Antes de prosseguir com esse artigo, mais uma vez gostaria de sugerir que seja feita uma verificação dos patchs e service packs aplicados no servidor. Podemos fazer isso utilizando o software Microsoft Baseline Security Analyzer, ou utilizando o site do Windows Update.
Agora que já verificamos se o Windows Server está atualizado, sugiro que verifiquemos se existem atualizações para o ISA Server 2004. Se você esta utilizando o ISA Server 2004 Standard Edition, você deve aplicar o SP2 do ISA 2004, ou o último service pack vigente.
Verifique também se existem mais atualizações disponíveis no ISA Server Security Update Center.
Introdução
O ISA Server suporta diversos tipos de clientes, incluindo computadores cliente web proxy e cliente firewall. Cliente web proxy envia requisições HTTP diretamente para o serviço Web Proxy no servidor ISA. Computadores com client firewall instalado encaminha requisições 'Winsock' diretamente para o serviço Firewall no servidor ISA.
Você pode manualmente configurar ambos clientes, web proxy e firewall client, com o endereço IP ou nome do servidor ISA. Entretanto, se você configurar em notebooks a configuração não estará correta para todos os sites (filiais, parceiros etc.) utilizados pelo usuário móvel. "Autoconfiguration" é um recurso que torna isso possível para clientes Web Proxy e clientes firewall descobrirem o endereço do servidor ISA. Esse recurso é também conhecido como "Autodiscovery".
O Autodiscovery torna isso possível para usuários móveis conectarem com o servidor ISA apropriado independente do site (filial, parceiro etc.) que ele está sem precisar reconfigurar manualmente as opções de cliente.
Configuração do DNS
Obs.: Publicar WPAD na porta 80 é requerido para o DNS funcionar (Veremos mais adiante).
Para configurar o servidor DNS para enviar a "Autoconfiguration" URL para o cliente Web proxy e cliente firewall, adicione uma entrada "wpad" no DNS que aponte para o servidor ISA:
No servidor DNS:
1.
Clique "Start", "Administrative Tools" (também pelo Painel de Controle), DNS;
2.
Clique no nome do seu servidor e clique "Forward Lookup Zones";
3.
Clique com botão secundário na "Forward Lookup Zone" que você quer que suporte Web proxy e cliente firewall "Autoconfiguration" e clique em "New Alias (CNAME)"
4.
Na tela "New Resource Record" digite wpad em "Alias name (uses parent domain if left blank)";
5.
Em "Fully Qualified Domain Name (FQDN) for target host" digite o nome completo do seu servidor ISA da interface interna. Exemplo: isaserver.dominio.local Obs.: O servidor ISA precisa ter uma entrada "A" Host antes de criar uma entrada alias (CNAME).
6.
Clique Ok;
Configurando client Firewall e Web proxy
Para configurar o Internet Explorer para utilizar "Autodiscovery" para detectar as configurações:
1.
Inicie o Internet Explorer; Obs.: Precisa ser versão 5 ou superior.
2.
Clique no menu "Ferramentas" e clique em "Opções da Internet";
3.
Clique na guia "Conexões";
4.
Clique em "Configurações da Lan"
5.
Clique para selecionar "Detectar automaticamente as configurações" e clique 0k duas vezes.
Para configurar o cliente Firewall para utilizar "Autodiscovery" para detectar as configurações:
1.
No painel de controle, duplo clique no "Firewall Client";
2.
Clique para selecionar "Automatically detect ISA Server";
3.
Clique "Update Now" e clique 0k. Obs.: O recurso do "Autodiscovery" não é suportado no Windows 95 e no Windows NT 4.0 Workstation.
ISA Server "Autodiscovery"
Por padrão, o servidor ISA publica informação do "Autodiscovery" na porta 80 da interface interna. Para modificar essa porta, siga os passos a seguir:
1.
Clique "Start", "All Programs", "Microsoft ISA Server" e clique em "ISA Server Management";
2.
Expanda "Configuration" e clique em "Networks";
3.
Na guia "Networks", clique com botão secundário na rede "Internal" e clique em "Properties";
4.
Clique na guia "Auto Discovery";
5.
Clique para selecionar "Publish automatic discovery information";
6.
Para modificar a porta utilizada que o "automatic discovery" utiliza, modifique em "Use this port for automatic discovery requests";
7.
Clique 0k;
8.
Clique "Apply" para salvar as alterações e clique em 0k para concluir.
Aplicavél a:
•
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
•
Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
•
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
•
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
•
Microsoft Windows Server 2003, Standard Edition (32-bit x86)
•
Microsoft Windows Server 2003, Web Edition
•
Microsoft Windows XP Professional for Itanium-based systems
•
Microsoft Internet Security and Acceleration Server 2004 Standard Edition
•
Microsoft Windows Small Business Server 2003 Standard Edition
•
Microsoft Windows Small Business Server 2003 Premium Edition
Fonte também utilizada: KB 816320
Download do client Firewall Do ISA: http://www.microsoft.com/downloads/details.aspx?FamilyID=05C2C932-B15A-4990-B525-66380743DA89&displaylang=en
segunda-feira, 3 de dezembro de 2007
sexta-feira, 5 de outubro de 2007
ISA Server 2004
Microsoft ISA Server 2004 - Uma solução completa de Firewall e Cache web.
2.3 Ameaças (Ataques e Invasões)
A principal defesa oferecida pelo dispositivo firewall é a proteção contra ameaças externas. Estas, porém, podem assumir muitas formas e variações. Discuti-las aqui teria uma finalidade limitada, visto que a cada dia surgem outras mais. Por esse motivo, o mecanismo de defesa deve oferecer métodos para ser frequentemente atualizado e configurado.
Algumas ações, como efetuar um ping em um endereço IP de um servidor podem parecer inofensivas, mas este pode ser apenas o primeiro passo para um ataque mais sério (DESIGN, 2004). De um modo geral, todos os ataques devem ser considerados como potencialmente perigosos e, assim, devem ser tratados a primeira instancia, com um firewall qualificado.
3 A ESCOLHA DO FIREWALL
Existem diversas soluções de firewall disponíveis no mercado. A escolha de uma delas está atrelada a fatores como custo, recursos desejados, flexibilidade, escalabilidade, disponibilidade e facilidade de configuração. Além disso, é necessária ainda uma análise especial quanto à adaptação do dispositivo frente à realidade da empresa e sua política de segurança. Certos tipos de firewall servem apenas para estruturas especificas de rede, bem como servidores específicos (e com elevado grau de importância) exigem alta confiabilidade do mecanismo de defesa.
Como principal estudo para o desenvolvimento do artigo, o conteúdo a seguir descreve a ferramenta Microsoft ISA (Internet Security and Acceleration) Server 2004. Uma solução avançada de firewall e cache web que acompanha diversos outros recursos, elevando a capacidade de segurança e desempenho da rede. Mais do que isso, releva as principais características do produto, bem como seus métodos filtragem, interface e capacidades de
O ISA Server 2004 apresenta-se como uma solução completa. Além de prover serviços de firewall e cache web para redes corporativas, incluem vários outros itens com o intuito de proteger sua rede interna dos perigos das redes públicas. Implementando tecnologias para detecção de intrusos, filtros de conteúdo e redes privadas virtuais (tanto para interligar duas redes locais quanto para conectá-lo à sua rede de onde quer que esteja), a versão 2004 do ISA oferece altos níveis de segurança, facilidade na administração e melhorias de performance. Baseada em web, a interface é intuitiva e agradável, além de provervários assistentes para ajudar na configuração do servidor.
Após a instalação e a passagem dos parâmetros iniciais de configuração (que serão mostrados mais tarde), o sistema pode ser acessado através de um ícone localizado na área de trabalho do Windows. A figura 2 representa a tela de abertura do software.
Figura 2 - Tela de Abertura do ISA Server 2004
Como exibido anteriormente, o painel à direita contém uma lista de ações disponíveis (aba Tasks) e uma ajuda de contexto (aba Help). Este painel é mostrado em todas as áreas do software, exibindo as tarefas e tópicos de ajuda relacionados. Já o painel da esquerda, determina as configurações e o funcionamento geral do firewall. É através dele que são acessados e configurados todos os recursos do Microsoft ISA Server.
4.1 Monitoring
O ISA Server possui como uma de suas principais características, uma grande variedade de ferramentas de monitoramento para auxiliar no controle de status e tráfego da rede, tornando mais fácil garantir que o produto esteja funcionando conforme esperado. Os principais recursos de monitoramento podem ser acessados através do nó Monitoring e estão descritos em abas conforme verificado na figura 4.
Figura 4 - Tela de Monitoração do ISA Server 2004.
•
Dashboard.O Dashboard do ISA Server resume informações de monitoramento em sessões, alertas, serviços, relatórios, conectividade e integridade do sistema geral. O Dashboard fornece uma visualização geral sobre o funcionamento .
•
Alertas.Os alertas do ISA Server avisam quando eventos especificados ocorrem. Você pode configurar as definições de alerta para disparar uma série de ações quando ocorrer um evento. Ele é responsável por capturar eventos, verificar se determinadas condições são atendidas e tomar as respectivas medidas.
•
Sessões.Você pode exibir todas as conexões ativas. A partir de um modo de exibição é possível classificar ou desconectar sessões individuais ou em grupos. Além disso, você pode filtrar as entradas na interface para focalizar as sessões de interesse usando o recurso de filtragem de sessões internas.
•
Serviços.Serviços no monitoramento para verificar o status dos serviços do ISA Server e para interromper e iniciar o serviço do Microsoft Firewall, do Agendador de Tarefas do Microsoft ISA Server e do Microsoft Data Engine.
•
Relatórios.É possível usar os recursos de relatório para resumir e analisar os padrões de uso, bem como monitorar a segurança da rede. Esse poderoso recurso permite ainda detalhar diversos resultados em prol de se obter dados exatos sobre requisições de acesso.
•
Conectividade.Você pode usar os verificadores de conectividade para examinar as conexões de um nome de computador, endereço IP ou URL específicos. Além disso permite o teste de conectividade para servidores internos.
•
Log.É possível exibir os logs do firewall e do proxy da Web em tempo real. Você pode consultar os arquivos de log usando o recurso de consulta de log interno. Os logs do Microsoft Data Engine (MSDE) também podem ser consultados sobre informações contidas em qualquer campo registrado nos logs.
Quadro 1 - Recursos de Monitoramento
4.2 Firewall Policy
O servidor ISA é configurado a partir de diretrizes (ou policies). Entenda uma diretriz como um conjunto de regras que controlam o acesso dos clientes internos à rede externa e vice-versa.
Figura 5 - Tela de configuração das regras de filtragem
Nesta seção (através do painel de ações à direita) também podem ser configurados os elementos que compõe sua regra de acesso, como protocolos, conjunto de usuários (combinados ou não com um domínio Microsoft), tipos de conteúdo, schedules e objetos de rede (endereços ou redes específicos, range de IP, URL’s, etc...).
O principal destaque de filtragem da ferramenta, porém, descreve pela capacidade de inspecionar o tráfego na Internet (como HTTP, download FTP e SSL) através de seu conteúdo, gerando muito mais controle sobre o modo com que o tráfego passa pelo firewall.
Talvez por isso, o ISA Server seja o mais sofisticado firewall encontrado atualmente no mercado. Sua enorme capacidade de utilização deste recurso permite que, por exemplo, exerça a verificação de múltiplos protocolos em diversas portas, com base nas informações que estão na rede. O mecanismo garante que os pacotes circulantes sejam adequados, devido à capacidade de inspecionar os dados e comandos que estão indo e voltando. É importante destacar também a capacidade de verificar o tráfego DNS ao passo que ele circula pelo firewall para buscar comandos específicos na rede interna. Essa proteção adicional impõe que os usuários (ou invasores), não possam esconder informações em tipos de tráfego permitidos (DESIGN, 2004). Diversos ataques são baseados na camada de aplicação do modelo OSI, como exemplo, os worms nimda e codered.
4.3 Virtual Private Network (VPN)
A utilização de redes VPN tornou-se hoje um símbolo de praticidade para as empresas, principalmente no que tange aos dispositivos móveis de computação. Mais do que isso, para permitir que uma conexão virtual desta natureza seja confiável, o ISA Server além de tornar possível, emprega diversos tratamentos ao iniciar uma sessão. Consiste na checagem da máquina visitante através de scripts configuráveis, que verificam os componentes ou executam uma rápida análise no cliente, buscando, por exemplo, um software antivírus atualizado. Esse processo é denominado Quarentine e exige conhecimentos avançados de configuração para garantir comandos de scripts confiáveis.
Figura 6 - VPN – Virtual Private Network
4.4 Configuration
De um modo geral, trata das configurações globais do ISA Server, fazendo referencia com a estrutura corporativa ao qual a ferramenta é submetida. Em outras palavras, sugere os parâmetros fornecidos ao software em consideração o modelo físico e lógico da rede, quesitos de segurança local, administração dos sistemas, além da qualidade e manutenção do serviço de internet.
4.4.1 NetWorks
Com o objetivo pratico de elevar a capacidade do firewall e facilitar a resolução de problemas a interface de configuração para redes exibe uma série de modelos pré-configurados, de acordo com as principais práticas empresariais.
Mais do que isso, determina ainda as regras internas de roteamento e tratamento de pacotes que influenciarão no acesso inter-redes. Um importante recurso encontrado dentro destas regras é o Network Address Translation, ou simplesmente NAT. Refere-se à utilização de apenas um endereço público (válido na internet) para os dispositivos internos de uma rede local. Além disso, como os endereços privados não são exibidos, este mecanismo proporciona ainda a máscara dos endereços das estações e servidores internos, de modo a aumentar a segurança da rede.
Figura 7. NAT – Network Address Translation
Fonte: Disponível em:
4.4.2 Cache
Tem como principal objetivo acelerar o acesso à internet. A cada solicitação de uma url, parte do conteúdo da página fica armazenada no servidor, ao passo que conexões futuras ao mesmo site possam ser exibidas com maior velocidade. O ISA Server oferece diversas capacidades ao efetuar o cache de conteúdo, incluindo tamanho geral do arquivo, tempo de armazenagem, opção de cache para SSL, dentre outros.
Este recurso foi muito bem desenvolvido em relação as versões anteriores do ISA, proporcionando um nível ainda mais elevado de gerenciamento e eficácia nas mãos do administrador.
4.4.3 Add-ins
Recurso que permite visualizar e customizar os filtros específicos de aplicação contidos no ISA Server. Embora se assemelhe às regras de acesso localizadas em “Firewall Policy”, empregam conceitos distintos, onde os filtros tratam separadamente tudo que é feito sobre a camada de aplicação.
Este é, com certeza, um dos principais atrativos do ISA Server pois, se bem controlado eleva a capacidade de defesa da ferramenta ao ponto de atingir consideráveis níveis de segurança. Como exemplo, é possível configurar um filtro add-in SMTP onde seja impossível o envio/recebimento de e-mails com conteúdo .exe (executável). (IMPLEMENTING, 2004) Note ainda que, o ISA representa uma solução firewall para controle de entrada e saída de dados com recursos que trabalham além dos tradicionais modelos de mercado, empregando serviços adicionais que facilitam o trabalho do administrador.
Figura 8. Add-ins, filtros de aplicação do ISA Server.
4.4.4 General
Define a área das configurações gerais de administração da ferramenta. Ao solicitar a exibição do nó são apresentados os seguintes grupos de tarefas:
- ISA Server Adminstration
Consiste no tratamento da administração do ISA. Delega permissão de controle da ferramenta aos usuários, emprega configurações de conexão a clientes e links externos e especifica detalhes do servidor.
- Global HTTP Policy Settings
Retoma informações sobre políticas http adicionais como preferências de compressão, revogação de certificados e “tradução de links”.
- Additional Security Policy
Implementa configurações de segurança adicionais como a utilização de um servidor RADIUS, controle de QOS, limitações de banda, modo de operação IP e controle de ataques e invasões. Estes recursos, porém, exigem elevado grau de conhecimento do administrador.
Nesta seção é possível visualizar no painel direito um grande nível de informações sobre cada aspecto abordado acima, com considerações de recomendações e práticas adequadas.
4.5 Informações Adicionais (Disponibilidade e Capacidade de trabalho)
Muitos negócios nos dias de hoje dependem do acesso online constante à Internet, motivo pelo qual exige-se uma confiabilidade e integridade da ferramenta responsável. Para tanto, o ISA Server 2004 ajuda a aumentar a disponibilidade de tempo para conexões de entrada e saída por meio de matrizes de firewall, movendo automática e transparentemente conexões de firewalls indisponíveis. Além de fornecer o failover (descrito no quadro 2) em tempo real para membros indisponíveis, ele permite o balanceamento de carga automático das conexões feitas por meio dos membros da matriz. O balanceamento de carga aperfeiçoa o desempenho, evitando que um único membro torne-se sobrecarregado pelo tráfego de rede.
Descrição
Vantagens
Desvantagens
Firewall único
(componentes redundantes)
Apenas um dispositivo firewall contendo componentes internos redundantes.
Exemplo: RAID, HotSwap, Fontes redundantes...
· Centralização na gerência do tráfego
· Configuração simples
· Baixo custo (sem licenciamento adicional)
· Único ponto de falha
· Dependendo da quantidade de transações pode gerar gargalo na rede, reduzindo a disponibilidade das informações.
Load Balance
(entre dois ou mais firewalls)
Utilização de dois ou mais dispositivos atuando na mesma rede, ao mesmo tempo.
Toda a carga de serviço é dividida para os firewalls online.
[ demonstrado em Fig.7 pág. 22 ]
· Maior eficiência na tolerância à falhas
· Aumento de velocidade no tráfego que passa pelo firewall
· Compartilhamento de sessões
· Custo mais alto
· Maior complexidade na configuração e análise de logs
· Em caso de falha de um nó, a quantidade de tarefas é transmitida de um firewall a outro, o que pode gerar sobrecarga.
Failover
(entre dois ou mais firewalls)
Utilização de dois ou mais dispositivos atuando na mesma rede.
O dispositivo que permanece offline recebe a atualização das regras frequentemente, mas somente passa a atuar se o firewall em atividade apresenta falha.
· Centralização na gerência do tráfego
· Configuração simples
· Carga de failover previsível
· Custo mais alto
· Ociosidade do(s) dispositivo(s) offline. Não gera uma função útil em atividade normal
Quadro 2. Comparativo de mecanismos. Disponibilidade do Firewall ISA Server
4.6 Monitorando os acessos
Tão importante quanto incluir as diretrizes de permissão/bloqueio é monitorar os procedimentos de filtragem do seu firewall. Faz-se saber que esta analise é um processo contínuo, essencial à criação de novas regras e a manutenção da ferramenta como um todo. Para tanto, o ISA Server 2004 possui um arsenal de mecanismos que facilitam a execução desta tarefa. Portanto, cabe ao administrador a função de interpretá-los, de modo com que as atenções tenham o foco no objetivo a qual foi aplicado. Dentro do leque de possibilidades criadas pelo ISA podemos destacar algumas destas ferramentas, já citadas anteriormente. (MANZANO, 2005)
A primeira delas é o Dashboard que traz um resumo geral no acompanhamento dos serviços de firewall. Sua interface apresenta diversos pontos que torna a visualização mais rápida, específica e prática. Ao administrador é comum a utilização para certificar se os procedimentos globais estão sendo executados, além de promover uma rápida visualização do trafego. A segunda ferramenta em destaque é o Reports. Responsável por gerar os relatórios de análise, esta seção permite que o produto final seja concluído conforme as necessidades do solicitante. O modelo padrão traz uma infinidade de informações de onde é citado todo tipo de trafego já interpretado. É possível também manter jobs (trabalhos) para que a geração de relatórios seja feita com determinada periodicidade e em seguida enviada diretamente no e-mail do administrador.
Por fim, a sessão Logging se apresenta exatamente como um “visualizador” de processos em tempo real. Desta forma, é possível verificar todo o tráfego que esta passando no ISA Server, bem como todos os seus dados (ip de origem, ip de destino, protocolo utilizado, regra de permissão/bloqueio, usuário, dentre outros). (IMPLEMENTING, 2004) Mais do que isso, uma análise neste sentido seria complicada em uma empresa de grande porte. Milhares de requisições ao mesmo tempo poderiam se juntar num embaralhado de informações sem especificação definida. Assim, o sistema de log acima mencionado trata ainda na possibilidade de criar pequenos filtros, onde só estarão visíveis os parâmetros desejados.
5 Implementação e configuração da ferramenta
Neste tópico será realizada uma abordagem prática referente à implantação do ISA Server 2004, com todos os procedimentos para uma configuração básica do dispositivo. As informações a seguir estão estruturadas através de um tutorial que determina os principais passos desde sua instalação e definição de parâmetros chegando à adequação final da ferramenta para aplicação em um ambiente corporativo.
Nota:Embora o Microsoft ISA Server 2004 seja um produto que exija licenciamento próprio tanto do servidor quanto de seus usuários, pode-se obter uma cópia de avaliação (120 dias) no site do fabricante.
5.1 Requisitos mínimos
Recomenda-se: Pentium III 550Mhz com 512 de memória RAM (principalmente se utilizado como cache web). Caso seja necessário implementar diretrizes de grupo a nível de Active Directory, deve-se possuir um controlador de domínio disponível na rede.
O servidor também deve possuir um mínimo de duas interfaces de rede. Uma delas ligada à rede interna e outra conectada ao roteador/modem (responsável pela conversão de sinais) para conexão com a rede externa.
5.2 Instalação
O processo de instalação do ISA Server é realizado através de um assistente que solicitará as informações necessárias para as quais foi submetido. É por meio desta que serão definidos os componentes que farão parte do sistema. Também será necessário especificar a configuração da LAT (Local Adress Table), que define os endereços IP internos da rede.
5.3 Preparação do servidor
Em primeiro lugar, é necessário que as interfaces de rede estejam configuradas com os ip’s relacionados com suas redes. Certifique-se de que essa configuração está realizada de forma correta, uma dica para efetuar os testes é realizar testes com o comando “ping”.
Deve-se agora associar o ISA ao “modelo” físico da rede à qual será aplicado. Para definir o template adequado, clique para expandir o link configuration no painel esquerdo da tela inicial do software. Depois, selecione networks.
Figura 9 – Networks, templates de rede.
Identifique a opção que melhor se encaixa à sua estrutura. As regras de rede, roteamento e NAT, serão criadas a partir das suas definições. Ao fim deste processo ocorre a escolha da regra default (padrão). É a regra base que seu firewall irá utilizar quando nenhuma das regras anteriores forem aplicadas.
Nota: Por motivos de segurança recomenda-se selecionar a opção Block All (opção que determina o bloqueio através de todo tipo de origem, destino e protocolos envolvidos).
5.4 Diretrizes (regras de acesso)
Uma diretriz pode ser especificada como um conjunto de regras que controlam o acesso dos cientes internos à rede externa e vice-versa. Essas regras podem ser criadas facilmente através da seção Firewall Policy, presente no menu à esquerda da interface do ISA Server. Nesta seção (através do painel de ações à direita, aba Toolbox) também podem ser configurados os elementos que compõe sua regra de acesso, como protocolos, conjuntos de usuários, conteúdo, schedules e objetos de rede.
Antes de ser criada qualquer regra será feita uma breve explicação sobre como customizar os componentes utilizados. A idéia é compreender a estrutura de uma diretriz com base no seu conteúdo.
Protocolos:Possivelmente surgirão ocasiões onde os protocolos pré-definidos pela Microsoft para o ISA 2004 não serão suficientes para garantir ou proibir o tráfego de dados. Neste caso, será necessário criar uma definição de protocolo para atender à essa nova demanda. Clique em Protocols no painel de ações à direita da tela. Para criar um novo protocolo, clique no botão New.
Figura 10 – Customização de Protocolos
Você verá o primeiro passo do assistente de criação de protocolo. Digite um nome para seu novo protocolo juntamente com a porta, o tipo de transmissão e a direção para a conexão primária. Caso seja necessário, informe também a utilização referente a conexões secundárias.
Usuários: Use-o em suas diretrizes para dar permissões para usuários específicos. Você pode especificar um conjunto de usuários ou grupos pertencentes a um grupo de trabalho, domínio, ou mesmo usuários RADIUS. Veja a lista de usuários pré-configurados clicando em Users no painel de ações:
Figura 11 – Usuários pré-configurados do ISA server.
Naturalmente, essas contas não são o bastante para configurar diretrizes de acesso um pouco mais específicas. Para criar um novo conjunto, clique no botão New. Em seguida clique no botão Add para adicionar uma entrada à lista, e selecione o tipo de usuário. Em "Windows users and groups" você pode adicionar usuários ou grupos da máquina local ou de um domínio a qual seu servidor pertença.
Schedules: As schedules (ou agendas) servem para determinar quando as diretrizes serão aplicadas, configurando os dias da semana e o intervalo de tempo. Para criar uma nova schedule, clique em New. A seguir, você vê uma espécie de calendário, com os dias da semana e horários. Selecione um intervalo clicando e arrastando o ponteiro do mouse e clique em Active, se você quiser que a regra associada à schedule se aplique naquele horário ou em Inactive, se a schedule não abrangerá o intervalo selecionado.
Figura 11 – Tela de criação de uma nova schedule
Objetos de Rede:Trataremos através do quadro 3 uma breve descrição dos principais objetos de rede, componentes de uma regra de acesso.
Networks
Representam redes físicas, normalmente contendo um ou mais computadores, intervalos de IP ou domínios.
Network Sets
Como o próprio nome sugere, os conjuntos de redes agrupam várias redes diferentes. Também é possível especificar que um conjunto de rede inclua todas menos uma rede determinada.
Computers
É possível criar uma definição para determinado computador nesta seção. Simplesmente clique em New -> Computer, digite um nome para seu computador e o número IP que o identifica.
Address Range
Define intervalos de endereços IP. Clique em New e aponte para Address Range. Especifique um nome e digite os IPs inicial e final do intervalo.
Subnet
Representa sub-redes, intervalos contíguos de IPs determinados por uma máscara de sub-rede. Para criar clique em New -> Subnet, informe um nome e um intervalo de IP e especifique uma máscara de sub-rede.
Computer Sets:
Agrupam vários computadores, sub-redes ou intervalos de endereços IP. Você pode criar um novo conjunto clicando em New -> Computer Set. Preencha o campo nome, clique em Add e aponte para o tipo de elemento a ser criado (Computer, Address Range ou Subnet).
URL Sets:
Conjuntos de Uniform Resource Locators (URLs) que identificam sites na web. Para criar, clique em New -> URL Set. Preencha o nome do novo item que aparecerá na lista adicionando os endereços desejados.
Quadro 3. Objetos de Rede. Descrição e criação de componentes
Criando as Diretrizes: No ISA Server existem quatro tipos de diretrizes: regras de Acesso (access rules), regras para publicação na Web (Web publishing rules), regras para publicação de servidores (Server publishing rules) e regras para publicação de correio eletrônico (Mail publishing rules). Haja vista existem inúmeras opções de configuração, será descrito aqui apenas um conjunto referente a regra de acesso.
Para que um cliente tenha uma requisição aceita pelo servidor ISA, é necessário que uma regra de acesso especificamente permita o tráfego solicitado. Desta forma, para poder utilizar o serviço de firewall, deve ser criada uma regra que permita o acesso. Isso pode ser feito no painel da direita, aba Tasks, em "Create New Access Rule".
Figura 12 – Criando um nova regra de acesso
O próximo passo do assistente lhe permite definir qual ação você quer que a nova regra possua: permitir (Allow) ou negar (Deny). A título de exemplificação escolheremos Allow. Clique em Next para prosseguir. Aparecerá um menu que lhe permite escolher a quais protocolos a regra se aplicará. Selecionando "All outbound protocols" a aplicará a qualquer protocolo. Clique em "Selected protocols", com essa opção a regra se aplicará apenas aos protocolos selecionados (inclusive aqueles que foram customizados) e selecionando "All outbound protocols except selected" fará com que o ISA aplique a regra a todos os protocolos menos os escolhidos. Adicione os protocolos à lista selecionando-os conforme desejado. Clicando no botão Ports você ainda tem a opção de limitar o intervalo de portas que os clientes poderão acessar através desses protocolos.
Esta na hora de especificar de onde irá se originar o tráfego. Selecione o objeto de rede que deseja adicionar à regra de acesso e clique em Add. É permitido adicionar mais itens repetindo o processo. Clique em Close ao terminar.
Figura 12 – Nova regra de acesso. Selecionando o local de origem do trafego.
Determine agora para que destinos a regra se aplicará. Clique no botão Add e repita o processo de adicionar um objeto de rede descrito acima. Clique em Next para prosseguir. Chegou à oportunidade de definir quais usuários da rede terão a requisição de tráfego aceita pelo servidor ISA. Adicione um novo grupo ou usuário clicando no botão Add. Aparecerá uma janela com a lista de conjuntos de usuários. Selecione o conjunto desejado e clique no botão Add, repetindo o processo para cada item. Revise suas seleções e clique em Finish para concluir.
5.5 Configurando o cache
O servidor ISA implementa regras de cache para configurar suas funções. Ele vêm com uma regra pré-configurada, que habilita cache FTP e HTTP para todas as redes. Você pode editar estas configurações clicando no botão Edit Selected Rule, no painel de ações da seção Configuration > Cache.
Para criar uma nova regra, clique em Create a Cache Rule. Você receberá um instrução pedindo um nome para a nova regra. O próximo passo lhe pedirá que especifique de quais destinos o conteúdo será colocado no cache. Especifique qualquer objeto de rede. Após clicar em Next, seguem opções para configurar como os objetos no cache serão devolvidos aos clientes. Escolha o modo de cache desejado e clique para prosseguir. Determine agora quando o conteúdo será colocado no cache. Selecione as opções desejadas, prossiga clicando em Next até aparecer a janela de configurações avançadas.
Figura 13 – Especificação para armazenamento em cache
Caso queira limitar o tamanho dos objetos a serem postos em cache, basta selecionar a caixa e impor um limite. A segunda marque caso queira que conteúdo SSL seja colocado no cache. Por motivos de segurança é melhor deixá-la desmarcada. Continue com o processo. Chega à hora de especificar o tempo de vida do conteúdo colocado no cache. Aqui se encontram ainda diversas configurações sobre o conteúdo (http\ftp), o qual deseja efetuar o cache. Clique para prosseguir e depois para finalizar.
5.6 Backup/Restore
O Microsoft ISA Server 2004 possui um mecanismo interno bastante simples para efetuação de backup e restore de configuração. (IMPLEMENTING, 2004) Para utilizá-lo selecione o seu servidor ISA no painel esquerdo da interface e depois clique no menu Action. Clique em backup. Uma janela será exibida para que o destino do arquivo seja armazenado. Escolha um local e clique em OK. Você deverá informar uma senha para posterior recuperação dos dados. Clique novamente em OK. Seu backup foi realizado com sucesso.
Para a recuperação da configuração prossiga com os mesmos passos até o menu Action. Clique em Restore e forneça a senha informado durante o processo citado anteriormente. Seu restore será executado sobrepondo os dados atuais.
6 Conclusão
Neste trabalho, foi demonstrado a ferramenta ISA Server 2004 através de uma visão objetiva, apresentando suas principais características e métodos de implantação.
Dentro do contexto técnico foram destacados conceitos relacionados à interface de administração e às diretrizes de configuração do servidor. Além das notáveis tarefas de monitoração e recursos de administração da ferramenta.As regras de cache web ajudam-no a melhorar a performance das requisições para internet, além de poupar largura de banda de sua conexão. Os modelos de rede ajudam a configurar o servidor o mais rapidamente possível, tornando menor a necessidade de demoradas configurações manuais. Os métodos de autenticação aumentam a segurança das requisições e evitam que usuários não autorizados ocupem sua conexão.
Procurou-se estabelecer ainda, paradigmas que fossem determinantes para o leitor absorver o conteúdo com maior facilidade. Portanto, o ideal é considerar que este trabalho proporciona um leque de variedades em suas aplicações, sendo possível à implementação em qualquer ambiente.
Para um melhor aproveitamento do conteúdo, sugere-se uma atenção aos objetivos que serão aplicados, além dos “caminhos” a serem seguidos.
7 REFERÊNCIAS BIBLIOGRÁFICAS
ALERTAS de Varredura de Portas do ISA Server. Microsoft - Orientações de Segurança. 13 Dez.. 2005. Disponível em:. Acesso em 23 Abr. 2006.
BATTISTI, Júlio César Fabris. Tutorial de TCP/IP – Parte 20 – NAT – Network Address Translation. 31 Ago. 2005. Disponível em: ,< http://www.linhadecodigo.com.br/artigos.asp?id_ac=795>.Acesso em: 08 Mai 2006.
CARUSO, Carlos A.A.; STEFFEN, Flávio Deny. Segurança em Informática e de Informações. São Paulo, Editora Senac-SP, 1999.
DESIGN de Firewall de Perímetro. Microsoft - Orientações de Segurança. 12 Abr. 2004. Disponível em:. Acesso em 14 Mar. 2006.
FREIRE, Alexandre. Sistemas de Firewall e Defesa de Perímetro. 10 Set. 2004. Disponível em:. Acesso em 22 Mar. 2006.
GONÇALVES, Marcus. Firewalls – Guia Completo. Rio de Janeiro, Editora Ciência Moderna, 2000.
IMPLEMENTING Microsoft Internet Security and Acceleration Server 2004. Microsoft Official Curriculum 2824A. Microsoft, 2004.
MANZANO, João Carlos. Internet Security & Acceleration Server 2004. Palestra direcionada. 2º Simpósio Latino Americano de Segurança da Informação. São Paulo, 2005.
PINHEIRO, José Maurício Santos. Redes de Perímetro. 14 dez. 2004. Disponível em: < http://www.projetoderedes.com.br/artigos/artigo_redes_de_perimetro.php> Acesso em: 02 Mai. 2006.
PROTEGENDO sua Rede. Microsoft - Orientações de Segurança. 21 Mai. 2004. Disponível em:. Acesso em 19 Abr. 2006.
Em função da necessidade de acesso rápido à informação, tornou-se essencial para empresas, instituições e indivíduos utilizarem cada vez mais o meio público da Internet para troca de informações. A rede mundial de computadores, através de suas conexões internacionais, possibilita que em pouco tempo transações sejam efetuadas reduzindo o espaço geográfico. Por outro lado, essa abertura e superexposição ao mundo exterior faz com que a Internet, veículo de difusão de informações utilizado também para promover negócios, seja usada para finalidades ilegais como espionagem industrial, roubo de informações, chantagens e outros tipos de crimes cometidos contra o patrimônio das corporações envolvidas. (FREIRE, 2006)
Devido a tal fato, existe a necessidade e preocupação das empresas em proteger informações de sua propriedade ou interesse que trafeguem dentro ou fora de sua rede corporativa. A proteção interna normalmente é baseada em definições de política de segurança que incluem procedimentos de auditoria interna, segurança de senhas, normas para utilização de Internet, correio eletrônico, antivírus em estações de trabalho, entre outros. Já a proteção em relação ao resto do mundo é mantida através da utilização de uma tecnologia específica, denominada Firewall. (FREIRE, 2006)
Para tanto, a escolha sobre a utilização de uma determinada solução firewall deve atender a uma série de requisitos. As peculiaridades de cada empresa traduzem necessidades diferentes de recursos ou modos de implementação. É nesse segmento, porém, onde o Microsoft ISA Server se destaca. Com um enorme leque de recursos e templates (modelos) customizados, torna-se uma ferramenta adaptável a diversos tipos de redes e empresas. Uma ferramenta completa, que atende desde os filtros básicos até os mais avançados, como detecção de intrusos e suporte a redes virtuais privadas. Devido a estes mesmos motivos, como objeto de pesquisa, realizou-se um estudo especifico desta solução, o qual será demonstrado como foco principal do artigo.
Devido a tal fato, existe a necessidade e preocupação das empresas em proteger informações de sua propriedade ou interesse que trafeguem dentro ou fora de sua rede corporativa. A proteção interna normalmente é baseada em definições de política de segurança que incluem procedimentos de auditoria interna, segurança de senhas, normas para utilização de Internet, correio eletrônico, antivírus em estações de trabalho, entre outros. Já a proteção em relação ao resto do mundo é mantida através da utilização de uma tecnologia específica, denominada Firewall. (FREIRE, 2006)
Para tanto, a escolha sobre a utilização de uma determinada solução firewall deve atender a uma série de requisitos. As peculiaridades de cada empresa traduzem necessidades diferentes de recursos ou modos de implementação. É nesse segmento, porém, onde o Microsoft ISA Server se destaca. Com um enorme leque de recursos e templates (modelos) customizados, torna-se uma ferramenta adaptável a diversos tipos de redes e empresas. Uma ferramenta completa, que atende desde os filtros básicos até os mais avançados, como detecção de intrusos e suporte a redes virtuais privadas. Devido a estes mesmos motivos, como objeto de pesquisa, realizou-se um estudo especifico desta solução, o qual será demonstrado como foco principal do artigo.
Definição de Firewall:
Podemos definir firewall como uma ferramenta que proporciona a proteção do segmento de rede corporativo interno ao mundo exterior, permitindo somente a passagem de protocolos e serviços autorizados de acordo com as definições da política de segurança estabelecidas (PROTEGENDO, 2004). O Firewall age como um portão de acesso, provendo segurança para os componentes dentro do perímetro protegido, controlando quem ou o que é permitido entrar neste ambiente restrito, bem como o que é permitido sair do mesmo. (CARUSO, 1999)
Entretanto, o recurso bem implementado é aquele que, através de um controle baseado em filtros de tráfego, permitirá acesso restrito a determinadas portas e executará o bloqueio de todos os demais serviços a fim de evitar acesso não autorizado de visitantes indesejáveis sem interromper as necessidades de acesso externo confiáveis.
Entretanto, o recurso bem implementado é aquele que, através de um controle baseado em filtros de tráfego, permitirá acesso restrito a determinadas portas e executará o bloqueio de todos os demais serviços a fim de evitar acesso não autorizado de visitantes indesejáveis sem interromper as necessidades de acesso externo confiáveis.
Arquitetura de Rede:
A princípio, podemos tratar a arquitetura de rede das empresas como uma simples divisão entre o que está dentro e o que esta fora dos limites estabelecidos. Assim, obtemos como resultado uma rede interna (que contem os servidores e estações de trabalho locais) e uma rede de limite, correspondente ao canal que leva ao meio público de comunicação da internet.
Embora este seja o principal desenho de rede utilizado nas empresas, sua facilidade na configuração e a praticidade oferecida, podem resumir em diversas preocupações no que diz respeito à segurança. Serviços da rede interna, localizados na mesma máquina que provê os serviços externos deixarão os dados do usuário expostos em caso de uma invasão. Podemos considerar ainda que o fato de concentrar muitos serviços em uma única máquina gera maior fragilidade a vulnerabilidades conhecidas, pois quanto mais serviços disponíveis, mais falhas podem ser exploradas e, conseqüentemente, existe um maior grau de exposição e risco de invasão (PINHEIRO, 2004). Neste caso, uma estratégia comumente utilizada é a criação de uma zona desmilitarizada (DMZ), também denominada rede de perímetro.Em suma, trata-se de colocar os servidores acessíveis externamente (Web, FTP, correio eletrônico, etc.) em uma área isolada. Em geral, como requisito primário de segurança às redes DMZ, é necessário especificar uma faixa de endereços IP diferente da rede interna ou informar diretamente os endereços das máquinas que devem ser incluídas nessa zona .
Embora este seja o principal desenho de rede utilizado nas empresas, sua facilidade na configuração e a praticidade oferecida, podem resumir em diversas preocupações no que diz respeito à segurança. Serviços da rede interna, localizados na mesma máquina que provê os serviços externos deixarão os dados do usuário expostos em caso de uma invasão. Podemos considerar ainda que o fato de concentrar muitos serviços em uma única máquina gera maior fragilidade a vulnerabilidades conhecidas, pois quanto mais serviços disponíveis, mais falhas podem ser exploradas e, conseqüentemente, existe um maior grau de exposição e risco de invasão (PINHEIRO, 2004). Neste caso, uma estratégia comumente utilizada é a criação de uma zona desmilitarizada (DMZ), também denominada rede de perímetro.Em suma, trata-se de colocar os servidores acessíveis externamente (Web, FTP, correio eletrônico, etc.) em uma área isolada. Em geral, como requisito primário de segurança às redes DMZ, é necessário especificar uma faixa de endereços IP diferente da rede interna ou informar diretamente os endereços das máquinas que devem ser incluídas nessa zona .
Todavia, este tipo de estratégia não é suportada por todos os firewalls encontrados no mercado.
Figura 1. Rede com Firewall e DMZFonte:
2.3 Ameaças (Ataques e Invasões)
A principal defesa oferecida pelo dispositivo firewall é a proteção contra ameaças externas. Estas, porém, podem assumir muitas formas e variações. Discuti-las aqui teria uma finalidade limitada, visto que a cada dia surgem outras mais. Por esse motivo, o mecanismo de defesa deve oferecer métodos para ser frequentemente atualizado e configurado.
Algumas ações, como efetuar um ping em um endereço IP de um servidor podem parecer inofensivas, mas este pode ser apenas o primeiro passo para um ataque mais sério (DESIGN, 2004). De um modo geral, todos os ataques devem ser considerados como potencialmente perigosos e, assim, devem ser tratados a primeira instancia, com um firewall qualificado.
3 A ESCOLHA DO FIREWALL
Existem diversas soluções de firewall disponíveis no mercado. A escolha de uma delas está atrelada a fatores como custo, recursos desejados, flexibilidade, escalabilidade, disponibilidade e facilidade de configuração. Além disso, é necessária ainda uma análise especial quanto à adaptação do dispositivo frente à realidade da empresa e sua política de segurança. Certos tipos de firewall servem apenas para estruturas especificas de rede, bem como servidores específicos (e com elevado grau de importância) exigem alta confiabilidade do mecanismo de defesa.
Como principal estudo para o desenvolvimento do artigo, o conteúdo a seguir descreve a ferramenta Microsoft ISA (Internet Security and Acceleration) Server 2004. Uma solução avançada de firewall e cache web que acompanha diversos outros recursos, elevando a capacidade de segurança e desempenho da rede. Mais do que isso, releva as principais características do produto, bem como seus métodos filtragem, interface e capacidades de
trabalho e configuração.
4 MIcrosoft Isa Server 2004
4 MIcrosoft Isa Server 2004
O ISA Server 2004 apresenta-se como uma solução completa. Além de prover serviços de firewall e cache web para redes corporativas, incluem vários outros itens com o intuito de proteger sua rede interna dos perigos das redes públicas. Implementando tecnologias para detecção de intrusos, filtros de conteúdo e redes privadas virtuais (tanto para interligar duas redes locais quanto para conectá-lo à sua rede de onde quer que esteja), a versão 2004 do ISA oferece altos níveis de segurança, facilidade na administração e melhorias de performance. Baseada em web, a interface é intuitiva e agradável, além de provervários assistentes para ajudar na configuração do servidor.
Após a instalação e a passagem dos parâmetros iniciais de configuração (que serão mostrados mais tarde), o sistema pode ser acessado através de um ícone localizado na área de trabalho do Windows. A figura 2 representa a tela de abertura do software.
Figura 2 - Tela de Abertura do ISA Server 2004 Como exibido anteriormente, o painel à direita contém uma lista de ações disponíveis (aba Tasks) e uma ajuda de contexto (aba Help). Este painel é mostrado em todas as áreas do software, exibindo as tarefas e tópicos de ajuda relacionados. Já o painel da esquerda, determina as configurações e o funcionamento geral do firewall. É através dele que são acessados e configurados todos os recursos do Microsoft ISA Server.
Figura 3. Painel de configuração do ISA Server 2004
4.1 Monitoring
O ISA Server possui como uma de suas principais características, uma grande variedade de ferramentas de monitoramento para auxiliar no controle de status e tráfego da rede, tornando mais fácil garantir que o produto esteja funcionando conforme esperado. Os principais recursos de monitoramento podem ser acessados através do nó Monitoring e estão descritos em abas conforme verificado na figura 4.
Figura 4 - Tela de Monitoração do ISA Server 2004.•
Dashboard.O Dashboard do ISA Server resume informações de monitoramento em sessões, alertas, serviços, relatórios, conectividade e integridade do sistema geral. O Dashboard fornece uma visualização geral sobre o funcionamento .
•
Alertas.Os alertas do ISA Server avisam quando eventos especificados ocorrem. Você pode configurar as definições de alerta para disparar uma série de ações quando ocorrer um evento. Ele é responsável por capturar eventos, verificar se determinadas condições são atendidas e tomar as respectivas medidas.
•
Sessões.Você pode exibir todas as conexões ativas. A partir de um modo de exibição é possível classificar ou desconectar sessões individuais ou em grupos. Além disso, você pode filtrar as entradas na interface para focalizar as sessões de interesse usando o recurso de filtragem de sessões internas.
•
Serviços.Serviços no monitoramento para verificar o status dos serviços do ISA Server e para interromper e iniciar o serviço do Microsoft Firewall, do Agendador de Tarefas do Microsoft ISA Server e do Microsoft Data Engine.
•
Relatórios.É possível usar os recursos de relatório para resumir e analisar os padrões de uso, bem como monitorar a segurança da rede. Esse poderoso recurso permite ainda detalhar diversos resultados em prol de se obter dados exatos sobre requisições de acesso.
•
Conectividade.Você pode usar os verificadores de conectividade para examinar as conexões de um nome de computador, endereço IP ou URL específicos. Além disso permite o teste de conectividade para servidores internos.
•
Log.É possível exibir os logs do firewall e do proxy da Web em tempo real. Você pode consultar os arquivos de log usando o recurso de consulta de log interno. Os logs do Microsoft Data Engine (MSDE) também podem ser consultados sobre informações contidas em qualquer campo registrado nos logs.
Quadro 1 - Recursos de Monitoramento
4.2 Firewall Policy
O servidor ISA é configurado a partir de diretrizes (ou policies). Entenda uma diretriz como um conjunto de regras que controlam o acesso dos clientes internos à rede externa e vice-versa.
Figura 5 - Tela de configuração das regras de filtragemNesta seção (através do painel de ações à direita) também podem ser configurados os elementos que compõe sua regra de acesso, como protocolos, conjunto de usuários (combinados ou não com um domínio Microsoft), tipos de conteúdo, schedules e objetos de rede (endereços ou redes específicos, range de IP, URL’s, etc...).
O principal destaque de filtragem da ferramenta, porém, descreve pela capacidade de inspecionar o tráfego na Internet (como HTTP, download FTP e SSL) através de seu conteúdo, gerando muito mais controle sobre o modo com que o tráfego passa pelo firewall.
Talvez por isso, o ISA Server seja o mais sofisticado firewall encontrado atualmente no mercado. Sua enorme capacidade de utilização deste recurso permite que, por exemplo, exerça a verificação de múltiplos protocolos em diversas portas, com base nas informações que estão na rede. O mecanismo garante que os pacotes circulantes sejam adequados, devido à capacidade de inspecionar os dados e comandos que estão indo e voltando. É importante destacar também a capacidade de verificar o tráfego DNS ao passo que ele circula pelo firewall para buscar comandos específicos na rede interna. Essa proteção adicional impõe que os usuários (ou invasores), não possam esconder informações em tipos de tráfego permitidos (DESIGN, 2004). Diversos ataques são baseados na camada de aplicação do modelo OSI, como exemplo, os worms nimda e codered.
4.3 Virtual Private Network (VPN)
A utilização de redes VPN tornou-se hoje um símbolo de praticidade para as empresas, principalmente no que tange aos dispositivos móveis de computação. Mais do que isso, para permitir que uma conexão virtual desta natureza seja confiável, o ISA Server além de tornar possível, emprega diversos tratamentos ao iniciar uma sessão. Consiste na checagem da máquina visitante através de scripts configuráveis, que verificam os componentes ou executam uma rápida análise no cliente, buscando, por exemplo, um software antivírus atualizado. Esse processo é denominado Quarentine e exige conhecimentos avançados de configuração para garantir comandos de scripts confiáveis.
Figura 6 - VPN – Virtual Private Network 4.4 Configuration
De um modo geral, trata das configurações globais do ISA Server, fazendo referencia com a estrutura corporativa ao qual a ferramenta é submetida. Em outras palavras, sugere os parâmetros fornecidos ao software em consideração o modelo físico e lógico da rede, quesitos de segurança local, administração dos sistemas, além da qualidade e manutenção do serviço de internet.
4.4.1 NetWorks
Com o objetivo pratico de elevar a capacidade do firewall e facilitar a resolução de problemas a interface de configuração para redes exibe uma série de modelos pré-configurados, de acordo com as principais práticas empresariais.
Mais do que isso, determina ainda as regras internas de roteamento e tratamento de pacotes que influenciarão no acesso inter-redes. Um importante recurso encontrado dentro destas regras é o Network Address Translation, ou simplesmente NAT. Refere-se à utilização de apenas um endereço público (válido na internet) para os dispositivos internos de uma rede local. Além disso, como os endereços privados não são exibidos, este mecanismo proporciona ainda a máscara dos endereços das estações e servidores internos, de modo a aumentar a segurança da rede.
Figura 7. NAT – Network Address TranslationFonte: Disponível em:
4.4.2 Cache
Tem como principal objetivo acelerar o acesso à internet. A cada solicitação de uma url, parte do conteúdo da página fica armazenada no servidor, ao passo que conexões futuras ao mesmo site possam ser exibidas com maior velocidade. O ISA Server oferece diversas capacidades ao efetuar o cache de conteúdo, incluindo tamanho geral do arquivo, tempo de armazenagem, opção de cache para SSL, dentre outros.
Este recurso foi muito bem desenvolvido em relação as versões anteriores do ISA, proporcionando um nível ainda mais elevado de gerenciamento e eficácia nas mãos do administrador.
4.4.3 Add-ins
Recurso que permite visualizar e customizar os filtros específicos de aplicação contidos no ISA Server. Embora se assemelhe às regras de acesso localizadas em “Firewall Policy”, empregam conceitos distintos, onde os filtros tratam separadamente tudo que é feito sobre a camada de aplicação.
Este é, com certeza, um dos principais atrativos do ISA Server pois, se bem controlado eleva a capacidade de defesa da ferramenta ao ponto de atingir consideráveis níveis de segurança. Como exemplo, é possível configurar um filtro add-in SMTP onde seja impossível o envio/recebimento de e-mails com conteúdo .exe (executável). (IMPLEMENTING, 2004) Note ainda que, o ISA representa uma solução firewall para controle de entrada e saída de dados com recursos que trabalham além dos tradicionais modelos de mercado, empregando serviços adicionais que facilitam o trabalho do administrador.
Figura 8. Add-ins, filtros de aplicação do ISA Server. 4.4.4 General
Define a área das configurações gerais de administração da ferramenta. Ao solicitar a exibição do nó são apresentados os seguintes grupos de tarefas:
- ISA Server Adminstration
Consiste no tratamento da administração do ISA. Delega permissão de controle da ferramenta aos usuários, emprega configurações de conexão a clientes e links externos e especifica detalhes do servidor.
- Global HTTP Policy Settings
Retoma informações sobre políticas http adicionais como preferências de compressão, revogação de certificados e “tradução de links”.
- Additional Security Policy
Implementa configurações de segurança adicionais como a utilização de um servidor RADIUS, controle de QOS, limitações de banda, modo de operação IP e controle de ataques e invasões. Estes recursos, porém, exigem elevado grau de conhecimento do administrador.
Nesta seção é possível visualizar no painel direito um grande nível de informações sobre cada aspecto abordado acima, com considerações de recomendações e práticas adequadas.
4.5 Informações Adicionais (Disponibilidade e Capacidade de trabalho)
Muitos negócios nos dias de hoje dependem do acesso online constante à Internet, motivo pelo qual exige-se uma confiabilidade e integridade da ferramenta responsável. Para tanto, o ISA Server 2004 ajuda a aumentar a disponibilidade de tempo para conexões de entrada e saída por meio de matrizes de firewall, movendo automática e transparentemente conexões de firewalls indisponíveis. Além de fornecer o failover (descrito no quadro 2) em tempo real para membros indisponíveis, ele permite o balanceamento de carga automático das conexões feitas por meio dos membros da matriz. O balanceamento de carga aperfeiçoa o desempenho, evitando que um único membro torne-se sobrecarregado pelo tráfego de rede.
Descrição
Vantagens
Desvantagens
Firewall único
(componentes redundantes)
Apenas um dispositivo firewall contendo componentes internos redundantes.
Exemplo: RAID, HotSwap, Fontes redundantes...
· Centralização na gerência do tráfego
· Configuração simples
· Baixo custo (sem licenciamento adicional)
· Único ponto de falha
· Dependendo da quantidade de transações pode gerar gargalo na rede, reduzindo a disponibilidade das informações.
Load Balance
(entre dois ou mais firewalls)
Utilização de dois ou mais dispositivos atuando na mesma rede, ao mesmo tempo.
Toda a carga de serviço é dividida para os firewalls online.
[ demonstrado em Fig.7 pág. 22 ]
· Maior eficiência na tolerância à falhas
· Aumento de velocidade no tráfego que passa pelo firewall
· Compartilhamento de sessões
· Custo mais alto
· Maior complexidade na configuração e análise de logs
· Em caso de falha de um nó, a quantidade de tarefas é transmitida de um firewall a outro, o que pode gerar sobrecarga.
Failover
(entre dois ou mais firewalls)
Utilização de dois ou mais dispositivos atuando na mesma rede.
O dispositivo que permanece offline recebe a atualização das regras frequentemente, mas somente passa a atuar se o firewall em atividade apresenta falha.
· Centralização na gerência do tráfego
· Configuração simples
· Carga de failover previsível
· Custo mais alto
· Ociosidade do(s) dispositivo(s) offline. Não gera uma função útil em atividade normal
Quadro 2. Comparativo de mecanismos. Disponibilidade do Firewall ISA Server
4.6 Monitorando os acessos
Tão importante quanto incluir as diretrizes de permissão/bloqueio é monitorar os procedimentos de filtragem do seu firewall. Faz-se saber que esta analise é um processo contínuo, essencial à criação de novas regras e a manutenção da ferramenta como um todo. Para tanto, o ISA Server 2004 possui um arsenal de mecanismos que facilitam a execução desta tarefa. Portanto, cabe ao administrador a função de interpretá-los, de modo com que as atenções tenham o foco no objetivo a qual foi aplicado. Dentro do leque de possibilidades criadas pelo ISA podemos destacar algumas destas ferramentas, já citadas anteriormente. (MANZANO, 2005)
A primeira delas é o Dashboard que traz um resumo geral no acompanhamento dos serviços de firewall. Sua interface apresenta diversos pontos que torna a visualização mais rápida, específica e prática. Ao administrador é comum a utilização para certificar se os procedimentos globais estão sendo executados, além de promover uma rápida visualização do trafego. A segunda ferramenta em destaque é o Reports. Responsável por gerar os relatórios de análise, esta seção permite que o produto final seja concluído conforme as necessidades do solicitante. O modelo padrão traz uma infinidade de informações de onde é citado todo tipo de trafego já interpretado. É possível também manter jobs (trabalhos) para que a geração de relatórios seja feita com determinada periodicidade e em seguida enviada diretamente no e-mail do administrador.
Por fim, a sessão Logging se apresenta exatamente como um “visualizador” de processos em tempo real. Desta forma, é possível verificar todo o tráfego que esta passando no ISA Server, bem como todos os seus dados (ip de origem, ip de destino, protocolo utilizado, regra de permissão/bloqueio, usuário, dentre outros). (IMPLEMENTING, 2004) Mais do que isso, uma análise neste sentido seria complicada em uma empresa de grande porte. Milhares de requisições ao mesmo tempo poderiam se juntar num embaralhado de informações sem especificação definida. Assim, o sistema de log acima mencionado trata ainda na possibilidade de criar pequenos filtros, onde só estarão visíveis os parâmetros desejados.
5 Implementação e configuração da ferramenta
Neste tópico será realizada uma abordagem prática referente à implantação do ISA Server 2004, com todos os procedimentos para uma configuração básica do dispositivo. As informações a seguir estão estruturadas através de um tutorial que determina os principais passos desde sua instalação e definição de parâmetros chegando à adequação final da ferramenta para aplicação em um ambiente corporativo.
Nota:Embora o Microsoft ISA Server 2004 seja um produto que exija licenciamento próprio tanto do servidor quanto de seus usuários, pode-se obter uma cópia de avaliação (120 dias) no site do fabricante.
5.1 Requisitos mínimos
Recomenda-se: Pentium III 550Mhz com 512 de memória RAM (principalmente se utilizado como cache web). Caso seja necessário implementar diretrizes de grupo a nível de Active Directory, deve-se possuir um controlador de domínio disponível na rede.
O servidor também deve possuir um mínimo de duas interfaces de rede. Uma delas ligada à rede interna e outra conectada ao roteador/modem (responsável pela conversão de sinais) para conexão com a rede externa.
5.2 Instalação
O processo de instalação do ISA Server é realizado através de um assistente que solicitará as informações necessárias para as quais foi submetido. É por meio desta que serão definidos os componentes que farão parte do sistema. Também será necessário especificar a configuração da LAT (Local Adress Table), que define os endereços IP internos da rede.
5.3 Preparação do servidor
Em primeiro lugar, é necessário que as interfaces de rede estejam configuradas com os ip’s relacionados com suas redes. Certifique-se de que essa configuração está realizada de forma correta, uma dica para efetuar os testes é realizar testes com o comando “ping”.
Deve-se agora associar o ISA ao “modelo” físico da rede à qual será aplicado. Para definir o template adequado, clique para expandir o link configuration no painel esquerdo da tela inicial do software. Depois, selecione networks.
Figura 9 – Networks, templates de rede.Identifique a opção que melhor se encaixa à sua estrutura. As regras de rede, roteamento e NAT, serão criadas a partir das suas definições. Ao fim deste processo ocorre a escolha da regra default (padrão). É a regra base que seu firewall irá utilizar quando nenhuma das regras anteriores forem aplicadas.
Nota: Por motivos de segurança recomenda-se selecionar a opção Block All (opção que determina o bloqueio através de todo tipo de origem, destino e protocolos envolvidos).
5.4 Diretrizes (regras de acesso)
Uma diretriz pode ser especificada como um conjunto de regras que controlam o acesso dos cientes internos à rede externa e vice-versa. Essas regras podem ser criadas facilmente através da seção Firewall Policy, presente no menu à esquerda da interface do ISA Server. Nesta seção (através do painel de ações à direita, aba Toolbox) também podem ser configurados os elementos que compõe sua regra de acesso, como protocolos, conjuntos de usuários, conteúdo, schedules e objetos de rede.
Antes de ser criada qualquer regra será feita uma breve explicação sobre como customizar os componentes utilizados. A idéia é compreender a estrutura de uma diretriz com base no seu conteúdo.
Protocolos:Possivelmente surgirão ocasiões onde os protocolos pré-definidos pela Microsoft para o ISA 2004 não serão suficientes para garantir ou proibir o tráfego de dados. Neste caso, será necessário criar uma definição de protocolo para atender à essa nova demanda. Clique em Protocols no painel de ações à direita da tela. Para criar um novo protocolo, clique no botão New.
Figura 10 – Customização de ProtocolosVocê verá o primeiro passo do assistente de criação de protocolo. Digite um nome para seu novo protocolo juntamente com a porta, o tipo de transmissão e a direção para a conexão primária. Caso seja necessário, informe também a utilização referente a conexões secundárias.
Usuários: Use-o em suas diretrizes para dar permissões para usuários específicos. Você pode especificar um conjunto de usuários ou grupos pertencentes a um grupo de trabalho, domínio, ou mesmo usuários RADIUS. Veja a lista de usuários pré-configurados clicando em Users no painel de ações:
Figura 11 – Usuários pré-configurados do ISA server.Naturalmente, essas contas não são o bastante para configurar diretrizes de acesso um pouco mais específicas. Para criar um novo conjunto, clique no botão New. Em seguida clique no botão Add para adicionar uma entrada à lista, e selecione o tipo de usuário. Em "Windows users and groups" você pode adicionar usuários ou grupos da máquina local ou de um domínio a qual seu servidor pertença.
Schedules: As schedules (ou agendas) servem para determinar quando as diretrizes serão aplicadas, configurando os dias da semana e o intervalo de tempo. Para criar uma nova schedule, clique em New. A seguir, você vê uma espécie de calendário, com os dias da semana e horários. Selecione um intervalo clicando e arrastando o ponteiro do mouse e clique em Active, se você quiser que a regra associada à schedule se aplique naquele horário ou em Inactive, se a schedule não abrangerá o intervalo selecionado.
Figura 11 – Tela de criação de uma nova scheduleObjetos de Rede:Trataremos através do quadro 3 uma breve descrição dos principais objetos de rede, componentes de uma regra de acesso.
Networks
Representam redes físicas, normalmente contendo um ou mais computadores, intervalos de IP ou domínios.
Network Sets
Como o próprio nome sugere, os conjuntos de redes agrupam várias redes diferentes. Também é possível especificar que um conjunto de rede inclua todas menos uma rede determinada.
Computers
É possível criar uma definição para determinado computador nesta seção. Simplesmente clique em New -> Computer, digite um nome para seu computador e o número IP que o identifica.
Address Range
Define intervalos de endereços IP. Clique em New e aponte para Address Range. Especifique um nome e digite os IPs inicial e final do intervalo.
Subnet
Representa sub-redes, intervalos contíguos de IPs determinados por uma máscara de sub-rede. Para criar clique em New -> Subnet, informe um nome e um intervalo de IP e especifique uma máscara de sub-rede.
Computer Sets:
Agrupam vários computadores, sub-redes ou intervalos de endereços IP. Você pode criar um novo conjunto clicando em New -> Computer Set. Preencha o campo nome, clique em Add e aponte para o tipo de elemento a ser criado (Computer, Address Range ou Subnet).
URL Sets:
Conjuntos de Uniform Resource Locators (URLs) que identificam sites na web. Para criar, clique em New -> URL Set. Preencha o nome do novo item que aparecerá na lista adicionando os endereços desejados.
Quadro 3. Objetos de Rede. Descrição e criação de componentes
Criando as Diretrizes: No ISA Server existem quatro tipos de diretrizes: regras de Acesso (access rules), regras para publicação na Web (Web publishing rules), regras para publicação de servidores (Server publishing rules) e regras para publicação de correio eletrônico (Mail publishing rules). Haja vista existem inúmeras opções de configuração, será descrito aqui apenas um conjunto referente a regra de acesso.
Para que um cliente tenha uma requisição aceita pelo servidor ISA, é necessário que uma regra de acesso especificamente permita o tráfego solicitado. Desta forma, para poder utilizar o serviço de firewall, deve ser criada uma regra que permita o acesso. Isso pode ser feito no painel da direita, aba Tasks, em "Create New Access Rule".
Figura 12 – Criando um nova regra de acessoO próximo passo do assistente lhe permite definir qual ação você quer que a nova regra possua: permitir (Allow) ou negar (Deny). A título de exemplificação escolheremos Allow. Clique em Next para prosseguir. Aparecerá um menu que lhe permite escolher a quais protocolos a regra se aplicará. Selecionando "All outbound protocols" a aplicará a qualquer protocolo. Clique em "Selected protocols", com essa opção a regra se aplicará apenas aos protocolos selecionados (inclusive aqueles que foram customizados) e selecionando "All outbound protocols except selected" fará com que o ISA aplique a regra a todos os protocolos menos os escolhidos. Adicione os protocolos à lista selecionando-os conforme desejado. Clicando no botão Ports você ainda tem a opção de limitar o intervalo de portas que os clientes poderão acessar através desses protocolos.
Esta na hora de especificar de onde irá se originar o tráfego. Selecione o objeto de rede que deseja adicionar à regra de acesso e clique em Add. É permitido adicionar mais itens repetindo o processo. Clique em Close ao terminar.
Figura 12 – Nova regra de acesso. Selecionando o local de origem do trafego.Determine agora para que destinos a regra se aplicará. Clique no botão Add e repita o processo de adicionar um objeto de rede descrito acima. Clique em Next para prosseguir. Chegou à oportunidade de definir quais usuários da rede terão a requisição de tráfego aceita pelo servidor ISA. Adicione um novo grupo ou usuário clicando no botão Add. Aparecerá uma janela com a lista de conjuntos de usuários. Selecione o conjunto desejado e clique no botão Add, repetindo o processo para cada item. Revise suas seleções e clique em Finish para concluir.
5.5 Configurando o cache
O servidor ISA implementa regras de cache para configurar suas funções. Ele vêm com uma regra pré-configurada, que habilita cache FTP e HTTP para todas as redes. Você pode editar estas configurações clicando no botão Edit Selected Rule, no painel de ações da seção Configuration > Cache.
Para criar uma nova regra, clique em Create a Cache Rule. Você receberá um instrução pedindo um nome para a nova regra. O próximo passo lhe pedirá que especifique de quais destinos o conteúdo será colocado no cache. Especifique qualquer objeto de rede. Após clicar em Next, seguem opções para configurar como os objetos no cache serão devolvidos aos clientes. Escolha o modo de cache desejado e clique para prosseguir. Determine agora quando o conteúdo será colocado no cache. Selecione as opções desejadas, prossiga clicando em Next até aparecer a janela de configurações avançadas.
Figura 13 – Especificação para armazenamento em cache
Caso queira limitar o tamanho dos objetos a serem postos em cache, basta selecionar a caixa e impor um limite. A segunda marque caso queira que conteúdo SSL seja colocado no cache. Por motivos de segurança é melhor deixá-la desmarcada. Continue com o processo. Chega à hora de especificar o tempo de vida do conteúdo colocado no cache. Aqui se encontram ainda diversas configurações sobre o conteúdo (http\ftp), o qual deseja efetuar o cache. Clique para prosseguir e depois para finalizar.
5.6 Backup/Restore
O Microsoft ISA Server 2004 possui um mecanismo interno bastante simples para efetuação de backup e restore de configuração. (IMPLEMENTING, 2004) Para utilizá-lo selecione o seu servidor ISA no painel esquerdo da interface e depois clique no menu Action. Clique em backup. Uma janela será exibida para que o destino do arquivo seja armazenado. Escolha um local e clique em OK. Você deverá informar uma senha para posterior recuperação dos dados. Clique novamente em OK. Seu backup foi realizado com sucesso.
Para a recuperação da configuração prossiga com os mesmos passos até o menu Action. Clique em Restore e forneça a senha informado durante o processo citado anteriormente. Seu restore será executado sobrepondo os dados atuais.
6 Conclusão
Neste trabalho, foi demonstrado a ferramenta ISA Server 2004 através de uma visão objetiva, apresentando suas principais características e métodos de implantação.
Dentro do contexto técnico foram destacados conceitos relacionados à interface de administração e às diretrizes de configuração do servidor. Além das notáveis tarefas de monitoração e recursos de administração da ferramenta.As regras de cache web ajudam-no a melhorar a performance das requisições para internet, além de poupar largura de banda de sua conexão. Os modelos de rede ajudam a configurar o servidor o mais rapidamente possível, tornando menor a necessidade de demoradas configurações manuais. Os métodos de autenticação aumentam a segurança das requisições e evitam que usuários não autorizados ocupem sua conexão.
Procurou-se estabelecer ainda, paradigmas que fossem determinantes para o leitor absorver o conteúdo com maior facilidade. Portanto, o ideal é considerar que este trabalho proporciona um leque de variedades em suas aplicações, sendo possível à implementação em qualquer ambiente.
Para um melhor aproveitamento do conteúdo, sugere-se uma atenção aos objetivos que serão aplicados, além dos “caminhos” a serem seguidos.
7 REFERÊNCIAS BIBLIOGRÁFICAS
ALERTAS de Varredura de Portas do ISA Server. Microsoft - Orientações de Segurança. 13 Dez.. 2005. Disponível em:
BATTISTI, Júlio César Fabris. Tutorial de TCP/IP – Parte 20 – NAT – Network Address Translation. 31 Ago. 2005. Disponível em: ,<
CARUSO, Carlos A.A.; STEFFEN, Flávio Deny. Segurança em Informática e de Informações. São Paulo, Editora Senac-SP, 1999.
DESIGN de Firewall de Perímetro. Microsoft - Orientações de Segurança. 12 Abr. 2004. Disponível em:
FREIRE, Alexandre. Sistemas de Firewall e Defesa de Perímetro. 10 Set. 2004. Disponível em:
GONÇALVES, Marcus. Firewalls – Guia Completo. Rio de Janeiro, Editora Ciência Moderna, 2000.
IMPLEMENTING Microsoft Internet Security and Acceleration Server 2004. Microsoft Official Curriculum 2824A. Microsoft, 2004.
MANZANO, João Carlos. Internet Security & Acceleration Server 2004. Palestra direcionada. 2º Simpósio Latino Americano de Segurança da Informação. São Paulo, 2005.
PINHEIRO, José Maurício Santos. Redes de Perímetro. 14 dez. 2004. Disponível em: <
PROTEGENDO sua Rede. Microsoft - Orientações de Segurança. 21 Mai. 2004. Disponível em:
Maquinas Virtuais
Olá pessoal, vamos conhecer um pouco sobre o Virtual PC hoje. O Virtual PC é um software lançado pela Microsoft em 2 de dezembro de 2003, ele é um software que permite você rodar diversos sistemas operacionais simultaneamente em seu computador.
Por exemplo, você tem um Windows XP, e quer realizar testes com um servidor Windows 2003 e um servidor SQL, e não quer formatar seu computador e reinstalar, para isto você precisa de um software que crie máquinas virtuais.
A Microsoft possui dois produtos de virtualização hoje no mercado, que são o Virtual PC para sistema operacional cliente (Windows XP), e o Virtual Server 2005, que é um software mais robusto, sua instalação pode ser realizada apenas em sistemas operacionais servidor como (Windows 2000 Server e Windows 2003), o pré requisito para instalação do Virtual Server 2005 é possuir um sistema operacional Server 2000 ou 2003 com o IIS instalado.
A figura abaixo mostra um exemplo, em um WindowsXP, rodando um Windows 2003.
Por exemplo, você tem um Windows XP, e quer realizar testes com um servidor Windows 2003 e um servidor SQL, e não quer formatar seu computador e reinstalar, para isto você precisa de um software que crie máquinas virtuais.
A Microsoft possui dois produtos de virtualização hoje no mercado, que são o Virtual PC para sistema operacional cliente (Windows XP), e o Virtual Server 2005, que é um software mais robusto, sua instalação pode ser realizada apenas em sistemas operacionais servidor como (Windows 2000 Server e Windows 2003), o pré requisito para instalação do Virtual Server 2005 é possuir um sistema operacional Server 2000 ou 2003 com o IIS instalado.
A figura abaixo mostra um exemplo, em um WindowsXP, rodando um Windows 2003.
É possível rodar diversos “computadores” dentro do seu, tudo depende do hardware que você possui. Por exemplo, você quer criar dois computadores com 256M cada. Você precisa ter no mínimo mais de 512M, pois o Virtual PC e o Virtual Server irão verificar a quantidade de memória livre antes de inicializar o sistema operacional “Guest”.
Para realizar o download da versão gratuita do Virtual PC 2004,faça em:com o produto entre em: http://www.microsoft.com/downloads/thankyou.aspx?familyId=6d58729d-dfa8-40bf-afaf-20bcb7f01cd1&displayLang=en
Para informações sobre o Virtual Server 2005 (para linha servidores), acesse:
http://www.microsoft.com/virtualserver
Configurando Roteamento de Internet com RRAS
Hoje estaremos abordando um assunto muito útil sobre o Windows Server 2003, onde iremos fazer um compartilhamento de internet através do próprio Windows Server. A principal vantagem é você não precisar usar um roteador, mas sim o próprio sistema operacional para fazer o roteamento da rede.
O que você vai precisar é somente um micro computador com o Windows Server 2003 instalado com duas placas de rede.
Primeiro, identifique as placas de rede locais como interna e externa para fácil compreensão.
O que você vai precisar é somente um micro computador com o Windows Server 2003 instalado com duas placas de rede.
Primeiro, identifique as placas de rede locais como interna e externa para fácil compreensão.
IP 192.168.0.1
Máscara 255.255.255.0
Gateway padrão (deixe vazio)
DNS primário (se este micro for um cliente, não se esqueça de apontar o IP para o AD)
DNS secundário (use o do seu provedor de internet)
Pronto! Agora é hora de partir para o RRAS; digite no executar: “rrasmgmt.msc“
Será lhe apresentado esta tela:
Veja que o assistente vai lhe pedir para escolher qual das placas de rede está conectada à internet. Se você tiver feito tudo correto, escolha a placa de rede externa (obs: note que embaixo há uma opção ativada como padrão; esta opção diz que vai ativar o firewall na placa de rede que você escolher).Pronto! Clique em concluir e o assistente automaticamente vai ativar o serviço de roteamento.
Veja que o computador que estava vermelho agora está verde; isto mostra que o servidor já está operando corretamente.
Depois nas estações é só configurar o gatware apontando para o IP do Roteador que será o que foi configurado.
quarta-feira, 3 de outubro de 2007
Alterando o Windows XP com o gpedit
Introdução
Computadores com mais de um usuário quase sempre necessitam de restrições que impeçam a alteração de configurações ou o acesso a determinados recursos do sistema operacional. Uma ferramenta bastante precisa para isso é o gpedit.msc, disponível nas versões mais recentes do Windows. Este tutorial explicará como utilizá-lo no Windows XP e mostrará, para efeitos de exemplo, algumas restrições no menu Iniciar, na Área de Trabalho (Desktop), no Painel de Controle e em outros recursos.
Antes de começar
A ferramenta gpedit.msc deve ser usada com prudência, pois por ela é possível até impedir o funcionamento do Windows. Não ative determinados recursos se não estiver certo do que está fazendo. Cada alteração possível tem uma explicação na janela correspondente. Consulte-a no caso de dúvidas ou peça auxílio a alguém mais experiente.
As instruções disponibilizadas aqui foram testadas pelo InfoWester em mais de um computador. No entanto, pela natureza complexa dos computadores, este site não pode garantir que todos os procedimentos vão funcionar com perfeição em seu computador ou que não causarão danos. Assim, ao usar este tutorial, você deve concordar que o InfoWester não é responsável por qualquer problema ou alteração indesejada que possa acontecer em sua máquina.
Quando usar o gpedit.msc
O gpedit.msc é um recurso disponível a usuários com privilégios de administrador e serve para bloquear ou alterar uma série de recursos do Windows (não está disponível para a versão Home do Windows XP). Sua utilização é indicada em computadores com mais de um usuário, onde é necessário efetuar certas restrições para garantir o funcionamento dos recursos essenciais às funções da máquina. No entanto, é importante frisar que todos os usuários, inclusive o administrador, serão atingidos pelas restrições. Quando o administrador necessitar de algum recurso bloqueado, pode-se desativar temporariamente o gpedit.msc. Isso será explicado mais adiante.
Em lugares onde há redes de computadores, o administrador de sistemas geralmente faz com que tais máquinas efetuem login em um domínio (uma espécie de grupo de computadores gerenciado por servidores) e carreguem as restrições existentes de um servidor. A vantagem disso é que o administrador pode ter mais controle das atividades de cada máquina e precisa fazer as configurações apenas no servidor. Quando alguma alteração for efetuada, todos os computadores da rede a receberão.
No entanto, há situações onde, por algum motivo, não é possível fazer os computadores efetuarem login em um domínio. Neste caso, faz-se necessário a criação de restrições em cada máquina. É neste ponto que o gpedit.msc pode ser usado.
Outra situação: muitos usuários podem necessitar bloquear ou alterar um ou outro recurso de seu computador pessoal. O gpedit.msc é uma opção excelente para esse caso.
Começando a usar o gpedit.msc
A maneira mais fácil de acessar o gpedit.msc é indo em Iniciar / Executar e digitando gpedit.msc. Esse comando também pode ser digitado no Prompt de comando.
Digitado o comando, surgirá uma janela de nome "Diretivas de Grupo". Esta possui duas divisões. A da esquerda contém as opções, cujo conteúdo é exibido à direita quando expandido.
Como mostra a imagem anterior, geralmente aparece uma opção à esquerda de nome Diretiva Computador Local com dois sub-itens expansíveis: Configuração do computador e Configuração do usuário. Neste tutorial, nos basearemos neste último por suas opções serem mais interessantes.
Clicando no sinal de positivo (+) no início de Configuração do usuário, três sub-itens expansíveis aparecem:
- Configurações de software: geralmente esta opção permite a configuração de softwares fornecidos por terceiros. É pouco usada;
- Configurações do Windows: permite a ativação de scripts a serem executados na inicialização do computador; permite alterar as configurações de segurança; permite alterações no Internet Explorer;
- Modelos administrativos: este é o item com mais recursos e que será usado neste tutorial. Ele permite realizar uma série de configurações que são guardadas em arquivos de extensão .adm. Estes, por sua vez, baseiam suas configurações diretamente no Registro do Windows.
Configuração do usuário / Modelos administrativos
Ao clicar no sinal de positivo no início de Modelos Administrativos, uma seqüência de sub-itens aparece, sendo os mais comuns:
- Menu 'Iniciar' e barra de tarefas;- Área de trabalho;- Painel de Controle;- Pastas compartilhadas;- Rede;- Sistema;- Componentes do Windows.
O nome de cada item acima deixa claro onde é possível fazer alterações. Basta selecionar qualquer das opções e seu conteúdo aparecerá no lado direito da janela. A figura abaixo mostra os itens que aparecem quando Menu 'Iniciar' e barra de tarefas é selecionado:
É possível notar que clicando em cada item, uma série de configurações podem ser feitas. O processo de alteração é muito simples e é igual para a maioria dos itens. Mesmo os que diferem não apresentam grau elevado de dificuldade.
Como exemplo, imaginemos que você queira impedir o acesso à ferramenta regedit.exe, que permite acesso ao Registro do Windows. Para impedir seu funcionamento é necessário saber onde está sua localização. Veja bem, o regedit não faz parte do Menu Iniciar, portanto não estará em Menu 'Iniciar' e barra de tarefas. De igual forma, o regedit não faz parte do Painel de Controle, muito menos da opção Rede. Isso deixa claro que ele pode estar em duas opções: Sistema ou Componentes do Windows.
Como mostra a figura abaixo, ele está em Sistema, no item Impedir acesso a ferramentas de edição do Registro, na parte da direita. Para alterá-lo, basta dar dois cliques com o botão esquerdo do mouse sobre o item. Na janela que surgir, basta clicar na guia Configuração e escolher uma das três opções e clicar em OK: Não configurado, Ativado, Desativado.
O padrão é Não configurado que indica que aquele item carrega a opção padrão do Windows, que no nosso exemplo, é permitir o acesso ao regedit. Se clicar em Ativado, o recurso Impedir acesso a ferramentas de edição do Registro passará a funcionar e, portanto, o acesso ao Registro do Windows será impedido. Como é isso que queremos, basta selecionar essa opção e clicar em OK. Depois Vá em Iniciar / Executar e digite regedit. Note que o Windows exibirá uma mensagem de erro e impedirá o acesso à ferramenta:
Se escolher Desativado, a opção em questão será uma configuração desativada no Windows, ou seja, não será possível aplicá-la no sistema.
Note que na mesma janela existe uma guia de nome Explicar. Ela é importante porque contém um pequeno texto que indica o que a opção escolhida oferece.
É possível reparar que quase todas as configurações disponíveis podem ser alteradas nesse esquema de "Não configurado, Ativado e Desativado". No entanto, dependendo do recurso, há algo mais a ser feito.
Por exemplo, é possível impedir o Windows de executar determinados aplicativos. Imagine que você queira impedir a execução do arquivo infowester.exe, presente em C:\Windows\. Para isso, o caminho é o seguinte no gpedit.msc: Configuração do usuário / Modelos administrativos / Sistema e, à direita, Não executar aplicativos do Windows especificados. Na janela que surgir deve-se clicar em Ativado e depois no botão Mostrar / Adicionar... e informar o caminho do arquivo: C:\Windows\infowester.exe. Por fim, deve-se clicar em OK até fechar todas as opções.
Alguns exemplos
Neste tópico faremos algumas configurações para mostrar a capacidade do gpedit.msc:
Exemplo 1: impedindo a alteração do papel de parede
O papel de parede está localizado na Área de Trabalho, logo é esta opção que devemos procurar no gpedit.msc, certo? Na teoria, sim. No entanto, a Microsoft preferiu colocar esse item no seguinte caminho: Modelos administrativos / Painel de controle / Exibição. Na área da direita, basta ativar o item Impedir alteração do papel de parede. É importante frisar que, mesmo com esse recurso ativado, é possível que alguns programas consigam alterar o papel de parede. É o caso do Microsoft Office Picture Manager, que acompanha o pacote Office 2003.
Exemplo 2: removendo o botão Desligar do menu Iniciar
Esta configuração é mais simples, pois basta ir em Modelos Administrativos / Menu 'Iniciar' e barra de ferramentas e na área à direita ativar a opção Remover e impedir o acesso ao comando 'Desligar'.
Exemplo 3: impedindo a execução do Windows Messenger
Para essa configuração, deve-se ir em Modelos administrativos / Componentes do Windows / Windows Messenger. À direita, deve-se ativar Não permitir a execução do Windows Messenger. Importante: essa configuração não impede o funcionamento do MSN Messenger.
Exemplo 4: ocultando a unidade C:
Essa é uma configuração mais trabalhosa, mas não é complicada: deve-se ir em Modelos administrativos / Componentes do Windows / Windows Explorer. À direita, deve-se escolher Ocultar estas unidades especificadas em 'Meu computador'. Assim que a opção Ativado for escolhida nesse item, um menu aparecerá perguntando quais unidades você quer ocultar. É possível fazer várias combinações. Em nosso caso, vamos escolher Restringir apenas a unidade C. Importante: esse recurso funciona para até 4 partições. Se tiver mais, as outras não aparecerão e não poderão ser ocultadas.
Exemplo 5: Impedindo o acesso ao recurso Adicionar / Remover programas
Esse é um recurso acessível pelo Painel de Controle, logo, deve-se seguir o seguinte caminho no gpedit.msc: Modelos administrativos / Painel de controle / Adicionar ou remover programas. Na área da direita, deve ativar a opção Remover programas de 'Adicionar / Remover programas'.
Desativando o gpedit.msc temporariamente
Como já dito, as restrições do gpedit.msc atingem todos os usuários do computador, inclusive aqueles com privilégios de administrador. Usuários dessa categoria poderão desativar o gpedit.msc temporariamente, caso necessitem de algum recurso bloqueado.
Para isso, na janela do gpedit.msc, clique em Diretiva Computador Local com o botão direito do mouse, selecione Propriedades e marque as seguintes caixas: Desativar configurações do computador e Desativar configurações do usuário. Clique em Ok e aguarde alguns instantes para o gpedit.msc liberar suas restrições (em alguns casos, pode ser necessário reiniciar o computador ou efetuar logoff). Desmarque as caixas em questão para reativar o gpedit.msc.
Finalizando
O gpedit.msc é uma ferramenta que permite fazer uma quantidade grande de configurações. São tantas que este tutorial seria cansativo se cada uma delas fosse mencionada. No entanto, o texto deixou claro que o segredo é identificar onde a configuração desejada será feita e procurá-la na área correspondente do gpedit.msc. Por exemplo, se você deseja alterar alguma característica do menu Iniciar, sabe que é muito provável que tal configuração esteja em Modelos administrativos / Menu 'Iniciar' e barra de tarefas. Em contradição, o exemplo 1 do tópico anterior mostra que nem sempre é assim. Determinados itens podem não estar no lugar que nos parece óbvio, por isso, é necessário procurar e testar. Com a prática, logo você conhecerá todas as possibilidades do gpedit.msc, inclusive as dos itens não explorados nesse tutorial (Configuração do computador).
Computadores com mais de um usuário quase sempre necessitam de restrições que impeçam a alteração de configurações ou o acesso a determinados recursos do sistema operacional. Uma ferramenta bastante precisa para isso é o gpedit.msc, disponível nas versões mais recentes do Windows. Este tutorial explicará como utilizá-lo no Windows XP e mostrará, para efeitos de exemplo, algumas restrições no menu Iniciar, na Área de Trabalho (Desktop), no Painel de Controle e em outros recursos.
Antes de começar
A ferramenta gpedit.msc deve ser usada com prudência, pois por ela é possível até impedir o funcionamento do Windows. Não ative determinados recursos se não estiver certo do que está fazendo. Cada alteração possível tem uma explicação na janela correspondente. Consulte-a no caso de dúvidas ou peça auxílio a alguém mais experiente.
As instruções disponibilizadas aqui foram testadas pelo InfoWester em mais de um computador. No entanto, pela natureza complexa dos computadores, este site não pode garantir que todos os procedimentos vão funcionar com perfeição em seu computador ou que não causarão danos. Assim, ao usar este tutorial, você deve concordar que o InfoWester não é responsável por qualquer problema ou alteração indesejada que possa acontecer em sua máquina.
Quando usar o gpedit.msc
O gpedit.msc é um recurso disponível a usuários com privilégios de administrador e serve para bloquear ou alterar uma série de recursos do Windows (não está disponível para a versão Home do Windows XP). Sua utilização é indicada em computadores com mais de um usuário, onde é necessário efetuar certas restrições para garantir o funcionamento dos recursos essenciais às funções da máquina. No entanto, é importante frisar que todos os usuários, inclusive o administrador, serão atingidos pelas restrições. Quando o administrador necessitar de algum recurso bloqueado, pode-se desativar temporariamente o gpedit.msc. Isso será explicado mais adiante.
Em lugares onde há redes de computadores, o administrador de sistemas geralmente faz com que tais máquinas efetuem login em um domínio (uma espécie de grupo de computadores gerenciado por servidores) e carreguem as restrições existentes de um servidor. A vantagem disso é que o administrador pode ter mais controle das atividades de cada máquina e precisa fazer as configurações apenas no servidor. Quando alguma alteração for efetuada, todos os computadores da rede a receberão.
No entanto, há situações onde, por algum motivo, não é possível fazer os computadores efetuarem login em um domínio. Neste caso, faz-se necessário a criação de restrições em cada máquina. É neste ponto que o gpedit.msc pode ser usado.
Outra situação: muitos usuários podem necessitar bloquear ou alterar um ou outro recurso de seu computador pessoal. O gpedit.msc é uma opção excelente para esse caso.
Começando a usar o gpedit.msc
A maneira mais fácil de acessar o gpedit.msc é indo em Iniciar / Executar e digitando gpedit.msc. Esse comando também pode ser digitado no Prompt de comando.
Digitado o comando, surgirá uma janela de nome "Diretivas de Grupo". Esta possui duas divisões. A da esquerda contém as opções, cujo conteúdo é exibido à direita quando expandido.
Como mostra a imagem anterior, geralmente aparece uma opção à esquerda de nome Diretiva Computador Local com dois sub-itens expansíveis: Configuração do computador e Configuração do usuário. Neste tutorial, nos basearemos neste último por suas opções serem mais interessantes.
Clicando no sinal de positivo (+) no início de Configuração do usuário, três sub-itens expansíveis aparecem:
- Configurações de software: geralmente esta opção permite a configuração de softwares fornecidos por terceiros. É pouco usada;
- Configurações do Windows: permite a ativação de scripts a serem executados na inicialização do computador; permite alterar as configurações de segurança; permite alterações no Internet Explorer;
- Modelos administrativos: este é o item com mais recursos e que será usado neste tutorial. Ele permite realizar uma série de configurações que são guardadas em arquivos de extensão .adm. Estes, por sua vez, baseiam suas configurações diretamente no Registro do Windows.
Configuração do usuário / Modelos administrativos
Ao clicar no sinal de positivo no início de Modelos Administrativos, uma seqüência de sub-itens aparece, sendo os mais comuns:
- Menu 'Iniciar' e barra de tarefas;- Área de trabalho;- Painel de Controle;- Pastas compartilhadas;- Rede;- Sistema;- Componentes do Windows.
O nome de cada item acima deixa claro onde é possível fazer alterações. Basta selecionar qualquer das opções e seu conteúdo aparecerá no lado direito da janela. A figura abaixo mostra os itens que aparecem quando Menu 'Iniciar' e barra de tarefas é selecionado:
É possível notar que clicando em cada item, uma série de configurações podem ser feitas. O processo de alteração é muito simples e é igual para a maioria dos itens. Mesmo os que diferem não apresentam grau elevado de dificuldade.
Como exemplo, imaginemos que você queira impedir o acesso à ferramenta regedit.exe, que permite acesso ao Registro do Windows. Para impedir seu funcionamento é necessário saber onde está sua localização. Veja bem, o regedit não faz parte do Menu Iniciar, portanto não estará em Menu 'Iniciar' e barra de tarefas. De igual forma, o regedit não faz parte do Painel de Controle, muito menos da opção Rede. Isso deixa claro que ele pode estar em duas opções: Sistema ou Componentes do Windows.
Como mostra a figura abaixo, ele está em Sistema, no item Impedir acesso a ferramentas de edição do Registro, na parte da direita. Para alterá-lo, basta dar dois cliques com o botão esquerdo do mouse sobre o item. Na janela que surgir, basta clicar na guia Configuração e escolher uma das três opções e clicar em OK: Não configurado, Ativado, Desativado.
O padrão é Não configurado que indica que aquele item carrega a opção padrão do Windows, que no nosso exemplo, é permitir o acesso ao regedit. Se clicar em Ativado, o recurso Impedir acesso a ferramentas de edição do Registro passará a funcionar e, portanto, o acesso ao Registro do Windows será impedido. Como é isso que queremos, basta selecionar essa opção e clicar em OK. Depois Vá em Iniciar / Executar e digite regedit. Note que o Windows exibirá uma mensagem de erro e impedirá o acesso à ferramenta:Se escolher Desativado, a opção em questão será uma configuração desativada no Windows, ou seja, não será possível aplicá-la no sistema.
Note que na mesma janela existe uma guia de nome Explicar. Ela é importante porque contém um pequeno texto que indica o que a opção escolhida oferece.
É possível reparar que quase todas as configurações disponíveis podem ser alteradas nesse esquema de "Não configurado, Ativado e Desativado". No entanto, dependendo do recurso, há algo mais a ser feito.Por exemplo, é possível impedir o Windows de executar determinados aplicativos. Imagine que você queira impedir a execução do arquivo infowester.exe, presente em C:\Windows\. Para isso, o caminho é o seguinte no gpedit.msc: Configuração do usuário / Modelos administrativos / Sistema e, à direita, Não executar aplicativos do Windows especificados. Na janela que surgir deve-se clicar em Ativado e depois no botão Mostrar / Adicionar... e informar o caminho do arquivo: C:\Windows\infowester.exe. Por fim, deve-se clicar em OK até fechar todas as opções.
Alguns exemplos
Neste tópico faremos algumas configurações para mostrar a capacidade do gpedit.msc:
Exemplo 1: impedindo a alteração do papel de parede
O papel de parede está localizado na Área de Trabalho, logo é esta opção que devemos procurar no gpedit.msc, certo? Na teoria, sim. No entanto, a Microsoft preferiu colocar esse item no seguinte caminho: Modelos administrativos / Painel de controle / Exibição. Na área da direita, basta ativar o item Impedir alteração do papel de parede. É importante frisar que, mesmo com esse recurso ativado, é possível que alguns programas consigam alterar o papel de parede. É o caso do Microsoft Office Picture Manager, que acompanha o pacote Office 2003.
Exemplo 2: removendo o botão Desligar do menu Iniciar
Esta configuração é mais simples, pois basta ir em Modelos Administrativos / Menu 'Iniciar' e barra de ferramentas e na área à direita ativar a opção Remover e impedir o acesso ao comando 'Desligar'.
Exemplo 3: impedindo a execução do Windows Messenger
Para essa configuração, deve-se ir em Modelos administrativos / Componentes do Windows / Windows Messenger. À direita, deve-se ativar Não permitir a execução do Windows Messenger. Importante: essa configuração não impede o funcionamento do MSN Messenger.
Exemplo 4: ocultando a unidade C:
Essa é uma configuração mais trabalhosa, mas não é complicada: deve-se ir em Modelos administrativos / Componentes do Windows / Windows Explorer. À direita, deve-se escolher Ocultar estas unidades especificadas em 'Meu computador'. Assim que a opção Ativado for escolhida nesse item, um menu aparecerá perguntando quais unidades você quer ocultar. É possível fazer várias combinações. Em nosso caso, vamos escolher Restringir apenas a unidade C. Importante: esse recurso funciona para até 4 partições. Se tiver mais, as outras não aparecerão e não poderão ser ocultadas.
Exemplo 5: Impedindo o acesso ao recurso Adicionar / Remover programas
Esse é um recurso acessível pelo Painel de Controle, logo, deve-se seguir o seguinte caminho no gpedit.msc: Modelos administrativos / Painel de controle / Adicionar ou remover programas. Na área da direita, deve ativar a opção Remover programas de 'Adicionar / Remover programas'.
Desativando o gpedit.msc temporariamente
Como já dito, as restrições do gpedit.msc atingem todos os usuários do computador, inclusive aqueles com privilégios de administrador. Usuários dessa categoria poderão desativar o gpedit.msc temporariamente, caso necessitem de algum recurso bloqueado.
Para isso, na janela do gpedit.msc, clique em Diretiva Computador Local com o botão direito do mouse, selecione Propriedades e marque as seguintes caixas: Desativar configurações do computador e Desativar configurações do usuário. Clique em Ok e aguarde alguns instantes para o gpedit.msc liberar suas restrições (em alguns casos, pode ser necessário reiniciar o computador ou efetuar logoff). Desmarque as caixas em questão para reativar o gpedit.msc.
Finalizando
O gpedit.msc é uma ferramenta que permite fazer uma quantidade grande de configurações. São tantas que este tutorial seria cansativo se cada uma delas fosse mencionada. No entanto, o texto deixou claro que o segredo é identificar onde a configuração desejada será feita e procurá-la na área correspondente do gpedit.msc. Por exemplo, se você deseja alterar alguma característica do menu Iniciar, sabe que é muito provável que tal configuração esteja em Modelos administrativos / Menu 'Iniciar' e barra de tarefas. Em contradição, o exemplo 1 do tópico anterior mostra que nem sempre é assim. Determinados itens podem não estar no lugar que nos parece óbvio, por isso, é necessário procurar e testar. Com a prática, logo você conhecerá todas as possibilidades do gpedit.msc, inclusive as dos itens não explorados nesse tutorial (Configuração do computador).
Assinar:
Postagens (Atom)