Você está na página 1de 8

FACULDADE SANTA MARIA SEGURANA DE REDES CURSO DE SISTEMAS DE INFORMAO

Segurana no Active Directory

Alunos: Claudenise Oliveira de Santana Tonyclei Arajo Mofid Hemaidan

ACTIVE DIRECTORY O Active Directory uma implementao do servio de diretrio no protocolo LDPA(Lightweight Directory Access Protocol), que armazena informaes sobre objetos em rede de computadores e disponibiliza essas informaes a usurios e administradores desta rede. um software da Microsoft utilizado em ambientes Windows. O Active Directory, surgiu da necessidade de se ter um nico diretrio, ou seja, ao invs do usurio ter uma senha para acessar o sistema principal da empresa, uma senha para ler seus e-mails, uma senha para se logar no computador, e vrias outras senhas, com a utilizao do AD, os usurios podero ter apenas uma senha para acessar todos os recursos disponveis na rede. Podemos definir um diretrio como sendo um banco de dados que armazena as informaes dos usurios. O AD surgiu juntamente com o Windows 2000 Server. Objetos como usurios, grupos, membros dos grupos, senhas, contas de computadores, relaes de confiana, informaes sobre o domnio, unidades organizacionais, etc, ficam armazenados no banco de dados do AD. Alm de armazenar vrios objetos em seu banco de dados, o AD disponibiliza vrios servios, como: autenticao dos usurios, replicao do seu banco de dados, pesquisa dos objetos disponveis na rede, administrao centralizada da segurana utilizando GPO, entre outros servios. Esses recursos tornam a administrao do AD bem mais fcil, sendo possvel administrar todos os recursos disponveis na rede de forma centralizada. Para que os usurios possam acessar os recursos disponveis na rede, estes devero efetuar o logon. Quando o usurio efetua logon, o AD verifica se as informaes fornecidas pelos usurios so vlidas e faz a autenticao, caso essas informaes sejam vlidas. O AD organizado de uma forma hierrquica, com o uso de domnios. Caso uma rede utilize o AD, poder conter vrios domnios. Um domnio nada mais do que um limite administrativo e de segurana, ou seja, o administrador do domnio possui permisses somente no domnio, e no em outros domnios. As polticas de segurana tambm se aplicam somente ao domnio, e no a outros domnios. Resumindo: diferentes domnios podem ter diferentes administradores e diferentes polticas de segurana. Nos domnios baseados no AD, podemos ter dois tipos de servidores: Controlador de Domnio (DC Domain Controller) e Servidor Membro (Member Server). Para a instalao do AD necessrio que o servio DNS esteja disponvel, ou seja, um pr-requisito (dependncia) para a instalao do AD. O AD utiliza o DNS para a nomeao de servidores e recursos, e tambm para resoluo de nomes. Caso o servio DNS no esteja disponvel na rede durante a instalao do AD, poderemos instal-lo aps a instalao do AD. Com a utilizao de domnios, podemos fazer com que nossa rede reflita a estrutura de uma empresa. Quando utilizamos vrios domnios temos o conceito de relao de confiana. A relao de confiana permite que os usurios de ambos os

domnios acessem os recursos localizados nesses domnios. No Windows 2000, as relaes de confianas so bidirecionais e transitivas, ou seja, se o domnio X confia no domnio Y, e Y confia no domnio W, o domnio X tambm confia no domnio W. O "diretrio ativo" permite que os administradores atribuam empresa polticas gerais, instalem programas em um grande nmero de computadores e apliquem updates crticos a uma organizao inteira. O "diretrio ativo" armazena informaes e parmetros em uma base de dados central organizada e acessvel. As redes ativas do diretrio podem variar desde uma instalao pequena, com cem objetos, a uma instalao grande, com milhes de objetos. O Active Directory teve uma pr-estreia em 1999 e foi lanado primeiramente com o Windows 2000. Mais tarde, foi revisado para estender a sua funcionalidade e melhorar a administrao para uma nova verso, conhecida como 'Windows Server 2003'. O Active Directory um conjunto de arquivos localizados no servidor de domnio, no qual esto todas as informaes que permitem controlar o acesso dos usurios rede. Nele ficam registrados os nomes e senhas de usurios, suas permisses de acesso a arquivos, impressoras e outros recursos da rede, as cotas de disco, os computadores e horrios que cada usurio pode utilizar, etc.

INSTALAO DO ACTIVE DIRECTORY Quando voc instala o AD DS no Windows Server 2008 voc tem vrias novas opes de instalao, onde ambas esto disponveis atravs do Active Directory Domain Services Installation Wizard e em uma instalao atravs da linha de comando. Tambm chamados DCs, so servidores que executam a funo de AD DS. Como parte dessa funo, eles tambm executam o servio de Kerberos Key Distribution Center (KDS), que realiza a autenticao e outros servios do Active Directory. Todos os controladores de domnio replicam a partio do armazenamento de dados do domnio, a qual contm entre outras coisas os dados da identidade dos usurios do domnio, grupos e computadores. Um outro conceito do AD, o de floresta. Onde uma floresta coleo de um ou mais domnios do Active Directory. O primeiro domnio instalado em uma floresta contm uma nica definio de configurao de rede e uma nica instncia do esquema de diretrio. Uma floresta uma instncia nica do diretrio nenhum dado replicado pelo Active Directory fora dos limites da floresta.

1. Para realizar a instalao do Active Directory Domain Services e do DNS Server, siga os seguintes passos: a. Iniciar >Ferramentas Administrativas >Gerenciador de Servidores b. Clique em Funes e em seguida Adicionar funo. c. Abrir a tela de Assistente de Configurao. Pode ignor-la e passar para a seguinte clicando em Prximo; d. Selecione Servios de Domnio Active Directory; e. Clique em Prximo> Prximo > Instalar; f. Aps concluir a instalao dos binrios necessrios para instalar o Active Directory, abra o EXECUTAR e digite dcpromo.exe; g. Abrir o Assistente de Instalao do Active Directory, clique em Avanar; h. Na tela de Compatibilidade do Sistema Operacional, clique em Avanar; i. Na tela da Configurao de Implantao, selecione Criar um novo domnio em uma nova floresta e clique emAvanar; j. No FQDN raiz da floresta, coloque o nome do domnio e clique em Avanar; k. Selecione o Nvel Funcional da Floresta como Windows Server 2008 e clique em Avanar; l. Nas Opes Adicionais do Controlador de Domnio, marque a opo Servidor DNS e clique em Avanar. Clique em SIM para ignorar o aviso e continuar utilizando um IP dinmico. m. Na janela de Banco de Dados, SYSVOL e Arquivos de Log, aceite as localizaes definidas por padro e clique em Avanar; n. Definida uma senha de Administrador para o modo de Restaurao e em seguida clique em Avanar; o. Verifique as informaes no Resumo e depois clique em Avanar; p. Marque a checkbox para que o seu Servidor reseteautomaticamente ao finalizar a instalao do Active Directory e Servidor DNS;

INSTALAO DO GPO (Group Policy) 1. Para abrir o Console responsvel pelo Gerenciamento das Diretivas de Grupo siga os seguintes passos: a. Iniciar >Ferramentas Administrativas>Gerenciador de Servidores; b. Clique em Recursose em seguida Adicionar Recursos; c. Selecione Gerenciamento de Diretiva de Grupo e em seguida Prximo; d. Selecione Gerenciamento de Diretiva de Grupo e em seguida Prximo> Instalar;

CONFIGURAO DE UMA GPO (Group Policy) a. Abra o Gerenciamento de Diretiva de Grupo clicando em Iniciar > Ferramentas Administrativas > Gerenciamento de Diretiva de Grupo. b. Clique na floresta seu domnio, expanda o continer Domnios > seu domnio >Clique com o boto direito emDefault Domain Policy>Edit. c. Ao abrir o Group Policy Management Editor clique em Computer Configuration > Windows Settings >Security Settings > Account Polices > Password Policy> Editar. d. Ao abrir o Editor de Gerenciamento da Diretiva de Grupo, clique em Configurao do Computador > Diretivas >Configurao do Windows > Configurao de segurana > Diretivas Locais > Opes de segurana

* Analise e configure as diretivas de senha existentes para se familiarizar com uma configurao de poltica de segurana. Altere tambm a Diretiva de bloqueio de conta.

MICROSOFT BASE LINE SECURITY O MBSA Microsoft Baseline Security Analyzer serve para aprimorar o processo de gerenciamento da segurana e detectar erros comuns de configurao relacionados segurana e atualizaes de segurana que esto faltando nos seus sistemas de computador. Criado a partir do Windows Update Agent e da infraestrutura do Microsoft Update, o MBSA assegura a consistncia com os demais produtos de gerenciamento Microsoft, inclusive MU (Microsoft Update), WSUS (Windows Server Update Services), SMS (Systems Management Server), SCCM (System Center Configuration Manager) 2007 e SBS (Small Business Server). Usado pelos principais fornecedores de segurana e auditores de segurana de terceiros, o MBSA examina, em mdia, mais de trs milhes de computadores semanalmente.

REQUISITOS DE SEGURANA

Item 1

Descrio Aplicar o ltimo service pack e todos os fixes de segurana. Configurar nmero de tentativas invlidas de logon. Configurar durao do bloqueio de contas.

Ao Aplicar o ltimo service pack fornecido pelo fabricante juntamente com todos os patches de segurana para o Sistema Operacional.

Observao Ser necessrio a reinicializao da mquina para que as alteraes tenham efeito. (MANUAL)

Siga os passos descritos no captulo CONFIGURAO DE UMA GPO configurar o parmetro Account Lockout Threshold para o valor 6

LockoutBadCount = 6

Siga os passos descritos no captulo CONFIGURAO DE UMA GPO configurar o parmetro Account Lockout Duration para o valor 0

No registro LockoutDuration = 0 Apenas os admins podem desbloquear as contas.

Configurar o tempo para o reset do contador de tentativas invlidas de logon. No mostrar o nome do ltimo usurio que efetuou logon.

Siga os passos descritos no captulo CONFIGURAO DE UMA GPO Configurar o parmetro Reset Account Lockout Counter After 30 minutos Siga os passos descritos no captulo CONFIGURAO DE UMA GPO configurar o parmetro INTERACTIVE LOGON: DO NOT DISPLAY LAST USER NAME para ENABLE

ResetLockoutCount = 30

MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies \System\DontDisplayLastUserName=4,1

Exigir seqncia CTRL+ALT+DE L antes do processo de logon.

Siga os passos descritos no captulo CONFIGURAO DE UMA GPO configurar o parmetro INTERACTIVE LOGON: DO NOT REQUIRE CTRL+ALT+DEL para DISABLE MACHINE\Software\Microsoft\Windows\CurrentVersion\P olicies\System\DisableCAD=4,0

No armazenar credenciais de usurios em cache.

Siga os passos descritos no captulo CONFIGURAO DE UMA GPO configurar o parmetro INTERACTIVE LOGON: NUMBER OF PREVIOUS LOGONS TO CACHE (IN CASE DOMAIN CONTROLLER IS NOT AVAILABLE para 0 LOGONS MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount=1,"0"

Solicitar com antecedncia de 7 dias a troca de senha por parte dos usurios.

Siga os passos descritos no captulo CONFIGURAO DE UMA GPO configurar o parmetro INTERACTIVE LOGON: PROMPT USER TO CHANGE PASSWORD BEFORE EXPIRATION para 7 DAYS

MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning=4, 6

No permitir a enumerao de contas e compartilhament os de forma annima.

Siga os passos descritos no captulo CONFIGURAO DE UMA GPO configurar o parmetro NETWORK ACCESS: DO NOT ALLOW ANONYMOUS ENUMERATON OF SAM ACCOUNTS AND SHARES para ENABLE MACHINE\System\CurrentControlSet\Control\Lsa\Restrict Anonymous=4,1

10

Utilizar apenas o protocolo de autenticao NTLMv2 para envioe Domain Controllers aceita LM, NTLM e NTLMv2 No permitir senha em branco

Siga os passos descritos no captulo CONFIGURAO DE UMA GPO configurar o parmetro NETWORK SECURITY: LAN MANAGER AUTHENTICATION LEVEL para SEND NTLMv2 RESPONSE ONLY MACHINE\System\CurrentControlSet\Control\Lsa\LmCo mpatibilityLevel=4,4

12

HKLM\System\CurrentControlSet\Control\Lsa\Li mitBlankPasswordUse=4,1

LimitBlankPasswordUse=4,1

13

No permitir acesso de convidado.

Siga os passos descritos no captulo CONFIGURAO DE UMA GPO Accounts: Guest Account Status = Disable

ForceGuest=4,0

14

Renomear a conta Administrator

Renomear a conta Administrator para um nome no bvio Start/Programas/Ferramentas Administrativas/Usurios e computadores do activy directory/usurios/Administrador

A conta de Administrador capaz de modificar qualquer permisso e configurao do sistema. As contas padro Administrator e/ou Administrador so altamente visadas nos ataques de fora bruta. Para evitar que intrusos ganhem privilgios administrativos usando a conta de Administrador, altamente recomendvel renome-la.

Conta Guest

15

A conta Guest/convidado deve ser desabilitada em qualquer mquina onde esteja presente Siga os passos descritos no captulo CONFIGURAO DE UMA GPO Accounts: Guest Account Status = Disable

EnableGuestAccount = 0 (MANUAL ou via GPO)

Você também pode gostar