AULA_09_Estacio - GPO de Segurança

Prévia do material em texto

Lição 1: Configuração de 
diretivas de segurança
• O que são as diretivas de segurança?
• O que é a diretiva de segurança de domínio padrão? 
• O que são as diretivas de conta? 
• O que são diretivas locais?
• O que são diretivas de segurança de rede?
• Firewall do Windows com segurança avançada
• Diretivas do controlador de domínio padrão
• Características das configurações da diretiva de 
segurança
O que são as diretivas de 
segurança?
O que são diretivas de 
conta? 
Configurações padrão
Senha 
Bloqueio de conta 
Kerberos 
Diretivas 
• Controla a complexidade e a vida útil das senhas
• Duração máxima da senha: 42 dias
• Duração mínima da senha: 1 dia
• Comprimento mínimo da senha: 7 caracteres
• Senha Complexa: habilitada
• Armazene senha c/ criptografia reversível: desabilitado
• Controla quantas tentativas incorretas podem ser feitas
• Duração do bloqueio: não definida
• Limite de bloqueio: 0 tentativas de logon inválidas
• Zerar contador de bloqueios de conta após: não definido
As diretivas de conta consistem em:
• Subconjunto de atributos da diretiva de segurança de 
domínio
• Só pode ser aplicado no nível de domínio 
As diretivas de conta amenizam a ameaça de se adivinhar
senhas de conta através de ataques de força bruta
O que são diretivas locais? 
Todo computador que executa o Windows 2000 e versões 
posteriores tem uma diretiva de segurança local que faz parte da 
Diretiva de Grupo local 

A diretiva de domínio substituirá diretivas locais em casos de conflito 
Em um grupo de trabalho, você deve configurar diretivas de 
rança locais para proporcionar segurança
Você pode atribuir direitos locais através de Diretivas de Grupo 
locais
As opções de segurança controlam vários aspectos diferentes da 
segurança de um computador 

As diretivas locais determinam as opções de segurança de uma conta de 
usuário ou de serviço
O que são diretivas de 
segurança de rede?
Diretivas de conexão sem fio separadas para Windows XP e 
Windows Vista
As diretivas do Windows Vista contêm mais opções para conexão 
sem fio 
As diretivas de conexão sem fio do Windows Vista podem negar 
acesso a redes sem fio
A autenticação 802.1x pode ser configurada via Diretiva de Grupo
Somente o Windows Vista e versões posteriores podem receber 
diretivas de rede com fios
Defina as redes e os métodos de autenticação disponíveis para conexões 
sem fio para clientes Windows Vista e Windows XP e a autenticação de 
LAN para clientes Windows Vista e Windows Server 2008

Windows XP
Windows 
Vista
Sem fio
Com fio
Somente 
sem fio Windows XP
Windows 
Vista
Sem fio
Com fio
Somente 
sem fio
GPO
Firewall do Windows com 
segurança avançada
Suporta filtragem do tráfego de entrada e de saída
Usado para a definição de configurações avançadas
Configurações de proteção IPsec integradas ao Firewall do Windows
Permite a configuração de regras para vários critérios, como usuários, 
grupos e portas TCP e UDP
Fornece perfis com reconhecimento de locais de rede
Pode importar ou exportar diretivas
Um firewall baseado em host com monitoramento de estado que autoriza 
ou bloqueia o tráfego de rede de acordo com a configuração 
Windows 
Server 2008
Internet
LANFirewall
As regras de firewall controlam 
o tráfego de entrada e de saída
Diretivas do controlador de domínio 
padrão
Existem três áreas que devem ser examinadas:
Diretiva Atribuição de Direitos de Usuário: logon localmente, 
desligamento
Diretiva Log de Eventos: tamanho do log, retenção
Diretiva Opções de Segurança: auditoria, dispositivos, 
controlador de domínio
O que é a diretiva de segurança de 
domínio padrão?
• Fornece diretivas de conta para o domínio; outras 
configurações não são definidas por padrão 
• Use para fornecer configurações de segurança que afetarão o 
domínio inteiro
• Use a diretiva de domínio para fornecer configurações de 
segurança, como uma prática recomendada. Use GPOs 
separados para fornecer outros tipos de configurações 
Domínio
Diretiva de domínio 
padrão
Configurações de conta 
e segurança
Características das configurações da 
diretiva de segurança 
Ao examinar configurações de diretiva de segurança, 
considere que:
As diretivas de conta são passadas para clientes do controlador 
de domínio
As configurações de segurança são provenientes do GPO que tem 
a prioridade mais alta
O controlador de domínio recebe diretivas de conta de uma 
diretiva no nível de domínio

Lição 2: Implementação de 
diretivas refinadas de senha 
• O que são as diretivas refinadas de senha? 
• Como as diretivas refinadas de senha são implementadas 
• Implementação de diretivas refinadas de senha 
O que são as diretivas refinadas de 
senha?
Grupo 
Administrador
Grupo 
Gerente
Grupo 
Usuário final
Alterações de 
senha: 7 
dias
Alterações de 
senha: 14 
dias
Alterações de 
senha: 30 
dias
Senhas refinadas permitem que várias diretivas de senha 
existam no mesmo domínio
Como as diretivas refinadas de senha são 
implementadas 
Considerações sobre a implementação de PSOs:
Um PSO tem as seguintes configurações disponíveis:
Contêiner de Configuração de Senha e Objetos de Configuração 
de Senha são novas classes de objeto de esquema
Só é possível aplicar PSOs a usuários ou grupos globais
É possível criar PSOs através de ADSI Edit ou LDIFDE
• Diretivas de senha
• Diretivas de bloqueio de conta 
• Link de PSO 
• Precedência
Implementação de diretivas 
refinadas de senha 
• Grupos de sombra podem ser usados para aplicar um PSO 
a todos os usuários que ainda não compartilham uma 
associação de grupo global
• Um usuário ou grupo pode ter vários PSOs vinculados
• O atributo de precedência é usado para resolver conflitos 
• Valores de precedência mais baixos têm prioridade mais 
alta
• Os PSOs vinculados diretamente a objetos de usuário 
substituem os PSOs vinculados a grupos globais de um 
usuário
• Se não houver PSOs, serão aplicadas diretivas normais de 
conta de domínio 
Lição 3: Restrição de 
associação de grupo e de 
acesso ao software 
• O que é associação de grupo restrito? 
• O que é uma diretiva de restrição de software?
• Opções de configuração de diretivas de restrição de software 
O que é associação de 
grupo restrito? A Diretiva de Grupo pode controlar as associações de grupo:
• De qualquer grupo de um computador local, aplicando um GPO à 
UO que detém a conta de computador
• De qualquer grupo no AD DS, aplicando um GPO ao controlador 
de domínio
O que é uma diretiva de 
restrição de software? • Um mecanismo baseado em diretiva que identifica e controla 
softwares em um computador cliente
• Um mecanismo que restringe vírus e instalações de software
• Um componente de duas partes:
• Uma regra padrão com três opções: Irrestrito, Básico e Não 
Permitido
• Exceções à regra padrão
Opções de configuração de diretivas de 
restrição de software 
Regra de certificado
• Procura uma assinatura 
digital no aplicativo
• Use quando quiser 
restringir aplicativos 
Win32 e conteúdo 
ActiveX
Regra de zona da Internet
• Controla o modo como as 
zonas da Internet podem 
ser acessadas
• Use em ambientes de alta 
segurança para controlar 
o acesso a aplicativos da 
Web
Regra de hash
• Use para empregar o hash 
MD5 ou SHA1 de um 
arquivo para confirmar 
uma identidade
• Use para permitir ou 
proibir a execução de uma 
certa versão de arquivo
Regra de caminho
• Use para restringir um 
caminho de arquivo
• Use quando existir vários 
arquivos para o mesmo 
aplicativo
• Essencial no caso de 
diretivasde restrição de 
software rigorosas
Lição 4: Gerenciamento da segurança 
usando modelos de segurança 
• O que são os modelos de segurança? 
• O que é o assistente de configuração de segurança?
• Opções para integrar o assistente de configuração 
de segurança e os modelos de segurança
• O que é a ferramenta de configuração e análise de 
segurança?
O que são os modelos de 
segurança?
Modelos de segurança:
Permitem que os administradores apliquem 
configurações de segurança consistentes a vários 
computadores

Podem ser aplicados via Diretiva de Grupo
Podem ser designados com base nas funções de servidor 
O que é o Assistente de Configuração 
de Segurança?
O ACS proporciona a 
redução da superfície 
sujeita a ataques 
planejados:
• Desabilitando serviços 
desnecessários e 
extensões da Web do 
Internet Information 
Services (IIS)
• Bloqueando portas não 
utilizadas e protegendo 
portas deixadas abertas 
com o IPSec
• Reduzindo a exposição 
de protocolos
• Definindo configurações 
de auditoria
O Assistente de 
Configuração de Segurança 
suporta:
• Reversão
• Análise
• Configuração remota
• Suporte a linha de 
comando
• Integração com o 
Active Directory
• Edição de diretivas
Opções para integrar o assistente de 
configuração de segurança e os modelos 
de segurança 
Opções:
• Diretivas criadas com o ACS podem ser aplicadas individualmente
• Outros modelos de segurança podem ser incorporados ao ACS
Scwcmd.exe é um utilitário de linha de comando que pode ser usado para 
converter a diretiva XML em um GPO
O que é a ferramenta de configuração 
e análise de segurança?
Configuração do modeloConfiguração do modelo Configuração realConfiguração real
Configuração que 
não corresponde ao modelo
Configuração que não
corresponde ao modelo