Página 1 de 3 123 ÚltimoÚltimo
Resultados 1 a 15 de 43

Tópico: Protegendo uma rede de clientes não gerenciados

  1. #1
    GForum Mestre Avatar de helldanger1
    Data de Ingresso
    Aug 2007
    Localização
    in to the flames of hell
    Idade
    39
    Posts
    29.639
    Blog: Como formatar o computador e instalar o Windows 8

    Padrão Protegendo uma rede de clientes não gerenciados

    Introdução




    Bem-vindo a este documento da coleção Orientações de segurança para empresas de médio porte. A Microsoft espera que as informações a seguir o ajudem a criar um ambiente de computação mais seguro e produtivo.
    Sinopse

    No ambiente preocupado com a segurança de hoje, uma abordagem aprofundada à proteção da rede das empresas de médio porte e dos dados nela residentes é uma questão muito complexa. Não basta mais confiar em defesas de perímetro e conjuntos antivírus por si sós para proteger os ativos de rede e as informações confidenciais. As organizações e os profissionais de segurança agora entendem que os riscos internos à rede, sejam intencionais ou acidentais, têm o potencial de ser ainda mais perigosos do que as ameaças externas.

    Para eliminar o grande número de vulnerabilidades que representam riscos às empresas de médio porte, investimentos significativos de tempo e recursos foram feitos em áreas como gerenciamento de patches, soluções antimalware e iniciativas de gerenciamento de identidade. Para garantir que tais investimentos sejam usados universalmente na empresa e para maximizar a eficácia do investimento, a empresa precisa encontrar maneiras de fazer cumprir com eficiência as suas diretivas de segurança.

    Computadores não autorizados são sistemas que não são considerados riscos substanciais porque não há como determinar se eles cumprem as diretivas de segurança estabelecidas. Computadores não autorizados podem representar um problema para administradores de sistema e profissionais de segurança. Sistemas sem conformidade apresentam diversos riscos, desde sua vulnerabilidade a infecção por malware até a possibilidade de serem plataformas potenciais para um ataque. Tradicionalmente, sempre foi difícil gerenciá-los e torná-los compatíveis.

    Este documento discute alguns métodos eficazes que podem ser usados para ajudar a fazer cumprir a conformidade com diretivas de segurança. Esta abordagem maximiza os benefícios dos esforços de gerenciamento do risco e acrescenta uma camada extra de segurança às redes das empresas de médio porte que ajudará a reduzir os riscos associados aos computadores não confiáveis e não gerenciados.


    Todos os artigos por mim postados, estão hosp na própria Internet,Qualquer arquivo protegido deve permanecer,no máximo, 24 horas em seu computador. - Eles podem ser baixados apenas para teste, devendo o usuário apaga-lo ou comprá-lo apos 24 horas. - A Aquisição desses arquivos pela internet é de única e exclusiva responsabilidade do usuário.

  2. #2
    GForum Mestre Avatar de helldanger1
    Data de Ingresso
    Aug 2007
    Localização
    in to the flames of hell
    Idade
    39
    Posts
    29.639
    Blog: Como formatar o computador e instalar o Windows 8

    Padrão

    Visão geral

    Este documento consiste em quatro seções principais que concentram-se em detalhes para ajudar o leitor a compreender melhor os conceitos e princípios associados à proteção da rede de uma empresa de médio porte de computadores não gerenciados. Essas quatro seções principais estão resumidas a seguir:
    Introdução

    Esta seção fornece uma sinopse do documento, assim como uma visão geral da estrutura do documento e algumas informações relativas ao seu público-alvo.
    Definição

    Esta seção fornece alguns detalhes e definições que serão úteis à compreensão das soluções discutidas no documento.
    Desafios

    Esta seção descreve alguns dos problemas comuns enfrentados por uma empresa de médio porte ao determinar como ajudar a se proteger contra computadores não gerenciados e não confiáveis. Ela funciona como um plano de fundo geral dos problemas abordados por este documento.
    Soluções

    Esta seção discute soluções que ajudam a abordar os desafios apresentados por computadores não gerenciados por meio da avaliação de possíveis abordagens e da discussão de problemas relacionados ao desenvolvimento de planos para a solução do problema. Ela também fornece algumas informações sobre métodos de implantação e gerenciamento.


    Todos os artigos por mim postados, estão hosp na própria Internet,Qualquer arquivo protegido deve permanecer,no máximo, 24 horas em seu computador. - Eles podem ser baixados apenas para teste, devendo o usuário apaga-lo ou comprá-lo apos 24 horas. - A Aquisição desses arquivos pela internet é de única e exclusiva responsabilidade do usuário.

  3. #3
    GForum Mestre Avatar de helldanger1
    Data de Ingresso
    Aug 2007
    Localização
    in to the flames of hell
    Idade
    39
    Posts
    29.639
    Blog: Como formatar o computador e instalar o Windows 8

    Padrão

    Quem deve ler este guia

    Este documento técnico destina-se a ajudar os profissionais de tecnologia e os gerentes técnicos a compreender e tomar decisões informadas sobre como ajudar a proteger a rede de uma empresa de médio porte contra as ameaças apresentadas por dispositivos não gerenciados. Ainda que o público não técnico possa usar este documento para compreender melhor este problema de segurança específico, o conhecimento básico dos seguintes itens é útil à compreensão total e à aplicação do assunto discutido neste documento.

    As tecnologias específicas discutidas incluem:

    Autenticação IEEE 802.1X

    Diretivas IPsec

    Segurança de rede

    Microsoft® Systems Management Server 2003

    Microsoft Windows Server™ 2003

    Serviço de diretório do Active Directory®

    Microsoft Operations Management Server

    Microsoft IAS (Serviço de autenticação da Internet)

    Autenticação RADIUS


    Todos os artigos por mim postados, estão hosp na própria Internet,Qualquer arquivo protegido deve permanecer,no máximo, 24 horas em seu computador. - Eles podem ser baixados apenas para teste, devendo o usuário apaga-lo ou comprá-lo apos 24 horas. - A Aquisição desses arquivos pela internet é de única e exclusiva responsabilidade do usuário.

  4. #4
    GForum Mestre Avatar de helldanger1
    Data de Ingresso
    Aug 2007
    Localização
    in to the flames of hell
    Idade
    39
    Posts
    29.639
    Blog: Como formatar o computador e instalar o Windows 8

    Padrão

    Definição

    Este guia foi projetado para usar o modelo de processo MOF (Microsoft Operations Framework), além das funções de gerenciamento do serviço (SMFs) de Administração de Segurança MOF.

    Em especial, as soluções apresentadas neste documento recomendam o uso de uma abordagem de processo contínuo, em vez de uma abordagem de implantação linear, para ajudar a melhorar a segurança da rede contra ameaças apresentadas por computadores não gerenciados.

    Especificamente, a aplicação dessas soluções deve implicar nas etapas mostradas na seguinte figura:




    Figura 1. Aplicando MOF

    Como mostra a figura, quaisquer respostas aos problemas de segurança apresentados por sistemas não gerenciados devem ser processos contínuos de teste e ajuste, e não apenas questões de planejamento e implantação. As ameaças que podem afetar a rede de uma empresa de médio porte estão sempre mudando, e os sistemas que protegem a rede de uma empresa precisam se adaptar continuamente a tais ameaças.

    A aplicação das soluções discutidas neste documento atende à SMF de Gerenciamento de Segurança, descrita a seguir:

    Avaliar a exposição da empresa e identificar os ativos a serem protegidos.

    Identificar maneiras de reduzir os riscos apresentados por dispositivos não protegidos em níveis aceitáveis.

    Desenvolver um plano para atenuar os riscos à segurança.

    Monitorar a eficiência dos mecanismos de segurança.

    Reavaliar a eficácia e os requisitos de segurança periodicamente.


    Para obter mais informações sobre o MOF, consulte o site Microsoft Operations Framework no Microsoft TechNet, em Microsoft Operations Framework 4.0.

    Para obter mais informações sobre a SMF de Gerenciamento de Segurança, consulte a página Funções de gerenciamento de segurança, disponível em Microsoft Operations Framework 4.0.

    O gerenciamento de riscos é o processo de determinação do nível de risco aceitável para uma organização, de avaliação dos riscos atuais, da descoberta de maneiras de atingir o nível de risco aceitável e do gerenciamento de riscos. Embora este documento lide com alguns conceitos de gerenciamento de riscos, uma discussão aprofundada é um assunto independente que merece um foco dedicado. Para obter mais informações sobre a análise e a avaliação de riscos, consulte o Guia de Gerenciamento de Riscos de Segurança em Security Risk Management Guide.



    Todos os artigos por mim postados, estão hosp na própria Internet,Qualquer arquivo protegido deve permanecer,no máximo, 24 horas em seu computador. - Eles podem ser baixados apenas para teste, devendo o usuário apaga-lo ou comprá-lo apos 24 horas. - A Aquisição desses arquivos pela internet é de única e exclusiva responsabilidade do usuário.

  5. #5
    GForum Mestre Avatar de helldanger1
    Data de Ingresso
    Aug 2007
    Localização
    in to the flames of hell
    Idade
    39
    Posts
    29.639
    Blog: Como formatar o computador e instalar o Windows 8

    Padrão

    Desafios

    Alguns dos desafios envolvidos na proteção contra computadores não gerenciados incluem:

    Como evitar que computadores não gerenciados acessem recursos da rede.

    Como manter computadores móveis em conformidade com atualizações e diretivas.

    Como fazer cumprir diretivas de segurança estabelecidas em computadores que se conectam remotamente à rede.

    Como proteger uma rede contra dispositivos sem fio não autorizados.

    Como detectar sistemas não gerenciados, como laptops de fornecedores ou dispositivos pessoais, quando eles se conectam à rede.

    Como se proteger contra outros dispositivos móveis, como PCs de mão ou de bolso.


    Todos os artigos por mim postados, estão hosp na própria Internet,Qualquer arquivo protegido deve permanecer,no máximo, 24 horas em seu computador. - Eles podem ser baixados apenas para teste, devendo o usuário apaga-lo ou comprá-lo apos 24 horas. - A Aquisição desses arquivos pela internet é de única e exclusiva responsabilidade do usuário.

  6. #6
    GForum Mestre Avatar de helldanger1
    Data de Ingresso
    Aug 2007
    Localização
    in to the flames of hell
    Idade
    39
    Posts
    29.639
    Blog: Como formatar o computador e instalar o Windows 8

    Padrão

    Soluções

    A seção "Desafios" relacionou vários fatores a considerar para proteção contra as ameaças que computadores não autorizados representam para uma rede. Além de defender a rede cabeada interna tradicional, deve-se também adotar medidas para ajudar a proteger a rede sem fio e quaisquer caminhos de acesso remoto. Para abordar todas as maneiras possíveis para um computador não autorizado se conectar a uma rede, a solução precisa ter escopo abrangente.

    As discussões na seção a seguir tratam os desafios listados, lidando com as seguintes abordagens:

    Uso do domínio IPsec e do isolamento de servidor para evitar que computadores não gerenciados acessem os recursos da rede.

    Uso da quarentena VPN para fazer cumprir as diretivas de segurança em computadores que se conectam remotamente à rede.

    Uso da autenticação 802.1X para se proteger contra dispositivos sem fio não confiáveis.

    Uso de SMS para detectar computadores não gerenciados quando estes se conectam à rede.


    Observação Este documento parte do princípio de que o leitor já implementou processos para garantir que computadores membros residentes nas estruturas de domínio da empresa de médio porte estejam em conformidade com quaisquer requisitos de segurança e patches estabelecidos, e que está pesquisando métodos para fazer cumprir a conformidade e proteger-se contra dispositivos sem conformidade. Está além do escopo deste documento discutir como fazer com que os computadores sejam compatíveis ou como usar mecanismos de atualização de segurança automáticos, como WSUS ou os recursos de gerenciamento de patches do SMS.
    Avaliação

    Esta seção apresenta algumas respostas potenciais para ajudar a abordar o problema apresentado por computadores não gerenciados às empresas de médio porte. Ela também discute algumas das decisões que precisam ser tomadas antes da escolha de qualquer uma dessas respostas. Qualquer das respostas discutidas ajudará a melhorar o nível de segurança da rede de uma empresa de médio porte. No entanto, quando implementadas como parte de uma abordagem abrangente de defesa em profundidade, as respostas combinadas criam uma resposta mais sofisticada aos problemas discutidos na seção "Desafios".


    Todos os artigos por mim postados, estão hosp na própria Internet,Qualquer arquivo protegido deve permanecer,no máximo, 24 horas em seu computador. - Eles podem ser baixados apenas para teste, devendo o usuário apaga-lo ou comprá-lo apos 24 horas. - A Aquisição desses arquivos pela internet é de única e exclusiva responsabilidade do usuário.

  7. #7
    GForum Mestre Avatar de helldanger1
    Data de Ingresso
    Aug 2007
    Localização
    in to the flames of hell
    Idade
    39
    Posts
    29.639
    Blog: Como formatar o computador e instalar o Windows 8

    Padrão

    Usando IPsec para isolar domínios e servidores

    O isolamento físico de computadores e redes não é uma idéia nova. Ele vem sendo praticado de muitas maneiras ao longo dos anos, geralmente onde redes de desenvolvimento e de teste estão envolvidas. Entretanto, as abordagens de isolamento físico mais antigas não se aplicam bem à tarefa de proteger sistemas gerenciados de dispositivos não gerenciados potencialmente comprometidos. Isso é verdadeiro especialmente nos ambientes de rede de empresas modernas, onde a computação móvel está aumentando seu domínio e a demanda por soluções automatizadas e flexíveis é crescente. A tabela a seguir descreve os métodos comuns de isolamento físico que eram usados no passado, assim como as dificuldades associadas ao seu uso nesta capacidade.

    Tabela 1. Abordagens ao isolamento da rede
    Camada OSI
    Abordagem
    Problemas

    Camada 1
    Usar cabos separados para segmentos que precisam ser isolados da rede confiável.
    Custos associados ao uso de novos cabos para cada nova conexão.

    Aumento da sobrecarga administrativa para gerenciar o abandono de novos cabos para movimentação de usuários.

    Falta de flexibilidade e dificuldade de gerenciamento à medida em que a empresa cresce.

    Probabilidade crescente de omissão e erro devido aos altos requisitos de gerenciamento.


    Camada 2
    Usar VLANs para criar sub-redes lógicas isoladas da rede confiável.
    Aumento do custo associado à atualização das estruturas de switch para oferecer suporte às VLANs.

    Maior sobrecarga administrativa para controle de mudanças na rede, movimentação de usuários e resposta a solicitações de conexão de convidados.

    Passível de omissão e erro quando várias movimentações de usuário ocorrem ou quando dispositivos móveis são usados.


    Todos os artigos por mim postados, estão hosp na própria Internet,Qualquer arquivo protegido deve permanecer,no máximo, 24 horas em seu computador. - Eles podem ser baixados apenas para teste, devendo o usuário apaga-lo ou comprá-lo apos 24 horas. - A Aquisição desses arquivos pela internet é de única e exclusiva responsabilidade do usuário.

  8. #8
    GForum Mestre Avatar de helldanger1
    Data de Ingresso
    Aug 2007
    Localização
    in to the flames of hell
    Idade
    39
    Posts
    29.639
    Blog: Como formatar o computador e instalar o Windows 8

    Padrão

    Como essa tabela demonstra, a rede da empresa moderna requer uma solução mais flexível para ajudar a fazer cumprir a conformidade com os padrões de segurança que ajudam a proteger contra sistemas não gerenciados. Apesar de haver algumas soluções de terceiros para o problema, elas envolvem instalações do lado do cliente em todas as estações de trabalho gerenciadas e adicionam uma camada de complexidade à rede. Felizmente, as versões atuais do Microsoft Windows têm uma funcionalidade incorporada que ajuda a solucionar esse problema sem a necessidade de instalação de softwares adicionais e de curvas de aprendizado administrativo.

    O isolamento de servidor e domínio da Microsoft permite aos administradores de TI restringir as comunicações TCP/IP aproveitando a Diretiva de Grupo e o IPsec incorporados do Active Directory, o que resulta nos seguintes benefícios:

    Usa a camada da rede do modelo OSI, o que significa que pode se expandir pelos limites de switch e roteador.

    Independente das estruturas de switch e das limitações físicas da rede.

    Reduz o custo por aproveitar os recursos de autenticação incorporados dos computadores baseados em Windows.

    É automatizado e não requer a manutenção constante associada a mudanças na rede e à movimentação de usuários.

    Fornece a capacidade não apenas de autenticar computadores confiáveis, mas também de criptografar as comunicações entre sistemas confiáveis.

    Faz cumprir diretivas de segurança recusando conexões de dispositivos não gerenciados.

    Auditoria e gerenciamento de recursos aprimorados.

    Capacidade de isolar rapidamente recursos específicos na ocorrência de um ataque.


    As preocupações típicas em relação ao uso do IPsec para proteger comunicações foram abordadas por recentes desenvolvimentos em resposta a tais problemas. Especificamente, NAT (Conversão de Endereço de Rede) não é mais uma preocupação devido aos recursos de passagem de NAT disponíveis nas versões atuais do Microsoft Windows, como Windows Server 2003 e Microsoft Windows XP com Service Pack 2 (SP2). Além disso, o suporte para plataformas não compatíveis com IPsec é possível via listas de isenção configuráveis e/ou uma exceção de retorno para permitir a comunicação em texto não criptografado com tais sistemas.

    Soluções de isolamento de domínio e servidor, conforme apresentadas neste documento, são usadas até mesmo na própria rede interna da Microsoft. Além de recomendar essas soluções aos clientes, a Microsoft depende do nível adicional de segurança fornecido por esta solução e tem um compromisso de longo prazo de oferecer suporte a este método de tornar as redes altamente seguras e gerenciáveis a fim de proporcionar uma computação confiável.


    Todos os artigos por mim postados, estão hosp na própria Internet,Qualquer arquivo protegido deve permanecer,no máximo, 24 horas em seu computador. - Eles podem ser baixados apenas para teste, devendo o usuário apaga-lo ou comprá-lo apos 24 horas. - A Aquisição desses arquivos pela internet é de única e exclusiva responsabilidade do usuário.

  9. #9
    GForum Mestre Avatar de helldanger1
    Data de Ingresso
    Aug 2007
    Localização
    in to the flames of hell
    Idade
    39
    Posts
    29.639
    Blog: Como formatar o computador e instalar o Windows 8

    Padrão

    Entendendo o isolamento de domínio e servidor

    Em poucas palavras, a criação de uma rede isolada envolve a separação de vários tipos de computadores na rede de uma empresa, de acordo com o tipo de acesso que devem ter. Neste caso, os vários tipos estão em dois conjuntos: gerenciados e não gerenciados. Duas condições básicas devem ser atendidas a fim de se atingir um nível funcional de isolamento de rede. Essas condições são:

    Os computadores que residem na rede isolada podem iniciar uma comunicação com todos os computadores de toda a rede, inclusive com aqueles que residem fora da rede confiável.

    Os computadores que residem fora da rede isolada podem iniciar uma comunicação somente com outros computadores de fora da rede confiável. Eles não podem iniciar uma comunicação com computadores localizados dentro da rede confiável.


    O isolamento de servidor e domínio IPsec aproveita estruturas de domínio existentes usando configurações de Diretiva de Grupo. Tudo o que é necessário à criação de uma rede isolada já existe em computadores que usam Windows XP, Windows 2000 Server ou Windows Server 2003. Quando as configurações necessárias de Diretiva de Grupo tiverem sido definidas, o processo de inserção de um novo computador na rede isolada envolve simplesmente a adição desse computador ao domínio.









    Todos os artigos por mim postados, estão hosp na própria Internet,Qualquer arquivo protegido deve permanecer,no máximo, 24 horas em seu computador. - Eles podem ser baixados apenas para teste, devendo o usuário apaga-lo ou comprá-lo apos 24 horas. - A Aquisição desses arquivos pela internet é de única e exclusiva responsabilidade do usuário.

  10. #10
    GForum Mestre Avatar de helldanger1
    Data de Ingresso
    Aug 2007
    Localização
    in to the flames of hell
    Idade
    39
    Posts
    29.639
    Blog: Como formatar o computador e instalar o Windows 8

    Padrão

    Figura 2. Isolamento de rede usando domínios do Active Directory

    Conforme ilustrado na figura anterior, qualquer computador que não seja membro do domínio é considerado não confiável e, portanto, reside fora da rede isolada. Qualquer sistema que resida fora da rede isolada não pode iniciar uma comunicação IPsec e, portanto, não pode estabelecer uma conexão com nenhum sistema localizado dentro do domínio isolado. Entretanto, os membros do domínio isolado estão livres para estabelecer uma comunicação em texto não criptografado com os dispositivos de fora da rede isolada.

    Obviamente, muitas organizações têm computadores e servidores que, ainda que gerenciados e confiáveis, não existem em um domínio do Active Directory ou não podem usar o IPsec por diversos motivos, mas ainda assim têm uma necessidade comercial de se comunicar com sistemas localizados dentro da rede isolada. Para solucionar esse dilema, outro grupo isolado (ou grupo de limite) pode ser criado usando-se listas de isenção, conforme mostrado na figura a seguir.





    Todos os artigos por mim postados, estão hosp na própria Internet,Qualquer arquivo protegido deve permanecer,no máximo, 24 horas em seu computador. - Eles podem ser baixados apenas para teste, devendo o usuário apaga-lo ou comprá-lo apos 24 horas. - A Aquisição desses arquivos pela internet é de única e exclusiva responsabilidade do usuário.

  11. #11
    GForum Mestre Avatar de helldanger1
    Data de Ingresso
    Aug 2007
    Localização
    in to the flames of hell
    Idade
    39
    Posts
    29.639
    Blog: Como formatar o computador e instalar o Windows 8

    Padrão

    Figura 3. Isolamento de rede e grupos de limite

    Um modelo de isolamento de rede como este possibilita ajudar a reduzir o monitoramento de segurança de uma rede comercial. No entanto, esta solução por si só não pode garantir que os sistemas confiáveis permaneçam em conformidade com os padrões que os tornam confiáveis. Esta não é uma solução de segurança de rede abrangente por si só. Ela é uma parte útil de um processo de segurança maior que, em conjunto com outras soluções, pode ajudar a reduzir os riscos enfrentados pela rede de uma empresa de médio porte. Especificamente, quando usada com outras soluções de segurança, como WSUS, SMS, MOM, entre outras, é possível usar este método de isolamento para ajudar a fazer cumprir a conformidade com a diretiva de segurança na rede isolada.

    Outras soluções de segurança baseadas no Active Directory possibilitam a automação de tarefas que ajudam a garantir a conformidade contínua com a diretiva de segurança na rede isolada confiável. No entanto, um grupo de limite dependerá de diferentes métodos para garantir que os computadores nessa rede não se tornem pontos fracos na solução de rede isolada. Tais computadores precisam ser validados como sendo compatíveis antes de serem adicionados ao grupo de limite, e precisam ter diretivas e métodos específicos associados que garantam sua conformidade contínua com os requisitos de diretiva de segurança para sistemas confiáveis.
    Entendendo o IPsec

    IPsec é um padrão de segurança do Protocolo de Internet que oferece um mecanismo geral de segurança da camada IP baseado em diretiva que é ideal para o fornecimento de autenticação host a host. Diretivas IPsec são definidas de modo a ter regras e configurações de segurança que controlam o fluxo do tráfego de entrada e de saída em um sistema de host. Essas diretivas são gerenciadas centralmente no Active Directory por meio de objetos de Diretiva de Grupo (GPOs) para atribuição de diretivas a membros do domínio. Elas proporcionam a capacidade de ajudar a estabelecer comunicações seguras entre membros do domínio, o que consiste na base desta solução.

    O IPsec usa o protocolo de negociação IKE (Internet Key Exchange) para negociar opções entre dois hosts e determinar como se comunicar de maneira segura com o IPsec. Os acordos feitos entre dois hosts e os vários parâmetros que definem esse método de negociação são chamados associações de segurança ou SAs. O Microsoft Windows pode usar um dos três métodos IKE a seguir:

    Protocolo de autenticação Kerberos versão 5

    Certificados digitais X.509 com pares de chaves RSA correspondentes

    Chaves pré-compartilhadas usando frases secretas


    Observação Embora o PKI possa ser usado como um método de autenticação, a integração com a autenticação de domínio do Windows 2000 (Kerberos) no protocolo de negociação IKE torna o PKI uma abordagem não recomendada.

    A negociação IKE do Windows pode ser configurada para permitir a comunicação com computadores que não respondam à solicitação de negociação IKE. Essa funcionalidade é chamada retorno para limpo e, além de ser essencial durante um desenvolvimento, ela também é útil neste contexto porque permite que sistemas no grupo de limite se comuniquem com membros da rede isolada. Qualquer comunicação que não possa ser protegida pelo IPsec é denominada uma associação de segurança temporária e é registrada como um evento bem-sucedido de auditoria no Log de segurança.

    O IPsec pode desempenhar outras funções úteis além da autenticação, inclusive a capacidade de tratar a integridade e a criptografia do tráfego da rede usando as opções AH (Authentication Header) e ESP (Encapsulating Security Payload). Ainda que os AHs possam ser usados para ajudar a garantir que um pacote não tenha sido modificado em trânsito, o uso de cabeçalhos para executar essa tarefa a torna incompatível com a NAT (Conversão de Endereço de Rede). O ESP, normalmente usado para criptografar tráfego, pode ser usado no modo de criptografia nula (ESP/nulo), o que permite uma verificação da integridade de dados compatível com NAT.

    O IPsec também pode funcionar em dois modos diferentes: transporte ou túnel. O modo de transporte IPsec é o método recomendado para proteger o tráfego entre dois hosts. Ele funciona pela simples inserção de um cabeçalho após o cabeçalho IP original e, então, pela criptografia do restante do pacote com AH ou ESP. O modo de túnel é normalmente usado para túneis VPN de gateway a gateway em que os pacotes originais e os cabeçalhos IP são encapsulados totalmente e um novo cabeçalho IPsec substitui o cabeçalho IP original.

    Para obter mais informações, consulte a página Isolamento de servidor e domínio da Microsoft (a página pode estar em inglês) em http://www.microsoft.com/technet/its...o/default.mspx.


    Todos os artigos por mim postados, estão hosp na própria Internet,Qualquer arquivo protegido deve permanecer,no máximo, 24 horas em seu computador. - Eles podem ser baixados apenas para teste, devendo o usuário apaga-lo ou comprá-lo apos 24 horas. - A Aquisição desses arquivos pela internet é de única e exclusiva responsabilidade do usuário.

  12. #12
    GForum Mestre Avatar de helldanger1
    Data de Ingresso
    Aug 2007
    Localização
    in to the flames of hell
    Idade
    39
    Posts
    29.639
    Blog: Como formatar o computador e instalar o Windows 8

    Padrão

    Defesa em profundidade



    Figura 4. Modelo de defesa em profundidade com isolamento lógico

    A figura anterior demonstra como o isolamento lógico se ajusta ao modelo de defesa em profundidade. Embora o isolamento de domínio e servidor pareça concentrar-se na proteção do computador host, como faria um firewall baseado em host, ele reside no território das comunicações de rede com seu uso do IPsec. Embora esta solução abarque a lacuna entre o host e a rede interna, ela não reside inteiramente em nenhum dos dois conjuntos por ser uma solução de ‘isolamento lógico’. Portanto, a seguinte funcionalidade está fora de seu escopo:

    O isolamento lógico não pode proteger dispositivos de rede, como roteadores.

    O isolamento lógico não pode proteger links de rede, como o que WPA 802.11i faz para criptografia sem fio e EAP-TLS 802.1x faz para controle de acesso sem fio.

    O isolamento lógico não pode oferecer segurança para todos os hosts na rede, porque regula somente os sistemas com uma credencial de máquina confiável e uma diretiva IPsec baseada em domínio.

    O isolamento lógico não se ajusta bem e não tem um método automaticamente configurável que possa proteger o caminho no nível do aplicativo, como faz o HTTPS e o SSL para os aplicativos da Web.


    É importante compreender e levar em consideração o papel que o isolamento lógico desempenha em uma solução abrangente de defesa em profundidade. Por si só, essa solução não pode proteger todos os aspectos da infra-estrutura de uma empresa de médio porte. No entanto, quando usada como parte de uma solução abrangente, ela pode desempenhar um papel muito valioso.




    Todos os artigos por mim postados, estão hosp na própria Internet,Qualquer arquivo protegido deve permanecer,no máximo, 24 horas em seu computador. - Eles podem ser baixados apenas para teste, devendo o usuário apaga-lo ou comprá-lo apos 24 horas. - A Aquisição desses arquivos pela internet é de única e exclusiva responsabilidade do usuário.

  13. #13
    GForum Mestre Avatar de helldanger1
    Data de Ingresso
    Aug 2007
    Localização
    in to the flames of hell
    Idade
    39
    Posts
    29.639
    Blog: Como formatar o computador e instalar o Windows 8

    Padrão

    Usando os Serviços de Quarentena VPN para proteger-se contra computadores remotos não gerenciados



    Sistemas remotos que usam soluções VPN para acessar uma rede comercial apresentam problemas únicos de uma perspectiva de diretiva de segurança. A maioria das soluções de acesso remoto somente valida as credenciais de um usuário remoto, mas não verifica se o computador remoto está em conformidade com as diretivas de segurança. Esta abordagem de validação é um problema porque potencialmente nega os esforços de proteção da rede contra ameaças associadas a problemas como arquivos com assinatura antimalware desatualizada, níveis de atualização de segurança desatualizados, configurações de roteamento incorretas e falta de proteção de firewall adequada.

    O Network Access Quarantine Control baseado no Microsoft Windows Server 2003 ajuda a eliminar esse problema atrasando o acesso remoto a uma VPN até que o estado da configuração do computador que está se conectando possa ser verificado como estando em conformidade com os padrões de diretiva de segurança atuais.


    Todos os artigos por mim postados, estão hosp na própria Internet,Qualquer arquivo protegido deve permanecer,no máximo, 24 horas em seu computador. - Eles podem ser baixados apenas para teste, devendo o usuário apaga-lo ou comprá-lo apos 24 horas. - A Aquisição desses arquivos pela internet é de única e exclusiva responsabilidade do usuário.

  14. #14
    GForum Mestre Avatar de helldanger1
    Data de Ingresso
    Aug 2007
    Localização
    in to the flames of hell
    Idade
    39
    Posts
    29.639
    Blog: Como formatar o computador e instalar o Windows 8

    Padrão

    Entendendo os Serviços de Quarentena VPN

    O Network Access Quarantine Control é um recurso fornecido com a família Windows Server 2003 que atrasa os serviços de acesso remoto normais até que os computadores que estão se conectando remotamente sejam examinados e validados por um script configurado pelo administrador. Normalmente, quando uma sessão remota é iniciada, o usuário é autenticado e o computador remoto recebe um endereço IP. A essa altura, porém, a conexão é colocada no modo de quarentena, em que o acesso à rede é limitado até que o script fornecido pelo administrador seja executado no computador remoto. Depois que o script tiver sido executado e tiver notificado o servidor de acesso remoto que o computador remoto está em conformidade com as diretivas de rede configuradas, o modo de quarentena é removido e o acesso à rede é concedido ao computador remoto.

    Enquanto uma conexão remota está no modo de quarentena, as seguintes restrições podem se aplicar a ela:

    Um conjunto de filtros de pacote de quarentena pode ser configurado para restringir o tipo de tráfego que o cliente pode iniciar ou receber.

    Um timer de sessão em quarentena pode ser configurado para restringir o período em que um cliente pode permanecer conectado enquanto no modo de quarentena.


    O Network Access Quarantine Control pode ser usado como parte de uma solução de segurança abrangente que auxilia no cumprimento das diretivas de segurança e ajuda a garantir que sistemas não confiáveis não possam se conectar a uma rede confiável. Entretanto, ele não é uma solução de segurança por si só e não pode evitar conexões de usuários mal-intencionados que obtiveram um conjunto válido de credenciais.

    Observação O Network Access Quarantine Control não é o mesmo que a NAP (Proteção de Acesso à Rede), uma nova plataforma de cumprimento de diretiva que será incluída na família de sistemas operacionais Windows Server Longhorn, a ser lançada em breve. Para obter mais informações sobre a NAP, consulte o "Apêndice A: Proteção de Acesso à Rede" no final deste documento.


    Todos os artigos por mim postados, estão hosp na própria Internet,Qualquer arquivo protegido deve permanecer,no máximo, 24 horas em seu computador. - Eles podem ser baixados apenas para teste, devendo o usuário apaga-lo ou comprá-lo apos 24 horas. - A Aquisição desses arquivos pela internet é de única e exclusiva responsabilidade do usuário.

  15. #15
    GForum Mestre Avatar de helldanger1
    Data de Ingresso
    Aug 2007
    Localização
    in to the flames of hell
    Idade
    39
    Posts
    29.639
    Blog: Como formatar o computador e instalar o Windows 8

    Padrão

    Componentes do Network Access Quarantine Control




    Figura 5. Componentes do Windows Network Access Quarantine Control

    A figura anterior ilustra os componentes típicos de uma solução de acesso remoto do Windows que usa o Network Access Quarantine Control. Esses componentes incluem:

    Cliente de acesso remoto compatível com quarentena. Este componente é um computador que executa uma versão do Windows capaz de oferecer suporte a perfis CM criados com o Kit de Administração do Gerenciador de Conexões (CMAK), fornecido com o Windows Server 2003. As versões do Windows que oferecem esse suporte incluem Windows 98 Second Edition e mais recentes. Esses computadores clientes precisam ter um componente notificador instalado, um script dos requisitos de diretiva de rede e estar configurado para executar o script como uma ação pós-conexão.

    Servidor de acesso remoto compatível com quarentena. Este componente é um computador com Windows Server 2003 executando o Roteamento e acesso remoto, que oferece suporte ao uso de um componente de escuta, aos atributos específicos ao fornecedor (VSAs) de RADIUS MS-Quarantine-IPFilter e MS-Quarantine-Session-Timeout, além de um componente de escuta instalado.

    Servidor RADIUS compatível com quarentena. Este componente é opcional e é usado quando a autenticação RADIUS é configurada no servidor de acesso remoto que executa Windows Server 2003 e IAS para oferecer suporte aos VSAs de RADIUS MS-Quarantine-IPFilter e MS-Quarantine-Session-Timeout.

    Recursos de quarentena. Esses componentes são os servidores e serviços que podem ser acessados pelo cliente remoto enquanto no modo de quarentena. Normalmente, eles consistem em servidores que fornecem serviços DNS, perfis CM ou provedores de atualizações de segurança para atualizar os clientes.

    Banco de dados de contas. Normalmente, este componente é o domínio Active Directory onde a conta do usuário remoto está armazenada e onde as propriedades de discagem estão localizadas.

    Diretiva de acesso remoto por quarentena. Esta diretiva é necessária para fornecer as condições necessárias à ocorrência de conexões por acesso remoto e para especificar os atributos MS-Quarantine-IPFilter ou MS-Quarantine-Session-Timeout.



    Todos os artigos por mim postados, estão hosp na própria Internet,Qualquer arquivo protegido deve permanecer,no máximo, 24 horas em seu computador. - Eles podem ser baixados apenas para teste, devendo o usuário apaga-lo ou comprá-lo apos 24 horas. - A Aquisição desses arquivos pela internet é de única e exclusiva responsabilidade do usuário.

Página 1 de 3 123 ÚltimoÚltimo

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •  

Já fez "Like" na nossa página do facebook?

Acompanhe todas as novidades.