10140A_08 [Modo de Compatibilidade]

7/31/2019 10140A_08 [Modo de Compatibilidade]

1/39

Mdulo 8Implementao de

segurana usando Diretiva

de Grupo


2/39

Viso geral do mdulo

Configurao de diretivas de segurana

Implementao de diretivas refinadas de senha

Restrio de associao de grupo e de acesso ao software

Gerenciamento da segurana usando modelos de segurana


3/39

Lio 1: Configurao de diretivas de segurana

O que so as diretivas de segurana?

O que a diretiva de segurana de domnio padro?

O que so as diretivas de conta?

O que so diretivas locais?

O que so diretivas de segurana de rede?

Firewall do Windows com segurana avanada Diretivas do controlador de domnio padro

Caractersticas das configuraes da diretiva de segurana


4/39

O que so as diretivas de segurana?


5/39

O que so diretivas de conta?

Configuraes padroDiretivas

Controla a complexidade e a vida til das senhas Durao mxima da senha: 42 dias

As diretivas de conta consistem em:

As diretivas de conta amenizam a ameaa de se adivinharsenhas de conta atravs de ataques de fora bruta

Senha

Bloqueio de conta

Kerberos

Comprimento mnimo da senha: 7 caracteres Senha Complexa: habilitada Armazene senha c/ criptografia reversvel: desabilitado

Controla quantas tentativas incorretas podem ser feitas Durao do bloqueio: no definida Limite de bloqueio: 0 tentativas de logon invlidas Zerar contador de bloqueios de conta aps: no definido

Subconjunto de atributos da diretiva de segurana dedomnio

S pode ser aplicado no nvel de domnio


6/39

O que so diretivas locais?

Todo computador que executa o Windows 2000 e versesposteriores tem uma diretiva de segurana local que faz parte daDiretiva de Grupo local

Em um grupo de trabalho, voc deve configurar diretivas de

As diretivas locais determinam as opes de segurana de uma conta deusurio ou de servio

A diretiva de domnio substituir diretivas locais em casos de conflito

rana ocas para proporc onar segurana

Voc pode atribuir direitos locais atravs de Diretivas de Grupolocais

As opes de segurana controlam vrios aspectos diferentes dasegurana de um computador


7/39

O que so diretivas de segurana de rede?

Diretivas de conexo sem fio separadas para Windows XP e

Windows Vista

As diretivas do Windows Vista contm mais opes para conexosem fio

Defina as redes e os mtodos de autenticao disponveis para conexessem fio para clientes Windows Vista e Windows XP e a autenticao deLAN para clientes Windows Vista e Windows Server 2008

acesso a redes sem fio

A autenticao 802.1x pode ser configurada via Diretiva de Grupo

Somente o Windows Vista e verses posteriores podem receberdiretivas de rede com fios

Windows XP

Windows Vista

Sem fio

Com fio

Somentesem fio Windows XP

Windows Vista

Sem fio

Com fio

Somentesem fio

GPO


8/39

Firewall do Windows com segurana avanada

Suporta filtragem do trfego de entrada e de sada

Usado para a definio de configuraes avanadas

Configuraes de proteo IPsec integradas ao Firewall do Windows

Um firewall baseado em host com monitoramento de estado que autorizaou bloqueia o trfego de rede de acordo com a configurao

Permite a configurao de regras para vrios critrios, como usurios,grupos e portas TCP e UDP

Fornece perfis com reconhecimento de locais de rede

Pode importar ou exportar diretivas

WindowsServer 2008

Internet

LANFirewall

As regras de firewall controlamo trfego de entrada e de sada


9/39

Demonstrao: Viso geral das configuraes desegurana adicionais

Nesta demonstrao, voc ver como:

Definir configuraes de segurana adicionais


10/39

Diretivas do controlador de domnio padro

Existem trs reas que devem ser examinadas:

Diretiva Atribuio de Direitos de Usurio: logon localmente,

desligamento

Diretiva Opes de Segurana: auditoria, dispositivos,controlador de domnio

Diretiva Log de Eventos: tamanho do log, reteno


11/39

O que a diretiva de segurana de domnio padro?

Fornece diretivas de conta para o domnio; outras configuraes no sodefinidas por padro

Use para fornecer configuraes de segurana que afetaro odomnio inteiro

Use a diretiva de domnio para fornecer configuraes de segurana,.

outros tipos de configuraes

Domnio

Diretiva de domnio padro

Configuraes de conta esegurana


12/39

Demonstrao: O que a diretiva de seguranade controlador de domnio padro?

Nesta demonstrao, voc ver:

Configuraes da diretiva de controlador de domnio padro


13/39

Caractersticas das configuraes da diretiva desegurana

Ao examinar configuraes de diretiva de segurana,considere que:

As diretivas de conta so passadas para clientes do controlador

de domnio

O controlador de domnio recebe diretivas de conta de uma diretiva no nvelde domnio

As configuraes de segurana so provenientes do GPO que tem aprioridade mais alta


14/39

Lio 2: Implementao de diretivas refinadas desenha

O que so as diretivas refinadas de senha?

Como as diretivas refinadas de senha so implementadas



15/39

O que so as diretivas refinadas de senha?

Alteraes desenha: 7

dias

Senhas refinadas permitem que vrias diretivas de senhaexistam no mesmo domnio

GrupoAdministrador

Grupo GerenteGrupo Usurio

final

Alteraes de

senha: 14 dias

Alteraes de

senha: 30 dias


16/39

Como as diretivas refinadas de senha soimplementadas

Consideraes sobre a implementao de PSOs:

Continer de Configurao de Senha e Objetos de Configuraode Senha so novas classes de objeto de esquema

S possvel aplicar PSOs a usurios ou grupos globais

possvel criar PSOs atravs de ADSI Edit ou LDIFDE

Um PSO tem as seguintes configuraes disponveis:

Diretivas de senha

Diretivas de bloqueio de conta Link de PSO

Precedncia


17/39


Grupos de sombra podem ser usados para aplicar um PSO a todos osusurios que ainda no compartilham uma associao de grupoglobal

Um usurio ou grupo pode ter vrios PSOs vinculados

Valores de precedncia mais baixos tm prioridade mais alta Os PSOs vinculados diretamente a objetos de usurio substituem os

PSOs vinculados a grupos globais de um usurio

Se no houver PSOs, sero aplicadas diretivas normais de conta de

domnio


18/39

Demonstrao: Implementao de diretivas refinadasde senha


Criar e aplicar PSOs


19/39

Laboratrio A: Implementao de segurana usandoDiretiva de Grupo

Exerccio 1: Definio de configuraes de conta e dediretiva de segurana

Exerccio 2: Implementao de diretivas refinadas de senha

Informaes de logon

Mquina virtual NYC-DC1, NYC-CL1, NYC-SVR1

Nome de usurio Administrador

Senha Pa$$w0rd

Tempo estimado: 35 minutos


20/39

Cenrio do laboratrio

O Woodgrove Bank decidiu implementar a Diretiva de Grupopara configurar a segurana de usurios e computadores daorganizao. A empresa atualizou recentemente todas asestaes de trabalho com o Windows Vista e todos osservidores com o Windows Server 2008. A organizao querutilizar a Diretiva de Grupo para implementar configuraesde segurana para as estaes de trabalho, servidores eusurios.


21/39

Lio 3: Restrio de associao de grupo e deacesso ao software

O que associao de grupo restrito?

O que uma diretiva de restrio de software?

Opes de configurao de diretivas de restrio de software


22/39

O que associao de grupo restrito?

A Diretiva de Grupo pode controlar as associaes de grupo:

De qualquer grupo de um computador local, aplicando um GPO

UO que detm a conta de computador De qualquer grupo no AD DS, aplicando um GPO ao controladorde domnio


23/39

Demonstrao: Configurao da associao agrupo restrito


Configurar grupos restritos


24/39

O que uma diretiva de restrio de software?

Um mecanismo baseado em diretiva que identifica e controlasoftwares em um computador cliente

Um mecanismo que restringe vrus e instalaes de software

Um componente de duas partes: Uma regra padro com trs opes: Irrestrito, Bsico e No

Permitido Exce es re ra adro

d f d d d d


25/39

Opes de configurao de diretivas de restrio desoftware

Regra de certificado

Procura uma assinatura digitalno aplicativo

Use quando quiser restringiraplicativos Win32 e contedoActiveX

Regra de hash

Use para empregar o hashMD5 ou SHA1 de um arquivopara confirmar uma identidade

Use para permitir ou proibir aexecuo de uma certa versode arquivo

Regra de zona da Internet

Controla o modo como as zonasda Internet podem seracessadas

Use em ambientes de altasegurana para controlar oacesso a aplicativos da Web

Regra de caminho

Use para restringir umcaminho de arquivo

Use quando existir vrios

arquivos para o mesmoaplicativo

Essencial no caso de diretivasde restrio de softwarerigorosas

D t C fi d di ti d t i


26/39

Demonstrao: Configurao de diretivas de restriode software


Configurar uma diretiva de restrio de software

Li 4 G i t d d d l


27/39

Lio 4: Gerenciamento da segurana usando modelosde segurana

O que so os modelos de segurana? O que o assistente de configurao de segurana?

Opes para integrar o assistente de configurao de

segurana e os modelos de segurana O que a ferramenta de configurao e anlise desegurana?


28/39

O que so os modelos de segurana?

Modelos de segurana:

Permitem que os administradores apliquemconfiguraes de segurana consistentes a vrios

computadores

Podem ser designados com base nas funes de servidor

Podem ser aplicados via Diretiva de Grupo


29/39

Demonstrao: Aplicao de modelos de segurana


Criar um modelo de segurana e import-lo para um GPO


30/39

O que o Assistente de Configurao de Segurana?

O ACS proporciona a reduo dasuperfcie sujeita a ataquesplanejados:

Desabilitando serviosdesnecessrios eextenses da Web do

O Assistente de Configurao deSegurana suporta:

Reverson erne n orma on

Services (IIS) Bloqueando portas no

utilizadas e protegendoportas deixadas abertascom o IPSec

Reduzindo a exposiode protocolos

Definindo configuraesde auditoria

Anlise Configurao remota

Suporte a linha decomando

Integrao com oActive Directory Edio de diretivas

Demonstrao: Configurao da segurana do servidor


31/39

Demonstrao: Configurao da segurana do servidorusando o Assistente de Configurao de Segurana


Criar uma diretiva de segurana usando o ACS

Opes para integrar o assistente de configurao de


32/39

Opes para integrar o assistente de configurao desegurana e os modelos de segurana

Opes:

Diretivas criadas com o ACS podem ser aplicadas individualmente

Outros modelos de segurana podem ser incorporados ao ACS

Scwcmd.exe um utilitrio de linha de comando que pode ser usado paraconverter a diretiva XML em um GPO

Demonstrao: Importao de diretivas de configurao


33/39

Demonstrao: Importao de diretivas de configuraode segurana para modelos de segurana


Transformar a diretiva XML em um GPO

O que a ferramenta de configurao e anlise de


34/39

O que a ferramenta de configurao e anlise desegurana?

Configurao do modeloConfigurao do modelo Configurao realConfigurao realConfigurao que

no corresponde ao modeloConfigurao que no

corresponde ao modelo

Demonstrao: Anlise da diretiva de segurana com a


35/39

Demonstrao: Anlise da diretiva de segurana com aferramenta Configurao e Anlise de Segurana


Usar a ferramenta Configurao e Anlise de Seguranapara analisar e definir configuraes da diretiva desegurana local

Laboratrio B: Configurao e verificao de


36/39

Laboratrio B: Configurao e verificao dediretivas de segurana

Exerccio 1: Configurao de diretivas de grupos restritos ede restrio de software

Exerccio 2: Configurao de modelos de segurana

Exerccio 3: Verificao da configurao de segurana

Informaes de logon

Mquina virtual NYC-DC1, NYC-CL1, NYC-SVR1

Nome de usurio Administrador

Senha Pa$$w0rd

Tempo estimado: 40 minutos


37/39

Cenrio do laboratrio

O administrador corporativo criou um projeto que incluimodificaes na diretiva de segurana de domnio padro,bem como GPOs adicionais que sero usados para configurara segurana.

A empresa quer ter flexibilidade de atribuir diferentesdiretivas de senha para usurios especficos. A empresatambm deseja automatizar a definio das configuraes desegurana o mximo possvel.


38/39

Reviso do laboratrio

Voc deseja controlar a quais redes sem fio seus clientesWindows Vista tero acesso. Qual a melhor forma deatingir esse objetivo?

Voc precisa fortalecer a segurana em todos os servidores

de banco de dados da organizao. Qual a ferramentamais apropriada para essa tarefa?

Voc usou o Assistente de Configurao de Segurana parar r r v r rv r .

Voc transformou a diretiva em um GPO. Voc aplicou oGPO UO correta, mas as configuraes do IIS no estosendo implantadas. Qual o problema?


39/39

10140A_08 [Modo de Compatibilidade]

Documents

Transcript of 10140A_08 [Modo de Compatibilidade]