Soluções Microsoft em Ambiente Corporativo
Segurança
Como dar direitos de adicionar máquina no domínio para um grupo específico?
23/02/10
Quando uma rede cresce muito e você precisa controlar os seus técnicos para colocar máquinas na rede sem ter direitos de administradores na rede, as vezes podemos conseguir várias soluções milagrosas, mas poucas efetivas. Para que você consiga dar esse direito aos seus técnicos sem ferir a regra de segurança da rede, siga os passos abaixo:
Primeiramente é preciso que você crie uma nova política, chamada por exemplo “Adicionar maquinas no domínio”
Após a criação, edite da seguinte forma:
Criando políticas para adicionar máquinas no domínio:
1. Abra a política e navegue até Computer Configuration / Windows Settings / Security Settings / Local Policies / User Rights Assignment.
2. Abra User Rights Assignment.
3. Duplo clique em Add workstations to Domain.
4. Marque a opção Define these policy.
5. Pressione o botão Browse para adicionar um grupo ou usuário.
6. Complete a janela para adicionar mais usuários caso seja necessário.
7. Pressione Apply e OK.
Política criada, porém ainda sem efeito, para que eles possam adicionar maquinas no domínio correto, utilize as seguintes informações:
Delegando direitos usando o Active Directory Users and Computers:
1. Abra o Active Directory Users and Computers snap-in.
2. clique com o botão direito na OU que você quer que os computadores sejam adicionados, clique em Delegate Control.
3. Clique em Next.
4. Clique em Add.
5. Depois de adicionar os users/groups, clique em Next.
6. Selecione “Create custom task to delegate” e clique em Next.
7. Selecione apenas os objetos que você quer que eles possam adicionar, no nosso caso, marque a opção Computer objects, e clique em “Create selected objects in this folder box”, clique em Next.
8. Clique em Next novamente
9. Clique em Finish.
Pronto!!
Rapidinha: Vista – Recuperar password facilmente
18/05/09
O problema das passwords actualmente, tal como referi já diversas vezes, é termos cabeça para as lembrar todas. E para mal dos nossos pecados, a password de que vamos precisar com a máxima urgência é sempre aquela que não vamos conseguir lembrar na hora certa.
Por outro lado, mandam as regras da boa utilização de um SO que se mantenha o utilizador de administração o mais quieto possível. Deixem a conta de Admin para os momentos realmente necessários e usem uma conta de controlo restrito para prevenir problemas.
Como aumentar o nível de segurança da sua rede? WSUS! Parte1
25/04/09
Uma alternativa para garantir que o seu parque tecnológico esteja sempre atualizado e protegido contra algumas ameaças assim como acesso remoto indevido por códigos maliciosos ou no nosso mais novo caso, uma brecha em um arquivo do windows que o vírus conficker explorou.
Para tal, o WSUS um servidor interno atualizações automáticas pode prover uma excelente ajuda na atualização de máquinas de clientes e servidores. Sendo assim, todas as suas máquinas e servidores estarão atualizados e o seu link de internet não estará sobrecarregado com pacotes de segurança pois somente o WSUS que receberá os pacotes e redistribuirá internamente.
Procedimento de instalação:
Depois de certificar-se de que o servidor cumpre os requisitos básicos de instalação, chega a hora de instalar, efetivamente, o WSUS. Lembre-se que apenas os membros do grupo Administradores local podem instalar o WSUS.
O seguinte procedimento utiliza opções predefinidas de instalação do WSUS no Windows Server 2003, incluindo: instalar o Windows SQL Server 2005 Desktop Engine (WMSDE) para o software de base de dados do WSUS, armazenar atualizações localmente e utilizar o Web site Predefinido do IIS na porta 80.
Instalando o WSUS no Windows Server 2003
Dê um duplo clique no arquivo de instalação WSUSSetup.exe. A versão mais recente deste arquivo pode ser encontrada no site da Microsoft.
Na página Bem-vindo do assistente, clique em Seguinte.
Leia cuidadosamente os termos do contrato de licença, clique em Aceito os termos do Contrato de Licença e clique em Seguinte.
Na página Seleccionar Origem de Atualização, é possível especificar de onde os clientes deverão obter atualizações. Se selecionar a caixa de verificação Armazenar atualizações localmente, as atualizações são armazenadas no servidor WSUS, sendo necessário selecionar uma localização no sistema de arquivos para armazenamento das atualizações. Se as atualizações não forem armazenadas localmente, os computadores cliente irão conectar-se ao Microsoft Update para obter as atualizações aprovadas.Mantenha as opções predefinidas e clique em Seguinte.
Na página Opções de Base de Dados, seleccione o software utilizado para gerir a base de dados do WSUS. Por predefinição, o Programa de Configuração do WSUS lhe dará a possibilidade de instalar o WMSDE caso o computador de instalação execute o Windows Server 2003. Se não conseguir utilizar o WMSDE, terá de fornecer uma instância SQL Server que o WSUS possa utilizar. Para tal, clique em Utilizar um servidor de base de dados existente neste computador e escreva o nome da instância na caixa Nome de instância SQL.
Mantenha as opções predefinidas e clique em Seguinte.
Na página Selecção de Web Site, especifique o Web site que o WSUS irá utilizar. Esta página também lista dois importantes URL com base nesta selecção: o URL para o qual irá apontar computadores cliente WSUS para que obtenham as atualizações e o URL da console WSUS onde irá configurar o WSUS propriamente dito.
Na página Definições de Atualização Mirror, é possível especificar a função de gestão deste servidor WSUS. Caso se trate do primeiro servidor WSUS na rede ou caso pretenda uma topologia de gestão distribuída, ignore esta tela. Se pretender uma topologia de gestão central e este não for o primeiro servidor WSUS na rede, selecione esta caixa de verificação e escreva o nome de um servidor WSUS adicional na caixa Nome do servidor.
Na página Pronto Para Instalar o Windows Server Update Services, reveja as selecções e clique em Seguinte.
Se a página final do assistente confirmar que a instalação do WSUS foi concluída com êxito, clique em Terminar.
Rapidinha: Erro “the following gpos were not applied because they were filtered out”
08/04/09
Olá pessoas,
Pra solucionar esse erro misterioso que aparece quando você tenta executar uma GPO em uma máquina e a mensagem é apresentada quando é utilizado o gpresult (no command).
Tenha sempre em mente o seguinte:
1º Se for aplicar uma GPO de Computers, tenha certeza de ter um computador na OU.
2º Se for aplicar uma GPO de Users, tenha certeza de ter um usuário na OU.
Passado esse problema, confira se a OU contém o que deve ser aplicado, (usuário ou computador) somente assim as políticas serão bem aplicadas.
Abraços e bom dia!
Usuário de Windows: o Conficker (Down_AD) te espera
30/03/09
Pessoal,
Abaixo o artigo que fui indicado pelo @nerdobones sobre o vírus Conficker ou Down_AD (ou ainda DownADUP e Kido) . O vírus é até então muito perigoso, por explorar a falta de pacotes de segurança no Windows, senhas default do sistema ou que sejam facilmente quebradas e pastas compartilhadas. A sua proporção de infecção também é muito alta. O vírus explora a falta do pacote MS08-067. Para quem precisar a pesquisa sobre o vírus pode ser encontrada aqui: http://en.wikipedia.org/wiki/Conficker
A correção pode ser instalada via AutoUpdate, pelo Service Pack 3 do XP ou pelo link
“Especialistas em estratégia comparam o vírus Conficker a um castelo de cartas. A não atualização de uma falha de segurança do sistema da Microsoft gerou uma avalanche de infecções do arquivo malicioso. Os números de fabricantes de produtos de segurança apontam para mais de 300 milhões de máquinas infectadas. Detalhe: ninguém sabe o real propósito de um ataque dessa proporção, que promete revelar suas intenções no próximo 1º de abril, o famoso Dia da Mentira.
Os acontecimentos que sucederam a evolução do Conficker podem até parecer um roteiro de ficção científica ou até daqueles filmes mais mentirosos de hackers. O vírus surgiu como uma praga qualquer: infectava máquinas Windows não atualizadas. Até aí, nada de anormal. Fabricantes de antivírus correram atrás e logo fizeram uma vacina.
Foi lançar a vacina e acompanhou-se o aparecimento de variações do Conficker, que curiosamente conta com mecanismos de atualização próprios hospedados em países com legislação mais complexa, como o próprio Brasil. O mais curioso ainda é que uma das suas variações permite infecção até de máquinas não conectadas à internet diretamente. A USB tornou-se uma porta de entrada para o arquivo malicioso.
Aí, virou corrida maluca. Fabricantes de antivírus buscaram fazer vacinas o mais rápido possível. Em paralelo, a Microsoft tentou disseminar ainda mais a correção da falha de segurança e ofereceu US$250 mil para quem fornecer pistas que levem ao manipulador do ataque.
Em alguns sites é possível ver a notícia de uma possível indisponibilidade de serviços de grandes portais, porque o Conficker os atacou por meio de sucessivas tentativas de conexão. Supostamente por isso que vários serviços populares de email e busca ficaram indisponíveis. Importante observar: nada conclusivo sobre essas notícias.
O fato é que ninguém sabe o real propósito de um ataque do gênero. Supostamente, em 1º de abril, tudo será revelado. Porém, o que está de pano de fundo é a cultura de implementação de patches do Windows. Muitas empresas acreditam que simplesmente por não estarem conectadas diretamente à internet, ou por terem um antivírus ultramoderno, estão seguras.
Mais: ficou novamente provado que sistemas de segurança baseados em assinaturas de vírus já conhecidos não funcionam e custam caro. Cada vez mais dispositivos que analisam o comportamento do usuário na máquina ou na rede são mais efetivos. Firewalls e principalmente um bom instrumento de proteção preventiva (IPS) podem render mais que antivírus atualizados e caros, em sistemas cheios de remendos. A pensar.
[Via: NYTimes.com.] “
Via: MacMagazine
