SlideShare una empresa de Scribd logo

Segurança em Plataforma Microsoft

Descargar como PPTX, PDF
Uilson Souza
Uilson Souza

O documento discute estratégias de segurança para ambientes on-premises e na nuvem, incluindo desenho de rede, patch management, criptografia, autenticação e proxy reverso.

Tecnología
1 de 58
PROXY E SECURE WEB GATEWAY Segurança em Plataforma Microsoft On-Premisses e Cloud Uilson Souza MCTS | MTAC Senior Infrastructure Analyst IT Security Coordinator http://uilson76.wordpress.com http://facebook.com/usouzajr @usouzajr
Confidencialidade Disponibilidade Integridade
Desenho do ambiente Fluxo das informações Função de cada VLAN App, FS, DB´s - Distribuição Segregação de ambientes Acessos – lógicos / Físicos
Desenhando um ambiente seguro – On Premisses Rack – Failover Clustering / NLB 3 U Node 1 3 U Node 2 3 U Node 3 3 U Node 4 25 U LUN´s Rack 2 - Storage 3 U NLB - 1 3 U NLB - 2 3 U NLB - 3 3 U NLB - 4 3 U Router
Desenhando um ambiente seguro Rack – Failover Clustering / NLB 3 U Node 1 3 U Node 2 25 U LUN´s Rack 2 - Storage 3 U NLB - 1 3 U NLB - 2 3 U Router 3 U Rack – Failover Clustering / NLB - Contingência 3 U Node 3 3 U Node 4 3 U NLB - 3 3 U NLB - 4 3 U 3 U Router 25 U LUN´s Rack 2 - Storage Desenhando um ambiente seguro – OnPremisses
Desenhando um ambiente seguro Web Server Farm sistemas.xpto.com Web Server Farm sistemas.xpto.com  Definir sempre alta disponibilidade – Failover Cluster ou NLB (Windows ou via hardware)  Os nodes devem estar em locais distintos  Se mau pensado estes serviços não funcionam  A continuidade também deve contemplar crescimento  Auditorias levam o tema em consideração Desenhando um ambiente seguro – OnPremisses
Desenhando um ambiente seguro – OnPremisses www
Desenhando um ambiente seguro - OnPremisses WWW DMZ Servers Edge Firewall Back Firewall DMZ – DB Servers ADFS – Pre-Authentication App/Web Servers Router Router DMZ - Extranet AD Servers DB Servers Patch Management ServerFile Server Reverse Proxy DNS DHCP Forward Proxy Root CA Sub CA SCCM Internal Usuários
WWW DMZ Servers DMZ – DB Servers ADFS – Pre-Authentication App/Web Servers Router AD Servers DB Servers Patch Management ServerFile Server DNS DHCP Root CA Sub CA SCCM Internal Usuários Desenhando um ambiente seguro - OnPremisses
Desenhando um ambiente seguro – OnPremisses/Híbrido WWW DMZ Servers Edge Firewall Back Firewall DMZ – DB Servers ADFS – Pre-Authentication App/Web Servers Router Router DMZ - Extranet AD Servers DB Servers Patch Management ServerFile Server Reverse Proxy DNS DHCP Root CA Sub CA SCCM Cloud Proxy Content Filter Internal Usuários
Proxy via DNS – Distribuição WPAD
Proxy via DNS – Distribuição WPAD
Proxy via DNS – Distribuição WPAD Microsoft constatou essa vulnerabilidade em Junho de 2009 A partir do Windows Server 2008 o uso do WPAD depende de liberação no Global Query Block List do DNS a partir de linhas de comando DNSCMD ou PowerShell Comunicado de Segurança Microsoft – 971888 https://technet.microsoft.com/library/security/971888
Proxy via DNS – Distribuição WPAD
Proxy via DNS – Distribuição WPAD https://technet.microsoft.com/pt-br/library/security/ms16-077.aspx
Proxy via DNS – Distribuição WPAD http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3213
Proxy via DNS – Distribuição WPAD IPSec
Desenhando um ambiente seguro - OnPremisses Acesso Internet em Servidores
Desenhando um ambiente seguro - OnPremisses Acesso RDP direto a servidores DMZ Servers Back Firewall DMZ – DB Servers ADFS – Pre-Authentication App/Web Servers Router AD Servers DB Servers Terminal Server File Server DNS DHCP Root CA Sub CA SCCM Internal Usuários
Desenhando um ambiente seguro - Cloud
Desenhando um ambiente seguro - Cloud
Mitigação de vulnerabilidades • A preocupação com a segurança no ambiente começa no deploy • Pense em mitigação de riscos e vulnerabilidades já na instalação do ambiente • Uma das vulnerabilidades de sistema operacional exploradas são as de “password required” e share de pastas • Ficar atento a vulnerabilidades de Web Server e Banco de Dados, seguindo as orientações do fabricante para mitiga-las
Mitigação de vulnerabilidades - ATA A Microsoft oferece o ATA - Microsoft Advanced Threat Analytics Análise e detecção de ameaças Incidência de falso positivo reduzida Análise continua do ambiente Relatórios completos e recomendações sobre como remediar os dispositivos vulneráveis Licenças por user ou device - https://www.microsoft.com/pt-br/cloud-platform/advanced-threat-analytics-pricing
Mitigação de vulnerabilidades - ATA
Mitigação de vulnerabilidades - ATA
Mitigação de vulnerabilidades – na nuvem Segurança Privacidade e Controle Transparência Compliance Key Vault Virtual Networks Network Security Groups VPN + ExpressRoute Azure Active Directory Partner solutions
Mitigação de vulnerabilidades – Azure Security Center Aumento dos níveis de agilidade e segurança Visibilidade e controle Sempre atualizado com as principais cyber threats
Mitigação de vulnerabilidades – Azure Security Center Compute Virtual Machines (Windows e Linux) Service Fabric Monitora/Recommenda: Antimalware Configuração de +150 OS Baselines System Update Status Disk Encryption PaaS Services Azure SQL & Databases Monitora/Recommenda: SQL - Auditoria SQL Transparent Data Encryption Networking Virtual Networks Monitors/Recommends: Network Security Groups e Inbound Traffic Rules Web Application Firewalls Next Generation Firewalls
Mitigação de vulnerabilidades – Azure Security Center Integrate partner solutions
Mitigação de vulnerabilidades – Azure Security Center
Patche Management – WSUS ou SCCM Comece pelo planejamento – análise do seu ambiente, impactos Planeje as janelas de aplicação Divida a aplicação em ondas – Dev, QA, Prod Defina key users para testes dos ambientes críticos e aplicações core A maturidade do processo é alcançada com o tempo Ambientes sem processo levam tempo para adquirir o hábito de aplicar patches Em alguns lugares podemos nos surpreender – positiva ou negativamente Alguns simplesmente rejeitam o processo
Patche Management – WSUS ou SCCM
Patche Management
Patche Management O CAU (Cluster Aware Updating) é um recurso automatizado que permite atualizar servidores em cluster com pouca ou nenhuma perda de disponibilidade durante o processo de atualização
Patche Management – Cluster Aware Updating O recurso CAU surgiu no Windows Server 2012 Compatível somente com failover de cluster Windows Server a partir do 2012 e as funções de cluster que são suportadas no Windows Server 2012. Executa nos modos Self-Update Mode ou Remote-Update Mode Pode trabalhar em conjunto com um servidor WSUS ou diretamente conectado a internet. Também é possível definir uma pasta onde ele irá buscar as atualizações Para usar um proxy deve-se configurar o acesso ao proxy via System Mode usando o comando netsh: netsh winhttp set proxy server.dominio.com:8080 "<local>"
Patche Management Para ambientes de cluster com recursos de file server é necessário declarar o domínio interno: netsh winhttp set proxy proxy.uilson.net:8080 "<local>;*.uilson.net“
Protegendo a rede com 802.1x Padrão de controle de acesso a rede por RADIUS Com o 802.1x é possível determinar que só as estações criadas no padrão da corporação tenham acesso a rede Evita infecção por acesso de estações de terceiros O DHCP da rede só concede IP a estação após validação pelo Network Policy Server que processará regras pré-definidas pelo administrador, garantindo a segurança no ambiente.
Protegendo a rede com 802.1x
Bitlocker e SMB Encryption Bitlocker Tecnologia que permite proteger com senha e criptografar o conteúdo de mídias de armazenamento via senha ou smart card Surgiu no Windows Vista com intuito de criptografar as unidades de disco A partir do Windows 7 foi criado o “BitLocker To Go” que possibilitava a proteção de conteúdo em unidades removíveis A partir do Windows 8 você pode, além de imprimir suas informações de acesso, também grava-las em sua conta Microsoft Também é possível uso do bitlocker em discos de storage
Bitlocker e SMB Encryption SMB Encryption Criptografa os dados SMB em trânsito de fim a fim – Windows 8 e Windows Server 2012 Protege dados contra ataques “eavesdropping” O custo e tempo de implementação é muito menor do que outra solução de criptografia de dados em trânsito – IPSEC A configuração é simples – Via Server Manager em um share específico
Bitlocker e SMB Encryption Pode ser configurado também via Power Shell: Para uma share específica Set-SmbShare –Name <sharename> -EncryptData $true Para todo o servidor Set-SmbServerConfiguration –EncryptData $true
AD Rights and Management Services Role do Windows para criação de políticas de acesso no próprio arquivo Surgiu no Windows Server 2003 como uma feature a ser instalada a parte. Virando native a partir do Windows Server 2008 A partir do Windows Server 2012 dá suporte a estações Apple Disponível também no Microsoft Azure
Azure Rights and Management Services
Proxy Reverso com Web Application Proxy – OnPremisses Web Application Proxy • Uma função agregada a role Remote Access no Windows Server 2012 R2 • Executa o serviço de proxy reverso para aplicações web provendo acesso para conexões externas ao ambiente • Faz a pré-autenticação usando o Active Directory Federation Services (AD FS) e também age como um proxy para o AD FS Web Application Proxy - Requisitos • Active Directory® Domain Services – para ambientes com KCD (Kerberos Constrained Delegation) • Active Directory Federation Services – para serviços de autorização e autenticação e armazenamento das configurações do Web Application Proxy • Remote Access – a role que contém o Web Application Proxy
Proxy Reverso com Web Application Proxy – OnPremisses
Proxy Reverso com Azure AD Application Proxy • Faz a publicação de aplicações em núvem • Liberado para as subscriptions Azure Active Directory Premium e Basic • Para acesso a partir da rede corporativa é necessário download do Azure AD Application Proxy Connector
Proxy Reverso com Azure AD Application Proxy
Azure AD Application Proxy – Publicando Aplicações
Windows Server 2016 – Alguns aspectos de segurança Aspectos de segurança e melhorias interessantes implementadas nas features do Remote Access – Web Application Proxy Nano Server – menos reboot´s com aplicações de patches, segurança mais eficaz PAM – Privilegied Access Management JIT – Just in Time Administration JEA – Just Enough Administration – Windows Management Framework 5.0
Referências para estudo Nesta lista de links do docs.com você encontra vasto material de estudo que cobre com detalhes todos os pontos desta palestra: http://bit.ly/uilson_docs
Leitura Recomendada http://amzn.to/2gOrsl4 http://amzn.to/2fEpYoK
Leitura Recomendada http://www.editoranovaterra.com.br facebook.com/NovaterraED Promoção de Natal: Cupom NT55, da direito a 55% de desconto no site da editora
Leitura Recomendada http://www.editoranovaterra.com.br facebook.com/NovaterraED Seja um autor da Nova Terra - http://www.editoranovaterra.com.br/seja-nosso-autor
•Malwarebytes, Santa Clara, CA •420 funcionários em 15 países •Malwarebytes foi nomeada pelo Deloitte’s Fast 500TM que classifica as 500 empresas de mais rápido crescimento na América do Norte, entre empresas de tecnologias, mídia, telecomunicações, ciências da vida e tecnologia limpa.
•Premiado por sua detecção & remediação •Publicamente recomendado por outros fornecedores de softwares de segurança •Bloqueio de IP malicioso em tempo real previne comandos de malware e phishing. •Footprint minúsculo melhora o desempenho dos endpoints (8MB vs. 300MB padrão industrial)** •Instalação remota através da Console (push-install) ou por MSI usando linhas de comando, permite a implementação e gerenciamento por software de distribuição como SCCM, GPO, PSEXEC, Tanium e qualquer RMM. •Tecnologia Chameleon para desviar de malwares que bloqueiam a instalação de Malwarebytes. •3 Modos de varredura – Quick, Flash and Full •Registros em XML ou Syslog via Console, compatíveis com formato ArcSight CEF. •Opção de notificações por e-mail. •Opções de instalação e execução silenciosas •Bloqueio de website malicioso •Whitelist para objetos e endereços IP confiáveis •Win 10, 8, 7, Vista & XP, Server 2012, 2008, and 2003 (32bit) •Suporte Técnico 24/7 Platinum & Gold - com Engenheiro designado para clientes empresariais.
http://www.synus.com.br Uilson Souza Pre-Sales Consultant uilson@hotmail.com Como adquirir MalwareBytes Souza Jr. IT Consulting http://facebook.com/usouzajr
Sorteio de um livro para participantes http://www.editoranovaterra.com.br Oferecimento: CLOUD ESSENTIALS – GUIA PREPARATÓRIO PROVA – CLO-001 Autores – Yuri Diógenes e Manoel Veras facebook.com/NovaterraED

Recomendados

Quintas de ti_segurança em redes microsoft
Quintas de ti_segurança em redes microsoftQuintas de ti_segurança em redes microsoft
Quintas de ti_segurança em redes microsoft
Uilson Souza
 
Segurança de Redes
Segurança de RedesSegurança de Redes
Segurança de Redes
Cassio Ramos
 
Re-autorizar Proxy do Endian no AD
Re-autorizar Proxy do Endian no ADRe-autorizar Proxy do Endian no AD
Re-autorizar Proxy do Endian no AD
Rafael Tosetto Pimentel
 
Barracuda Backup: Solução Completa de Proteção de Dados e Disaster Recovery I...
Barracuda Backup: Solução Completa de Proteção de Dados e Disaster Recovery I...Barracuda Backup: Solução Completa de Proteção de Dados e Disaster Recovery I...
Barracuda Backup: Solução Completa de Proteção de Dados e Disaster Recovery I...
Bravo Tecnologia
 
Agility Networks - F5 GTM v20131009a
Agility Networks - F5 GTM v20131009aAgility Networks - F5 GTM v20131009a
Agility Networks - F5 GTM v20131009a
Agility Networks
 
Lançamento do novo vSphere VMware 6.5
Lançamento do novo vSphere VMware 6.5Lançamento do novo vSphere VMware 6.5
Lançamento do novo vSphere VMware 6.5
Bravo Tecnologia
 
Implementando Nuvens Privadas com Citrix XenServer 6
Implementando Nuvens Privadas com Citrix XenServer 6Implementando Nuvens Privadas com Citrix XenServer 6
Implementando Nuvens Privadas com Citrix XenServer 6
Lorscheider Santiago
 
VMware Virtual SAN 6: Storage definido por software radicalmente simples
VMware Virtual SAN 6: Storage definido por software radicalmente simplesVMware Virtual SAN 6: Storage definido por software radicalmente simples
VMware Virtual SAN 6: Storage definido por software radicalmente simples
Bravo Tecnologia
 

Recomendados

Quintas de ti_segurança em redes microsoft
Quintas de ti_segurança em redes microsoftQuintas de ti_segurança em redes microsoft
Quintas de ti_segurança em redes microsoft
Uilson Souza
 
Segurança de Redes
Segurança de RedesSegurança de Redes
Segurança de Redes
Cassio Ramos
 
Re-autorizar Proxy do Endian no AD
Re-autorizar Proxy do Endian no ADRe-autorizar Proxy do Endian no AD
Re-autorizar Proxy do Endian no AD
Rafael Tosetto Pimentel
 
Barracuda Backup: Solução Completa de Proteção de Dados e Disaster Recovery I...
Barracuda Backup: Solução Completa de Proteção de Dados e Disaster Recovery I...Barracuda Backup: Solução Completa de Proteção de Dados e Disaster Recovery I...
Barracuda Backup: Solução Completa de Proteção de Dados e Disaster Recovery I...
Bravo Tecnologia
 
Agility Networks - F5 GTM v20131009a
Agility Networks - F5 GTM v20131009aAgility Networks - F5 GTM v20131009a
Agility Networks - F5 GTM v20131009a
Agility Networks
 
Lançamento do novo vSphere VMware 6.5
Lançamento do novo vSphere VMware 6.5Lançamento do novo vSphere VMware 6.5
Lançamento do novo vSphere VMware 6.5
Bravo Tecnologia
 
Implementando Nuvens Privadas com Citrix XenServer 6
Implementando Nuvens Privadas com Citrix XenServer 6Implementando Nuvens Privadas com Citrix XenServer 6
Implementando Nuvens Privadas com Citrix XenServer 6
Lorscheider Santiago
 
VMware Virtual SAN 6: Storage definido por software radicalmente simples
VMware Virtual SAN 6: Storage definido por software radicalmente simplesVMware Virtual SAN 6: Storage definido por software radicalmente simples
VMware Virtual SAN 6: Storage definido por software radicalmente simples
Bravo Tecnologia
 
Proxy Reverso com Web Application Proxy
Proxy Reverso com Web Application ProxyProxy Reverso com Web Application Proxy
Proxy Reverso com Web Application Proxy
Uilson Souza
 
Whatscorp. Aplicativo de mensagens para Empresas e Organizações
Whatscorp. Aplicativo de mensagens para Empresas e OrganizaçõesWhatscorp. Aplicativo de mensagens para Empresas e Organizações
Whatscorp. Aplicativo de mensagens para Empresas e Organizações
Pablo Labbe
 
Unidade 1.1 segurança e segurança física
Unidade 1.1 segurança e segurança física Unidade 1.1 segurança e segurança física
Unidade 1.1 segurança e segurança física
Juan Carlos Lamarão
 
O inimigo interno - Information security
O inimigo interno - Information securityO inimigo interno - Information security
O inimigo interno - Information security
Ricardo Maganhati Junior
 
A rede como um sensor de segurança
A rede como um sensor de segurança A rede como um sensor de segurança
A rede como um sensor de segurança
Cisco do Brasil
 
MITSUBISHI ELETRIC
MITSUBISHI ELETRICMITSUBISHI ELETRIC
MITSUBISHI ELETRIC
wsantos2018
 
CLASS 2016 - Palestra Nicolau Branco
CLASS 2016 - Palestra Nicolau BrancoCLASS 2016 - Palestra Nicolau Branco
CLASS 2016 - Palestra Nicolau Branco
TI Safe
 
Apresentação Workshop - Análise de Vulnerabilidades
Apresentação Workshop - Análise de VulnerabilidadesApresentação Workshop - Análise de Vulnerabilidades
Apresentação Workshop - Análise de Vulnerabilidades
Petter Lopes
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
Edilson Feitoza
 
Panorama de Segurança na Internet das Coisas
Panorama de Segurança na Internet das CoisasPanorama de Segurança na Internet das Coisas
Panorama de Segurança na Internet das Coisas
Spark Security
 
Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao
gleydsonslim
 
Segurança de sistema firewall
Segurança de sistema firewallSegurança de sistema firewall
Segurança de sistema firewall
Tiago
 
CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes
TI Safe
 
Modelo alternativo às franquias de dados - Provedores de Internet
Modelo alternativo às franquias de dados - Provedores de InternetModelo alternativo às franquias de dados - Provedores de Internet
Modelo alternativo às franquias de dados - Provedores de Internet
André Ribeiro Luís Martins
 
Redes Convergentes DIAT Vs NovaGenesis
Redes Convergentes DIAT Vs NovaGenesisRedes Convergentes DIAT Vs NovaGenesis
Redes Convergentes DIAT Vs NovaGenesis
Instituto Nacional de Telecomunicações - Inatel
 
Segurança na internet
Segurança na internet Segurança na internet
Segurança na internet
Micaela Sousa
 
Deep Web 101 – Vasculhando as profundezas da Internet
Deep Web 101 – Vasculhando as profundezas da InternetDeep Web 101 – Vasculhando as profundezas da Internet
Deep Web 101 – Vasculhando as profundezas da Internet
Spark Security
 
Sistemas Computacionais Aula 9 - Auditoria e Segurança em Sistemas de Informa...
Sistemas Computacionais Aula 9 - Auditoria e Segurança em Sistemas de Informa...Sistemas Computacionais Aula 9 - Auditoria e Segurança em Sistemas de Informa...
Sistemas Computacionais Aula 9 - Auditoria e Segurança em Sistemas de Informa...
Leinylson Fontinele
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEM
Spark Security
 
Trabalho Firewall
Trabalho FirewallTrabalho Firewall
Trabalho Firewall
Junior Cesar
 
What's New On Azure IaaS
What's New On Azure IaaSWhat's New On Azure IaaS
What's New On Azure IaaS
Diego Henrique da Silva
 
Integrando infraestruturas híbridas
Integrando infraestruturas híbridas Integrando infraestruturas híbridas
Integrando infraestruturas híbridas
Amazon Web Services LATAM
 

Más contenido relacionado

Destacado

Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao
gleydsonslim
 
Redes Convergentes DIAT Vs NovaGenesis
Redes Convergentes DIAT Vs NovaGenesisRedes Convergentes DIAT Vs NovaGenesis
Redes Convergentes DIAT Vs NovaGenesis
Instituto Nacional de Telecomunicações - Inatel
 

Destacado (20)

Proxy Reverso com Web Application Proxy
Proxy Reverso com Web Application ProxyProxy Reverso com Web Application Proxy
Proxy Reverso com Web Application Proxy
 
Whatscorp. Aplicativo de mensagens para Empresas e Organizações
Whatscorp. Aplicativo de mensagens para Empresas e OrganizaçõesWhatscorp. Aplicativo de mensagens para Empresas e Organizações
Whatscorp. Aplicativo de mensagens para Empresas e Organizações
 
Unidade 1.1 segurança e segurança física
Unidade 1.1 segurança e segurança física Unidade 1.1 segurança e segurança física
Unidade 1.1 segurança e segurança física
 
O inimigo interno - Information security
O inimigo interno - Information securityO inimigo interno - Information security
O inimigo interno - Information security
 
A rede como um sensor de segurança
A rede como um sensor de segurança A rede como um sensor de segurança
A rede como um sensor de segurança
 
MITSUBISHI ELETRIC
MITSUBISHI ELETRICMITSUBISHI ELETRIC
MITSUBISHI ELETRIC
 
CLASS 2016 - Palestra Nicolau Branco
CLASS 2016 - Palestra Nicolau BrancoCLASS 2016 - Palestra Nicolau Branco
CLASS 2016 - Palestra Nicolau Branco
 
Apresentação Workshop - Análise de Vulnerabilidades
Apresentação Workshop - Análise de VulnerabilidadesApresentação Workshop - Análise de Vulnerabilidades
Apresentação Workshop - Análise de Vulnerabilidades
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Panorama de Segurança na Internet das Coisas
Panorama de Segurança na Internet das CoisasPanorama de Segurança na Internet das Coisas
Panorama de Segurança na Internet das Coisas
 
Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao
 
Segurança de sistema firewall
Segurança de sistema firewallSegurança de sistema firewall
Segurança de sistema firewall
 
CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes
 
Modelo alternativo às franquias de dados - Provedores de Internet
Modelo alternativo às franquias de dados - Provedores de InternetModelo alternativo às franquias de dados - Provedores de Internet
Modelo alternativo às franquias de dados - Provedores de Internet
 
Redes Convergentes DIAT Vs NovaGenesis
Redes Convergentes DIAT Vs NovaGenesisRedes Convergentes DIAT Vs NovaGenesis
Redes Convergentes DIAT Vs NovaGenesis
 
Segurança na internet
Segurança na internet Segurança na internet
Segurança na internet
 
Deep Web 101 – Vasculhando as profundezas da Internet
Deep Web 101 – Vasculhando as profundezas da InternetDeep Web 101 – Vasculhando as profundezas da Internet
Deep Web 101 – Vasculhando as profundezas da Internet
 
Sistemas Computacionais Aula 9 - Auditoria e Segurança em Sistemas de Informa...
Sistemas Computacionais Aula 9 - Auditoria e Segurança em Sistemas de Informa...Sistemas Computacionais Aula 9 - Auditoria e Segurança em Sistemas de Informa...
Sistemas Computacionais Aula 9 - Auditoria e Segurança em Sistemas de Informa...
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEM
 
Trabalho Firewall
Trabalho FirewallTrabalho Firewall
Trabalho Firewall
 

Similar a Segurança em Plataforma Microsoft

AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdfAWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
Amazon Web Services LATAM
 

Similar a Segurança em Plataforma Microsoft (20)

What's New On Azure IaaS
What's New On Azure IaaSWhat's New On Azure IaaS
What's New On Azure IaaS
 
Integrando infraestruturas híbridas
Integrando infraestruturas híbridas Integrando infraestruturas híbridas
Integrando infraestruturas híbridas
 
Arquiteturas para soluções microsoft na nuvem da aws
Arquiteturas para soluções microsoft na nuvem da awsArquiteturas para soluções microsoft na nuvem da aws
Arquiteturas para soluções microsoft na nuvem da aws
 
Opções de trabalho remoto na nuvem
Opções de trabalho remoto na nuvemOpções de trabalho remoto na nuvem
Opções de trabalho remoto na nuvem
 
Apresentando o Windows Server 2008 R2
Apresentando o Windows Server 2008 R2Apresentando o Windows Server 2008 R2
Apresentando o Windows Server 2008 R2
 
Criando e conectando seu datacenter virtual
Criando e conectando seu datacenter virtualCriando e conectando seu datacenter virtual
Criando e conectando seu datacenter virtual
 
Data center seguro
Data center seguroData center seguro
Data center seguro
 
Azure @ Rio Cloud Meetup
Azure @ Rio Cloud MeetupAzure @ Rio Cloud Meetup
Azure @ Rio Cloud Meetup
 
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdfAWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
 
Webinar: Criando e conectando seu Datacenter Virtual
Webinar: Criando e conectando seu Datacenter VirtualWebinar: Criando e conectando seu Datacenter Virtual
Webinar: Criando e conectando seu Datacenter Virtual
 
TDC Connections 2021 – Trilha Software Security - Proteção de dados sensíveis...
TDC Connections 2021 – Trilha Software Security - Proteção de dados sensíveis...TDC Connections 2021 – Trilha Software Security - Proteção de dados sensíveis...
TDC Connections 2021 – Trilha Software Security - Proteção de dados sensíveis...
 
TDC2021 Innovation - Proteção de dados sensíveis com a computação confidencia...
TDC2021 Innovation - Proteção de dados sensíveis com a computação confidencia...TDC2021 Innovation - Proteção de dados sensíveis com a computação confidencia...
TDC2021 Innovation - Proteção de dados sensíveis com a computação confidencia...
 
Fora Hackers! Proteção em camadas do SQL Server
Fora Hackers! Proteção em camadas do SQL ServerFora Hackers! Proteção em camadas do SQL Server
Fora Hackers! Proteção em camadas do SQL Server
 
Servidor proxy Squid
Servidor proxy SquidServidor proxy Squid
Servidor proxy Squid
 
Thedude
ThedudeThedude
Thedude
 
Azure Weekend 2ed - Azure Confidential Computing
Azure Weekend 2ed - Azure Confidential ComputingAzure Weekend 2ed - Azure Confidential Computing
Azure Weekend 2ed - Azure Confidential Computing
 
Como montar um ambiente de alta disponibilidade com o Hyper-V
Como montar um ambiente de alta disponibilidade com o Hyper-VComo montar um ambiente de alta disponibilidade com o Hyper-V
Como montar um ambiente de alta disponibilidade com o Hyper-V
 
Introdução à computação na nuvem e Windows Azure
Introdução à computação na nuvem e Windows AzureIntrodução à computação na nuvem e Windows Azure
Introdução à computação na nuvem e Windows Azure
 
Windows Azure Pack - Visão Geral
Windows Azure Pack - Visão GeralWindows Azure Pack - Visão Geral
Windows Azure Pack - Visão Geral
 
Segurança na Nuvem
Segurança na NuvemSegurança na Nuvem
Segurança na Nuvem
 

Segurança em Plataforma Microsoft

  • 1. PROXY E SECURE WEB GATEWAY Segurança em Plataforma Microsoft On-Premisses e Cloud Uilson Souza MCTS | MTAC Senior Infrastructure Analyst IT Security Coordinator http://uilson76.wordpress.com http://facebook.com/usouzajr @usouzajr
  • 3. Desenho do ambiente Fluxo das informações Função de cada VLAN App, FS, DB´s - Distribuição Segregação de ambientes Acessos – lógicos / Físicos
  • 4. Desenhando um ambiente seguro – On Premisses Rack – Failover Clustering / NLB 3 U Node 1 3 U Node 2 3 U Node 3 3 U Node 4 25 U LUN´s Rack 2 - Storage 3 U NLB - 1 3 U NLB - 2 3 U NLB - 3 3 U NLB - 4 3 U Router
  • 5. Desenhando um ambiente seguro Rack – Failover Clustering / NLB 3 U Node 1 3 U Node 2 25 U LUN´s Rack 2 - Storage 3 U NLB - 1 3 U NLB - 2 3 U Router 3 U Rack – Failover Clustering / NLB - Contingência 3 U Node 3 3 U Node 4 3 U NLB - 3 3 U NLB - 4 3 U 3 U Router 25 U LUN´s Rack 2 - Storage Desenhando um ambiente seguro – OnPremisses
  • 6. Desenhando um ambiente seguro Web Server Farm sistemas.xpto.com Web Server Farm sistemas.xpto.com  Definir sempre alta disponibilidade – Failover Cluster ou NLB (Windows ou via hardware)  Os nodes devem estar em locais distintos  Se mau pensado estes serviços não funcionam  A continuidade também deve contemplar crescimento  Auditorias levam o tema em consideração Desenhando um ambiente seguro – OnPremisses
  • 7. Desenhando um ambiente seguro – OnPremisses www
  • 8. Desenhando um ambiente seguro - OnPremisses WWW DMZ Servers Edge Firewall Back Firewall DMZ – DB Servers ADFS – Pre-Authentication App/Web Servers Router Router DMZ - Extranet AD Servers DB Servers Patch Management ServerFile Server Reverse Proxy DNS DHCP Forward Proxy Root CA Sub CA SCCM Internal Usuários
  • 9. WWW DMZ Servers DMZ – DB Servers ADFS – Pre-Authentication App/Web Servers Router AD Servers DB Servers Patch Management ServerFile Server DNS DHCP Root CA Sub CA SCCM Internal Usuários Desenhando um ambiente seguro - OnPremisses
  • 10. Desenhando um ambiente seguro – OnPremisses/Híbrido WWW DMZ Servers Edge Firewall Back Firewall DMZ – DB Servers ADFS – Pre-Authentication App/Web Servers Router Router DMZ - Extranet AD Servers DB Servers Patch Management ServerFile Server Reverse Proxy DNS DHCP Root CA Sub CA SCCM Cloud Proxy Content Filter Internal Usuários
  • 11. Proxy via DNS – Distribuição WPAD
  • 12. Proxy via DNS – Distribuição WPAD
  • 13. Proxy via DNS – Distribuição WPAD Microsoft constatou essa vulnerabilidade em Junho de 2009 A partir do Windows Server 2008 o uso do WPAD depende de liberação no Global Query Block List do DNS a partir de linhas de comando DNSCMD ou PowerShell Comunicado de Segurança Microsoft – 971888 https://technet.microsoft.com/library/security/971888
  • 14. Proxy via DNS – Distribuição WPAD
  • 15. Proxy via DNS – Distribuição WPAD https://technet.microsoft.com/pt-br/library/security/ms16-077.aspx
  • 16. Proxy via DNS – Distribuição WPAD http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3213
  • 17. Proxy via DNS – Distribuição WPAD IPSec
  • 18. Desenhando um ambiente seguro - OnPremisses Acesso Internet em Servidores
  • 19. Desenhando um ambiente seguro - OnPremisses Acesso RDP direto a servidores DMZ Servers Back Firewall DMZ – DB Servers ADFS – Pre-Authentication App/Web Servers Router AD Servers DB Servers Terminal Server File Server DNS DHCP Root CA Sub CA SCCM Internal Usuários
  • 20. Desenhando um ambiente seguro - Cloud
  • 21. Desenhando um ambiente seguro - Cloud
  • 22. Mitigação de vulnerabilidades • A preocupação com a segurança no ambiente começa no deploy • Pense em mitigação de riscos e vulnerabilidades já na instalação do ambiente • Uma das vulnerabilidades de sistema operacional exploradas são as de “password required” e share de pastas • Ficar atento a vulnerabilidades de Web Server e Banco de Dados, seguindo as orientações do fabricante para mitiga-las
  • 23. Mitigação de vulnerabilidades - ATA A Microsoft oferece o ATA - Microsoft Advanced Threat Analytics Análise e detecção de ameaças Incidência de falso positivo reduzida Análise continua do ambiente Relatórios completos e recomendações sobre como remediar os dispositivos vulneráveis Licenças por user ou device - https://www.microsoft.com/pt-br/cloud-platform/advanced-threat-analytics-pricing
  • 26. Mitigação de vulnerabilidades – na nuvem Segurança Privacidade e Controle Transparência Compliance Key Vault Virtual Networks Network Security Groups VPN + ExpressRoute Azure Active Directory Partner solutions
  • 27. Mitigação de vulnerabilidades – Azure Security Center Aumento dos níveis de agilidade e segurança Visibilidade e controle Sempre atualizado com as principais cyber threats
  • 28. Mitigação de vulnerabilidades – Azure Security Center Compute Virtual Machines (Windows e Linux) Service Fabric Monitora/Recommenda: Antimalware Configuração de +150 OS Baselines System Update Status Disk Encryption PaaS Services Azure SQL & Databases Monitora/Recommenda: SQL - Auditoria SQL Transparent Data Encryption Networking Virtual Networks Monitors/Recommends: Network Security Groups e Inbound Traffic Rules Web Application Firewalls Next Generation Firewalls
  • 29. Mitigação de vulnerabilidades – Azure Security Center Integrate partner solutions
  • 30. Mitigação de vulnerabilidades – Azure Security Center
  • 31. Patche Management – WSUS ou SCCM Comece pelo planejamento – análise do seu ambiente, impactos Planeje as janelas de aplicação Divida a aplicação em ondas – Dev, QA, Prod Defina key users para testes dos ambientes críticos e aplicações core A maturidade do processo é alcançada com o tempo Ambientes sem processo levam tempo para adquirir o hábito de aplicar patches Em alguns lugares podemos nos surpreender – positiva ou negativamente Alguns simplesmente rejeitam o processo
  • 32. Patche Management – WSUS ou SCCM
  • 34. Patche Management O CAU (Cluster Aware Updating) é um recurso automatizado que permite atualizar servidores em cluster com pouca ou nenhuma perda de disponibilidade durante o processo de atualização
  • 35. Patche Management – Cluster Aware Updating O recurso CAU surgiu no Windows Server 2012 Compatível somente com failover de cluster Windows Server a partir do 2012 e as funções de cluster que são suportadas no Windows Server 2012. Executa nos modos Self-Update Mode ou Remote-Update Mode Pode trabalhar em conjunto com um servidor WSUS ou diretamente conectado a internet. Também é possível definir uma pasta onde ele irá buscar as atualizações Para usar um proxy deve-se configurar o acesso ao proxy via System Mode usando o comando netsh: netsh winhttp set proxy server.dominio.com:8080 "<local>"
  • 36. Patche Management Para ambientes de cluster com recursos de file server é necessário declarar o domínio interno: netsh winhttp set proxy proxy.uilson.net:8080 "<local>;*.uilson.net“
  • 37. Protegendo a rede com 802.1x Padrão de controle de acesso a rede por RADIUS Com o 802.1x é possível determinar que só as estações criadas no padrão da corporação tenham acesso a rede Evita infecção por acesso de estações de terceiros O DHCP da rede só concede IP a estação após validação pelo Network Policy Server que processará regras pré-definidas pelo administrador, garantindo a segurança no ambiente.
  • 38. Protegendo a rede com 802.1x
  • 39. Bitlocker e SMB Encryption Bitlocker Tecnologia que permite proteger com senha e criptografar o conteúdo de mídias de armazenamento via senha ou smart card Surgiu no Windows Vista com intuito de criptografar as unidades de disco A partir do Windows 7 foi criado o “BitLocker To Go” que possibilitava a proteção de conteúdo em unidades removíveis A partir do Windows 8 você pode, além de imprimir suas informações de acesso, também grava-las em sua conta Microsoft Também é possível uso do bitlocker em discos de storage
  • 40. Bitlocker e SMB Encryption SMB Encryption Criptografa os dados SMB em trânsito de fim a fim – Windows 8 e Windows Server 2012 Protege dados contra ataques “eavesdropping” O custo e tempo de implementação é muito menor do que outra solução de criptografia de dados em trânsito – IPSEC A configuração é simples – Via Server Manager em um share específico
  • 41. Bitlocker e SMB Encryption Pode ser configurado também via Power Shell: Para uma share específica Set-SmbShare –Name <sharename> -EncryptData $true Para todo o servidor Set-SmbServerConfiguration –EncryptData $true
  • 42. AD Rights and Management Services Role do Windows para criação de políticas de acesso no próprio arquivo Surgiu no Windows Server 2003 como uma feature a ser instalada a parte. Virando native a partir do Windows Server 2008 A partir do Windows Server 2012 dá suporte a estações Apple Disponível também no Microsoft Azure
  • 43. Azure Rights and Management Services
  • 44. Proxy Reverso com Web Application Proxy – OnPremisses Web Application Proxy • Uma função agregada a role Remote Access no Windows Server 2012 R2 • Executa o serviço de proxy reverso para aplicações web provendo acesso para conexões externas ao ambiente • Faz a pré-autenticação usando o Active Directory Federation Services (AD FS) e também age como um proxy para o AD FS Web Application Proxy - Requisitos • Active Directory® Domain Services – para ambientes com KCD (Kerberos Constrained Delegation) • Active Directory Federation Services – para serviços de autorização e autenticação e armazenamento das configurações do Web Application Proxy • Remote Access – a role que contém o Web Application Proxy
  • 45. Proxy Reverso com Web Application Proxy – OnPremisses
  • 46. Proxy Reverso com Azure AD Application Proxy • Faz a publicação de aplicações em núvem • Liberado para as subscriptions Azure Active Directory Premium e Basic • Para acesso a partir da rede corporativa é necessário download do Azure AD Application Proxy Connector
  • 47. Proxy Reverso com Azure AD Application Proxy
  • 48. Azure AD Application Proxy – Publicando Aplicações
  • 49. Windows Server 2016 – Alguns aspectos de segurança Aspectos de segurança e melhorias interessantes implementadas nas features do Remote Access – Web Application Proxy Nano Server – menos reboot´s com aplicações de patches, segurança mais eficaz PAM – Privilegied Access Management JIT – Just in Time Administration JEA – Just Enough Administration – Windows Management Framework 5.0
  • 50. Referências para estudo Nesta lista de links do docs.com você encontra vasto material de estudo que cobre com detalhes todos os pontos desta palestra: http://bit.ly/uilson_docs
  • 52. Leitura Recomendada http://www.editoranovaterra.com.br facebook.com/NovaterraED Promoção de Natal: Cupom NT55, da direito a 55% de desconto no site da editora
  • 53. Leitura Recomendada http://www.editoranovaterra.com.br facebook.com/NovaterraED Seja um autor da Nova Terra - http://www.editoranovaterra.com.br/seja-nosso-autor
  • 54. •Malwarebytes, Santa Clara, CA •420 funcionários em 15 países •Malwarebytes foi nomeada pelo Deloitte’s Fast 500TM que classifica as 500 empresas de mais rápido crescimento na América do Norte, entre empresas de tecnologias, mídia, telecomunicações, ciências da vida e tecnologia limpa.
  • 55.
  • 56. •Premiado por sua detecção & remediação •Publicamente recomendado por outros fornecedores de softwares de segurança •Bloqueio de IP malicioso em tempo real previne comandos de malware e phishing. •Footprint minúsculo melhora o desempenho dos endpoints (8MB vs. 300MB padrão industrial)** •Instalação remota através da Console (push-install) ou por MSI usando linhas de comando, permite a implementação e gerenciamento por software de distribuição como SCCM, GPO, PSEXEC, Tanium e qualquer RMM. •Tecnologia Chameleon para desviar de malwares que bloqueiam a instalação de Malwarebytes. •3 Modos de varredura – Quick, Flash and Full •Registros em XML ou Syslog via Console, compatíveis com formato ArcSight CEF. •Opção de notificações por e-mail. •Opções de instalação e execução silenciosas •Bloqueio de website malicioso •Whitelist para objetos e endereços IP confiáveis •Win 10, 8, 7, Vista & XP, Server 2012, 2008, and 2003 (32bit) •Suporte Técnico 24/7 Platinum & Gold - com Engenheiro designado para clientes empresariais.
  • 57. http://www.synus.com.br Uilson Souza Pre-Sales Consultant uilson@hotmail.com Como adquirir MalwareBytes Souza Jr. IT Consulting http://facebook.com/usouzajr
  • 58. Sorteio de um livro para participantes http://www.editoranovaterra.com.br Oferecimento: CLOUD ESSENTIALS – GUIA PREPARATÓRIO PROVA – CLO-001 Autores – Yuri Diógenes e Manoel Veras facebook.com/NovaterraED