Visualizador de Eventos (eventvwr.exe)

O Visualizador de Eventos do Windows, como afirmado anteriormente, é usado para visualizar o log de mensagens de informação, aviso e erro para o sistema operacional e outros aplicativos gerados no computador de plataforma Windows. A seção a seguir detalha a configuração do Visualizador de Eventos do Windows para exibir informações adicionais específicas do Kerberos.

Para habilitar registro de log estendido do Kerberos

· Adicione uma entrada de registro DWORD de LogLevel no seguinte local, e ajuste-o para 1:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

O servidor precisa ser reiniciado depois desta mudança para que o registro de log seja implantado. Repita os passos acima para cada servidor Active Directory onde o registro de log estendido é desejado.

Para mais informações sobre o registro de log de eventos do Kerberos, acesse http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/TechRef/b36b8071-3cc5-46fa-be13-280aa43f2fd2.mspx e http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/tkerberr.mspx.

KerbTray

A ferramenta Kerberos Tray, KerbTray, (kerbtray.exe) é uma ferramenta gráfica da plataforma Windows que exibe informações de tickets Kerberos em um computador de plataforma Windows onde os tickets Kerberos foram armazenados no cache de credenciais. Os tickets Kerberos são adquiridos e armazenados nas credenciais de cache quando um usuário loga em um computador de plataforma Windows (cliente ou servidor) como um usuário de domínio. O KerbTray permite que você visualize e limpe o cache de ticket.

Quando executado, a ferramenta coloca um ícone na bandeja do sistema. Esse ícone exibe o status com base na presença ou ausência de credenciais válidas. Dados disponibilizados pela interface KerbTray incluem os selos de tempo nos tickets, os marcadores associados às credenciais e o(s) tipo(s) de criptografia dos tickets.

A ferramenta KerbTray é encontrada no Windows Server 2003 Resource Kit Tools e está disponível em http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en.

klist

A ferramenta klist é uma ferramenta de linha de comando que permite que você exiba o conteúdo dos cache de credenciais e pode ser usada em um cliente Windows para exibir ou destruir credenciais existentes de Kerberos. A ferramenta klist exige um argumento.

O argumento "tgt" mostra as credenciais no cache atual, produzindo uma saída similar ao seguinte:

Cached TGT:

ServiceName: krbtgt

TargetName: krbtgt

FullServiceName: test01

DomainName: EXAMPLE.COM

TargetDomainName: EXAMPLE.COM

AltTargetDomainName: EXAMPLE.COM

TicketFlags: 0x40e00000

KeyExpirationTime: 0/39/4 0:00:10776

StartTime: 10/27/2004 7:54:06

EndTime: 10/27/2004 17:54:06

RenewUntil: 11/3/2004 7:54:06

TimeSkew: 11/3/2004 7:54:06

A ferramenta klist é disponibilizada no Windows como parte do Windows Server 2003 Resource Kit Tools e está disponível em http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en.

A ferramenta de linha de comando netdiag pode ser usada para solução de problemas e correção de questões de conectividade de rede. No contexto deste guia, é mais útil para testar e corrigir questões DNS ao usar os seguintes parâmetros:

· /test:dns. Testa a configuração DNS.

· /fix. Corrige problemas menores de configuração DNS.

A ferramenta netdiag é disponibilizada com o Windows Support Tools. Para mais informações sobre netdiag, acesse http://technet2.microsoft.com/WindowsServer/f/?en/Library/eb0d5bd1-89c3-4ee7-975f-596b2e37e3aa1033.mspx.

pathping

A ferramenta de linha de comando pathping é uma versão aprimorada da ferramenta ping. Você pode usar pathping para verificar a conectividade a outro host e oferecer informação sobre latência e perda de rede para o caminho entre o cliente e o host. Esta ferramenta é útil em um nível muito básico para solução de problemas do Kerberos e LDAP para investigar questões de rede. O comando pathping é incluído como parte da instalação básica do Windows XP e Windows Server 2003.

Mais informações sobre pathping estão disponíveis em http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/pathping.mspx?mfr=true.

ping (bom e velho)

A ferramenta de linha de comando ping é usada para verificar a conectividade a outro host. É útil em um nível muito básico para solução de problemas do Kerberos e LDAP para determinar se um dado servidor Active Directory pode ser contatado desde o cliente UNIX. O comando ping é incluído como parte da instalação básica das distribuições Windows e UNIX.

Achei interessante essa experiência pessoal de um profissional de TI, e com a devida autorização dele, estou reproduzindo em meu blog:

Fragilidade do Firefox?

Na semana passada eu escrevi a respeito de um fato que eu presenciei (leia nos posts anteriores, dia 26/08).

Naquela oportunidade o meu objetivo era atender a um público não técnico, mas os 'mais doentes' hehehe me pediram que fosse mais detalhado... então lá vai a versão 2.0...

Estes dias me deparei com um fato que me deixou um pouco preocupado. Os administradores (nenhum MCP) de uma grande rede de computadores reclamavam a respeito do Windows Vista (prá variar). O que acontecia é que, o parque de máquinas está baseado em Active Directory e Windows XP pro e o browser mais utilizado é o Internet Explorer 6 e 7 e o Firefox (tanto o 2 quanto 3). Mas alguns poucos usuários começaram a usar o Vista. A reclamação era que, quando utilizavam o Vista+IE7, ninguém conseguia acesso HTTP a internet. Mas, com o Firefox, não existia problema, tudo funcionava 'naturalmente'. Aí então chegaram a conclusão: "O IE7 NÃO PRESTA!". Fiquei intrigado com isso e fui vasculhar para entender o que estava acontecendo e achei a resposta.

A estrutura da navegação internet nesta rede é baseada em software livre com um servidor proxy (Squid), configurado para uma autenticação hoje considerada de tecnologia ultrapassada (NTLM) sendo que a melhor autenticação AD é a Kerberos.

O Vista é configurado, por padrão nas GPO local, para não aceitar autentições com nível de segurança inferiores a NTLMv2. Quando se está utilizando o IE7, quem define o nível de autenticação é o sistema operacional, que detecta esta fragilidade e, por padrão, não passa a autenticação abaixo de NTLMv2. Mas quanto, neste mesmo sistema operacional, o usuário utiliza o Firefox, a autenticação no proxy é bloqueada pelo SO, mas o browser ignora o nível mínimo de segurança definida pela GPO local do VISTA e força a passagem da autenticação abaixo do limite, ou seja, usa autenticação NTLM (ou até mesmo LM, vai saber). E o pior disso tudo é que nenhum tipo de mensagem avisando o rebaixamento no nível de segurança é passada para o usuário pelo Firefox.

Resultado, o Firefox+Vista+Squid NTLM funciona, e IE7+Vista+Squid não funciona, o que dá impressão para os desinformados que o problema é do IE.

No meu ponto de vista (não é trocadilho não, hehehe), o fato do IE não funcionar acontece por que ele está, por padrão, protegendo as informações do usuário, não deixando que elas trafeguem sem segurança e fora dos padrões os quais estão configurados no Vista. Já o Firefox, por padrão, ignora a obrigatoriedade de segurança imposta pelo Vista e assume a autenticação no proxy trafegando os dados de usuário e senha mesmo de forma não segura, expondo os dados dos usuários. O Safari, por padrão, segue o mesmo caminho do IE e também não navega. Ponto prá ele!

Como ainda não houve a possibilidade de passar autenticação do Squid para Kerberos, então a solução foi diminuir o nível de segurança da requisição de autenticação do Vista, aceitando passar NTLM e LM, que passou a aceitar trafegar os dados da forma com que a rede exige, daí então IE e Safari passaram a conseguir navegar. Vale aqui considerar que, o Windows XP, desde quando foi lançado, aceita a configuração mais forte de segurança, apesar dela não ser seu padrão.

Acho que a mensagem aqui é: temos que tomar muito cuidado quando nos deparamos com uma 'não funcionalidade' nos sistemas mais modernos. Pode ser que esta característica esteja muito mais ligada à uma exigência de mais segurança, ou seja, por padrão eles não pactuam com tecnologias ultrapassadas e com níveis de segurança inaceitáveis. Isso só vem aumentar a confiança que devemos ter, pois estes sistemas até funcionam em níveis mais baixos de segurança, porém se o usuário é obrigado a fazer um ajuste manual para que isso aconteça, este detalhe também garante que ele passa a ter consciência que o nível está sendo diminuído. Se esta diminuição no nível de segurança é feita de forma transparente para o usuário (como o Firefox faz) ele não fica nem sabendo do que está acontecendo e tem a falsa impressão que tudo está perfeito, o que, definitivamente, não é verdade.

Concordo que é importante que as novas tecnologias sejam compatíveis com seus legados (tecnologias anteriores), só que tem uma hora que isso se torna muito complicado. Imagine se nossos carros de hoje tivessem motores flex, câmbios sequenciais e PLATINADO !?!?!

Fonte: http://bariniuol.spaces.live.com/ (Carlos Barini)