O documento discute estratégias de segurança em redes Microsoft, incluindo desenhar um ambiente seguro, continuidade de serviços, patches de segurança e proteção da rede com 802.1x e criptografia. Apresenta também recursos como Web Application Proxy, ARR e demonstra algumas funcionalidades de segurança do Windows Server 2012 R2.

1. Segurança em Redes Microsoft
Uilson Souza | Analista de Projetos Sr.
MCTS, MTAC
Blog: http://uilson76.wordpress.com
Twitter: http://twitter.com/usouzajr
Quintas da T.I –

2. Agenda
Desenhando um ambiente seguro
Continuidade de serviços em Redes Microsoft
Segurança na instalação e mitigação de vulnerabilidades
Patches de segurança – WSUS e Cluster Aware Updating (CAU)
Protegendo a rede com 802.1x
BitLocker e SMB Encryption
Proxy Reverso com Web Application Proxy e ARR
Demo – Algumas features de Segurança no Windows Server
2012 R2
Referências para Estudo
Quintas da T.I –

3. Desenhando um ambiente Seguro
Entendimento do ambiente e objetivos
Quais dados vão trafegar e como
Quantas VLAN s serão necessárias
Distribuição dos servidores
Servidores de aplicação, File Server, Database Server
Equipes responsáveis e tipos de acesso
Storage – qual a quantidade necessária x custos
Definição dos devices de rede (routers, swtiches e appliances)
Quintas da T.I –

4. Desenhando um Ambiente Seguro
Suas VLAN´s sempre
separadas por funcionalidade e
protegidas por Firewall
Rede Interna/Intranet
DMZ Extranet
Servidores – AD, Correio, Aplicação,
File Server e Proxy
Infra de servidores web (IIS) protegidos
por publicação de aplicações no Forefront
TMG
AD
Bancos de dados sempre em
VLAN´s próprias
Usuários
DMZ Banco de Dados
Servidores de aplicação
protegidos por um servidor de
proxy reverso – ex: UAG, ARR
ou ainda o Forefront TMG
Quintas da T.I –

5. Desenhando um ambiente Seguro
Rack 2 - Storage
Rack – Failover Clustering / NLB
3U
Node 1
3U
Node 2
3U
Node 3
3U
Node 4
3U
NLB - 1
3U
NLB - 2
3U
NLB - 3
3U
Como NÃO montar
sua infra estrutura
Método muito
encontrado em
empresas que
pensam com exagero
no “bom e barato”
NLB - 4
Router
25 U
LUN´s
3U
Quintas da T.I –

6. Desenhando um ambiente seguro
Rack 2 - Storage
25 U
Rack 2 - Storage
LUN´s
25 U
A redundância deve
ser planejada para
todos os itens da infra
estrutura, inclusive o
prédio que abriga o
seu datacenter
LUN´s
Router
Rack – Failover Clustering / NLB
3U
Node 2
3U
NLB - 1
3U
3U
Node 1
3U
NLB - 2
Rack – Failover Clustering / NLB Contingência
3U
3U
3U
NLB - 3
3U
3U
Node 4
3U
Router
Node 3
NLB - 4
3U
Quintas da T.I –

7. Desenhando um ambiente seguro
Definir sempre alta disponibilidade – Failover Cluster ou NLB (Windows ou via hardware)
Varia de acordo com a aplicação a ser implementada
Os nodes devem estar em locais distintos
Se mau pensado estes serviços não funcionam
A continuidade também deve contemplar crescimento
A continuidade de serviços é contemplada em auditorias
Quintas da T.I –

8. Continuidade de Serviços em Redes
Microsoft
 Veja porque o Windows Server 2012 R2 é a melhor escolha
Informação retirada do blog do MPV Aidan Finn - http://www.aidanfinn.com/?page_id=2
Quintas da T.I –

9. Segurança na Instalação e mitigação de
vulnerabilidades
A preocupação com a segurança no ambiente começa no deploy
Lembre-se de que ao planejar a instalação do servidor também
pense na mitigação de riscos e vulnerabilidades
Uma das vulnerabilidades de sistema operacional exploradas são
as de “password required” e share de pastas
Ficar atento a vulnerabilidades de Web Server e Banco de
Dados, seguindo as orientações do fabricante para mitiga-las
Quintas da T.I –

10. Segurança na Instalação e mitigação de
vulnerabilidades
Mitigando
vulnerabilidade do
Password Required
em estações e
servidores Windows
Quintas da T.I –

11. Segurança na Instalação e mitigação de
vulnerabilidades
Para ambientes legados de IIS:
As vulnerabilidades conhecidas de IIS eram frequentes até a versão 5, sendo
que partir da versão 6, os cuidados para mitigação foram maiores.
Sempre que habilitar o IIS, verificar novos patches. Ajuda a manter o
ambiente protegido.
Vulnerabilidades mais frequentes no IIS 6 eram refentes a arquivos ASP e
WEBDAV (http://technet.microsoft.com/pt-br/library/cc781730(v=ws.10).aspx )
Para ficar craque no IIS visite http://iisbrasil.wordpress.com
Quintas da T.I –

12. Patches de segurança – WSUS e Cluster Aware Updating
(CAU)
A aplicação de patches constante garante, além da segurança, o correto
funcionamento de sistema operacional e aplicações
Use o WSUS para manter o ambiente atualizado
Para entender tudo sobre o WSUS http://technet.microsoft.com/enus/library/cc706995(WS.10).aspx
A partir do Windows Server 2012 o WSUS é nativo (Role)
Mantenha atenção especial a servidores de banco de dados, aplicações e
ambientes de cluster (SQL Server e Oracle)
Quintas da T.I –

13. Patches de segurança – WSUS e Cluster Aware Updating
(CAU)
Nativo a partir do
Windows Server 2012
Maior e melhor
controle da
atualização de
patches do parque
Quintas da T.I –

14. Patches de segurança – WSUS e Cluster Aware Updating
(CAU)
DMZ Banco de Dados
WWW
Rede Interna/Intranet
Servidores – AD, Correio, Aplicação,
File Server e Proxy
AD
Usuários
WSUS Server
DMZ Extranet
Infra de servidores web (IIS) protegidos
por publicação de aplicações no Forefront
TMG
A distribuição para a rede pode
ser feita por um único WSUS
A distribuição pode ser
automatizada via GPO
O mesmo pode ser roteado
para várias VLAN s
Em redes não cobertas pelo AD,
pode se usar uma chave de
registry para receber os updates
Quintas da T.I –

15. Patches de segurança – WSUS e Cluster Aware Updating
(CAU)
O CAU (Cluster Aware
Updating) é um recurso
automatizado que permite
atualizar servidores em
cluster com pouca ou
nenhuma perda de
disponibilidade durante o
processo de atualização
Quintas da T.I –

16. Patches de segurança – WSUS e Cluster Aware Updating
(CAU)
O recurso CAU no Windows Server 2012 é compatível somente
com failover de cluster Windows Server 2012 e as funções de
cluster que são suportadas no Windows Server 2012.
Executa nos modos Self-Update Mode ou Remote-Update
Mode
Pode trabalhar em conjunto com um servidor WSUS ou
diretamente conectado a internet. Também é possível definir uma
pasta onde ele irá buscar as atualizações
Para usar um proxy deve-se configurar o acesso ao proxy via
System Mode usando o comando netsh:
netsh winhttp set proxy server.dominio.com:8080 "<local>"
Quintas da T.I –

17. Patches de segurança – WSUS e Cluster Aware Updating
(CAU)
Para ambientes de cluster com recursos de file server é
necessário declarar o domínio interno:
netsh winhttp set proxy proxy.uilson.net:8080 "<local>;*.uilson.net“
Para saber as principais novidades de Failover Clustering e uma
demo do Cluster Aware Updating assista um vídeo feito pelo
Vinicus Apolinário em:
http://bit.ly/1b33Vyp
Documentação sobre CAU:
http://technet.microsoft.com/en-us/library/hh831694.aspx
Quintas da T.I –

18. Protegendo a rede com 802.1x
 Padrão de controle de acesso a rede por
RADIUS
 Com o 802.1x é possível determinar que só as
estações criadas no padrão da corporação
tenham acesso a rede
 Evita infecção por acesso de estações de
terceiros
 O DHCP da rede só concede IP a estação
após validação pelo Network Policy Server que
processará
regras
pré-definidas
pelo
administrador, garantindo a segurança no
ambiente.
Quintas da T.I –

19. Protegendo a rede com 802.1x
Requisitos:
Servidor AD CS (Certificate Services – CA Interna)
Servidor com a Role do Network Policy Server
Servidor com IIS
Servidor AD DS – onde as GPO s serão definidas
Servidor DHCP
A implementação do 802.1x é um fatores mais importantes para
segurança em redes Microsoft
Quintas da T.I –

20. BitLocker e SMB Encryption
Bitlocker
Tecnologia que permite proteger com senha e criptografar o
conteúdo de mídias de armazenamento via senha ou smart card
Surgiu no Windows Vista com intuito de criptografar as unidades
de disco
A partir do Windows 7 foi criado o “BitLocker To Go” que
possibilitava a proteção de conteúdo em unidades removíveis
A partir do Windows 8 é possível, além imprimir ou gravar em
arquivo, salvar em sua conta Microsoft
Quintas da T.I –

21. BitLocker e SMB Encryption
Bitlocker no Windows Server 2012
Criptografa o storage local
Criptografa discos do failover cluster
Criptografa Cluster Shared Volumes 2.0
No Windows 8.1 e Windows Server 2012 R2 é possível usar
método de criptografia para o volume todo ou somente para o
volume usado.
Para saber o que há de novo no BitLocker do Windows Server
2012 R2:
http://technet.microsoft.com/en-us/library/hh831412.aspx
Quintas da T.I –

22. BitLocker e SMB Encryption
SMB Encryption
Criptografa os dados SMB em trânsito de fim a fim – Windows 8 e
Windows Server 2012
Protege dados contra ataques “eavesdropping”
O custo e tempo de implementação é muito menor do que outra
solução de criptografia de dados em trânsito – IPSEC
A configuração é simples – Via Server Manager em um share
específico
Quintas da T.I –

23. BitLocker e SMB Encryption
Pode ser configurado também via Power Shell:
Para uma share específica - Set-SmbShare –Name <sharename> EncryptData $true
Para todo o servidor - Set-SmbServerConfiguration –EncryptData
$true
Secure SMB Connections – Windows Security.com
http://www.windowsecurity.com/articlestutorials/misc_network_security/Secure-SMB-Connections.html
Quintas da T.I –

24. Proxy Reverso com Web Application Proxy e ARR
Web Application Proxy
Uma função agregada a role Remote Access no Windows Server
2012 R2
Executa o serviço de proxy reverso para aplicações web
provendo acesso para conexões externas ao ambiente
Faz a pré-autenticação usando o Active Directory Federation
Services (AD FS) e também age como um proxy para o AD FS
Quintas da T.I –

25. Proxy Reverso com Web Application Proxy e ARR
Web Application Proxy
Quintas da T.I –

26. Proxy Reverso com Web Application Proxy e ARR
Web Application Proxy
Active Directory® Domain Services – para ambientes com KCD
(Kerberos Constrained Delegation)
Active Directory Federation Services – para serviços de
autorização e autenticação e armazenamento das configurações
do Web Application Proxy
Remote Access – a role que contém o Web Application Proxy
Publicando aplicações com Web Application Proxy
http://technet.microsoft.com/en-us/library/dn383650.aspx
Quintas da T.I –

27. Proxy Reverso com Web Application Proxy e ARR
ARR – Application Request Routing
Integrado ao IIS 8 no Windows Server 2012 R2
Específico para publicação do CAS (OWA) do Exchange Server
2013
Vem como opção pós TMG
Melhor opção que o UAG na questão da complexidade e preço
Implementando o Application Request Routing
http://www.msexchange.org/articles-tutorials/exchange-server2013/mobility-client-access/iis-application-request-routingpart1.html
Quintas da T.I –

28. Algumas features de segurança do
Windows Server 2012 R2
Demo
Quintas da T.I –

29. Referências para estudo
Best Practices em Failover Cluster para Windows Servers:
http://blogs.technet.com/b/hugofe/archive/2012/12/06/best-practices-formigration-of-cluster-windows-2008-r2-2012-as-melhores-praticas-paramigrar-um-cluster-de-windows-2008-para-windows-2012.aspx
O que há de novo no failover clustering do Windows Server 2012 R2
http://technet.microsoft.com/en-us/library/dn265972.aspx
Network Load Balance Best Practices:
http://allcomputers.us/windows_server/windows-server-2008-r2--deploying-network-load-balancing-clusters-(part-1).aspx
Quintas da T.I –

30. Referências para estudo
802.1x para Windows Server 2008 R2, Windows Server 2012 e
Windows Server 2012 R2:
http://technet.microsoft.com/en-us/library/cc731853.aspx
Treinamento – Implementação de núvem privada
http://technet.microsoft.com/pt-br/gg578594.aspx
Segurança na núvem com recursos do Azure
http://msdn.microsoft.com/pt-br/windowsazure/ff384165.aspx
Quintas da T.I –

31. Referências para estudo
http://www.amazon.com/Windows-Server-2012-SecurityBeyond/dp/1597499803
Quintas da T.I –

32. Realizaçã
o: