rodrigo immaginario mvp security mcse:security proteção de infraestrutura utilizando group policy...
TRANSCRIPT
Rodrigo ImmaginarioRodrigo ImmaginarioMVP SecurityMVP SecurityMCSE:SecurityMCSE:Security
Proteção de Infraestrutura utilizando Group Policy e IPSec - Parte 2
AgendaAgenda
• Relembrando o webcast parte 1Relembrando o webcast parte 1
• DemonstraçãoDemonstração
Como eu implemento isolamento?Como eu implemento isolamento?
Implementando isolamentoImplementando isolamento
Organize os computadores em grupos (grupos de Organize os computadores em grupos (grupos de isolamento)isolamento)
Baseado nos requisitos de segurança e política de Baseado nos requisitos de segurança e política de classificação de informaçõesclassificação de informações
Identifique fluxos de informaçãoIdentifique fluxos de informação
Mapeie comunicações permitidasMapeie comunicações permitidas
Crie políticas para atender aos requisitos de negócioCrie políticas para atender aos requisitos de negócio
Identifique e teste uma estratégia de implementaçãoIdentifique e teste uma estratégia de implementação
Organize os computadores em grupos (grupos de Organize os computadores em grupos (grupos de isolamento)isolamento)
Baseado nos requisitos de segurança e política de Baseado nos requisitos de segurança e política de classificação de informaçõesclassificação de informações
Identifique fluxos de informaçãoIdentifique fluxos de informação
Mapeie comunicações permitidasMapeie comunicações permitidas
Crie políticas para atender aos requisitos de negócioCrie políticas para atender aos requisitos de negócio
Identifique e teste uma estratégia de implementaçãoIdentifique e teste uma estratégia de implementação
Grupos básicosGrupos básicos
UntrustedSystems
Isolation Domain
Boundary Isolation Group
Grupos básicosGrupos básicos
Grupos não-IPSEC
Sistemas não confiáveis
Grupo default
Exceções
Infraestrutura confiável
Grupos IPSEC
Domínio isolado
Grupo confiável default
Fronteira
Grupo confiável de alto risco
Grupos não-IPSEC
Sistemas não confiáveis
Grupo default
Exceções
Infraestrutura confiável
Grupos IPSEC
Domínio isolado
Grupo confiável default
Fronteira
Grupo confiável de alto risco
Grupos adicionais de isolamento …Grupos adicionais de isolamento …
Isolation Domain
Boundary Isolation Group
Encryption Isolation
Group
No Fallback Isolation
Group
UntrustedSystems
Grupos adicionaisGrupos adicionais
Necessidade de negócio
Por Exemplo
Grupo de isolamento
Bloqueia comunicação com máquinas não confiáveis
Requer encriptação
Grupo de alta segurança
Todas as comunicações são encriptadas
Necessidade de negócio
Por Exemplo
Grupo de isolamento
Bloqueia comunicação com máquinas não confiáveis
Requer encriptação
Grupo de alta segurança
Todas as comunicações são encriptadas
Grupos de acesso de redeGrupos de acesso de rede
Grupos de RedeGrupos de Rede
NAGs são usados para explicitamente permitir ou NAGs são usados para explicitamente permitir ou negar acesso a um sistema pela redenegar acesso a um sistema pela rede
ANAG : Allow Network Access GroupANAG : Allow Network Access Group
DNAG : Deny Network Access GroupDNAG : Deny Network Access Group
Podem conter computadores ou gruposPodem conter computadores ou grupos
Grupos Domain LocalGrupos Domain Local
NAGs são usados para explicitamente permitir ou NAGs são usados para explicitamente permitir ou negar acesso a um sistema pela redenegar acesso a um sistema pela rede
ANAG : Allow Network Access GroupANAG : Allow Network Access Group
DNAG : Deny Network Access GroupDNAG : Deny Network Access Group
Podem conter computadores ou gruposPodem conter computadores ou grupos
Grupos Domain LocalGrupos Domain Local
Formato de política IPSecFormato de política IPSecPolítica IPsec
ListaFiltros
Ação
Métodos de troca de Chaves (IKE)
Métodos de Segurança
Filtros
Regras
Duração das Chaves
HashingEncriptação
Métodos de Autenticação
CertificadosPre-Shared
KeysKerberos
Ações definidas nos filtrosAções definidas nos filtros
FiltrosFiltros
Modo de Solicitação
Aceita receber conexões em claroAceita receber conexões em claro
Permite iniciar conexões em claroPermite iniciar conexões em claro
Modo de Solicitação SeguroModo de Solicitação Seguro
Permite iniciar conexões em claroPermite iniciar conexões em claro
Modo de requisiçãoModo de requisição
Todas as comunicações exigem IPSECTodas as comunicações exigem IPSEC
Modo de requisição com encriptaçãoModo de requisição com encriptação
Somente aceita conexão com encriptaçãoSomente aceita conexão com encriptação
Modo de Solicitação
Aceita receber conexões em claroAceita receber conexões em claro
Permite iniciar conexões em claroPermite iniciar conexões em claro
Modo de Solicitação SeguroModo de Solicitação Seguro
Permite iniciar conexões em claroPermite iniciar conexões em claro
Modo de requisiçãoModo de requisição
Todas as comunicações exigem IPSECTodas as comunicações exigem IPSEC
Modo de requisição com encriptaçãoModo de requisição com encriptação
Somente aceita conexão com encriptaçãoSomente aceita conexão com encriptação
Políticas de grupo para IPsecPolíticas de grupo para IPsecPolítica de
Encriptação
CG_NoIPsec_Computers
CG_EncryptionIG_Computers
{ : Deny Apply Group Policy
: Allow ReadAllow Apply Group Policy
Política de Fronteira de Isolamento
CG_NoIPsec_Computers
CG_BoundaryIG_Computers
{ : Deny Apply Group Policy
: Allow ReadAllow Apply Group Policy
CG_NoIPsec_Computers
CG_NoFallbackIG_Computers
{ : Deny Apply Group Policy
: Allow ReadAllow Apply Group Policy
CG_NoIPsec_Computers
CG_IsolationDomain_Computers
{ : Deny Apply Group Policy
: Allow ReadAllow Apply Group Policy
Ord
em d
e A
plic
ação
da
Po
lític
a
Política de Isolamento de
Domínio
Política de Isolamento
sem Fallback
Demonstração …Demonstração …
Zona Sem
ConfiançaIsolados e Confiáveis
`
Active Directory Domain Controller
Confiáveis
X
Servidores de aplicaçãoX
Para Maiores InformaçõesPara Maiores InformaçõesDocumentos:
Server and Domain Isolation Using IPsec and Group Policy Guide:
http://go.microsoft.com/fwlink/?linkid=33947
Improving Security with Domain Isolation (Implementação Interna de IPSec da Microsoft):
http://www.microsoft.com/technet/itsolutions/msit/security/IPsecdomisolwp.mspx
Site Microsoft sobre IPSec:
http://www.microsoft.com/ipsec
Case:https://members.microsoft.com/customerevidence/search/EvidenceDetails.aspx?EvidenceID=14205&LanguageID=1
Artigo:http://www.microsoft.com/technet/community/columns/secmvp/sv0906.mspx
© 2006 Microsoft Corporation. Todos os direitos reservados.© 2006 Microsoft Corporation. Todos os direitos reservados.O propósito desta apresentação é apenas informativa. Microsoft não faz nenhuma garantia expressa ou implícita nesta apresentação.O propósito desta apresentação é apenas informativa. Microsoft não faz nenhuma garantia expressa ou implícita nesta apresentação.
Seu potencial. Nossa inspiração.Seu potencial. Nossa inspiração.MRMR