Embed Size (px)
Citation preview
Webcasts TechNet
Windows Small Business Server 2003 R2Parte 2
Carlos Fernando Paleo da Rocha - MVPDenis MartiniMUG-RS – www.mugrs.org
Agenda
• O que é o Small Business Server?
• O que muda com o R2?
• Visão geral do SBS 2003 R2
• Segurança no SBS
Solução completa para pequenas empresas
Tecnologia\Versão Standard PremiumExchange Server 2003 SP2
Outlook® 2003
Windows SharePoint Services 2.0 SP2
Serviço de Fax Compartilhados
Suporte Usuário/Dispositivo Móvel
Área de Trabalho Remota via Web
Gerenciamento de Arquivos Avançado
Backup e Restauração
Gerenciamento Baseado em Tarefas
Windows Server Update Services
SQL Server 2005 Workgroup Edition
ISA Server 2004
FrontPage® 2003
O que muda?• WSUS agora é integrado
– Melhor gerenciamento de patches
• Gerenciamento avançado de arquivos– gerenciamento eficiente com FSRM
• Política de uso de CALs– pode usar para acessar servidores membros (W03, EXCH e SQL)
• Management Studio• Pode usar Entourage ou invés Outlook• SharePoint 2.0 SP2• Caixa Exchange 16 GB -> 75 GB
Visão Geral SBS 2003 R2
Demo
Reduzindo a superfície de ataque do SBS
Gerenciamento deGerenciamento deSegurança da RedeSegurança da Rede
Gerenciamento de Gerenciamento de AtualizaçõesAtualizações
FortalecendoFortalecendo
Reduzindo a superfície de ataque do SBS• Gerenciamento de segurança rede
– Defesa em camadas– Privilégios mínimos
• Extrema vigilância nas atualizações– NÃO apenas o OS–Considerar ferramentas como HFNetChkPro
• Fortalecendo todos componentes críticos–Use Microsoft Security Guidelines and Best Practices–Use os SBS wizards SEMPRE que possível
MÍNIMO de portas para o Firewall
• 25 – SMTP (Exchange mail)
• 443 – HTTPS (Secure IIS web)
• 444 – Sharepoint (APENAS se deseja Company web/sharepoint disponível externamente)
• 4125 - Remote Web access (RDP via web)
Portas secundárias para o SBS
• 20/21 - FTP
• 80 - HTTP (Unencrypted IIS web)
• 139 – SMB over Netbios (para compartilhamento de arquivos)
• 445 - License logging service
• 1723 - VPN
• 3389 - RDP (Terminal services)
Antivirus e Antispyware?
• Muito importantes como outra camada• Você NÃO DEVE rodar QUALQUER
aplicativo, navegar na web ou checar e-mail etc NO servidor SBS, limitando sua exposição a malware.
• AV é reativo… tornando-se uma linha secundária de defesa, menos importante que as posturas citadas
Abordagem “Disco” para fortalecer o SBS
ISA Firewall PoliciesISA Firewall Policies
FortalecerFortalecerWeb ServerWeb Server
FortalecerFortalecerMail ServerMail Server
FortalecerFortalecerDatabase Database
ServerServer
FortalecerFortalecerOSOS
GerenciamentoGerenciamento De PatchesPatches
Guia Microsoft para fortalecer SBS e Guidelines and Security Best Practices• NÃO existe para Small Business Server
• SÃO muito bem documentados se você tiver tempo para lê-los (em torno de 600 páginas)
• Incluem GPOs muito úteis
Guias de Fortalecimento
• Operating System Hardening–Windows Server 2003 Security Guide
• Includes info for web server hardening
• Mail Server Hardening–Microsoft Exchange Server 2003 Security Hardening Guide
• Database Hardening–SQL Server 2005 Security Features and Best Practices
* Links no final da apresentação
Usando modelos de GPO
• Pros incluem:– Fácil instalação– Bem testados– Bem documentados
• Contras incluem:– Abordagem tudo ou nada– toma as decisões de segurança por você, sem conhecer sua configuraçã de rede
Considerações de política de senha
• Force histórico = 24 últimas• Tempo máximo de vida = 42 dias• Tempo mínimo de vida = 2 dias• Comprimento mínimo = 8 caracteres• Atende a requisitos de complexidade = Enabled• Armazena usando criptografia reversa = Disabled
Account Lockout Policy Considerations
• Account Lockout Duration = 15 minutes
• Account lockout threshold = 20 attempts
• Reset account lockout counter after = 15 minutes
Fortalecendo pilha de rede (tcp)• EnableICMPRedirect = 0• SynAttackProtect = 1• EnableDeadGWDetect = 0• EnablePMTUDiscovery = 0• KeepAliveTime = 300,000• DisableIPSourceRouting = 2• TcpMaxConnectResponseRetransmissions = 2• TcpMaxDataRetransmissions = 3• PerformRouterDiscovery = 0• TCPMaxPortsExhausted = 5
Localizados em HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\
Fortalecendo a pilha de rede (afd.sys)
• DynamicBacklogGrowthDelta = 10
• EnableDynamicBacklog = 1
• MinimumDynamicBacklog = 20
• MaximumDynamicBacklog = 20000
Localizados em HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\AFD\Parameters\
Logs e Auditoria
• Use logs grandes = 81.920 KB
• Só apague quando precisar de espaço
• Não permita shutdown se não puder logar
• Audite sucesso e falha dos eventos com contas
NADA disto é útil se ninguém for ler!!!!!!!NADA disto é útil se ninguém for ler!!!!!!!
Ferramentas disponíveis …
Ferramentas disponíveis…
Recursos• Windows Server 2003 Security Guide
http://www.microsoft.com/technet/security/prodtech/windowsserver2003/W2003HG/SGCH00.mspx
• Microsoft Exchange Server 2003 Security Hardening Guidehttp://www.microsoft.com/technet/prodtechnol/exchange/2003/library/exsecure.mspx
• How To Harden the TCP Stackhttp://msdn.microsoft.com/library/default.asp?url=/library/en-us/secmod/html/secmod109.asp
• Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XPhttp://go.microsoft.com/fwlink/?linkid=15160
• Dana Epp’s personal bloghttp://silverstr.ufies.org/blog/
• HFNetCheckProhttp://www.cybernetics.se/site/Produkter_Shavlik_HFNetChkPro_hfnetcheck5.html
Links Úteis
• Comunidadeshttp://www.mugrs.org
• Technet Brasilhttp://www.microsoft.com/brasil/technet http://forums.microsoft.com/technet-br
