7/31/2019 10140A_09 [Modo de Compatibilidade]
1/37
Mdulo 9Configurao daconformidade de
segurana do servidor
7/31/2019 10140A_09 [Modo de Compatibilidade]
2/37
Viso geral do mdulo
Proteo da infra-estrutura do Windows
Viso geral do EFS
Configurao de uma diretiva de auditoria
Viso geral do Windows Server Update Services (WSUS)
Gerenciamento do WSUS
7/31/2019 10140A_09 [Modo de Compatibilidade]
3/37
Lio 1: Proteo da infra-estrutura do Windows
Discusso: Desafios da segurana de uma infra-estruturado Windows
Aplicao da proteo em camadas para aumentar asegurana
Principais prticas de segurana de servidores
7/31/2019 10140A_09 [Modo de Compatibilidade]
4/37
Discusso: Desafios da segurana da infra-estruturado Windows
Discuta as conseqncias da falta de ateno seguranano seu ambiente de rede.
Discuta os desafios relacionados implementao e aogerenciamento da configurao segura de servidores.
Discuta os desafios relacionados proteo contra ameaasde softwares mal-intencionados e invases.
eficaz de identidades e acesso.
7/31/2019 10140A_09 [Modo de Compatibilidade]
5/37
Aplicao da proteo em camadas para aumentar asegurana
Proteo em camadas um recurso que oferece vrias camadas desegurana para proteger um ambiente de rede
Proteo de aplicativos,
ACLs, criptografia, EFS
Aplicativo
Dados
Documentos de segurana,
treinamento do usurio
Diretivas, procedimentos e
conhecimento
Segurana fsica
Proteo do SO, autenticao
Firewalls
Protetores, travas
Segmentos de rede, IPsec
Permetro
Rede interna
Host
7/31/2019 10140A_09 [Modo de Compatibilidade]
6/37
Principais prticas de segurana de servidores
Aplicar o service pack mais recente e todas asatualizaes de segurana disponveis
Usar o Assistente de Configurao de Segurana paraexaminar e implementar a segurana do servidor
Usar a Diretiva de Grupo e modelos de segurana parapro eger serv ores
Restringir o escopo de acesso das contas de servio
Restringir quem pode fazer logon localmente nosservidores
Restringir o acesso fsico e via rede aos servidores
7/31/2019 10140A_09 [Modo de Compatibilidade]
7/37
Lio 2: Viso geral do EFS
O que o Encrypting File System?
O que Criptografia de Unidade de Disco BitLocker?
Soluo de problemas do EFS
7/31/2019 10140A_09 [Modo de Compatibilidade]
8/37
O que o Encrypting File System?
EFS:
O contedo dos arquivos protegido por uma chavesimtrica
Sistema de Arquivos com Criptografia (EFS) um sistema quecriptografa arquivos
A chave simtrica protegida por criptografiaassimtrica
Habilitado nas propriedades de um arquivo
Requer um certificado de usurio
Pode ser usado em arquivos compartilhados
Pode ser configurado com um agente de recuperao,em caso de perda de certificados de usurio
7/31/2019 10140A_09 [Modo de Compatibilidade]
9/37
O que Criptografia de Unidade de Disco BitLocker?
Criptografia de Unidade de Disco BitLocker:
Ajuda a proteger dados na unidade do sistemaoperacional
BitLocker um sistema que criptografa a unidade do sistemaoperacional inteira e volumes de dados em potencial
Ajuda a proteger o sistema operacional contramodificaes
O acesso unidade do sistema operacional controladopor chaves de criptografia
7/31/2019 10140A_09 [Modo de Compatibilidade]
10/37
Soluo de problemas do EFS
Verifique estes itens:
No possvel criptografar
O volume NTFS
Determine se o problema ocorre ao criptografar ou descriptografararquivos e se os arquivos so locais ou remotos
O usurio tem acesso de Gravao no arquivo Perfis de usurios mveis geralmente exigem a
criptografia de arquivos remotos
No possvel descriptografar
A localizao do arquivo confivel para delegao
O perfil mvel est disponvel
No possvel delegar a conta de usurio
Problemas de certificado ou chave privada
7/31/2019 10140A_09 [Modo de Compatibilidade]
11/37
Lio 3: Configurao de uma diretiva de auditoria
O que auditoria?
O que uma diretiva de auditoria?
Tipos de eventos para auditoria
Soluo de problemas de diretiva de auditoria
7/31/2019 10140A_09 [Modo de Compatibilidade]
12/37
O que auditoria?
A auditoria acompanha as atividades do usurio e do sistemaoperacional e registra os eventos selecionados em logs de segurana,como:
O que ocorreu?
Quem fez isso? Quando?
Qual foi o resultado?
Habilite a auditoria para: Criar uma linha de base
Detectar ameaas e ataques
Determinar danos
Evitar danos futuros
Faa auditoria do acesso a objetos, do gerenciamento de contas e dosprocedimentos de logon e logoff dos usurios
7/31/2019 10140A_09 [Modo de Compatibilidade]
13/37
O que uma diretiva de auditoria?
Uma diretiva de auditoria determina os eventos de seguranaque sero relatados ao administrador da rede
Configure uma diretiva de auditoria para:
Acompanhar o xito ou a falha de eventos
Minimizar o uso no autorizado de recursos Manter um registro da atividade
Os eventos de segurana so armazenados em logs desegurana
7/31/2019 10140A_09 [Modo de Compatibilidade]
14/37
Tipos de eventos para auditoria
Logon de Conta
Gerenciamento de Conta
Acesso ao Servio de Diretrio Alteraes no Servio de Diretrio
Replicao do Servio de Diretrio
rv r r
Logon
Acesso a Objetos
Alterao de Diretiva
Uso de Privilgios
Monitoramento de Processos
Sistema
7/31/2019 10140A_09 [Modo de Compatibilidade]
15/37
Pgina de anotaes - Slide excedente. Noimprima o slide. Consulte o painel de anotaes.
7/31/2019 10140A_09 [Modo de Compatibilidade]
16/37
Soluo de problemas de diretiva de auditoria
Exibir log de segurana em Visualizar Eventos
Aps a configurao da auditoria, ela pode no funcionar pelosseguintes motivos:
Uma configurao de diretiva de site, domnio ou unidade organizacionalsubstitui a diretiva de auditoria por voc configurada
Um GPO que substitui a configurao da diretiva de auditoria temprioridade mais alta
A configurao de diretiva do site, do domnio ou da unidade organizacionalque contm a configurao da diretiva de auditoria no foi replicada paraoutros computadores
Auditoria de acesso a objetos
Entender de que modo a herana afeta a auditoria de arquivos e pastas
Testar uma regra de auditoria de um arquivo ou de uma pasta
Abrir e fechar o arquivo ou a pasta
Exibir o log de segurana para verificar se o ID de Evento 4663 foiregistrado
7/31/2019 10140A_09 [Modo de Compatibilidade]
17/37
Demonstrao: Como configurar a auditoria
Nesta demonstrao, voc ver como:
Habilitar a auditoria para vrios eventos
Habilitar a auditoria do acesso a objetos
7/31/2019 10140A_09 [Modo de Compatibilidade]
18/37
Lio 4: Viso geral do Windows Server UpdateServices (WSUS)
O que o Windows Server Update Services?
Obteno de atualizaes
Processo do Windows Server Update Services
Consideraes sobre a implantao do WSUS
Requisitos de servidor do WSUS
Instalao do WSUS Configuraes de Diretiva de Grupo do WSUS
Configurao de Atualizaes Automticas
7/31/2019 10140A_09 [Modo de Compatibilidade]
19/37
O que o Windows Server Update Services?
AtualizaesAutomticas
Servidor executandoWindows Server
Site do Microsoft Update
AtualizaesAutomticas
LAN
Internet
Clientes de teste
7/31/2019 10140A_09 [Modo de Compatibilidade]
20/37
Obteno de atualizaes
WSUS
Windows Update
WSUS
WSUS
WSUS
7/31/2019 10140A_09 [Modo de Compatibilidade]
21/37
Processo do Windows Server Update Services
Gerenciamento de
Fase 1: Analisar
Configurar um ambiente de produo que suporte ogerenciamento de atualizaes em cenrios de rotina e deemergncia
Fase 4: Implantar
Aprovar e agendar ainstalao deatualizaes
Fase 4: Implantar
Aprovar e agendar ainstalao deatualizaes
Fase 2: Identificar
Detectar novasatualizaes demaneira rticaIdentificarIm lantar
Analisar
atua za es
Fase 3: Avaliar e planejar
Testar as atualizaes em um ambiente semelhante ao deproduo, mas que est separado dele
Determinar as tarefas necessrias para implantar atualizaesna produo, planejar a liberao de atualizaes, compilar asverses e conduzir testes de aceitao delas
Examinar o processoaps o trmino daimplantao
Examinar o processoaps o trmino daimplantao
Determinar se asatualizaes sorelevantes para oambiente deproduo
Avaliar eplanejar
7/31/2019 10140A_09 [Modo de Compatibilidade]
22/37
Consideraes sobre a implantao do WSUS
Conectividade com a Internet
Nmero de servidores do WSUS
Implantao simples do WSUS
Hierarquia de servidor do WSUS
ru s de c m utad res
Armazenamento deatualizaes
7/31/2019 10140A_09 [Modo de Compatibilidade]
23/37
Requisitos de servidor do WSUS
Requisitos de software:
Windows Server 2003 SP1 ouWindows Server 2008
IIS 6.0 ou posterior
Windows Installer 3.1 ou posterior
Microsoft .NET Framework 2.0
SQL Server 2005 SP1 ou posterior (opcional)
Microsoft Report Viewer Redistributable 2005
7/31/2019 10140A_09 [Modo de Compatibilidade]
24/37
Instalao do WSUS
Consideraes sobre a instalao do servidor do WSUS:
Selecionar a origem de atualizao
Selecionar o software usado para gerenciar o banco dedados do WSUS
Selecionar o site que o WSUS utilizar para apontar os
O console de administrao do WSUS:
O console de administrao do WSUS 3.0 pode ser usadopara gerenciar qualquer servidor que tenha uma relaode confiana com o computador do console deadministrao
7/31/2019 10140A_09 [Modo de Compatibilidade]
25/37
Configuraes de Diretiva de Grupo do WSUS
A Diretiva de Grupo pode especificar:
O servidor do WSUS a ser usado
Se so exibidas notificaes de atualizao
A freqncia da verificao de atualizaes
O comportamento de reinicializao automtica
A associao a grupos de computadores do WSUS
Se os computadores devem acordar para aplicaratualizaes
7/31/2019 10140A_09 [Modo de Compatibilidade]
26/37
Configurao de Atualizaes Automticas
Configurar Atualizaes Automticas usando a Diretiva deGrupo Configurao do Computador/Modelos
Administrativos/Componentes do Windows/Windows Update
Requer o modelo administrativo wuau.adm atualizado
equer:
Windows Vista
Windows Server 2008
Windows Server 2003
Windows XP Professional SP2 Windows 2000 Professional SP4,
Windows 2000 Server/Advanced Server SP3 ou SP4
7/31/2019 10140A_09 [Modo de Compatibilidade]
27/37
Demonstrao: Configurao do WSUS
Nesta demonstrao, voc ver como:
Definir as configuraes de cliente da Atualizao Automticausando a Diretiva de Grupo
7/31/2019 10140A_09 [Modo de Compatibilidade]
28/37
Lio 5: Gerenciamento do WSUS
Administrao do WSUS
Gerenciamento de grupos de computadores
Aprovao de atualizaes
Atualizaes de segurana do Server Core
7/31/2019 10140A_09 [Modo de Compatibilidade]
29/37
Administrao do WSUS
Ferramentas de linha de comando para gerenciar atualizaes:
Wuauclt.exe controla o Windows Update Agent
Wsusutil.exe gerenciamento do WSUS
7/31/2019 10140A_09 [Modo de Compatibilidade]
30/37
Gerenciamento de grupos de computadores
Os computadores so adicionados
automaticamente Grupos de computadores padro
Todos os Computadores
ompu a ores o r u os
Direcionamento no lado do cliente
7/31/2019 10140A_09 [Modo de Compatibilidade]
31/37
Aprovao de atualizaes
As opes de aprovao incluem:
Instalar
Recusar
No Aprovar
Remoo Tambm permitido automatizar a aprovao
7/31/2019 10140A_09 [Modo de Compatibilidade]
32/37
Demonstrao: Gerenciamento do WSUS
Nesta demonstrao, voc ver como:
Adicionar um computador ao WSUS
Aprovar uma atualizao
7/31/2019 10140A_09 [Modo de Compatibilidade]
33/37
Atualizaes de segurana do Server Core
Para habilitar o Windows Update no Server Core:
Cscript c:\Windows\system32\scregedit.wsf /au /4
Para instalar atualizaes manualmente no Server Core:
Wsua.exe .msu /quiet
Para remover atualizaes manualmente do Server Core:
Em .xml, substitua Install por Remove e salve oarquivo.
pkgmgr /n:.xml
7/31/2019 10140A_09 [Modo de Compatibilidade]
34/37
Laboratrio: Gerenciar a segurana do servidor
Exerccio 1: Configurao do Windows Software UpdateServices
Exerccio 2: Configurao da auditoria
Informaes de logon
Mquina virtualNYC-DC1, NYC-SVR1,NYC-CL2
Nome de usurio Administrador
Senha Pa$$w0rd
Tempo estimado: 60 minutos
7/31/2019 10140A_09 [Modo de Compatibilidade]
35/37
Cenrio do laboratrio
Como Especialista em Tecnologia de Servios de Infra-estrutura do Windows, voc tem a tarefa de configurar egerenciar a conformidade com patches de segurana declientes e servidores e de implementar uma diretiva deauditoria para rastrear eventos especficos que ocorrem noAD DS. Voc deve assegurar que os sistemas mantenham aconformidade com os padres corporativos.
7/31/2019 10140A_09 [Modo de Compatibilidade]
36/37
Reviso do laboratrio
Aps a instalao do software do servidor do WSUS, exibido um assistente que ajuda a configurar aspropriedades do WSUS. Como alterar as propriedades queforam atribudas de maneira incorreta aps a concluso doassistente?
Quando se implementa uma auditoria de servio dediretrio, que critrios so relevantes ao escolherimplementar sucesso e/ou falha?
7/31/2019 10140A_09 [Modo de Compatibilidade]
37/37
Reviso do mdulo e informaes
Perguntas de reviso
Prticas recomendadas
Top Related