Segurança em Plataforma Microsoft

PROXY E SECURE WEB GATEWAY
Segurança em Plataforma Microsoft
On-Premisses e Cloud
Uilson Souza MCTS | MTAC
Senior Infrastructure Analyst
IT Security Coordinator
http://uilson76.wordpress.com
http://facebook.com/usouzajr
@usouzajr

Confidencialidade
Disponibilidade
Integridade

Desenho do ambiente
Fluxo das informações
Função de cada VLAN
App, FS, DB´s - Distribuição
Segregação de ambientes
Acessos – lógicos / Físicos

Desenhando um ambiente seguro – On Premisses
Rack – Failover Clustering / NLB
3 U Node 1
3 U Node 2
3 U Node 3
3 U Node 4
25 U LUN´s
Rack 2 - Storage
3 U NLB - 1
3 U NLB - 2
3 U NLB - 3
3 U NLB - 4
3 U
Router

Desenhando um ambiente seguro
Rack – Failover Clustering / NLB
3 U Node 1
3 U Node 2
25 U LUN´s
Rack 2 - Storage
3 U NLB - 1
3 U NLB - 2
3 U
Router
3 U
Rack – Failover Clustering / NLB -
Contingência
3 U Node 3
3 U Node 4
3 U NLB - 3
3 U NLB - 4
3 U 3 U
Router
25 U LUN´s
Rack 2 - Storage
Desenhando um ambiente seguro – OnPremisses

Desenhando um ambiente seguro
Web Server Farm
sistemas.xpto.com
Web Server Farm
sistemas.xpto.com
 Definir sempre alta disponibilidade – Failover
Cluster ou NLB (Windows ou via hardware)
 Os nodes devem estar em locais distintos
 Se mau pensado estes serviços não
funcionam
 A continuidade também deve contemplar
crescimento
 Auditorias levam o tema em consideração

www

Desenhando um ambiente seguro - OnPremisses
WWW
DMZ Servers
Edge Firewall
Back Firewall
DMZ – DB Servers
ADFS – Pre-Authentication
App/Web Servers
Router
Router
DMZ - Extranet
AD Servers
DB Servers
Patch Management ServerFile Server
Reverse Proxy
DNS DHCP
Forward Proxy
Root CA Sub CA SCCM
Internal
Usuários

WWW
DMZ Servers
DMZ – DB Servers
App/Web Servers
Router
AD Servers
DB Servers
Patch Management ServerFile Server DNS DHCP
Root CA Sub CA SCCM
Internal
Usuários

Desenhando um ambiente seguro – OnPremisses/Híbrido
WWW
DMZ Servers
Edge Firewall
Back Firewall
DMZ – DB Servers
App/Web Servers
Router
Router
DMZ - Extranet
AD Servers
DB Servers
Patch Management ServerFile Server
Reverse Proxy
DNS DHCP
Root CA Sub CA SCCM
Cloud Proxy
Content Filter
Internal
Usuários

Proxy via DNS – Distribuição WPAD

Microsoft constatou essa vulnerabilidade em Junho de 2009
A partir do Windows Server 2008 o uso do WPAD depende de liberação
no Global Query Block List do DNS a partir de linhas de comando
DNSCMD ou PowerShell
Comunicado de Segurança Microsoft – 971888
https://technet.microsoft.com/library/security/971888

https://technet.microsoft.com/pt-br/library/security/ms16-077.aspx

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3213

IPSec

Acesso Internet em Servidores

Acesso RDP direto a servidores
DMZ Servers
Back Firewall
DMZ – DB Servers
App/Web Servers
Router
AD Servers
DB Servers
Terminal Server
File Server DNS DHCP
Root CA Sub CA SCCM
Internal
Usuários

Desenhando um ambiente seguro - Cloud

Mitigação de vulnerabilidades
• A preocupação com a segurança no
ambiente começa no deploy
• Pense em mitigação de riscos e
vulnerabilidades já na instalação do
ambiente
• Uma das vulnerabilidades de sistema
operacional exploradas são as de
“password required” e share de pastas
• Ficar atento a vulnerabilidades de Web
Server e Banco de Dados, seguindo as
orientações do fabricante para mitiga-las

Mitigação de vulnerabilidades - ATA
A Microsoft oferece o ATA - Microsoft Advanced Threat Analytics
Análise e detecção de ameaças
Incidência de falso positivo reduzida
Análise continua do ambiente
Relatórios completos e recomendações sobre como remediar os
dispositivos vulneráveis
Licenças por user ou device - https://www.microsoft.com/pt-br/cloud-platform/advanced-threat-analytics-pricing

Mitigação de vulnerabilidades - ATA

Mitigação de vulnerabilidades – na nuvem
Segurança
Privacidade e Controle
Transparência
Compliance
Key Vault
Virtual Networks
Network Security Groups
VPN + ExpressRoute
Azure Active Directory
Partner solutions

Mitigação de vulnerabilidades – Azure Security Center
Aumento dos níveis de agilidade e
segurança
Visibilidade e controle
Sempre atualizado com as principais
cyber threats

Compute
Virtual Machines (Windows e Linux)
Service Fabric
Monitora/Recommenda:
Antimalware
Configuração de +150 OS Baselines
System Update Status
Disk Encryption
PaaS Services
Azure SQL & Databases
Monitora/Recommenda:
SQL - Auditoria
SQL Transparent Data
Encryption
Networking
Virtual Networks
Monitors/Recommends:
Network Security Groups e
Inbound Traffic Rules
Web Application Firewalls
Next Generation Firewalls

Integrate partner
solutions

Patche Management – WSUS ou SCCM
Comece pelo planejamento – análise do seu ambiente, impactos
Planeje as janelas de aplicação
Divida a aplicação em ondas – Dev, QA, Prod
Defina key users para testes dos ambientes críticos e aplicações core
A maturidade do processo é alcançada com o tempo
Ambientes sem processo levam tempo para adquirir o hábito de aplicar patches
Em alguns lugares podemos nos surpreender – positiva ou negativamente
Alguns simplesmente rejeitam o processo

Patche Management – WSUS ou SCCM

Patche Management
O CAU (Cluster Aware Updating)
é um recurso automatizado que
permite atualizar servidores em
cluster com pouca ou nenhuma
perda de disponibilidade durante
o processo de atualização

Patche Management – Cluster Aware Updating
O recurso CAU surgiu no Windows Server 2012
Compatível somente com failover de cluster Windows Server a partir do 2012
e as funções de cluster que são suportadas no Windows Server 2012.
Executa nos modos Self-Update Mode ou Remote-Update Mode
Pode trabalhar em conjunto com um servidor WSUS ou diretamente
conectado a internet. Também é possível definir uma pasta onde ele irá buscar
as atualizações
Para usar um proxy deve-se configurar o acesso ao proxy via System Mode
usando o comando netsh:
netsh winhttp set proxy server.dominio.com:8080 "<local>"

Patche Management
Para ambientes de cluster com recursos de file server é necessário declarar
o domínio interno:
netsh winhttp set proxy proxy.uilson.net:8080 "<local>;*.uilson.net“

Protegendo a rede com 802.1x
Padrão de controle de acesso a rede por
RADIUS
Com o 802.1x é possível determinar que só
as estações criadas no padrão da
corporação tenham acesso a rede
Evita infecção por acesso de estações de
terceiros
O DHCP da rede só concede IP a estação
após validação pelo Network Policy Server
que processará regras pré-definidas pelo
administrador, garantindo a segurança no
ambiente.

Bitlocker e SMB Encryption
Bitlocker
Tecnologia que permite proteger com senha e criptografar o conteúdo de
mídias de armazenamento via senha ou smart card
Surgiu no Windows Vista com intuito de criptografar as unidades de disco
A partir do Windows 7 foi criado o “BitLocker To Go” que possibilitava a
proteção de conteúdo em unidades removíveis
A partir do Windows 8 você pode, além de imprimir suas informações de
acesso, também grava-las em sua conta Microsoft
Também é possível uso do bitlocker em discos de storage

SMB Encryption
Criptografa os dados SMB em trânsito de fim a fim – Windows 8 e Windows
Server 2012
Protege dados contra ataques “eavesdropping”
O custo e tempo de implementação é muito menor do que outra solução de
criptografia de dados em trânsito – IPSEC
A configuração é simples – Via Server Manager em um share específico

Pode ser configurado também via Power Shell:
Para uma share específica
Set-SmbShare –Name <sharename> -EncryptData $true
Para todo o servidor
Set-SmbServerConfiguration –EncryptData $true

AD Rights and Management
Services
Role do Windows para criação de
políticas de acesso no próprio arquivo
Surgiu no Windows Server 2003 como
uma feature a ser instalada a parte.
Virando native a partir do Windows
Server 2008
A partir do Windows Server 2012 dá
suporte a estações Apple
Disponível também no Microsoft
Azure

Azure Rights and Management Services

Proxy Reverso com Web Application Proxy – OnPremisses
Web Application Proxy
• Uma função agregada a role Remote
Access no Windows Server 2012 R2
• Executa o serviço de proxy reverso
para aplicações web provendo acesso
para conexões externas ao ambiente
• Faz a pré-autenticação usando o
Active Directory Federation Services
(AD FS) e também age como um
proxy para o AD FS
Web Application Proxy - Requisitos
• Active Directory® Domain Services – para ambientes
com KCD (Kerberos Constrained Delegation)
• Active Directory Federation Services – para serviços de
autorização e autenticação e armazenamento das
configurações do Web Application Proxy
• Remote Access – a role que contém o Web
Application Proxy

Proxy Reverso com Web Application Proxy – OnPremisses

Proxy Reverso com Azure AD Application Proxy
• Faz a publicação de aplicações em núvem
• Liberado para as subscriptions Azure Active Directory
Premium e Basic
• Para acesso a partir da rede corporativa é necessário
download do Azure AD Application Proxy Connector

Proxy Reverso com Azure AD Application Proxy

Azure AD Application Proxy – Publicando Aplicações

Windows Server 2016 – Alguns aspectos de segurança
Aspectos de segurança e melhorias interessantes implementadas nas features do
Remote Access – Web Application Proxy
Nano Server – menos reboot´s com aplicações de patches, segurança mais eficaz
PAM – Privilegied Access Management
JIT – Just in Time Administration
JEA – Just Enough Administration – Windows Management Framework 5.0

Referências para estudo
Nesta lista de links do docs.com você encontra vasto material de estudo que cobre
com detalhes todos os pontos desta palestra:
http://bit.ly/uilson_docs

Leitura Recomendada
http://amzn.to/2gOrsl4
http://amzn.to/2fEpYoK

Leitura Recomendada
http://www.editoranovaterra.com.br
facebook.com/NovaterraED
Promoção de Natal:
Cupom NT55, da direito a 55% de desconto no site da editora

Leitura Recomendada
Seja um autor da Nova Terra - http://www.editoranovaterra.com.br/seja-nosso-autor

•Malwarebytes, Santa Clara, CA
•420 funcionários em 15 países
•Malwarebytes foi nomeada pelo Deloitte’s Fast 500TM que
classifica as 500 empresas de mais rápido crescimento na
América do Norte, entre empresas de tecnologias, mídia,
telecomunicações, ciências da vida e tecnologia limpa.

•Premiado por sua detecção & remediação
•Publicamente recomendado por outros fornecedores
de softwares de segurança
•Bloqueio de IP malicioso em tempo real previne
comandos de malware e phishing.
•Footprint minúsculo melhora o desempenho dos
endpoints (8MB vs. 300MB padrão industrial)**
•Instalação remota através da Console (push-install) ou por MSI usando linhas de comando,
permite a implementação e gerenciamento por software de distribuição como SCCM, GPO,
PSEXEC, Tanium e qualquer RMM.
•Tecnologia Chameleon para desviar de malwares que bloqueiam a instalação de
Malwarebytes.
•3 Modos de varredura – Quick, Flash and Full
•Registros em XML ou Syslog via Console, compatíveis com formato ArcSight CEF.
•Opção de notificações por e-mail.
•Opções de instalação e execução silenciosas
•Bloqueio de website malicioso
•Whitelist para objetos e endereços IP confiáveis
•Win 10, 8, 7, Vista & XP, Server 2012, 2008, and 2003 (32bit)
•Suporte Técnico 24/7 Platinum & Gold - com Engenheiro designado para
clientes empresariais.

http://www.synus.com.br
Uilson Souza
Pre-Sales Consultant
uilson@hotmail.com
Como adquirir MalwareBytes
Souza Jr. IT Consulting
http://facebook.com/usouzajr

Sorteio de um livro para participantes
Oferecimento:
CLOUD ESSENTIALS – GUIA PREPARATÓRIO
PROVA – CLO-001
Autores – Yuri Diógenes e Manoel Veras

Segurança em Plataforma Microsoft

Mais conteúdo relacionado

Destaque

Semelhante a Segurança em Plataforma Microsoft

Segurança em Plataforma Microsoft