10140A_09 [Modo de Compatibilidade]

7/31/2019 10140A_09 [Modo de Compatibilidade]

1/37

Mdulo 9Configurao daconformidade de

segurana do servidor


2/37

Viso geral do mdulo

Proteo da infra-estrutura do Windows

Viso geral do EFS

Configurao de uma diretiva de auditoria

Viso geral do Windows Server Update Services (WSUS)

Gerenciamento do WSUS


3/37

Lio 1: Proteo da infra-estrutura do Windows

Discusso: Desafios da segurana de uma infra-estruturado Windows

Aplicao da proteo em camadas para aumentar asegurana

Principais prticas de segurana de servidores


4/37

Discusso: Desafios da segurana da infra-estruturado Windows

Discuta as conseqncias da falta de ateno seguranano seu ambiente de rede.

Discuta os desafios relacionados implementao e aogerenciamento da configurao segura de servidores.

Discuta os desafios relacionados proteo contra ameaasde softwares mal-intencionados e invases.

eficaz de identidades e acesso.


5/37

Aplicao da proteo em camadas para aumentar asegurana

Proteo em camadas um recurso que oferece vrias camadas desegurana para proteger um ambiente de rede

Proteo de aplicativos,

ACLs, criptografia, EFS

Aplicativo

Dados

Documentos de segurana,

treinamento do usurio

Diretivas, procedimentos e

conhecimento

Segurana fsica

Proteo do SO, autenticao

Firewalls

Protetores, travas

Segmentos de rede, IPsec

Permetro

Rede interna

Host


6/37

Principais prticas de segurana de servidores

Aplicar o service pack mais recente e todas asatualizaes de segurana disponveis

Usar o Assistente de Configurao de Segurana paraexaminar e implementar a segurana do servidor

Usar a Diretiva de Grupo e modelos de segurana parapro eger serv ores

Restringir o escopo de acesso das contas de servio

Restringir quem pode fazer logon localmente nosservidores

Restringir o acesso fsico e via rede aos servidores


7/37

Lio 2: Viso geral do EFS

O que o Encrypting File System?

O que Criptografia de Unidade de Disco BitLocker?

Soluo de problemas do EFS


8/37

O que o Encrypting File System?

EFS:

O contedo dos arquivos protegido por uma chavesimtrica

Sistema de Arquivos com Criptografia (EFS) um sistema quecriptografa arquivos

A chave simtrica protegida por criptografiaassimtrica

Habilitado nas propriedades de um arquivo

Requer um certificado de usurio

Pode ser usado em arquivos compartilhados

Pode ser configurado com um agente de recuperao,em caso de perda de certificados de usurio


9/37

O que Criptografia de Unidade de Disco BitLocker?

Criptografia de Unidade de Disco BitLocker:

Ajuda a proteger dados na unidade do sistemaoperacional

BitLocker um sistema que criptografa a unidade do sistemaoperacional inteira e volumes de dados em potencial

Ajuda a proteger o sistema operacional contramodificaes

O acesso unidade do sistema operacional controladopor chaves de criptografia


10/37

Soluo de problemas do EFS

Verifique estes itens:

No possvel criptografar

O volume NTFS

Determine se o problema ocorre ao criptografar ou descriptografararquivos e se os arquivos so locais ou remotos

O usurio tem acesso de Gravao no arquivo Perfis de usurios mveis geralmente exigem a

criptografia de arquivos remotos

No possvel descriptografar

A localizao do arquivo confivel para delegao

O perfil mvel est disponvel

No possvel delegar a conta de usurio

Problemas de certificado ou chave privada


11/37

Lio 3: Configurao de uma diretiva de auditoria

O que auditoria?

O que uma diretiva de auditoria?

Tipos de eventos para auditoria

Soluo de problemas de diretiva de auditoria


12/37

O que auditoria?

A auditoria acompanha as atividades do usurio e do sistemaoperacional e registra os eventos selecionados em logs de segurana,como:

O que ocorreu?

Quem fez isso? Quando?

Qual foi o resultado?

Habilite a auditoria para: Criar uma linha de base

Detectar ameaas e ataques

Determinar danos

Evitar danos futuros

Faa auditoria do acesso a objetos, do gerenciamento de contas e dosprocedimentos de logon e logoff dos usurios


13/37

O que uma diretiva de auditoria?

Uma diretiva de auditoria determina os eventos de seguranaque sero relatados ao administrador da rede

Configure uma diretiva de auditoria para:

Acompanhar o xito ou a falha de eventos

Minimizar o uso no autorizado de recursos Manter um registro da atividade

Os eventos de segurana so armazenados em logs desegurana


14/37

Tipos de eventos para auditoria

Logon de Conta

Gerenciamento de Conta

Acesso ao Servio de Diretrio Alteraes no Servio de Diretrio

Replicao do Servio de Diretrio

rv r r

Logon

Acesso a Objetos

Alterao de Diretiva

Uso de Privilgios

Monitoramento de Processos

Sistema


15/37

Pgina de anotaes - Slide excedente. Noimprima o slide. Consulte o painel de anotaes.


16/37

Soluo de problemas de diretiva de auditoria

Exibir log de segurana em Visualizar Eventos

Aps a configurao da auditoria, ela pode no funcionar pelosseguintes motivos:

Uma configurao de diretiva de site, domnio ou unidade organizacionalsubstitui a diretiva de auditoria por voc configurada

Um GPO que substitui a configurao da diretiva de auditoria temprioridade mais alta

A configurao de diretiva do site, do domnio ou da unidade organizacionalque contm a configurao da diretiva de auditoria no foi replicada paraoutros computadores

Auditoria de acesso a objetos

Entender de que modo a herana afeta a auditoria de arquivos e pastas

Testar uma regra de auditoria de um arquivo ou de uma pasta

Abrir e fechar o arquivo ou a pasta

Exibir o log de segurana para verificar se o ID de Evento 4663 foiregistrado


17/37

Demonstrao: Como configurar a auditoria

Nesta demonstrao, voc ver como:

Habilitar a auditoria para vrios eventos

Habilitar a auditoria do acesso a objetos


18/37

Lio 4: Viso geral do Windows Server UpdateServices (WSUS)

O que o Windows Server Update Services?

Obteno de atualizaes

Processo do Windows Server Update Services

Consideraes sobre a implantao do WSUS

Requisitos de servidor do WSUS

Instalao do WSUS Configuraes de Diretiva de Grupo do WSUS

Configurao de Atualizaes Automticas


19/37

O que o Windows Server Update Services?

AtualizaesAutomticas

Servidor executandoWindows Server

Site do Microsoft Update

AtualizaesAutomticas

LAN

Internet

Clientes de teste


20/37

Obteno de atualizaes

WSUS

Windows Update

WSUS

WSUS

WSUS


21/37

Processo do Windows Server Update Services

Gerenciamento de

Fase 1: Analisar

Configurar um ambiente de produo que suporte ogerenciamento de atualizaes em cenrios de rotina e deemergncia

Fase 4: Implantar

Aprovar e agendar ainstalao deatualizaes

Fase 4: Implantar

Aprovar e agendar ainstalao deatualizaes

Fase 2: Identificar

Detectar novasatualizaes demaneira rticaIdentificarIm lantar

Analisar

atua za es

Fase 3: Avaliar e planejar

Testar as atualizaes em um ambiente semelhante ao deproduo, mas que est separado dele

Determinar as tarefas necessrias para implantar atualizaesna produo, planejar a liberao de atualizaes, compilar asverses e conduzir testes de aceitao delas

Examinar o processoaps o trmino daimplantao

Examinar o processoaps o trmino daimplantao

Determinar se asatualizaes sorelevantes para oambiente deproduo

Avaliar eplanejar


22/37

Consideraes sobre a implantao do WSUS

Conectividade com a Internet

Nmero de servidores do WSUS

Implantao simples do WSUS

Hierarquia de servidor do WSUS

ru s de c m utad res

Armazenamento deatualizaes


23/37

Requisitos de servidor do WSUS

Requisitos de software:

Windows Server 2003 SP1 ouWindows Server 2008

IIS 6.0 ou posterior

Windows Installer 3.1 ou posterior

Microsoft .NET Framework 2.0

SQL Server 2005 SP1 ou posterior (opcional)

Microsoft Report Viewer Redistributable 2005


24/37

Instalao do WSUS

Consideraes sobre a instalao do servidor do WSUS:

Selecionar a origem de atualizao

Selecionar o software usado para gerenciar o banco dedados do WSUS

Selecionar o site que o WSUS utilizar para apontar os

O console de administrao do WSUS:

O console de administrao do WSUS 3.0 pode ser usadopara gerenciar qualquer servidor que tenha uma relaode confiana com o computador do console deadministrao


25/37

Configuraes de Diretiva de Grupo do WSUS

A Diretiva de Grupo pode especificar:

O servidor do WSUS a ser usado

Se so exibidas notificaes de atualizao

A freqncia da verificao de atualizaes

O comportamento de reinicializao automtica

A associao a grupos de computadores do WSUS

Se os computadores devem acordar para aplicaratualizaes


26/37

Configurao de Atualizaes Automticas

Configurar Atualizaes Automticas usando a Diretiva deGrupo Configurao do Computador/Modelos

Administrativos/Componentes do Windows/Windows Update

Requer o modelo administrativo wuau.adm atualizado

equer:

Windows Vista

Windows Server 2008

Windows Server 2003

Windows XP Professional SP2 Windows 2000 Professional SP4,

Windows 2000 Server/Advanced Server SP3 ou SP4


27/37

Demonstrao: Configurao do WSUS


Definir as configuraes de cliente da Atualizao Automticausando a Diretiva de Grupo


28/37

Lio 5: Gerenciamento do WSUS

Administrao do WSUS

Gerenciamento de grupos de computadores

Aprovao de atualizaes

Atualizaes de segurana do Server Core


29/37

Administrao do WSUS

Ferramentas de linha de comando para gerenciar atualizaes:

Wuauclt.exe controla o Windows Update Agent

Wsusutil.exe gerenciamento do WSUS


30/37

Gerenciamento de grupos de computadores

Os computadores so adicionados

automaticamente Grupos de computadores padro

Todos os Computadores

ompu a ores o r u os

Direcionamento no lado do cliente


31/37

Aprovao de atualizaes

As opes de aprovao incluem:

Instalar

Recusar

No Aprovar

Remoo Tambm permitido automatizar a aprovao


32/37

Demonstrao: Gerenciamento do WSUS


Adicionar um computador ao WSUS

Aprovar uma atualizao


33/37

Atualizaes de segurana do Server Core

Para habilitar o Windows Update no Server Core:

Cscript c:\Windows\system32\scregedit.wsf /au /4

Para instalar atualizaes manualmente no Server Core:

Wsua.exe .msu /quiet

Para remover atualizaes manualmente do Server Core:

Em .xml, substitua Install por Remove e salve oarquivo.

pkgmgr /n:.xml


34/37

Laboratrio: Gerenciar a segurana do servidor

Exerccio 1: Configurao do Windows Software UpdateServices

Exerccio 2: Configurao da auditoria

Informaes de logon

Mquina virtualNYC-DC1, NYC-SVR1,NYC-CL2

Nome de usurio Administrador

Senha Pa$$w0rd

Tempo estimado: 60 minutos


35/37

Cenrio do laboratrio

Como Especialista em Tecnologia de Servios de Infra-estrutura do Windows, voc tem a tarefa de configurar egerenciar a conformidade com patches de segurana declientes e servidores e de implementar uma diretiva deauditoria para rastrear eventos especficos que ocorrem noAD DS. Voc deve assegurar que os sistemas mantenham aconformidade com os padres corporativos.


36/37

Reviso do laboratrio

Aps a instalao do software do servidor do WSUS, exibido um assistente que ajuda a configurar aspropriedades do WSUS. Como alterar as propriedades queforam atribudas de maneira incorreta aps a concluso doassistente?

Quando se implementa uma auditoria de servio dediretrio, que critrios so relevantes ao escolherimplementar sucesso e/ou falha?


37/37

Reviso do mdulo e informaes

Perguntas de reviso

Prticas recomendadas

10140A_09 [Modo de Compatibilidade]

Documents

Transcript of 10140A_09 [Modo de Compatibilidade]