none
O que devo fazer para aumentar a segurança de rede com 2008 R2 para certificação PCI! RRS feed

  • Pergunta

  • Saudações a todos,

    Um cliente meu tem uma rede corporativa de 20 estações com win7 pro além de dois servidores de rede sendo um PDC e outro BDC. A configuração de rede e simples com um domínio de rede tendo suas OUs, grupos e usuários, GPOs , serviços de DHCP ativo somente no PDC, DNS em ambos os servidores provendo uma alta disponibilidade.

    Meu cliente vai passar por um processo de certificação PCI DSS para empresas que movimentam dados de cartão de crédito e segundo a documentação é bem rígida para segurança dos dados, tínhamos um firewall com o 2008R2 rodando o TMG2010 onde foi substituido pelo Endiam Firewall e estamos configurando um terceiro servidor para endpoint do ESET pois ate então tínhamos AVAST free.

    Segundo a empresa que esta dando consultoria, solicitou criptografia para todos os equipamentos pois são notebooks e gostaria da dica se preciso adicionar algo mais para o aumento da segurança como o serviço NAP, certificado para autenticação ou algo a mais para  ter a rede dentro de boas praticas de segurança.

    Rodrigo Briet




    • Editado RodrigoBriet quarta-feira, 14 de março de 2018 12:24
    terça-feira, 13 de março de 2018 22:56

Todas as Respostas

  • Rodrigo, boa noite!

    Eu me atentaria a esses itens:
    - Firewall bem configurado;
    - Acesso remoto somente através de VPN, mediante a autorização do gerente da área e com termo de responsabilidade assinado;
    - Não permitir que nenhuma máquina de terceiros (consultores) tenham acesso a sua rede, se precisarem de internet somente através de wireless isolada.  Manutenção no sistema ou servidores utilizando equipamento local da empresa;
    - GPOs no domínio para bloqueio de pendrives, complexidade de senhas, criptografia dos arquivos (efs);
    - Configuração de perfil móvel;
    - Antivírus configurado para scan diário, distribuição das vacinas centralizadas e com acesso negado a desativação por usuário final;
    - File Server em volumes de storage e não local nos servidores;
    - Definição dos processos da T.I. quem faz o que e como fazer;
    - WSUS configurado na rede para distribuição dos updates dos servidores e estações de trabalho;
    - Software e rotina de backup em dia, de preferência em disco local, fita e backup externo para deixar fora da empresa;
    - Termo de responsabilidade, com as normas de T.I. da empresa assinado por todos;
    - Data Center em sala isolada e com alto nível de segurança, exemplo: Acesso por biometria ou senha, portas ante chamas, detector de fumaça,etc
    - Nobreak com autonomia de no mínimo 30 minutos;
    - Gerador para fornecimento de energia em no máximo 5 minutos após a queda de energia, tempo suficiente para o nobreak segurar e não cair nada;
    - Servidores com fontes redundantes, switches com fonte redundantes e switches redundantes + configuração de stacks;
    - Portas dos switches que não estão em uso deixar em shutdown;
    - Proibir que qualquer usuário, gerente ou diretor ligue qualquer equipamento na rede sem a autorização/validação do time de T.I.;
    - Monitoramento dos ativos de rede, switch, servidores, storage;

    Cara tem muita coisa, ainda mais por se tratar de empresas de cartão de crédito.

    Esperto ter lhe ajudado com alguma coisa.

    quarta-feira, 14 de março de 2018 00:38
  • Kleber, muito obrigado pela ajuda, devo ter pelo menos 70% do que você sugeriu e restante vou resolver.

    Obrigado.

    Rodrigo

    quarta-feira, 14 de março de 2018 12:23