Como é o Sistema/Nível de Segurança do Windows Server 2008?
E sua diferenças de seu antecessor o Server 2003.
E sua diferenças de seu antecessor o Server 2003.
Sua resposta
3 Respostas
Boa noite.
Melhorias e aperfeiçoamentos na segurança da informação no Windows Server 2008:
Assistente de Configuração de Segurança: esse assistente auxilia os administradores de rede na configuração da segurança do sistema operacional, baseado na função exercida pelo servidor. Com isso, mais uma vez, a superfície de ataque é diminuída, e o nível de segurança elevado. Esse assistente lhe guia através de um processo de criação e aplicação de uma política de segurança no servidor. Você pode ainda reverter as configurações realizadas, caso algum impacto seja identificado. A versão do SCW (Security Configuration Wizard) disponível no Windows Server 2008 possui uma série de novas funções de servidor e controles de segurança do que a versão existente no Windows Server 2003. Algumas das configurações de segurança que podemos realizar com essa ferramenta são: desabilitar serviços desnecessários, remover regras de firewall não utilizadas e definir políticas de auditoria. Existe ainda o comando scwcmd.exe que lhe permite automatizar algumas das tarefas executas pelo assistente.
Diretivas de Grupo – mais conhecidas como GPOs – Group Policy Objects: uma série de novas diretivas de grupo foram adicionadas no Windows Server 2008. Podemos destacar as seguintes melhorias relacionadas com as diretivas de grupo: a administração das diretivas de grupo é realizada através do console GPMC, no lado cliente, a aplicação das GPOs é gerenciada por um serviço, e não mais pelo Winlogon, como era no Windows Server 2003. No Windows Server 2008 as diretivas de grupo são armazenadas no formato XML. O próprio Active Directory sofreu alterações consideráveis, dentre as quais podemos destacar a possibilidade de parar e iniciar o Active Directory quando necessário, sem precisar reiniciar o servidor. Ou seja, agora o Active Directory possui um serviço específico que nos permite realizar essas tarefas. Isso facilita também a manutenção da base de dados do Active Directory.
Proteção de Acesso à Rede: esse recurso, também conhecido como NAP, aplica uma camada a mais de segurança em uma rede, garantindo que somente clientes que estejam em conformidade com a política de segurança da empresa acessem a rede corporativa. Clientes em não conformidade serão isolados em outra rede, chamada rede de remediação, até que estejam em conformidade. Atualmente, apenas o Windows Vista, Windows Server 2008 e o Windows XP Service Pack 3 são compatíveis com esse recurso. Com a Proteção de Acesso a Rede você pode definir, por exemplo, que somente estações de trabalho que possuem um anti-vírus instalado e atualizado, e o firewall do Windows habilitado, poderão acessar a rede corporativa. Temos ainda outros parâmetros de segurança que podem ser verificados, como por exemplo, anti-spyware instalado, ativo e atualizado, e as atualizações automáticas habilitadas. Caso os clientes estejam configurados para utilizar o WSUS (Windows Server Update Services), o NAP verificará se as atualizações mais recentes estão instaladas ou não nos clientes.
Controle de Conta de Usuário: esse recurso tem como objetivo prevenir a instalação de softwares mal-intencionados sem o conhecimento do administrador do servidor. É mais conhecido como UAC, ou também como aquele telinha “chata” que aparece toda hora no Windows. Coloquei a palavra “chata” entre parênteses, pois após você realmente entender a função desse recurso, com certeza mudará seu conceito. Esse recurso nos permite usar um computador com uma conta de usuário sem direitos administrativos. Quando for necessário executar uma tarefa administrativa, será exibida automaticamente a tela do UAC para que você forneça as credenciais de uma conta com permissão de Administrador. Com isso, apenas aquela tarefa será executada com direitos administrativos. Lembrando que isso é automático, diferente do recurso Executar Como, onde você precisa clicar com o botão direito do mouse sobre o aplicativo e selecionar a opção de executar como administrador. No meu ponto de vista é uma das melhorias de segurança mais significativas no Windows Server 2008, pois é uma camada a mais de segurança que você possui.
Cryptography Next Generation (CNG): essa é uma nova API de criptografia da Microsoft que oferece uma maior flexibilidade através do suporte a diversos tipos de algoritmos criptográficos. Além disso, oferece uma maior eficiência no gerenciamento de chaves criptográficas. Essa nova API implementa a recomendação de protocolos Suite B da National Security Agency. É a mais nova substituta a CryptoAPI, utilizada em versões anteriores do Windows.
Controlador de Domínio Somente Leitura: também conhecido como RODC – Read Only Domain Controller. Esse é o novo tipo de Controlador de Domínio, indicado para localidades remotas que possuem um nível de segurança física baixo. Nesse tipo de Controlador de Domínio é armazenado uma copia somente leitura do Active Directory. O Controlador de Domínio Somente Leitura armazena os mesmos objetos e atributos existentes em um Controlador de Domínio comum, porém todas as alterações necessárias não são feitas diretamente no RODC. Ao invés disso, as alterações são enviadas para um Controlador de Domínio que não seja somente leitura, e após isso as alterações são replicadas de volta para o RODC. Existe também a Password Replication Policy, a qual define quais contas de usuários poderá ter suas senhas armazenadas no cache do RODC. Este é um dos recursos realmente muito bem vindos em termos de segurança e que será de grande utilidade para garantir a segurança em escritórios remotos da rede da empresa.
Serviços de Federação do Active Directory: também conhecido como AD FS – Active Directory Federation Services, esse serviço oferece uma facilidade a mais na criação de relações de confianças entre diferentes diretórios. Oferece ainda o recurso de SSO (single sign on) seguro, ou seja, logon único.
Serviços de Certificados do Active Directory: também conhecido como AD CS, o serviço de certificados do Windows Server 2008 oferece varias melhorias no gerenciamento da infra-estrutura de chave pública, como por exemplo, o PKIView, que lhe permite monitorar a integridade das autoridades de certificação.
Serviços de Gerenciamento de Direitos do Active Directory: também conhecido como AD RMS, oferece uma camada a mais de segurança na proteção dos dados, fazendo com que apenas usuários autorizados tenham acesso às informações. Esse serviço nos permite controlar quais usuários poderão ler, editar, imprimir e editar documentos do Microsoft Office e e-mails. Como esse serviço é integrado ao Active Directory, esse controle de proteção de dados se torna ainda mais simplificado. Você pode definir, por exemplo, que certos usuários do domínio podem apenar ler alguns documentos, enquanto outros usuários poderão ler e editar documentos. Você pode criar as políticas, as quais serão aplicadas aos softwares que são compatíveis com o AD RMS. Esse serviço substitui o RMS, disponível no Windows Server 2003. Podemos destacar as seguintes novidades no AD RMS do Windows Server 2008: é agora uma role (função) do Windows Server 2008, a administração pode ser feita através do console MMC, possui integração com o AD FS e possui a funcionalidade de delegar responsabilidades.
Criptografia de Unidade de Disco BitLocker: esse recurso oferece um nível diferente de criptografia. Ele atua diretamente no disco, e não em pastas e arquivos, que é o método que já conhecemos. Caso um servidor que possua esse recurso habilitado seja roubado, o ladrão não poderá ler as informações caso não possua as chaves criptográficas necessárias.
Link para saber mais:
http://www.microsoft.com/brasil/servidores/windowsserver2008/evaluation/overview.mspx
Melhorias e aperfeiçoamentos na segurança da informação no Windows Server 2008:
Assistente de Configuração de Segurança: esse assistente auxilia os administradores de rede na configuração da segurança do sistema operacional, baseado na função exercida pelo servidor. Com isso, mais uma vez, a superfície de ataque é diminuída, e o nível de segurança elevado. Esse assistente lhe guia através de um processo de criação e aplicação de uma política de segurança no servidor. Você pode ainda reverter as configurações realizadas, caso algum impacto seja identificado. A versão do SCW (Security Configuration Wizard) disponível no Windows Server 2008 possui uma série de novas funções de servidor e controles de segurança do que a versão existente no Windows Server 2003. Algumas das configurações de segurança que podemos realizar com essa ferramenta são: desabilitar serviços desnecessários, remover regras de firewall não utilizadas e definir políticas de auditoria. Existe ainda o comando scwcmd.exe que lhe permite automatizar algumas das tarefas executas pelo assistente.
Diretivas de Grupo – mais conhecidas como GPOs – Group Policy Objects: uma série de novas diretivas de grupo foram adicionadas no Windows Server 2008. Podemos destacar as seguintes melhorias relacionadas com as diretivas de grupo: a administração das diretivas de grupo é realizada através do console GPMC, no lado cliente, a aplicação das GPOs é gerenciada por um serviço, e não mais pelo Winlogon, como era no Windows Server 2003. No Windows Server 2008 as diretivas de grupo são armazenadas no formato XML. O próprio Active Directory sofreu alterações consideráveis, dentre as quais podemos destacar a possibilidade de parar e iniciar o Active Directory quando necessário, sem precisar reiniciar o servidor. Ou seja, agora o Active Directory possui um serviço específico que nos permite realizar essas tarefas. Isso facilita também a manutenção da base de dados do Active Directory.
Proteção de Acesso à Rede: esse recurso, também conhecido como NAP, aplica uma camada a mais de segurança em uma rede, garantindo que somente clientes que estejam em conformidade com a política de segurança da empresa acessem a rede corporativa. Clientes em não conformidade serão isolados em outra rede, chamada rede de remediação, até que estejam em conformidade. Atualmente, apenas o Windows Vista, Windows Server 2008 e o Windows XP Service Pack 3 são compatíveis com esse recurso. Com a Proteção de Acesso a Rede você pode definir, por exemplo, que somente estações de trabalho que possuem um anti-vírus instalado e atualizado, e o firewall do Windows habilitado, poderão acessar a rede corporativa. Temos ainda outros parâmetros de segurança que podem ser verificados, como por exemplo, anti-spyware instalado, ativo e atualizado, e as atualizações automáticas habilitadas. Caso os clientes estejam configurados para utilizar o WSUS (Windows Server Update Services), o NAP verificará se as atualizações mais recentes estão instaladas ou não nos clientes.
Controle de Conta de Usuário: esse recurso tem como objetivo prevenir a instalação de softwares mal-intencionados sem o conhecimento do administrador do servidor. É mais conhecido como UAC, ou também como aquele telinha “chata” que aparece toda hora no Windows. Coloquei a palavra “chata” entre parênteses, pois após você realmente entender a função desse recurso, com certeza mudará seu conceito. Esse recurso nos permite usar um computador com uma conta de usuário sem direitos administrativos. Quando for necessário executar uma tarefa administrativa, será exibida automaticamente a tela do UAC para que você forneça as credenciais de uma conta com permissão de Administrador. Com isso, apenas aquela tarefa será executada com direitos administrativos. Lembrando que isso é automático, diferente do recurso Executar Como, onde você precisa clicar com o botão direito do mouse sobre o aplicativo e selecionar a opção de executar como administrador. No meu ponto de vista é uma das melhorias de segurança mais significativas no Windows Server 2008, pois é uma camada a mais de segurança que você possui.
Cryptography Next Generation (CNG): essa é uma nova API de criptografia da Microsoft que oferece uma maior flexibilidade através do suporte a diversos tipos de algoritmos criptográficos. Além disso, oferece uma maior eficiência no gerenciamento de chaves criptográficas. Essa nova API implementa a recomendação de protocolos Suite B da National Security Agency. É a mais nova substituta a CryptoAPI, utilizada em versões anteriores do Windows.
Controlador de Domínio Somente Leitura: também conhecido como RODC – Read Only Domain Controller. Esse é o novo tipo de Controlador de Domínio, indicado para localidades remotas que possuem um nível de segurança física baixo. Nesse tipo de Controlador de Domínio é armazenado uma copia somente leitura do Active Directory. O Controlador de Domínio Somente Leitura armazena os mesmos objetos e atributos existentes em um Controlador de Domínio comum, porém todas as alterações necessárias não são feitas diretamente no RODC. Ao invés disso, as alterações são enviadas para um Controlador de Domínio que não seja somente leitura, e após isso as alterações são replicadas de volta para o RODC. Existe também a Password Replication Policy, a qual define quais contas de usuários poderá ter suas senhas armazenadas no cache do RODC. Este é um dos recursos realmente muito bem vindos em termos de segurança e que será de grande utilidade para garantir a segurança em escritórios remotos da rede da empresa.
Serviços de Federação do Active Directory: também conhecido como AD FS – Active Directory Federation Services, esse serviço oferece uma facilidade a mais na criação de relações de confianças entre diferentes diretórios. Oferece ainda o recurso de SSO (single sign on) seguro, ou seja, logon único.
Serviços de Certificados do Active Directory: também conhecido como AD CS, o serviço de certificados do Windows Server 2008 oferece varias melhorias no gerenciamento da infra-estrutura de chave pública, como por exemplo, o PKIView, que lhe permite monitorar a integridade das autoridades de certificação.
Serviços de Gerenciamento de Direitos do Active Directory: também conhecido como AD RMS, oferece uma camada a mais de segurança na proteção dos dados, fazendo com que apenas usuários autorizados tenham acesso às informações. Esse serviço nos permite controlar quais usuários poderão ler, editar, imprimir e editar documentos do Microsoft Office e e-mails. Como esse serviço é integrado ao Active Directory, esse controle de proteção de dados se torna ainda mais simplificado. Você pode definir, por exemplo, que certos usuários do domínio podem apenar ler alguns documentos, enquanto outros usuários poderão ler e editar documentos. Você pode criar as políticas, as quais serão aplicadas aos softwares que são compatíveis com o AD RMS. Esse serviço substitui o RMS, disponível no Windows Server 2003. Podemos destacar as seguintes novidades no AD RMS do Windows Server 2008: é agora uma role (função) do Windows Server 2008, a administração pode ser feita através do console MMC, possui integração com o AD FS e possui a funcionalidade de delegar responsabilidades.
Criptografia de Unidade de Disco BitLocker: esse recurso oferece um nível diferente de criptografia. Ele atua diretamente no disco, e não em pastas e arquivos, que é o método que já conhecemos. Caso um servidor que possua esse recurso habilitado seja roubado, o ladrão não poderá ler as informações caso não possua as chaves criptográficas necessárias.
Link para saber mais:
http://www.microsoft.com/brasil/servidores/windowsserver2008/evaluation/overview.mspx
Nível de segurança do w2008 melhorou muito em relação ao 2003 (tenho as duas versões) principalmente no TS e firewall, na minha opiniao, mas, a compatibilidade do wts no 2003 é melhor com as distribuições Linux, já o gerenciamento de impressão do 2008 é excelente, para gerenciar um servidor de arquivos tb é muito bom.
Uma das coisas que achei bem interessante do 2008 é que ele não aceita senha simples.
Resumindo o 2008 é melhor que o 2003, mas ainda é Windows, recomendo que o rode atras de um firewall Linux.
O que vc está querendo rodar no server?
Abraço.
Uma das coisas que achei bem interessante do 2008 é que ele não aceita senha simples.
Resumindo o 2008 é melhor que o 2003, mas ainda é Windows, recomendo que o rode atras de um firewall Linux.
O que vc está querendo rodar no server?
Abraço.
caso queria tambem uma olhadinha neste link abaixo
http://www.technetbrasil.com.br/XPSLTN_Win2k8/Default.aspx
http://www.microsoft.com/windowsserver2008/pt/br/why-upgrade.aspx
http://www.technetbrasil.com.br/XPSLTN_Win2k8/Default.aspx
http://www.microsoft.com/windowsserver2008/pt/br/why-upgrade.aspx