5 Dicas para deixar seu Active Directory mais saudável e seguro

Microsoft, Windows Server

Trabalhando como analista de infraestrutura, verifico diversos ambientes com configurações especificas para cada ambiente. Nesse post irei falar sobre 5 dicas no qual vejo ser importantes em um ambiente com Active Directory.

Dica 1 – Manter os servidores atualizados.

Percebo que muitos profissionais de TI, tem medo de realizar atualização do S.O em servidores, principalmente em um com um Active Directory Instalado. Percebo muitas vezes o seguinte pensamento “Se está funcionando, porque eu deveria mexer? Reiniciar, atualizar…” Se você tem um ambiente saudável com redundância, não há problema algum de atualizar seu servidor. O ideal é que você tenha um ambiente para homologação, sei que nem sempre você terá recursos para isso. Caso você não tenha um ambiente para homologação, antes de instalar atualizações verifique sempre quais alterações essa atualização irá fazer, pois caso você verifique algum problema depois de atualizar, saberá se a atualização impactou no problema.

Dica 2 – Mantenha o modelo de menor privilegio.

O que quero passar com a ideia de menor privilegio? Não de mais privilegio/acesso/permissão para um usuário/grupo que não precisa. Como assim? Vou te dar um exemplo que vejo muito acontecer… um usuário x dentro do grupo de administradores do domínio. Essa é uma falha que vejo acontecer muito… e quão grave é essa falha? MUITO GRAVE rsrs

O grupo administradores do domínio, são os todos poderosos, os que podem fazer praticamente tudo, até destruir seu ambiente. Então muito cuidado ao incluir um usuário nesse grupo.

Dica 3 – Cuidado com alterações nas GPO`s Default Domain Policy e Default Domain Controllers Policy

Percebo no dia a dia, nem todo mundo tem um controle total do seu ambiente de AD, e realizam configurações desnecessárias nessas duas GPOs. Essas GPOs são muito importante para seu ambiente, então cuidado ao realizar alterações nela, aconselho a criar uma nova GPO para fazer uma outra configuração e não configurar direto na Default Domain Policy

Dica 4 – Tenha no Mínimo 2 servidores de Active Directory

Sempre falo, quem tem apenas 1 AD não tem nenhum rsrs, então recomendo que você tenha no mínimo 2 servidores com o Active Directory, de preferencia não coloque funções e recursos desnecessários nos servidores, e sempre valide que estão replicando corretamente.

Dica 5 – Realize uma limpeza nos objetos a cada x tempo

Como assim Paulo? rsrs Deixa eu te explicar… Quando falo em realizar uma limpeza, é excluir computadores que não estão mais na sua rede, usuários que não são usados a por exemplo 2 meses… Exclua objetos que não estão sendo usados… MAS MUITO CUIDADO, TENHA CERTEZA QUE ESSE OBJETO NAO VAI IMPACTAR ALGO EM SEU AMBIENTE.

Ahh e usuário você desabilita.

Curso de WSUS na plataforma Wenz

Windows Server

Fala pessoal, tudo bem com vocês?

Hoje foi lançado na plataforma Wenz Cursos, meu curso sobre WSUS totalmente na pratica.

No curso eu abordo:

Instalação do Servidor WSUS

Configuração do Servidor

Como configurar GPOs

Falo também sobre problemas com o servidor e mais algumas coisas rsrs

Ficou interessado? Da uma conferida na plataforma, existe diversos outros cursos também

https://lnkd.in/dc9uJV

Recriando as GPOs Default Domain Policy e Default Domain Controllers Policy

GPO, Microsoft, Windows Server

Fala pessoal, tudo bem com vocês ?

No artigo de hoje irei mostrar como recriar as GPOs Default Domain Policy e Default Domain Controllers Policy… Aí você me pergunta isso pode ser necessário? Minha resposta é SIM, principalmente se você tem apenas 1 controlador de domínio. Já peguei diversos casos em clientes com problemas, pois um vírus corrompeu essas GPOs, ou alguém apagou, ou simplesmente elas desapareceram rsrs

Comandos que usei:

Dcgpofix /target:both

Para mais informações sobre o dcgpofix

https://docs.microsoft.com/pt-br/windows-server/administration/windows-commands/dcgpofix

Windows 10 com update gerando problemas com impressoras KB5000802

Microsoft, Windows 10

Fala pessoal, hoje trago um caso especifico que um amigo meu do trabalho o Renato Cavalcanti, pegou recentimente.

Vários computadores com Windows 10 estavam com problemas para imprimir em impressoras Kyocera 

Procurei em outros foruns e vi que em outras impressoras também estava acontecendo o mesmo problema (Tela Azul da morte rsrs)

O problema vi relatado após a atualização de março KB5000802, para resolver é necessário realizar um roll back ou restaurar o computador para uma data no qual não tinha essa atualização.

Para remover a atualização:

Abra o Windows Update

Procure por Exibir histórico de atualização

Clique em Desinstalar atualizações

Localize o KB e clique para desinstalar.

A versão do KB vai depender de qual versão do Windows 10 você usa, se você não localizar esse KB, outras atualizações que estão sendo afetadas são: KB5000802, KB5000808, KB5000809 e KB5000822

Corrigindo o problema

A Microsoft começou a lançar uma nova atualização cumulativa opcional para a versão do Windows 10 20H2, 2004 e anteriores. Mas ATENÇÃO ESSA ATUALIZAÇÃO NÃO SERÁ INSTALADA AUTOMATICAMENTE.

Os KBs com as correções são:

  1. KB5001567 
  2. KB5001566 
  3. KB5001568 
  4. KB5001565 

Cada KB corresponde a uma versão do Windows 10.

Você pode encontrar no Windows Update ou no site: https://www.catalog.update.microsoft.com/

Referencias: https://www.windowslatest.com/2021/03/10/windows-10-kb5000802-march-update-is-crashing-pcs-with-bsod/

Conhece o Microsoft Defender Application Guard ?

Dicas, Microsoft

O Microsoft Defender Application Guard, lançado pela Microsoft, é uma solução no qual visa segurança, evitando ataques, isolando seu hardware.

Irei falar um pouco sobre o Application Guard, em solução para office 365, acredito que hoje você deve abrir muitos arquivos na sua empresa rsrs.

Como o Application Guard funciona no caso do Office? Quando você baixa um arquivo não confiável por exemplo: um arquivo do PowerPoint, o Application Guard irá abrir o arquivo em um contêiner habilitado para Hyper-V isolado.

O que isso significa? Quando você abrir o arquivo não confiável, o mesmo irá usar um contêiner do Hyper-V que não tem acesso ao seu Sistema operacional, ou seja, se for um arquivo malicioso seu Sistema operacional ficará protegido, pois o contêiner não tem comunicação com seu Hardware/S.O

Imagem retirada da Microsoft.

Para saber mais acesse:

https://docs.microsoft.com/pt-br/windows/security/threat-protection/microsoft-defender-application-guard/md-app-guard-overview

Você conhece o w32tm?

Microsoft, Windows Server

Ferramentas e configurações do Serviço de Tempo do Windows

Fala pessoal, hoje irei falar um pouco sobre o w32tm, um comando que utilizo para realizar alguns troubleshoots e configurações. Com ele, consigo verificar de qual servidor os computadores estão buscando o horário, configurar o ntp dentre outros.

Aqui irei abordar os principais comandos que uso, mas deixarei o link da documentação da Microsoft.

w32tm /query /source

Com esse comando eu consigo verificar de qual local o servidor/computador está buscando o horário.

w32tm /query /status

Com esse comando eu verifico o status da ultima sincronização.

w32tm /query /resync

Com esse comando o computador/servidor forca uma sincronização.

w32tm /query /config /manualpeerlist:”Servidor”,0x8 /syncfromflags:MANUAL /update

Com esse comando posso alterar a lista de onde o servidor irá buscar os horários.

Geralmente por padrão os computadores buscam o horário no servidor que foi configurado como PDC

Aqui segue o link com toda a documentação e mais parâmetros do w32tm

https://docs.microsoft.com/pt-br/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings

Configurando WSUS para não armazenar localmente as atualizações

Microsoft, Windows Server

Fala pessoal, hoje vou mostrar uma configuração que precisei realizar em um ambiente.

Foi solicitado que o servidor WSUS não armazena-se localmente as atualizações, apenas aprova-se quais atualizações os Servidores/Workstations iriam buscar no Windows Update.

Aqui vou deixar como funciona o armazenamento das atualizações de acordo com a documentação da Microsoft.

Por padrão, a configuração realizada é para as atualizações serem armazenadas localmente no servidor WSUS, para realizar a alteração para não salvar localmente você tem abrir a console de gerenciamento do WSUS

Em Options, navegue até Update Files and Languages

Selecione a opção: Do not store update files locally; computers install from Microsoft Update

Armazenamento de atualizações do WSUS

Quando as atualizações são sincronizadas com o servidor do WSUS, os metadados e os arquivos de atualização são armazenados em dois locais separados. Os metadados são armazenados no banco de dados do WSUS. Os arquivos de atualização podem ser armazenados em seu servidor do WSUS ou em servidores do Microsoft Update, dependendo de como você configurou suas opções de sincronização. Se você optar por armazenar os arquivos de atualização no servidor do WSUS, os computadores cliente baixarão as atualizações aprovadas do servidor do WSUS local. Se não, os computadores cliente baixarão as atualizações aprovadas diretamente do Microsoft Update. A opção que faz mais sentido para sua organização dependerá da largura de banda da rede para a Internet, da largura de banda da rede na intranet e da disponibilidade do armazenamento local.

Você pode escolher uma solução diferente de armazenamento de atualizações para cada servidor do WSUS que implantar.

Armazenamento local no servidor do WSUS

O armazenamento local dos arquivos de atualizações é a opção padrão ao instalar e configurar o WSUS. Essa opção pode economizar largura de banda na conexão corporativa com a Internet porque os computadores clientes baixam as atualizações diretamente do servidor do WSUS local.

Essa opção exige que o servidor tenha espaço em disco suficiente para armazenar todas atualizações necessárias. O WSUS exige pelo menos 20 GB para armazenar atualizações localmente; entretanto, é recomendável 30 GB com base em variáveis testadas.

Armazenamento remoto nos servidores do Microsoft Update

Você pode armazenar atualizações remotamente nos servidores do Microsoft Update. Essa opção é útil se a maioria dos computadores clientes se conecta ao servidor do WSUS por uma conexão WAN lenta porém se conecta à Internet por uma conexão de alta largura de banda.

Nesse caso, o servidor do WSUS raiz é sincronizado com o Microsoft Update e recebe os metadados de atualizações. Depois de você aprovar as atualizações, os computadores clientes baixarão as atualizações aprovadas dos servidores do Microsoft Update.

Referencia:

https://docs.microsoft.com/pt-br/windows-server/administration/windows-server-update-services/plan/plan-your-wsus-deployment#12-choose-a-wsus-deployment-scenario

Como bloquear o acesso ao CMD via GPO

GPO

Fala Pessoal, com o acesso ao CMD, usuários podem conseguir um aumento de privilégios e realizar alguns procedimentos que poderão ter impacto no seu ambiente. Diante disso recomendo que você retire o acesso para os usuários que não necessitam disso.

Vamos começar criando uma GPO.

Agora iremos editar a GPO.

User Configuration > Policies > Administrative Templates > System

Aqui iremos definir a configuração Prevent access to the command prompt

Habilite a configuração e aplique a GPO.

Com a configuracao.

Removendo o botão de desligar na tela Logon no Windows Server

GPO

Fala pessoal, tudo bem? Hoje irei mostrar como configurar via GPO, para não mostrar o botão de desligar/reiniciar na tela de Logon. Essa GPO é muito utilizada em servidores RDS, para evitar o desligamento por partes dos usuários.

Vamos começar?

Primeiro, precisamos criar uma GPO, você pode atribuir qualquer nome para ela, fica a sua escolha.

Após a GPO criada, iremos realizar as seguintes configurações:

Computer Configuration > Policies > Windows Settings > Secutiry Settings > Security Options

Dentro de Security Options, existe diversas opções de configurações, vamos procurar por Shutdown: Allow to be shut down without having to log on

Iremos clicar para editar essa configuração e definir como desabilitado

Agora precisamos habilitar nossa GPO, e o botão de desligar/reiniciar não será mais mostrado na tela de Logon.