4 Dicas para buscar informações no AD com PowerShell

PowerShell, Windows Server

Fala pessoal, tudo certo com vocês?

Hoje irei falar um pouco sobre PowerShell e GPO, e alguns comando que uso no meu dia a dia, que podem ajudar a vocês, a ter um processo mais automatizado para algumas coisas. Já vi pessoas por exemplo, entrando em usuário por usuário para verificar se a conta estava com a senha para nunca expirar, ou tirar um relatório de contas bloqueadas..

Hoje irei deixar 4 dicas, de comandos que você pode precisar usar, e vai economizar muito tempo do seu trabalho.

Eu particularmente, sempre gosto de usar o PowerShell ISE, para realizar algumas tarefas.

Vamos para 1ª dica, bem simples e que pode ajudar você a saber se seu ambiente está em compliance com suas diretivas na empresa.

Dica 1:

Como identificar via Powershell contas que estão marcadas para a senha nunca expirar? (Lembrando do meu post passado, isso não é uma boa pratica ter contas com senhas que nunca expiram…)

Com o PowerShell ISE ou Powershell, no seu AD, execute o seguinte comando:

Search-ADAccount -PasswordNeverExpires -UsersOnly

Esse comando retornara para você todos usuários que estão com a senha para nunca expirar, automatizando seu trabalho e trazendo esses dados em segundos rsrs.

Dica 2:

E como verificamos quais contas estão expiradas? Bem simples também, iremos mudar apenas 1 coisinha.

Search-ADAccount -AccountExpired  -UsersOnly

Esse comando retornara todas as contas expiradas, bem mais simples que procurar uma por uma né? rsrs

Dica 3:

E como verificar quais contas estão bloqueadas? O comando é praticamente o mesmo, mudando apenas um parâmetro

Search-ADAccount -LockedOut -UsersOnly

Esse comando retornara todas as contas bloqueadas, facilitando seu trabalho 😀

Dica 4:

Como verificar quais contas estão desabilitadas rsrs

Search-ADAccount -AccountInactive -UsersOnly

Com esse comando, iremos verificar todas as contas desabilitadas.

Além desses comandos, que coloquei de uma forma mais simples, existe diversos outros parâmetros que você pode usar, como por exemplo, exportar para um arquivo HTML, ou realizar alguns filtros para aparecer só o nome, dentre vários outros. Irei deixar a documentação da Microsoft, no qual irá mostrar com mais detalhes esses comandos.

Eu gosto de usar bastante o Format-Table nos comandos e em scripts, irei deixar também a documentação dele.

Search-ADAccount (Documentação)

https://docs.microsoft.com/en-us/powershell/module/activedirectory/search-adaccount?view=windowsserver2019-ps

Format-Table (Documentação)

https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.utility/format-table?view=powershell-7.1

LGPD e Segurança em Ambientes Windows.

GPO, Windows Server

Fala pessoal, tudo bem com vocês? Hoje irei falar um pouco sobre Segurança e LGPD para ambientes Windows.

Recentemente li um livro do Grande Daniel Donda, “Guia pratico de implementação da LGPD”, no qual recomendo muito vocês comprarem. Irei deixar o link no final.

O que significa LGPD ?

Lei Geral de Proteção de Dados Pessoais

Lendo o livre, vi muitas coisas interessantes, principalmente para ambientes Microsoft (o livro é baseado em ambientes Microsoft)

Uma das primeiras coisas que achei importantíssimo, foi sobre o Hardening dos Servidores, vocês sabem o que é isso? Já implementaram alguma vez? Nossos servidores estão com todos os nossos dados, e por isso devemos deixa-lo seguro. O hardening é realizado para diminuir a superfície de ataques nos servidores ou em Workstations.

Mas Paulo, como irei fazer um hardening? Primeiro de tudo, cuidado ao aplicar um hardening que você encontrou na internet e não sabe o que ele irá fazer rsrs.

Vamos começar pelo básico, as queridas GPOs, com elas já conseguimos realizar diversos bloqueios, e configurações que irão ajudar nessa jornada.

Porem, na maioria das vezes cada servidor roda um serviço diferente, como um AD, Banco de dados, Servidor de arquivos e etc. Cada servidor deve ter seu hardening, pois alguns bloqueios podem afetar nos serviços.

Uma outra boa pratica é usar o Bitlocker para criptografia, principalmente em dispositivos que sempre estão rodando de um local para outro. Imagina um funcionário ser roubado com o notebook e alguém ter acesso a documentos confidenciais que estavam nele? Pois é, sei que você não deseja isso. Então vamos pensar em Bitlocker.

Uma outra boa pratica, e que as vezes se não for configurado da forma correta, irá afetar alguns serviços ou até parar seu ambiente. Antivírus, mas da mesma forma do hardening use politicas de acordo com o tipo de serviço que seu servidor tem. Como por exemplo no Hyper-V, a Microsoft disponibiliza quais configurações você deve colocar no seu antivírus para não impactar no serviço.

Voltando para GPOs, você pode procurar por Baselines e ler sobre as configurações, testar em um ambiente de homologação. A Microsoft disponibiliza o Microsoft Security Compliance, que é um conjunto de ferramentas de segurança para GPO. Uma outra que indico é a CIS (Center for Internet Security), no site é possível encontrar PDFs com configurações e explicações de cada indicação que ela dá.

Ficou interessado em saber mais ? Vou deixar alguns links

Microsoft anuncia fim da sincronização do WSUS 3.0 SP2

Microsoft, Windows Server

Fala pessoal, tudo certinho?

Recentemente a Microsoft anunciou que no dia 31 de outubro de 2021, o WSUS na versão 3.0 não irá mais realizar sincronizar e baixar as atualizações.

O WSUS é um serviço que utilizado praticamente em todas as empresas, então precisamos nos preparar para atualizar os nossos servidores, para não perder a comunicação.

Vou deixar aqui um link com mais informações sobre..

https://techcommunity.microsoft.com/t5/windows-it-pro-blog/end-of-synchronization-for-wsus-3-0-sp2/ba-p/2371993

Dicas para melhorar o gerenciamento e configurações de Diretivas de Grupo (Group Policy Management)

GPO, Microsoft, Windows Server

Fala pessoal, tudo bem com vocês? Hoje irei falar sobre algumas dicas de gerenciamento e configurações de GPO, na minha visão e que acho pertinente para a maioria dos ambientes.

Primeiro, quero falar sobre onde eu sempre começo a criar as GPOs, sempre começo criando as GPOs nos Objetos de políticas de Grupo (Group Policy Objects)

Vale lembrar, que as GPOs são configuradas para computadores, usuários ou ambos. Também podemos criar filtros WMI para colocar um filtro mais avançado.

Dica 01

Para começar, a primeira dica que irei colocar aqui, é criar uma OU que contenha um computador e um usuário para realizações de testes para homologação, lembrando é claro que a GPO deve ser inclusa apenas nessa OU. Realize todos os testes, para não afetar seu ambiente de produção

Após realizar os testes e verificar se tudo funcionou corretamente, irei para a próxima dica…

Dica 02

Seu ambiente provavelmente deve ser segmentado por OUs como por exemplo departamentos da empresa, regiões, cidades etc.

Minha dica é inclua a GPO o mais próximo possível de onde ele será utilizado.

Vou dar um exemplo, vamos dizer que tenho várias OUs no meu ambiente, como: Financeiro, RH, Comercial e TI.

Essa GPO que estou criando seria para os usuários de TI, então irei incluir a GPO a OU TI. (Lembrando que os usuários e computadores devem estar nessa OU)

Dica 03

Configure filtros para as GPOs, crie Grupos no AD para incluir usuários, computadores…

Na parte de segurança de GPO, ela permite uma granularidade muito grande para segurança. Alem de grupos, você pode criar filtros WMI e aplicar também. Com filtros WMI, você pode filtrar por tipo de S.O, quantidade de memória RAM, além de outras muitas possibilidades, irei deixar um link falando mais sobre WMI

https://docs.microsoft.com/pt-br/windows/security/threat-protection/windows-firewall/create-wmi-filters-for-the-gpo

Dica 04

Relembrando a dica 02, tente evitar colocar políticas desnecessárias a nível de domínio, principalmente com o parâmetro de enforce. O parâmetro enforce (a que a GPO fica com um cadeado) irá sobrescrever as permissões, lembrando… as permissões mais restritivas é que serão aplicadas.

Windows Server 2008 R2 erro 80092004 atualização

Dicas, Windows Server

Fala pessoal, tudo certinho?

Recentemente peguei um problema para realizar atualizações em um Servidor Windows Server 2008 R2 para ser mais especifico em 2 atualizações

Realizei algumas tarefas como desativar o antivírus, verificar a integridade do S.O e por fim baixar direto do Global Catalog da Microsoft e tentar instalar manualmente, porem nenhuma funcionou rsrs

Então fui fazer o trabalho de casa rsrs procurar por erros semelhantes, e depois de varias pesquisas achei uma solução bem fácil e simples baixar a atualização KB4490628 direto do Global Catalog e depois de instalar essa atualização, consegui resolver os problemas das outras atualizações. O problema é na criptografia e essa atualização corrige o mesmo.

Então se você está passando por esse problema, basta instalar o KB acima em negrito que seus problemas serão resolvidos rsrs.

Configurando o Shadow no RDS para visualizar as sessões do RDS Windows Server 2019.

GPO, Windows Server

Fala pessoal, hoje venho mostrar uma funcionalidade antiga, mas que talvez voce não conheça. O Shadow, com ela podemos visualizar e ate controlar sessões no RDS.

Hoje irei mostrar como configurar uma GPO para visualizar as sessões sem a necessidade de o usuário clicar em permitir.

Em servidores com o acesso remoto habilitado, as vezes precisamos verificar algum problema em um acesso, e com o Shadow podemos visualizar isso.

Para configurar sem precisar do consentimento do usuário precisamos definir nas politicas de grupo.

Vamos abrir o gpedit.msc

Em Computer Configuration vamos até

Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Connections

Aqui iremos configurar Set rules for remote control of Remote Desktop services user sessions

Vamos definir a seguinte configuração

View Session without user’s permission

Existe outras opções, você pode configurar de acordo com sua necessidade.

Agora irei realizar um gpupdate /force para pegar a nova configuração e realizar o teste.

No nosso servidor iremos em Remote Desktop Services e abrir a parte de Collections

Vamos em Connections no usuário Arthur, clicar com o botão direito e selecionar Shadow

Agora temos 2 opções, uma para visualizar e outra para controlar. Também tem a opção de pedir autorização ao usuário, porem não irei usar.

Vamos clicar em View

Aqui podemos visualizar em tempo real o problema do usuário

Visão do Shadow

5 Dicas para deixar seu Active Directory mais saudável e seguro

Microsoft, Windows Server

Trabalhando como analista de infraestrutura, verifico diversos ambientes com configurações especificas para cada ambiente. Nesse post irei falar sobre 5 dicas no qual vejo ser importantes em um ambiente com Active Directory.

Dica 1 – Manter os servidores atualizados.

Percebo que muitos profissionais de TI, tem medo de realizar atualização do S.O em servidores, principalmente em um com um Active Directory Instalado. Percebo muitas vezes o seguinte pensamento “Se está funcionando, porque eu deveria mexer? Reiniciar, atualizar…” Se você tem um ambiente saudável com redundância, não há problema algum de atualizar seu servidor. O ideal é que você tenha um ambiente para homologação, sei que nem sempre você terá recursos para isso. Caso você não tenha um ambiente para homologação, antes de instalar atualizações verifique sempre quais alterações essa atualização irá fazer, pois caso você verifique algum problema depois de atualizar, saberá se a atualização impactou no problema.

Dica 2 – Mantenha o modelo de menor privilegio.

O que quero passar com a ideia de menor privilegio? Não de mais privilegio/acesso/permissão para um usuário/grupo que não precisa. Como assim? Vou te dar um exemplo que vejo muito acontecer… um usuário x dentro do grupo de administradores do domínio. Essa é uma falha que vejo acontecer muito… e quão grave é essa falha? MUITO GRAVE rsrs

O grupo administradores do domínio, são os todos poderosos, os que podem fazer praticamente tudo, até destruir seu ambiente. Então muito cuidado ao incluir um usuário nesse grupo.

Dica 3 – Cuidado com alterações nas GPO`s Default Domain Policy e Default Domain Controllers Policy

Percebo no dia a dia, nem todo mundo tem um controle total do seu ambiente de AD, e realizam configurações desnecessárias nessas duas GPOs. Essas GPOs são muito importante para seu ambiente, então cuidado ao realizar alterações nela, aconselho a criar uma nova GPO para fazer uma outra configuração e não configurar direto na Default Domain Policy

Dica 4 – Tenha no Mínimo 2 servidores de Active Directory

Sempre falo, quem tem apenas 1 AD não tem nenhum rsrs, então recomendo que você tenha no mínimo 2 servidores com o Active Directory, de preferencia não coloque funções e recursos desnecessários nos servidores, e sempre valide que estão replicando corretamente.

Dica 5 – Realize uma limpeza nos objetos a cada x tempo

Como assim Paulo? rsrs Deixa eu te explicar… Quando falo em realizar uma limpeza, é excluir computadores que não estão mais na sua rede, usuários que não são usados a por exemplo 2 meses… Exclua objetos que não estão sendo usados… MAS MUITO CUIDADO, TENHA CERTEZA QUE ESSE OBJETO NAO VAI IMPACTAR ALGO EM SEU AMBIENTE.

Ahh e usuário você desabilita.

Curso de WSUS na plataforma Wenz

Windows Server

Fala pessoal, tudo bem com vocês?

Hoje foi lançado na plataforma Wenz Cursos, meu curso sobre WSUS totalmente na pratica.

No curso eu abordo:

Instalação do Servidor WSUS

Configuração do Servidor

Como configurar GPOs

Falo também sobre problemas com o servidor e mais algumas coisas rsrs

Ficou interessado? Da uma conferida na plataforma, existe diversos outros cursos também

https://lnkd.in/dc9uJV

Recriando as GPOs Default Domain Policy e Default Domain Controllers Policy

GPO, Microsoft, Windows Server

Fala pessoal, tudo bem com vocês ?

No artigo de hoje irei mostrar como recriar as GPOs Default Domain Policy e Default Domain Controllers Policy… Aí você me pergunta isso pode ser necessário? Minha resposta é SIM, principalmente se você tem apenas 1 controlador de domínio. Já peguei diversos casos em clientes com problemas, pois um vírus corrompeu essas GPOs, ou alguém apagou, ou simplesmente elas desapareceram rsrs

Comandos que usei:

Dcgpofix /target:both

Para mais informações sobre o dcgpofix

https://docs.microsoft.com/pt-br/windows-server/administration/windows-commands/dcgpofix