Módulo 12_ Proteção de servidores Windows usando Objetos de Política de Grupo.pdf

65
Módulo 12: Proteção de servidores Win dow s usando Ob  jetos de Política de Grupo Conteúdo: Visão geral do módulo Lição 1: Visão geral da segurança de sistemas operacionais Windows Lição 2: Definição de configurações de segur ança Laboratório A: Aumento da segurança de recursos do servidor Lição 3: Restrição de softwares Lição 4: Configuração do Firewall do Windows com Segurança Avançada Laboratório B: Configuração do A ppLocker e do Firewall do Windows Revisão e informações complementares do módul o Visão geral do módulo Proteger a infraestrutura de TI sempre foi uma prioridade para as organizações. Muitos riscos de s eguran ça ameaça m empresas e seus dados crí ticos. Quando as empresas não têm po lít icas de segurança a dequadas, elas po dem perder dados , passar por situações de indisponibilidade do servidor e perder credibilidade. Par a se proteger contra ameaças de segurança, as empresas devem ter políticas de segurança bem projetadas que incluem vár ios componentes organizacionais e relacionados a TI. Políticas de segurança devem ser avaliadas regularmente, pois, conforme as ameaças de segurança evoluem, o setor de TI também precisa evoluir.

Transcript of Módulo 12_ Proteção de servidores Windows usando Objetos de Política de Grupo.pdf

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    1/65

    Mdulo 12: Proteo de servidores Window

    s usandoOb

    jetos de Poltica de Grupo

    Contedo:

    Viso geral do mdulo

    Lio 1: Viso geral da segurana de sistemas operacionais Window

    s

    Lio 2: Definio de configur

    aes de segurana

    LaboratrioA:

    Aumento da segurana de recursos do seridor

    Lio !: "estrio de softw

    ares

    Lio #: $onfigurao do %irew

    all do Window

    s com &egurana Aanada

    Laboratrio

    ':

    $onfigurao do AppLoc(er e do %irewall do Window

    s

    "eiso e informaes complementares do mdulo

    Viso geral do mdulo

    Proteger a inraestrutura de !" se#pre oi u#a prioridade para as organi$a%es&

    Muitos riscos de segurana a#eaa# e#presas e seus dados cr

    ticos& 'uando as

    e#presas no t(# polticas de segurana ade)uadas* elas pode# perder dados*

    passar por

    situa%es de indisponibilidade do servidor e perder

    credibilidade&

    Par

    a se proteger

    contra a#eaas de segurana* as e#presas deve# ter

    pol

    ticas de

    segur

    ana be# projetadas )ue inclue# v+r

    ios co#ponentes organi$acionais e

    relacionados a !

    "& Polticas de segur

    ana deve# ser avaliadas regular

    #ente* pois*

    conor#e as a#eaas de segurana evolue#* o setor

    de !

    " ta#b,# precisa evoluir&

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    2/65

    -ntes de co#ear a projetar pol

    ticas de segurana para ajudar a proteger

    os dados*

    os servios e a inraestrutura de !

    " da sua organi$ao* voc( deve aprender a

    identiicar a#eaas de segurana* plane

    jar sua estrat,gia para redu$ir

    essas a#eaas e

    proteger

    a inraestrutura do seu Windows .erver

    / 2012&

    Objetivos

    -o concluir

    este #dulo* voc( ser+ capa$ de:

    escreva a segurana do siste#a operacional Windows .erver&

    einir conigura%es de segurana usando a Pol

    tica de Grupo&

    3estr

    ingir a e4ecuo de sotwar

    es no autori$ados e# servidores e clientes&

    5onigurar o 6irewall do Windows co# .egurana -vanada&

    Lio 1 : Viso geral da segurana de sistemas

    operacionais Windows

    7 #edida )ue as organi$a%es e4pande# sua disponibilidade de dados de rede*

    aplicativos e siste#as* gar

    antir

    a segurana da inr

    aestrutur

    a de r

    ede se tor

    na cada ve$

    #ais di

    cil& !ecnologias de segur

    ana no Windows .erver

    2012 per#ite# )ue as

    organi$a%es ornea# #el8or

    proteo para seus recur

    sos de rede e ativos

    organi$acionais e# a#bientes e cen+r

    ios de negcios cada ve$ #ais co#ple4os& 9sta

    lio e4a#ina as err

    a#entas e os conceitos )ue esto disponveis para a

    i#ple#entao da segurana dentr

    o de u#a inraestrutura do Windows e do

    Windows .erver 2012&

    O Windows .erver 2012 inclui diversos r

    ecursos )ue oerece# #,todos dierentes

    para a i#ple#entao da segur

    ana& 9sses recursos se co#bina# para or#ar o

    n;cleo da uncionalidade de segurana do Windows .erver 2012& Para #anter u#a#biente seguro* , essencial entender

    esses recursos e seus conceitos associados e

    estar a#iliari$ado co# a sua i#ple#entao b+sica&

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    3/65

    Objetivos da lio

    -o concluir

    esta lio* voc( ser+ capa$ de:

    "dentiicar riscos de segurana para o W

    indows .erver 2012 e os custos associados

    a eles&

    -plicar o #odelo de proteo e# ca#adas para au#entar a segur

    ana&

    escrever pr+ticas reco#endadas par

    a au#entar a segurana do Windows .erver

    2012&

    Discusso: Identificao de custos e riscos de segurana

    - pr

    i#eira etapa na deesa dos seus siste#as , identiicar os riscos de segur

    ana

    potenciais e seus custos associados& epois de a$er

    isso* voc( pode co#ear a

    to#ar decis%es #ais pr

    ecisas sobre co#o alocar r

    ecursos para redu$ir

    esses riscos&

    -nalise a )uesto no slide e participe de sua discusso para identiicar

    alguns dos

    riscos de segurana e# redes baseadas no W

    indows e seus custos associados&

    Aplicao da proteo em camadas para aumentar a

    segurana

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    4/65

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    5/65

    Per

    metro

    @os dias de 8o

    je* nen8u#a organi$ao , u#a e#presa isolada& Organi$a%es

    opera# na "nternet* e #uitos recur

    sos de rede organi$acionais esto dispon

    veis na

    "nternet& "sso pode incluir

    u# site )ue descr

    eva os servios da sua organi$ao* ou os

    servios internos )ue voc( disponibili$a e4terna#ente* co#o Webconer(ncias ee#ails* de #odo )ue os usu+r

    ios possa# trabal8ar a partir de casa ou de escritr

    ios

    re#otos&

    3edes de per

    #etr

    o #arca# o li#ite entr

    e r

    edes p;blicas e privadas& 6ornecer

    servidor

    es de pro4A rever

    so na r

    ede de per

    #etr

    o per#ite )ue voc( ornea #ais

    servios corporativos seguros e# toda a rede p;blica&

    Muitas or

    gani$a%es i#ple#enta# o contr

    ole de )uarentena de acesso B r

    ede* e#

    )ue os co#putadores )ue se conecta# B r

    ede corporativa so ver

    iicados e# busca

    de dierentes crit,rios de segurana* co#o se o co#putador te# as ;lti#as

    atuali$a%es de segurana* atuali$a%es de antivrus e outras conigur

    a%es de

    segur

    ana reco#endadas pela e#presa& .e esses crit,rios ore# atendidos* o

    co#putador poder+ se conectar

    B r

    ede cor

    porativa& .e no or

    e#* o co#putador ser+

    colocado e# u#a rede isolada* c8a#ada de quarentena* se# acesso a r

    ecursos

    cor

    porativos& 'uando o co#putador

    tiver suas conigura%es de segurana

    re#ediadas* ele ser+ re#ovido da rede de )uarentena e poder+ se conectar

    a recursos

    cor

    porativos&

    )bserao: C# pro4A r

    everso* co#o o Microsot/ 6oreront/ !

    8r

    eat

    Manage#ent GatewaA 2010 >

    6or

    er

    ont !MG?* per#ite )ue voc( publi)ueser

    vios co#o e#ail ou servios Web a partir da intr

    anet corporativa se#colocar servidores de e#ail ou ser

    vidores Web no per#etro ou os e4

    por ausu+r

    ios e4ter

    nos& O 6orer

    ont !

    MG atua co#o pr

    o4A reverso e co#o u#asoluo de irewall&

    !edes

    epois de conectados a u#a rede >inter

    na ou p;blica?* seus co#putador

    es ica#

    suscet

    veis a u#a s,r

    ie de a#eaas* incluindo espionage#* alsiicao* negao de

    servio e ata)ues de reproduo& -o i#ple#entar

    o protocolo "Psec* voc( pode

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    6/65

    cr

    iptograar o tr+ego de rede e proteger

    os dados en)uanto e# transer

    (ncia entre

    co#putadores&

    'uando a co#unicao ocorr

    e atr

    av,s de redes p;blicas* co#o por uncion+r

    ios )ue

    esto tr

    abal8ando de casa ou de escr

    itrios re#otos* co#o pr+tica reco#endada*

    voc( deve se conectar a u#a soluo de ir

    ewall* co#o o 6oreront !

    MG 2010* para

    se pr

    oteger de dierentes tipos de a#eaas de rede&

    Proteo de segurana de computadores host

    - pr

    4i#a ca#ada de deesa , a ca#ada )ue , usada para o co#putador 8ost&

    Duntas* as etapas a seguir or#a# u# processo )ue , c8a#ado depr

    ot

    eo de

    segurana de computadores host& @o co#putador

    8ost* voc( deve:

    Manter

    os co#putadores segur

    os co# as atuali$a%es de segurana #ais recentes&

    5onigurar pol

    ticas de segurana* co#o a co#ple4idade de sen8as&

    5onigurar o ir

    ewall de 8ost&

    "nstalar sotwar

    e antivrus&

    Proteo de segurana de aplicativos

    -plicativos so to seguros )uanto a sua ;lti#a atuali$ao de segurana& Duntas* as

    etapas a seguir or#a# u# processo )ue , c8a#ado depr

    oteo de segur

    ana de

    aplicat

    ivos&

    Cse consistente#ente o recurso Windows Cpdate e# siste#as operacionais

    Windows para #anter seus aplicativos atuali$ados&

    !

    este aplicativos para deter#inar

    se eles t(# vulner

    abilidades de segur

    ana )ue

    possa# per#itir )ue u# invasor e4ter

    no co#pro#eta aplicativos ou outros

    co#ponentes de rede&

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    7/65

    egurana de dados

    - ca#ada inal de segurana , a proteo de dados& Par

    a a

    judar a garantir a proteo

    da sua rede* voc( deve:

    Eistas de 5ontrole de -cesso?&

    "#ple#entar

    a criptograia de dados conidenciais co# o 96. >.iste#a de -r)uivos

    de 5riptogr

    aia?&

    3eali$ar

    bacFups de dados regular

    es&

    Leitura adicional:

    Par

    a obter os inor#es e os boletins de segur

    ana #ais recentes da Microsot*

    consulte o artigo sobre segurana par

    a pr

    oissionais de !" e#

    *ttp:

    ++go,

    microsoft,

    com+fw

    lin(+-

    Lin(.D/200#1

    &

    Par

    a obter #ais inor

    #a%es sobre tipos co#uns de ata)ues de rede* consulte

    *ttp:

    ++go,

    microsoft,

    com+fw

    lin(+-

    Lin(.D/200#2

    &

    ergunta: 'uantas ca#adas do #odelo de proteo e# ca#adas voc( devei#ple#entar na sua organi$ao

    Pr"ticas recomendadas para aumentar a segurana

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    8/65

    5onsider

    e as seguintes pr+ticas reco#endadas par

    a au#entar a segurana:

    -pli)ue todas as atuali$a%es de segurana disponveis o #ais r

    +pido poss

    vel

    aps a sua publicao&

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    9/65

    Lio 2: Def

    inio de conf

    iguraes de segurana

    epois de ter aprendido sobr

    e a#eaas de segurana* riscos e pr+ticas

    reco#endadas para au#entar a segur

    ana* voc( pode co#ear a conigur

    ar a

    segur

    ana para o seu a#biente Windows e Windows .erver 2012& 9sta lio e4plicaa deinir

    conigur

    a%es de segur

    ana&

    Par

    a aplicar

    essas conigura%es de segurana a v+rios usu+rios e co#putadores na

    sua or

    gani$ao* voc( pode usar

    a Pol

    tica de Grupo& Por

    e4e#plo* voc( pode deinir

    conigurao de pol

    tica de sen8a usando a Pol

    tica de Grupo e* e# seguida*

    i#plant+=las para v+rios usu+rios&

    - Poltica de Grupo te# u# a#plo co#ponente de segurana )ue voc( pode usar

    para conigurar a segurana tanto para usu+r

    ios )uanto para co#putador

    es&

    .er

    vios de o#

    nio -ctive ir

    ector

    A/? deinindo conigura%es de segur

    ana e#

    u# GPO >Objeto de Poltica de Grupo? associado a u# site* u# do#nio ou u#a CO

    >

    Cnidade Organi$acional?&

    -o concluir

    esta lio* voc( ser+ capa$ de:

    escrever co#o conigurar #odelos de segurana&

    escrever )uais so os direitos dos usu+rios e co#o conigur+=los&

    escrever co#o conigurar Op%es de .egur

    ana&

    escrever co#o conigurar o 5ontrole de 5onta de Csu+rio&

    escrever co#o conigurar a -uditoria de .egurana&

    escrever co#o conigurar Grupos 3estritos&

    escrever co#o deinir 5onigura%es de Pol

    tica de 5onta&

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    10/65

    Leitura adicional: 5li)ue no seguinte linF para procurar u#a lista detal8adade conigura%es da Poltica de Gr

    upo:*ttp:

    ++go,

    microsoft,

    com+fwlin(+-

    Lin(.D/200##,

    #onfigurao de modelos de segurana

    Modelos de segurana so ar)uivos )ue voc( pode usar para gerenciar

    e deinir

    conigura%es de segur

    ana e# co#putador

    es baseados no Windows& ependendo

    das v+rias categorias de conigur

    a%es de segurana* #odelos de segurana so

    divididos e# se%es lgicas&

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    11/65

    -o conigurar u# #odelo de segur

    ana* voc( pode us+=lo para conigur

    ar

    u#

    ;nico co#putador ou para conigurar v+rios co#putadores na rede& odo de

    Apr

    oao de Administrador& 5ontrola o co#por

    ta#ento de todas as

    conigur

    a%es de pol

    tica de 5ontrole de 5onta de Csu+rio para o co#putador& .e

    essa conigurao estiver desabilitada* o 5ontrole de 5onta de Csu+rio no ser

    +

    e4ecutado nesse co#putador&

    $ontrole de $onta de @surio: >odo de Aproao de Administr

    ador

    para a

    conta de administrador interno& 'uando voc( 8abilita essa conigurao* a conta

    de ad#inistrador

    inter

    no usa o Modo de -provao de -d#inistrador&

    $ontrole de $onta de @surio: detectar

    instalaes de aplicatios e perguntar

    se desea elear& 9ssa conigurao contr

    ola o co#porta#ento de deteco de

    instalao de aplicativos para o co#putador

    & $ontrole de $onta de @surio: elear somente e;ecuteis assinados e

    alidados& 'uando voc( 8abilita essa conigurao* u#a veriicao de PJ"

    >

    "nraestr

    utura de 58ave P;blica? , r

    eali$ada no ar)uivo e4ecut+vel par

    a veriicar

    se

    ele prov,# de u#a onte coni+vel& .e o ar)uivo or veriicado* ele poder+ ser

    e4ecutado&

    )bserao: Por padro* o 5ontrole de 5onta de Csu+rio no est+conigurado ou 8abilitado e# instala%es .erver 5or

    e do Windows .er

    ver2012&

    #onfigurao da auditoria de segurana

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    18/65

    @or

    #al#ente* u# dos co#ponentes da estrat,gia de segurana de u#a organi$ao

    , o registr

    o do co#porta#ento de atividades do usu+rio& 9sse co#por

    ta#ento pode

    incluir tentativas be# ou #al sucedidas de acessar dados crticos par

    a negcios )ue

    esto ar#a$enados e# pastas dierentes ou tentativas de logon be# ou #al

    sucedidas e# servidores dier

    entes& O r

    egistr

    o desses eventos relacionados B

    segur

    ana , c8a#ado deAudit

    oria de Segur

    ana& - auditor

    ia de segurana pr

    odu$

    logs de eventos de segur

    ana )ue os ad#inistradores pode# ento ver

    no Eog de

    9ventos de .egurana do

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    19/65

    ou e4cluir u#a conta de usu+rio* alter

    ar

    u#a sen8a ou 8abilitar ou desabilitar u#a

    conta de usu+rio&

    Auditoria de acesso a obetos& eter#ina se as auditorias do siste#a operacional

    t(# acesso a objetos no=-ctive ir

    ector

    A* co#o pastas ou ar)uivos& -ntes de

    deinir

    conigur

    a%es de auditoria co# a Pol

    tica de Grupo* voc( precisa conigurar.-5Es >

    listas de controle de acesso do siste#a? e# pastas ou ar)uivos para

    per

    #itir a auditoria de u# tipo espec

    ico de ao* co#o gr

    avar* ler ou #odiicar&

    Auditoria de eento do sistema& eter#ina se o siste#a operacional a$

    auditorias de eventos r

    elacionados ao siste#a* co#o tentar

    #udar o 8or

    +r

    io do

    siste#a* tentar u#a iniciali$ao ou u# desliga#ento do siste#a ou )uando o

    ta#an8o do log de segurana e4cede u# aviso de li#ite conigur+vel&

    Leitura adicional: Para obter

    #ais inor#a%es sobr

    e auditoria de segurana*consulte o artigo sobre novidades e# auditoria de segurana e#*ttp:

    ++go,

    microsoft,

    com+fwlin(+-

    Lin(.D/200#

    &

    #onfigurao de grupos restritos

    9# alguns casos* voc( pode )uer

    er

    controlar a associao de certos gr

    upos e# u#

    do#

    nio* co#o o gr

    upo de ad#inistradores locais* para evitar a adio de outr

    as

    contas de usu+r

    ios a esses grupos&

    possvel usar a pol

    tica de Gr

    upos 3estr

    itos par

    a contr

    olar

    a associao de grupo*

    especiicando )uais #e#bros so colocados e# u# grupo& .e voc( deinir

    u#a

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    20/65

    pol

    tica de Gr

    upos 3estr

    itos e depois atuali$ar a Pol

    tica de Gr

    upo* )ual)uer

    #e#bro

    atual de u# grupo )ue no este

    ja na lista de #e#bros da pol

    tica de Gr

    upos

    3estr

    itos ser+ re#ovido* incluindo #e#bros padro co#o ad#inistrador

    es de

    do#

    nio&

    9#bora voc( possa controlar gr

    upos de do#nio atribuindo pol

    ticas de Gr

    upos

    3estr

    itos a controladores de do#

    nio* essa conigurao deve ser usada

    principal#ente para conigurar a associao de grupos crticos* co#o

    -d#inistradores de 9#presa e -d#inistr

    adores de 9s)ue#a&

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    21/65

    a#biente de r

    ede e4ige )ue todos os usu+r

    ios utili$e# sen8as or

    tes&

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    22/65

    #ni#o de

    tr(s caracteres

    se o 5o#p

    ri#ento Mni#o

    da .en8a

    or de

    inido

    co#o 0&&

    o 5onten8a# u#a

    co#binao de pelo#enos tr(s dos seguintes

    tipos de caracteres: letras

    #ai;sculas* letras

    #in;sculas* n;#eros e

    s#bolos >sinais de

    pontuao?&

    o @o deve# conter o no#ede

    usu+rio ou o no#e de

    tela do usu+rio&

    "nstrua os usu+rios a utili$

    are#

    rases

    secretas para criar sen8as longas

    +ceis de le#brar&

    "#por 8istrico de

    sen8a

    "#pede )ue os usu+rios crie# u#a nova

    sen8a igual B se

    n8a atual ou a u#a sen8a

    usada recente#ente& Para especiicar

    )uantas sen8as so #e

    #ori$

    adas*

    ornea

    u# valor& Por e4e#plo* u# valor de 1signi

    ica )ue apenas a ;lti#a sen8a ser+

    #e#ori$ada* en)uanto u# valor de

    signi

    ica )ue as cinco sen8as anteriores

    sero #e#ori$adas&

    'uanto #aior o n;#ero* #el8or ser+

    a segurana& O valor padro , 2&

    "#por o 8istrico de se

    n8as garante

    )ue sen8as )ue

    icara#

    co#pro#etidas no se

    ja# usadasrepetida#ente&

    !

    e#po de

    vida #+4i#o

    da sen8a

    e

    ine o n;#ero #+4

    i#o de dias durante

    os )uais u#a sen8a ,

    v+lida& -ps esse

    n;#ero de dias* o usu+rio ter+ )ue#udar a sen8a&

    O valor padro , 2 dias* #as a

    #el8or pr+tica , de

    ini=lo co#o Q0

    dias& -

    justar o n;#e

    ro de dias co#ou# valor #uito alto

    ornece

    aos

    8acFers u#a janela pro

    longada de

    oportunidade para dete

    r#inar a

    sen8a& e

    inir o n;#ero de dias

    co#o u# valor #uito bai4

    o

    decepciona os usu+rios )ue precisa#

    #udar de sen8a co# #uita

    re)u(ncia e pode re

    sultar e

    #

    c8a#adas #ais re)ue

    ntes para a

    assist(ncia t,cnica do setor de !

    "&

    !

    e#po de

    vida #ni#o e

    ine o n;#ero #ni#o de

    dias )ue eina o te#po de vida #ni#o da

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    23/65

    da sen8a deve# passar antes )ue u#a sen8a

    possa ser alterada&

    sen8a para pelo #e

    no

    s 1 dia& -o

    a$er isso* o usu+rio s pode #udar a

    sen8a u#a ve$ por dia& "sso ir+

    a

    judar a i#por outras con

    igura%es&

    Por e4e#plo* se as ;lti#as cinco

    sen8as

    ore# #e

    #ori$

    adas* isso ir+

    garantir )ue pelo #enos cinco diasdeve# se passar antes )ue

    o usu+rio

    possa reutili$ar a sen8a original& .e o

    te#po de vida #ni#o da sen8a

    or

    de

    inido co#o 0* o usu+rio poder+

    trocar de sen8a seis ve$

    es no #es#o

    dia e co#ear a reutili$

    ar a sen8a

    original no #es#o dia&

    5o#pri#ento #ni#oda sen8a

    9speci

    ica o #e

    nor n;#e

    ro de caracteres)ue u#a sen8a pode ter&

    eina o co#pri#e

    nto entre e 12caracteres >desde

    )ue esses

    caracteres ta#b,# atenda# aos

    re)uisitos de co#p

    le

    4idade

    ?& C#a

    sen8a #ais longa , #ais di

    cil de

    deci

    rar do )ue u#a se

    n8a #ais

    curta* supondo )ue e

    ssa sen8a no

    se

    ja u#a palavra ou e4

    presso

    co#u#&

    -r#a$e

    nar a sen8a co#

    criptogra

    ia reversvel

    6ornece suporte para aplicativos )ue

    e4ige# con8eci#e

    nto

    de

    u#a sen8a de

    usu+rio para

    ins de autenticao&

    @o use essa con

    igurao* a #enos

    )ue voc( use u# p

    rogra#a no )ual

    ela , necess+ria& Nab

    ilitar essa

    conigurao di#inui a se

    gurana de

    sen8as ar#a$enadas&

    Poltica de &lo'ueio de #onta

    -s Pol

    ticas de Ilo)ueio de 5onta )ue voc( pode conigurar esto listadas na tabela a

    seguir&

    ol3tica %uno rtica recomendada

    Ei#ite de

    blo)ueio de

    conta

    9speci

    ica o n;#ero de tentativas de login

    co# al8a )ue so per#itidas antes )ue a

    conta se

    ja blo)ue

    ada& Por e4e#plo* se o

    li#ite estiver de

    inido co#o R* a conta ser+

    blo)ueada depois )ue u# usu+rio inserir

    C#a de

    inio de p

    er#ite erros

    #oderados do usu+rio* e li#ita

    tentativas de logo

    n re

    pe

    tidas para

    ins #al intencionado

    s&

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    24/65

    in

    or#a%es de logon incorretas tr(s ve$

    es&

    urao do blo)ueio de

    conta

    Per#ite )ue voc( e

    spe

    ci

    i)ue

    u# pra$o

    deinido* e# #inutos* aps o )ual a conta

    , desblo)ueada auto

    #atica#ente e

    reto#a a ope

    rao nor#al& .e voc(

    especi

    icar 0* a conta se

    r+ blo)ueada

    inde

    inida#ente* at, )ue u#

    ad#inistrador a desblo)ueie #anual#ente

    epois )ue o li#ite

    or atingido e a

    conta

    or blo)ueada* ela

    per#anecer+ blo)ue

    ada por u#

    te#po longo o su

    iciente para

    blo)uear ou i#pedir possveis

    ata)ues* #as por te#po curto o

    su

    iciente para no

    inter

    erir na

    produtividade de

    usu+rios legti#os&

    C#a durao de R0 a Q0 #inutos

    deve

    uncionar be

    # na #aioria das

    situa%es&

    Serar contador de

    blo)ueios de conta aps

    e

    ine u# pra$o para a contage# das

    tentativas de logon incorretas& .e a polticaestiver deinida para u#a 8ora* e o li#ite

    de blo)ueio de conta estiver de

    inido para

    tr(s tentativas* u# usu+rio poder+ inserir

    as in

    or#a%es de logon incorretas tr(s

    ve$es dentro de

    u#a 8ora& .e o usu+rio

    inserir in

    or#a%es incorretas duas ve$es*

    #as corretas na terceira ve$* o contador

    ser+ rede

    inido depois de u#a 8ora >a

    partir da pri#eira e

    ntrada incorreta?* etentativas uturas co#

    al8a co#earo

    nova#ente a partir do n;#ero u#&

    Csar u# intervalo de R0 a T0

    #inutos , geral#e

    nte

    su

    icientepara i#pedir ata)ues auto#ati$

    ados

    e tentativas #anuais por parte de

    u# atacante de adivin8ar sen8as&

    Poltica (erberos

    9ssa pol

    tica , para contas de usu+r

    io de do#nio e deter#ina conigura%es

    relacionadas a Jerberos* co#o a vida ;til e a i#posio de t

    )uetes& Pol

    ticas J

    erber

    osno e4iste# na Pol

    tica de 5o#putador Eocal&

    Laoratrio !: !umento da segurana de recursos do

    ser"

    idor

    #en"rio

    - -& atu# 5or

    poration , u#a e#pr

    esa global de engen8aria e #anuatura co#

    sede e# Eondres "n laterr

    a& C# escritr

    io de !

    " e u# datacenter esto locali$ados e#

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    25/65

    Eondres co#o supor

    te B locali$ao e# Eondr

    es e outras locali$a%es& 3ecente#ente*

    a -& atu# i#plantou u#a inraestr

    utur

    a do Windows .erver

    2012 co# clientes

    Windows &

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    26/65

    .en8a PaUUw0rd

    @este laboratrio* voc( usar+ o a#biente de #+)uina virtual dispon

    vel& -ntes de

    iniciar

    o laboratrio* voc( deve concluir

    as seguintes etapas:

    1& @o co#putador 8ost* cli)ue e# .niciar

    * aponte para %erramentas

    Administratiase cli)ue e# Berenciador do Cper=V&

    2& @o Ger

    enciador do NAper=

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    27/65

    GPO )ue deina a associao do grupo local de -d#inistrador

    es e# ser

    vidores

    #e#bros* de or#a a incluir -d#inistr

    adores de .er

    vidor de 5o#putador& 9sse GPO

    ta#b,# pr

    ecisa 8abilitar

    o Modo de -pr

    ovao de -d#inistrador

    para o 5ontr

    ole de

    5onta de Csu+rio&

    -s principais tareas deste e4erc

    cio so:

    1& 5riar

    u#a CO >unidade organi$acional? de .ervidor

    es Me#br

    os e #over

    servidores at, ela

    2& 5riar

    u# grupo de -d#inistrador

    es de .ervidor

    R& 5riar

    u# GPO >Objeto de Poltica de Grupo? de 5onigura%es de .egurana de.er

    vidor

    es Me#br

    os e vincul+=lo B CO de .ervidor

    es Me#br

    os

    & 5onigurar a associao de gr

    upo para ad#inistr

    adores locais de or

    #a a incluir

    -d#inistradores de .er

    vidor e -d#inistradores de o#

    nio

    & embros&

    .aref

    a 4: #riar um grupo de Administradores de ervidor

    9# EO@=51* e# @) de &eridores >embros* crie u# novo grupo de segurana

    global c8a#ado Administrador

    es de &eridor&

    .aref

    a 5: #riar um -PO /Objeto de Poltica de -rupo1 de #onfigura$es de

    egurana de ervidores 2embros e vincul"6lo 7 %O de ervidores 2embros

    1& 9# EO@=51* abr

    a o $onsole de Berenciamento de ol3tica de Brupo&

    2& @o GPM5 >5onsole de Gerencia#ento de Pol

    tica de Grupo?* no cont(iner

    Ob

    jetos de Poltica de Grupo* crie u# novo B) co# o no#e $onfigur

    aes

    de &egurana de &eridores >embr

    os&

    R& @o 5onsole de Gerencia#ento de Pol

    tica de Gr

    upo* vincule as $onfiguraesde &egurana de &eridores >embr

    osB @) de &eridores >embr

    os&

    .aref

    a 8: #onfigurar a associao de grupo para administradores locais de

    forma a incluir Administradores de ervidor e Administradores de Domnio

    1& 9# EO@=51* abr

    a o $onsole de Berenciamento de ol3tica de Brupo&

    2& 9dite a ol3tica de Dom3nio adro&

    R& @avegue at, $onfigurao do $omputador* cli)ue e# ol3ticas* cli)ue e#

    $onfiguraes do Window

    s* cli)ue e# $onfiguraes de &eguranae depois

    cli)ue e# Brupos restritos&

    & -dicione os grupos Administradores de &eridore Admins, Do dom3nioao

    grupo Administradores&

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    29/65

    & 6ec8e o 9ditor de Gerencia#ento de Pol

    ticas de Grupo&

    .aref

    a 9: erificar se o grupo Administradores do #omputador f

    oi adicionado

    ao grupo de Administradores local

    1& Mude para L)F=&V"1e entre co#o ADA6@>9Administradorco# a sen8a

    aGGw

    Erd&

    2& -bra u#a janela do Windows Power.8ell/ e* no pro#pt de co#ando do

    Windows Power.8ell* digite o seguinte co#ando:

    Gpupdate /force

    R& -bra o Berenciador do &eridor

    * abr

    a o console Berenciamento do

    computadore e4panda @surios e Brupos Locais&

    & 5onir#e )ue o gr

    upo Administr

    adorescont,# tanto ADA6@>9

    Admins, Do

    dom3nioe ADA6@>9Administradores de &eridorco#o #e#bros&

    & 6ec8e o console Gerencia#ento do co#putador&

    .aref

    a ;: 2odif

    icar o -PO de #onfigura$es de egurana de ervidores

    2embros para remover %su"rios de Permitir logon localmente

    1& -lterne para L)F=D$1&

    2& 9# EO@=51* no GPM5* edite o GPO de $onfiguraes de &egur

    ana de

    &eridores de >embros&

    R& @a janela 9ditor de Ger

    encia#ento de Polticas de Grupo* navegue at,

    $onfigurao do $omputador9

    ol3ticas9

    $onfiguraes doWindow

    s9

    $onfiguraes de segur

    ana9

    ol3ticas locais9

    Atribuio de

    direitos de usurioe conigure ermitir logon localpara os gr

    upos de

    segurana Admins, Do dom3nioe Administradores&

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    30/65

    .aref

    a

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    31/65

    "esultados: -o ter#inar este e4erc

    cio* voc( ter+ usado a Pol

    tica de Gr

    upo paraproteger

    servidores Me#bro&

    *+erc

    cio 4: Auditoria do acesso ao sistema de ar'uivos

    Cenr

    io

    O ger

    ente do departa#ento de Mar

    Feting est+ preocupado por)ue no , possvel

    controlar )ue# est+ acessando os ar)uivos )ue esto no co#partil8a#ento de

    ar

    )uivos do departa#ento& .eu gerente e4plicou )ue so#ente os usu+rios co#

    per#iss%es esto autor

    i$ados a acessar os ar)uivos& @o entanto* o ger

    ente do

    departa#ento de MarFeting gostar

    ia de tentar registrar o acesso aos ar

    )uivos )ue

    esto no co#par

    til8a#ento de ar

    )uivos par

    a ver )uais usu+rios esto acessando

    ar

    )uivos especicos&

    .eu ger

    ente l8e pediu para 8abilitar

    a auditoria par

    a o siste#a de ar

    )uivos )ue se

    encontr

    a no co#partil8a#ento de ar)uivos do departa#ento de Mar

    Feting e para

    analisar

    os resultados co# o gerente do departa#ento de MarFeting&

    -s principais tareas deste e4erc

    cio so:

    1& Modiicar o GPO de 5onigur

    a%es de .egurana de .ervidores Me#bros para

    8abilitar a auditoria de acesso a ob

    jetos

    2& 5riar

    e co#par

    til8ar u#a pasta

    R& Nabilitar

    a auditoria na pasta MarFeting para Csu+rios de o#

    nio

    & 5riar

    u# novo ar)uivo no co#par

    til8a#ento de ar)uivos a partir de EO@=5E1

    & 9

    Administradorco# a sen8a aGGw

    Erd&

    R& @o GPM5* edite o GPO de $onfiguraes de &egurana de &eridor

    es

    >embros&

    & @a janela 9ditor do Gerencia#ento de Pol

    ticas de Grupo* navegue at,

    $onfigurao do $omputador9

    ol3ticas9

    $onfiguraes do

    Window

    s9

    $onfiguraes de segur

    ana9

    ol3ticas locais9

    ol3tica de

    auditoria&

    & Nabilite Auditoria de acesso a obetosco# conigur

    a%es de H;itoe %al*a&

    T& .aia de EO@=51&

    .aref

    a 4: #riar e compartilhar uma pasta

    1& -lterne para L)F=&V"1&

    2& 9ntr

    e e# L)F=&V"1co#o ADA6@>9

    Administradorco# a sen8a aGGw

    Erd&

    R& 9# EO@=.ar

    (eting&

    & 5onigure a pasta >ar(etingco# per#iss%es de co#partil8a#ento de

    Leitura+Braaopara o usu+r

    io Adam&

    .aref

    a 5: >abilitar a auditoria na pasta 2ar?eting para %su"rios de Domnio

    1& 9# EO@=.

    5:?* deina a auditoria na pasta >ar(eting*

    co# as seguintes conigura%es:

    o .elecionar u#a entidade de segurana: @surios do dom3nio

    o !

    ipo: 6odas

    o Per#isso:Ler e e;ecutarI Listar conte

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    33/65

    o ei4e as outras conigur

    a%es co# seus valores padro&

    2& -tuali$e a Pol

    tica de Grupo digitando o seguinte co#ando e# u#a janela do

    Power.8ell:

    gpupdate /force

    .aref

    a 8: #riar um novo ar'uivo no compartilhamento de ar'uivos a partir de

    @O6#@

    1& -lterne para L)F=$L1&

    2& 9ntr

    e e# L)F=$L1co#o ADA6@>9

    Administradorco# a sen8a aGGw

    Erd&

    R& -bra u#a janela de Pro#pt de 5o#ando e digite o seguinte co#ando:

    gpupdate /force

    & 6ec8e a janela Pro#pt de 5o#ando&

    & .aia de EO@=5E1 e depois entre nova#ente co#o ADA6@>9

    Adam co# a

    sen8a aGGw

    Erd&

    T& -bra a pasta >ar(etinge# EO@=.9

    Administr

    atorco# a sen8a aGGwErd&

    2& 9# EO@=51* abr

    a o B>$&

    R& 5rie u#a nova GPO deno#inada ol3tica de "estrio do Wor

    dad&

    & 9dite as $onfiguraes de &eguranade ol3tica de "estrio do Wordad

    usando o AppLoc(erpara cr

    iar u#a nova "egra de ?;ecutel&

    & eina a per

    #isso da nova regra co#o Fegar* a condio co#o %ornecedore

    selecione w

    ordpad,e;e& .e solicitado* cli)ue e# )Jpara cr

    iar r

    egr

    as padr

    o&

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    44/65

    T& @o 9ditor

    de Gerencia#ento de Pol

    ticas de Grupo* navegue at, $onfigurao

    do $omputador9

    ol3ticas9

    $onfiguraes do Window

    s9

    $onfiguraes de

    segurana9

    ol3tica de $ontr

    ole de Aplicatio9AppLoc(er&

    V& 9# AppLoc(er* conigur

    e a i#posio co# .mpor regras&

    & @o ?ditor de Berenciamento de ol3ticas de Brupo* navegue at,

    $onfigurao do $omputador9

    ol3ticas9

    $onfiguraes do

    Window

    s9

    $onfiguraes de segur

    ana9

    &erios do sistema&

    Q& 5onigure ropriedades de .dentidade de Aplicatioco# Definir esta

    configurao de pol3ticae &elecionar o modo de iniciali7ao do serio

    co# Automtico&

    Aplicar o -PO ao domnio

    1& @a janela Berenciamento de ol3ticas de Brupo* apli)ue o GPO de ol3tica de

    "estrio do Wordadao do#

    nio Adatum,com&

    2& -bra u#a janela de Pro#pt de 5o#ando* digite gpupdate +for

    ce e pr

    essione9nter

    &

    R& "nicie e* e# seguida* entre e# 2##1E'=L)F=$L1co#o ADA6@>9

    Alan* co# a

    sen8a aGGw

    Erd&

    & @a janela de Pro#pt de 5o#ando* digite gpupdate +force e pr

    essione 9nter&

    -guarde a atuali$ao da pol

    tica&

    .este da regra de App@oc?er

    9# L)F=$L1* entre co#o ADA6@>9

    Alan* tente iniciar o Wordade depois

    conir

    #e )ue o WordPad no est+ sendo iniciado&

    Lio %: Conf

    igurao do &irewall do Windows com

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    45/65

    'egurana !"

    anada

    O 6irewall do Windows co# .egur

    ana -vanada , u#a erra#enta i#por

    tante para

    #el8orar a segurana do Windows .er

    ver

    2012& 9sse snap=in ajuda a i#pedir

    v+rios

    proble#as de segurana dierentes* co#o varredura de portas ou #alware& O 6irewalldo Windows co# .egurana -vanada te# v+r

    ios peris de irewall* cada u# dos

    )uais aplicando conigur

    a%es e4clusivas a dierentes tipos de r

    edes&

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    46/65

    e a par

    tir

    desse co#putador&

    -o contr

    +r

    io de u# irewall de per

    #etro* )ue oerece proteo apenas contra

    a#eaas na "nternet* u# irewall baseado e# 8ost oerece proteo contr

    a a#eaas

    de onde )uer )ue eles se origine#& Por

    e4e#plo* o 6irewall do Windows pr

    otege u#

    8ost contra u#a a#eaa na E-@ >rede local?&

    !egras de entrada e de sa

    da

    3egras de entr

    ada contr

    ola# a co#unicao )ue , iniciada por outro dispositivo ou

    co#putador na rede co# o co#putador 8ost& Por padro* toda co#unicao de

    entrada , blo)ueada* e4ceto o tr+ego )ue , e4plicita#ente per#itido por

    u#a regra

    de entrada&

    3egras de sa

    da controla# a co#unicao )ue , iniciada pelo co#putador

    8ost e

    est+ destinada par

    a u# dispositivo ou co#putador na rede& Por padr

    o* toda

    co#unicao de sa

    da , per

    #itida* e4ceto o tr+ego )ue , e4plicita#ente blo)ueado

    por u#a r

    egr

    a de sa

    da& .e voc( optar por blo)uear todas as co#unica%es de sada*

    e4ceto o tr

    +ego )ue , e4plicita#ente per#itido* dever+ catalogar

    cuidadosa#ente ossotwar

    es )ue pode# ser e4ecutados nesse co#putador e a co#unicao de rede

    e4igida por

    esses sotwar

    es&

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    47/65

    O 6irewall do Windows co# .egur

    ana -vanada , u# snap=in do MM5 >

    5onsole de

    Gerencia#ento Microsot? )ue per#ite reali$ar a conigurao avanada do 6irewall

    do Windows&

    O 6irewall do Windows no Windows e no W

    indows .erver 2012 oerece os

    seguintes recursos:

    Oer

    ece suporte para iltrage# no tr

    +ego de entrada e de sada&

    "ntegra conigura%es de iltrage# de irewall e proteo "Psec&

    Per

    #ite )ue voc( conigure regras para controlar o tr+ego de rede&

    6or

    nece peris co# recon8eci#ento do local de rede&

    Per

    #ite i#portar ou e4portar

    pol

    ticas&

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    48/65

    94a#ine a per

    gunta e# )uesto e par

    ticipe de u#a discusso par

    a identiicar os

    bene

    cios de usar u# ir

    ewall baseado e# 8ost* co#o o 6irewall do W

    indows co#

    .egurana -vanada&

    ergunta: por )ue , i#portante usar u# irewall baseado e# 8ost* co#o o6ir

    ewall do Windows co# .egur

    ana -vanada

    Perfis de fireBall

    O 6irewall do Windows co# .egur

    ana -vanada usa per

    is de irewall par

    a ornecer

    u#a conigurao consistente para redes de u# tipo especico e per#ite )ue voc(

    deina u#a r

    ede ou co#o rede de do#

    nio* rede p;blica ou rede privada&

    5o# o 6irewall do Windows co# .egur

    ana -vanada* voc( pode deinir

    u#

    con

    junto de conigura%es para cada tipo de rede& 5ada conjunto de conigur

    a%es ,

    c8a#ado deperf

    il de f

    ire!all& -s regras de ir

    ewall so ativadas so#ente para perisde irewall espec

    icos&

    O 6irewall do Windows co# .egur

    ana -vanada inclui os peris na tabela a seguir&

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    49/65

    erfil Descrio

    P;blico Cse )uando voc( estive

    r conectado a u#a rede p;blica no con

    i+vel& - no ser pelas

    redes de do#nio* todas as re

    de

    s so classi

    icadas co#o P;blicas& Por padro* o peril

    P;blico >)ue , o #ais restritivo? , usado no Windows

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    50/65

    -s regras de segurana de cone4o conigur+veis so:

    "sola#ento& u#a regra de isola#ento isola os co#putador

    es* restringindo as

    cone4%es co# base e# credenciais* co#o associao do do#

    nio e status de

    integr

    idade& -s regr

    as de isola#ento per#ite# a i#ple#entao de u#a estrat,gia

    de isola#ento para ser

    vidores ou do#nios&

    "seno de -utenticao& voc( pode usar u#a iseno de autenticao para

    designar cone4%es )ue no e4ige# autenticao& possvel designar

    co#putadores por u# endereo "P especico* u# inter

    valo de endereos "P* u#a

    sub=rede ou por u# grupo predeinido* co#o u# gatewaA&

    .er

    vidor

    =a=.ervidor& u#a regr

    a de servidor a ser

    vidor protege as cone4%es entreco#putadores espec

    icos& Geral#ente* esse tipo de regra protege as cone4%es

    entr

    e servidores& -o criar

    a r

    egra* especii)ue os pontos de e4tre#idade da rede

    entr

    e os )uais as co#unica%es so pr

    otegidas& 9# seguida* designe os r

    e)uisitos

    e a autenticao )ue voc( dese

    ja usar

    &

    "

    #nel& 5o# u#a r

    egra de t;nel* voc( pode proteger cone4%es entre co#putadores

    de gatewaA& @or#al#ente* voc( usaria u#a regra de t;nel ao conectar=se atrav,s

    da "nter

    net entre dois gatewaAs de segurana&

    Per

    sonali$ada& Cse u#a regra personali$ada para autenticar cone4%es entre dois

    pontos de e4tr

    e#idade )uando voc( no pode conigurar regras de autenticao

    necess+rias usando as outras r

    egr

    as disponveis no novo -ssistente par

    a @ova

    3egra de .egurana de 5one4o&

    #omo regras de fireB

    all e regras de segurana de cone+o

    trabalham juntas

    3egras de ir

    ewall per

    #ite# o tr

    +ego atrav,s do irewall* #as no protege# esse

    tr+ego& Para proteger

    o tr+ego co# "Psec* voc( pode criar

    regras de segurana de

    cone4o& @o entanto* r

    egras de segurana de cone4o no per

    #ite# o tr

    +egoatrav,s de u# irewall&

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    51/65

    so aplicadas entre os co#putador

    es )ue co#p%e# os dois pontos de e4tre#idade&

    Implantao de regras de fireBall

    - or

    #a co#o voc( i#planta as r

    egras do 6irewall do Windows , u# ponto

    i#portante& 9scol8er o #,todo apropr

    iado garante )ue as regr

    as se

    ja# i#plantadas

    precisa#ente e co# esoro #

    ni#o& $&2& @o GPM5* no cont(iner

    Ob

    jetos de Pol

    tica de Grupo* crie u# novo GPO co# o

    no#e B) de $ontrole de &oftw

    are&

    R& 9dite o GPO de 5ontrole de .otwar

    e&

    & @a janela 9ditor de Ger

    encia#ento de Polticas de Grupo* navegue at,

    $onfigurao do $omputador

    +ol3ticas+$onfiguraes do Window

    s+$onfiguraes de segurana+ol3ticas de $ontrole de

    Aplicatio+AppLoc(er&

    & 5rie r

    egras padr

    o para o seguinte:

    o "egras de ?;ecuteis

    o "egras do Window

    s .nstaller

    o "egras de &cript

    o "egras de aplicatios empacotados

    T& 5onigure a i#posio de r

    egr

    as co# a opo &omente auditoriapar

    a o

    seguinte:

    o "egras ?;ecuteis

    o "egras do Window

    s .nstaller

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    56/65

    o "egras de &cript

    o "egras para aplicatios empacotados

    V& @o 9ditor

    de Gerencia#ento de Pol

    ticas de Grupo* navegue at, $onfigurao

    do $omputador9

    $onfiguraes do Window

    s9

    $onfiguraes de segurana*

    cli)ue e# &erios do sistemae depois cli)ue duas ve$es e# .dentidade de

    Aplicatio&

    & @a cai4a de di+logo ropriedades de .dentidade de Aplicatio* cli)ue e#

    Definir esta configurao de pol3ticae* e# &elecionar modo de iniciali7ao

    do serio* cli)ue e# Automticoe depois cli)ue e# )J&

    Q& 6ec8e o 9ditor de Gerencia#ento de Pol

    tica de Gr

    upo&10& @o GPM5* vincule o B) de $ontrole de &oftw

    areB CO de 5o#putadores

    5liente&

    .aref

    a 8: *+ecutar -P%pdate

    1& -lterne para L)F=$L1&

    2& -bra u#a janela de Pro#pt de 5o#ando e digite o seguinte co#ando:

    gpupdate /force

    R& 6ec8e a janela de Pro#pt de 5o#ando e reinicie L)F=$L1&

    .aref

    a 9: *+ecutar appFbat na pasta #:G#ustomApp

    1& 9ntr

    e e# L)F=$L1co#o ADA6@>9

    Administradorco# a sen8a aGGw

    Erd&

    2& 9# u# pro#pt de co#ando* digite o co#ando a seguir

    e pressione 9nter

    :

    gpresult /R

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    57/65

    -nalise o resultado do co#ando e verii)ue se o B) de $ontrole de &oftw

    are

    est+ e4ibido e# 5onigura%es do 5o#putador* Objeto de Pol

    tica de Gr

    upo

    -plicados& .e o B) de $ontrole de &oftw

    areno estiver visvel* reinicie EO@=

    5E1 e repita as etapas 1 e 2&

    R& 9# u# pro#pt de co#ando* digite o co#ando a seguir

    e pressione 9nter

    :

    C:\CustomApp\app1.bat

    .aref

    a ;: isuali0ar eventos do App@oc?erH em um log de eventos

    1& 9# EO@=5E1* inicie o Visuali7ador de ?entos&

    2& @a janela do icrosoft+ Window

    s+AppLoc(er e revise os eventos&

    R& 5li)ue e# >&. e &criptse analise o log de eventos 00 )ue cont,# o seguinte

    te4to: M)&D".V?M9

    $@&6)>A9

    A1,'A6 permitido para e;ecuo&

    )bserao: .e nen8u# evento or e4ibido* verii)ue se o servio de"dentidade de -plicativo oi iniciado e tente de novo&

    .aref

    a

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    58/65

    ol3ticas de $ontrole de Aplicatio+AppLoc(er&

    R& 5rie u#a nova regr

    a de script co# a seguinte conigurao:

    o Per#iss%es: ermitir

    o 5ondi%es: $amin*o

    o 5a#in8o: M)&D".V?M9

    $ustomApp9

    app1,bat

    o @o#e e escr

    io: "egra de Aplicatio ersonali7ado

    .aref

    a =: 2odif

    icar o -PO de #ontrole de oftBare para impor regras

    1& Cse a opo .mpor regraspara conigurar a i#posio de regr

    as para o

    seguinte:

    o "egras e;ecuteis

    o "egras do Window

    s .nstaller

    o "egras de &cript

    o "egras para aplicatios empacotados

    2& 6ec8e o 9ditor de Gerencia#ento de Pol

    tica de Gr

    upo&

    .aref

    a : erificar se um aplicativo ainda pode ser e+ecutado

    1& -lterne para L)F=$L1&

    2& -bra u#a janela de Pro#pt de 5o#ando e digite o seguinte co#ando:

    gpupdate /force

    R& 6ec8e a janela de Pro#pt de 5o#ando e reinicie L)F=$L1&

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    59/65

    & 9ntr

    e e# L)F=$L1co#o ADA6@>9

    6onco# a sen8a aGGw

    Erd&

    & -bra u# pr

    o#pt de co#ando e verii)ue se voc( pode e4ecutar o aplicativo

    app1,bat* )ue est+ locali$ado na pasta $:9

    $ustomApp&

    .aref

    a J: #onfirmar 'ue um aplicativo no pode ser e+ecutado

    1& 9# EO@=5E1* na pasta $ustomApp* copie app1,bat para a pasta Documentos&

    2& 5onir#e )ue o aplicativo no pode ser e4ecutado a partir

    da pasta

    Documentose verii)ue se a seguinte #ensage# , e4ibida: ?ste programa

    est blo8ueado por uma pol3tica de grupo, ara obter mais infor

    maesIcontate o administrador do sistema,X

    "esultados: -o ter#inar este e4erc

    cio* voc( ter+ conigurado pol

    ticas -ppEocFerpara todos os usu+r

    ios cujas contas de co#putador esto locali$adas na unidadeorgani$acional de 5o#putadores 5liente& -s polticas coniguradas deve# per#itir

    )ue esses usu+rios e4ecute# aplicativos )ue esto locali$ados nas pastas5:KW

    indows e 5:K-r)uivos de Pr

    ogra#as e e4ecute# o aplicativo personali$adoapp1&bat na pasta 5:K5usto#-pp&

    *+erc

    cio 4: #onfigurao do ireBall do EindoBs

    Cenr

    io

    .eu ger

    ente l8e pediu para conigurar r

    egr

    as do 6irewall do Windows par

    a u#

    con

    junto de novos servidores de aplicativos& 9sses servidores de aplicativos t(# u#

    aplicativo baseado na Web )ue est+ escutando e# u#a porta no padro&

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    60/65

    1& 5riar

    u# grupo deno#inado .ervidores de -plicativos

    2& -dicionar EO@=.

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    61/65

    R& @a janela 9ditor de Ger

    encia#ento de Polticas de Grupo* navegue at,

    $onfigurao do $omputador

    +ol3ticas+$onfiguraes do Window

    s+

    $onfiguraes de segurana+%irew

    all do Window

    s com segur

    ana

    Aanada+ %irewall do Window

    s com &egurana Aanada = LDA:+

    +$F/

    [email protected]&

    & eina u#a regra de entrada co# as seguintes conigura%es:

    o !

    ipo de regr

    a:ersonali7ado

    o !

    ipo de pr

    otocolo: 6$

    o Por

    tas 9specicas: PEPE

    o 9scopo: Qual8uer endereo .

    o -o: ermitir a cone;o

    o Peril: Dom3nio >

    des#ar)ue as cai4as de seleo riadoe

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    62/65

    R& @o painel B dir

    eita* e# 6iltrage# de .egurana* re#ova @surios autenticados

    e conigure o B) de &eridor deAplicatiosde or#a )ue ele apenas se

    ja

    aplicado ao grupo de segur

    ana &eridores de Aplicatios&

    .aref

    a ;: *+ecutar -P%pdate em @O6!

    1& -ltere para L)F=&V"1&

    2& -bra u#a janela de Pro#pt de 5o#ando e digite o seguinte co#ando:

    gpupdate /force

    R& 6ec8e a janela Pro#pt de 5o#ando&

    & 3einicie L)F=&V"1e depois aa logon nova#ente co#o

    ADA6@>9

    Administradorco# a sen8a aGGw

    Erd&

    .aref

    a

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    63/65

    ser

    vidor

    es de aplicativos&

    Para se preparar para o pr)+imo m)dulo

    'uando ter#inar o laboratr

    io* r

    etorne as #+)uinas virtuais para o seu estado inicial*

    seguindo estas etapas:

    1& @o co#putador 8ost* inicie o Ber

    enciador do Cper=V&

    2& @a lista >8uinas Virtuais* cli)ue co# o boto dir

    eito do #ouse e# 2##1E'=

    L)F=D$1e depois cli)ue e# "eer

    ter&R& @a cai4a de di+logo "eerter >8uina Virtual* cli)ue e# "eerter&

    & 3epita as etapas 2 e R para 210I=EO@=.

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    64/65

    segur

    ana )ue inclu

    a todos os aspectos de u# #odelo de pr

    oteo e#ca#adas& 5o# base nessa estrat,gia* sua organi$ao i#ple#entou pol

    ticas econigura%es de segur

    ana no a#biente de inraestr

    utura de !

    " inteir

    o& Onte#*voc( leu e# u# artigo )ue novas a#eaas de segurana ora# detectadas na"nternet* #as agor

    a voc( percebe )ue a estrat,gia da e#presa no inclui u#aan+lise de risco e u# plano de #itigao para essas novas a#eaas& O )ue voc(

    deve a$er

    erramentas

    %erramenta @se para )nde encontrar

    5onsole de

    Gerencia#ento dePoltica de Grupo

    C#a

    erra#enta gr+

    ica )ue

    voc( usa para criar* e

    ditar eaplicar GPOs

    Gerenciador do .ervidorL

    6erra#entas

    -ppEocFer -plica con

    igura%e

    s de

    segurana )ue controla#

    )uais aplicativos pode# se

    r

    e4

    ecutados pelos usu+rios

    9ditor de GPO no GPM5

    6irewall do Windows

    co# seguranaavanada

    C# irewall baseado e#

    8ost )ue est+ includo co#ou# recurso no Windows

    .erver 2012 e no Windo

    ws

    .erver 200

    Gerenciador do .ervidorL

    6erra#entas* se

    conigurados individual#ente* ou 9ditor de GPO noGPM5 para i#plantao co# a Po

    ltica de Grupo

    Gerenciador de

    5o#patibilidade de

    .egurana

    "#plantao de polticas de

    segurana co# base e#

    reco#enda%es do Guia de

    .egurana da Microso

    t e

    e# pr+ticas reco#endadasdo setor

    Iai4

    e no site da Microso

    t* e#

    *t

    t

    p:

    ++go,

    microsof

    t

    ,com+f

    w

    lin(+

    -Lin(.D/200#0

    &

    Pr"tica recomendada

  • 5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf

    65/65

    dier

    entes tipos de usu+r

    ios na sua or

    gani$ao* pois cada departa#ento pode ter

    necessidades de segurana distintas&