Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Viso geral do mdulo Lio 1: Lio 2: Laboratrio A: Lio !: Lio #: Laboratrio ': Viso geral da segurana de sistemas operacionais Windows Definio de configuraes de segurana Aumento da segurana de recursos do ser idor
"estrio de softwares $onfigurao do %irewall do Windows com &egurana A anada $onfigurao do AppLoc(er e do %irewall do Windows
-ntes de co#ear a projetar polticas de segurana para ajudar a proteger os dados* os servios e a in raestrutura de !" da sua organi$ao* voc( deve aprender a identi icar a#eaas de segurana* planejar sua estrat,gia para redu$ir essas a#eaas e proteger a in raestrutura do seu Windows .erver/ 2012&
Objetivos
-o concluir este #dulo* voc( ser+ capa$ de: 1 2escreva a segurana do siste#a operacional Windows .erver& 1 2e inir con igura%es de segurana usando a Poltica de Grupo& 1 3estringir a e4ecuo de so twares no autori$ados e# servidores e clientes& 1 5on igurar o 6irewall do Windows co# .egurana -vanada&
Objetivos da lio
-o concluir esta lio* voc( ser+ capa$ de: 1 "denti icar riscos de segurana para o Windows .erver 2012 e os custos associados a eles& 1 -plicar o #odelo de proteo e# ca#adas para au#entar a segurana& 1 2escrever pr+ticas reco#endadas para au#entar a segurana do Windows .erver 2012&
- pri#eira etapa na de esa dos seus siste#as , identi icar os riscos de segurana potenciais e seus custos associados& 2epois de a$er isso* voc( pode co#ear a to#ar decis%es #ais precisas sobre co#o alocar recursos para redu$ir esses riscos& -nalise a )uesto no slide e participe de sua discusso para identi icar alguns dos riscos de segurana e# redes baseadas no Windows e seus custos associados&
<oc( pode redu$ir os riscos para a rede de co#putao da sua organi$ao ornecendo segurana e# v+rias ca#adas de in raestrutura& O ter#o proteo em camadas costu#a ser usado para descrever o uso de v+rias tecnologias de segurana e# di erentes pontos ao longo da sua organi$ao& !ecnologias de proteo e# ca#adas inclue# ca#adas de segurana )ue se estende# desde polticas de usu+rio at, aplicativos e dados propria#ente ditos&
egurana fsica
.e )ual)uer pessoa no autori$ada puder obter acesso sico a u# co#putador na sua rede* a #aioria das outras #edidas de segurana no ser+ ;til& <oc( deve garantir )ue os co#putadores )ue cont(# os dados #ais sensveis >co#o servidores? seja# isica#ente seguros e )ue o acesso seja concedido apenas a pessoas autori$adas&
Permetro
@os dias de 8oje* nen8u#a organi$ao , u#a e#presa isolada& Organi$a%es opera# na "nternet* e #uitos recursos de rede organi$acionais esto disponveis na "nternet& "sso pode incluir u# site )ue descreva os servios da sua organi$ao* ou os servios internos )ue voc( disponibili$a e4terna#ente* co#o Webcon er(ncias e e#ails* de #odo )ue os usu+rios possa# trabal8ar a partir de casa ou de escritrios re#otos& 3edes de per#etro #arca# o li#ite entre redes p;blicas e privadas& 6ornecer servidores de pro4A reverso na rede de per#etro per#ite )ue voc( ornea #ais servios corporativos seguros e# toda a rede p;blica& Muitas organi$a%es i#ple#enta# o controle de )uarentena de acesso B rede* e# )ue os co#putadores )ue se conecta# B rede corporativa so veri icados e# busca de di erentes crit,rios de segurana* co#o se o co#putador te# as ;lti#as atuali$a%es de segurana* atuali$a%es de antivrus e outras con igura%es de segurana reco#endadas pela e#presa& .e esses crit,rios ore# atendidos* o co#putador poder+ se conectar B rede corporativa& .e no ore#* o co#putador ser+ colocado e# u#a rede isolada* c8a#ada de quarentena* se# acesso a recursos corporativos& 'uando o co#putador tiver suas con igura%es de segurana re#ediadas* ele ser+ re#ovido da rede de )uarentena e poder+ se conectar a recursos corporativos&
)bser ao: C# pro4A reverso* co#o o Microso t/ 6ore ront/ !8reat Manage#ent GatewaA 2010 >6ore ront !MG?* per#ite )ue voc( publi)ue servios co#o e#ail ou servios Web a partir da intranet corporativa se# colocar servidores de e#ail ou servidores Web no per#etro ou os e4por a usu+rios e4ternos& O 6ore ront !MG atua co#o pro4A reverso e co#o u#a soluo de irewall&
!edes
2epois de conectados a u#a rede >interna ou p;blica?* seus co#putadores ica# suscetveis a u#a s,rie de a#eaas* incluindo espionage#* alsi icao* negao de servio e ata)ues de reproduo& -o i#ple#entar o protocolo "Psec* voc( pode
criptogra ar o tr+ ego de rede e proteger os dados en)uanto e# trans er(ncia entre co#putadores& 'uando a co#unicao ocorre atrav,s de redes p;blicas* co#o por uncion+rios )ue esto trabal8ando de casa ou de escritrios re#otos* co#o pr+tica reco#endada* voc( deve se conectar a u#a soluo de irewall* co#o o 6ore ront !MG 2010* para se proteger de di erentes tipos de a#eaas de rede&
egurana de dados
- ca#ada inal de segurana , a proteo de dados& Para ajudar a garantir a proteo da sua rede* voc( deve: 1 <eri icar o uso apropriado de per#iss%es de usu+rio para ar)uivos usando -5Es >Eistas de 5ontrole de -cesso?& 1 "#ple#entar a criptogra ia de dados con idenciais co# o 96. >.iste#a de -r)uivos de 5riptogra ia?& 1 3eali$ar bacFups de dados regulares&
Leitura adicional:
1 Para obter os in or#es e os boletins de segurana #ais recentes da Microso t* consulte o artigo sobre segurana para pro issionais de !" e# *ttp:++go,microsoft,com+fwlin(+-Lin(.D/2001#1& 1 Para obter #ais in or#a%es sobre tipos co#uns de ata)ues de rede* consulte *ttp:++go,microsoft,com+fwlin(+-Lin(.D/2001#2& 2ergunta: 'uantas ca#adas do #odelo de proteo e# ca#adas voc( deve i#ple#entar na sua organi$aoG
5onsidere as seguintes pr+ticas reco#endadas para au#entar a segurana: 1 -pli)ue todas as atuali$a%es de segurana disponveis o #ais r+pido possvel aps a sua publicao& <oc( deve se es orar para i#ple#entar atuali$a%es de segurana o #ais r+pido possvel para garantir )ue os seus siste#as i)ue# protegidos contra vulnerabilidades con8ecidas& - Microso t libera publica#ente os detal8es de todas as vulnerabilidades con8ecidas aps a publicao de u#a atuali$ao* o )ue pode resultar e# u# au#ento no volu#e de #alwares )ue tenta# e4plorar essas vulnerabilidades& @o entanto* voc( ainda deve garantir o teste ade)uado de atuali$a%es antes )ue elas seja# aplicadas a#pla#ente na sua organi$ao& 1 .iga o princpio do privil,gio #ais bai4o& 6ornea a usu+rios e contas de servio os nveis de per#isso #ais bai4os necess+rios para concluir tare as& "sso garante #enor i#pacto caso algu# #alware use essas credenciais& Garante ta#b,# )ue os usu+rios i)ue# li#itados e# suas capacidades de e4cluso acidental de dados ou #odi icao de i#portantes con igura%es do siste#a operacional& 1 3estrinja o logon no console do ad#inistrador& 6a$er logon local#ente e# u# console , u# risco #aior para u# servidor do )ue acessar dados re#ota#ente& "sso por)ue alguns #alwares s pode# in ectar u# co#putador usando u#a sesso de usu+rio na +rea de trabal8o& .e voc( per#itir )ue os ad#inistradores use# a 5one4o de Hrea de !rabal8o 3e#ota para ad#inistrao do servidor* veri i)ue se recursos avanados de segurana* co#o o 5ontrole de 5onta de Csu+rio* esto 8abilitados& 1 3estrinja o acesso sico& .e algu,# tiver acesso sico a seus servidores* essa pessoa ter+ pratica#ente acesso ili#itado aos dados desses servidores& C#a pessoa no autori$ada pode usar u#a a#pla variedade de erra#entas para rede inir rapida#ente a sen8a e# contas de ad#inistrador local e per#itir acesso local* ou utili$ar u#a unidade C.I para introdu$ir #alwares&
Leitura adicional: Para obter #ais in or#a%es sobre pr+ticas reco#endadas para segurana corporativa* consulte *ttp:++go,microsoft,com+fwlin(+-Lin(.D/2001#!&
Leitura adicional: 5li)ue no seguinte linF para procurar u#a lista detal8ada de con igura%es da Poltica de Grupo: *ttp:++go,microsoft,com+fwlin(+-Lin(.D/2001##,
Modelos de segurana so ar)uivos )ue voc( pode usar para gerenciar e de inir con igura%es de segurana e# co#putadores baseados no Windows& 2ependendo das v+rias categorias de con igura%es de segurana* #odelos de segurana so divididos e# se%es lgicas& <oc( pode con igurar cada u#a das seguintes se%es de acordo co# as necessidades e as solicita%es de u#a e#presa: 1 Polticas de 5onta& Poltica de sen8a* Poltica de blo)ueio de conta e Poltica Jerberos 1 Polticas locais Poltica de auditoria* -tribuio de direitos do usu+rio e Op%es de segurana 1 Eog de 9ventos& 5on igura%es de log de eventos de segurana* aplicativo e siste#a 1 Grupos 3estritos& -ssociao de grupos )ue pode# ter direitos e per#iss%es especiais 1 .ervios do .iste#a& "niciali$ao e per#iss%es para servios do siste#a 1 3egistro& Per#iss%es para c8aves do 3egistro 1 .iste#a de -r)uivos& Per#iss%es para pastas e ar)uivos
-o con igurar u# #odelo de segurana* voc( pode us+=lo para con igurar u# ;nico co#putador ou para con igurar v+rios co#putadores na rede& <eja a seguir algu#as #aneiras de con igurar e distribuir #odelos de segurana: 1 .ecedit&e4e& - erra#enta de lin8a de co#ando secedit&e4e con igura e analisa a segurana do siste#a* co#parando a con igurao atual de u# co#putador )ue e4ecuta o Windows .erver 2012 co# #odelos de segurana especi icados& 1 .nap=in de Modelos de .egurana& Os snap=in de Modelos de .egurana pode ser usado para criar u#a poltica de segurana co# o uso de #odelos de segurana& 1 -ssistente de 5on igurao e -n+lise de .egurana& 9sse assistente , u#a erra#enta )ue voc( pode usar para analisar e con igurar a segurana do co#putador& 1 Poltica de Grupo& - Poltica de Grupo , u#a tecnologia )ue voc( pode usar para analisar e de inir con igura%es de co#putador* incluindo a distribuio de con igura%es de segurana espec icas& 1 Gerenciador de 5o#patibilidade de .egurana& O Gerenciador de 5o#patibilidade de .egurana , u#a erra#enta )ue ornece recursos centrali$ados de gerencia#ento de lin8a de base de segurana e uncionalidade de e4portao de lin8a de base de segurana&
- atribuio de direitos do usurio re ere=se B capacidade de reali$ar a%es no siste#a operacional& 5ada co#putador te# o seu prprio conjunto de direitos do usu+rio*
co#o o direito de alterar a 8ora do siste#a& - #aioria dos direitos , concedida ao .iste#a Eocal ou ao -d#inistrador& Privil,gios e direitos de logon so dois tipos de direitos de usu+rio: 1 Privilgios de ine# o acesso a recursos de co#putador e do#nio& Por e4e#plo* direitos para a$er bacFup de ar)uivos e diretrios& 1 Direitos de logon de ine# )ue# te# autori$ao para a$er logon e# u# co#putador e co#o esses usu+rios pode# a$er logon& Por e4e#plo* direitos de logon pode# de inir o direito de a$er logon e# u# siste#a local#ente&
<oc( pode con igurar direitos atrav,s da Poltica de Grupo& "nicial#ente* a poltica de do#nio padro no te# direitos de usu+rio de inidos& <oc( pode de inir con igura%es para 2ireitos de Csu+rio acessando 5on igurao do 5o#putadorK PolticasK5on igura%es do WindowsK5on igura%es de .eguranaKPolticas EocaisK-tribuio de 2ireitos de Csu+rio no GPM5 >5onsole de Gerencia#ento de Poltica de Grupo?& -lguns e4e#plos de direitos de usu+rio co#u#ente utili$ados >e as polticas con iguradas por eles? so: 1 Adicionar estaes de trabal*o ao dom3nio& 2eter#ina )uais usu+rios ou grupos pode# adicionar esta%es de trabal8o ao do#nio& 1 2ermitir logon localmente& 2eter#ina )uais usu+rios pode# a$er logon no co#putador& 1 2ermitir logon atra 4s dos &er ios de 5rea de 6rabal*o "emota& 2eter#ina )uais usu+rios ou grupos t(# per#isso para a$er logon co#o 5liente de .ervios de Hrea de !rabal8o 3e#ota& 1 %a7er bac(up de ar8ui os e diretrios& 2eter#ina )uais usu+rios t(# per#isso para a$er bacFup de ar)uivos e pastas e# u# co#putador&
1 Alterar a *ora do sistema& 2eter#ina )uais usu+rios ou grupos t(# os direitos de alterar a data e a 8ora no relgio interno do co#putador& 1 %orar o desligamento de um sistema remoto& 2eter#ina )uais usu+rios t(# per#isso para desligar u# co#putador a partir de u# local re#oto na rede& 1 Desligar o sistema& 2eter#ina )uais dos usu+rios )ue so local#ente conectados a u# co#putador t(# per#isso para desligar esse co#putador&
<oc( ta#b,# pode usar a Poltica de Grupo para acessar e con igurar Op%es de .egurana& -s con igura%es de segurana do co#putador )ue voc( pode de inir e# Op%es de .egurana inclue#: 1 @o#es de contas de -d#inistrador e 5onvidados 1 -cesso a unidades de 52L2<2 1 -ssinaturas de dados digitais 1 5o#porta#ento de instalao de drivers 1 Pro#pts de logon 1 5ontrole de conta de usu+rio <oc( ta#b,# pode de inir con igura%es para Op%es de .egurana acessando o seguinte local no GPM5: $onfigurao do $omputador92ol3ticas9$onfiguraes
do Windows9$onfiguraes de &egurana92ol3ticas Locais9)pes de &egurana Os e4e#plos a seguir representa# Op%es de .egurana utili$adas co# re)u(ncia: 1 2edir 8ue o usu:rio altere a sen*a antes 8ue ela e;pire& 2eter#ina )uantos dias antes de a sen8a de u# usu+rio e4pirar o siste#a operacional ornece u# aviso& 1 Logon interati o: no e;ibir o <ltimo nome do usu:rio& 2eter#ina se o no#e do ;lti#o usu+rio a a$er logon no co#putador , e4ibido na janela de logon do Windows& 1 $ontas: renomear conta do administrador& 2eter#ina se u# no#e de conta di erente est+ associado ao ."2 >identi icador de segurana? do -d#inistrador da conta& 1 Dispositi os: restringir acesso ao $D=")> apenas aos usu:rios com logon local& 2eter#ina se u# 52=3OM est+ acessvel para usu+rios locais e re#otos si#ultanea#ente&
5ontas ad#inistrativas i#plica# u# grau #aior de riscos de segurana& 'uando u#a conta ad#inistrativa est+ conectada* seus privil,gios per#ite# o acesso ao siste#a operacional Windows inteiro* incluindo o 3egistro* ar)uivos de siste#a e de ini%es de con igurao& 9n)uanto u#a conta ad#inistrativa estiver conectada* o siste#a icar+ vulner+vel a ata)ues* podendo icar co#pro#etido&
O 5ontrole de 5onta de Csu+rio , u# recurso de segurana )ue ajuda a i#pedir altera%es no autori$adas e# u# co#putador& 9le a$ isso solicitando a per#isso do usu+rio ou as credenciais do ad#inistrador antes de reali$ar a%es )ue possa# a etar a operao do co#putador ou alterar con igura%es )ue a etaria# v+rios usu+rios& Por padro* usu+rios padro e ad#inistradores e4ecuta# aplicativos e acessa# recursos no conte4to de segurana de u# usu+rio padro& O pro#pt do 5ontrole de 5onta de Csu+rio ornece u#a #aneira para u# usu+rio elevar seu estatuto de u#a conta de usu+rio padro para u#a conta de ad#inistrador se# a$er logo * trocar de usu+rio ou usar ?;ecutar como& Por causa disso* o 5ontrole de 5onta de Csu+rio cria u# a#biente #ais seguro no )ual e4ecutar e instalar aplicativos& 'uando u# aplicativo re)uer per#isso e# nvel de ad#inistrador* o 5ontrole de 5onta de Csu+rio noti ica o usu+rio da seguinte or#a: 1 .e o usu+rio or u# ad#inistrador* ele con ir#ar+ a elevao do seu nvel de per#isso e continuar+& 9sse processo de solicitao de aprovao , con8ecido co#o Modo de Aprovao de Administrador.
)bser ao: @o Windows .erver 2012* a conta de -d#inistrador interno no , e4ecutada no Modo de -provao de -d#inistrador& O resultado , )ue no 8+ pro#pts de 5ontrole de 5onta de Csu+rio e4ibidos )uando a conta de ad#inistrador local , usada&
1 .e o usu+rio no or u# ad#inistrador* ser+ necess+rio in or#ar u# no#e de usu+rio e u#a sen8a para u#a conta )ue ten8a per#iss%es ad#inistrativas& 6ornecer credenciais ad#inistrativas te#poraria#ente d+ privil,gios ad#inistrativos ao usu+rio* #as apenas para co#pletar a tare a atual& 5oncluda a tare a* as per#iss%es volta# a ser Bs de u# usu+rio padro&
-o usar esse processo de noti icao e elevao para privil,gios de conta de ad#inistrador* altera%es no pode# ser eitas no co#putador se# )ue o usu+rio
saiba* pois u# pro#pt solicita a per#isso do usu+rio ou as credenciais de ad#inistrador& "sso pode ajudar a i#pedir )ue so twares #al=intencionados >#alware? e spAwares seja# instalados e# u# co#putador ou aa# altera%es nesse co#putador& O 5ontrole de 5onta de Csu+rio per#ite )ue as seguintes altera%es e# nvel de siste#a ocorra# se# pro#pts* #es#o )uando u# usu+rio est+ conectado co#o u# usu+rio local: 1 "nstalar atuali$a%es do Windows Cpdate 1 "nstalar drivers do Windows Cpdate ou drivers )ue so ornecidos junto co# o siste#a operacional 1 94ibir con igura%es do siste#a operacional Windows 1 9#parel8ar dispositivos Iluetoot8 co# o co#putador 1 3ede inir o adaptador de rede e reali$ar outras tare as de diagnstico e reparo de rede
1 $ontrole de $onta de @su:rio: e;ecutar todos os administradores no >odo de Apro ao de Administrador& 5ontrola o co#porta#ento de todas as con igura%es de poltica de 5ontrole de 5onta de Csu+rio para o co#putador& .e essa con igurao estiver desabilitada* o 5ontrole de 5onta de Csu+rio no ser+ e4ecutado nesse co#putador& 1 $ontrole de $onta de @su:rio: >odo de Apro ao de Administrador para a conta de administrador interno& 'uando voc( 8abilita essa con igurao* a conta de ad#inistrador interno usa o Modo de -provao de -d#inistrador& 1 $ontrole de $onta de @su:rio: detectar instalaes de aplicati os e perguntar se deseAa ele ar& 9ssa con igurao controla o co#porta#ento de deteco de instalao de aplicativos para o co#putador& 1 $ontrole de $onta de @su:rio: ele ar somente e;ecut: eis assinados e alidados& 'uando voc( 8abilita essa con igurao* u#a veri icao de PJ" >"n raestrutura de 58ave P;blica? , reali$ada no ar)uivo e4ecut+vel para veri icar se ele prov,# de u#a onte con i+vel& .e o ar)uivo or veri icado* ele poder+ ser e4ecutado&
)bser ao: Por padro* o 5ontrole de 5onta de Csu+rio no est+ con igurado ou 8abilitado e# instala%es .erver 5ore do Windows .erver 2012&
@or#al#ente* u# dos co#ponentes da estrat,gia de segurana de u#a organi$ao , o registro do co#porta#ento de atividades do usu+rio& 9sse co#porta#ento pode incluir tentativas be# ou #al sucedidas de acessar dados crticos para negcios )ue esto ar#a$enados e# pastas di erentes ou tentativas de logon be# ou #al sucedidas e# servidores di erentes& O registro desses eventos relacionados B segurana , c8a#ado de Auditoria de Segurana& - auditoria de segurana produ$ logs de eventos de segurana )ue os ad#inistradores pode# ento ver no Eog de 9ventos de .egurana do <isuali$ador de 9ventos& -ps a con igurao da auditoria* as in or#a%es e# logs de eventos de segurana pode# ajudar a sua organi$ao a auditar a con or#idade co# i#portantes dados relacionados a segurana e aos negcios* aco#pan8ando atividades precisa#ente de inidas co#o: 1 C# ad#inistrador de grupo )ue #odi icou con igura%es ou dados e# servidores )ue cont(# in or#a%es alta#ente con idenciais& 1 C# uncion+rio dentro de u# grupo de inido )ue acessou u#a pasta i#portante contendo dados de di erentes departa#entos& 1 C# usu+rio )ue est+ tentando a$er logon e# sua conta repetida#ente se# sucesso a partir de u# co#putador interno da e#presa& <oc( pode descobrir )ue o propriet+rio da conta de usu+rio estava de ,rias na)uela se#ana* o )ue signi ica )ue outro uncion+rio estava tentando a$er logon co# u#a conta de usu+rio di erente& <oc( pode de inir con igura%es de -uditoria de .egurana acessando o seguinte local no GPM5: $onfigurao do $omputador92ol3ticas9$onfiguraes do Windows9$onfiguraes de &egurana9 2ol3ticas Locais92ol3tica de Auditoria <eja a seguir e4e#plos de algu#as con igura%es de GPO )ue voc( pode de inir para auditoria: 1 Auditoria de e entos de logon de conta& 2eter#ina se o siste#a operacional a$ auditoria se#pre )ue o co#putador valida as credenciais de u#a conta& 1 Auditoria de gerenciamento de contas& 2eter#ina se , necess+rio a$er a auditoria de cada evento de gerencia#ento de conta* co#o criar* alterar* reno#ear
ou e4cluir u#a conta de usu+rio* alterar u#a sen8a ou 8abilitar ou desabilitar u#a conta de usu+rio& 1 Auditoria de acesso a obAetos& 2eter#ina se as auditorias do siste#a operacional t(# acesso a objetos no=-ctive 2irectorA* co#o pastas ou ar)uivos& -ntes de de inir con igura%es de auditoria co# a Poltica de Grupo* voc( precisa con igurar .-5Es >listas de controle de acesso do siste#a? e# pastas ou ar)uivos para per#itir a auditoria de u# tipo espec ico de ao* co#o gravar* ler ou #odi icar& 1 Auditoria de e ento do sistema& 2eter#ina se o siste#a operacional a$ auditorias de eventos relacionados ao siste#a* co#o tentar #udar o 8or+rio do siste#a* tentar u#a iniciali$ao ou u# desliga#ento do siste#a ou )uando o ta#an8o do log de segurana e4cede u# aviso de li#ite con igur+vel&
Leitura adicional: Para obter #ais in or#a%es sobre auditoria de segurana* consulte o artigo sobre novidades e# auditoria de segurana e# *ttp:++go,microsoft,com+fwlin(+-Lin(.D/2001#1&
9# alguns casos* voc( pode )uerer controlar a associao de certos grupos e# u# do#nio* co#o o grupo de ad#inistradores locais* para evitar a adio de outras contas de usu+rios a esses grupos& M possvel usar a poltica de Grupos 3estritos para controlar a associao de grupo* especi icando )uais #e#bros so colocados e# u# grupo& .e voc( de inir u#a
poltica de Grupos 3estritos e depois atuali$ar a Poltica de Grupo* )ual)uer #e#bro atual de u# grupo )ue no esteja na lista de #e#bros da poltica de Grupos 3estritos ser+ re#ovido* incluindo #e#bros padro co#o ad#inistradores de do#nio& 9#bora voc( possa controlar grupos de do#nio atribuindo polticas de Grupos 3estritos a controladores de do#nio* essa con igurao deve ser usada principal#ente para con igurar a associao de grupos crticos* co#o -d#inistradores de 9#presa e -d#inistradores de 9s)ue#a& <oc( ta#b,# pode usar essa con igurao para controlar a associao de grupos locais internos e# esta%es de trabal8o e servidores #e#bros& Por e4e#plo* , possvel colocar o grupo -ssist(ncia !,cnica no grupo local -d#inistradores e# todas as esta%es de trabal8o& @o , possvel especi icar usu+rios locais e# u# GPO de do#nio& Os usu+rios locais )ue esto atual#ente no grupo local controlado pela poltica de Grupos 3estritos sero re#ovidos& - ;nica e4ceo a isso , )ue a conta local de -d#inistradores est+ se#pre no grupo local de -d#inistradores& <oc( pode de inir as con igura%es para Grupos 3estritos acessando o seguinte local no GPM5: $onfigurao do $omputador92ol3ticas9$onfiguraes do Windows9$onfiguraes de &egurana9 Brupos "estritos
Polticas de conta protege# as contas e os dados da sua organi$ao* redu$indo a a#eaa de ata)ues )ue tenta# adivin8ar o no#e de usu+rio e a sen8a da conta >esse tipo de ata)ue , Bs ve$es c8a#ado de ataque com fora bruta?& Proteger seu
a#biente de rede e4ige )ue todos os usu+rios utili$e# sen8as ortes& <oc( usa con igura%es de poltica de sen8a para controlar a co#ple4idade e o te#po de vida das sen8as de usu+rio& 5on igura%es de poltica de sen8a so de inidas atrav,s da Poltica de Grupo&
Polticas de #onta
5o#ponentes de poltica de conta inclue# polticas de sen8a* polticas de blo)ueio de conta e a Poltica Jerberos& -s con igurao de poltica e# polticas de 5onta so i#ple#entadas no nvel do do#nio& C# do#nio do Windows .erver 2012 pode ter v+rias polticas de blo)ueio de contas e sen8as* )ue so c8a#adas de pol ticas de senha refinadas& <oc( pode aplicar essas polticas a u# usu+rio ou a u# grupo de segurana global e# u# do#nio* #as no a u#a CO&
)bser ao: .e voc( precisar aplicar u#a poltica de sen8a re inada aos usu+rios de u#a CO* poder+ usar u# grupo de sombra* )ue , u# grupo de segurana global logica#ente #apeado para u#a CO&
<oc( pode de inir con igura%es de poltica de conta acessando o seguinte local no GPM5: $onfigurao do $omputador92ol3ticas9$onfiguraes do Windows9$onfiguraes de &egurana9 2ol3ticas de $onta&
Poltica de enha
-s polticas de sen8a )ue voc( pode con igurar esto listadas na tabela a seguir&
2ol3tica
- sen8a deve satis a$er a re)uisitos de co#ple4idade
%uno
1 94ige )ue as sen8as: o 3espeite o re)uisito de co#pri#ento estabelecido pelo 5o#pri#ento Mni#o da .en8a* co# u#
2r:tica recomendada
Nabilite essa con igurao& 9sses re)uisitos de co#ple4idade pode# ajudar a garantir u#a sen8a orte& .en8as ortes so #ais di ceis de descodi icar do )ue sen8as )ue cont(# letras si#ples ou n;#eros&
#ni#o de tr(s caracteres se o 5o#pri#ento Mni#o da .en8a or de inido co#o 0&& o 5onten8a# u#a co#binao de pelo #enos tr(s dos seguintes tipos de caracteres: letras #ai;sculas* letras #in;sculas* n;#eros e s#bolos >sinais de pontuao?& o @o deve# conter o no#e de usu+rio ou o no#e de tela do usu+rio&
"nstrua os usu+rios a utili$are# rases secretas para criar sen8as longas +ceis de le#brar&
"#pede )ue os usu+rios crie# u#a nova sen8a igual B sen8a atual ou a u#a sen8a usada recente#ente& Para especi icar )uantas sen8as so #e#ori$adas* ornea u# valor& Por e4e#plo* u# valor de 1 signi ica )ue apenas a ;lti#a sen8a ser+ #e#ori$ada* en)uanto u# valor de O signi ica )ue as cinco sen8as anteriores sero #e#ori$adas&
'uanto #aior o n;#ero* #el8or ser+ a segurana& O valor padro , 2P& "#por o 8istrico de sen8as garante )ue sen8as )ue icara# co#pro#etidas no seja# usadas repetida#ente&
2e ine o n;#ero #+4i#o de dias durante os )uais u#a sen8a , v+lida& -ps esse n;#ero de dias* o usu+rio ter+ )ue #udar a sen8a&
O valor padro , P2 dias* #as a #el8or pr+tica , de ini=lo co#o Q0 dias& -justar o n;#ero de dias co#o u# valor #uito alto ornece aos 8acFers u#a janela prolongada de oportunidade para deter#inar a sen8a& 2e inir o n;#ero de dias co#o u# valor #uito bai4o decepciona os usu+rios )ue precisa# #udar de sen8a co# #uita re)u(ncia e pode resultar e# c8a#adas #ais re)uentes para a assist(ncia t,cnica do setor de !"&
da sen8a
sen8a para pelo #enos 1 dia& -o a$er isso* o usu+rio s pode #udar a sen8a u#a ve$ por dia& "sso ir+ ajudar a i#por outras con igura%es& Por e4e#plo* se as ;lti#as cinco sen8as ore# #e#ori$adas* isso ir+ garantir )ue pelo #enos cinco dias deve# se passar antes )ue o usu+rio possa reutili$ar a sen8a original& .e o te#po de vida #ni#o da sen8a or de inido co#o 0* o usu+rio poder+ trocar de sen8a seis ve$es no #es#o dia e co#ear a reutili$ar a sen8a original no #es#o dia&
9speci ica o #enor n;#ero de caracteres )ue u#a sen8a pode ter&
2e ina o co#pri#ento entre : e 12 caracteres >desde )ue esses caracteres ta#b,# atenda# aos re)uisitos de co#ple4idade?& C#a sen8a #ais longa , #ais di cil de deci rar do )ue u#a sen8a #ais curta* supondo )ue essa sen8a no seja u#a palavra ou e4presso co#u#&
6ornece suporte para aplicativos )ue e4ige# con8eci#ento de u#a sen8a de usu+rio para ins de autenticao&
@o use essa con igurao* a #enos )ue voc( use u# progra#a no )ual ela , necess+ria& Nabilitar essa con igurao di#inui a segurana de sen8as ar#a$enadas&
2ol3tica
Ei#ite de blo)ueio de conta
%uno
9speci ica o n;#ero de tentativas de login co# al8a )ue so per#itidas antes )ue a conta seja blo)ueada& Por e4e#plo* se o li#ite estiver de inido co#o R* a conta ser+ blo)ueada depois )ue u# usu+rio inserir
2r:tica recomendada
C#a de inio de O per#ite erros #oderados do usu+rio* e li#ita tentativas de logon repetidas para ins #al intencionados&
in or#a%es de logon incorretas tr(s ve$es& 2urao do blo)ueio de conta Per#ite )ue voc( especi i)ue u# pra$o de inido* e# #inutos* aps o )ual a conta , desblo)ueada auto#atica#ente e reto#a a operao nor#al& .e voc( especi icar 0* a conta ser+ blo)ueada inde inida#ente* at, )ue u# ad#inistrador a desblo)ueie #anual#ente 2epois )ue o li#ite or atingido e a conta or blo)ueada* ela per#anecer+ blo)ueada por u# te#po longo o su iciente para blo)uear ou i#pedir possveis ata)ues* #as por te#po curto o su iciente para no inter erir na produtividade de usu+rios legti#os& C#a durao de R0 a Q0 #inutos deve uncionar be# na #aioria das situa%es& Serar contador de blo)ueios de conta aps 2e ine u# pra$o para a contage# das tentativas de logon incorretas& .e a poltica estiver de inida para u#a 8ora* e o li#ite de blo)ueio de conta estiver de inido para tr(s tentativas* u# usu+rio poder+ inserir as in or#a%es de logon incorretas tr(s ve$es dentro de u#a 8ora& .e o usu+rio inserir in or#a%es incorretas duas ve$es* #as corretas na terceira ve$* o contador ser+ rede inido depois de u#a 8ora >a partir da pri#eira entrada incorreta?* e tentativas uturas co# al8a co#earo nova#ente a partir do n;#ero u#& Csar u# intervalo de R0 a T0 #inutos , geral#ente su iciente para i#pedir ata)ues auto#ati$ados e tentativas #anuais por parte de u# atacante de adivin8ar sen8as&
Poltica (erberos
9ssa poltica , para contas de usu+rio de do#nio e deter#ina con igura%es relacionadas a Jerberos* co#o a vida ;til e a i#posio de t)uetes& Polticas Jerberos no e4iste# na Poltica de 5o#putador Eocal&
Eondres co#o suporte B locali$ao e# Eondres e outras locali$a%es& 3ecente#ente* a -& 2atu# i#plantou u#a in raestrutura do Windows .erver 2012 co# clientes Windows :& <oc( trabal8a para a -& 2atu# 8+ v+rios anos co#o especialista e# suporte para desFtop& @este cargo* voc( visitou co#putadores desFtop para solucionar proble#as co# aplicativos e redes& 3ecente#ente* voc( aceitou u#a pro#oo para trabal8ar na e)uipe de suporte a servidores& 5o#o novo #e#bro da e)uipe* voc( ajuda a i#plantar e a con igurar novos servidores e servios na in raestrutura e4istente co# base nas instru%es recebidas do gerente de !"& .eu gerente l8e deu algu#as con igura%es de segurana )ue precisa# ser i#ple#entadas e# todos os servidores #e#bros& <oc( ta#b,# precisa i#ple#entar a auditoria do siste#a de ar)uivos para u# co#partil8a#ento de ar)uivos usado pelo departa#ento de MarFeting& 6inal#ente* voc( precisa i#ple#entar a auditoria para logons de do#nio&
Objetivos
2epois de concluir este laboratrio* voc( ser+ capa$ de: 1 Csar a Poltica de Grupo para proteger servidores #e#bros& 1 -uditar o acesso ao siste#a de ar)uivos& 1 -uditar logons de do#nio&
#onfigurao do laborat)rio
!e#po previsto: T0 #inutos
M+)uinas virtuais
@o#e de usu+rio
-2-!CMK-d#inistrador
.en8a
PaUUw0rd
@este laboratrio* voc( usar+ o a#biente de #+)uina virtual disponvel& -ntes de iniciar o laboratrio* voc( deve concluir as seguintes etapas: 1& @o co#putador 8ost* cli)ue e# .niciar* aponte para %erramentas Administrati as e cli)ue e# Berenciador do CDper=V& 2& @o Gerenciador do NAper=</* cli)ue e# 2##1E'=L)F=D$1 e* no painel -%es* cli)ue e# .niciar& R& @o painel -%es* cli)ue e# $onectar& 9spere at, )ue a #+)uina virtual seja iniciada& P& 9ntre usando as seguintes credenciais: o o O& @o#e de usu+rio: ADA6@>9Administrador .en8a: 2aGGwErd
3epita as etapas de 2 a P para 2##1E'=L)F=&V"1 e as etapas 2 e R para 2##1E'=L)F=$L1& @o entre e# EO@=5E1 at, receber instru%es&
Cenrio - e#presa -& 2atu# usa o grupo de -d#inistradores do 5o#putador para ornecer aos ad#inistradores per#iss%es para ad#inistrar servidores #e#bros& 5o#o parte do processo de instalao de u# novo servidor* o grupo de -d#inistradores do 5o#putador no do#nio , adicionado ao grupo de -d#inistradores local no novo servidor& 3ecente#ente* essa etapa i#portante no era eita durante a con igurao de v+rios novos servidores #e#bros& Para assegurar )ue o grupo de -d#inistradores do 5o#putador se#pre receba per#isso para gerenciar servidores #e#bros* o gerente pediu para voc( criar u#
GPO )ue de ina a associao do grupo local de -d#inistradores e# servidores #e#bros* de or#a a incluir -d#inistradores de .ervidor de 5o#putador& 9sse GPO ta#b,# precisa 8abilitar o Modo de -provao de -d#inistrador para o 5ontrole de 5onta de Csu+rio& -s principais tare as deste e4erccio so: 1& 5riar u#a CO >unidade organi$acional? de .ervidores Me#bros e #over servidores at, ela 2& R& 5riar u# grupo de -d#inistradores de .ervidor 5riar u# GPO >Objeto de Poltica de Grupo? de 5on igura%es de .egurana de .ervidores Me#bros e vincul+=lo B CO de .ervidores Me#bros P& 5on igurar a associao de grupo para ad#inistradores locais de or#a a incluir -d#inistradores de .ervidor e -d#inistradores de 2o#nio O& <eri icar se o grupo -d#inistradores do 5o#putador oi adicionado ao grupo de -d#inistradores local T& Modi icar o GPO de 5on igura%es de .egurana de .ervidores Me#bros para re#over Csu+rios de Per#itir logon local#ente V& Modi icar o GPO de 5on igura%es de .egurana de .ervidores Me#bros para 8abilitar 5ontrole de 5onta de Csu+rio: Modo de -provao de -d#inistrador para a conta de ad#inistrador interno :& <eri icar se u# usu+rio no ad#inistrativo no consegue a$er logon e# u# servidor #e#bro
ervidores 2embros e
1& 2&
9# EO@=251* abra @su:rios e $omputadores do Acti e DirectorD& 5rie u#a nova CO deno#inada @) de &er idores >embros&
R&
ervidor
1 9# EO@=251* e# @) de &er idores >embros* crie u# novo grupo de segurana global c8a#ado Administradores de &er idor&
.arefa 5: #riar um -PO /Objeto de Poltica de -rupo1 de #onfigura$es de egurana de ervidores 2embros e vincul"6lo 7 %O de ervidores 2embros
1& 2&
9# EO@=251* abra o $onsole de Berenciamento de 2ol3tica de Brupo& @o GPM5 >5onsole de Gerencia#ento de Poltica de Grupo?* no cont(iner Objetos de Poltica de Grupo* crie u# novo B2) co# o no#e $onfiguraes de &egurana de &er idores >embros&
R&
@o 5onsole de Gerencia#ento de Poltica de Grupo* vincule as $onfiguraes de &egurana de &er idores >embros B @) de &er idores >embros&
.arefa 8: #onfigurar a associao de grupo para administradores locais de forma a incluir Administradores de ervidor e Administradores de Domnio
9# EO@=251* abra o $onsole de Berenciamento de 2ol3tica de Brupo& 9dite a 2ol3tica de Dom3nio 2adro& @avegue at, $onfigurao do $omputador* cli)ue e# 2ol3ticas* cli)ue e# $onfiguraes do Windows* cli)ue e# $onfiguraes de &egurana e depois cli)ue e# Brupos restritos&
P&
O&
.arefa 9: :erificar se o grupo Administradores do #omputador foi adicionado ao grupo de Administradores local
1&
2&
-bra u#a janela do Windows Power.8ell/ e* no pro#pt de co#ando do Windows Power.8ell* digite o seguinte co#ando:
Gpupdate /force
R&
-bra o Berenciador do &er idor* abra o console Berenciamento do computador e e4panda @su:rios e Brupos Locais&
P&
5on ir#e )ue o grupo Administradores cont,# tanto ADA6@>9Admins, Do dom3nio e ADA6@>9Administradores de &er idor co#o #e#bros&
O&
.arefa ;: 2odificar o -PO de #onfigura$es de egurana de ervidores 2embros para remover %su"rios de Permitir logon localmente
1& 2&
-lterne para L)F=D$1& 9# EO@=251* no GPM5* edite o GPO de $onfiguraes de &egurana de &er idores de >embros&
R&
@a janela 9ditor de Gerencia#ento de Polticas de Grupo* navegue at, $onfigurao do $omputador92ol3ticas9$onfiguraes do Windows9$onfiguraes de segurana9 2ol3ticas locais9Atribuio de direitos de usu:rio e con igure 2ermitir logon local para os grupos de segurana Admins, Do dom3nio e Administradores&
.arefa <: 2odificar o -PO de #onfigura$es de egurana de ervidores 2embros para habilitar #ontrole de #onta de %su"rio: 2odo de Aprovao de Administrador para a conta de administrador interno
1&
9# EO@=251* na janela 9ditor do Gerencia#ento de Polticas de Grupo* navegue at, $onfigurao do $omputador92ol3ticas9$onfiguraes do Windows9$onfiguraes de segurana92ol3ticas locais9)pes de &egurana&
2&
Nabilite $ontrole de $onta de @su:rio: >odo de Apro ao de Administrador para a conta de administrador interno&
R&
1& 2&
-lterne para EO@=.<31& -bra u#a janela do Windows Power.8ell e* no pro#pt do Windows Power.8ell* digite o seguinte co#ando:
Gpupdate /force
.aia de EO@=.<31& !ente entrar e# L)F=&V"1 co#o ADA6@>9Adam co# a sen8a 2aGGwErd& <eri i)ue se voc( no consegue entrar e# EO@=.<31& Para se preparar para o pr4i#o e4erccio* aa logo de EO@=.<31 e volte a a$er logon e# EO@=.<31 co#o ADA6@>9Administrador co# a sen8a 2aGGwErd&
"esultados: -o ter#inar este e4erccio* voc( ter+ usado a Poltica de Grupo para proteger servidores Me#bro&
Cenrio O gerente do departa#ento de MarFeting est+ preocupado por)ue no , possvel controlar )ue# est+ acessando os ar)uivos )ue esto no co#partil8a#ento de ar)uivos do departa#ento& .eu gerente e4plicou )ue so#ente os usu+rios co# per#iss%es esto autori$ados a acessar os ar)uivos& @o entanto* o gerente do departa#ento de MarFeting gostaria de tentar registrar o acesso aos ar)uivos )ue esto no co#partil8a#ento de ar)uivos para ver )uais usu+rios esto acessando ar)uivos espec icos& .eu gerente l8e pediu para 8abilitar a auditoria para o siste#a de ar)uivos )ue se encontra no co#partil8a#ento de ar)uivos do departa#ento de MarFeting e para analisar os resultados co# o gerente do departa#ento de MarFeting& -s principais tare as deste e4erccio so: 1& Modi icar o GPO de 5on igura%es de .egurana de .ervidores Me#bros para 8abilitar a auditoria de acesso a objetos 2& R& P& O& 5riar e co#partil8ar u#a pasta Nabilitar a auditoria na pasta MarFeting para Csu+rios de 2o#nio 5riar u# novo ar)uivo no co#partil8a#ento de ar)uivos a partir de EO@=5E1 <er os resultados no log de segurana no controlador de do#nio
.arefa ,: 2odificar o -PO de #onfigura$es de egurana de 2embros para habilitar a auditoria de acesso a objetos
ervidores
-lterne para L)F=D$1& 9ntre e# L)F=D$1 co#o ADA6@>9Administrador co# a sen8a 2aGGwErd& @o GPM5* edite o GPO de $onfiguraes de &egurana de &er idores >embros&
P&
@a janela 9ditor do Gerencia#ento de Polticas de Grupo* navegue at, $onfigurao do $omputador92ol3ticas9$onfiguraes do Windows9$onfiguraes de segurana9 2ol3ticas locais92ol3tica de auditoria&
O& T&
Nabilite Auditoria de acesso a obAetos co# con igura%es de H;ito e %al*a& .aia de EO@=251&
-lterne para L)F=&V"1& 9ntre e# L)F=&V"1 co#o ADA6@>9Administrador co# a sen8a 2aGGwErd& 9# EO@=.<31* na unidade 5* crie u#a nova pasta co# o no#e >ar(eting& 5on igure a pasta >ar(eting co# per#iss%es de co#partil8a#ento de Leitura+Bra ao para o usu+rio Adam&
1&
9# EO@=.<31* na janela 2isco Eocal >5:?* de ina a auditoria na pasta >ar(eting* co# as seguintes con igura%es: o o o .elecionar u#a entidade de segurana: @su:rios do dom3nio !ipo: 6odas Per#isso: Ler e e;ecutarI Listar conte<do da pastaI LerI Bra ar
o 2&
gpupdate /force
-lterne para L)F=$L1& 9ntre e# L)F=$L1 co#o ADA6@>9Administrador co# a sen8a 2aGGwErd& -bra u#a janela de Pro#pt de 5o#ando e digite o seguinte co#ando:
gpupdate /force
P& O&
6ec8e a janela Pro#pt de 5o#ando& .aia de EO@=5E1 e depois entre nova#ente co#o ADA6@>9Adam co# a sen8a 2aGGwErd&
T&
V& :&
1&
2&
R&
<eri i)ue se os seguintes eventos e in or#a%es so e4ibidos: 1 Orige#: >icrosoft Windows securitD auditing 1 "2 do 9vento: #00! 1 5ategoria da tare a: &istema de ar8ui os 1 !entativa de acessar u# objeto&
"esultados: -o ter#inar este e4erccio* voc( dever+ ter 8abilitado a auditoria de acesso ao siste#a de ar)uivos&
Cenrio -ps u#a reviso segurana* o co#it( de poltica de !" decidiu co#ear a aco#pan8ar todos os logons de usu+rios no do#nio& .eu gerente l8e pediu para 8abilitar a auditoria de logons de do#nio e veri icar se esse recurso est+ uncionando& -s principais tare as deste e4erccio so: 1& 2& R& P& O& T& Modi icar o GPO de Poltica de 2o#nio Padro 94ecute GPCpdate 9ntrar e# EO@=5E1 co# u#a sen8a incorreta -nalisar logs de eventos e# EO@=251 9ntrar e# EO@=5E1 co# a sen8a correta -nalisar logs de eventos e# EO@=251
-lterne para L)F=D$1& 9ntre e# L)F=D$1 co#o ADA6@>9Administrador co# a sen8a 2aGGwErd& 9# EO@=251* inicie o Berenciador do &er idor e* no Gerenciador do .ervidor* inicie o B2>$&
P& O&
9# EO@=251* no GPM5* edite o GPO 2ol3tica de Dom3nio 2adro& @a janela 9ditor do Gerencia#ento de Polticas de Grupo* navegue at, $onfigurao do $omputador92ol3ticas9$onfiguraes do Windows9$onfiguraes de segurana9 2ol3ticas locais92ol3tica de auditoria&
T&
Nabilite Auditoria de e entos de logon de conta co# con igura%es de H;ito e %al*a&
V&
-lterne para L)F=$L1& 9ntre e# L)F=$L1 co#o ADA6@>9Administrador co# a sen8a 2aGGwErd& -bra u#a janela de Pro#pt de 5o#ando e digite o seguinte co#ando:
gpupdate /force
P&
)bser ao: 9ssa sen8a est+ proposital#ente incorreta para gerar u#a entrada de log de segurana )ue #ostra )ue oi eita u#a tentativa #al sucedida de logon&
1& 2&
9# EO@=251* inicie o Visuali7ador de ? entos& @a janela <isuali$ador de 9ventos* e4panda Logs do Windows e cli)ue e# &egurana&
R&
94a#ine os logs de eventos e# busca da seguinte #ensage#: W.D do ? ento #111 %al*a na pr4=autenticao do Jerberos, .nformaes da conta: .D de &egurana: ADA6@>9Adam&X
)bser ao: 9ssa sen8a est+ correta* e voc( deve ser capa$ de entrar co# sucesso co#o Adam&
1& 2&
9# EO@=251* inicie o Visuali7ador de ? entos& @a janela <isuali$ador de 9ventos* e4panda Logs do Windows e cli)ue e# &egurana&
R&
94a#ine os logs de eventos e# busca da seguinte #ensage#: Y.D do ? ento #02# ) logon de uma conta foi conectada com K;ito, Fo o Logon: .D de &egurana: ADA6@>9Adam&X
"esultados: -o ter#inar este e4erccio* voc( ter+ 8abilitado a auditoria de logon de do#nio&
Objetivos da lio
-o concluir esta lio* voc( ser+ capa$ de: 1 94plicar co#o usar polticas de restrio de so tware para i#pedir a e4ecuo de so twares no autori$ados e# servidores e clientes&
1 2escrever a inalidade do -ppEocFer/& 1 2escrever regras do -ppEocFer e co#o us+=las para i#pedir a e4ecuo de so twares no autori$ados e# servidores e clientes& 1 2escrever co#o criar regras do -ppEocFer&
"ntrodu$idas nos siste#as operacionais Windows [P e Windows .erver 200R* .3Ps >polticas de restrio de so tware? ornece# aos ad#inistradores erra#entas )ue eles pode# usar para identi icar e especi icar )uais aplicativos t(# per#isso para sere# e4ecutados e# co#putadores cliente& <oc( con igura e i#planta con igura%es de .3P e# clientes usando a Poltica de Grupo& .3Ps so usadas no Windows .erver 2012 para ornecer co#patibilidade co# o Windows [P e o Windows <ista/& C#a .3P , co#posta de regras e nveis de segurana&
!egras
3egras deter#ina# co#o a .3P responde a u# aplicativo )ue est+ sendo e4ecutado ou instalado& 9las so as principais constru%es e# u#a .3P* e u# grupo de regras deter#ina co#o u#a .3P responde a aplicativos )ue esto sendo e4ecutados& 3egras pode# se basear e# u# dos seguintes crit,rios )ue se aplica# ao ar)uivo e4ecut+vel principal do aplicativo e# )uesto:
1 Nas8& C#a i#presso digital criptogr+ ica do ar)uivo& 1 5erti icado& C# certi icado de ornecedor de so tware )ue , usado para assinar digital#ente u# ar)uivo& 1 5a#in8o& O ca#in8o local ou C@5 no )ual o ar)uivo est+ ar#a$enado& 1 Sona& - $ona da "nternet&
Avel de egurana
5ada .3P aplicada recebe u# nvel de segurana )ue deter#ina de )ue #odo o siste#a operacional reage )uando o aplicativo )ue est+ de inido na regra , e4ecutado& -s tr(s con igura%es de nvel de segurana disponveis so as seguintes: 1 Fo 2ermitido& O so tware identi icado na regra no ser+ e4ecutado* independente#ente dos direitos de acesso do usu+rio& 1 @su:rio ':sico& Per#ite )ue o so tware identi icado na regra seja e4ecutado co#o u# usu+rio no ad#inistrativo padro&
1 .rrestrito& Per#ite )ue o so tware identi icado na regra seja e4ecutado se# restri%es pela .3P& Csando essas tr(s con igura%es* e4iste# tr(s #aneiras principais de usar .3Ps: 1 .e u# ad#inistrador tiver u#a lista co#pleta de todos os so twares )ue deve# ter autori$ao para sere# e4ecutados e# clientes* o @vel de .egurana Padro poder+ ser de inido co#o Fo 2ermitido& !odos os aplicativos )ue deve# ter autori$ao para sere# e4ecutados pode# ser identi icados nas regras de .3P )ue aplicaria# o nvel de segurana @su:rio ':sico ou .rrestrito a cada aplicativo* dependendo dos re)uisitos de segurana& 1 .e u# ad#inistrador no tiver u#a lista co#pleta dos so twares )ue deve# ter autori$ao para sere# e4ecutados e# clientes* o @vel de .egurana Padro poder+ ser de inido co#o .rrestrito ou @su:rio ':sico* dependendo dos re)uisitos de segurana& 'ual)uer aplicativo )ue no deve ter autori$ao para ser
e4ecutado pode ser identi icado co# o uso de regras de .3P* )ue usaria# u#a con igurao de nvel de segurana Fo 2ermitido&
5on igura%es de Polticas de 3estrio de .o twares esto disponveis e# Poltica de Grupo* no seguinte local: 5on igurao do 5o#putadorKPolticasK5on igura%es do WindowsK5on igura%es de .eguranaK Polticas de 3estrio de .o twares&
O 'ue 3 App@oc?erC
O -ppEocFer* introdu$ido nos siste#as operacionais Windows V e Windows .erver 200: 32* , u# recurso de con igurao de segurana )ue controla )uais aplicativos os usu+rios esto autori$ados a e4ecutar& O -ppEocFer o erece aos ad#inistradores u#a a#pla variedade de #,todos para deter#inar de #aneira r+pida e concisa a identidade de aplicativos )ue eles pode# )uerer restringir ou aos )uais eles pode# )uerer per#itir acesso& <oc( aplica o -ppEocFer atrav,s da Poltica de Grupo a objetos de co#putador dentro de u#a CO& <oc( ta#b,# pode aplicar regras de -ppEocFer individuais a usu+rios ou grupos individuais do -2 2.& O -ppEocFer ta#b,# cont,# op%es para #onitorar ou auditar a aplicao de regras& O -ppEocFer pode ajudar as organi$a%es a evitar a e4ecuo de so twares se# licena ou #al=intencionados* al,# de poder restringir a instalao de controles -ctive[/& 9le ta#b,# pode redu$ir o custo total de propriedade* garantindo )ue as esta%es de trabal8o seja# padroni$ados e# toda a e#presa e )ue os usu+rios esteja# e4ecutando apenas os so twares e os aplicativos aprovados pela e#presa&
Csando a tecnologia -ppEocFer* as e#presas pode# redu$ir a sobrecarga ad#inistrativa e ajudar os ad#inistradores a controlar co#o os usu+rios pode# acessar e usar ar)uivos* co#o ar)uivos &e4e* scripts* ar)uivos do Windows "nstaller >&#si e &#sp? e 2EEs& <oc( pode usar o -ppEocFer para restringir so twares )ue: 1 @o t(# per#isso para sere# usados na e#presa& Por e4e#plo* so twares )ue possa# atrapal8ar a produtividade dos uncion+rios* co#o so twares de rede social* ou so twares )ue trans#ita# ar)uivos de vdeo ou i#agens usando u#a grande )uantidade de largura de banda de rede e espao e# disco& 1 @o so #ais usados ou ora# substitudos por u#a verso #ais recente& Por e4e#plo* so twares para os )uais no e4iste #ais #anuteno ou cujas licenas e4pirara#& 1 @o t(# #ais suporte na e#presa& .o twares )ue no esto atuali$ados co# atuali$a%es de segurana pode# representar u# risco de segurana& 1 2eve ser usados apenas por departa#entos espec icos&
<oc( pode de inir con igura%es do -ppEocFer navegando no GPM5 at,: 5on igurao do 5o#putadorK PolticasK5on igura%es do WindowsK5on igura%es de .eguranaKPolticas de 5ontrole de -plicativo&
)bser ao: O -ppEocFer utili$a o servio de "dentidade de -plicativo para veri icar os atributos de u# ar)uivo& 9sse servio deve ser con igurado para ser iniciado auto#atica#ente e# cada co#putador no )ual o -ppEocFer deve ser aplicado& .e o servio de "dentidade de -plicativo no estiver e# e4ecuo* polticas do -ppEocFer no sero aplicadas&
Leitura adicional: Para obter #ais in or#a%es sobre o -ppEocFer* consulte a viso geral do -ppEocFer e# *ttp:++go,microsoft,com+fwlin(+-Lin(.D/2001#L&
!egras do App@oc?er
O -ppEocFer de ine regras baseadas e# atributos de ar)uivos )ue so derivados da assinatura digital do ar)uivo& -tributos de ar)uivos na assinatura digital inclue#: 1 @o#e do ornecedor 1 @o#e do produto 1 @o#e do ar)uivo 1 <erso do ar)uivo
#onfigurao padro
Por padro* no 8+ polticas do -pplocFer de inidas* o )ue signi ica )ue no 8+ aplicativos blo)ueados& M possvel con igurar regras padro para cada coleo de regras& -s regras padro garante# )ue os aplicativos nos diretrios -r)uivos de Progra#as e Windows t(# per#isso para sere# e4ecutados e )ue ne# todos os aplicativos pode# ser e4ecutados para o grupo -d#inistradores& -s regras padro deve# ser 8abilitadas se voc( pretende i#ple#entar as polticas do -pplocFer* j+ )ue esses aplicativos so necess+rios para )ue os siste#as operacionais Windows seja# e4ecutados e operados nor#al#ente&
e# regras li#ita a e4ecuo de aplicativos a u#a lista per#itida de aplicativos* blo)ueando todo o resto& - ao Fegar e# regras te# u#a abordage# oposta e per#ite a e4ecuo de )ual)uer aplicativo* e4ceto a)ueles e# u#a lista de aplicativos negados& 9ssas a%es ta#b,# ornecer u# #eio de identi icar e4ce%es a essas a%es&
*tapas da demonstrao #riar um -PO para impor as regras padro de *+ecut"veis do App@oc?er
1& 2& R& P& 9ntre co#o ADA6@>9Administrator co# a sen8a 2aGGwErd& 9# EO@=251* abra o B2>$& 5rie u#a nova GPO deno#inada 2ol3tica de "estrio do Word2ad& 9dite as $onfiguraes de &egurana de 2ol3tica de "estrio do Word2ad usando o AppLoc(er para criar u#a nova "egra de ?;ecut: el& O& 2e ina a per#isso da nova regra co#o Fegar* a condio co#o %ornecedor e selecione wordpad,e;e& .e solicitado* cli)ue e# )J para criar regras padro&
T&
@o 9ditor de Gerencia#ento de Polticas de Grupo* navegue at, $onfigurao do $omputador9 2ol3ticas9$onfiguraes do Windows9$onfiguraes de segurana92ol3tica de $ontrole de Aplicati o9 AppLoc(er&
V& :&
9# AppLoc(er* con igure a i#posio co# .mpor regras& @o ?ditor de Berenciamento de 2ol3ticas de Brupo* navegue at, $onfigurao do $omputador9 2ol3ticas9$onfiguraes do Windows9$onfiguraes de segurana9&er ios do sistema&
Q&
5on igure 2ropriedades de .dentidade de Aplicati o co# Definir esta configurao de pol3tica e &elecionar o modo de iniciali7ao do ser io co# Autom:tico&
'egurana !"anada
O 6irewall do Windows co# .egurana -vanada , u#a erra#enta i#portante para #el8orar a segurana do Windows .erver 2012& 9sse snap=in ajuda a i#pedir v+rios proble#as de segurana di erentes* co#o varredura de portas ou #alware& O 6irewall do Windows co# .egurana -vanada te# v+rios per is de irewall* cada u# dos )uais aplicando con igura%es e4clusivas a di erentes tipos de redes& <oc( pode con igurar regras do 6irewall do Windows #anual#ente e# cada servidor* ou pode con igur+=las central#ente usando a Poltica de Grupo&
Objetivos da lio
-o concluir esta lio* voc( ser+ capa$ de: 1 2escrever os recursos do 6irewall do Windows co# .egurana -vanada& 1 94pli)ue por )ue u# irewall baseado e# 8ost , i#portante& 1 2escrever per is de irewall& 1 2escreva regras de segurana de cone4o& 1 94pli)ue co#o i#plantar regras do 6irewall do Windows&
O 6irewall do Windows , u# irewall baseado e# 8ost includo no Windows .erver 2012& 9sse snap=in , e4ecutado no co#putador local e restringe o acesso B rede para
e a partir desse co#putador& -o contr+rio de u# irewall de per#etro* )ue o erece proteo apenas contra a#eaas na "nternet* u# irewall baseado e# 8ost o erece proteo contra a#eaas de onde )uer )ue eles se origine#& Por e4e#plo* o 6irewall do Windows protege u# 8ost contra u#a a#eaa na E-@ >rede local?&
O 6irewall do Windows co# .egurana -vanada , u# snap=in do MM5 >5onsole de Gerencia#ento Microso t? )ue per#ite reali$ar a con igurao avanada do 6irewall do Windows& O 6irewall do Windows no Windows : e no Windows .erver 2012 o erece os seguintes recursos: 1 O erece suporte para iltrage# no tr+ ego de entrada e de sada& 1 "ntegra con igura%es de iltrage# de irewall e proteo "Psec& 1 Per#ite )ue voc( con igure regras para controlar o tr+ ego de rede& 1 6ornece per is co# recon8eci#ento do local de rede& 1 Per#ite i#portar ou e4portar polticas&
<oc( pode con igurar o 6irewall do Windows e# cada co#putador individual#ente ou co# a Poltica de Grupo e#: 5on igurao do 5o#putadorKPolticasK5on igura%es do WindowsK 5on igura%es de .eguranaK6irewall do Windows co# .egurana -vanada
)bser ao: O Windows .erver 2012 introdu$ a opo adicional de ad#inistrar o 6irewall do Windows usando a inter ace de lin8a de co#ando do Windows Power.8ell&
94a#ine a pergunta e# )uesto e participe de u#a discusso para identi icar os bene cios de usar u# irewall baseado e# 8ost* co#o o 6irewall do Windows co# .egurana -vanada& 2ergunta: por )ue , i#portante usar u# irewall baseado e# 8ost* co#o o 6irewall do Windows co# .egurana -vanadaG
Perfis de fireBall
O 6irewall do Windows co# .egurana -vanada usa per is de irewall para ornecer u#a con igurao consistente para redes de u# tipo espec ico e per#ite )ue voc( de ina u#a rede ou co#o rede de do#nio* rede p;blica ou rede privada& 5o# o 6irewall do Windows co# .egurana -vanada* voc( pode de inir u# conjunto de con igura%es para cada tipo de rede& 5ada conjunto de con igura%es , c8a#ado de perfil de fire!all& -s regras de irewall so ativadas so#ente para per is de irewall espec icos& O 6irewall do Windows co# .egurana -vanada inclui os per is na tabela a seguir&
2erfil
P;blico
Descrio
Cse )uando voc( estiver conectado a u#a rede p;blica no con i+vel& - no ser pelas redes de do#nio* todas as redes so classi icadas co#o P;blicas& Por padro* o per il P;blico >)ue , o #ais restritivo? , usado no Windows <ista* no Windows V e no Windows :&
Privado
Cse )uando voc( estiver conectado atr+s de u# irewall& C#a rede , classi icada co#o Privada so#ente )uando u# ad#inistrador ou u# aplicativo a identi ica co#o privada& -s redes #arcadas co#o 2o#,stica ou 5orporativa no Windows <ista* no Windows V e no Windows : so adicionadas ao per il Particular&
2o#nio
Cse )uando o seu co#putador i$er parte de u# do#nio do siste#a operacional Windows& .iste#as operacionais Windows identi ica# auto#atica#ente as redes nas )uais eles pode# autenticar o acesso ao controlador de do#nio& O per il 2o#nio ,atribudo a essas redes* e essa con igurao no pode ser alterada& @en8u#a outra rede pode ser colocada nessa categoria&
O Windows .erver 2012 per#ite )ue v+rios per is de irewall i)ue# ativos e# servidor ao #es#o te#po& "sso signi ica )ue u# servidor #ulti8o#ed )ue esteja conectado B rede interna e B rede de per#etro pode aplicar o per il de irewall de do#nio B rede interna e o per il de irewall p;blico ou privado B rede de per#etro&
C#a regra de segurana de cone4o ora a autenticao entre dois co#putadores de #es#o nvel para )ue eles possa# estabelecer a co#unicao e trans#itir in or#a%es seguras& 9la ta#b,# protege esse tr+ ego criptogra ando os dados )ue so trans#itidos entre co#putadores& O 6irewall do Windows co# .egurana -vanada usa o "Psec para i#por essas regras&
-s regras de segurana de cone4o con igur+veis so: 1 "sola#ento& u#a regra de isola#ento isola os co#putadores* restringindo as cone4%es co# base e# credenciais* co#o associao do do#nio e status de integridade& -s regras de isola#ento per#ite# a i#ple#entao de u#a estrat,gia de isola#ento para servidores ou do#nios& 1 "seno de -utenticao& voc( pode usar u#a iseno de autenticao para designar cone4%es )ue no e4ige# autenticao& M possvel designar co#putadores por u# endereo "P espec ico* u# intervalo de endereos "P* u#a sub=rede ou por u# grupo prede inido* co#o u# gatewaA& 1 .ervidor=a=.ervidor& u#a regra de servidor a servidor protege as cone4%es entre co#putadores espec icos& Geral#ente* esse tipo de regra protege as cone4%es entre servidores& -o criar a regra* especi i)ue os pontos de e4tre#idade da rede entre os )uais as co#unica%es so protegidas& 9# seguida* designe os re)uisitos e a autenticao )ue voc( deseja usar&
1 "#nel& 5o# u#a regra de t;nel* voc( pode proteger cone4%es entre co#putadores de gatewaA& @or#al#ente* voc( usaria u#a regra de t;nel ao conectar=se atrav,s da "nternet entre dois gatewaAs de segurana& 1 Personali$ada& Cse u#a regra personali$ada para autenticar cone4%es entre dois pontos de e4tre#idade )uando voc( no pode con igurar regras de autenticao necess+rias usando as outras regras disponveis no novo -ssistente para @ova 3egra de .egurana de 5one4o&
- or#a co#o voc( i#planta as regras do 6irewall do Windows , u# ponto i#portante& 9scol8er o #,todo apropriado garante )ue as regras seja# i#plantadas precisa#ente e co# es oro #ni#o& <oc( pode i#plantar as regras de 6irewall do Windows das seguintes #aneiras: 1 Manual#ente& <oc( pode con igurar regras de irewall individual#ente e# cada servidor& @o entanto* e# u# a#biente co# #ais de alguns servidores* esse processo , trabal8oso e propenso a erros& 9sse #,todo geral#ente , usado so#ente durante testes e na soluo de proble#as& 1 Cso de Poltica de Grupo& - #aneira pre erencial de distribuir regras de irewall , usando a Poltica de Grupo& 2epois de criar e testar u# GPO co# as regras de irewall necess+rias* voc( pode i#plant+=las rapida#ente e co# preciso e# v+rios co#putadores& 1 94portando e i#portando regras de irewall& O 6irewall do Windows 6irewall co# .egurana -vanada ta#b,# d+ a voc( a opo de i#portar e e4portar regras de irewall& <oc( pode e4portar regras de irewall para criar u# bacFup antes de con igurar #anual#ente as regras de irewall durante o processo de soluo de proble#as&
)bser ao: 'uando voc( i#porta regras de irewall* elas so tratadas co#o u# conjunto co#pleto e substitue# todas as regras de irewall atual#ente con iguradas&
Objetivos
2epois de concluir este laboratrio* voc( ser+ capa$ de: 1 5on igurar polticas do -ppEocFer& 1 5on igurar o 6irewall do Windows&
#onfigurao do laborat)rio
!e#po previsto: T0 #inutos
@este laboratrio* voc( usar+ o a#biente de #+)uina virtual disponvel& -ntes de iniciar o laboratrio* e4ecute as etapas a seguir: 1& @o co#putador 8ost* cli)ue e# .niciar* aponte para %erramentas Administrati as e cli)ue e# Berenciador do CDper=V&
2&
R&
.e necess+rio* entre usando as seguintes credenciais: o o @o#e de usu+rio: ADA6@>9Administrador .en8a: 2aGGwErd
P&
Cenrio .eu gerente l8e pediu para con igurar novas polticas de -ppEocFer para controlar o uso de aplica%es nas +reas de trabal8o dos usu+rios& - nova con igurao deve per#itir )ue progra#as seja# e4ecutados apenas a partir de locais aprovados& !odos os usu+rios deve# ser capa$es de e4ecutar aplicativos a partir do diretrio
5:KWindows e de 5:K-r)uivos de Progra#as& <oc( ta#b,# precisa adicionar u#a e4ceo para e4ecutar u# aplicativo personali$ado )ue reside e# u# local no padro& - pri#eira ase da i#ple#entao registrar+ a con or#idade co# regras& - segunda ase de i#ple#entao i#pedir+ )ue progra#as no autori$ados seja# e4ecutados& -s principais tare as deste e4erccio so: 1& 2& R& 5riar u#a CO para co#putadores cliente Mover EO@=5E1 at, a CO de 5o#putadores 5liente 5riar u# GPO de controle de so tware e vincul+=lo B CO de 5o#putadores 5liente P& 94ecutar GPCpdate
94ecutar app1&bat na pasta 5:K5usto#-pp <isuali$ar eventos do -ppEocFer/ e# u# log de eventos 5riar u#a regra )ue per#ita a e4ecuo do so tware a partir de u# local espec ico
:& Q&
Modi icar o GPO de 5ontrole de .o tware para i#por regras <eri icar se u# aplicativo ainda pode ser e4ecutado
-lterne para L)F=D$1& -bra @su:rios e $omputadores do Acti e DirectorD& 5rie u#a nova CO deno#inada @) de $omputadores $liente&
1 9# EO@=251* no console Csu+rios e 5o#putadores do -ctive 2irectorA* #ova L)F=$L1 at, @) de $omputadores $liente&
1& 2&
9# EO@=251* abra o B2>$& @o GPM5* no cont(iner Objetos de Poltica de Grupo* crie u# novo GPO co# o no#e B2) de $ontrole de &oftware&
R& P&
9dite o GPO de 5ontrole de .o tware& @a janela 9ditor de Gerencia#ento de Polticas de Grupo* navegue at, $onfigurao do $omputador+2ol3ticas+$onfiguraes do Windows+ $onfiguraes de segurana+2ol3ticas de $ontrole de Aplicati o+AppLoc(er&
O&
5rie regras padro para o seguinte: o o o o "egras de ?;ecut: eis "egras do Windows .nstaller "egras de &cript "egras de aplicati os empacotados
T&
5on igure a i#posio de regras co# a opo &omente auditoria para o seguinte: o o "egras ?;ecut: eis "egras do Windows .nstaller
o o V&
@o 9ditor de Gerencia#ento de Polticas de Grupo* navegue at, $onfigurao do $omputador9$onfiguraes do Windows9$onfiguraes de segurana* cli)ue e# &er ios do sistema e depois cli)ue duas ve$es e# .dentidade de Aplicati o&
:&
@a cai4a de di+logo 2ropriedades de .dentidade de Aplicati o* cli)ue e# Definir esta configurao de pol3tica e* e# &elecionar modo de iniciali7ao do ser io* cli)ue e# Autom:tico e depois cli)ue e# )J&
Q&
1& 2&
-lterne para L)F=$L1& -bra u#a janela de Pro#pt de 5o#ando e digite o seguinte co#ando:
gpupdate /force
R&
1& 2&
9ntre e# L)F=$L1 co#o ADA6@>9Administrador co# a sen8a 2aGGwErd& 9# u# pro#pt de co#ando* digite o co#ando a seguir e pressione 9nter:
gpresult /R
-nalise o resultado do co#ando e veri i)ue se o B2) de $ontrole de &oftware est+ e4ibido e# 5on igura%es do 5o#putador* Objeto de Poltica de Grupo -plicados& .e o B2) de $ontrole de &oftware no estiver visvel* reinicie EO@= 5E1 e repita as etapas 1 e 2& R& 9# u# pro#pt de co#ando* digite o co#ando a seguir e pressione 9nter:
C:\CustomApp\app1.bat
1& 2&
9# EO@=5E1* inicie o Visuali7ador de ? entos& @a janela do <isuali$ador de 9ventos* navegue at, Logs de Aplicati os e &er ios+>icrosoft+ Windows+AppLoc(er e revise os eventos&
R&
5li)ue e# >&. e &cripts e analise o log de eventos :00O )ue cont,# o seguinte te4to: M)&D".V?M9$@&6)>A229A221,'A6 permitido para e;ecuo&
)bser ao: .e nen8u# evento or e4ibido* veri i)ue se o servio de "dentidade de -plicativo oi iniciado e tente de novo&
.arefa <: #riar uma regra 'ue permita a e+ecuo do softBare a partir de um local especfico
1& 2&
9# EO@=251* edite o GPO de 5ontrole de .o tware& @avegue at, o seguinte local de de inio: $onfigurao do $omputador+ 2ol3ticas+$onfiguraes do Windows+$onfiguraes de segurana+
2ol3ticas de $ontrole de Aplicati o+AppLoc(er& R& 5rie u#a nova regra de script co# a seguinte con igurao: o o o o Per#iss%es: 2ermitir 5ondi%es: $amin*o 5a#in8o: M)&D".V?M9$ustomApp9app1,bat @o#e e 2escrio: "egra de Aplicati o 2ersonali7ado
1&
Cse a opo .mpor regras para con igurar a i#posio de regras para o seguinte: o o o o "egras e;ecut: eis "egras do Windows .nstaller "egras de &cript "egras para aplicati os empacotados
2&
1& 2&
-lterne para L)F=$L1& -bra u#a janela de Pro#pt de 5o#ando e digite o seguinte co#ando:
gpupdate /force
R&
P& O&
9ntre e# L)F=$L1 co#o ADA6@>96onD co# a sen8a 2aGGwErd& -bra u# pro#pt de co#ando e veri i)ue se voc( pode e4ecutar o aplicativo app1,bat* )ue est+ locali$ado na pasta $:9$ustomApp&
1& 2&
9# EO@=5E1* na pasta $ustomApp* copie app1,bat para a pasta Documentos& 5on ir#e )ue o aplicativo no pode ser e4ecutado a partir da pasta Documentos e veri i)ue se a seguinte #ensage# , e4ibida: W?ste programa est: blo8ueado por uma pol3tica de grupo, 2ara obter mais informaesI contate o administrador do sistema,X
"esultados: -o ter#inar este e4erccio* voc( ter+ con igurado polticas -ppEocFer para todos os usu+rios cujas contas de co#putador esto locali$adas na unidade organi$acional de 5o#putadores 5liente& -s polticas con iguradas deve# per#itir )ue esses usu+rios e4ecute# aplicativos )ue esto locali$ados nas pastas 5:KWindows e 5:K-r)uivos de Progra#as e e4ecute# o aplicativo personali$ado app1&bat na pasta 5:K5usto#-pp&
Cenrio .eu gerente l8e pediu para con igurar regras do 6irewall do Windows para u# conjunto de novos servidores de aplicativos& 9sses servidores de aplicativos t(# u# aplicativo baseado na Web )ue est+ escutando e# u#a porta no padro& <oc( precisa con igurar o 6irewall do Windows para per#itir a co#unicao de rede atrav,s dessa porta& <oc( usar+ a iltrage# de segurana para garantir )ue as novas regras do 6irewall do Windows se apli)ue# apenas aos servidores de aplicativos& -s principais tare as deste e4erccio so:
5riar u# grupo deno#inado .ervidores de -plicativos -dicionar EO@=.<31 co#o #e#bro do grupo 5riar u# novo GPO de .ervidores de -plicativos <incular o GPO de .ervidores de -plicativos B CO de .ervidores Me#bros Csar a iltrage# de segurana para li#itar o GPO de .ervidor de -plicativos a #e#bros do grupo .ervidor de -plicativos
94ecutar GPCpdate e# EO@=.<31 <isuali$ar as regras de irewall e# EO@=.<31 Para se preparar para o pr4i#o #dulo
1 9# EO@=251* e# Csu+rios e 5o#putadores do -ctive 2irectorA* na @) de &er idores >embros* crie u# novo grupo de segurana global c8a#ado &er idor de Aplicati os&
1 @o console Csu+rios e 5o#putadores do -ctive 2irectorA* na CO de .ervidores Me#bros* abra 2ropriedades de &er idor de Aplicati os e adicione L)F=&V"1 co#o #e#bro do grupo&
ervidores de Aplicativos
1& 2&
9# EO@=251* abra o B2>$& @o GPM5* no cont(iner Objetos de Poltica de Grupo* crie u# novo GPO co# o no#e B2) de &er idores de Aplicati os&
R&
@a janela 9ditor de Gerencia#ento de Polticas de Grupo* navegue at, $onfigurao do $omputador+2ol3ticas+$onfiguraes do Windows+ $onfiguraes de segurana+%irewall do Windows com segurana A anada+ %irewall do Windows com &egurana A anada = LDA2:++$F/ NB@.DO&
P&
2e ina u#a regra de entrada co# as seguintes con igura%es: o o o o o o o !ipo de regra: 2ersonali7ado !ipo de protocolo: 6$2 Portas 9spec icas: PEPE 9scopo: Qual8uer endereo .2 -o: 2ermitir a cone;o Per il: Dom3nio >des#ar)ue as cai4as de seleo 2ri ado e 2<blico? @o#e: "egra de %irewall do Departamento de &er idor de Aplicati os
O&
ervidores
.arefa 9: %sar a filtragem de segurana para limitar o -PO de Aplicativos a membros do grupo ervidor de Aplicativos
ervidor de
1& 2&
9# EO@=251* abra o B2>$& 94panda a @) de &er idores >embros e depois cli)ue e# B2) de &er idores de Aplicati os&
R&
@o painel B direita* e# 6iltrage# de .egurana* re#ova @su:rios autenticados e con igure o B2) de &er idor de Aplicati os de or#a )ue ele apenas seja aplicado ao grupo de segurana &er idores de Aplicati os&
1& 2&
-ltere para L)F=&V"1& -bra u#a janela de Pro#pt de 5o#ando e digite o seguinte co#ando:
gpupdate /force
R& P&
6ec8e a janela Pro#pt de 5o#ando& 3einicie L)F=&V"1 e depois aa logon nova#ente co#o ADA6@>9Administrador co# a sen8a 2aGGwErd&
-lterne para L)F=&V"1& "nicie o %irewall do Windows com &egurana A anada& @o 6irewall do Windows co# .egurana -vanada* e# "egras de ?ntrada* veri i)ue se a 3egra de 6irewall do 2eparta#ento de .ervidor de -plicativos criada anteriormente usando a 2ol3tica de Brupo est: configurada,
P&
5on ir#e )ue voc( no consegue editar a "egra de %irewall do Departamento de &er idor de Aplicati os por)ue ela est+ con igurada atrav,s da Poltica de Grupo&
"esultados: -o ter#inar este e4erccio* voc( ter+ usado a Poltica de Grupo para con igurar o 6irewall do Windows co# .egurana -vanada para criar regras para
servidores de aplicativos&
'uando ter#inar o laboratrio* retorne as #+)uinas virtuais para o seu estado inicial* seguindo estas etapas:
1& 2&
@o co#putador 8ost* inicie o Berenciador do CDper=V& @a lista >:8uinas Virtuais* cli)ue co# o boto direito do #ouse e# 2##1E'= L)F=D$1 e depois cli)ue e# "e erter&
R& P&
@a cai4a de di+logo "e erter >:8uina Virtual* cli)ue e# "e erter& 3epita as etapas 2 e R para 2PP10I=EO@=.<31 e 2PP10I=EO@=5E1&
segurana )ue inclua todos os aspectos de u# #odelo de proteo e# ca#adas& 5o# base nessa estrat,gia* sua organi$ao i#ple#entou polticas e con igura%es de segurana no a#biente de in raestrutura de !" inteiro& Onte#* voc( leu e# u# artigo )ue novas a#eaas de segurana ora# detectadas na "nternet* #as agora voc( percebe )ue a estrat,gia da e#presa no inclui u#a an+lise de risco e u# plano de #itigao para essas novas a#eaas& O )ue voc( deve a$erG
Derramentas
%erramenta
5onsole de Gerencia#ento de Poltica de Grupo -ppEocFer
@se para
C#a erra#enta gr+ ica )ue voc( usa para criar* editar e aplicar GPOs -plica con igura%es de segurana )ue controla# )uais aplicativos pode# ser e4ecutados pelos usu+rios
)nde encontrar
Gerenciador do .ervidorL6erra#entas
C# irewall baseado e# 8ost )ue est+ includo co#o u# recurso no Windows .erver 2012 e no Windows .erver 200:
Gerenciador do .ervidorL6erra#entas* se con igurados individual#ente* ou 9ditor de GPO no GPM5 para i#plantao co# a Poltica de Grupo
"#plantao de polticas de segurana co# base e# reco#enda%es do Guia de .egurana da Microso t e e# pr+ticas reco#endadas do setor
Pr"tica recomendada
<eja a seguir as pr+ticas reco#endadas: 1 .e#pre aa u#a avaliao detal8ada dos riscos de segurana antes de planejar )uais recursos de segurana a sua organi$ao deve i#plantar& 1 5rie u# GPO separado para con igura%es de segurana )ue se aplica# aos
di erentes tipos de usu+rios na sua organi$ao* pois cada departa#ento pode ter necessidades de segurana distintas& 1 <eri i)ue se as con igura%es de segurana de inidas so ra$oavel#ente +ceis de usar* para )ue os uncion+rios as aceite# se# proble#as& 6re)uente#ente* polticas de segurana #uito ortes so #uito co#ple4as ou di ceis para os uncion+rios as adotare#& 1 .e#pre teste as con igura%es de segurana )ue voc( pretende i#ple#entar co# u# GPO e# u# a#biente isolado )ue no seja de produo& -penas i#plante polticas no seu a#biente de produo depois de concluir esses testes co# sucesso&
O usu+rio no consegue a$er logon local#ente e# u# servidor& 2epois de con igurar a auditoria* e4iste# #uitos eventos registrados no Eog de 9ventos de .egurana no <isuali$ador de 9ventos& -lguns usu+rios recla#a# )ue seus aplicativos de negcios no pode# #ais acessar recursos no servidor&