Segurança WTS

[Diego Voltolini - TI Ceramfix]

Salve manolada...

 

Seguinte, aqui na empresa vamos disponibilizar para acesso externo um wts para acesso aos nossos sistemas, mas como tenho um pezinho na segurança,

penso bastante nos parâmetros de segurança que eu possa adotar para esse acesso.

Então, peço ajuda dos oráculos para me auxiliar nessa missão.

Existe algum meio para acesso remoto via wts que tenha uma certo grau alto de segurança?

 

 

Abraços.

 

 

Diego Voltolini TI 47 2102 0511 Skype: diego.voltolini diego.v...@ceramfix.com.br www.ceramfix.com.br

 

[Luiz Paulo Paterno]

Se você tem uma CA dentro da empresa, podes habilitar para aceitar somente conexões com Autenticação em Nível de Rede.

 

Desta forma podes disponibilizar certificadas da sua empresa e somente computadores com este certificado poderão se conectar no wts.

[Altieres Del-Sent]

Assim, pega uma maquina, retira todo e qualquer acesso a outras maquinas, coloca ela atras de um proxy e dai nessa maquina tu da acesso externo, quando alguem quiser acessar a maquina do "joazinho", libera acesso dessa maquina para o "joazinho", fica lento, quem quiser acessar vai ter que passar por 2 conexoes remotas, mas fica dificil de alguem comprometer toda sua segurança... eh minha melhor ideia, hehehe, eu sei que tem umas opçoes de autenticaçao com chave publica/privada, mas eu não sei como fazer...

[Guilherme Strube]

dicas boas.

Só cuida pra não te amarrar nas permissões. Daqui a pouco podes virar gerente. Gerente de permissões.

--
Guilherme Strube 

Contato: (47) 9963-6765

BlumenauTI - Empregos / Notícias / Dicas

www.blumenauti.com.br 

Facebook | Twitter | LinkedIn | RSS | Newsletter

[Samuel Riesz]

Cara, seguinte, não libera o acesso pra net, libera uma vpn pra essa empresa e libera o acesso do ip da vpn da empresa na porta 3389 do windows que tu quer que eles acessem.

A questão de fortificar o servidor a ser acessado depende muito da finalidade do acesso, é pra utilizar algum sistema ou prestar suporte?

De qualquer maneira todo SO tem que ser bem configurado.

__________________________________
Samuel Riesz

---

De: hacker...@googlegroups.com [hacker...@googlegroups.com] em nome de Guilherme Strube [guilher...@gmail.com]
Enviado: terça-feira, 9 de outubro de 2012 12:13
Para: hacker...@googlegroups.com
Assunto: Re: [HackerspaceSC] Segurança WTS

--
Esta mensagem foi verificada pelo sistema de antivirus e
acredita-se estar livre de perigo.

--
Esta mensagem foi verificada pelo sistema de antivirus e
acredita-se estar livre de perigo.

[Diego Voltolini - TI Ceramfix]

É para acesso ao nosso ERP.

 

 

Diego Voltolini TI 47 2102 0511 Skype: diego.voltolini diego.v...@ceramfix.com.br www.ceramfix.com.br

 

[Samuel Riesz]

As dicas repassadas pelos outros colegas são de grande valia. Se você puder testar em um ambiente não produção, estude implementar:

-EMET 3.0, ferramenta da MS que analisa e protege o micro no conceito de defense in depth DEP com ASLR e etc, e fecha a aplicação atacada.

-O SCM - Security Compliance Manager - outra boa ferramenta da MS que provê várias baselines de GPOs e configurações de hardenning pra servidores e desktops, por exemplo, você tem um perfil de um servidor que será Terminal Server e o SCM lhe provê uma baseline com muitas GPOs para se plicar neste tipo de ambiente para fortifica-lo, antes de aplicar você pode rever todas as GPOs, exporta-las para realizar testes e etc.

-Estude a possibilidade de entregar a interface do seu ERP via "Remote APP" também da própria MS, é quando o usuário clica em um icone na área de trabalho do micro dele e se autentica e ganha a tela do ERP normalmente como se o mesmo estivesse instalado localmente, porém a imagem é entregue via RDP, o bom é que o usuário não possuirá acesso às telas e menus do SO.

-Estude também, a possibilidade de redirecionar os logs de segurança e sistema(no mínimo) para um outro servidor centralizador de logs, para que na eventualidade de um incidente você não perca os logs.

-Não custa repetir a ladainha de que o server deve ter um bom firewall entre ele e os usuários, um antivírus atualizado, todas as atualizações de SO em dia e etc.

Cara dá pra todo mundo aqui falar um monte de coisas, mas acho que trabalhando neste linha já é um começo.

EMET: http://blogs.technet.com/b/srd/archive/2012/05/15/introducing-emet-v3.aspx

SCM: http://technet.microsoft.com/en-us/library/cc677002.aspx

Remote APP: http://technet.microsoft.com/pt-br/library/cc753844(v=ws.10).aspx

Redirecionamento de logs: http://blogs.technet.com/b/wincat/archive/2008/08/11/quick-and-dirty-large-scale-eventing-for-windows.aspx

Centralização de logs bem melhor que o da SM: http://www.brsec.com.br/int_splunk.asp/ 

Página de hardenning de SOs da NSA, agencia de inteligencia americana: http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/operating_systems.shtml

Ótima página com checklist para hardenning, da Universidade do Texas: https://wikis.utexas.edu/display/ISO/Windows+2008R2+Server+Hardening+Checklist

Espero ter ajudado.

Atenciosamente,

__________________________________
Samuel Riesz

---

De: hacker...@googlegroups.com [hacker...@googlegroups.com] em nome de Diego Voltolini - TI Ceramfix [diego.v...@ceramfix.com.br]
Enviado: quarta-feira, 10 de outubro de 2012 9:04

[Eduardo Maes]

Diego, todas as dicas são maravilhosas, mas temos que concordar que não fazem parte do cenário de uma empresa de pequeno/médio porte, seja por orçamento, falta de pessoal capacito e outras coisas que não vem ao caso. Sim, deveriam fazer, é um cenário ideal, mas infelizmente não fazem parte do dia-a-dia. Quem sabe um dia...

Hoje uma boa forma de fornecer este serviço, como o pessoal mesmo já falou ai em cima, é fornecendo uma VPN (pode ser com openvpn) e disponibilizando um acesso ao WTS através deste túnel, ou em um caso de relacionamento Empresa x Empresa Parceira, inserir uma regra no firewall com o IP de origem da empresa parceira (ideal é ser fixo) com o ip destino apontado para o servidor de TS da rua rede.

Aconselho a não usar protocolo PPTP (http://en.wikipedia.org/wiki/Point-to-Point_Tunneling_Protocol).

E caso seja matriz x filial, podes tentar fechar IPSEC (http://pt.wikipedia.org/wiki/IPsec) entre os equipamentos de borda, ou colocar um linux em cada ponta fazendo isso.

Posso estar falando besteira, mas até onde eu conheço, tentar fazer isso em cima de um servidor Windows é pra se incomodar. Talvez o Luiz que tem conhecimento em MS possa debater, e mostrar que não é como eu penso.

Abraços.

[Luiz Paulo Paterno]

se tiver grana pra gastar, usa MS.

Senão faz pela OpenVPN com Linux que já resolve o problema.

 

De: Eduardo Maes
Enviado: ‎11‎ de ‎outubro‎ de ‎2012 ‎10‎:‎11
Para: hacker...@googlegroups.com
Assunto: Re: [HackerspaceSC] Segurança WTS

 

[Eduardo Maes]

Diego, se for olhar pra grana, poe appliance.

[Diego Voltolini - TI Ceramfix]

Appliance da Cisco ta R$800 cada...

 

 

Diego Voltolini TI 47 2102 0511 Skype: diego.voltolini diego.v...@ceramfix.com.br www.ceramfix.com.br

 

Diego Voltolini

[Samuel Riesz]

Appliance pra vpn? Poxa, tá barato hein!

__________________________________
Samuel Riesz

---

De: hacker...@googlegroups.com [hacker...@googlegroups.com] em nome de Diego Voltolini - TI Ceramfix [diego.v...@ceramfix.com.br]
Enviado: quinta-feira, 11 de outubro de 2012 10:28

Para: hacker...@googlegroups.com
Assunto: RES: [HackerspaceSC] Segurança WTS

--
Esta mensagem foi verificada pelo sistema de antivirus e
acredita-se estar livre de perigo.