Você está na página 1de 65

Mdulo 12: Proteo de servidores Windows usando Objetos de Poltica de Grupo Contedo:

Viso geral do mdulo Lio 1: Lio 2: Laboratrio A: Lio !: Lio #: Laboratrio ': Viso geral da segurana de sistemas operacionais Windows Definio de configuraes de segurana Aumento da segurana de recursos do ser idor

"estrio de softwares $onfigurao do %irewall do Windows com &egurana A anada $onfigurao do AppLoc(er e do %irewall do Windows

"e iso e informaes complementares do mdulo

Viso geral do mdulo


Proteger a in raestrutura de !" se#pre oi u#a prioridade para as organi$a%es& Muitos riscos de segurana a#eaa# e#presas e seus dados crticos& 'uando as e#presas no t(# polticas de segurana ade)uadas* elas pode# perder dados* passar por situa%es de indisponibilidade do servidor e perder credibilidade& Para se proteger contra a#eaas de segurana* as e#presas deve# ter polticas de segurana be# projetadas )ue inclue# v+rios co#ponentes organi$acionais e relacionados a !"& Polticas de segurana deve# ser avaliadas regular#ente* pois* con or#e as a#eaas de segurana evolue#* o setor de !" ta#b,# precisa evoluir&

-ntes de co#ear a projetar polticas de segurana para ajudar a proteger os dados* os servios e a in raestrutura de !" da sua organi$ao* voc( deve aprender a identi icar a#eaas de segurana* planejar sua estrat,gia para redu$ir essas a#eaas e proteger a in raestrutura do seu Windows .erver/ 2012&

Objetivos
-o concluir este #dulo* voc( ser+ capa$ de: 1 2escreva a segurana do siste#a operacional Windows .erver& 1 2e inir con igura%es de segurana usando a Poltica de Grupo& 1 3estringir a e4ecuo de so twares no autori$ados e# servidores e clientes& 1 5on igurar o 6irewall do Windows co# .egurana -vanada&

Lio 1 : Viso geral da segurana de sistemas operacionais Windows


7 #edida )ue as organi$a%es e4pande# sua disponibilidade de dados de rede* aplicativos e siste#as* garantir a segurana da in raestrutura de rede se torna cada ve$ #ais di cil& !ecnologias de segurana no Windows .erver 2012 per#ite# )ue as organi$a%es ornea# #el8or proteo para seus recursos de rede e ativos organi$acionais e# a#bientes e cen+rios de negcios cada ve$ #ais co#ple4os& 9sta lio e4a#ina as erra#entas e os conceitos )ue esto disponveis para a i#ple#entao da segurana dentro de u#a in raestrutura do Windows : e do Windows .erver 2012& O Windows .erver 2012 inclui diversos recursos )ue o erece# #,todos di erentes para a i#ple#entao da segurana& 9sses recursos se co#bina# para or#ar o n;cleo da uncionalidade de segurana do Windows .erver 2012& Para #anter u# a#biente seguro* , essencial entender esses recursos e seus conceitos associados e estar a#iliari$ado co# a sua i#ple#entao b+sica&

Objetivos da lio
-o concluir esta lio* voc( ser+ capa$ de: 1 "denti icar riscos de segurana para o Windows .erver 2012 e os custos associados a eles& 1 -plicar o #odelo de proteo e# ca#adas para au#entar a segurana& 1 2escrever pr+ticas reco#endadas para au#entar a segurana do Windows .erver 2012&

Discusso: Identificao de custos e riscos de segurana

- pri#eira etapa na de esa dos seus siste#as , identi icar os riscos de segurana potenciais e seus custos associados& 2epois de a$er isso* voc( pode co#ear a to#ar decis%es #ais precisas sobre co#o alocar recursos para redu$ir esses riscos& -nalise a )uesto no slide e participe de sua discusso para identi icar alguns dos riscos de segurana e# redes baseadas no Windows e seus custos associados&

Aplicao da proteo em camadas para aumentar a segurana

<oc( pode redu$ir os riscos para a rede de co#putao da sua organi$ao ornecendo segurana e# v+rias ca#adas de in raestrutura& O ter#o proteo em camadas costu#a ser usado para descrever o uso de v+rias tecnologias de segurana e# di erentes pontos ao longo da sua organi$ao& !ecnologias de proteo e# ca#adas inclue# ca#adas de segurana )ue se estende# desde polticas de usu+rio at, aplicativos e dados propria#ente ditos&

Polticas, procedimentos e conhecimento


Medidas de poltica de segurana precisa# operar no conte4to das polticas organi$acionais sobre pr+ticas reco#endadas de segurana& Por e4e#plo* a e4ecuo de u#a poltica de sen8a orte do usu+rio no ser+ ;til se os usu+rios anotare# suas sen8as e coloc+=las ao lado de suas telas de co#putador& 9sses usu+rios precisa# ser instrudos sobre co#o proteger suas sen8as& Outro e4e#plo de pr+tica reco#endada de segurana , garantir )ue os usu+rios no dei4e# seus co#putadores se# pri#eiro blo)ueare# a +rea de trabal8o ou sare# do co#putador& -o estabelecer u#a base de segurana para a rede da sua organi$ao* , u#a boa id,ia co#ear estabelecendo as polticas e os procedi#entos apropriados e* e# seguida* tornar os usu+rios cientes deles& <oc( pode ento -vanar para os outros aspectos do #odelo de proteo e# ca#adas&

egurana fsica
.e )ual)uer pessoa no autori$ada puder obter acesso sico a u# co#putador na sua rede* a #aioria das outras #edidas de segurana no ser+ ;til& <oc( deve garantir )ue os co#putadores )ue cont(# os dados #ais sensveis >co#o servidores? seja# isica#ente seguros e )ue o acesso seja concedido apenas a pessoas autori$adas&

Permetro
@os dias de 8oje* nen8u#a organi$ao , u#a e#presa isolada& Organi$a%es opera# na "nternet* e #uitos recursos de rede organi$acionais esto disponveis na "nternet& "sso pode incluir u# site )ue descreva os servios da sua organi$ao* ou os servios internos )ue voc( disponibili$a e4terna#ente* co#o Webcon er(ncias e e#ails* de #odo )ue os usu+rios possa# trabal8ar a partir de casa ou de escritrios re#otos& 3edes de per#etro #arca# o li#ite entre redes p;blicas e privadas& 6ornecer servidores de pro4A reverso na rede de per#etro per#ite )ue voc( ornea #ais servios corporativos seguros e# toda a rede p;blica& Muitas organi$a%es i#ple#enta# o controle de )uarentena de acesso B rede* e# )ue os co#putadores )ue se conecta# B rede corporativa so veri icados e# busca de di erentes crit,rios de segurana* co#o se o co#putador te# as ;lti#as atuali$a%es de segurana* atuali$a%es de antivrus e outras con igura%es de segurana reco#endadas pela e#presa& .e esses crit,rios ore# atendidos* o co#putador poder+ se conectar B rede corporativa& .e no ore#* o co#putador ser+ colocado e# u#a rede isolada* c8a#ada de quarentena* se# acesso a recursos corporativos& 'uando o co#putador tiver suas con igura%es de segurana re#ediadas* ele ser+ re#ovido da rede de )uarentena e poder+ se conectar a recursos corporativos&

)bser ao: C# pro4A reverso* co#o o Microso t/ 6ore ront/ !8reat Manage#ent GatewaA 2010 >6ore ront !MG?* per#ite )ue voc( publi)ue servios co#o e#ail ou servios Web a partir da intranet corporativa se# colocar servidores de e#ail ou servidores Web no per#etro ou os e4por a usu+rios e4ternos& O 6ore ront !MG atua co#o pro4A reverso e co#o u#a soluo de irewall&

!edes
2epois de conectados a u#a rede >interna ou p;blica?* seus co#putadores ica# suscetveis a u#a s,rie de a#eaas* incluindo espionage#* alsi icao* negao de servio e ata)ues de reproduo& -o i#ple#entar o protocolo "Psec* voc( pode

criptogra ar o tr+ ego de rede e proteger os dados en)uanto e# trans er(ncia entre co#putadores& 'uando a co#unicao ocorre atrav,s de redes p;blicas* co#o por uncion+rios )ue esto trabal8ando de casa ou de escritrios re#otos* co#o pr+tica reco#endada* voc( deve se conectar a u#a soluo de irewall* co#o o 6ore ront !MG 2010* para se proteger de di erentes tipos de a#eaas de rede&

Proteo de segurana de computadores host


- pr4i#a ca#ada de de esa , a ca#ada )ue , usada para o co#putador 8ost& Duntas* as etapas a seguir or#a# u# processo )ue , c8a#ado de proteo de segurana de computadores host& @o co#putador 8ost* voc( deve: 1 Manter os co#putadores seguros co# as atuali$a%es de segurana #ais recentes& 1 5on igurar polticas de segurana* co#o a co#ple4idade de sen8as& 1 5on igurar o irewall de 8ost& 1 "nstalar so tware antivrus&

Proteo de segurana de aplicativos


-plicativos so to seguros )uanto a sua ;lti#a atuali$ao de segurana& Duntas* as etapas a seguir or#a# u# processo )ue , c8a#ado de proteo de segurana de aplicativos& 1 Cse consistente#ente o recurso Windows Cpdate e# siste#as operacionais Windows para #anter seus aplicativos atuali$ados& 1 !este aplicativos para deter#inar se eles t(# vulnerabilidades de segurana )ue possa# per#itir )ue u# invasor e4terno co#pro#eta aplicativos ou outros co#ponentes de rede&

egurana de dados
- ca#ada inal de segurana , a proteo de dados& Para ajudar a garantir a proteo da sua rede* voc( deve: 1 <eri icar o uso apropriado de per#iss%es de usu+rio para ar)uivos usando -5Es >Eistas de 5ontrole de -cesso?& 1 "#ple#entar a criptogra ia de dados con idenciais co# o 96. >.iste#a de -r)uivos de 5riptogra ia?& 1 3eali$ar bacFups de dados regulares&

Leitura adicional:

1 Para obter os in or#es e os boletins de segurana #ais recentes da Microso t* consulte o artigo sobre segurana para pro issionais de !" e# *ttp:++go,microsoft,com+fwlin(+-Lin(.D/2001#1& 1 Para obter #ais in or#a%es sobre tipos co#uns de ata)ues de rede* consulte *ttp:++go,microsoft,com+fwlin(+-Lin(.D/2001#2& 2ergunta: 'uantas ca#adas do #odelo de proteo e# ca#adas voc( deve i#ple#entar na sua organi$aoG

Pr"ticas recomendadas para aumentar a segurana

5onsidere as seguintes pr+ticas reco#endadas para au#entar a segurana: 1 -pli)ue todas as atuali$a%es de segurana disponveis o #ais r+pido possvel aps a sua publicao& <oc( deve se es orar para i#ple#entar atuali$a%es de segurana o #ais r+pido possvel para garantir )ue os seus siste#as i)ue# protegidos contra vulnerabilidades con8ecidas& - Microso t libera publica#ente os detal8es de todas as vulnerabilidades con8ecidas aps a publicao de u#a atuali$ao* o )ue pode resultar e# u# au#ento no volu#e de #alwares )ue tenta# e4plorar essas vulnerabilidades& @o entanto* voc( ainda deve garantir o teste ade)uado de atuali$a%es antes )ue elas seja# aplicadas a#pla#ente na sua organi$ao& 1 .iga o princpio do privil,gio #ais bai4o& 6ornea a usu+rios e contas de servio os nveis de per#isso #ais bai4os necess+rios para concluir tare as& "sso garante #enor i#pacto caso algu# #alware use essas credenciais& Garante ta#b,# )ue os usu+rios i)ue# li#itados e# suas capacidades de e4cluso acidental de dados ou #odi icao de i#portantes con igura%es do siste#a operacional& 1 3estrinja o logon no console do ad#inistrador& 6a$er logon local#ente e# u# console , u# risco #aior para u# servidor do )ue acessar dados re#ota#ente& "sso por)ue alguns #alwares s pode# in ectar u# co#putador usando u#a sesso de usu+rio na +rea de trabal8o& .e voc( per#itir )ue os ad#inistradores use# a 5one4o de Hrea de !rabal8o 3e#ota para ad#inistrao do servidor* veri i)ue se recursos avanados de segurana* co#o o 5ontrole de 5onta de Csu+rio* esto 8abilitados& 1 3estrinja o acesso sico& .e algu,# tiver acesso sico a seus servidores* essa pessoa ter+ pratica#ente acesso ili#itado aos dados desses servidores& C#a pessoa no autori$ada pode usar u#a a#pla variedade de erra#entas para rede inir rapida#ente a sen8a e# contas de ad#inistrador local e per#itir acesso local* ou utili$ar u#a unidade C.I para introdu$ir #alwares&

Leitura adicional: Para obter #ais in or#a%es sobre pr+ticas reco#endadas para segurana corporativa* consulte *ttp:++go,microsoft,com+fwlin(+-Lin(.D/2001#!&

Lio 2: Definio de configuraes de segurana


2epois de ter aprendido sobre a#eaas de segurana* riscos e pr+ticas reco#endadas para au#entar a segurana* voc( pode co#ear a con igurar a segurana para o seu a#biente Windows : e Windows .erver 2012& 9sta lio e4plica a de inir con igura%es de segurana& Para aplicar essas con igura%es de segurana a v+rios usu+rios e co#putadores na sua organi$ao* voc( pode usar a Poltica de Grupo& Por e4e#plo* voc( pode de inir con igurao de poltica de sen8a usando a Poltica de Grupo e* e# seguida* i#plant+=las para v+rios usu+rios& - Poltica de Grupo te# u# a#plo co#ponente de segurana )ue voc( pode usar para con igurar a segurana tanto para usu+rios )uanto para co#putadores& <oc( pode aplicar a segurana consistente#ente e# toda a organi$ao no -2 2. >.ervios de 2o#nio -ctive 2irectorA/? de inindo con igura%es de segurana e# u# GPO >Objeto de Poltica de Grupo? associado a u# site* u# do#nio ou u#a CO >Cnidade Organi$acional?& -o concluir esta lio* voc( ser+ capa$ de: 1 2escrever co#o con igurar #odelos de segurana& 1 2escrever )uais so os direitos dos usu+rios e co#o con igur+=los& 1 2escrever co#o con igurar Op%es de .egurana& 1 2escrever co#o con igurar o 5ontrole de 5onta de Csu+rio& 1 2escrever co#o con igurar a -uditoria de .egurana& 1 2escrever co#o con igurar Grupos 3estritos& 1 2escrever co#o de inir 5on igura%es de Poltica de 5onta&

Leitura adicional: 5li)ue no seguinte linF para procurar u#a lista detal8ada de con igura%es da Poltica de Grupo: *ttp:++go,microsoft,com+fwlin(+-Lin(.D/2001##,

#onfigurao de modelos de segurana

Modelos de segurana so ar)uivos )ue voc( pode usar para gerenciar e de inir con igura%es de segurana e# co#putadores baseados no Windows& 2ependendo das v+rias categorias de con igura%es de segurana* #odelos de segurana so divididos e# se%es lgicas& <oc( pode con igurar cada u#a das seguintes se%es de acordo co# as necessidades e as solicita%es de u#a e#presa: 1 Polticas de 5onta& Poltica de sen8a* Poltica de blo)ueio de conta e Poltica Jerberos 1 Polticas locais Poltica de auditoria* -tribuio de direitos do usu+rio e Op%es de segurana 1 Eog de 9ventos& 5on igura%es de log de eventos de segurana* aplicativo e siste#a 1 Grupos 3estritos& -ssociao de grupos )ue pode# ter direitos e per#iss%es especiais 1 .ervios do .iste#a& "niciali$ao e per#iss%es para servios do siste#a 1 3egistro& Per#iss%es para c8aves do 3egistro 1 .iste#a de -r)uivos& Per#iss%es para pastas e ar)uivos

-o con igurar u# #odelo de segurana* voc( pode us+=lo para con igurar u# ;nico co#putador ou para con igurar v+rios co#putadores na rede& <eja a seguir algu#as #aneiras de con igurar e distribuir #odelos de segurana: 1 .ecedit&e4e& - erra#enta de lin8a de co#ando secedit&e4e con igura e analisa a segurana do siste#a* co#parando a con igurao atual de u# co#putador )ue e4ecuta o Windows .erver 2012 co# #odelos de segurana especi icados& 1 .nap=in de Modelos de .egurana& Os snap=in de Modelos de .egurana pode ser usado para criar u#a poltica de segurana co# o uso de #odelos de segurana& 1 -ssistente de 5on igurao e -n+lise de .egurana& 9sse assistente , u#a erra#enta )ue voc( pode usar para analisar e con igurar a segurana do co#putador& 1 Poltica de Grupo& - Poltica de Grupo , u#a tecnologia )ue voc( pode usar para analisar e de inir con igura%es de co#putador* incluindo a distribuio de con igura%es de segurana espec icas& 1 Gerenciador de 5o#patibilidade de .egurana& O Gerenciador de 5o#patibilidade de .egurana , u#a erra#enta )ue ornece recursos centrali$ados de gerencia#ento de lin8a de base de segurana e uncionalidade de e4portao de lin8a de base de segurana&

#onfigurao de direitos do usu"rio

- atribuio de direitos do usurio re ere=se B capacidade de reali$ar a%es no siste#a operacional& 5ada co#putador te# o seu prprio conjunto de direitos do usu+rio*

co#o o direito de alterar a 8ora do siste#a& - #aioria dos direitos , concedida ao .iste#a Eocal ou ao -d#inistrador& Privil,gios e direitos de logon so dois tipos de direitos de usu+rio: 1 Privilgios de ine# o acesso a recursos de co#putador e do#nio& Por e4e#plo* direitos para a$er bacFup de ar)uivos e diretrios& 1 Direitos de logon de ine# )ue# te# autori$ao para a$er logon e# u# co#putador e co#o esses usu+rios pode# a$er logon& Por e4e#plo* direitos de logon pode# de inir o direito de a$er logon e# u# siste#a local#ente&

<oc( pode con igurar direitos atrav,s da Poltica de Grupo& "nicial#ente* a poltica de do#nio padro no te# direitos de usu+rio de inidos& <oc( pode de inir con igura%es para 2ireitos de Csu+rio acessando 5on igurao do 5o#putadorK PolticasK5on igura%es do WindowsK5on igura%es de .eguranaKPolticas EocaisK-tribuio de 2ireitos de Csu+rio no GPM5 >5onsole de Gerencia#ento de Poltica de Grupo?& -lguns e4e#plos de direitos de usu+rio co#u#ente utili$ados >e as polticas con iguradas por eles? so: 1 Adicionar estaes de trabal*o ao dom3nio& 2eter#ina )uais usu+rios ou grupos pode# adicionar esta%es de trabal8o ao do#nio& 1 2ermitir logon localmente& 2eter#ina )uais usu+rios pode# a$er logon no co#putador& 1 2ermitir logon atra 4s dos &er ios de 5rea de 6rabal*o "emota& 2eter#ina )uais usu+rios ou grupos t(# per#isso para a$er logon co#o 5liente de .ervios de Hrea de !rabal8o 3e#ota& 1 %a7er bac(up de ar8ui os e diretrios& 2eter#ina )uais usu+rios t(# per#isso para a$er bacFup de ar)uivos e pastas e# u# co#putador&

1 Alterar a *ora do sistema& 2eter#ina )uais usu+rios ou grupos t(# os direitos de alterar a data e a 8ora no relgio interno do co#putador& 1 %orar o desligamento de um sistema remoto& 2eter#ina )uais usu+rios t(# per#isso para desligar u# co#putador a partir de u# local re#oto na rede& 1 Desligar o sistema& 2eter#ina )uais dos usu+rios )ue so local#ente conectados a u# co#putador t(# per#isso para desligar esse co#putador&

#onfigurando as op$es de segurana

<oc( ta#b,# pode usar a Poltica de Grupo para acessar e con igurar Op%es de .egurana& -s con igura%es de segurana do co#putador )ue voc( pode de inir e# Op%es de .egurana inclue#: 1 @o#es de contas de -d#inistrador e 5onvidados 1 -cesso a unidades de 52L2<2 1 -ssinaturas de dados digitais 1 5o#porta#ento de instalao de drivers 1 Pro#pts de logon 1 5ontrole de conta de usu+rio <oc( ta#b,# pode de inir con igura%es para Op%es de .egurana acessando o seguinte local no GPM5: $onfigurao do $omputador92ol3ticas9$onfiguraes

do Windows9$onfiguraes de &egurana92ol3ticas Locais9)pes de &egurana Os e4e#plos a seguir representa# Op%es de .egurana utili$adas co# re)u(ncia: 1 2edir 8ue o usu:rio altere a sen*a antes 8ue ela e;pire& 2eter#ina )uantos dias antes de a sen8a de u# usu+rio e4pirar o siste#a operacional ornece u# aviso& 1 Logon interati o: no e;ibir o <ltimo nome do usu:rio& 2eter#ina se o no#e do ;lti#o usu+rio a a$er logon no co#putador , e4ibido na janela de logon do Windows& 1 $ontas: renomear conta do administrador& 2eter#ina se u# no#e de conta di erente est+ associado ao ."2 >identi icador de segurana? do -d#inistrador da conta& 1 Dispositi os: restringir acesso ao $D=")> apenas aos usu:rios com logon local& 2eter#ina se u# 52=3OM est+ acessvel para usu+rios locais e re#otos si#ultanea#ente&

#onfigurao do #ontrole de #onta de %su"rio

5ontas ad#inistrativas i#plica# u# grau #aior de riscos de segurana& 'uando u#a conta ad#inistrativa est+ conectada* seus privil,gios per#ite# o acesso ao siste#a operacional Windows inteiro* incluindo o 3egistro* ar)uivos de siste#a e de ini%es de con igurao& 9n)uanto u#a conta ad#inistrativa estiver conectada* o siste#a icar+ vulner+vel a ata)ues* podendo icar co#pro#etido&

O 5ontrole de 5onta de Csu+rio , u# recurso de segurana )ue ajuda a i#pedir altera%es no autori$adas e# u# co#putador& 9le a$ isso solicitando a per#isso do usu+rio ou as credenciais do ad#inistrador antes de reali$ar a%es )ue possa# a etar a operao do co#putador ou alterar con igura%es )ue a etaria# v+rios usu+rios& Por padro* usu+rios padro e ad#inistradores e4ecuta# aplicativos e acessa# recursos no conte4to de segurana de u# usu+rio padro& O pro#pt do 5ontrole de 5onta de Csu+rio ornece u#a #aneira para u# usu+rio elevar seu estatuto de u#a conta de usu+rio padro para u#a conta de ad#inistrador se# a$er logo * trocar de usu+rio ou usar ?;ecutar como& Por causa disso* o 5ontrole de 5onta de Csu+rio cria u# a#biente #ais seguro no )ual e4ecutar e instalar aplicativos& 'uando u# aplicativo re)uer per#isso e# nvel de ad#inistrador* o 5ontrole de 5onta de Csu+rio noti ica o usu+rio da seguinte or#a: 1 .e o usu+rio or u# ad#inistrador* ele con ir#ar+ a elevao do seu nvel de per#isso e continuar+& 9sse processo de solicitao de aprovao , con8ecido co#o Modo de Aprovao de Administrador.

)bser ao: @o Windows .erver 2012* a conta de -d#inistrador interno no , e4ecutada no Modo de -provao de -d#inistrador& O resultado , )ue no 8+ pro#pts de 5ontrole de 5onta de Csu+rio e4ibidos )uando a conta de ad#inistrador local , usada&

1 .e o usu+rio no or u# ad#inistrador* ser+ necess+rio in or#ar u# no#e de usu+rio e u#a sen8a para u#a conta )ue ten8a per#iss%es ad#inistrativas& 6ornecer credenciais ad#inistrativas te#poraria#ente d+ privil,gios ad#inistrativos ao usu+rio* #as apenas para co#pletar a tare a atual& 5oncluda a tare a* as per#iss%es volta# a ser Bs de u# usu+rio padro&

-o usar esse processo de noti icao e elevao para privil,gios de conta de ad#inistrador* altera%es no pode# ser eitas no co#putador se# )ue o usu+rio

saiba* pois u# pro#pt solicita a per#isso do usu+rio ou as credenciais de ad#inistrador& "sso pode ajudar a i#pedir )ue so twares #al=intencionados >#alware? e spAwares seja# instalados e# u# co#putador ou aa# altera%es nesse co#putador& O 5ontrole de 5onta de Csu+rio per#ite )ue as seguintes altera%es e# nvel de siste#a ocorra# se# pro#pts* #es#o )uando u# usu+rio est+ conectado co#o u# usu+rio local: 1 "nstalar atuali$a%es do Windows Cpdate 1 "nstalar drivers do Windows Cpdate ou drivers )ue so ornecidos junto co# o siste#a operacional 1 94ibir con igura%es do siste#a operacional Windows 1 9#parel8ar dispositivos Iluetoot8 co# o co#putador 1 3ede inir o adaptador de rede e reali$ar outras tare as de diagnstico e reparo de rede

#omo modificar o comportamento do #ontrole de #onta de %su"rio


<oc( pode #odi icar a e4peri(ncia de noti icao do 5ontrole de 5onta de Csu+rio de or#a a ajustar a re)u(ncia e o co#porta#ento de pro#pts desse recurso& Para #odi icar o co#porta#ento do 5ontrole de 5onta de Csu+rio e# u# ;nico co#putador* acesse o painel de controle do Windows .erver 2012* e# .iste#a e .egurana& <oc( ta#b,# pode de inir con igura%es de 5ontrole de 5onta de Csu+rio acessando o seguinte local no GPM5: $onfigurao do $omputador92ol3ticas9$onfiguraes do Windows9$onfiguraes de &egurana92ol3ticas Locais9)pes de &egurana <eja a seguir e4e#plos de algu#as con igura%es de GPO )ue voc( pode de inir para o 5ontrole de 5onta de Csu+rio:

1 $ontrole de $onta de @su:rio: e;ecutar todos os administradores no >odo de Apro ao de Administrador& 5ontrola o co#porta#ento de todas as con igura%es de poltica de 5ontrole de 5onta de Csu+rio para o co#putador& .e essa con igurao estiver desabilitada* o 5ontrole de 5onta de Csu+rio no ser+ e4ecutado nesse co#putador& 1 $ontrole de $onta de @su:rio: >odo de Apro ao de Administrador para a conta de administrador interno& 'uando voc( 8abilita essa con igurao* a conta de ad#inistrador interno usa o Modo de -provao de -d#inistrador& 1 $ontrole de $onta de @su:rio: detectar instalaes de aplicati os e perguntar se deseAa ele ar& 9ssa con igurao controla o co#porta#ento de deteco de instalao de aplicativos para o co#putador& 1 $ontrole de $onta de @su:rio: ele ar somente e;ecut: eis assinados e alidados& 'uando voc( 8abilita essa con igurao* u#a veri icao de PJ" >"n raestrutura de 58ave P;blica? , reali$ada no ar)uivo e4ecut+vel para veri icar se ele prov,# de u#a onte con i+vel& .e o ar)uivo or veri icado* ele poder+ ser e4ecutado&

)bser ao: Por padro* o 5ontrole de 5onta de Csu+rio no est+ con igurado ou 8abilitado e# instala%es .erver 5ore do Windows .erver 2012&

#onfigurao da auditoria de segurana

@or#al#ente* u# dos co#ponentes da estrat,gia de segurana de u#a organi$ao , o registro do co#porta#ento de atividades do usu+rio& 9sse co#porta#ento pode incluir tentativas be# ou #al sucedidas de acessar dados crticos para negcios )ue esto ar#a$enados e# pastas di erentes ou tentativas de logon be# ou #al sucedidas e# servidores di erentes& O registro desses eventos relacionados B segurana , c8a#ado de Auditoria de Segurana& - auditoria de segurana produ$ logs de eventos de segurana )ue os ad#inistradores pode# ento ver no Eog de 9ventos de .egurana do <isuali$ador de 9ventos& -ps a con igurao da auditoria* as in or#a%es e# logs de eventos de segurana pode# ajudar a sua organi$ao a auditar a con or#idade co# i#portantes dados relacionados a segurana e aos negcios* aco#pan8ando atividades precisa#ente de inidas co#o: 1 C# ad#inistrador de grupo )ue #odi icou con igura%es ou dados e# servidores )ue cont(# in or#a%es alta#ente con idenciais& 1 C# uncion+rio dentro de u# grupo de inido )ue acessou u#a pasta i#portante contendo dados de di erentes departa#entos& 1 C# usu+rio )ue est+ tentando a$er logon e# sua conta repetida#ente se# sucesso a partir de u# co#putador interno da e#presa& <oc( pode descobrir )ue o propriet+rio da conta de usu+rio estava de ,rias na)uela se#ana* o )ue signi ica )ue outro uncion+rio estava tentando a$er logon co# u#a conta de usu+rio di erente& <oc( pode de inir con igura%es de -uditoria de .egurana acessando o seguinte local no GPM5: $onfigurao do $omputador92ol3ticas9$onfiguraes do Windows9$onfiguraes de &egurana9 2ol3ticas Locais92ol3tica de Auditoria <eja a seguir e4e#plos de algu#as con igura%es de GPO )ue voc( pode de inir para auditoria: 1 Auditoria de e entos de logon de conta& 2eter#ina se o siste#a operacional a$ auditoria se#pre )ue o co#putador valida as credenciais de u#a conta& 1 Auditoria de gerenciamento de contas& 2eter#ina se , necess+rio a$er a auditoria de cada evento de gerencia#ento de conta* co#o criar* alterar* reno#ear

ou e4cluir u#a conta de usu+rio* alterar u#a sen8a ou 8abilitar ou desabilitar u#a conta de usu+rio& 1 Auditoria de acesso a obAetos& 2eter#ina se as auditorias do siste#a operacional t(# acesso a objetos no=-ctive 2irectorA* co#o pastas ou ar)uivos& -ntes de de inir con igura%es de auditoria co# a Poltica de Grupo* voc( precisa con igurar .-5Es >listas de controle de acesso do siste#a? e# pastas ou ar)uivos para per#itir a auditoria de u# tipo espec ico de ao* co#o gravar* ler ou #odi icar& 1 Auditoria de e ento do sistema& 2eter#ina se o siste#a operacional a$ auditorias de eventos relacionados ao siste#a* co#o tentar #udar o 8or+rio do siste#a* tentar u#a iniciali$ao ou u# desliga#ento do siste#a ou )uando o ta#an8o do log de segurana e4cede u# aviso de li#ite con igur+vel&

Leitura adicional: Para obter #ais in or#a%es sobre auditoria de segurana* consulte o artigo sobre novidades e# auditoria de segurana e# *ttp:++go,microsoft,com+fwlin(+-Lin(.D/2001#1&

#onfigurao de grupos restritos

9# alguns casos* voc( pode )uerer controlar a associao de certos grupos e# u# do#nio* co#o o grupo de ad#inistradores locais* para evitar a adio de outras contas de usu+rios a esses grupos& M possvel usar a poltica de Grupos 3estritos para controlar a associao de grupo* especi icando )uais #e#bros so colocados e# u# grupo& .e voc( de inir u#a

poltica de Grupos 3estritos e depois atuali$ar a Poltica de Grupo* )ual)uer #e#bro atual de u# grupo )ue no esteja na lista de #e#bros da poltica de Grupos 3estritos ser+ re#ovido* incluindo #e#bros padro co#o ad#inistradores de do#nio& 9#bora voc( possa controlar grupos de do#nio atribuindo polticas de Grupos 3estritos a controladores de do#nio* essa con igurao deve ser usada principal#ente para con igurar a associao de grupos crticos* co#o -d#inistradores de 9#presa e -d#inistradores de 9s)ue#a& <oc( ta#b,# pode usar essa con igurao para controlar a associao de grupos locais internos e# esta%es de trabal8o e servidores #e#bros& Por e4e#plo* , possvel colocar o grupo -ssist(ncia !,cnica no grupo local -d#inistradores e# todas as esta%es de trabal8o& @o , possvel especi icar usu+rios locais e# u# GPO de do#nio& Os usu+rios locais )ue esto atual#ente no grupo local controlado pela poltica de Grupos 3estritos sero re#ovidos& - ;nica e4ceo a isso , )ue a conta local de -d#inistradores est+ se#pre no grupo local de -d#inistradores& <oc( pode de inir as con igura%es para Grupos 3estritos acessando o seguinte local no GPM5: $onfigurao do $omputador92ol3ticas9$onfiguraes do Windows9$onfiguraes de &egurana9 Brupos "estritos

Definio de configurao de poltica de conta

Polticas de conta protege# as contas e os dados da sua organi$ao* redu$indo a a#eaa de ata)ues )ue tenta# adivin8ar o no#e de usu+rio e a sen8a da conta >esse tipo de ata)ue , Bs ve$es c8a#ado de ataque com fora bruta?& Proteger seu

a#biente de rede e4ige )ue todos os usu+rios utili$e# sen8as ortes& <oc( usa con igura%es de poltica de sen8a para controlar a co#ple4idade e o te#po de vida das sen8as de usu+rio& 5on igura%es de poltica de sen8a so de inidas atrav,s da Poltica de Grupo&

Polticas de #onta
5o#ponentes de poltica de conta inclue# polticas de sen8a* polticas de blo)ueio de conta e a Poltica Jerberos& -s con igurao de poltica e# polticas de 5onta so i#ple#entadas no nvel do do#nio& C# do#nio do Windows .erver 2012 pode ter v+rias polticas de blo)ueio de contas e sen8as* )ue so c8a#adas de pol ticas de senha refinadas& <oc( pode aplicar essas polticas a u# usu+rio ou a u# grupo de segurana global e# u# do#nio* #as no a u#a CO&

)bser ao: .e voc( precisar aplicar u#a poltica de sen8a re inada aos usu+rios de u#a CO* poder+ usar u# grupo de sombra* )ue , u# grupo de segurana global logica#ente #apeado para u#a CO&

<oc( pode de inir con igura%es de poltica de conta acessando o seguinte local no GPM5: $onfigurao do $omputador92ol3ticas9$onfiguraes do Windows9$onfiguraes de &egurana9 2ol3ticas de $onta&

Poltica de enha
-s polticas de sen8a )ue voc( pode con igurar esto listadas na tabela a seguir&

2ol3tica
- sen8a deve satis a$er a re)uisitos de co#ple4idade

%uno
1 94ige )ue as sen8as: o 3espeite o re)uisito de co#pri#ento estabelecido pelo 5o#pri#ento Mni#o da .en8a* co# u#

2r:tica recomendada
Nabilite essa con igurao& 9sses re)uisitos de co#ple4idade pode# ajudar a garantir u#a sen8a orte& .en8as ortes so #ais di ceis de descodi icar do )ue sen8as )ue cont(# letras si#ples ou n;#eros&

#ni#o de tr(s caracteres se o 5o#pri#ento Mni#o da .en8a or de inido co#o 0&& o 5onten8a# u#a co#binao de pelo #enos tr(s dos seguintes tipos de caracteres: letras #ai;sculas* letras #in;sculas* n;#eros e s#bolos >sinais de pontuao?& o @o deve# conter o no#e de usu+rio ou o no#e de tela do usu+rio&

"nstrua os usu+rios a utili$are# rases secretas para criar sen8as longas +ceis de le#brar&

"#por 8istrico de sen8a

"#pede )ue os usu+rios crie# u#a nova sen8a igual B sen8a atual ou a u#a sen8a usada recente#ente& Para especi icar )uantas sen8as so #e#ori$adas* ornea u# valor& Por e4e#plo* u# valor de 1 signi ica )ue apenas a ;lti#a sen8a ser+ #e#ori$ada* en)uanto u# valor de O signi ica )ue as cinco sen8as anteriores sero #e#ori$adas&

'uanto #aior o n;#ero* #el8or ser+ a segurana& O valor padro , 2P& "#por o 8istrico de sen8as garante )ue sen8as )ue icara# co#pro#etidas no seja# usadas repetida#ente&

!e#po de vida #+4i#o da sen8a

2e ine o n;#ero #+4i#o de dias durante os )uais u#a sen8a , v+lida& -ps esse n;#ero de dias* o usu+rio ter+ )ue #udar a sen8a&

O valor padro , P2 dias* #as a #el8or pr+tica , de ini=lo co#o Q0 dias& -justar o n;#ero de dias co#o u# valor #uito alto ornece aos 8acFers u#a janela prolongada de oportunidade para deter#inar a sen8a& 2e inir o n;#ero de dias co#o u# valor #uito bai4o decepciona os usu+rios )ue precisa# #udar de sen8a co# #uita re)u(ncia e pode resultar e# c8a#adas #ais re)uentes para a assist(ncia t,cnica do setor de !"&

!e#po de vida #ni#o

2e ine o n;#ero #ni#o de dias )ue

2e ina o te#po de vida #ni#o da

da sen8a

deve# passar antes )ue u#a sen8a possa ser alterada&

sen8a para pelo #enos 1 dia& -o a$er isso* o usu+rio s pode #udar a sen8a u#a ve$ por dia& "sso ir+ ajudar a i#por outras con igura%es& Por e4e#plo* se as ;lti#as cinco sen8as ore# #e#ori$adas* isso ir+ garantir )ue pelo #enos cinco dias deve# se passar antes )ue o usu+rio possa reutili$ar a sen8a original& .e o te#po de vida #ni#o da sen8a or de inido co#o 0* o usu+rio poder+ trocar de sen8a seis ve$es no #es#o dia e co#ear a reutili$ar a sen8a original no #es#o dia&

5o#pri#ento #ni#o da sen8a

9speci ica o #enor n;#ero de caracteres )ue u#a sen8a pode ter&

2e ina o co#pri#ento entre : e 12 caracteres >desde )ue esses caracteres ta#b,# atenda# aos re)uisitos de co#ple4idade?& C#a sen8a #ais longa , #ais di cil de deci rar do )ue u#a sen8a #ais curta* supondo )ue essa sen8a no seja u#a palavra ou e4presso co#u#&

-r#a$enar a sen8a co# criptogra ia reversvel

6ornece suporte para aplicativos )ue e4ige# con8eci#ento de u#a sen8a de usu+rio para ins de autenticao&

@o use essa con igurao* a #enos )ue voc( use u# progra#a no )ual ela , necess+ria& Nabilitar essa con igurao di#inui a segurana de sen8as ar#a$enadas&

Poltica de &lo'ueio de #onta


-s Polticas de Ilo)ueio de 5onta )ue voc( pode con igurar esto listadas na tabela a seguir&

2ol3tica
Ei#ite de blo)ueio de conta

%uno
9speci ica o n;#ero de tentativas de login co# al8a )ue so per#itidas antes )ue a conta seja blo)ueada& Por e4e#plo* se o li#ite estiver de inido co#o R* a conta ser+ blo)ueada depois )ue u# usu+rio inserir

2r:tica recomendada
C#a de inio de O per#ite erros #oderados do usu+rio* e li#ita tentativas de logon repetidas para ins #al intencionados&

in or#a%es de logon incorretas tr(s ve$es& 2urao do blo)ueio de conta Per#ite )ue voc( especi i)ue u# pra$o de inido* e# #inutos* aps o )ual a conta , desblo)ueada auto#atica#ente e reto#a a operao nor#al& .e voc( especi icar 0* a conta ser+ blo)ueada inde inida#ente* at, )ue u# ad#inistrador a desblo)ueie #anual#ente 2epois )ue o li#ite or atingido e a conta or blo)ueada* ela per#anecer+ blo)ueada por u# te#po longo o su iciente para blo)uear ou i#pedir possveis ata)ues* #as por te#po curto o su iciente para no inter erir na produtividade de usu+rios legti#os& C#a durao de R0 a Q0 #inutos deve uncionar be# na #aioria das situa%es& Serar contador de blo)ueios de conta aps 2e ine u# pra$o para a contage# das tentativas de logon incorretas& .e a poltica estiver de inida para u#a 8ora* e o li#ite de blo)ueio de conta estiver de inido para tr(s tentativas* u# usu+rio poder+ inserir as in or#a%es de logon incorretas tr(s ve$es dentro de u#a 8ora& .e o usu+rio inserir in or#a%es incorretas duas ve$es* #as corretas na terceira ve$* o contador ser+ rede inido depois de u#a 8ora >a partir da pri#eira entrada incorreta?* e tentativas uturas co# al8a co#earo nova#ente a partir do n;#ero u#& Csar u# intervalo de R0 a T0 #inutos , geral#ente su iciente para i#pedir ata)ues auto#ati$ados e tentativas #anuais por parte de u# atacante de adivin8ar sen8as&

Poltica (erberos
9ssa poltica , para contas de usu+rio de do#nio e deter#ina con igura%es relacionadas a Jerberos* co#o a vida ;til e a i#posio de t)uetes& Polticas Jerberos no e4iste# na Poltica de 5o#putador Eocal&

La oratrio !: !umento da segurana de recursos do ser"idor


#en"rio
- -& 2atu# 5orporation , u#a e#presa global de engen8aria e #anu atura co# sede e# Eondres* "nglaterra& C# escritrio de !" e u# datacenter esto locali$ados e#

Eondres co#o suporte B locali$ao e# Eondres e outras locali$a%es& 3ecente#ente* a -& 2atu# i#plantou u#a in raestrutura do Windows .erver 2012 co# clientes Windows :& <oc( trabal8a para a -& 2atu# 8+ v+rios anos co#o especialista e# suporte para desFtop& @este cargo* voc( visitou co#putadores desFtop para solucionar proble#as co# aplicativos e redes& 3ecente#ente* voc( aceitou u#a pro#oo para trabal8ar na e)uipe de suporte a servidores& 5o#o novo #e#bro da e)uipe* voc( ajuda a i#plantar e a con igurar novos servidores e servios na in raestrutura e4istente co# base nas instru%es recebidas do gerente de !"& .eu gerente l8e deu algu#as con igura%es de segurana )ue precisa# ser i#ple#entadas e# todos os servidores #e#bros& <oc( ta#b,# precisa i#ple#entar a auditoria do siste#a de ar)uivos para u# co#partil8a#ento de ar)uivos usado pelo departa#ento de MarFeting& 6inal#ente* voc( precisa i#ple#entar a auditoria para logons de do#nio&

Objetivos
2epois de concluir este laboratrio* voc( ser+ capa$ de: 1 Csar a Poltica de Grupo para proteger servidores #e#bros& 1 -uditar o acesso ao siste#a de ar)uivos& 1 -uditar logons de do#nio&

#onfigurao do laborat)rio
!e#po previsto: T0 #inutos

M+)uinas virtuais

2PP10I=EO@=251 2PP10I=EO@=.<31 2PP10I=EO@= 5E1

@o#e de usu+rio

-2-!CMK-d#inistrador

.en8a

PaUUw0rd

@este laboratrio* voc( usar+ o a#biente de #+)uina virtual disponvel& -ntes de iniciar o laboratrio* voc( deve concluir as seguintes etapas: 1& @o co#putador 8ost* cli)ue e# .niciar* aponte para %erramentas Administrati as e cli)ue e# Berenciador do CDper=V& 2& @o Gerenciador do NAper=</* cli)ue e# 2##1E'=L)F=D$1 e* no painel -%es* cli)ue e# .niciar& R& @o painel -%es* cli)ue e# $onectar& 9spere at, )ue a #+)uina virtual seja iniciada& P& 9ntre usando as seguintes credenciais: o o O& @o#e de usu+rio: ADA6@>9Administrador .en8a: 2aGGwErd

3epita as etapas de 2 a P para 2##1E'=L)F=&V"1 e as etapas 2 e R para 2##1E'=L)F=$L1& @o entre e# EO@=5E1 at, receber instru%es&

*+erccio ,: #omo usar a Poltica de -rupo para proteger servidores membros

Cenrio - e#presa -& 2atu# usa o grupo de -d#inistradores do 5o#putador para ornecer aos ad#inistradores per#iss%es para ad#inistrar servidores #e#bros& 5o#o parte do processo de instalao de u# novo servidor* o grupo de -d#inistradores do 5o#putador no do#nio , adicionado ao grupo de -d#inistradores local no novo servidor& 3ecente#ente* essa etapa i#portante no era eita durante a con igurao de v+rios novos servidores #e#bros& Para assegurar )ue o grupo de -d#inistradores do 5o#putador se#pre receba per#isso para gerenciar servidores #e#bros* o gerente pediu para voc( criar u#

GPO )ue de ina a associao do grupo local de -d#inistradores e# servidores #e#bros* de or#a a incluir -d#inistradores de .ervidor de 5o#putador& 9sse GPO ta#b,# precisa 8abilitar o Modo de -provao de -d#inistrador para o 5ontrole de 5onta de Csu+rio& -s principais tare as deste e4erccio so: 1& 5riar u#a CO >unidade organi$acional? de .ervidores Me#bros e #over servidores at, ela 2& R& 5riar u# grupo de -d#inistradores de .ervidor 5riar u# GPO >Objeto de Poltica de Grupo? de 5on igura%es de .egurana de .ervidores Me#bros e vincul+=lo B CO de .ervidores Me#bros P& 5on igurar a associao de grupo para ad#inistradores locais de or#a a incluir -d#inistradores de .ervidor e -d#inistradores de 2o#nio O& <eri icar se o grupo -d#inistradores do 5o#putador oi adicionado ao grupo de -d#inistradores local T& Modi icar o GPO de 5on igura%es de .egurana de .ervidores Me#bros para re#over Csu+rios de Per#itir logon local#ente V& Modi icar o GPO de 5on igura%es de .egurana de .ervidores Me#bros para 8abilitar 5ontrole de 5onta de Csu+rio: Modo de -provao de -d#inistrador para a conta de ad#inistrador interno :& <eri icar se u# usu+rio no ad#inistrativo no consegue a$er logon e# u# servidor #e#bro

.arefa ,: #riar uma %O /unidade organi0acional1 de mover servidores at3 ela

ervidores 2embros e

1& 2&

9# EO@=251* abra @su:rios e $omputadores do Acti e DirectorD& 5rie u#a nova CO deno#inada @) de &er idores >embros&

R&

Mova os servidores L)F=&V"1 e L)F=&V"2 at, @) de &er idores >embros&

.arefa 4: #riar um grupo de Administradores de

ervidor

1 9# EO@=251* e# @) de &er idores >embros* crie u# novo grupo de segurana global c8a#ado Administradores de &er idor&

.arefa 5: #riar um -PO /Objeto de Poltica de -rupo1 de #onfigura$es de egurana de ervidores 2embros e vincul"6lo 7 %O de ervidores 2embros

1& 2&

9# EO@=251* abra o $onsole de Berenciamento de 2ol3tica de Brupo& @o GPM5 >5onsole de Gerencia#ento de Poltica de Grupo?* no cont(iner Objetos de Poltica de Grupo* crie u# novo B2) co# o no#e $onfiguraes de &egurana de &er idores >embros&

R&

@o 5onsole de Gerencia#ento de Poltica de Grupo* vincule as $onfiguraes de &egurana de &er idores >embros B @) de &er idores >embros&

.arefa 8: #onfigurar a associao de grupo para administradores locais de forma a incluir Administradores de ervidor e Administradores de Domnio

1& 2& R&

9# EO@=251* abra o $onsole de Berenciamento de 2ol3tica de Brupo& 9dite a 2ol3tica de Dom3nio 2adro& @avegue at, $onfigurao do $omputador* cli)ue e# 2ol3ticas* cli)ue e# $onfiguraes do Windows* cli)ue e# $onfiguraes de &egurana e depois cli)ue e# Brupos restritos&

P&

-dicione os grupos Administradores de &er idor e Admins, Do dom3nio ao grupo Administradores&

O&

6ec8e o 9ditor de Gerencia#ento de Polticas de Grupo&

.arefa 9: :erificar se o grupo Administradores do #omputador foi adicionado ao grupo de Administradores local

1&

Mude para L)F=&V"1 e entre co#o ADA6@>9Administrador co# a sen8a 2aGGwErd&

2&

-bra u#a janela do Windows Power.8ell/ e* no pro#pt de co#ando do Windows Power.8ell* digite o seguinte co#ando:
Gpupdate /force

R&

-bra o Berenciador do &er idor* abra o console Berenciamento do computador e e4panda @su:rios e Brupos Locais&

P&

5on ir#e )ue o grupo Administradores cont,# tanto ADA6@>9Admins, Do dom3nio e ADA6@>9Administradores de &er idor co#o #e#bros&

O&

6ec8e o console Gerencia#ento do co#putador&

.arefa ;: 2odificar o -PO de #onfigura$es de egurana de ervidores 2embros para remover %su"rios de Permitir logon localmente

1& 2&

-lterne para L)F=D$1& 9# EO@=251* no GPM5* edite o GPO de $onfiguraes de &egurana de &er idores de >embros&

R&

@a janela 9ditor de Gerencia#ento de Polticas de Grupo* navegue at, $onfigurao do $omputador92ol3ticas9$onfiguraes do Windows9$onfiguraes de segurana9 2ol3ticas locais9Atribuio de direitos de usu:rio e con igure 2ermitir logon local para os grupos de segurana Admins, Do dom3nio e Administradores&

.arefa <: 2odificar o -PO de #onfigura$es de egurana de ervidores 2embros para habilitar #ontrole de #onta de %su"rio: 2odo de Aprovao de Administrador para a conta de administrador interno

1&

9# EO@=251* na janela 9ditor do Gerencia#ento de Polticas de Grupo* navegue at, $onfigurao do $omputador92ol3ticas9$onfiguraes do Windows9$onfiguraes de segurana92ol3ticas locais9)pes de &egurana&

2&

Nabilite $ontrole de $onta de @su:rio: >odo de Apro ao de Administrador para a conta de administrador interno&

R&

6ec8e o 9ditor de Gerencia#ento de Poltica de Grupo&

.arefa =: :erificar se um usu"rio no administrativo no consegue fa0er logon em um servidor membro

1& 2&

-lterne para EO@=.<31& -bra u#a janela do Windows Power.8ell e* no pro#pt do Windows Power.8ell* digite o seguinte co#ando:
Gpupdate /force

R& P& O& T&

.aia de EO@=.<31& !ente entrar e# L)F=&V"1 co#o ADA6@>9Adam co# a sen8a 2aGGwErd& <eri i)ue se voc( no consegue entrar e# EO@=.<31& Para se preparar para o pr4i#o e4erccio* aa logo de EO@=.<31 e volte a a$er logon e# EO@=.<31 co#o ADA6@>9Administrador co# a sen8a 2aGGwErd&

"esultados: -o ter#inar este e4erccio* voc( ter+ usado a Poltica de Grupo para proteger servidores Me#bro&

*+erccio 4: Auditoria do acesso ao sistema de ar'uivos

Cenrio O gerente do departa#ento de MarFeting est+ preocupado por)ue no , possvel controlar )ue# est+ acessando os ar)uivos )ue esto no co#partil8a#ento de ar)uivos do departa#ento& .eu gerente e4plicou )ue so#ente os usu+rios co# per#iss%es esto autori$ados a acessar os ar)uivos& @o entanto* o gerente do departa#ento de MarFeting gostaria de tentar registrar o acesso aos ar)uivos )ue esto no co#partil8a#ento de ar)uivos para ver )uais usu+rios esto acessando ar)uivos espec icos& .eu gerente l8e pediu para 8abilitar a auditoria para o siste#a de ar)uivos )ue se encontra no co#partil8a#ento de ar)uivos do departa#ento de MarFeting e para analisar os resultados co# o gerente do departa#ento de MarFeting& -s principais tare as deste e4erccio so: 1& Modi icar o GPO de 5on igura%es de .egurana de .ervidores Me#bros para 8abilitar a auditoria de acesso a objetos 2& R& P& O& 5riar e co#partil8ar u#a pasta Nabilitar a auditoria na pasta MarFeting para Csu+rios de 2o#nio 5riar u# novo ar)uivo no co#partil8a#ento de ar)uivos a partir de EO@=5E1 <er os resultados no log de segurana no controlador de do#nio

.arefa ,: 2odificar o -PO de #onfigura$es de egurana de 2embros para habilitar a auditoria de acesso a objetos

ervidores

1& 2& R&

-lterne para L)F=D$1& 9ntre e# L)F=D$1 co#o ADA6@>9Administrador co# a sen8a 2aGGwErd& @o GPM5* edite o GPO de $onfiguraes de &egurana de &er idores >embros&

P&

@a janela 9ditor do Gerencia#ento de Polticas de Grupo* navegue at, $onfigurao do $omputador92ol3ticas9$onfiguraes do Windows9$onfiguraes de segurana9 2ol3ticas locais92ol3tica de auditoria&

O& T&

Nabilite Auditoria de acesso a obAetos co# con igura%es de H;ito e %al*a& .aia de EO@=251&

.arefa 4: #riar e compartilhar uma pasta

1& 2& R& P&

-lterne para L)F=&V"1& 9ntre e# L)F=&V"1 co#o ADA6@>9Administrador co# a sen8a 2aGGwErd& 9# EO@=.<31* na unidade 5* crie u#a nova pasta co# o no#e >ar(eting& 5on igure a pasta >ar(eting co# per#iss%es de co#partil8a#ento de Leitura+Bra ao para o usu+rio Adam&

.arefa 5: >abilitar a auditoria na pasta 2ar?eting para %su"rios de Domnio

1&

9# EO@=.<31* na janela 2isco Eocal >5:?* de ina a auditoria na pasta >ar(eting* co# as seguintes con igura%es: o o o .elecionar u#a entidade de segurana: @su:rios do dom3nio !ipo: 6odas Per#isso: Ler e e;ecutarI Listar conte<do da pastaI LerI Bra ar

o 2&

2ei4e as outras con igura%es co# seus valores padro&

-tuali$e a Poltica de Grupo digitando o seguinte co#ando e# u#a janela do Power.8ell:

gpupdate /force

.arefa 8: #riar um novo ar'uivo no compartilhamento de ar'uivos a partir de @OA6#@,

1& 2& R&

-lterne para L)F=$L1& 9ntre e# L)F=$L1 co#o ADA6@>9Administrador co# a sen8a 2aGGwErd& -bra u#a janela de Pro#pt de 5o#ando e digite o seguinte co#ando:
gpupdate /force

P& O&

6ec8e a janela Pro#pt de 5o#ando& .aia de EO@=5E1 e depois entre nova#ente co#o ADA6@>9Adam co# a sen8a 2aGGwErd&

T&

-bra a pasta >ar(eting e# EO@=.<31 usando o seguinte ca#in8o C@5: 99L)F=&V"19>ar(eting&

V& :&

5rie u# docu#ento de te4to co# o no#e %uncion:rios& .aia de EO@=5E1&

.arefa 9: :er os resultados no log de segurana no controlador de domnio

1&

-lterne para L)F=&V"1 e inicie o Visuali7ador de ? entos&

2&

@a janela <isuali$ador de 9ventos* e4panda Logs do Windows e abra &egurana&

R&

<eri i)ue se os seguintes eventos e in or#a%es so e4ibidos: 1 Orige#: >icrosoft Windows securitD auditing 1 "2 do 9vento: #00! 1 5ategoria da tare a: &istema de ar8ui os 1 !entativa de acessar u# objeto&

"esultados: -o ter#inar este e4erccio* voc( dever+ ter 8abilitado a auditoria de acesso ao siste#a de ar)uivos&

*+erccio 5: Auditoria de logons do domnio

Cenrio -ps u#a reviso segurana* o co#it( de poltica de !" decidiu co#ear a aco#pan8ar todos os logons de usu+rios no do#nio& .eu gerente l8e pediu para 8abilitar a auditoria de logons de do#nio e veri icar se esse recurso est+ uncionando& -s principais tare as deste e4erccio so: 1& 2& R& P& O& T& Modi icar o GPO de Poltica de 2o#nio Padro 94ecute GPCpdate 9ntrar e# EO@=5E1 co# u#a sen8a incorreta -nalisar logs de eventos e# EO@=251 9ntrar e# EO@=5E1 co# a sen8a correta -nalisar logs de eventos e# EO@=251

.arefa ,: 2odificar o -PO de Poltica de Domnio Padro

1& 2& R&

-lterne para L)F=D$1& 9ntre e# L)F=D$1 co#o ADA6@>9Administrador co# a sen8a 2aGGwErd& 9# EO@=251* inicie o Berenciador do &er idor e* no Gerenciador do .ervidor* inicie o B2>$&

P& O&

9# EO@=251* no GPM5* edite o GPO 2ol3tica de Dom3nio 2adro& @a janela 9ditor do Gerencia#ento de Polticas de Grupo* navegue at, $onfigurao do $omputador92ol3ticas9$onfiguraes do Windows9$onfiguraes de segurana9 2ol3ticas locais92ol3tica de auditoria&

T&

Nabilite Auditoria de e entos de logon de conta co# con igura%es de H;ito e %al*a&

V&

-tuali$e a Poltica de Grupo usando o co#ando gpupdate +force&

.arefa 4: *+ecute -P%pdate

1& 2& R&

-lterne para L)F=$L1& 9ntre e# L)F=$L1 co#o ADA6@>9Administrador co# a sen8a 2aGGwErd& -bra u#a janela de Pro#pt de 5o#ando e digite o seguinte co#ando:
gpupdate /force

P&

6ec8e a janela Pro#pt de 5o#ando e saia de EO@=5E1&

.arefa 5: *ntrar em @OA6#@, com uma senha incorreta

1 9ntre e# EO@=5E1 co#o ADA6@>9Adam co# a sen8a 2assword&

)bser ao: 9ssa sen8a est+ proposital#ente incorreta para gerar u#a entrada de log de segurana )ue #ostra )ue oi eita u#a tentativa #al sucedida de logon&

.arefa 8: Analisar logs de eventos em @OA6D#,

1& 2&

9# EO@=251* inicie o Visuali7ador de ? entos& @a janela <isuali$ador de 9ventos* e4panda Logs do Windows e cli)ue e# &egurana&

R&

94a#ine os logs de eventos e# busca da seguinte #ensage#: W.D do ? ento #111 %al*a na pr4=autenticao do Jerberos, .nformaes da conta: .D de &egurana: ADA6@>9Adam&X

.arefa 9: *ntrar em @OA6#@, com a senha correta

1 9ntre e# L)F=$L1 co#o ADA6@>9Adam co# a sen8a 2aGGwErd&

)bser ao: 9ssa sen8a est+ correta* e voc( deve ser capa$ de entrar co# sucesso co#o Adam&

.arefa ;: Analisar logs de eventos em @OA6D#,

1& 2&

9# EO@=251* inicie o Visuali7ador de ? entos& @a janela <isuali$ador de 9ventos* e4panda Logs do Windows e cli)ue e# &egurana&

R&

94a#ine os logs de eventos e# busca da seguinte #ensage#: Y.D do ? ento #02# ) logon de uma conta foi conectada com K;ito, Fo o Logon: .D de &egurana: ADA6@>9Adam&X

"esultados: -o ter#inar este e4erccio* voc( ter+ 8abilitado a auditoria de logon de do#nio&

Para se preparar para o pr)+imo laborat)rio

1 Para se preparar para o pr4i#o laboratrio* dei4e as #+)uinas virtuais e# e4ecuo&

Lio #: $estrio de softwares


Os usu+rios precisa# ter acesso aos aplicativos )ue os ajuda# a trabal8ar& @o entanto* aplicativos desnecess+rios ou indesejados #uitas ve$es so instalados e# co#putadores cliente* seja intencional#ente ou para ins #al=intencionados ou no co#erciais& .o twares se# suporte ou no utili$ados no so #antidos ou protegidos pelos ad#inistradores e pode# ser usados co#o ponto de entrada para invasores obtere# acesso no autori$ado ou espal8are# vrus de co#putador& Por isso* , de e4tre#a i#portZncia )ue voc( garanta )ue apenas os so twares necess+rios seja# instalados e# todos os co#putadores da sua organi$ao& !a#b,# , vital )ue voc( i#pea a e4ecuo de so twares no per#itidos ou no #ais utili$ados ou co#patveis&

Objetivos da lio
-o concluir esta lio* voc( ser+ capa$ de: 1 94plicar co#o usar polticas de restrio de so tware para i#pedir a e4ecuo de so twares no autori$ados e# servidores e clientes&

1 2escrever a inalidade do -ppEocFer/& 1 2escrever regras do -ppEocFer e co#o us+=las para i#pedir a e4ecuo de so twares no autori$ados e# servidores e clientes& 1 2escrever co#o criar regras do -ppEocFer&

O 'ue so polticas de restrio de softBareC

"ntrodu$idas nos siste#as operacionais Windows [P e Windows .erver 200R* .3Ps >polticas de restrio de so tware? ornece# aos ad#inistradores erra#entas )ue eles pode# usar para identi icar e especi icar )uais aplicativos t(# per#isso para sere# e4ecutados e# co#putadores cliente& <oc( con igura e i#planta con igura%es de .3P e# clientes usando a Poltica de Grupo& .3Ps so usadas no Windows .erver 2012 para ornecer co#patibilidade co# o Windows [P e o Windows <ista/& C#a .3P , co#posta de regras e nveis de segurana&

!egras
3egras deter#ina# co#o a .3P responde a u# aplicativo )ue est+ sendo e4ecutado ou instalado& 9las so as principais constru%es e# u#a .3P* e u# grupo de regras deter#ina co#o u#a .3P responde a aplicativos )ue esto sendo e4ecutados& 3egras pode# se basear e# u# dos seguintes crit,rios )ue se aplica# ao ar)uivo e4ecut+vel principal do aplicativo e# )uesto:

1 Nas8& C#a i#presso digital criptogr+ ica do ar)uivo& 1 5erti icado& C# certi icado de ornecedor de so tware )ue , usado para assinar digital#ente u# ar)uivo& 1 5a#in8o& O ca#in8o local ou C@5 no )ual o ar)uivo est+ ar#a$enado& 1 Sona& - $ona da "nternet&

Avel de egurana
5ada .3P aplicada recebe u# nvel de segurana )ue deter#ina de )ue #odo o siste#a operacional reage )uando o aplicativo )ue est+ de inido na regra , e4ecutado& -s tr(s con igura%es de nvel de segurana disponveis so as seguintes: 1 Fo 2ermitido& O so tware identi icado na regra no ser+ e4ecutado* independente#ente dos direitos de acesso do usu+rio& 1 @su:rio ':sico& Per#ite )ue o so tware identi icado na regra seja e4ecutado co#o u# usu+rio no ad#inistrativo padro&

1 .rrestrito& Per#ite )ue o so tware identi icado na regra seja e4ecutado se# restri%es pela .3P& Csando essas tr(s con igura%es* e4iste# tr(s #aneiras principais de usar .3Ps: 1 .e u# ad#inistrador tiver u#a lista co#pleta de todos os so twares )ue deve# ter autori$ao para sere# e4ecutados e# clientes* o @vel de .egurana Padro poder+ ser de inido co#o Fo 2ermitido& !odos os aplicativos )ue deve# ter autori$ao para sere# e4ecutados pode# ser identi icados nas regras de .3P )ue aplicaria# o nvel de segurana @su:rio ':sico ou .rrestrito a cada aplicativo* dependendo dos re)uisitos de segurana& 1 .e u# ad#inistrador no tiver u#a lista co#pleta dos so twares )ue deve# ter autori$ao para sere# e4ecutados e# clientes* o @vel de .egurana Padro poder+ ser de inido co#o .rrestrito ou @su:rio ':sico* dependendo dos re)uisitos de segurana& 'ual)uer aplicativo )ue no deve ter autori$ao para ser

e4ecutado pode ser identi icado co# o uso de regras de .3P* )ue usaria# u#a con igurao de nvel de segurana Fo 2ermitido&

5on igura%es de Polticas de 3estrio de .o twares esto disponveis e# Poltica de Grupo* no seguinte local: 5on igurao do 5o#putadorKPolticasK5on igura%es do WindowsK5on igura%es de .eguranaK Polticas de 3estrio de .o twares&

O 'ue 3 App@oc?erC

O -ppEocFer* introdu$ido nos siste#as operacionais Windows V e Windows .erver 200: 32* , u# recurso de con igurao de segurana )ue controla )uais aplicativos os usu+rios esto autori$ados a e4ecutar& O -ppEocFer o erece aos ad#inistradores u#a a#pla variedade de #,todos para deter#inar de #aneira r+pida e concisa a identidade de aplicativos )ue eles pode# )uerer restringir ou aos )uais eles pode# )uerer per#itir acesso& <oc( aplica o -ppEocFer atrav,s da Poltica de Grupo a objetos de co#putador dentro de u#a CO& <oc( ta#b,# pode aplicar regras de -ppEocFer individuais a usu+rios ou grupos individuais do -2 2.& O -ppEocFer ta#b,# cont,# op%es para #onitorar ou auditar a aplicao de regras& O -ppEocFer pode ajudar as organi$a%es a evitar a e4ecuo de so twares se# licena ou #al=intencionados* al,# de poder restringir a instalao de controles -ctive[/& 9le ta#b,# pode redu$ir o custo total de propriedade* garantindo )ue as esta%es de trabal8o seja# padroni$ados e# toda a e#presa e )ue os usu+rios esteja# e4ecutando apenas os so twares e os aplicativos aprovados pela e#presa&

Csando a tecnologia -ppEocFer* as e#presas pode# redu$ir a sobrecarga ad#inistrativa e ajudar os ad#inistradores a controlar co#o os usu+rios pode# acessar e usar ar)uivos* co#o ar)uivos &e4e* scripts* ar)uivos do Windows "nstaller >&#si e &#sp? e 2EEs& <oc( pode usar o -ppEocFer para restringir so twares )ue: 1 @o t(# per#isso para sere# usados na e#presa& Por e4e#plo* so twares )ue possa# atrapal8ar a produtividade dos uncion+rios* co#o so twares de rede social* ou so twares )ue trans#ita# ar)uivos de vdeo ou i#agens usando u#a grande )uantidade de largura de banda de rede e espao e# disco& 1 @o so #ais usados ou ora# substitudos por u#a verso #ais recente& Por e4e#plo* so twares para os )uais no e4iste #ais #anuteno ou cujas licenas e4pirara#& 1 @o t(# #ais suporte na e#presa& .o twares )ue no esto atuali$ados co# atuali$a%es de segurana pode# representar u# risco de segurana& 1 2eve ser usados apenas por departa#entos espec icos&

<oc( pode de inir con igura%es do -ppEocFer navegando no GPM5 at,: 5on igurao do 5o#putadorK PolticasK5on igura%es do WindowsK5on igura%es de .eguranaKPolticas de 5ontrole de -plicativo&

)bser ao: O -ppEocFer utili$a o servio de "dentidade de -plicativo para veri icar os atributos de u# ar)uivo& 9sse servio deve ser con igurado para ser iniciado auto#atica#ente e# cada co#putador no )ual o -ppEocFer deve ser aplicado& .e o servio de "dentidade de -plicativo no estiver e# e4ecuo* polticas do -ppEocFer no sero aplicadas&

Leitura adicional: Para obter #ais in or#a%es sobre o -ppEocFer* consulte a viso geral do -ppEocFer e# *ttp:++go,microsoft,com+fwlin(+-Lin(.D/2001#L&

!egras do App@oc?er

O -ppEocFer de ine regras baseadas e# atributos de ar)uivos )ue so derivados da assinatura digital do ar)uivo& -tributos de ar)uivos na assinatura digital inclue#: 1 @o#e do ornecedor 1 @o#e do produto 1 @o#e do ar)uivo 1 <erso do ar)uivo

#onfigurao padro
Por padro* no 8+ polticas do -pplocFer de inidas* o )ue signi ica )ue no 8+ aplicativos blo)ueados& M possvel con igurar regras padro para cada coleo de regras& -s regras padro garante# )ue os aplicativos nos diretrios -r)uivos de Progra#as e Windows t(# per#isso para sere# e4ecutados e )ue ne# todos os aplicativos pode# ser e4ecutados para o grupo -d#inistradores& -s regras padro deve# ser 8abilitadas se voc( pretende i#ple#entar as polticas do -pplocFer* j+ )ue esses aplicativos so necess+rios para )ue os siste#as operacionais Windows seja# e4ecutados e operados nor#al#ente&

A$es de regras Permitir e Aegar


2ermitir e Fegar so a%es de regras )ue per#ite# ou nega# a e4ecuo de aplicativos co# base e# u#a lista de aplicativos )ue voc( con igura& - ao 2ermitir

e# regras li#ita a e4ecuo de aplicativos a u#a lista per#itida de aplicativos* blo)ueando todo o resto& - ao Fegar e# regras te# u#a abordage# oposta e per#ite a e4ecuo de )ual)uer aplicativo* e4ceto a)ueles e# u#a lista de aplicativos negados& 9ssas a%es ta#b,# ornecer u# #eio de identi icar e4ce%es a essas a%es&

Impor ou omente Auditoria


'uando a poltica do -ppEocFer est+ de inida co#o .mpor* as regras so i#postas* e todos os eventos so auditados& 'uando a poltica do -ppEocFer est+ de inida co#o &omente Auditoria* as regras so avaliadas e os eventos so gravados no Eog do -ppEocFer* #as nen8u# tipo de i#posio ocorre&

Demonstrao: #riao de regras do App@oc?er


@esta de#onstrao* voc( ver+ co#o: 1 5riar u# GPO para i#por as regras padro de 94ecut+veis do -ppEocFer& 1 -plicar o GPO ao do#nio& 1 !estar a regra do -ppEocFer&

*tapas da demonstrao #riar um -PO para impor as regras padro de *+ecut"veis do App@oc?er
1& 2& R& P& 9ntre co#o ADA6@>9Administrator co# a sen8a 2aGGwErd& 9# EO@=251* abra o B2>$& 5rie u#a nova GPO deno#inada 2ol3tica de "estrio do Word2ad& 9dite as $onfiguraes de &egurana de 2ol3tica de "estrio do Word2ad usando o AppLoc(er para criar u#a nova "egra de ?;ecut: el& O& 2e ina a per#isso da nova regra co#o Fegar* a condio co#o %ornecedor e selecione wordpad,e;e& .e solicitado* cli)ue e# )J para criar regras padro&

T&

@o 9ditor de Gerencia#ento de Polticas de Grupo* navegue at, $onfigurao do $omputador9 2ol3ticas9$onfiguraes do Windows9$onfiguraes de segurana92ol3tica de $ontrole de Aplicati o9 AppLoc(er&

V& :&

9# AppLoc(er* con igure a i#posio co# .mpor regras& @o ?ditor de Berenciamento de 2ol3ticas de Brupo* navegue at, $onfigurao do $omputador9 2ol3ticas9$onfiguraes do Windows9$onfiguraes de segurana9&er ios do sistema&

Q&

5on igure 2ropriedades de .dentidade de Aplicati o co# Definir esta configurao de pol3tica e &elecionar o modo de iniciali7ao do ser io co# Autom:tico&

Aplicar o -PO ao domnio


1& @a janela Berenciamento de 2ol3ticas de Brupo* apli)ue o GPO de 2ol3tica de "estrio do Word2ad ao do#nio Adatum,com& 2& -bra u#a janela de Pro#pt de 5o#ando* digite gpupdate +force e pressione 9nter& R& "nicie e* e# seguida* entre e# 2##1E'=L)F=$L1 co#o ADA6@>9Alan* co# a sen8a 2aGGwErd& P& @a janela de Pro#pt de 5o#ando* digite gpupdate +force e pressione 9nter& -guarde a atuali$ao da poltica&

.este da regra de App@oc?er


1 9# L)F=$L1* entre co#o ADA6@>9Alan* tente iniciar o Word2ad e depois con ir#e )ue o WordPad no est+ sendo iniciado&

Lio %: Configurao do &irewall do Windows com

'egurana !"anada
O 6irewall do Windows co# .egurana -vanada , u#a erra#enta i#portante para #el8orar a segurana do Windows .erver 2012& 9sse snap=in ajuda a i#pedir v+rios proble#as de segurana di erentes* co#o varredura de portas ou #alware& O 6irewall do Windows co# .egurana -vanada te# v+rios per is de irewall* cada u# dos )uais aplicando con igura%es e4clusivas a di erentes tipos de redes& <oc( pode con igurar regras do 6irewall do Windows #anual#ente e# cada servidor* ou pode con igur+=las central#ente usando a Poltica de Grupo&

Objetivos da lio
-o concluir esta lio* voc( ser+ capa$ de: 1 2escrever os recursos do 6irewall do Windows co# .egurana -vanada& 1 94pli)ue por )ue u# irewall baseado e# 8ost , i#portante& 1 2escrever per is de irewall& 1 2escreva regras de segurana de cone4o& 1 94pli)ue co#o i#plantar regras do 6irewall do Windows&

O 'ue 3 o DireBall do EindoBs com egurana AvanadaC

O 6irewall do Windows , u# irewall baseado e# 8ost includo no Windows .erver 2012& 9sse snap=in , e4ecutado no co#putador local e restringe o acesso B rede para

e a partir desse co#putador& -o contr+rio de u# irewall de per#etro* )ue o erece proteo apenas contra a#eaas na "nternet* u# irewall baseado e# 8ost o erece proteo contra a#eaas de onde )uer )ue eles se origine#& Por e4e#plo* o 6irewall do Windows protege u# 8ost contra u#a a#eaa na E-@ >rede local?&

!egras de entrada e de sada


3egras de entrada controla# a co#unicao )ue , iniciada por outro dispositivo ou co#putador na rede co# o co#putador 8ost& Por padro* toda co#unicao de entrada , blo)ueada* e4ceto o tr+ ego )ue , e4plicita#ente per#itido por u#a regra de entrada& 3egras de sada controla# a co#unicao )ue , iniciada pelo co#putador 8ost e est+ destinada para u# dispositivo ou co#putador na rede& Por padro* toda co#unicao de sada , per#itida* e4ceto o tr+ ego )ue , e4plicita#ente blo)ueado por u#a regra de sada& .e voc( optar por blo)uear todas as co#unica%es de sada* e4ceto o tr+ ego )ue , e4plicita#ente per#itido* dever+ catalogar cuidadosa#ente os so twares )ue pode# ser e4ecutados nesse co#putador e a co#unicao de rede e4igida por esses so twares& <oc( pode criar regras de entrada e sada co# base e# portas C2P e !5P* e ta#b,# co# base e# outros protocolos& !a#b,# pode criar regras de entrada e sada )ue per#ite# o acesso a u#a rede e4ecut+vel espec ica* independente#ente do n;#ero da porta )ue est+ sendo usada&

!egras de egurana de #one+o


3egras de .egurana de 5one4o so usadas para con igurar o "Psec para o Windows .erver 2012& 'uando essas regras so con iguradas* voc( pode autenticar a co#unicao entre co#putadores e depois usar essas in or#a%es para criar regras de irewall baseadas e# contas espec icos de usu+rio e co#putador&

Op$es de configurao adicionais

O 6irewall do Windows co# .egurana -vanada , u# snap=in do MM5 >5onsole de Gerencia#ento Microso t? )ue per#ite reali$ar a con igurao avanada do 6irewall do Windows& O 6irewall do Windows no Windows : e no Windows .erver 2012 o erece os seguintes recursos: 1 O erece suporte para iltrage# no tr+ ego de entrada e de sada& 1 "ntegra con igura%es de iltrage# de irewall e proteo "Psec& 1 Per#ite )ue voc( con igure regras para controlar o tr+ ego de rede& 1 6ornece per is co# recon8eci#ento do local de rede& 1 Per#ite i#portar ou e4portar polticas&

<oc( pode con igurar o 6irewall do Windows e# cada co#putador individual#ente ou co# a Poltica de Grupo e#: 5on igurao do 5o#putadorKPolticasK5on igura%es do WindowsK 5on igura%es de .eguranaK6irewall do Windows co# .egurana -vanada

)bser ao: O Windows .erver 2012 introdu$ a opo adicional de ad#inistrar o 6irewall do Windows usando a inter ace de lin8a de co#ando do Windows Power.8ell&

Discusso: Por 'ue 3 importante um fireBall baseado no hostC

94a#ine a pergunta e# )uesto e participe de u#a discusso para identi icar os bene cios de usar u# irewall baseado e# 8ost* co#o o 6irewall do Windows co# .egurana -vanada& 2ergunta: por )ue , i#portante usar u# irewall baseado e# 8ost* co#o o 6irewall do Windows co# .egurana -vanadaG

Perfis de fireBall

O 6irewall do Windows co# .egurana -vanada usa per is de irewall para ornecer u#a con igurao consistente para redes de u# tipo espec ico e per#ite )ue voc( de ina u#a rede ou co#o rede de do#nio* rede p;blica ou rede privada& 5o# o 6irewall do Windows co# .egurana -vanada* voc( pode de inir u# conjunto de con igura%es para cada tipo de rede& 5ada conjunto de con igura%es , c8a#ado de perfil de fire!all& -s regras de irewall so ativadas so#ente para per is de irewall espec icos& O 6irewall do Windows co# .egurana -vanada inclui os per is na tabela a seguir&

2erfil
P;blico

Descrio
Cse )uando voc( estiver conectado a u#a rede p;blica no con i+vel& - no ser pelas redes de do#nio* todas as redes so classi icadas co#o P;blicas& Por padro* o per il P;blico >)ue , o #ais restritivo? , usado no Windows <ista* no Windows V e no Windows :&

Privado

Cse )uando voc( estiver conectado atr+s de u# irewall& C#a rede , classi icada co#o Privada so#ente )uando u# ad#inistrador ou u# aplicativo a identi ica co#o privada& -s redes #arcadas co#o 2o#,stica ou 5orporativa no Windows <ista* no Windows V e no Windows : so adicionadas ao per il Particular&

2o#nio

Cse )uando o seu co#putador i$er parte de u# do#nio do siste#a operacional Windows& .iste#as operacionais Windows identi ica# auto#atica#ente as redes nas )uais eles pode# autenticar o acesso ao controlador de do#nio& O per il 2o#nio ,atribudo a essas redes* e essa con igurao no pode ser alterada& @en8u#a outra rede pode ser colocada nessa categoria&

O Windows .erver 2012 per#ite )ue v+rios per is de irewall i)ue# ativos e# servidor ao #es#o te#po& "sso signi ica )ue u# servidor #ulti8o#ed )ue esteja conectado B rede interna e B rede de per#etro pode aplicar o per il de irewall de do#nio B rede interna e o per il de irewall p;blico ou privado B rede de per#etro&

!egras de egurana de #one+o

C#a regra de segurana de cone4o ora a autenticao entre dois co#putadores de #es#o nvel para )ue eles possa# estabelecer a co#unicao e trans#itir in or#a%es seguras& 9la ta#b,# protege esse tr+ ego criptogra ando os dados )ue so trans#itidos entre co#putadores& O 6irewall do Windows co# .egurana -vanada usa o "Psec para i#por essas regras&

-s regras de segurana de cone4o con igur+veis so: 1 "sola#ento& u#a regra de isola#ento isola os co#putadores* restringindo as cone4%es co# base e# credenciais* co#o associao do do#nio e status de integridade& -s regras de isola#ento per#ite# a i#ple#entao de u#a estrat,gia de isola#ento para servidores ou do#nios& 1 "seno de -utenticao& voc( pode usar u#a iseno de autenticao para designar cone4%es )ue no e4ige# autenticao& M possvel designar co#putadores por u# endereo "P espec ico* u# intervalo de endereos "P* u#a sub=rede ou por u# grupo prede inido* co#o u# gatewaA& 1 .ervidor=a=.ervidor& u#a regra de servidor a servidor protege as cone4%es entre co#putadores espec icos& Geral#ente* esse tipo de regra protege as cone4%es entre servidores& -o criar a regra* especi i)ue os pontos de e4tre#idade da rede entre os )uais as co#unica%es so protegidas& 9# seguida* designe os re)uisitos e a autenticao )ue voc( deseja usar&

1 "#nel& 5o# u#a regra de t;nel* voc( pode proteger cone4%es entre co#putadores de gatewaA& @or#al#ente* voc( usaria u#a regra de t;nel ao conectar=se atrav,s da "nternet entre dois gatewaAs de segurana& 1 Personali$ada& Cse u#a regra personali$ada para autenticar cone4%es entre dois pontos de e4tre#idade )uando voc( no pode con igurar regras de autenticao necess+rias usando as outras regras disponveis no novo -ssistente para @ova 3egra de .egurana de 5one4o&

#omo regras de fireBall e regras de segurana de cone+o trabalham juntas


3egras de irewall per#ite# o tr+ ego atrav,s do irewall* #as no protege# esse tr+ ego& Para proteger o tr+ ego co# "Psec* voc( pode criar regras de segurana de cone4o& @o entanto* regras de segurana de cone4o no per#ite# o tr+ ego atrav,s de u# irewall& <oc( deve criar u#a regra de irewall para a$er isso& 3egras de segurana de cone4o no so aplicadas a progra#as e servios& 9# ve$ disso* elas

so aplicadas entre os co#putadores )ue co#p%e# os dois pontos de e4tre#idade&

Implantao de regras de fireBall

- or#a co#o voc( i#planta as regras do 6irewall do Windows , u# ponto i#portante& 9scol8er o #,todo apropriado garante )ue as regras seja# i#plantadas precisa#ente e co# es oro #ni#o& <oc( pode i#plantar as regras de 6irewall do Windows das seguintes #aneiras: 1 Manual#ente& <oc( pode con igurar regras de irewall individual#ente e# cada servidor& @o entanto* e# u# a#biente co# #ais de alguns servidores* esse processo , trabal8oso e propenso a erros& 9sse #,todo geral#ente , usado so#ente durante testes e na soluo de proble#as& 1 Cso de Poltica de Grupo& - #aneira pre erencial de distribuir regras de irewall , usando a Poltica de Grupo& 2epois de criar e testar u# GPO co# as regras de irewall necess+rias* voc( pode i#plant+=las rapida#ente e co# preciso e# v+rios co#putadores& 1 94portando e i#portando regras de irewall& O 6irewall do Windows 6irewall co# .egurana -vanada ta#b,# d+ a voc( a opo de i#portar e e4portar regras de irewall& <oc( pode e4portar regras de irewall para criar u# bacFup antes de con igurar #anual#ente as regras de irewall durante o processo de soluo de proble#as&

)bser ao: 'uando voc( i#porta regras de irewall* elas so tratadas co#o u# conjunto co#pleto e substitue# todas as regras de irewall atual#ente con iguradas&

La oratrio (: Configurao do !ppLoc)er e do &irewall do Windows


#en"rio
- -& 2atu# 5orporation , u#a e#presa global de engen8aria e #anu atura co# sede e# Eondres* "nglaterra& C# escritrio de !" e u# datacenter esto locali$ados e# Eondres co#o suporte B locali$ao e# Eondres e outras locali$a%es& 3ecente#ente* a -& 2atu# i#plantou u#a in raestrutura do Windows .erver 2012 co# clientes Windows :& <oc( trabal8a para a -& 2atu# 8+ v+rios anos co#o especialista e# suporte para desFtop& @este cargo* voc( visitou co#putadores desFtop para solucionar proble#as co# aplicativos e redes& 3ecente#ente* voc( aceitou u#a pro#oo para trabal8ar na e)uipe de suporte a servidores& 5o#o novo #e#bro da e)uipe* voc( ajuda a i#plantar e a con igurar novos servidores e servios na in raestrutura e4istente co# base nas instru%es recebidas do gerente de !"& .eu gerente l8e pediu para i#ple#entar o -ppEocFer de or#a a i#pedir a e4ecuo de aplicativos no padro& 9le ta#b,# l8e pediu para criar novas regras do 6irewall do Windows para todos os servidores #e#bros )ue e4ecuta# aplicativos baseados na Web&

Objetivos
2epois de concluir este laboratrio* voc( ser+ capa$ de: 1 5on igurar polticas do -ppEocFer& 1 5on igurar o 6irewall do Windows&

#onfigurao do laborat)rio
!e#po previsto: T0 #inutos

M+)uinas virtuais @o#e de usu+rio .en8a

2PP10I=EO@=251 2PP10I=EO@=.<31 2PP10I=EO@=5E1 -2-!CMK-d#inistrador PaUUw0rd

@este laboratrio* voc( usar+ o a#biente de #+)uina virtual disponvel& -ntes de iniciar o laboratrio* e4ecute as etapas a seguir: 1& @o co#putador 8ost* cli)ue e# .niciar* aponte para %erramentas Administrati as e cli)ue e# Berenciador do CDper=V&

2&

@o Gerenciador do NAper=</* cli)ue e# 2##1E'=L)F=D$1 e* no painel -%es* cli)ue e# $onectar&

R&

.e necess+rio* entre usando as seguintes credenciais: o o @o#e de usu+rio: ADA6@>9Administrador .en8a: 2aGGwErd

P&

3epita as etapas de 2 a P para 2##1E'=L)F=&V"1 e 2##1E'=L)F=$L1&

*+erccio ,: #onfigurao de polticas do App@oc?er

Cenrio .eu gerente l8e pediu para con igurar novas polticas de -ppEocFer para controlar o uso de aplica%es nas +reas de trabal8o dos usu+rios& - nova con igurao deve per#itir )ue progra#as seja# e4ecutados apenas a partir de locais aprovados& !odos os usu+rios deve# ser capa$es de e4ecutar aplicativos a partir do diretrio

5:KWindows e de 5:K-r)uivos de Progra#as& <oc( ta#b,# precisa adicionar u#a e4ceo para e4ecutar u# aplicativo personali$ado )ue reside e# u# local no padro& - pri#eira ase da i#ple#entao registrar+ a con or#idade co# regras& - segunda ase de i#ple#entao i#pedir+ )ue progra#as no autori$ados seja# e4ecutados& -s principais tare as deste e4erccio so: 1& 2& R& 5riar u#a CO para co#putadores cliente Mover EO@=5E1 at, a CO de 5o#putadores 5liente 5riar u# GPO de controle de so tware e vincul+=lo B CO de 5o#putadores 5liente P& 94ecutar GPCpdate

O& T& V&

94ecutar app1&bat na pasta 5:K5usto#-pp <isuali$ar eventos do -ppEocFer/ e# u# log de eventos 5riar u#a regra )ue per#ita a e4ecuo do so tware a partir de u# local espec ico

:& Q&

Modi icar o GPO de 5ontrole de .o tware para i#por regras <eri icar se u# aplicativo ainda pode ser e4ecutado

10& 5on ir#ar )ue u# aplicativo no pode ser e4ecutado

.arefa ,: #riar uma %O para computadores cliente

1& 2& R&

-lterne para L)F=D$1& -bra @su:rios e $omputadores do Acti e DirectorD& 5rie u#a nova CO deno#inada @) de $omputadores $liente&

.arefa 4: 2over @OA6#@, at3 a %O de #omputadores #liente

1 9# EO@=251* no console Csu+rios e 5o#putadores do -ctive 2irectorA* #ova L)F=$L1 at, @) de $omputadores $liente&

.arefa 5: #riar um -PO de controle de softBare e vincul"6lo 7 %O de #omputadores #liente

1& 2&

9# EO@=251* abra o B2>$& @o GPM5* no cont(iner Objetos de Poltica de Grupo* crie u# novo GPO co# o no#e B2) de $ontrole de &oftware&

R& P&

9dite o GPO de 5ontrole de .o tware& @a janela 9ditor de Gerencia#ento de Polticas de Grupo* navegue at, $onfigurao do $omputador+2ol3ticas+$onfiguraes do Windows+ $onfiguraes de segurana+2ol3ticas de $ontrole de Aplicati o+AppLoc(er&

O&

5rie regras padro para o seguinte: o o o o "egras de ?;ecut: eis "egras do Windows .nstaller "egras de &cript "egras de aplicati os empacotados

T&

5on igure a i#posio de regras co# a opo &omente auditoria para o seguinte: o o "egras ?;ecut: eis "egras do Windows .nstaller

o o V&

"egras de &cript "egras para aplicati os empacotados

@o 9ditor de Gerencia#ento de Polticas de Grupo* navegue at, $onfigurao do $omputador9$onfiguraes do Windows9$onfiguraes de segurana* cli)ue e# &er ios do sistema e depois cli)ue duas ve$es e# .dentidade de Aplicati o&

:&

@a cai4a de di+logo 2ropriedades de .dentidade de Aplicati o* cli)ue e# Definir esta configurao de pol3tica e* e# &elecionar modo de iniciali7ao do ser io* cli)ue e# Autom:tico e depois cli)ue e# )J&

Q&

6ec8e o 9ditor de Gerencia#ento de Poltica de Grupo&

10& @o GPM5* vincule o B2) de $ontrole de &oftware B CO de 5o#putadores 5liente&

.arefa 8: *+ecutar -P%pdate

1& 2&

-lterne para L)F=$L1& -bra u#a janela de Pro#pt de 5o#ando e digite o seguinte co#ando:
gpupdate /force

R&

6ec8e a janela de Pro#pt de 5o#ando e reinicie L)F=$L1&

.arefa 9: *+ecutar app,Fbat na pasta #:G#ustomApp

1& 2&

9ntre e# L)F=$L1 co#o ADA6@>9Administrador co# a sen8a 2aGGwErd& 9# u# pro#pt de co#ando* digite o co#ando a seguir e pressione 9nter:
gpresult /R

-nalise o resultado do co#ando e veri i)ue se o B2) de $ontrole de &oftware est+ e4ibido e# 5on igura%es do 5o#putador* Objeto de Poltica de Grupo -plicados& .e o B2) de $ontrole de &oftware no estiver visvel* reinicie EO@= 5E1 e repita as etapas 1 e 2& R& 9# u# pro#pt de co#ando* digite o co#ando a seguir e pressione 9nter:

C:\CustomApp\app1.bat

.arefa ;: :isuali0ar eventos do App@oc?erH em um log de eventos

1& 2&

9# EO@=5E1* inicie o Visuali7ador de ? entos& @a janela do <isuali$ador de 9ventos* navegue at, Logs de Aplicati os e &er ios+>icrosoft+ Windows+AppLoc(er e revise os eventos&

R&

5li)ue e# >&. e &cripts e analise o log de eventos :00O )ue cont,# o seguinte te4to: M)&D".V?M9$@&6)>A229A221,'A6 permitido para e;ecuo&

)bser ao: .e nen8u# evento or e4ibido* veri i)ue se o servio de "dentidade de -plicativo oi iniciado e tente de novo&

.arefa <: #riar uma regra 'ue permita a e+ecuo do softBare a partir de um local especfico

1& 2&

9# EO@=251* edite o GPO de 5ontrole de .o tware& @avegue at, o seguinte local de de inio: $onfigurao do $omputador+ 2ol3ticas+$onfiguraes do Windows+$onfiguraes de segurana+

2ol3ticas de $ontrole de Aplicati o+AppLoc(er& R& 5rie u#a nova regra de script co# a seguinte con igurao: o o o o Per#iss%es: 2ermitir 5ondi%es: $amin*o 5a#in8o: M)&D".V?M9$ustomApp9app1,bat @o#e e 2escrio: "egra de Aplicati o 2ersonali7ado

.arefa =: 2odificar o -PO de #ontrole de

oftBare para impor regras

1&

Cse a opo .mpor regras para con igurar a i#posio de regras para o seguinte: o o o o "egras e;ecut: eis "egras do Windows .nstaller "egras de &cript "egras para aplicati os empacotados

2&

6ec8e o 9ditor de Gerencia#ento de Poltica de Grupo&

.arefa I: :erificar se um aplicativo ainda pode ser e+ecutado

1& 2&

-lterne para L)F=$L1& -bra u#a janela de Pro#pt de 5o#ando e digite o seguinte co#ando:
gpupdate /force

R&

6ec8e a janela de Pro#pt de 5o#ando e reinicie L)F=$L1&

P& O&

9ntre e# L)F=$L1 co#o ADA6@>96onD co# a sen8a 2aGGwErd& -bra u# pro#pt de co#ando e veri i)ue se voc( pode e4ecutar o aplicativo app1,bat* )ue est+ locali$ado na pasta $:9$ustomApp&

.arefa ,J: #onfirmar 'ue um aplicativo no pode ser e+ecutado

1& 2&

9# EO@=5E1* na pasta $ustomApp* copie app1,bat para a pasta Documentos& 5on ir#e )ue o aplicativo no pode ser e4ecutado a partir da pasta Documentos e veri i)ue se a seguinte #ensage# , e4ibida: W?ste programa est: blo8ueado por uma pol3tica de grupo, 2ara obter mais informaesI contate o administrador do sistema,X

"esultados: -o ter#inar este e4erccio* voc( ter+ con igurado polticas -ppEocFer para todos os usu+rios cujas contas de co#putador esto locali$adas na unidade organi$acional de 5o#putadores 5liente& -s polticas con iguradas deve# per#itir )ue esses usu+rios e4ecute# aplicativos )ue esto locali$ados nas pastas 5:KWindows e 5:K-r)uivos de Progra#as e e4ecute# o aplicativo personali$ado app1&bat na pasta 5:K5usto#-pp&

*+erccio 4: #onfigurao do DireBall do EindoBs

Cenrio .eu gerente l8e pediu para con igurar regras do 6irewall do Windows para u# conjunto de novos servidores de aplicativos& 9sses servidores de aplicativos t(# u# aplicativo baseado na Web )ue est+ escutando e# u#a porta no padro& <oc( precisa con igurar o 6irewall do Windows para per#itir a co#unicao de rede atrav,s dessa porta& <oc( usar+ a iltrage# de segurana para garantir )ue as novas regras do 6irewall do Windows se apli)ue# apenas aos servidores de aplicativos& -s principais tare as deste e4erccio so:

1& 2& R& P& O&

5riar u# grupo deno#inado .ervidores de -plicativos -dicionar EO@=.<31 co#o #e#bro do grupo 5riar u# novo GPO de .ervidores de -plicativos <incular o GPO de .ervidores de -plicativos B CO de .ervidores Me#bros Csar a iltrage# de segurana para li#itar o GPO de .ervidor de -plicativos a #e#bros do grupo .ervidor de -plicativos

T& V& :&

94ecutar GPCpdate e# EO@=.<31 <isuali$ar as regras de irewall e# EO@=.<31 Para se preparar para o pr4i#o #dulo

.arefa ,: #riar um grupo denominado ervidores de Aplicativos

1 9# EO@=251* e# Csu+rios e 5o#putadores do -ctive 2irectorA* na @) de &er idores >embros* crie u# novo grupo de segurana global c8a#ado &er idor de Aplicati os&

.arefa 4: Adicionar @OA6 :!, como membro do grupo

1 @o console Csu+rios e 5o#putadores do -ctive 2irectorA* na CO de .ervidores Me#bros* abra 2ropriedades de &er idor de Aplicati os e adicione L)F=&V"1 co#o #e#bro do grupo&

.arefa 5: #riar um novo -PO de

ervidores de Aplicativos

1& 2&

9# EO@=251* abra o B2>$& @o GPM5* no cont(iner Objetos de Poltica de Grupo* crie u# novo GPO co# o no#e B2) de &er idores de Aplicati os&

R&

@a janela 9ditor de Gerencia#ento de Polticas de Grupo* navegue at, $onfigurao do $omputador+2ol3ticas+$onfiguraes do Windows+ $onfiguraes de segurana+%irewall do Windows com segurana A anada+ %irewall do Windows com &egurana A anada = LDA2:++$F/ NB@.DO&

P&

2e ina u#a regra de entrada co# as seguintes con igura%es: o o o o o o o !ipo de regra: 2ersonali7ado !ipo de protocolo: 6$2 Portas 9spec icas: PEPE 9scopo: Qual8uer endereo .2 -o: 2ermitir a cone;o Per il: Dom3nio >des#ar)ue as cai4as de seleo 2ri ado e 2<blico? @o#e: "egra de %irewall do Departamento de &er idor de Aplicati os

O&

6ec8e o 9ditor de Gerencia#ento de Polticas de Grupo&

.arefa 8: :incular o -PO de ervidores de Aplicativos 7 %O de 2embros

ervidores

1 @o GPM5* vincule o B2) de &er idores de Aplicati os B @) de &er idores >embros&

.arefa 9: %sar a filtragem de segurana para limitar o -PO de Aplicativos a membros do grupo ervidor de Aplicativos

ervidor de

1& 2&

9# EO@=251* abra o B2>$& 94panda a @) de &er idores >embros e depois cli)ue e# B2) de &er idores de Aplicati os&

R&

@o painel B direita* e# 6iltrage# de .egurana* re#ova @su:rios autenticados e con igure o B2) de &er idor de Aplicati os de or#a )ue ele apenas seja aplicado ao grupo de segurana &er idores de Aplicati os&

.arefa ;: *+ecutar -P%pdate em @OA6 :!,

1& 2&

-ltere para L)F=&V"1& -bra u#a janela de Pro#pt de 5o#ando e digite o seguinte co#ando:
gpupdate /force

R& P&

6ec8e a janela Pro#pt de 5o#ando& 3einicie L)F=&V"1 e depois aa logon nova#ente co#o ADA6@>9Administrador co# a sen8a 2aGGwErd&

.arefa <: :isuali0ar as regras de fireBall em @OA6 :!,

1& 2& R&

-lterne para L)F=&V"1& "nicie o %irewall do Windows com &egurana A anada& @o 6irewall do Windows co# .egurana -vanada* e# "egras de ?ntrada* veri i)ue se a 3egra de 6irewall do 2eparta#ento de .ervidor de -plicativos criada anteriormente usando a 2ol3tica de Brupo est: configurada,

P&

5on ir#e )ue voc( no consegue editar a "egra de %irewall do Departamento de &er idor de Aplicati os por)ue ela est+ con igurada atrav,s da Poltica de Grupo&

"esultados: -o ter#inar este e4erccio* voc( ter+ usado a Poltica de Grupo para con igurar o 6irewall do Windows co# .egurana -vanada para criar regras para

servidores de aplicativos&

Para se preparar para o pr)+imo m)dulo

'uando ter#inar o laboratrio* retorne as #+)uinas virtuais para o seu estado inicial* seguindo estas etapas:

1& 2&

@o co#putador 8ost* inicie o Berenciador do CDper=V& @a lista >:8uinas Virtuais* cli)ue co# o boto direito do #ouse e# 2##1E'= L)F=D$1 e depois cli)ue e# "e erter&

R& P&

@a cai4a de di+logo "e erter >:8uina Virtual* cli)ue e# "e erter& 3epita as etapas 2 e R para 2PP10I=EO@=.<31 e 2PP10I=EO@=5E1&

$e"iso e informaes complementares do mdulo


Perguntas de reviso
2ergunta: O #odelo de proteo e# ca#adas prescreve tecnologias espec icas )ue voc( deve usar para proteger servidores Windows .erverG 2ergunta: 'ual con igurao )ue voc( deve de inir para garantir )ue os usu+rios ten8a# per#isso de a$er apenas tr(s tentativas de logon inv+lidasG 2ergunta: voc( est+ criando u# GPO co# regras de irewall padroni$adas para os servidores e# sua organi$ao& <oc( testou as regras e# u# servidor aut\no#o no laboratrio de teste& -s regras aparece# nos servidores depois )ue o GPO , aplicado* #as elas no esto sendo aplicadas& 'ual , a causa #ais prov+vel desse proble#aG 2ergunta: @o ano passado* sua organi$ao desenvolveu u#a estrat,gia de

segurana )ue inclua todos os aspectos de u# #odelo de proteo e# ca#adas& 5o# base nessa estrat,gia* sua organi$ao i#ple#entou polticas e con igura%es de segurana no a#biente de in raestrutura de !" inteiro& Onte#* voc( leu e# u# artigo )ue novas a#eaas de segurana ora# detectadas na "nternet* #as agora voc( percebe )ue a estrat,gia da e#presa no inclui u#a an+lise de risco e u# plano de #itigao para essas novas a#eaas& O )ue voc( deve a$erG

Derramentas
%erramenta
5onsole de Gerencia#ento de Poltica de Grupo -ppEocFer

@se para
C#a erra#enta gr+ ica )ue voc( usa para criar* editar e aplicar GPOs -plica con igura%es de segurana )ue controla# )uais aplicativos pode# ser e4ecutados pelos usu+rios

)nde encontrar
Gerenciador do .ervidorL6erra#entas

9ditor de GPO no GPM5

6irewall do Windows co# segurana avanada

C# irewall baseado e# 8ost )ue est+ includo co#o u# recurso no Windows .erver 2012 e no Windows .erver 200:

Gerenciador do .ervidorL6erra#entas* se con igurados individual#ente* ou 9ditor de GPO no GPM5 para i#plantao co# a Poltica de Grupo

Gerenciador de 5o#patibilidade de .egurana

"#plantao de polticas de segurana co# base e# reco#enda%es do Guia de .egurana da Microso t e e# pr+ticas reco#endadas do setor

Iai4e no site da Microso t* e# *ttp:++go,microsoft,com+fwlin(+-Lin(.D/2001#0&

Pr"tica recomendada
<eja a seguir as pr+ticas reco#endadas: 1 .e#pre aa u#a avaliao detal8ada dos riscos de segurana antes de planejar )uais recursos de segurana a sua organi$ao deve i#plantar& 1 5rie u# GPO separado para con igura%es de segurana )ue se aplica# aos

di erentes tipos de usu+rios na sua organi$ao* pois cada departa#ento pode ter necessidades de segurana distintas& 1 <eri i)ue se as con igura%es de segurana de inidas so ra$oavel#ente +ceis de usar* para )ue os uncion+rios as aceite# se# proble#as& 6re)uente#ente* polticas de segurana #uito ortes so #uito co#ple4as ou di ceis para os uncion+rios as adotare#& 1 .e#pre teste as con igura%es de segurana )ue voc( pretende i#ple#entar co# u# GPO e# u# a#biente isolado )ue no seja de produo& -penas i#plante polticas no seu a#biente de produo depois de concluir esses testes co# sucesso&

Problemas comuns e dicas de soluo de problemas


2roblema comum Dica para a soluo de problemas

O usu+rio no consegue a$er logon local#ente e# u# servidor& 2epois de con igurar a auditoria* e4iste# #uitos eventos registrados no Eog de 9ventos de .egurana no <isuali$ador de 9ventos& -lguns usu+rios recla#a# )ue seus aplicativos de negcios no pode# #ais acessar recursos no servidor&