PEssoal, mais um evento aos Domingos !!!!! Assunto: Active Directory para Windows Server 2008 ! Participem

Inscrição aqui: Technet Briefing AD Windows Server 2008

Dia: Domingo - Dia 06/04
Horário: 09hs
Local: Auditório Microsoft - Av Nações Unidas 12901 -Torre Norte 31º andar - São Paulo - SP - Brasil
Palestrante: Rover Marinho
Inscrição: http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032373168&Culture=pt-BR
Descritivo: O Active Directory é um dos componentes mais importantes de uma estrutura de redes baseada no Windows Server. Com o lançamento do Windows Server 2008, novas funcionalidades foram adicionadas e é necessário que o Profissional de TI compreenda bem essas mudanças e aplique-as da melhor maneira possível, dependendo do seu cenário e suas necessidades. Essa sessão abordará na prática as principais novidades do Windows Server 2008 e como elas se aplicam em cenários existentes.

Um dos pilares do TECHNET é o relacionamento, sendo assim venha conhecer novas pessoas, aumentar seu conhecimento e tomar um café conosco. Technet Briefing: totalmente reformulado! Confira!

Nas últimas duas semanas ministrei duas palestras a respeito do comparativo técnico entre Apache e IIS. Claro, guardado as devidas proporções ideológicas, foi uma discussão puramente técnica, onde apresentei alguns fatos a respeito de ambos Web Servers (bem, as coisas mudaram muito... o primeiro servidor IIS que instalei foi o IIS 3.0, para Windows NT 3.51 / 4 ;-)... e já instalei muito Apache também anos atrás, até a versão 2.0).

Durante a apresentação, citei como exemplo o funcionamento do site Microsoft.com e Windows Update, que são exemplos de estruturas altamente disponíveis e resilentes que já utilizem IIS 7 com Windows Server 2008.

Se você quiser ver essa apresentação por completo, sobre o funcionamento do site, consulte este link:MSCom_Design_for_Resilience

Nos próximos posts vou começar a passar alguns pontos da apresentação sobre IIS e Apache

Neste post, vamos focar um pouco em Segurança, e como implementá-la via GPOs para estações de trabalho Windows Vista e Windows XP.

Um bom recurso é o Guia de Segurança do Windows Vista.

A principal ferramenta oferecida pelo Guia de segurança do Windows Vista é o script GPOAccelerator.wsf. A ferramenta permite executar um script que cria automaticamente todos os Objetos de Diretiva de Grupo (GPOs) nos quais você precisa aplicar essas diretrizes de segurança. O arquivo Settings.xls do Guia de segurança do Windows Vista que também acompanha este guia fornece outro recurso que pode ser usado para comparar valores de configuração.

Este guia complementa o Guia de segurança do Windows XP, que fornece recomendações específicas sobre como proteger os computadores executando o Windows XP com SP2.

A seção que gostaria de destacar desta documentação é a Apêndice A: Configurações de Diretiva de Grupo de segurança

Ela contém valores e técnicas sugeridas para a criação de GPOs que afetam toda a configuração de Segurança de seu parque.

Por exemplo, vamos focar na parte de Domain Policies, ou seja, GPO criadas a nível de domínio que são aplicadas a todas as estações de trabalho que fazem parte do Domínio.

Password Policy Settings

Local a ser configurado: Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy

Esse valores são apenas sugestões; perceba que há duas colunas mais à esquerda que representam dois níveis diferentes de segurança; na coluna mais à direita, é um nível bem interessante, porém, pode-se perder funcionalidades para garantir a segurança do ambiente.

Account Lockout

Local a ser configurado: Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy

Para obter uma lista completa de todas as sugestões de valores, consulte o link: Apêndice A: Configurações de Diretiva de Grupo de segurança

Neste post, listarei algumas categorias onde tivemos a melhoria de configurações via Políticas de Grupo. Com o surgimento do Windows Vista e o amadurecimento de algumas tecnologias, faz-se necessário a atualização do lado servidor para que este possa controlar via GPO as estações de trabalho:

• Removable Storage Device Policy Settings: é a habilidade, de granularmente, definir quais dispositivos USB (como PEN Drives, mouses, teclados, cameras fotográficas, etc) podem ou não ser instalados em seu parque. Imagine uma excelente política de segurança, com IPSec, credenciais fortes, criptografia, etc e alguém simplesmente, consegue copiar um arquivo para um PEN Drive e levar essa informação consigo. Com esse novo recurso, você pode definir quais dispositivos são permitidos ou não e consegue ter uma melhor proteção do seu ambiente.
• User Account Protection e UAP Policy Settings: com a introdução do UAC no Windows Vista, você tem a possibilidade, de via GPOs, configurar o comportamento de tal característica, como por exemplo, suprimir as mensagens de alerta, configurar níveis de avisos, etc.
• Security: Windows Firewall, IPSec, Windows Defender: Seguindo o mesmo princípio acima, via GPOs, você consegue criar políticas de criptografia com IPSec, deixar sempre ativado o Windows Firewall e Windows Defender e assim manter um grau de segurança avançado para seu ambiente.
• Desktop Management – Power Management: O Gerenciamento de Energia tornou-se vital nas companhias e com certeza, o recurso de pode aplicar uma política consistente de Gerenciamento de Energia via GPOs é bem vindo. Asssim, através deste recurso, você consegue manipular o comportamento de suas estações de trabalho neste quesito.
• Desktop Management: Novos recursos para Gerenciamento de Impressoras e configurações do Internet Explorer, incluindo a parte de Internet Explorer Security Configuration com suporte para IE 7
• Network Access Protection (NAP): Por default, você já consegue criar políticas de NAP e distribuir aos seus clientes (Windows Vista e Windows XP SP2)
• Políticas 802.1x para redes Wireless e Wired: Aproveitando a tecnologia 802.1x, para controle de devices, você pode criar regras para redes sem fio e com fio e aplicar em toda a sua rede

Dentre as melhorias e novidades para Políticas de Grupo com Windows Vista e Windows Server 2008, alguma delas vale a pena destacar:

• Log de eventos Baseado em XML: Agora, os eventos são 100% XML. Isto significa, na prática, que ao visualizar um evento, você tem a opção de exibi-lo em formato XML. Isto vai lhe ajudar a maniputar os eventos e por exemplo, criar um portal web-based, onde você consolida e exibe de modo mais "friendly user" os eventos;
• Consolidação de eventos via Subscription: Que tal consolidar eventos de duas ou mais máquinas em apenas 1 visão ? Bem, através do "Subscription", você cria uma "assinatura" remota do log de eventos de outro servidor / estação de trabalho e copia os eventos para uma máquina centralizadora de eventos. Esse processo é seguro e confiável, pois é baseado em WS*Management (WinRM);
• Associar ações à eventos: Imagine que você sabe que toda a vez que o evento ID 3333 (apenas como exemplo) acontece, determinado arquivo .cmd, ou melhor, um email, deve ser disparado ? Agora, de modo gráfico e simples, é possível associar ações à eventos utilizando-se de modo integrado as ferramentas EventViewer e Task Scheduler. Assim, há uma nova categoria de tarefas, que são associadas e disparadas após o acontecimento de eventos, automatizando tarefas que o administrador pode definir;
• Mudança no Modo de Processamento de GPO's: Antes do Windows Vista e Windows Server 2008, as GPOs eram processadas pelo serviço de Winlogon do Windows. Agora, as políticas são executadas embaixo de um contexto compartilhado no cliente, fornecendo uma melhor disponibilidade e isolamento do processo (em termos simples, há um serviço chamado "Group Policy Client", responsável pelo processamento de GPOs). Além disso, este serviço foi feito de modo mais seguro, onde até mesmo um administrador, para parar o serviço, necessita de elevação de privilégios. Como benefícios adicionais, o serviço pode re-inicializar para resolver problemas não-esperados e suporta Client-Side Extensions de parceiros e terceiros, melhorando a extensibilidade da aplicaçào de políticas de grupo.
• Network Local Awareness 2.0: Esse recurso é excelente na aplicaçào de GPOs através de links lentos. Anteriormente, o recurso de "Slow Link Detection" usava pacotes ICMP (ping) para determinar se uma conexão é lenta ou não. Além disso, esse recurso auxilia computadores móveis, onde o estado como hibernar / stand-by pode afetar e ativar uma re-aplicação de GPOs.
• Múltiplas Políticas de Grupo Locais: esse recurso, conhecido como MLGPO (Multiple Local Group Policies) permite a criação de múltiplas políticas locais (ou seja, não-AD based). Para que, talvez você se pergunte ? Imagine um caso onde você tem kioskis ou máquinas públicas, que não pertencem à um domínio AD e você necessita criar uma política para bloquear diversos recursos. Com esse novo recurso, você pode criar uma segunda GPO local permitindo acesso aos Administradores, que devem ter privilégios elevados e manter a GPO de bloqueios para usuários comuns. Isto lhe fornece uma ótima flexibilidade.