Intune Bloqueando copia de arquivos do Perfil Comercial para pessoal (Android)

Dicas, Intune, Microsoft

Fala pessoal, tudo certo com vocês?

Recentemente, venho estudando sobre o Intune, especialmente em uso para Dispositivos Android. Hoje venho compartilhar uma dica de configuração que considero muito útil, que é bloquear a copia de arquivos, como por exemplo um texto de e-mail, do seu perfil comercial (Empresarial) para o perfil pessoal.

Para começar, vamos abrir o Microsoft Endpoint Manager https://endpoint.microsoft.com/

Iremos na parte de Dispositivos > Android

Vamos clicar em Android, e procurar por Perfis de configuração

Aqui, iremos criar um novo Perfil.

Em Plataforma, irei selecionar: Android Enterprise

Tipo de Perfil: Perfil de trabalho de Propriedade Pessoal e selecionar a configuração: Restrições do dispositivo

Vamos clicar em Criar.

Na primeira tela, irei definir o nome da Politica como: Bloquear copia de arquivos, mas fique a vontade para definir o nome que você deseja.

Vamos clicar em avançar.

Em Parâmetros de configuração, irei na parte de Configurações de perfil de trabalho

Irei em configurações Gerais, e bloquear a seguinte configuração

Existe, diversas outras configurações, mas irei mostrar apenas essa.

Vamos clicar em avançar.

Aqui, você pode adicionar Grupos, ou adicionar todos usuários / Dispositivos que irão receber essa politica.

Irei adicionar o Grupo, que criei para realizar o teste.

E vamos clicar em avançar, para revisar e criar.

Vamos Criar.

Depois de criada, irei em propriedades, para verificar as configurações

Depois, de criada e atribuída para um grupo ou dispositivo, irei aguardar para meu dispositivo receber a politica e testar.

Irei usar como exemplo, um email que recebi e tentarei copiar uma parte.

Aqui, estou no meu perfil Comercial, e irei tentar copiar essa mensagem para meu perfil pessoal.

E aqui, mostra o resultado. Não posso copiar arquivos da minha organização para meu perfil pessoal.

Essa foi a dica de hoje, espero que tenham gostado. Até a proxima.

Microsoft anuncia fim da sincronização do WSUS 3.0 SP2

Microsoft, Windows Server

Fala pessoal, tudo certinho?

Recentemente a Microsoft anunciou que no dia 31 de outubro de 2021, o WSUS na versão 3.0 não irá mais realizar sincronizar e baixar as atualizações.

O WSUS é um serviço que utilizado praticamente em todas as empresas, então precisamos nos preparar para atualizar os nossos servidores, para não perder a comunicação.

Vou deixar aqui um link com mais informações sobre..

https://techcommunity.microsoft.com/t5/windows-it-pro-blog/end-of-synchronization-for-wsus-3-0-sp2/ba-p/2371993

Dicas para melhorar o gerenciamento e configurações de Diretivas de Grupo (Group Policy Management)

GPO, Microsoft, Windows Server

Fala pessoal, tudo bem com vocês? Hoje irei falar sobre algumas dicas de gerenciamento e configurações de GPO, na minha visão e que acho pertinente para a maioria dos ambientes.

Primeiro, quero falar sobre onde eu sempre começo a criar as GPOs, sempre começo criando as GPOs nos Objetos de políticas de Grupo (Group Policy Objects)

Vale lembrar, que as GPOs são configuradas para computadores, usuários ou ambos. Também podemos criar filtros WMI para colocar um filtro mais avançado.

Dica 01

Para começar, a primeira dica que irei colocar aqui, é criar uma OU que contenha um computador e um usuário para realizações de testes para homologação, lembrando é claro que a GPO deve ser inclusa apenas nessa OU. Realize todos os testes, para não afetar seu ambiente de produção

Após realizar os testes e verificar se tudo funcionou corretamente, irei para a próxima dica…

Dica 02

Seu ambiente provavelmente deve ser segmentado por OUs como por exemplo departamentos da empresa, regiões, cidades etc.

Minha dica é inclua a GPO o mais próximo possível de onde ele será utilizado.

Vou dar um exemplo, vamos dizer que tenho várias OUs no meu ambiente, como: Financeiro, RH, Comercial e TI.

Essa GPO que estou criando seria para os usuários de TI, então irei incluir a GPO a OU TI. (Lembrando que os usuários e computadores devem estar nessa OU)

Dica 03

Configure filtros para as GPOs, crie Grupos no AD para incluir usuários, computadores…

Na parte de segurança de GPO, ela permite uma granularidade muito grande para segurança. Alem de grupos, você pode criar filtros WMI e aplicar também. Com filtros WMI, você pode filtrar por tipo de S.O, quantidade de memória RAM, além de outras muitas possibilidades, irei deixar um link falando mais sobre WMI

https://docs.microsoft.com/pt-br/windows/security/threat-protection/windows-firewall/create-wmi-filters-for-the-gpo

Dica 04

Relembrando a dica 02, tente evitar colocar políticas desnecessárias a nível de domínio, principalmente com o parâmetro de enforce. O parâmetro enforce (a que a GPO fica com um cadeado) irá sobrescrever as permissões, lembrando… as permissões mais restritivas é que serão aplicadas.

Dicas sobre WSUS e atualizações do Windows

Dicas, Microsoft

Fala pessoal, tudo certinho com vocês?

Hoje venho falar sobre algo que estou vendo frequentemente perguntas/relatos de problemas com impressoras após atualizações do Windows 10. Então resolvi escrever algumas dicas de como você não enfrentar tanto problemas com atualizações.

Dica 1 – Criar ambiente de homologação

Acredito que você deve utilizar o WSUS para gerenciar suas atualizações, se você usa o WSUS essa dica é para você.

Crie um grupo de computadores para homologação antes de liberar os updates para produção, realize testes por no mínimo 5 dias, verifique se houve alguma indisponibilidade em algum serviço ou aplicação da sua empresa.

Dica 2 – Leia sobre as atualizações

Você pode antes de instalar as atualizações, ler o que as atualizações irão corrigir.

No site https://www.catalog.update.microsoft.com/ você pode pesquisar pelo KB e ter mais informações.

Dica 3 – Mantenha seu WSUS limpo

Realize limpezas no seu servidor WSUS, isso pode gerar menos armazenamento com atualizações que não são mais necessárias.

Dica 4 – Atualizei meu Windows e agora estou com problemas

Você pode desinstalar atualizações para verificar se o seu problema foi gerado por elas.

Para remover no Windows 10 por exemplo: Você deve ir em Windows Update, verificar histórico de atualizações e depois procurar por desinstalar atualizações

Dica 5 – Não estou conseguindo instalar uma atualização.

Caso você tenha dificuldades para instalar as atualizações pelo Windows Update você pode baixar manualmente e instalar.

Eu sempre uso o site https://www.catalog.update.microsoft.com/ quando preciso realizar alguma atualização manual.

Já vi também problemas com atualizações por conta do antivírus e por perfis que não existem mais no computador/servidor, onde precisei remover no regedit para conseguir realizar algumas atualizações.

Essas são algumas dicas sobre atualizações e WSUS, reforço aqui no final, crie um ambiente de homologação tanto para maquinas Clientes quanto para Servidores, isso irá evitar muitas dores de cabeça para você.

Verificando quais opções de instalação de um arquivo .exe para customização de script

Dicas, Microsoft

Fala pessoal, tudo certo?

Hoje recebi uma demanda para realizar a instalação de um software no formato .exe, porem eu queria instalar ele de forma silenciosa sem nenhuma interação do usuário rsrs

Existe a opção de MSI, porem não era meu caso. Tentei realizar a instalação com /s para ficar no modo silent porem sem êxito rsrs.

No meu caso, consegui instalar ele de forma silenciosa com algo bem básico. Abri o cmd e coloquei o nome do software /?

Aqui como exemplo irei usar o ADK

Com isso, o mesmo abriu o executável e mostrou varias opções que você pode colocar no script para automatizar a instalação

Aqui tem todos os parâmetros que posso usar no script para automatizar a instalação como por exemplo

Dessa forma ele irá instalar todos os recursos sem mostrar a parte gráfica.

Você pode usar o /? para outros softwares para verificar quais opções de instalação você tem.

Nem todos os softwares irão ter essas opções de customização.

Um outro exemplo com o TreeSizeFreeSetup

Com isso você pode customizar seu script de instalação da maneira que você desejar.

No meu caso em especifico, criei um script simples de logon da seguinte forma

copy \\paulocostati.com\netlogon\software.exe c:\
cd \
software.exe /parâmetros que visualizei no /?

Com isso quando o usuário estava realizando o logon, o script copiava o arquivo para maquina local e executava com os parâmetros que coloquei. O arquivo salvei como .bat e coloquei na GPO de logon

5 Dicas para deixar seu Active Directory mais saudável e seguro

Microsoft, Windows Server

Trabalhando como analista de infraestrutura, verifico diversos ambientes com configurações especificas para cada ambiente. Nesse post irei falar sobre 5 dicas no qual vejo ser importantes em um ambiente com Active Directory.

Dica 1 – Manter os servidores atualizados.

Percebo que muitos profissionais de TI, tem medo de realizar atualização do S.O em servidores, principalmente em um com um Active Directory Instalado. Percebo muitas vezes o seguinte pensamento “Se está funcionando, porque eu deveria mexer? Reiniciar, atualizar…” Se você tem um ambiente saudável com redundância, não há problema algum de atualizar seu servidor. O ideal é que você tenha um ambiente para homologação, sei que nem sempre você terá recursos para isso. Caso você não tenha um ambiente para homologação, antes de instalar atualizações verifique sempre quais alterações essa atualização irá fazer, pois caso você verifique algum problema depois de atualizar, saberá se a atualização impactou no problema.

Dica 2 – Mantenha o modelo de menor privilegio.

O que quero passar com a ideia de menor privilegio? Não de mais privilegio/acesso/permissão para um usuário/grupo que não precisa. Como assim? Vou te dar um exemplo que vejo muito acontecer… um usuário x dentro do grupo de administradores do domínio. Essa é uma falha que vejo acontecer muito… e quão grave é essa falha? MUITO GRAVE rsrs

O grupo administradores do domínio, são os todos poderosos, os que podem fazer praticamente tudo, até destruir seu ambiente. Então muito cuidado ao incluir um usuário nesse grupo.

Dica 3 – Cuidado com alterações nas GPO`s Default Domain Policy e Default Domain Controllers Policy

Percebo no dia a dia, nem todo mundo tem um controle total do seu ambiente de AD, e realizam configurações desnecessárias nessas duas GPOs. Essas GPOs são muito importante para seu ambiente, então cuidado ao realizar alterações nela, aconselho a criar uma nova GPO para fazer uma outra configuração e não configurar direto na Default Domain Policy

Dica 4 – Tenha no Mínimo 2 servidores de Active Directory

Sempre falo, quem tem apenas 1 AD não tem nenhum rsrs, então recomendo que você tenha no mínimo 2 servidores com o Active Directory, de preferencia não coloque funções e recursos desnecessários nos servidores, e sempre valide que estão replicando corretamente.

Dica 5 – Realize uma limpeza nos objetos a cada x tempo

Como assim Paulo? rsrs Deixa eu te explicar… Quando falo em realizar uma limpeza, é excluir computadores que não estão mais na sua rede, usuários que não são usados a por exemplo 2 meses… Exclua objetos que não estão sendo usados… MAS MUITO CUIDADO, TENHA CERTEZA QUE ESSE OBJETO NAO VAI IMPACTAR ALGO EM SEU AMBIENTE.

Ahh e usuário você desabilita.

Recriando as GPOs Default Domain Policy e Default Domain Controllers Policy

GPO, Microsoft, Windows Server

Fala pessoal, tudo bem com vocês ?

No artigo de hoje irei mostrar como recriar as GPOs Default Domain Policy e Default Domain Controllers Policy… Aí você me pergunta isso pode ser necessário? Minha resposta é SIM, principalmente se você tem apenas 1 controlador de domínio. Já peguei diversos casos em clientes com problemas, pois um vírus corrompeu essas GPOs, ou alguém apagou, ou simplesmente elas desapareceram rsrs

Comandos que usei:

Dcgpofix /target:both

Para mais informações sobre o dcgpofix

https://docs.microsoft.com/pt-br/windows-server/administration/windows-commands/dcgpofix

Windows 10 com update gerando problemas com impressoras KB5000802

Microsoft, Windows 10

Fala pessoal, hoje trago um caso especifico que um amigo meu do trabalho o Renato Cavalcanti, pegou recentimente.

Vários computadores com Windows 10 estavam com problemas para imprimir em impressoras Kyocera 

Procurei em outros foruns e vi que em outras impressoras também estava acontecendo o mesmo problema (Tela Azul da morte rsrs)

O problema vi relatado após a atualização de março KB5000802, para resolver é necessário realizar um roll back ou restaurar o computador para uma data no qual não tinha essa atualização.

Para remover a atualização:

Abra o Windows Update

Procure por Exibir histórico de atualização

Clique em Desinstalar atualizações

Localize o KB e clique para desinstalar.

A versão do KB vai depender de qual versão do Windows 10 você usa, se você não localizar esse KB, outras atualizações que estão sendo afetadas são: KB5000802, KB5000808, KB5000809 e KB5000822

Corrigindo o problema

A Microsoft começou a lançar uma nova atualização cumulativa opcional para a versão do Windows 10 20H2, 2004 e anteriores. Mas ATENÇÃO ESSA ATUALIZAÇÃO NÃO SERÁ INSTALADA AUTOMATICAMENTE.

Os KBs com as correções são:

  1. KB5001567 
  2. KB5001566 
  3. KB5001568 
  4. KB5001565 

Cada KB corresponde a uma versão do Windows 10.

Você pode encontrar no Windows Update ou no site: https://www.catalog.update.microsoft.com/

Referencias: https://www.windowslatest.com/2021/03/10/windows-10-kb5000802-march-update-is-crashing-pcs-with-bsod/

Conhece o Microsoft Defender Application Guard ?

Dicas, Microsoft

O Microsoft Defender Application Guard, lançado pela Microsoft, é uma solução no qual visa segurança, evitando ataques, isolando seu hardware.

Irei falar um pouco sobre o Application Guard, em solução para office 365, acredito que hoje você deve abrir muitos arquivos na sua empresa rsrs.

Como o Application Guard funciona no caso do Office? Quando você baixa um arquivo não confiável por exemplo: um arquivo do PowerPoint, o Application Guard irá abrir o arquivo em um contêiner habilitado para Hyper-V isolado.

O que isso significa? Quando você abrir o arquivo não confiável, o mesmo irá usar um contêiner do Hyper-V que não tem acesso ao seu Sistema operacional, ou seja, se for um arquivo malicioso seu Sistema operacional ficará protegido, pois o contêiner não tem comunicação com seu Hardware/S.O

Imagem retirada da Microsoft.

Para saber mais acesse:

https://docs.microsoft.com/pt-br/windows/security/threat-protection/microsoft-defender-application-guard/md-app-guard-overview