Vous êtes sur la page 1sur 39

Mdulo 8 Implementao de segurana usando Diretiva de Grupo

Viso geral do mdulo


Configurao de diretivas de segurana Implementao de diretivas refinadas de senha Restrio de associao de grupo e de acesso ao software Gerenciamento da segurana usando modelos de segurana

Lio 1: Configurao de diretivas de segurana


O que so as diretivas de segurana? O que a diretiva de segurana de domnio padro? O que so as diretivas de conta? O que so diretivas locais? O que so diretivas de segurana de rede? Firewall do Windows com segurana avanada Diretivas do controlador de domnio padro Caractersticas das configuraes da diretiva de segurana

O que so as diretivas de segurana?

O que so diretivas de conta?


As diretivas de conta amenizam a ameaa de se adivinhar senhas de conta atravs de ataques de fora bruta As diretivas de conta consistem em: Diretivas Configuraes padro

Senha

Controla a complexidade e a vida til das senhas Durao mxima da senha: 42 dias Durao mnima da senha: 1 dia Comprimento mnimo da senha: 7 caracteres Senha Complexa: habilitada Armazene senha c/ criptografia reversvel: desabilitado Controla quantas tentativas incorretas podem ser feitas Durao do bloqueio: no definida Limite de bloqueio: 0 tentativas de logon invlidas Zerar contador de bloqueios de conta aps: no definido

Bloqueio de conta

Kerberos

Subconjunto de atributos da diretiva de segurana de

domnio S pode ser aplicado no nvel de domnio

O que so diretivas locais?


As diretivas locais determinam as opes de segurana de uma conta de usurio ou de servio

Todo computador que executa o Windows 2000 e verses posteriores tem uma diretiva de segurana local que faz parte da Diretiva de Grupo local Em um grupo de trabalho, voc deve configurar diretivas de rana locais para proporcionar segurana A diretiva de domnio substituir diretivas locais em casos de conflito Voc pode atribuir direitos locais atravs de Diretivas de Grupo locais As opes de segurana controlam vrios aspectos diferentes da segurana de um computador

O que so diretivas de segurana de rede?


Defina as redes e os mtodos de autenticao disponveis para conexes sem fio para clientes Windows Vista e Windows XP e a autenticao de LAN para clientes Windows Vista e Windows Server 2008 Diretivas de conexo sem fio separadas para Windows XP e Windows Vista As diretivas do Windows Vista contm mais opes para conexo sem fio As diretivas de conexo sem fio do Windows Vista podem negar acesso a redes sem fio A autenticao 802.1x pode ser configurada via Diretiva de Grupo Somente o Windows Vista e verses posteriores podem receber diretivas de rede com fios
GPO Com fio Sem fio Somente sem fio Windows Vista

Windows XP

Firewall do Windows com segurana avanada


Um firewall baseado em host com monitoramento de estado que autoriza ou bloqueia o trfego de rede de acordo com a configurao Suporta filtragem do trfego de entrada e de sada Usado para a definio de configuraes avanadas Configuraes de proteo IPsec integradas ao Firewall do Windows Permite a configurao de regras para vrios critrios, como usurios, grupos e portas TCP e UDP Fornece perfis com reconhecimento de locais de rede Pode importar ou exportar diretivas
Windows Server 2008

Internet

As regras de firewall controlam o trfego de entrada e de sada

Firewall

LAN

Demonstrao: Viso geral das configuraes de segurana adicionais


Nesta demonstrao, voc ver como:
Definir configuraes de segurana adicionais

Diretivas do controlador de domnio padro


Existem trs reas que devem ser examinadas:
Diretiva Atribuio de Direitos de Usurio: logon localmente, desligamento Diretiva Opes de Segurana: auditoria, dispositivos, controlador de domnio Diretiva Log de Eventos: tamanho do log, reteno

O que a diretiva de segurana de domnio padro?

Fornece diretivas de conta para o domnio; outras configuraes no so definidas por padro Use para fornecer configuraes de segurana que afetaro o domnio inteiro Use a diretiva de domnio para fornecer configuraes de segurana, como uma prtica recomendada. Use GPOs separados para fornecer outros tipos de configuraes

Configuraes de conta e segurana Domnio Diretiva de domnio padro

Demonstrao: O que a diretiva de segurana de controlador de domnio padro?


Nesta demonstrao, voc ver:
Configuraes da diretiva de controlador de domnio padro

Caractersticas das configuraes da diretiva de segurana


Ao examinar configuraes de diretiva de segurana, considere que:
As diretivas de conta so passadas para clientes do controlador de domnio O controlador de domnio recebe diretivas de conta de uma diretiva no nvel de domnio As configuraes de segurana so provenientes do GPO que tem a prioridade mais alta

Lio 2: Implementao de diretivas refinadas de senha


O que so as diretivas refinadas de senha? Como as diretivas refinadas de senha so implementadas Implementao de diretivas refinadas de senha

O que so as diretivas refinadas de senha?


Senhas refinadas permitem que vrias diretivas de senha existam no mesmo domnio

Alteraes de senha: 7 dias


Grupo Administrador

Alteraes de senha: 14 dias


Grupo Gerente Grupo Usurio final

Alteraes de senha: 30 dias

Como as diretivas refinadas de senha so implementadas


Consideraes sobre a implementao de PSOs:
Continer de Configurao de Senha e Objetos de Configurao de Senha so novas classes de objeto de esquema possvel criar PSOs atravs de ADSI Edit ou LDIFDE S possvel aplicar PSOs a usurios ou grupos globais

Um PSO tem as seguintes configuraes disponveis:


Diretivas de senha Diretivas de bloqueio de conta Link de PSO Precedncia

Implementao de diretivas refinadas de senha

Grupos de sombra podem ser usados para aplicar um PSO a todos os usurios que ainda no compartilham uma associao de grupo global Um usurio ou grupo pode ter vrios PSOs vinculados O atributo de precedncia usado para resolver conflitos Valores de precedncia mais baixos tm prioridade mais alta Os PSOs vinculados diretamente a objetos de usurio substituem os PSOs vinculados a grupos globais de um usurio Se no houver PSOs, sero aplicadas diretivas normais de conta de domnio

Demonstrao: Implementao de diretivas refinadas de senha


Nesta demonstrao, voc ver como:
Criar e aplicar PSOs

Laboratrio A: Implementao de segurana usando Diretiva de Grupo


Exerccio 1: Definio de configuraes de conta e de

diretiva de segurana
Exerccio 2: Implementao de diretivas refinadas de senha

Informaes de logon

Mquina virtual Nome de usurio Senha

NYC-DC1, NYC-CL1, NYC-SVR1

Administrador Pa$$w0rd

Tempo estimado: 35 minutos

Cenrio do laboratrio
O Woodgrove Bank decidiu implementar a Diretiva de Grupo para configurar a segurana de usurios e computadores da organizao. A empresa atualizou recentemente todas as estaes de trabalho com o Windows Vista e todos os servidores com o Windows Server 2008. A organizao quer utilizar a Diretiva de Grupo para implementar configuraes de segurana para as estaes de trabalho, servidores e usurios.

Lio 3: Restrio de associao de grupo e de acesso ao software


O que associao de grupo restrito? O que uma diretiva de restrio de software? Opes de configurao de diretivas de restrio de software

O que associao de grupo restrito?


A Diretiva de Grupo pode controlar as associaes de grupo:
De qualquer grupo de um computador local, aplicando um GPO UO que detm a conta de computador De qualquer grupo no AD DS, aplicando um GPO ao controlador de domnio

Demonstrao: Configurao da associao a grupo restrito


Nesta demonstrao, voc ver como:
Configurar grupos restritos

O que uma diretiva de restrio de software?

Um mecanismo baseado em diretiva que identifica e controla softwares em um computador cliente Um mecanismo que restringe vrus e instalaes de software Um componente de duas partes: Uma regra padro com trs opes: Irrestrito, Bsico e No Permitido Excees regra padro

Opes de configurao de diretivas de restrio de software


Regra de hash

Regra de certificado

Use para empregar o hash MD5 ou SHA1 de um arquivo para confirmar uma identidade Use para permitir ou proibir a execuo de uma certa verso de arquivo

Procura uma assinatura digital no aplicativo Use quando quiser restringir aplicativos Win32 e contedo ActiveX

Regra de caminho

Regra de zona da Internet

Use para restringir um caminho de arquivo Use quando existir vrios arquivos para o mesmo aplicativo Essencial no caso de diretivas de restrio de software rigorosas

Controla o modo como as zonas da Internet podem ser acessadas Use em ambientes de alta segurana para controlar o acesso a aplicativos da Web

Demonstrao: Configurao de diretivas de restrio de software


Nesta demonstrao, voc ver como:
Configurar uma diretiva de restrio de software

Lio 4: Gerenciamento da segurana usando modelos de segurana


O que so os modelos de segurana? O que o assistente de configurao de segurana? Opes para integrar o assistente de configurao de

segurana e os modelos de segurana


O que a ferramenta de configurao e anlise de

segurana?

O que so os modelos de segurana?


Modelos de segurana:
Permitem que os administradores apliquem configuraes de segurana consistentes a vrios computadores Podem ser designados com base nas funes de servidor Podem ser aplicados via Diretiva de Grupo

Demonstrao: Aplicao de modelos de segurana


Nesta demonstrao, voc ver como:
Criar um modelo de segurana e import-lo para um GPO

O que o Assistente de Configurao de Segurana?

O ACS proporciona a reduo da superfcie sujeita a ataques planejados: Desabilitando servios desnecessrios e extenses da Web do Internet Information Services (IIS) Bloqueando portas no utilizadas e protegendo portas deixadas abertas com o IPSec Reduzindo a exposio de protocolos Definindo configuraes de auditoria

O Assistente de Configurao de Segurana suporta:

Reverso Anlise Configurao remota Suporte a linha de comando Integrao com o Active Directory Edio de diretivas

Demonstrao: Configurao da segurana do servidor usando o Assistente de Configurao de Segurana


Nesta demonstrao, voc ver como:
Criar uma diretiva de segurana usando o ACS

Opes para integrar o assistente de configurao de segurana e os modelos de segurana


Opes: Diretivas criadas com o ACS podem ser aplicadas individualmente Outros modelos de segurana podem ser incorporados ao ACS

Scwcmd.exe um utilitrio de linha de comando que pode ser usado para converter a diretiva XML em um GPO

Demonstrao: Importao de diretivas de configurao de segurana para modelos de segurana


Nesta demonstrao, voc ver como:
Transformar a diretiva XML em um GPO

O que a ferramenta de configurao e anlise de segurana?


Configurao que no Configurao que no corresponde ao modelo

Configurao do modelo Configurao do modelo Configurao real

Demonstrao: Anlise da diretiva de segurana com a ferramenta Configurao e Anlise de Segurana


Nesta demonstrao, voc ver como:
Usar a ferramenta Configurao e Anlise de Segurana

para analisar e definir configuraes da diretiva de segurana local

Laboratrio B: Configurao e verificao de diretivas de segurana


Exerccio 1: Configurao de diretivas de grupos restritos e

de restrio de software
Exerccio 2: Configurao de modelos de segurana Exerccio 3: Verificao da configurao de segurana

Informaes de logon

Mquina virtual Nome de usurio Senha

NYC-DC1, NYC-CL1, NYC-SVR1

Administrador Pa$$w0rd

Tempo estimado: 40 minutos

Cenrio do laboratrio
O administrador corporativo criou um projeto que inclui modificaes na diretiva de segurana de domnio padro, bem como GPOs adicionais que sero usados para configurar a segurana. A empresa quer ter flexibilidade de atribuir diferentes diretivas de senha para usurios especficos. A empresa tambm deseja automatizar a definio das configuraes de segurana o mximo possvel.

Reviso do laboratrio
Voc deseja controlar a quais redes sem fio seus clientes

Windows Vista tero acesso. Qual a melhor forma de atingir esse objetivo?
Voc precisa fortalecer a segurana em todos os servidores

de banco de dados da organizao. Qual a ferramenta mais apropriada para essa tarefa?
Voc usou o Assistente de Configurao de Segurana para

criar uma diretiva para os servidores que executam o IIS. Voc transformou a diretiva em um GPO. Voc aplicou o GPO UO correta, mas as configuraes do IIS no esto sendo implantadas. Qual o problema?

Reviso do mdulo e informaes


Consideraes Perguntas de reviso