA1 de um arquivopara confirmar uma identidade
Use para permitir ou proibir aexecuo de uma certa versode arquivo
Regra de zona da Internet
Controla o modo como as zonasda Internet podem seracessadas
Use em ambientes de altasegurana para controlar oacesso a aplicativos da Web
Regra de caminho
Use para restringir umcaminho de arquivo
Use quando existir vrios
arquivos para o mesmoaplicativo
Essencial no caso de diretivasde restrio de softwarerigorosas
D t C fi d di ti d t i
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
26/39
Demonstrao: Configurao de diretivas de restriode software
Nesta demonstrao, voc ver como:
Configurar uma diretiva de restrio de software
Li 4 G i t d d d l
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
27/39
Lio 4: Gerenciamento da segurana usando modelosde segurana
O que so os modelos de segurana? O que o assistente de configurao de segurana?
Opes para integrar o assistente de configurao de
segurana e os modelos de segurana O que a ferramenta de configurao e anlise desegurana?
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
28/39
O que so os modelos de segurana?
Modelos de segurana:
Permitem que os administradores apliquemconfiguraes de segurana consistentes a vrios
computadores
Podem ser designados com base nas funes de servidor
Podem ser aplicados via Diretiva de Grupo
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
29/39
Demonstrao: Aplicao de modelos de segurana
Nesta demonstrao, voc ver como:
Criar um modelo de segurana e import-lo para um GPO
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
30/39
O que o Assistente de Configurao de Segurana?
O ACS proporciona a reduo dasuperfcie sujeita a ataquesplanejados:
Desabilitando serviosdesnecessrios eextenses da Web do
O Assistente de Configurao deSegurana suporta:
Reverson erne n orma on
Services (IIS) Bloqueando portas no
utilizadas e protegendoportas deixadas abertascom o IPSec
Reduzindo a exposiode protocolos
Definindo configuraesde auditoria
Anlise Configurao remota
Suporte a linha decomando
Integrao com oActive Directory Edio de diretivas
Demonstrao: Configurao da segurana do servidor
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
31/39
Demonstrao: Configurao da segurana do servidorusando o Assistente de Configurao de Segurana
Nesta demonstrao, voc ver como:
Criar uma diretiva de segurana usando o ACS
Opes para integrar o assistente de configurao de
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
32/39
Opes para integrar o assistente de configurao desegurana e os modelos de segurana
Opes:
Diretivas criadas com o ACS podem ser aplicadas individualmente
Outros modelos de segurana podem ser incorporados ao ACS
Scwcmd.exe um utilitrio de linha de comando que pode ser usado paraconverter a diretiva XML em um GPO
Demonstrao: Importao de diretivas de configurao
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
33/39
Demonstrao: Importao de diretivas de configuraode segurana para modelos de segurana
Nesta demonstrao, voc ver como:
Transformar a diretiva XML em um GPO
O que a ferramenta de configurao e anlise de
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
34/39
O que a ferramenta de configurao e anlise desegurana?
Configurao do modeloConfigurao do modelo Configurao realConfigurao realConfigurao que
no corresponde ao modeloConfigurao que no
corresponde ao modelo
Demonstrao: Anlise da diretiva de segurana com a
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
35/39
Demonstrao: Anlise da diretiva de segurana com aferramenta Configurao e Anlise de Segurana
Nesta demonstrao, voc ver como:
Usar a ferramenta Configurao e Anlise de Seguranapara analisar e definir configuraes da diretiva desegurana local
Laboratrio B: Configurao e verificao de
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
36/39
Laboratrio B: Configurao e verificao dediretivas de segurana
Exerccio 1: Configurao de diretivas de grupos restritos ede restrio de software
Exerccio 2: Configurao de modelos de segurana
Exerccio 3: Verificao da configurao de segurana
Informaes de logon
Mquina virtual NYC-DC1, NYC-CL1, NYC-SVR1
Nome de usurio Administrador
Senha Pa$$w0rd
Tempo estimado: 40 minutos
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
37/39
Cenrio do laboratrio
O administrador corporativo criou um projeto que incluimodificaes na diretiva de segurana de domnio padro,bem como GPOs adicionais que sero usados para configurara segurana.
A empresa quer ter flexibilidade de atribuir diferentesdiretivas de senha para usurios especficos. A empresatambm deseja automatizar a definio das configuraes desegurana o mximo possvel.
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
38/39
Reviso do laboratrio
Voc deseja controlar a quais redes sem fio seus clientesWindows Vista tero acesso. Qual a melhor forma deatingir esse objetivo?
Voc precisa fortalecer a segurana em todos os servidores
de banco de dados da organizao. Qual a ferramentamais apropriada para essa tarefa?
Voc usou o Assistente de Configurao de Segurana parar r r v r rv r .
Voc transformou a diretiva em um GPO. Voc aplicou oGPO UO correta, mas as configuraes do IIS no estosendo implantadas. Qual o problema?
-
7/31/2019 10140A_08 [Modo de Compatibilidade]
39/39