Módulo 12_ Proteção de servidores Windows usando Objetos de Política de Grupo.pdf
-
Upload
rafael-almeida -
Category
Documents
-
view
19 -
download
0
Transcript of Módulo 12_ Proteção de servidores Windows usando Objetos de Política de Grupo.pdf
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
1/65
Mdulo 12: Proteo de servidores Window
s usandoOb
jetos de Poltica de Grupo
Contedo:
Viso geral do mdulo
Lio 1: Viso geral da segurana de sistemas operacionais Window
s
Lio 2: Definio de configur
aes de segurana
LaboratrioA:
Aumento da segurana de recursos do seridor
Lio !: "estrio de softw
ares
Lio #: $onfigurao do %irew
all do Window
s com &egurana Aanada
Laboratrio
':
$onfigurao do AppLoc(er e do %irewall do Window
s
"eiso e informaes complementares do mdulo
Viso geral do mdulo
Proteger a inraestrutura de !" se#pre oi u#a prioridade para as organi$a%es&
Muitos riscos de segurana a#eaa# e#presas e seus dados cr
ticos& 'uando as
e#presas no t(# polticas de segurana ade)uadas* elas pode# perder dados*
passar por
situa%es de indisponibilidade do servidor e perder
credibilidade&
Par
a se proteger
contra a#eaas de segurana* as e#presas deve# ter
pol
ticas de
segur
ana be# projetadas )ue inclue# v+r
ios co#ponentes organi$acionais e
relacionados a !
"& Polticas de segur
ana deve# ser avaliadas regular
#ente* pois*
conor#e as a#eaas de segurana evolue#* o setor
de !
" ta#b,# precisa evoluir&
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
2/65
-ntes de co#ear a projetar pol
ticas de segurana para ajudar a proteger
os dados*
os servios e a inraestrutura de !
" da sua organi$ao* voc( deve aprender a
identiicar a#eaas de segurana* plane
jar sua estrat,gia para redu$ir
essas a#eaas e
proteger
a inraestrutura do seu Windows .erver
/ 2012&
Objetivos
-o concluir
este #dulo* voc( ser+ capa$ de:
escreva a segurana do siste#a operacional Windows .erver&
einir conigura%es de segurana usando a Pol
tica de Grupo&
3estr
ingir a e4ecuo de sotwar
es no autori$ados e# servidores e clientes&
5onigurar o 6irewall do Windows co# .egurana -vanada&
Lio 1 : Viso geral da segurana de sistemas
operacionais Windows
7 #edida )ue as organi$a%es e4pande# sua disponibilidade de dados de rede*
aplicativos e siste#as* gar
antir
a segurana da inr
aestrutur
a de r
ede se tor
na cada ve$
#ais di
cil& !ecnologias de segur
ana no Windows .erver
2012 per#ite# )ue as
organi$a%es ornea# #el8or
proteo para seus recur
sos de rede e ativos
organi$acionais e# a#bientes e cen+r
ios de negcios cada ve$ #ais co#ple4os& 9sta
lio e4a#ina as err
a#entas e os conceitos )ue esto disponveis para a
i#ple#entao da segurana dentr
o de u#a inraestrutura do Windows e do
Windows .erver 2012&
O Windows .erver 2012 inclui diversos r
ecursos )ue oerece# #,todos dierentes
para a i#ple#entao da segur
ana& 9sses recursos se co#bina# para or#ar o
n;cleo da uncionalidade de segurana do Windows .erver 2012& Para #anter u#a#biente seguro* , essencial entender
esses recursos e seus conceitos associados e
estar a#iliari$ado co# a sua i#ple#entao b+sica&
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
3/65
Objetivos da lio
-o concluir
esta lio* voc( ser+ capa$ de:
"dentiicar riscos de segurana para o W
indows .erver 2012 e os custos associados
a eles&
-plicar o #odelo de proteo e# ca#adas para au#entar a segur
ana&
escrever pr+ticas reco#endadas par
a au#entar a segurana do Windows .erver
2012&
Discusso: Identificao de custos e riscos de segurana
- pr
i#eira etapa na deesa dos seus siste#as , identiicar os riscos de segur
ana
potenciais e seus custos associados& epois de a$er
isso* voc( pode co#ear a
to#ar decis%es #ais pr
ecisas sobre co#o alocar r
ecursos para redu$ir
esses riscos&
-nalise a )uesto no slide e participe de sua discusso para identiicar
alguns dos
riscos de segurana e# redes baseadas no W
indows e seus custos associados&
Aplicao da proteo em camadas para aumentar a
segurana
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
4/65
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
5/65
Per
metro
@os dias de 8o
je* nen8u#a organi$ao , u#a e#presa isolada& Organi$a%es
opera# na "nternet* e #uitos recur
sos de rede organi$acionais esto dispon
veis na
"nternet& "sso pode incluir
u# site )ue descr
eva os servios da sua organi$ao* ou os
servios internos )ue voc( disponibili$a e4terna#ente* co#o Webconer(ncias ee#ails* de #odo )ue os usu+r
ios possa# trabal8ar a partir de casa ou de escritr
ios
re#otos&
3edes de per
#etr
o #arca# o li#ite entr
e r
edes p;blicas e privadas& 6ornecer
servidor
es de pro4A rever
so na r
ede de per
#etr
o per#ite )ue voc( ornea #ais
servios corporativos seguros e# toda a rede p;blica&
Muitas or
gani$a%es i#ple#enta# o contr
ole de )uarentena de acesso B r
ede* e#
)ue os co#putadores )ue se conecta# B r
ede corporativa so ver
iicados e# busca
de dierentes crit,rios de segurana* co#o se o co#putador te# as ;lti#as
atuali$a%es de segurana* atuali$a%es de antivrus e outras conigur
a%es de
segur
ana reco#endadas pela e#presa& .e esses crit,rios ore# atendidos* o
co#putador poder+ se conectar
B r
ede cor
porativa& .e no or
e#* o co#putador ser+
colocado e# u#a rede isolada* c8a#ada de quarentena* se# acesso a r
ecursos
cor
porativos& 'uando o co#putador
tiver suas conigura%es de segurana
re#ediadas* ele ser+ re#ovido da rede de )uarentena e poder+ se conectar
a recursos
cor
porativos&
)bserao: C# pro4A r
everso* co#o o Microsot/ 6oreront/ !
8r
eat
Manage#ent GatewaA 2010 >
6or
er
ont !MG?* per#ite )ue voc( publi)ueser
vios co#o e#ail ou servios Web a partir da intr
anet corporativa se#colocar servidores de e#ail ou ser
vidores Web no per#etro ou os e4
por ausu+r
ios e4ter
nos& O 6orer
ont !
MG atua co#o pr
o4A reverso e co#o u#asoluo de irewall&
!edes
epois de conectados a u#a rede >inter
na ou p;blica?* seus co#putador
es ica#
suscet
veis a u#a s,r
ie de a#eaas* incluindo espionage#* alsiicao* negao de
servio e ata)ues de reproduo& -o i#ple#entar
o protocolo "Psec* voc( pode
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
6/65
cr
iptograar o tr+ego de rede e proteger
os dados en)uanto e# transer
(ncia entre
co#putadores&
'uando a co#unicao ocorr
e atr
av,s de redes p;blicas* co#o por uncion+r
ios )ue
esto tr
abal8ando de casa ou de escr
itrios re#otos* co#o pr+tica reco#endada*
voc( deve se conectar a u#a soluo de ir
ewall* co#o o 6oreront !
MG 2010* para
se pr
oteger de dierentes tipos de a#eaas de rede&
Proteo de segurana de computadores host
- pr
4i#a ca#ada de deesa , a ca#ada )ue , usada para o co#putador 8ost&
Duntas* as etapas a seguir or#a# u# processo )ue , c8a#ado depr
ot
eo de
segurana de computadores host& @o co#putador
8ost* voc( deve:
Manter
os co#putadores segur
os co# as atuali$a%es de segurana #ais recentes&
5onigurar pol
ticas de segurana* co#o a co#ple4idade de sen8as&
5onigurar o ir
ewall de 8ost&
"nstalar sotwar
e antivrus&
Proteo de segurana de aplicativos
-plicativos so to seguros )uanto a sua ;lti#a atuali$ao de segurana& Duntas* as
etapas a seguir or#a# u# processo )ue , c8a#ado depr
oteo de segur
ana de
aplicat
ivos&
Cse consistente#ente o recurso Windows Cpdate e# siste#as operacionais
Windows para #anter seus aplicativos atuali$ados&
!
este aplicativos para deter#inar
se eles t(# vulner
abilidades de segur
ana )ue
possa# per#itir )ue u# invasor e4ter
no co#pro#eta aplicativos ou outros
co#ponentes de rede&
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
7/65
egurana de dados
- ca#ada inal de segurana , a proteo de dados& Par
a a
judar a garantir a proteo
da sua rede* voc( deve:
Eistas de 5ontrole de -cesso?&
"#ple#entar
a criptograia de dados conidenciais co# o 96. >.iste#a de -r)uivos
de 5riptogr
aia?&
3eali$ar
bacFups de dados regular
es&
Leitura adicional:
Par
a obter os inor#es e os boletins de segur
ana #ais recentes da Microsot*
consulte o artigo sobre segurana par
a pr
oissionais de !" e#
*ttp:
++go,
microsoft,
com+fw
lin(+-
Lin(.D/200#1
&
Par
a obter #ais inor
#a%es sobre tipos co#uns de ata)ues de rede* consulte
*ttp:
++go,
microsoft,
com+fw
lin(+-
Lin(.D/200#2
&
ergunta: 'uantas ca#adas do #odelo de proteo e# ca#adas voc( devei#ple#entar na sua organi$ao
Pr"ticas recomendadas para aumentar a segurana
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
8/65
5onsider
e as seguintes pr+ticas reco#endadas par
a au#entar a segurana:
-pli)ue todas as atuali$a%es de segurana disponveis o #ais r
+pido poss
vel
aps a sua publicao&
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
9/65
Lio 2: Def
inio de conf
iguraes de segurana
epois de ter aprendido sobr
e a#eaas de segurana* riscos e pr+ticas
reco#endadas para au#entar a segur
ana* voc( pode co#ear a conigur
ar a
segur
ana para o seu a#biente Windows e Windows .erver 2012& 9sta lio e4plicaa deinir
conigur
a%es de segur
ana&
Par
a aplicar
essas conigura%es de segurana a v+rios usu+rios e co#putadores na
sua or
gani$ao* voc( pode usar
a Pol
tica de Grupo& Por
e4e#plo* voc( pode deinir
conigurao de pol
tica de sen8a usando a Pol
tica de Grupo e* e# seguida*
i#plant+=las para v+rios usu+rios&
- Poltica de Grupo te# u# a#plo co#ponente de segurana )ue voc( pode usar
para conigurar a segurana tanto para usu+r
ios )uanto para co#putador
es&
.er
vios de o#
nio -ctive ir
ector
A/? deinindo conigura%es de segur
ana e#
u# GPO >Objeto de Poltica de Grupo? associado a u# site* u# do#nio ou u#a CO
>
Cnidade Organi$acional?&
-o concluir
esta lio* voc( ser+ capa$ de:
escrever co#o conigurar #odelos de segurana&
escrever )uais so os direitos dos usu+rios e co#o conigur+=los&
escrever co#o conigurar Op%es de .egur
ana&
escrever co#o conigurar o 5ontrole de 5onta de Csu+rio&
escrever co#o conigurar a -uditoria de .egurana&
escrever co#o conigurar Grupos 3estritos&
escrever co#o deinir 5onigura%es de Pol
tica de 5onta&
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
10/65
Leitura adicional: 5li)ue no seguinte linF para procurar u#a lista detal8adade conigura%es da Poltica de Gr
upo:*ttp:
++go,
microsoft,
com+fwlin(+-
Lin(.D/200##,
#onfigurao de modelos de segurana
Modelos de segurana so ar)uivos )ue voc( pode usar para gerenciar
e deinir
conigura%es de segur
ana e# co#putador
es baseados no Windows& ependendo
das v+rias categorias de conigur
a%es de segurana* #odelos de segurana so
divididos e# se%es lgicas&
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
11/65
-o conigurar u# #odelo de segur
ana* voc( pode us+=lo para conigur
ar
u#
;nico co#putador ou para conigurar v+rios co#putadores na rede& odo de
Apr
oao de Administrador& 5ontrola o co#por
ta#ento de todas as
conigur
a%es de pol
tica de 5ontrole de 5onta de Csu+rio para o co#putador& .e
essa conigurao estiver desabilitada* o 5ontrole de 5onta de Csu+rio no ser
+
e4ecutado nesse co#putador&
$ontrole de $onta de @surio: >odo de Aproao de Administr
ador
para a
conta de administrador interno& 'uando voc( 8abilita essa conigurao* a conta
de ad#inistrador
inter
no usa o Modo de -provao de -d#inistrador&
$ontrole de $onta de @surio: detectar
instalaes de aplicatios e perguntar
se desea elear& 9ssa conigurao contr
ola o co#porta#ento de deteco de
instalao de aplicativos para o co#putador
& $ontrole de $onta de @surio: elear somente e;ecuteis assinados e
alidados& 'uando voc( 8abilita essa conigurao* u#a veriicao de PJ"
>
"nraestr
utura de 58ave P;blica? , r
eali$ada no ar)uivo e4ecut+vel par
a veriicar
se
ele prov,# de u#a onte coni+vel& .e o ar)uivo or veriicado* ele poder+ ser
e4ecutado&
)bserao: Por padro* o 5ontrole de 5onta de Csu+rio no est+conigurado ou 8abilitado e# instala%es .erver 5or
e do Windows .er
ver2012&
#onfigurao da auditoria de segurana
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
18/65
@or
#al#ente* u# dos co#ponentes da estrat,gia de segurana de u#a organi$ao
, o registr
o do co#porta#ento de atividades do usu+rio& 9sse co#por
ta#ento pode
incluir tentativas be# ou #al sucedidas de acessar dados crticos par
a negcios )ue
esto ar#a$enados e# pastas dierentes ou tentativas de logon be# ou #al
sucedidas e# servidores dier
entes& O r
egistr
o desses eventos relacionados B
segur
ana , c8a#ado deAudit
oria de Segur
ana& - auditor
ia de segurana pr
odu$
logs de eventos de segur
ana )ue os ad#inistradores pode# ento ver
no Eog de
9ventos de .egurana do
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
19/65
ou e4cluir u#a conta de usu+rio* alter
ar
u#a sen8a ou 8abilitar ou desabilitar u#a
conta de usu+rio&
Auditoria de acesso a obetos& eter#ina se as auditorias do siste#a operacional
t(# acesso a objetos no=-ctive ir
ector
A* co#o pastas ou ar)uivos& -ntes de
deinir
conigur
a%es de auditoria co# a Pol
tica de Grupo* voc( precisa conigurar.-5Es >
listas de controle de acesso do siste#a? e# pastas ou ar)uivos para
per
#itir a auditoria de u# tipo espec
ico de ao* co#o gr
avar* ler ou #odiicar&
Auditoria de eento do sistema& eter#ina se o siste#a operacional a$
auditorias de eventos r
elacionados ao siste#a* co#o tentar
#udar o 8or
+r
io do
siste#a* tentar u#a iniciali$ao ou u# desliga#ento do siste#a ou )uando o
ta#an8o do log de segurana e4cede u# aviso de li#ite conigur+vel&
Leitura adicional: Para obter
#ais inor#a%es sobr
e auditoria de segurana*consulte o artigo sobre novidades e# auditoria de segurana e#*ttp:
++go,
microsoft,
com+fwlin(+-
Lin(.D/200#
&
#onfigurao de grupos restritos
9# alguns casos* voc( pode )uer
er
controlar a associao de certos gr
upos e# u#
do#
nio* co#o o gr
upo de ad#inistradores locais* para evitar a adio de outr
as
contas de usu+r
ios a esses grupos&
possvel usar a pol
tica de Gr
upos 3estr
itos par
a contr
olar
a associao de grupo*
especiicando )uais #e#bros so colocados e# u# grupo& .e voc( deinir
u#a
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
20/65
pol
tica de Gr
upos 3estr
itos e depois atuali$ar a Pol
tica de Gr
upo* )ual)uer
#e#bro
atual de u# grupo )ue no este
ja na lista de #e#bros da pol
tica de Gr
upos
3estr
itos ser+ re#ovido* incluindo #e#bros padro co#o ad#inistrador
es de
do#
nio&
9#bora voc( possa controlar gr
upos de do#nio atribuindo pol
ticas de Gr
upos
3estr
itos a controladores de do#
nio* essa conigurao deve ser usada
principal#ente para conigurar a associao de grupos crticos* co#o
-d#inistradores de 9#presa e -d#inistr
adores de 9s)ue#a&
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
21/65
a#biente de r
ede e4ige )ue todos os usu+r
ios utili$e# sen8as or
tes&
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
22/65
#ni#o de
tr(s caracteres
se o 5o#p
ri#ento Mni#o
da .en8a
or de
inido
co#o 0&&
o 5onten8a# u#a
co#binao de pelo#enos tr(s dos seguintes
tipos de caracteres: letras
#ai;sculas* letras
#in;sculas* n;#eros e
s#bolos >sinais de
pontuao?&
o @o deve# conter o no#ede
usu+rio ou o no#e de
tela do usu+rio&
"nstrua os usu+rios a utili$
are#
rases
secretas para criar sen8as longas
+ceis de le#brar&
"#por 8istrico de
sen8a
"#pede )ue os usu+rios crie# u#a nova
sen8a igual B se
n8a atual ou a u#a sen8a
usada recente#ente& Para especiicar
)uantas sen8as so #e
#ori$
adas*
ornea
u# valor& Por e4e#plo* u# valor de 1signi
ica )ue apenas a ;lti#a sen8a ser+
#e#ori$ada* en)uanto u# valor de
signi
ica )ue as cinco sen8as anteriores
sero #e#ori$adas&
'uanto #aior o n;#ero* #el8or ser+
a segurana& O valor padro , 2&
"#por o 8istrico de se
n8as garante
)ue sen8as )ue
icara#
co#pro#etidas no se
ja# usadasrepetida#ente&
!
e#po de
vida #+4i#o
da sen8a
e
ine o n;#ero #+4
i#o de dias durante
os )uais u#a sen8a ,
v+lida& -ps esse
n;#ero de dias* o usu+rio ter+ )ue#udar a sen8a&
O valor padro , 2 dias* #as a
#el8or pr+tica , de
ini=lo co#o Q0
dias& -
justar o n;#e
ro de dias co#ou# valor #uito alto
ornece
aos
8acFers u#a janela pro
longada de
oportunidade para dete
r#inar a
sen8a& e
inir o n;#ero de dias
co#o u# valor #uito bai4
o
decepciona os usu+rios )ue precisa#
#udar de sen8a co# #uita
re)u(ncia e pode re
sultar e
#
c8a#adas #ais re)ue
ntes para a
assist(ncia t,cnica do setor de !
"&
!
e#po de
vida #ni#o e
ine o n;#ero #ni#o de
dias )ue eina o te#po de vida #ni#o da
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
23/65
da sen8a deve# passar antes )ue u#a sen8a
possa ser alterada&
sen8a para pelo #e
no
s 1 dia& -o
a$er isso* o usu+rio s pode #udar a
sen8a u#a ve$ por dia& "sso ir+
a
judar a i#por outras con
igura%es&
Por e4e#plo* se as ;lti#as cinco
sen8as
ore# #e
#ori$
adas* isso ir+
garantir )ue pelo #enos cinco diasdeve# se passar antes )ue
o usu+rio
possa reutili$ar a sen8a original& .e o
te#po de vida #ni#o da sen8a
or
de
inido co#o 0* o usu+rio poder+
trocar de sen8a seis ve$
es no #es#o
dia e co#ear a reutili$
ar a sen8a
original no #es#o dia&
5o#pri#ento #ni#oda sen8a
9speci
ica o #e
nor n;#e
ro de caracteres)ue u#a sen8a pode ter&
eina o co#pri#e
nto entre e 12caracteres >desde
)ue esses
caracteres ta#b,# atenda# aos
re)uisitos de co#p
le
4idade
?& C#a
sen8a #ais longa , #ais di
cil de
deci
rar do )ue u#a se
n8a #ais
curta* supondo )ue e
ssa sen8a no
se
ja u#a palavra ou e4
presso
co#u#&
-r#a$e
nar a sen8a co#
criptogra
ia reversvel
6ornece suporte para aplicativos )ue
e4ige# con8eci#e
nto
de
u#a sen8a de
usu+rio para
ins de autenticao&
@o use essa con
igurao* a #enos
)ue voc( use u# p
rogra#a no )ual
ela , necess+ria& Nab
ilitar essa
conigurao di#inui a se
gurana de
sen8as ar#a$enadas&
Poltica de &lo'ueio de #onta
-s Pol
ticas de Ilo)ueio de 5onta )ue voc( pode conigurar esto listadas na tabela a
seguir&
ol3tica %uno rtica recomendada
Ei#ite de
blo)ueio de
conta
9speci
ica o n;#ero de tentativas de login
co# al8a )ue so per#itidas antes )ue a
conta se
ja blo)ue
ada& Por e4e#plo* se o
li#ite estiver de
inido co#o R* a conta ser+
blo)ueada depois )ue u# usu+rio inserir
C#a de
inio de p
er#ite erros
#oderados do usu+rio* e li#ita
tentativas de logo
n re
pe
tidas para
ins #al intencionado
s&
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
24/65
in
or#a%es de logon incorretas tr(s ve$
es&
urao do blo)ueio de
conta
Per#ite )ue voc( e
spe
ci
i)ue
u# pra$o
deinido* e# #inutos* aps o )ual a conta
, desblo)ueada auto
#atica#ente e
reto#a a ope
rao nor#al& .e voc(
especi
icar 0* a conta se
r+ blo)ueada
inde
inida#ente* at, )ue u#
ad#inistrador a desblo)ueie #anual#ente
epois )ue o li#ite
or atingido e a
conta
or blo)ueada* ela
per#anecer+ blo)ue
ada por u#
te#po longo o su
iciente para
blo)uear ou i#pedir possveis
ata)ues* #as por te#po curto o
su
iciente para no
inter
erir na
produtividade de
usu+rios legti#os&
C#a durao de R0 a Q0 #inutos
deve
uncionar be
# na #aioria das
situa%es&
Serar contador de
blo)ueios de conta aps
e
ine u# pra$o para a contage# das
tentativas de logon incorretas& .e a polticaestiver deinida para u#a 8ora* e o li#ite
de blo)ueio de conta estiver de
inido para
tr(s tentativas* u# usu+rio poder+ inserir
as in
or#a%es de logon incorretas tr(s
ve$es dentro de
u#a 8ora& .e o usu+rio
inserir in
or#a%es incorretas duas ve$es*
#as corretas na terceira ve$* o contador
ser+ rede
inido depois de u#a 8ora >a
partir da pri#eira e
ntrada incorreta?* etentativas uturas co#
al8a co#earo
nova#ente a partir do n;#ero u#&
Csar u# intervalo de R0 a T0
#inutos , geral#e
nte
su
icientepara i#pedir ata)ues auto#ati$
ados
e tentativas #anuais por parte de
u# atacante de adivin8ar sen8as&
Poltica (erberos
9ssa pol
tica , para contas de usu+r
io de do#nio e deter#ina conigura%es
relacionadas a Jerberos* co#o a vida ;til e a i#posio de t
)uetes& Pol
ticas J
erber
osno e4iste# na Pol
tica de 5o#putador Eocal&
Laoratrio !: !umento da segurana de recursos do
ser"
idor
#en"rio
- -& atu# 5or
poration , u#a e#pr
esa global de engen8aria e #anuatura co#
sede e# Eondres "n laterr
a& C# escritr
io de !
" e u# datacenter esto locali$ados e#
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
25/65
Eondres co#o supor
te B locali$ao e# Eondr
es e outras locali$a%es& 3ecente#ente*
a -& atu# i#plantou u#a inraestr
utur
a do Windows .erver
2012 co# clientes
Windows &
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
26/65
.en8a PaUUw0rd
@este laboratrio* voc( usar+ o a#biente de #+)uina virtual dispon
vel& -ntes de
iniciar
o laboratrio* voc( deve concluir
as seguintes etapas:
1& @o co#putador 8ost* cli)ue e# .niciar
* aponte para %erramentas
Administratiase cli)ue e# Berenciador do Cper=V&
2& @o Ger
enciador do NAper=
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
27/65
GPO )ue deina a associao do grupo local de -d#inistrador
es e# ser
vidores
#e#bros* de or#a a incluir -d#inistr
adores de .er
vidor de 5o#putador& 9sse GPO
ta#b,# pr
ecisa 8abilitar
o Modo de -pr
ovao de -d#inistrador
para o 5ontr
ole de
5onta de Csu+rio&
-s principais tareas deste e4erc
cio so:
1& 5riar
u#a CO >unidade organi$acional? de .ervidor
es Me#br
os e #over
servidores at, ela
2& 5riar
u# grupo de -d#inistrador
es de .ervidor
R& 5riar
u# GPO >Objeto de Poltica de Grupo? de 5onigura%es de .egurana de.er
vidor
es Me#br
os e vincul+=lo B CO de .ervidor
es Me#br
os
& 5onigurar a associao de gr
upo para ad#inistr
adores locais de or
#a a incluir
-d#inistradores de .er
vidor e -d#inistradores de o#
nio
& embros&
.aref
a 4: #riar um grupo de Administradores de ervidor
9# EO@=51* e# @) de &eridores >embros* crie u# novo grupo de segurana
global c8a#ado Administrador
es de &eridor&
.aref
a 5: #riar um -PO /Objeto de Poltica de -rupo1 de #onfigura$es de
egurana de ervidores 2embros e vincul"6lo 7 %O de ervidores 2embros
1& 9# EO@=51* abr
a o $onsole de Berenciamento de ol3tica de Brupo&
2& @o GPM5 >5onsole de Gerencia#ento de Pol
tica de Grupo?* no cont(iner
Ob
jetos de Poltica de Grupo* crie u# novo B) co# o no#e $onfigur
aes
de &egurana de &eridores >embr
os&
R& @o 5onsole de Gerencia#ento de Pol
tica de Gr
upo* vincule as $onfiguraesde &egurana de &eridores >embr
osB @) de &eridores >embr
os&
.aref
a 8: #onfigurar a associao de grupo para administradores locais de
forma a incluir Administradores de ervidor e Administradores de Domnio
1& 9# EO@=51* abr
a o $onsole de Berenciamento de ol3tica de Brupo&
2& 9dite a ol3tica de Dom3nio adro&
R& @avegue at, $onfigurao do $omputador* cli)ue e# ol3ticas* cli)ue e#
$onfiguraes do Window
s* cli)ue e# $onfiguraes de &eguranae depois
cli)ue e# Brupos restritos&
& -dicione os grupos Administradores de &eridore Admins, Do dom3nioao
grupo Administradores&
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
29/65
& 6ec8e o 9ditor de Gerencia#ento de Pol
ticas de Grupo&
.aref
a 9: erificar se o grupo Administradores do #omputador f
oi adicionado
ao grupo de Administradores local
1& Mude para L)F=&V"1e entre co#o ADA6@>9Administradorco# a sen8a
aGGw
Erd&
2& -bra u#a janela do Windows Power.8ell/ e* no pro#pt de co#ando do
Windows Power.8ell* digite o seguinte co#ando:
Gpupdate /force
R& -bra o Berenciador do &eridor
* abr
a o console Berenciamento do
computadore e4panda @surios e Brupos Locais&
& 5onir#e )ue o gr
upo Administr
adorescont,# tanto ADA6@>9
Admins, Do
dom3nioe ADA6@>9Administradores de &eridorco#o #e#bros&
& 6ec8e o console Gerencia#ento do co#putador&
.aref
a ;: 2odif
icar o -PO de #onfigura$es de egurana de ervidores
2embros para remover %su"rios de Permitir logon localmente
1& -lterne para L)F=D$1&
2& 9# EO@=51* no GPM5* edite o GPO de $onfiguraes de &egur
ana de
&eridores de >embros&
R& @a janela 9ditor de Ger
encia#ento de Polticas de Grupo* navegue at,
$onfigurao do $omputador9
ol3ticas9
$onfiguraes doWindow
s9
$onfiguraes de segur
ana9
ol3ticas locais9
Atribuio de
direitos de usurioe conigure ermitir logon localpara os gr
upos de
segurana Admins, Do dom3nioe Administradores&
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
30/65
.aref
a
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
31/65
"esultados: -o ter#inar este e4erc
cio* voc( ter+ usado a Pol
tica de Gr
upo paraproteger
servidores Me#bro&
*+erc
cio 4: Auditoria do acesso ao sistema de ar'uivos
Cenr
io
O ger
ente do departa#ento de Mar
Feting est+ preocupado por)ue no , possvel
controlar )ue# est+ acessando os ar)uivos )ue esto no co#partil8a#ento de
ar
)uivos do departa#ento& .eu gerente e4plicou )ue so#ente os usu+rios co#
per#iss%es esto autor
i$ados a acessar os ar)uivos& @o entanto* o ger
ente do
departa#ento de MarFeting gostar
ia de tentar registrar o acesso aos ar
)uivos )ue
esto no co#par
til8a#ento de ar
)uivos par
a ver )uais usu+rios esto acessando
ar
)uivos especicos&
.eu ger
ente l8e pediu para 8abilitar
a auditoria par
a o siste#a de ar
)uivos )ue se
encontr
a no co#partil8a#ento de ar)uivos do departa#ento de Mar
Feting e para
analisar
os resultados co# o gerente do departa#ento de MarFeting&
-s principais tareas deste e4erc
cio so:
1& Modiicar o GPO de 5onigur
a%es de .egurana de .ervidores Me#bros para
8abilitar a auditoria de acesso a ob
jetos
2& 5riar
e co#par
til8ar u#a pasta
R& Nabilitar
a auditoria na pasta MarFeting para Csu+rios de o#
nio
& 5riar
u# novo ar)uivo no co#par
til8a#ento de ar)uivos a partir de EO@=5E1
& 9
Administradorco# a sen8a aGGw
Erd&
R& @o GPM5* edite o GPO de $onfiguraes de &egurana de &eridor
es
>embros&
& @a janela 9ditor do Gerencia#ento de Pol
ticas de Grupo* navegue at,
$onfigurao do $omputador9
ol3ticas9
$onfiguraes do
Window
s9
$onfiguraes de segur
ana9
ol3ticas locais9
ol3tica de
auditoria&
& Nabilite Auditoria de acesso a obetosco# conigur
a%es de H;itoe %al*a&
T& .aia de EO@=51&
.aref
a 4: #riar e compartilhar uma pasta
1& -lterne para L)F=&V"1&
2& 9ntr
e e# L)F=&V"1co#o ADA6@>9
Administradorco# a sen8a aGGw
Erd&
R& 9# EO@=.ar
(eting&
& 5onigure a pasta >ar(etingco# per#iss%es de co#partil8a#ento de
Leitura+Braaopara o usu+r
io Adam&
.aref
a 5: >abilitar a auditoria na pasta 2ar?eting para %su"rios de Domnio
1& 9# EO@=.
5:?* deina a auditoria na pasta >ar(eting*
co# as seguintes conigura%es:
o .elecionar u#a entidade de segurana: @surios do dom3nio
o !
ipo: 6odas
o Per#isso:Ler e e;ecutarI Listar conte
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
33/65
o ei4e as outras conigur
a%es co# seus valores padro&
2& -tuali$e a Pol
tica de Grupo digitando o seguinte co#ando e# u#a janela do
Power.8ell:
gpupdate /force
.aref
a 8: #riar um novo ar'uivo no compartilhamento de ar'uivos a partir de
@O6#@
1& -lterne para L)F=$L1&
2& 9ntr
e e# L)F=$L1co#o ADA6@>9
Administradorco# a sen8a aGGw
Erd&
R& -bra u#a janela de Pro#pt de 5o#ando e digite o seguinte co#ando:
gpupdate /force
& 6ec8e a janela Pro#pt de 5o#ando&
& .aia de EO@=5E1 e depois entre nova#ente co#o ADA6@>9
Adam co# a
sen8a aGGw
Erd&
T& -bra a pasta >ar(etinge# EO@=.9
Administr
atorco# a sen8a aGGwErd&
2& 9# EO@=51* abr
a o B>$&
R& 5rie u#a nova GPO deno#inada ol3tica de "estrio do Wor
dad&
& 9dite as $onfiguraes de &eguranade ol3tica de "estrio do Wordad
usando o AppLoc(erpara cr
iar u#a nova "egra de ?;ecutel&
& eina a per
#isso da nova regra co#o Fegar* a condio co#o %ornecedore
selecione w
ordpad,e;e& .e solicitado* cli)ue e# )Jpara cr
iar r
egr
as padr
o&
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
44/65
T& @o 9ditor
de Gerencia#ento de Pol
ticas de Grupo* navegue at, $onfigurao
do $omputador9
ol3ticas9
$onfiguraes do Window
s9
$onfiguraes de
segurana9
ol3tica de $ontr
ole de Aplicatio9AppLoc(er&
V& 9# AppLoc(er* conigur
e a i#posio co# .mpor regras&
& @o ?ditor de Berenciamento de ol3ticas de Brupo* navegue at,
$onfigurao do $omputador9
ol3ticas9
$onfiguraes do
Window
s9
$onfiguraes de segur
ana9
&erios do sistema&
Q& 5onigure ropriedades de .dentidade de Aplicatioco# Definir esta
configurao de pol3ticae &elecionar o modo de iniciali7ao do serio
co# Automtico&
Aplicar o -PO ao domnio
1& @a janela Berenciamento de ol3ticas de Brupo* apli)ue o GPO de ol3tica de
"estrio do Wordadao do#
nio Adatum,com&
2& -bra u#a janela de Pro#pt de 5o#ando* digite gpupdate +for
ce e pr
essione9nter
&
R& "nicie e* e# seguida* entre e# 2##1E'=L)F=$L1co#o ADA6@>9
Alan* co# a
sen8a aGGw
Erd&
& @a janela de Pro#pt de 5o#ando* digite gpupdate +force e pr
essione 9nter&
-guarde a atuali$ao da pol
tica&
.este da regra de App@oc?er
9# L)F=$L1* entre co#o ADA6@>9
Alan* tente iniciar o Wordade depois
conir
#e )ue o WordPad no est+ sendo iniciado&
Lio %: Conf
igurao do &irewall do Windows com
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
45/65
'egurana !"
anada
O 6irewall do Windows co# .egur
ana -vanada , u#a erra#enta i#por
tante para
#el8orar a segurana do Windows .er
ver
2012& 9sse snap=in ajuda a i#pedir
v+rios
proble#as de segurana dierentes* co#o varredura de portas ou #alware& O 6irewalldo Windows co# .egurana -vanada te# v+r
ios peris de irewall* cada u# dos
)uais aplicando conigur
a%es e4clusivas a dierentes tipos de r
edes&
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
46/65
e a par
tir
desse co#putador&
-o contr
+r
io de u# irewall de per
#etro* )ue oerece proteo apenas contra
a#eaas na "nternet* u# irewall baseado e# 8ost oerece proteo contr
a a#eaas
de onde )uer )ue eles se origine#& Por
e4e#plo* o 6irewall do Windows pr
otege u#
8ost contra u#a a#eaa na E-@ >rede local?&
!egras de entrada e de sa
da
3egras de entr
ada contr
ola# a co#unicao )ue , iniciada por outro dispositivo ou
co#putador na rede co# o co#putador 8ost& Por padro* toda co#unicao de
entrada , blo)ueada* e4ceto o tr+ego )ue , e4plicita#ente per#itido por
u#a regra
de entrada&
3egras de sa
da controla# a co#unicao )ue , iniciada pelo co#putador
8ost e
est+ destinada par
a u# dispositivo ou co#putador na rede& Por padr
o* toda
co#unicao de sa
da , per
#itida* e4ceto o tr+ego )ue , e4plicita#ente blo)ueado
por u#a r
egr
a de sa
da& .e voc( optar por blo)uear todas as co#unica%es de sada*
e4ceto o tr
+ego )ue , e4plicita#ente per#itido* dever+ catalogar
cuidadosa#ente ossotwar
es )ue pode# ser e4ecutados nesse co#putador e a co#unicao de rede
e4igida por
esses sotwar
es&
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
47/65
O 6irewall do Windows co# .egur
ana -vanada , u# snap=in do MM5 >
5onsole de
Gerencia#ento Microsot? )ue per#ite reali$ar a conigurao avanada do 6irewall
do Windows&
O 6irewall do Windows no Windows e no W
indows .erver 2012 oerece os
seguintes recursos:
Oer
ece suporte para iltrage# no tr
+ego de entrada e de sada&
"ntegra conigura%es de iltrage# de irewall e proteo "Psec&
Per
#ite )ue voc( conigure regras para controlar o tr+ego de rede&
6or
nece peris co# recon8eci#ento do local de rede&
Per
#ite i#portar ou e4portar
pol
ticas&
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
48/65
94a#ine a per
gunta e# )uesto e par
ticipe de u#a discusso par
a identiicar os
bene
cios de usar u# ir
ewall baseado e# 8ost* co#o o 6irewall do W
indows co#
.egurana -vanada&
ergunta: por )ue , i#portante usar u# irewall baseado e# 8ost* co#o o6ir
ewall do Windows co# .egur
ana -vanada
Perfis de fireBall
O 6irewall do Windows co# .egur
ana -vanada usa per
is de irewall par
a ornecer
u#a conigurao consistente para redes de u# tipo especico e per#ite )ue voc(
deina u#a r
ede ou co#o rede de do#
nio* rede p;blica ou rede privada&
5o# o 6irewall do Windows co# .egur
ana -vanada* voc( pode deinir
u#
con
junto de conigura%es para cada tipo de rede& 5ada conjunto de conigur
a%es ,
c8a#ado deperf
il de f
ire!all& -s regras de ir
ewall so ativadas so#ente para perisde irewall espec
icos&
O 6irewall do Windows co# .egur
ana -vanada inclui os peris na tabela a seguir&
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
49/65
erfil Descrio
P;blico Cse )uando voc( estive
r conectado a u#a rede p;blica no con
i+vel& - no ser pelas
redes de do#nio* todas as re
de
s so classi
icadas co#o P;blicas& Por padro* o peril
P;blico >)ue , o #ais restritivo? , usado no Windows
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
50/65
-s regras de segurana de cone4o conigur+veis so:
"sola#ento& u#a regra de isola#ento isola os co#putador
es* restringindo as
cone4%es co# base e# credenciais* co#o associao do do#
nio e status de
integr
idade& -s regr
as de isola#ento per#ite# a i#ple#entao de u#a estrat,gia
de isola#ento para ser
vidores ou do#nios&
"seno de -utenticao& voc( pode usar u#a iseno de autenticao para
designar cone4%es )ue no e4ige# autenticao& possvel designar
co#putadores por u# endereo "P especico* u# inter
valo de endereos "P* u#a
sub=rede ou por u# grupo predeinido* co#o u# gatewaA&
.er
vidor
=a=.ervidor& u#a regr
a de servidor a ser
vidor protege as cone4%es entreco#putadores espec
icos& Geral#ente* esse tipo de regra protege as cone4%es
entr
e servidores& -o criar
a r
egra* especii)ue os pontos de e4tre#idade da rede
entr
e os )uais as co#unica%es so pr
otegidas& 9# seguida* designe os r
e)uisitos
e a autenticao )ue voc( dese
ja usar
&
"
#nel& 5o# u#a r
egra de t;nel* voc( pode proteger cone4%es entre co#putadores
de gatewaA& @or#al#ente* voc( usaria u#a regra de t;nel ao conectar=se atrav,s
da "nter
net entre dois gatewaAs de segurana&
Per
sonali$ada& Cse u#a regra personali$ada para autenticar cone4%es entre dois
pontos de e4tr
e#idade )uando voc( no pode conigurar regras de autenticao
necess+rias usando as outras r
egr
as disponveis no novo -ssistente par
a @ova
3egra de .egurana de 5one4o&
#omo regras de fireB
all e regras de segurana de cone+o
trabalham juntas
3egras de ir
ewall per
#ite# o tr
+ego atrav,s do irewall* #as no protege# esse
tr+ego& Para proteger
o tr+ego co# "Psec* voc( pode criar
regras de segurana de
cone4o& @o entanto* r
egras de segurana de cone4o no per
#ite# o tr
+egoatrav,s de u# irewall&
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
51/65
so aplicadas entre os co#putador
es )ue co#p%e# os dois pontos de e4tre#idade&
Implantao de regras de fireBall
- or
#a co#o voc( i#planta as r
egras do 6irewall do Windows , u# ponto
i#portante& 9scol8er o #,todo apropr
iado garante )ue as regr
as se
ja# i#plantadas
precisa#ente e co# esoro #
ni#o& $&2& @o GPM5* no cont(iner
Ob
jetos de Pol
tica de Grupo* crie u# novo GPO co# o
no#e B) de $ontrole de &oftw
are&
R& 9dite o GPO de 5ontrole de .otwar
e&
& @a janela 9ditor de Ger
encia#ento de Polticas de Grupo* navegue at,
$onfigurao do $omputador
+ol3ticas+$onfiguraes do Window
s+$onfiguraes de segurana+ol3ticas de $ontrole de
Aplicatio+AppLoc(er&
& 5rie r
egras padr
o para o seguinte:
o "egras de ?;ecuteis
o "egras do Window
s .nstaller
o "egras de &cript
o "egras de aplicatios empacotados
T& 5onigure a i#posio de r
egr
as co# a opo &omente auditoriapar
a o
seguinte:
o "egras ?;ecuteis
o "egras do Window
s .nstaller
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
56/65
o "egras de &cript
o "egras para aplicatios empacotados
V& @o 9ditor
de Gerencia#ento de Pol
ticas de Grupo* navegue at, $onfigurao
do $omputador9
$onfiguraes do Window
s9
$onfiguraes de segurana*
cli)ue e# &erios do sistemae depois cli)ue duas ve$es e# .dentidade de
Aplicatio&
& @a cai4a de di+logo ropriedades de .dentidade de Aplicatio* cli)ue e#
Definir esta configurao de pol3ticae* e# &elecionar modo de iniciali7ao
do serio* cli)ue e# Automticoe depois cli)ue e# )J&
Q& 6ec8e o 9ditor de Gerencia#ento de Pol
tica de Gr
upo&10& @o GPM5* vincule o B) de $ontrole de &oftw
areB CO de 5o#putadores
5liente&
.aref
a 8: *+ecutar -P%pdate
1& -lterne para L)F=$L1&
2& -bra u#a janela de Pro#pt de 5o#ando e digite o seguinte co#ando:
gpupdate /force
R& 6ec8e a janela de Pro#pt de 5o#ando e reinicie L)F=$L1&
.aref
a 9: *+ecutar appFbat na pasta #:G#ustomApp
1& 9ntr
e e# L)F=$L1co#o ADA6@>9
Administradorco# a sen8a aGGw
Erd&
2& 9# u# pro#pt de co#ando* digite o co#ando a seguir
e pressione 9nter
:
gpresult /R
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
57/65
-nalise o resultado do co#ando e verii)ue se o B) de $ontrole de &oftw
are
est+ e4ibido e# 5onigura%es do 5o#putador* Objeto de Pol
tica de Gr
upo
-plicados& .e o B) de $ontrole de &oftw
areno estiver visvel* reinicie EO@=
5E1 e repita as etapas 1 e 2&
R& 9# u# pro#pt de co#ando* digite o co#ando a seguir
e pressione 9nter
:
C:\CustomApp\app1.bat
.aref
a ;: isuali0ar eventos do App@oc?erH em um log de eventos
1& 9# EO@=5E1* inicie o Visuali7ador de ?entos&
2& @a janela do icrosoft+ Window
s+AppLoc(er e revise os eventos&
R& 5li)ue e# >&. e &criptse analise o log de eventos 00 )ue cont,# o seguinte
te4to: M)&D".V?M9
$@&6)>A9
A1,'A6 permitido para e;ecuo&
)bserao: .e nen8u# evento or e4ibido* verii)ue se o servio de"dentidade de -plicativo oi iniciado e tente de novo&
.aref
a
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
58/65
ol3ticas de $ontrole de Aplicatio+AppLoc(er&
R& 5rie u#a nova regr
a de script co# a seguinte conigurao:
o Per#iss%es: ermitir
o 5ondi%es: $amin*o
o 5a#in8o: M)&D".V?M9
$ustomApp9
app1,bat
o @o#e e escr
io: "egra de Aplicatio ersonali7ado
.aref
a =: 2odif
icar o -PO de #ontrole de oftBare para impor regras
1& Cse a opo .mpor regraspara conigurar a i#posio de regr
as para o
seguinte:
o "egras e;ecuteis
o "egras do Window
s .nstaller
o "egras de &cript
o "egras para aplicatios empacotados
2& 6ec8e o 9ditor de Gerencia#ento de Pol
tica de Gr
upo&
.aref
a : erificar se um aplicativo ainda pode ser e+ecutado
1& -lterne para L)F=$L1&
2& -bra u#a janela de Pro#pt de 5o#ando e digite o seguinte co#ando:
gpupdate /force
R& 6ec8e a janela de Pro#pt de 5o#ando e reinicie L)F=$L1&
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
59/65
& 9ntr
e e# L)F=$L1co#o ADA6@>9
6onco# a sen8a aGGw
Erd&
& -bra u# pr
o#pt de co#ando e verii)ue se voc( pode e4ecutar o aplicativo
app1,bat* )ue est+ locali$ado na pasta $:9
$ustomApp&
.aref
a J: #onfirmar 'ue um aplicativo no pode ser e+ecutado
1& 9# EO@=5E1* na pasta $ustomApp* copie app1,bat para a pasta Documentos&
2& 5onir#e )ue o aplicativo no pode ser e4ecutado a partir
da pasta
Documentose verii)ue se a seguinte #ensage# , e4ibida: ?ste programa
est blo8ueado por uma pol3tica de grupo, ara obter mais infor
maesIcontate o administrador do sistema,X
"esultados: -o ter#inar este e4erc
cio* voc( ter+ conigurado pol
ticas -ppEocFerpara todos os usu+r
ios cujas contas de co#putador esto locali$adas na unidadeorgani$acional de 5o#putadores 5liente& -s polticas coniguradas deve# per#itir
)ue esses usu+rios e4ecute# aplicativos )ue esto locali$ados nas pastas5:KW
indows e 5:K-r)uivos de Pr
ogra#as e e4ecute# o aplicativo personali$adoapp1&bat na pasta 5:K5usto#-pp&
*+erc
cio 4: #onfigurao do ireBall do EindoBs
Cenr
io
.eu ger
ente l8e pediu para conigurar r
egr
as do 6irewall do Windows par
a u#
con
junto de novos servidores de aplicativos& 9sses servidores de aplicativos t(# u#
aplicativo baseado na Web )ue est+ escutando e# u#a porta no padro&
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
60/65
1& 5riar
u# grupo deno#inado .ervidores de -plicativos
2& -dicionar EO@=.
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
61/65
R& @a janela 9ditor de Ger
encia#ento de Polticas de Grupo* navegue at,
$onfigurao do $omputador
+ol3ticas+$onfiguraes do Window
s+
$onfiguraes de segurana+%irew
all do Window
s com segur
ana
Aanada+ %irewall do Window
s com &egurana Aanada = LDA:+
+$F/
& eina u#a regra de entrada co# as seguintes conigura%es:
o !
ipo de regr
a:ersonali7ado
o !
ipo de pr
otocolo: 6$
o Por
tas 9specicas: PEPE
o 9scopo: Qual8uer endereo .
o -o: ermitir a cone;o
o Peril: Dom3nio >
des#ar)ue as cai4as de seleo riadoe
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
62/65
R& @o painel B dir
eita* e# 6iltrage# de .egurana* re#ova @surios autenticados
e conigure o B) de &eridor deAplicatiosde or#a )ue ele apenas se
ja
aplicado ao grupo de segur
ana &eridores de Aplicatios&
.aref
a ;: *+ecutar -P%pdate em @O6!
1& -ltere para L)F=&V"1&
2& -bra u#a janela de Pro#pt de 5o#ando e digite o seguinte co#ando:
gpupdate /force
R& 6ec8e a janela Pro#pt de 5o#ando&
& 3einicie L)F=&V"1e depois aa logon nova#ente co#o
ADA6@>9
Administradorco# a sen8a aGGw
Erd&
.aref
a
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
63/65
ser
vidor
es de aplicativos&
Para se preparar para o pr)+imo m)dulo
'uando ter#inar o laboratr
io* r
etorne as #+)uinas virtuais para o seu estado inicial*
seguindo estas etapas:
1& @o co#putador 8ost* inicie o Ber
enciador do Cper=V&
2& @a lista >8uinas Virtuais* cli)ue co# o boto dir
eito do #ouse e# 2##1E'=
L)F=D$1e depois cli)ue e# "eer
ter&R& @a cai4a de di+logo "eerter >8uina Virtual* cli)ue e# "eerter&
& 3epita as etapas 2 e R para 210I=EO@=.
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
64/65
segur
ana )ue inclu
a todos os aspectos de u# #odelo de pr
oteo e#ca#adas& 5o# base nessa estrat,gia* sua organi$ao i#ple#entou pol
ticas econigura%es de segur
ana no a#biente de inraestr
utura de !
" inteir
o& Onte#*voc( leu e# u# artigo )ue novas a#eaas de segurana ora# detectadas na"nternet* #as agor
a voc( percebe )ue a estrat,gia da e#presa no inclui u#aan+lise de risco e u# plano de #itigao para essas novas a#eaas& O )ue voc(
deve a$er
erramentas
%erramenta @se para )nde encontrar
5onsole de
Gerencia#ento dePoltica de Grupo
C#a
erra#enta gr+
ica )ue
voc( usa para criar* e
ditar eaplicar GPOs
Gerenciador do .ervidorL
6erra#entas
-ppEocFer -plica con
igura%e
s de
segurana )ue controla#
)uais aplicativos pode# se
r
e4
ecutados pelos usu+rios
9ditor de GPO no GPM5
6irewall do Windows
co# seguranaavanada
C# irewall baseado e#
8ost )ue est+ includo co#ou# recurso no Windows
.erver 2012 e no Windo
ws
.erver 200
Gerenciador do .ervidorL
6erra#entas* se
conigurados individual#ente* ou 9ditor de GPO noGPM5 para i#plantao co# a Po
ltica de Grupo
Gerenciador de
5o#patibilidade de
.egurana
"#plantao de polticas de
segurana co# base e#
reco#enda%es do Guia de
.egurana da Microso
t e
e# pr+ticas reco#endadasdo setor
Iai4
e no site da Microso
t* e#
*t
t
p:
++go,
microsof
t
,com+f
w
lin(+
-Lin(.D/200#0
&
Pr"tica recomendada
-
5/27/2018 Mdulo 12_ Proteo de servidores Windows usando Objetos de Poltica de Grupo.pdf
65/65
dier
entes tipos de usu+r
ios na sua or
gani$ao* pois cada departa#ento pode ter
necessidades de segurana distintas&