Conclusão Individual(Rafael Marcello Giachini)
Conclusão Individual(Rafael Marcello Giachini)
Grupo D - Windows Server 2003
Assistente de Configuração de
Segurança
O Assistente de Configuração de Segurança (ACS) foi introduzido no
Windows Server 2003 SP1. Diferentemente da Diretiva de Grupo,
ele não é integrado ao serviço de diretório do Active Directory e,
portanto, não pode ser usado para configurar diretivas de domínio. No entanto,
ele fornece uma metodologia consistente de proteção baseada na função que
utiliza assistentes, o que facilita a criação de diretivas seguras.
Com o ACS, você pode
criar, com rapidez e facilidade, diretivas de protótipo para várias funções de
servidor baseadas nas mais recentes orientações e melhores práticas da
Microsoft. O ACS gerenciará automaticamente configurações de serviço,
configurações do Registro, exceções do Firewall do Windows, etc. Ele inclui a
capacidade de criar perfis remotamente para computadores de destino, implantar
e reverter diretivas. A ferramenta de linha de comando Scwcmd permite que o ACS
e a Diretiva de Grupo sejam usados juntos para implantar diretivas em grupos de
computadores ou converter diretivas em GPOs (Objetos de Diretiva de Grupo).
Editor de Configuração de Segurança
As ferramentas do Editor de Configuração de Segurança (SCE) são usadas
para definir modelos de diretiva de segurança que podem ser aplicados a
computadores individuais ou a grupos de computadores por meio da Diretiva de
Grupo do Active Directory. O SCE surgiu primeiro como um complemento para
o Windows NT® 4.0 e tornou-se uma parte integral da Diretiva de
Grupo.
O SCE não é mais um
componente separado e é usado nos seguintes snap-ins do Console de
Gerenciamento Microsoft (MMC) e utilitários administrativos:
·
Snap-in Configuração e Análise de Segurança do MMC
·
Snap-in Modelos de Segurança do MMC
·
Snap-in Editor de Diretiva de Grupo (usado na porção Configurações de
segurança da árvore Configuração do computador)
·
Ferramenta Configurações Locais de Segurança
·
Ferramenta Diretiva de Segurança de Controlador de Domínio
·
Ferramenta Diretiva de Segurança de Domínio
Visto que todas essas ferramentas usam o SCE, os administradores do
Windows desfrutam de uma interface consistente e poderosa para criar e editar
diretivas, independentemente de se destinarem à implantação em um computador
autônomo ou como um GPO.
Usuários e computadores do Active
Directory
O snap-in Usuários e Computadores do Active Directory do MMC
fornece a principal GUI para a criação e o gerenciamento de unidades
organizacionais (UO) no domínio. Você pode vincular GPOs e UOs, controlar a
ordem e a herança das diretivas e iniciar o Editor de Objeto de Diretiva de
Grupo como um processo separado para editar GPOs. No entanto, o snap-in não
oferece um meio integrado e consistente para inventariar, redigir e gerenciar
Diretivas de Grupo.
Console de Gerenciamento de Diretiva
de Grupo
O Console de Gerenciamento de Diretiva de Grupo (GPMC) foi produzido
pela Microsoft em resposta a comentários de clientes que precisavam de um modo
melhor de controlar a Diretiva de Grupo em ambientes de grande porte. O GPMC
deve ser executado no Windows XP com SP1 ou no
Windows Server 2003 e consiste em um snap-in do MMC e um conjunto de
interfaces de scripts que pode ser usado para gerenciar a Diretiva de Grupo.
Ele pode gerenciar tanto domínios do Windows 2000 Server quanto do
Windows Server 2003.
O GPMC fornece:
·
Uma interface de usuário que enfoca o uso e gerenciamento da Diretiva de
Grupo.
·
A capacidade de rapidamente fazer backup, restaurar, importar, exportar,
copiar e colar GPOs.
·
O gerenciamento simplificado da segurança relacionada à Diretiva de
Grupo.
·
Recursos de relatórios para dados de GPO e RSoP (Conjunto de Diretivas
Resultante).
·
Operações de GPO programáveis.
Formatos de arquivo de segurança
As diretivas de segurança podem ser criadas e armazenadas em diversos
formatos. As seções a seguir detalham os formatos comuns de arquivo usados pelo
Windows Server 2003:
Diretiva do ACS (.xml)
O ACS introduz um formato novo de arquivo no formato XML. As diretivas
nativas do ACS são salvas com a extensão .xml. Esses arquivos de diretiva XML
não têm um esquema oficial, mas podem ser identificados pelo elemento
<SecurityPolicy Version="1.0">.
O arquivo de diretiva
do ACS é, na verdade, um manifesto completo de vários tipos de configurações
diferentes:
·
Modo de inicialização de serviços de sistema
·
Exceções do Firewall do Windows
·
Funções de computador selecionadas
·
Tarefas de computador selecionadas
·
Configurações do Registro
·
Configurações de diretiva
·
Diretivas de auditoria
Além disso, as diretivas do ACS podem ser vinculadas a um ou mais
modelos de diretiva a fim de fornecer funcionalidade adicional que não é nativa
ao ACS, como serviço de sistema ou listas de controle de acesso ao Registro
(ACLs).
Modelo de diretiva
Os modelos de diretiva são arquivos de texto que seguem um formato
padrão para arquivos de dados do Windows: uma ou mais seções que começam com
palavras-chaves entre colchetes especiais, seguidas de um ou mais pares de
atributos/valores.
Os modelos de
diretiva podem conter uma ou mais seções que definem os seguintes tipos de
dados:
·
Diretivas de senha
·
Diretivas de bloqueio
·
Diretivas de protocolo de autenticação Kerberos
·
Diretivas de auditoria
·
Configurações de log de eventos
·
Valores do Registro
·
Modos de inicialização de serviço
·
Permissões de serviço
·
Direitos de usuário
·
Restrições à participação em grupos
·
Permissões do Registro
·
Permissões do sistema de arquivos
Os modelos de diretiva contam com o suporte de quase todas as
ferramentas listadas neste apêndice, e o mesmo formato de modelo pode ser usado
tanto para diretivas de computador local quando para Diretivas de Grupo do
Active Directory. Antes que possam ser usados, os modelos devem ser
importados pela ferramenta apropriada.
Objetos de Diretiva de Grupo
GPOs são dados de diretiva armazenados tanto no Active Directory
quanto como uma coleção de arquivos em diretórios especiais nos controladores
de domínio. Esses arquivos de diretiva representam diretivas de computador e
diretivas de usuário e normalmente não são manipulados diretamente. Você pode
usar uma ferramenta como o GPMC para modificar as configurações ou exportar o
GPO para um modelo de diretiva.
Você pode exportar ou
fazer backup de um GPO dentro do GPMC para salvar, no sistema de arquivos,
todas as informações armazenadas no GPO. Os backups de GPO criados dessa
maneira mantêm as seguintes informações:
·
O identificador global exclusivo (GUID) e o domínio do GPO
·
Configurações de GPO
·
A lista de controle de acesso condicional (DACL) no GPO
·
O link do filtro WMI, se houver (mas não o filtro propriamente dito)
·
Links para diretivas de segurança IP, se houver
·
O relatório XML das configurações de GPO, que pode ser exibido como HTML
no GPMC
·
Carimbo de data e hora de quando o backup foi feito
·
Uma descrição do backup fornecida pelo usuário
No entanto, esse backup não salva nenhum dado externo ao GPO. Em
especial, esse arquivo não conterá informações de link para sites, domínios nem
UOs e não conterá os filtros WMI e as diretivas de segurança IP propriamente
ditos.
Quarentena da Rede Virtual Privada (VPN)
Embora uma rede virtual privada (VPN) forneça acesso seguro,
criptografando os dados através de um túnel VPN, ela não previne intrusões de
softwares maliciosos, como vírus ou worms que iniciam a partir do computador de
acesso remoto. Os ataques de vírus e worms podem resultar de computadores
infectados que se conectam à LAN.
A quarentena da VPN funciona, atrasando a conectividade total a
uma rede privada, enquanto examina e valida a configuração do computador de
acesso remoto contra padrões organizacionais. Se o computador que conecta não é
compatível com a política da organização, o processo de quarentena pode
instalar service packs, atualizações de segurança e definições de vírus antes
de permitir que o computador se conecte a outros recursos de rede. A quarentena
da VPN não garante solução completa de segurança, mas ajuda a prevenir que os
computadores que possuem configurações inseguras se conectem a uma rede
privada. No entanto, uma quarentena da VPN não protege uma rede privada contra
usuários maliciosos que obtiveram uma série válida de credenciais e que efetuam
logon usando computadores que estão de acordo com a política de bem-estar do
computador da organização. A quarentena da VPN não protege contra um usuário
não autorizado que se conecta a um computador que supre os requisitos de
segurança e depois decide realizar um ataque malicioso.
Uma solução de quarentena da VPN pode tanto usar um RADIUS (Remote
Authentication Dial-In User Service) ou uma autenticação do Windows, mas o
RADIUS é o método preferido. O IAS (Internet Authentication Service) é a
implementação da Microsoft do RADIUS.
A quarentena da VPN implementa um processo modificado quando o
usuário tenta se conectar a uma rede remota. O processo inclui os seguintes
passos:
1.
O computador realiza uma verificação de prévia da conexão para
garantir que o computador esteja suprindo certos requisitos básicos. Isso
inclui hotfixes, atualizações de segurança e assinaturas de vírus. O script de
conexão prévia armazena os resultados desta verificação localmente. Uma
organização também pode executar verificações de pós-conexão.
2.
Após ter sido feita as verificações de pré-conexão com sucesso, o
computador se conecta ao servidor de acesso remoto usando a VPN.
3.
O servidor de acesso remoto autentica as credenciais do usuário
com o servidor RADIUS junto com um nome de usuário e senha armazenados no
serviço de diretório do Active Directory. O RADIUS é um componente opcional
neste processo.
4.
Se o Active Directory autentica o usuário, o servidor de acesso
remoto utiliza a política de acesso remoto da quarentena da VPN para colocar o
cliente em quarentena. O acesso do computador cliente de acesso remoto é
limitado aos recursos de quarentena especificados pela política de acesso
remoto. A quarentena pode ser reforçada de duas possíveis maneiras no
computador cliente de acesso remoto: usando um período de intervalo, para que o
computador cliente não permaneça em quarentena indefinidamente ou usando um
filtro de IP que restrinja o tráfego do IP somente aos recursos específicos de
rede.
5.
O script de pós-conexão notifica o servidor de acesso remoto que o
cliente obedece aos requisitos especificados. Se a conexão não suprir os
requisitos no intervalo especificado, o script notifica o usuário e finaliza a
conexão.
6.
O servidor de acesso remoto remove o computador cliente do modo de
quarentena removendo o filtro do IP e garante acesso apropriado aos recursos de
rede especificados pela política de acesso remoto.