módulo 2-apostila prática-segurança em sistemas da informação-ssi

Kit Didático de Segurança em Sistemas da

Informação

Teoria e Prática

Índice

KIT DIDÁTICO DE SEGURANÇA EM SISTEMAS DA INFORMAÇÃO i

Índice

Parte 1 - Apresentação e Configurações ............ ......................................................................... 5

Apresentação do kit ......................................................................................................................... 7 Instalação do Windows Server 2003 ......................................................................................... 7

Configuração da Interface de rede do Servidor Windows 2003 Server e das estações Windows XP. .......................................................................................................................... 11 Protocolo TCP/IP no Windows XP .......................................................................................... 11 Resolvendo problemas de TCP/IP .......................................................................................... 13 Métodos de resolução de nome .............................................................................................. 13

Prática 1: Configuração de Rede TCP/IP ...................................................................................... 20 Prática 2: Verificando a configuração e funcionalidade do TCP/IP ................................................ 21 Configuração de redes Microsoft ................................................................................................... 23

Configurando o Windows XP Professional para funcionar em redes Microsoft ....................... 23 Trabalhando com grupos de trabalho ..................................................................................... 23 Contas de usuário de domínio ................................................................................................ 26 Configurando a segurança local ............................................................................................. 27 Criando um console de segurança ......................................................................................... 27 Configurando opções de logon em um grupo de trabalho ....................................................... 30 Configurando opções de rede em um grupo de trabalho ........................................................ 32 Ingressando em um domínio .................................................................................................. 36

Prática 3: Configuração de Redes Microsoft .................................................................................. 41 Utilizando e configurando Desktop Remoto com VPN ................................................................... 47

Estabelecendo conexões de acesso remoto ........................................................................... 47 Estabelecendo uma sessão de acesso remoto ....................................................................... 49 Configurando conexões de entrada ........................................................................................ 54 Remote Desktop ..................................................................................................................... 57

Prática 4: Utilizando e configurando Desktop Remoto com VPN ................................................... 59 Configuração do Windows XP Professional para computação móvel ............................................ 63

Configurando o Windows XP Professional para computação móvel ....................................... 63 Configurando o hardware para computação móvel ................................................................. 63 Configurando as opções de gerenciamento de energia para computação móvel ................... 65 Disponibilizando arquivos, pastas e páginas da Web para uso off-line ................................... 67

Prática 5: Configuração do Windows XP Professional para computação móvel ............................ 73 O que são as ferramentas administrativas..................................................................................... 78

Administrando o Windows Server 2003 .................................................................................. 79 Instalando o pacote de ferramentas administrativas ............................................................... 79 MMC – Microsoft Management Console ................................................................................. 80 Resolução de problemas na instalação das ferramentas administrativas ............................... 81

Prática 6: Instalando as ferramentas administrativas ..................................................................... 83

Parte 2 - Active Directory e Administração de conta s de usuários e computadores ............. 85

Active Directory ............................................................................................................................. 87 Visão geral do Active Directory ............................................................................................... 87 O esquema no Active Directory .............................................................................................. 92 O protocolo LDAP ................................................................................................................... 93

Índice

ii KIT DIDÁTICO DE SEGURANÇA EM SISTEMAS DA INFORMA ÇÃO

Estrutura lógica do Active Directory ........................................................................................ 93 Domínios no Windows Server 2003 ........................................................................................ 94 Unidades organizacionais ....................................................................................................... 94 Árvores e florestas .................................................................................................................. 95 Catálogo global ....................................................................................................................... 96 Controladores de domínio ...................................................................................................... 96

Prática 7: Ingressando em um domínio ......................................................................................... 98 Administração de contas de usuários e computadores ................................................................ 100

Convenções de nomeação ................................................................................................... 101 Diretrizes para senhas .......................................................................................................... 102 Pastas ou diretórios pessoais ............................................................................................... 103 Grupos ................................................................................................................................. 103 Tipo de contas de usuários no SOR Windows 2003 ............................................................. 104 Criando contas de usuário .................................................................................................... 104 Associação de nomes com contas de usuário de domínio .................................................... 105 Posição da conta de usuário na hierarquia do Active Directory ............................................ 106 Opções de senha da conta de usuário ................................................................................. 106 Como criar contas de usuários ............................................................................................. 107 Usando ferramentas de linha de comando para a administração ......................................... 108 Opções de conta .................................................................................................................. 109 Definindo propriedades para contas de usuário de domínio ................................................. 110 Gerenciando os dados de usuário criando pastas-base ....................................................... 110 Definindo propriedades para contas de usuário de domínio ................................................. 111 Definindo propriedades de conta .......................................................................................... 113 Especificando opções de logon ............................................................................................ 113 Copiando contas de usuário de domínio ............................................................................... 114 Copiando uma conta de usuário existente ............................................................................ 115 Quais propriedades são copiadas de uma conta para outra? ............................................... 115 Personalizando configurações de usuário com perfis de usuário .......................................... 117 Recomendações para administrar usuários .......................................................................... 119

Prática 8: Criando contas de usuário de domínio ........................................................................ 120

Parte 3 - Gerenciamento de Acesso a Recursos ...... ............................................................... 125

Gerenciamento de Acesso a Recursos........................................................................................ 127 O que são permissões? ........................................................................................................ 127 Pastas compartilhadas ......................................................................................................... 127 Compatilhando pastas .......................................................................................................... 128 As permissões são cumulativas ............................................................................................ 130 Negar permissões substitui outras permissões ..................................................................... 130 Concedendo permissões de pasta compartilhada ................................................................ 130 Modificando configurações de pastas compartilhadas .......................................................... 131 Conectando-se a pastas compartilhadas .............................................................................. 132 Usando My Network Places .................................................................................................. 132 Usando Map Network Drive .................................................................................................. 132 Usando o comando Run ....................................................................................................... 133 Combinando as permissões de NTFS e de pasta compartilhada .......................................... 133 Usando pastas compartilhadas administrativas .................................................................... 134 Publicando uma pasta compartilhada no Active Directory .................................................... 135 Permissões NTFS ................................................................................................................ 136

Índice

KIT DIDÁTICO DE SEGURANÇA EM SISTEMAS DA INFORMAÇÃO iii

Permissões de arquivo NTFS ............................................................................................... 136 Atribuindo permissões NTFS ................................................................................................ 139 Herança de permissões NTFS .............................................................................................. 139

Prática 9: Gerenciando Acesso a Recursos ................................................................................ 141

Parte 4 - Configuração IIS ........................ ................................................................................. 149

Configuração IIS.......................................................................................................................... 151 Configuração de um Servidor Web ....................................................................................... 151 Visão Geral do IIS ................................................................................................................ 151 Administrando o IIS .............................................................................................................. 152 Resolvendo Problemas do IIS .............................................................................................. 153

Parte 5 - Monitoramento de Rede e Implementação de Segurança ....................................... 1 55

Monitoramento de rede e implementação de segurança ............................................................. 157 Monitoração de Segurança ................................................................................................... 157 O protocolo SNMP ................................................................................................................ 160 Monitoração de Dispositivos de Rede ................................................................................... 163 Monitoração de Servidores ................................................................................................... 165

Prática 10: Instalação e Utilização de um Sniffer ......................................................................... 168 Implementação de Segurança ..................................................................................................... 174

Implementação de segurança em sistemas operacionais ..................................................... 174 Implementação de segurança em Windows Server .............................................................. 175 Implementação de segurança em serviços ........................................................................... 179 Implementação de segurança em aplicações ....................................................................... 183

Prática 11: Aplicação de segurança em servidores ..................................................................... 185

Anexo1 - Procedimentos de Instalação Módulo I ..... ............................................................... 195

Introdução ................................................................................................................................... 197 Conceitos e Implementação de Sistema Operacional Windows XP Professional ................. 197

Procedimento para preparação da imagem ................................................................................. 198 1. Máquina Instrutor .............................................................................................................. 198 2. Máquina Aluno.................................................................................................................. 211

Anexo2 - Procedimentos de Instalação Módulo II .... ............................................................... 217

Introdução ................................................................................................................................... 219 Administrando um Ambiente Microsoft Windows Server 2003 .............................................. 219

Procedimento para preparação da imagem ................................................................................. 219 1. Máquina Instrutor .............................................................................................................. 219 2. GLASGOW ....................................................................................................................... 231 3. Máquina Aluno.................................................................................................................. 234 4. Preparação Laboratório ......................................................... Erro! Indicador não definido.

Índice

iv KIT DIDÁTICO DE SEGURANÇA EM SISTEMAS DA INFORMA ÇÃO

KIT DIDÁTICO DE SEGURANÇA EM SISTEMAS DA INFORMAÇÃO 5

Parte 1 - Apresentação e Configurações


6 KIT DIDÁTICO DE SEGURANÇA EM SISTEMAS DA INFORMAÇ ÃO



APRESENTAÇÃO DO KIT

Instalação do Windows Server 2003

Preparando-se para a instalação

Para efetuar a instalação do Windows Server 2003, é necessário conhecer o hardware, pois o Windows Server 2003 tem um grande banco de dados com os principais drivers e todos eles já testados e com a assinatura digital da Microsoft. Mas alguns dispositivos são posteriores a compilação do Windows Server 2003 e podem ser detectados e instalados com drivers genéricos ou mesmo não sendo instalados.

Para isso todo dispositivo novo acompanha um CD-Rom ou disquete com o drive do dispositivos para vários sistemas operacionais, e não deixe de confirmar se o dispositivo tem suporte ao Windows Server 2003. Uma preparação para instalação é importante para efetuar uma instalação segura e evitar problemas futuros de instalação durante e depois da instalação e assim configurando corretamente o seu sistema operacional.

Escolhendo o sistema operacional

Para gerenciar um ambiente de rede com o Windows Server 2003, devemos entender qual versão do sistema operacional é a mais adequada para cada uma das diferentes funções que um servidor pode exercer em uma rede.

Devemos também entender o objetivo de um serviço de diretório e como o Active Directory fornece uma estrutura para um ambiente de rede com o Windows 2003.

Servidores podem exercer muitas funções em um ambiente de rede cliente/servidor. Alguns servidores podem ser configurados para fornecer serviços de autenticação, outros para rodar aplicações ou ainda para fornecer serviços que permitam aos usuários se comunicarem ou encontrarem recursos na rede.

As principais funções que podem ser exercidas por um servidor com Windows Server 2003 são:

Controlador de domínio : são aqueles servidores que armazenam os dados do serviço de diretório e gerenciam a comunicação entre usuários e domínios, incluindo os processos de logon, autenticação e buscas no diretório. Quando instalamos o Active Directory em um computador com Windows Server 2003, o computador se torna um controlador de domínio.1

1 Em um ambiente de rede com Windows Server 2003, todos os computadores que não são controladores de domínio

são chamados de servidores membros (member server). Já aqueles servidores que não são associados com um domínio são chamados servidores de grupo de trabalho (workgroup servers).


8 KIT DIDÁTICO DE SEGURANÇA EM SISTEMAS DA INFORMAÇ ÃO

Servidor de arquivos : um servidor de arquivos fornece uma localização central em sua rede onde os usuários podem armazenar e compartilhar arquivos com outros usuários da rede.

Servidor de impressão : Um servidor de impressão fornece uma localização central na rede onde os usuários podem imprimir. O servidor de impressão fornece drivers de dispositivos de impressão atualizados para os clientes e gerencia todas as filas de impressão e aspectos de segurança.

DNS Server : DNS (Domain Name System) é um serviço padrão da Internet e da pilha de protocolos TCP/IP. O serviço DNS permite que os computadores clientes em uma rede registrem e resolvam nomes de domínio. Um computador configurado para fornecer serviços DNS em uma rede é conhecido como servidor DNS. Devemos ter um servidor DNS em uma rede para implementarmos o serviço de Active Directory.

Servidor de aplicação : Um servidor de aplicação fornece serviços e infra-estrutura para hospedar aplicações de um sistema. Alguns serviços que devem estar ativos em servidores de aplicação são:

– Gerenciamento de transações distribuídas;

– Programa de comunicação assíncrona;

– Modelo de ativação just-in-time;

– XML Web Service;

– Serviços de detecção de falha e saúde de aplicações;

– Segurança integrada.

Terminal Server : Um Terminal Server dá a computadores remotos o acesso a programas baseados em Windows que são executados no lado do servidor, instalando a aplicação em um único ponto em um servidor. Desta forma, vários usuários podem usar a aplicação sem a necessidade de instalação local em seus computadores. Usuários podem rodar programas, salvar arquivos e usar os recursos da rede de um local remoto, como se os recursos estivessem localmente instalados.

Edições do Windows Server 2003

O Windows Server 2003 está disponível em quatro edições distintas. Cada edição foi projetada para ser utilizada para uma função específica de servidor. Isto permite a escolha de um sistema operacional que ofereça todas as funções e capacidades para satisfazer as necessidades comerciais de sua empresa.

Você pode encontrar um comparativo sobre as versões da família Windows Server 2003 no site oficial da Microsoft (material em português):

http://www.microsoft.com/brasil/windowsserver2003/compare.mspx



Windows Server 2003, Web Edition . Criado para ser usado especificamente como um servidor Web, o Windows Server 2003, Web Edition traz a próxima geração de recursos de infra-estrutura de Web para os sistemas operacionais de servidor Windows. Os provedores de serviços de Internet e outras pessoas que queiram somente a funcionalidade da Web beneficiar-se-ão desse sistema operacional de baixo custo que é fácil de implantar e de gerenciar.

As empresas que necessitam de recursos corporativos devem optar pelo Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition ou Windows Server 2003, Datacenter Edition. Todos os recursos do Windows Server 2003, Web Edition estão também disponíveis nessas edições mais completas do sistema operacional. O Windows Server 2003, Web Edition pode ser obtido somente através de parceiros selecionados da Microsoft.

Para obter maiores informações sobre as capacidades do Windows Server 2003, Web Edition, acesse o site oficial da Microsoft (material em português):

http://www.microsoft.com/brasil/windowsserver2003/compare_web.mspx

Windows Server 2003, Standard Edition . O Windows Server 2003, Standard Edition fornece uma plataforma de servidor abrangente que é fácil de implantar, gerenciar e usar. Ele permite às empresas reduzir o custo total de propriedade. Graças em parte ao suporte de muitos parceiros de hardware e software da Microsoft, o Windows Server 2003 ajuda os usuários a obter o melhor retorno dos investimentos feitos em servidor.

Para obter maiores informações sobre as capacidades do Windows Server 2003, Standard Edition, acesse o site oficial da Microsoft (material em português):

http://www.microsoft.com/brasil/windowsserver2003/compare_standard.mspx

Windows Server 2003, Enterprise Edition . O Windows Server 2003, Enterprise Edition permite a implantação de aplicativos extremamente disponíveis e escalonáveis no hardware de PC padrão de mercado. Isso resulta em uma infra-estrutura extremamente produtiva e otimizada para a execução de todos os aplicativos e serviços vitais para os negócios. Exemplos comuns de aplicativos adequados para o Windows Server 2003, Enterprise Edition incluem serviço de rede, transmissão de mensagens, sistemas de inventário e de atendimento ao cliente, bancos de dados, sites de comércio eletrônico e servidores de arquivo e de impressão.

Independentemente do tamanho da organização, o Windows Server 2003, Enterprise Edition é uma boa opção para a execução de aplicativos que precisam estar sempre disponíveis. Ele também proporciona às organizações em crescimento a capacidade de garantir a disponibilidade de aplicativos críticos, permitindo a elas dimensionar esses aplicativos para atender à demanda maior.

Para obter maiores informações sobre as capacidades do Windows Server 2003, Enterprise Edition, acesse o site oficial da Microsoft (material em português):

http://www.microsoft.com/brasil/windowsserver2003/compare_enterprise.mspx


10 KIT DIDÁTICO DE SEGURANÇA EM SISTEMAS DA INFORMA ÇÃO

Windows Server 2003, Datacenter Edition . O Windows Server 2003, Datacenter Edition oferece aprimoramentos confiáveis, escalonáveis e gerenciáveis comparáveis aos do Windows 2000 Enterprise Server e oferece suporte a cargas de trabalho de missão crítica nos centros de dados corporativos. Isso resulta em uma infra-estrutura extremamente produtiva e otimizada para a execução da maioria dos aplicativos e serviços.

O principal elemento de distinção entre o Windows Server 2003, Datacenter Edition e as outras edições da família Windows Server 2003 é a forte comunidade de OEMs (fornecedores de hardware independentes e fornecedores de software independentes - ISVs). Essas empresas estão ativamente envolvidas com os clientes do Windows Server 2003, Datacenter Edition e comprometidas com a parceria com elas durante a vida útil do sistema, o que torna o Windows Server 2003, Datacenter Edition diferente de qualquer outra solução de plataforma disponível hoje.

Para obter maiores informações sobre as capacidades do Windows Server 2003, Datacenter Edition, acesse o site oficial da Microsoft (material em português):

http://www.microsoft.com/brasil/windowsserver2003/compare_datacenter.mspx



CONFIGURAÇÃO DA INTERFACE DE REDE DO SERVIDOR WINDOWS 2003 SERVER E DAS ESTAÇÕES WINDOWS XP.

Protocolo TCP/IP no Windows XP

O Transmission Control Protocol/Internet Protocol (TCP/IP) para Windows XP Profissional oferece um padrão de gestão de redes empresarial, pois é o protocolo mais completo e aceito disponível no mercado. A maioria dos sistemas operacionais de rede atual transmite em TCP/IP, e redes grandes usam o TCP/IP para a maioria do tráfego entre elas. O TCP/IP identifica origem e computadores de destino por meio de endereços IP. Para comunicação em uma rede, cada computador tem de ter um endereço IP único. O conhecimento sobre as opções básicas da configuração do IP, bem como de técnicas de resolução de problemas, é necessário para conectar-se à rede adequadamente.

Um nome de dispositivo geralmente é um nome amigável que exclusivamente identifica um dispositivo na rede. Um exemplo de um nome amigável é o nome do computador que você fornece quando você instala o Windows XP Profissional.

Para aplicações que usam nomes em vez de endereços IP, o Windows XP Profissional tem vários métodos possíveis para resolver estes nomes em endereços IP. Sem a habilidade para resolver nomes em endereços IP, aplicações que usam nomes não podem comunicar em um ambiente de TCP/IP.

Observação : o Protocolo TCP/IP é instalado por padrão no Windows XP Professional.

Há dois métodos para se configurar endereços IP e suas opções em um sistema operacional Windows XP Professional: endereçamento manual ou dinâmico

Configurando um endereço manualmente

Nesse método, você configura manualmente um endereço IP no computador ou dispositivo de rede. O Windows XP Profissional fornece um local específico para configuração manual do Protocolo de Internet (TCP/IP).

Além de especificar o IP, você tem de especificar uma máscara de subnet e um endereço de gateway padrão, se necessário. Esses números fornecem a identificação para o computador ou para o dispositivo.

Uma máscara de subnet é usada para identificar se um endereço de destino está na subnet local ou na subnet remota. Se o endereço de destino está em uma subnet remota, o computador local usará o endereço do gateway padrão para enviar a informação fora da subnet local. Se um endereço de destino está na subnet local, a informação é remetida ao dispositivo especificado sem passar pelo gateway padrão. Assim, configuração do endereço de gateway padrão não é necessária se você só tiver uma única subnet em sua rede e não tiver necessidade de se comunicar fora daquela subnet.



Para configurar o endereço IP manualmente:

No menu Start, clique no Control Panel, clique em Network and Internet Connections, e, então, clique na Network Connections.

Clique com o botão direito do mouse na Local Area Connection, e então clique Properties.

Na janela de propriedades, clique em Internet Protocol (TCP/IP), e então clique em Properties.

Na folha de Internet Protocolo (TCP/IP) Properties, clique Use the following IP address, e digite os valores para IP address, Subnet mask e Default Gateway, e então clique o OK duas vezes.

Observação : a maioria dos computadores tem só um adaptador de rede instalado e por isso requer só um único endereço IP. Para dispositivos com múltiplos adaptadores de rede instalados, cada adaptador requer seu próprio endereço IP. Também é importante destacar que cada adaptador de rede pode ter mais de um endereço IP configurado, assim como mais de Gateway padrão. Para configurar esses endereços adicionais basta clicar no botão Advanced, nas propriedades do TCP/IP.

Configuração automática de endereço

Endereçamento dinâmico (automático) é o método padrão de atribuição de endereço no Windows XP Profissional. O servidor de DHCP fornece um endereço IP, máscara de subnet, e Gateway padrão para o cliente. Se o servidor DHCP estiver indisponível, um endereço alternativo será fornecido até que um servidor DHCP seja encontrado. Na guia de Alternate Configuration das propriedades do Internet Protocol(TCP/IP) estão disponíveis as seguintes opções alternativas:

Automatica private IP address. O computador usará um IP especifico de intervalo padrão de endereço, que vai de (169.254.0.1 até 169.254.255.254).

User Configured. O computador usará a configuração de IP estática alternativa especificada na guia Alternate Configuration

Se um endereço estático for especificado, este será o único método de endereçamento que Windows XP Professional usará.

Por padrão, Windows XP Profissional é configurado para obter um endereço IP automaticamente usando o DHCP.

Para habilitar o método de endereçamento automático, faça o seguinte:

No menu Start, clique em Control Panel, clique em Network and Internet Connections e então clique em Network Connections.

Clique o botão direito em Local Area Connection, e então clique Properties.

Clique em Internet Protocol (TCP/IP), e então clique em Properties.



Clique em Obtain na IP address automatically, e então clique o OK duas vezes.

Resolvendo problemas de TCP/IP

O Windows XP Profissional fornece vários utilitários de diagnóstico TCP/IP que o ajudam a descobrir e solucionar problemas de transmissão de dados em rede. Os utilitários de diagnóstico mais utilizados funcionam em prompt de comando, e são listados na tabela abaixo:

Arp Exibe e modifica o cache de ARP. O ARP é responsável por identificar o endereço de controle de acesso de mídia (MAC) do adaptador de rede no computador de destino. O endereço de controle de acesso de mídia é único para cada adaptador de rede existente e utiliza um número de doze caracteres em hexadecimal.

Digite arp -a ao prompt de comando para exibir a informação do cache de ARP.

Hostname Exibe o nome do computador.

Ipconfig Exibi e atualiza a configuração de TCP/IP atual.

Ping Testa conectividade de IP entre dois computadores. O ping utiliza o subprotocolo do TCP/IP ICMP. O ICMP é o protocolo responsável para fornecer funções diagnóstico e erros informando os resultado da entrega malsucedida de dados. O teste de conectividade pode ser realizado usando um endereço IP ou nome de computador Para testar a configuração de TCP/IP de seu próprio computador, você usa o local loopback. Loopback local é o endereço 127.0.0.1.

Pathping Associações das características de ping e tracert.

Tracert Rastreia a rota que um pacote leva a um destino.

Observação : para mais informações e sintaxe de utilização, digite o comando desejado no prompt de comando seguido de /?.

Métodos de resolução de nome

Para aplicações que usam nomes em vez de endereços IP, o Windows XP Profissional tem vários métodos de resolução de nome que fornecem a habilidade de mapeamento de nomes para endereços IP. Sem a habilidade para resolver nomes para endereços IP, aplicações que usam nomes não podem se comunicar.

Há dois métodos de resolução de nome que automaticamente atualizam a busca de informação:

Sistema de Nome de domínio (DNS – Domain Name System). Traduz nomes de computador para endereços IP.

Windows Internet Name Service (WINS). Traduz nomes NetBIOS para IP.



A determinação do método de resolução de nome usado por seu computador depende do ambiente de rede em que o cliente está configurado.

Características de cada tipos de nome

Nome de Host – método primário para resolução de nomes

Atribuído a um computador pelo administrador para identificar um host TCP/IP.

Até 255 caracteres de tamanho.

Pode usar letras, números e caracteres.

Junto com o nome de domínio cria um nome de domínio completamente qualificado (FQDN – Fully Qualified Domain Name)

Nome de NetBIOS – método secundário de resolução de nomes

Nome de 16-bytes.

15 dos bytes podem ser usados para o nome e o 16º byte é usado pelos serviços que um computador oferece à rede

Mapeamento de nomes: tabelas estáticas e dinâmicas

O Windows XP Professional armazena um mapeamento de nomes para endereços IP em uma tabela estátia ou dinâmica.

Mapeamento dinâmico

Uma tabela dinâmica é automaticamente atualizada por serviços de rede. Para realizar a atualização automática, as tabelas dinâmicas usam um de dois serviços: DNS para nomes de host e WINS para nomes de NetBIOS.

DNS

O Sistema de Nome de domínio (DNS) é uma administração de banco de dados distribuída cliente/servidor baseada na hierarquia do sistema. O propósito do banco de dados de DNS é traduzir nomes de computador em endereços IP. Quando um usuário entra com um nome de domínio em uma aplicação, o DNS, mapeia o nome para um endereço IP. Se você está usando o Active Directory, você tem de implementar DNS.



O sistema de nomeação DNS faz o mapeamento de nomes para os números correspondentes, e é organizado em uma hierarquia permitindo escalabilidade.

Fazendo uma analogia com o sistema telefônico, indivíduos dentro do mesmo código de cidade têm de ter um número de telefone sem outro igual. Indivíduos em outras cidades podem ter um número de telefone duplicado se os códigos de cidade são diferentes. Indivíduos em países diferentes podem usar o mesmo código de cidade e número de telefone se o código rural for diferente. Semelhantemente, um nome de host pode ser duplicado se alguma porção do nome de domínio for diferente.

Cada computador que armazena os registros de mapeamento de nome de domínio para o endereço IP tem mapeamentos somente para sua área. Esses computadores são conhecidos como servidores de DNS. Como os mapeamentos na área mudam, servidores de DNS podem ser atualizados automaticamente com uma nova informação.

WINS

No Windows XP Profissional, o principal método para localizar e comunicar com outros computadores em uma rede de TCP/IP é usando o serviço de DNS. Porém, clientes que usam versões anteriores do Windows, como computadores com Microsoft Windows 98 ou Microsoft Windows NT 4.0, também usam o sistema NetBIOS para comunicação de rede. Dessa forma, esses clientes necessitam de um método para resolver nomes NetBIOS em endereços IP.

O serviço de WINS fornece um banco de dados distribuído para registrar mapeamentos dinâmicos de Nomes de NetBIOS que são usados em uma rede. O WINS mapeia nomes de NetBIOS em endereços IP, permitindo que esses nomes sejam usados na rede.

Um servidor WINS não é necessário para uma rede composta completamente de computadores com o Windows XP Profissional, mas se há aplicações ou servidores que usam nomes NetBIOS, o WINS é necessário para resolução de nome.

Mapeamento estático

O mapeamento estático é feito através de dois arquivos: hosts ou lmhosts. Nesse método de mapeamento, cada computador na rede deve possuir uma cópia desses arquivos. Por isso, se há uma grande quantidade de mapeamentos de endereços IP a ser feita, a manutenção desses arquivos pode se tornar muito trabalhosa.

A seguir veremos cada um desses arquivos.

Arquivo HOSTS

O arquivo de HOSTS é um arquivo de texto que contém o mapeamento do endereço IP para o nome de host.



A lista seguinte descreve o conteúdo do arquivo de HOSTS:

Uma única entrada é formada de um endereço IP que corresponde a um ou mais nomes de host.

Deve existir um arquivo HOSTS em cada computador.

O arquivo de HOSTS é usado pela ferramenta ping e outras funcionalidades da pilha de protocolos TCP/IP para resolver um nome de host para um endereço IP em redes locais e remotas.

No Windows XP Profissional, o arquivo de HOSTS também pode ser usado para resolver nomes NetBIOS, se necessário.

O arquivo de HOSTS pode ser editado com qualquer editor de texto. Por padrão o arquivo HOSTS está vazio. O diretório onde o arquivo se encontra é: %systemroot%\system32\drivers\etc\

Arquivo LMHOSTS

O arquivo de LMHOSTS é um arquivo de texto que contém o mapeamento do endereço IP para o nome NetBIOS.

O arquivo de LMHOSTS tem as seguintes características:

Resolve nomes NetBIOS usados no Windows NT e outras aplicações NetBIOS.

Entradas consistem de um nome NetBIOS e seu endereço IP correspondente. O Nome de NetBIOS é um nome único (exclusivo) ou de grupo (não exclusivo). Nomes únicos são tipicamente usados para permitir a comunicação em rede para um processo específico em um computador. Nomes NETBIOS de grupo são usados para enviar informação para vários computadores de uma vez.

Cada computador tem seu próprio arquivo. Um arquivo de amostra Lmhosts.sam é fornecido com Windows XP Profissional. Depois de modificar o arquivo de amostra com as entradas de LMHOSTS, o arquivo deve ser renomeado como LMHOSTS sem uma extensão. O diretório do LMHOSTS é: %systemroot%\system32\drivers\etc\lmhosts.sam

Selecionando um método de resolução de nomes

O método DNS é necessário quando o computador cliente:

É membro de um domínio Active Directory;

Precisa se comunicar com à Internet.

O Windows XP Professional suporta NetBIOS over TCP/IP (NetBT) para dar suporte a resolução de nomes e conexão a serviços para clientes que usam versões anteriores do Windows. O NetBT permite que aplicações baseadas no NetBIOS se comuniquem usando o TCP/IP.



O WINS é necessário quando o computador cliente:

É membro de um domínio Windows NT 4.0 ou inferior;

Usa aplicações ou serviços que necessitam da resolução de nomes NetBIOS.

Se o servidor WINS não existe e a resolução de nomes NetBIOS é necessária, você pode usar o arquivo LMHOSTS para isso.

O processo de resolução de nomes de host (DNS) no Windows XP Professional é o seguinte:

O usuário digita um comando no computador A, por exemplo ftp, especificando o nome do computador B (ftp ftp.teste.com.br).

O computador A verifica se o nome digitado coincide com o seu próprio nome.

O computador A verifica se o nome está no cache DNS local.

Se o nome não é encontrado, o computador A verifica o arquivo HOSTS.

Se ainda não encontrar o nome, o computador A envia uma solicitação para o servidor DNS.

Se o nome não for encontrado no servidor DNS, o Windows XP Professional verifica se o nome está no cache NetBIOS local.

Se não, o computador A envia uma solicitação para o servidor WINS.

Se o servidor WINS não resolver o nome, uma mensagem em broadcast será enviada na rede.

Se não há resposta para o broadcast, o computador verifica o arquivo LMHOST.

Se o nome não é encontrado, uma mensagem de erro é exibida.

O processo de resolução de nomes NetBIOS no Windows XP Professional é o seguinte:

O usuário digita um comando no computador A, por exemplo, net use, especificando o nome NetBIOS do computador B.

O computador A verifica se o nome está no cache NetBIOS local.

Se o nome não é encontrado, o computador A envia uma solicitação para o servidor WINS.

Se o servidor WINS não resolver o nome, uma mensagem em broadcast é enviada na rede.

Se não há resposta para o broadcast, o computador verifica o arquivo LMHOST.

Se os métodos anteriores não resolverem, o computador A consulta o arquivo HOSTS.

Se o nome ainda não é resolvido, o computador A envia uma solicitação ao servidor DNS.

Se o nome não é encontrado, uma mensagem de erro é exibida.



Configurando nomes de Hosts , de domínio e outros nomes

Um computador com Windows XP Professional tem um nome de host (host name) e um sufixo DNS primário. Quando for resolver um nome de host não qualificado, o cliente DNS irá usar tanto o nome do host quanto o sufixo DNS primário, agregando este último ao primeiro.

Para ver ou mudar o nome do host e o sufixo DNS primário, faça o seguinte:

Clique em Start, clique com o botão direito do mouse em My Computer e então em Properties. Na guia Computer Name, é mostrado o nome totalmente qualificado do host.

Para mudar o nome do host, clique em Change e então digite o novo nome na caixa Computer Name.

Para mudar o sufixo DNS primário, clique em More e então digite o sufixo na caixa Primary DNS suffix of this computer.

Para configurar um cliente para usar o servidor DNS, faça o seguinte:

Clique em Start, Control Panel e então em Network and Internet Connections. Em seguida, clique em Network Connections.

Selecione a conexão de rede desejada e clique em Properties.

Na lista, clique em Internet Protocol (TCP/IP) e então clique em Properties.

Se desejar usar um servidor DHCP para fornecer os endereços dos servidores DNS, clique em Obtain DNS server address automatically.

Se desejar configurar o endereço do servidor DNS manualmente, clique em Use the following DNS server addresses e digite o endereço IP do servidor DNS primário na caixa Preferred DNS server.

Se um segundo servidor DNS existir, digite o endereço IP dele na caixa Alternate DNS server.

Para configurar um cliente WINS manualmente, faça o seguinte:

1. Na folha de propriedades do TCP/IP, Internet Protocol (TCP/IP) Properties, clique em Advanced.

2. Na caixa de diálogo Advanced TCP/IP Settings, na guia WINS, clique em Add.

3. Digite o endereço IP do servidor WINS e então clique em Add.



4. Repita os passos 2 e 3 para todos os servidores WINS adicionais.



PRÁTICA 1: CONFIGURAÇÃO DE REDE TCP/IP

Objetivo

Configurar um endereço IP estático

Faça logon como Administrator usando a senha: password;

Clique em Start, e Control Panel;

Na página Pick a Category, clique em Network and Internet Connections.

Clique em Network Connections;

Clique com o botão direito em Local Area Connection e então clique em Properties.

Duplo clique em Internet Protocol (TCP/IP);

Selecione Use the following IP addres e então na caixa IP address, digite 192.168.x.2yy (onde X é o número de sua sala e yy é o seu número de estudante) e preencha a Subnet mask com 255.255.255.0.

Selecione Use the following DNS server addresses e na caixa Preferred DNS server, digite 192.168.x.200 e então clique em OK e clique em Close.

Clique em Start, clique em Run e então na caixa Open, digite cmd e clique em OK.

No prompt de comando, digite ping 192.168.x.2yy e pressione ENTER.

No prompt de comando, digite ipconfig /all e pressione ENTER. Verifique se as informações exibidas são iguais as digitadas nos passos anteriores.

Digite exit e pressione ENTER.

Feche todas as janelas e efetue log off.



PRÁTICA 2: VERIFICANDO A CONFIGURAÇÃO E FUNCIONALIDADE DO TCP/IP

Tarefas Etapas detalhadas

Efetuar logon no domínio nwtraders como Studentx (onde x é o número de aluno atribuído a você) com a senha domain e tentar modificar as propriedades do TCP/IP.

Efetue logon usando as seguintes informações: User name (Nome de usuário): Student x (onde x é o número de aluno atribuído a você) Password (Senha): domain Log on to (Efetuar logon em): nwtraders (Dica: Clique em Options (Opções) para exibir a área Log on to da caixa de diálogo.)

Clique em Start (Iniciar) Control Panel (Painel de controle) e clique com o botão direito em Network Connections e então em Open

Na caixa de diálogo Network Connections , clique com o botão direito do mouse em Local Area Connection (Conexão de rede local) e, em seguida, clique em Properties (Propriedades).

Uma mensagem é exibida, informando que você não possui privilégios suficientes para acessar as propriedades do TCP/IP.

(continuação) Clique em OK para fechar a caixa de mensagem Local Network (Rede local).

Clique em Close (Fechar) para fechar a caixa de diálogo Local Area Connection Properties (Propriedades de conexão de rede local).

Feche o Network Connections e efetue logoff.

Efetuar logon no domínio nwtraders como Adminx (onde x é o número de aluno atribuído a você) com a senha domain . Verificar as propriedades existentes do TCP/IP usando os comandos ipconfig e ping .

Efetue logon usando as seguintes informações: User name: Admin x (onde x é o número de aluno atribuído a você) Password: domain Log on to: nwtraders

No Manage Your Server Wizard desmarque a caixa de seleção Show this screen at startup (Exibir esta tela na inicialização) e feche o assistente.



Clique em Start , run , digite cmd e dê enter .

No prompt de comando, digite ipconfig /all | more e pressione ENTER.

O utilitário Ipconfig exibe as propriedades do TCP/IP dos adaptadores físicos e lógicos configurados no seu computador.

(continuação) Para verificar se o TCP/IP está funcionando e vinculado ao seu adaptador, digite ping endereço_ip (onde endereço_ip é o endereço IP do seu computador) e pressione ENTER.

Quatro respostas Reply from endereço_ip indicam que o TCP/IP foi configurado e vinculado ao adaptador local.

Teste a conectividade do TCP/IP com o computador do instrutor digitando ping endereço_ip_do_instrutor (onde endereço_ip_do_instrutor é o endereço IP do computador do instrutor) e pressione ENTER.

Minimize o prompt de comando.



CONFIGURAÇÃO DE REDES MICROSOFT

Configurando o Windows XP Professional para funcionar em redes Microsoft

O Windows XP Professional foi desenvolvido para trabalhar em ambientes de rede em grupos de trabalho ou domínios; portanto é importante compreender a forma com que as contas de usuário, a autenticação e a segurança são tratadas em cada um desses ambientes. Para configurar o Windows XP Professional a fim de operá-lo em um grupo de trabalho ou domínio, você deve criar e configurar corretamente contas de usuário e a segurança da rede.

É importante que você compreenda as semelhanças e as diferenças entre os grupos de trabalho e os domínios de forma que possa configurar o Windows XP Professional para operar adequadamente em seu ambiente de rede.

Observação : o Windows XP Home Edition foi desenvolvido para operar apenas em grupos de trabalho.

Trabalhando com grupos de trabalho

Para configurar o Windows XP Professional a fim de operá-lo nas redes Microsoft Windows, você deve compreender como um ambiente de grupo de trabalho afeta a configuração. Você também deve ser capaz de diferenciar os tipos de contas de usuário e seus recursos.

Examinando grupos de trabalho

Um grupo de trabalho é um agrupamento de computadores em uma rede que compartilha recursos, como arquivos e impressoras.

Um grupo de trabalho é conhecido como uma rede ponto a ponto, pois todos os computadores em um grupo de trabalho compartilham recursos da mesma forma, ou como pontos, sem haver um servidor dedicado.

Quando usar grupos de trabalho

Em organizações de pequeno porte, a capacidade que os computadores em um grupo de trabalho têm de compartilhar recursos, sem a necessidade de alocar um computador exclusivamente para isso (servidor), evita despesas extras relacionados ao servidor e ao software servidor.

Os computadores que executam o software servidor em um grupo de trabalho são conhecidos como servidores autônomos (stand-alone servers). Os grupos de trabalho também são usados em organizações nas quais a administração centralizada de recursos e contas não é necessária ou não é desejável.



Características dos grupos de trabalho

Apesar de os grupos de trabalho serem muito úteis, eles tornam-se difíceis de ser gerenciados se houver mais de dez computadores em uma rede. Em um grupo de trabalho, todas as contas de usuário são contas de usuário local. Um usuário deve ter uma conta de usuário local em cada computador ao qual deseja obter acesso.

Contas de usuário em grupos de trabalho

As contas de usuário local permitem que usuários façam logon e acessem recursos em um computador especifico. Essas contas residem no SAM (Security Account Manager), e devem ser criadas em cada computador.

Criando e autenticando contas de usuário local

As contas de usuário local, que são o único tipo de conta de usuário em um ambiente de grupo de trabalho, são criadas no computador no qual elas serão usadas, e permitirão que o usuário acesse recursos nesse computador.

Como a conta de usuário local reside localmente, ela controla o acesso somente aos recursos locais, que são os recursos que residem no computador local. Quando uma conta de usuário local é autenticada, ela é autenticada conforme as credenciais do SAM local.

Criando contas de usuário local

Em um ambiente de grupo de trabalho, uma conta de usuário local deve ser criada em cada computador ao qual a pessoa precisa obter acesso.

Para criar uma conta de usuário, faça o seguinte:

Clique em Start, clique com o botão direito do mouse em My Computer e então em Manage.

Expanda Local Users and Groups, clique com o botão direito do mouse em Users e então em New User.

Na caixa New User, preencha os campos User Name, Full Name (opcional) e Description (opcional).

Digite uma senha e confirme-a.



Selecione User must change password at next logon (recomendado) ou User cannot change password (impedindo que o usuário altere a senha atribuída). Selecione Account is Disabled, a menos que o usuário comece a utilizar a conta brevemente.

Clique em Create.

Quando uma conta de usuário é criada, ela tem um tipo de conta padrão. Um tipo de conta determina as ações que o usuário pode desempenhar no computador. Em um grupo de trabalho, o tipo de conta padrão depende de como você cria o usuário.

Se a conta de usuário é criada por meio da ferramenta Computer Management, o tipo de conta padrão é usuário restrito (Limited). Se a conta é criada no Control Panel, o tipo de conta padrão é Administrador (Administrator), sem senha. Esse tipo de conta pode oferecer um risco à segurança; por isso, todas as contas de usuário devem ser criadas por meio do console Computer Management.

Privilégios do tipo de conta

Cada tipo de conta é exibido embaixo do nome da conta na tela de boas-vindas. Os três tipos de contas e os privilégios associados são:

Uma conta de usuário Restrito (Limited - participante do grupo Users) pode alterar a imagem associada à sua conta de usuário, alterar a senha do próprio usuário, remover a senha do próprio usuário.

Uma conta de usuário Padrão (Standard - participante do grupo Power Users) tem os mesmos privilégios que uma conta do usuário restrito e também pode fazer alterações básicas na configuração do computador, como propriedades do vídeo e opções de energia.

Observação : uma conta de usuário padrão não pode ser criada por meio do Control Panel. Para conceder ao usuário privilégios de um usuário padrão, ou usuário avançado, você deve adicionar o usuário ao grupo Usuários avançados no console Computer Management.

Uma conta de Administrador do computador (Computer Administrator - participante do grupo Administrators) tem os mesmos privilégios que uma conta do usuário padrão e também pode fazer alterações em todo o computador e acessar todos os arquivos do computador, pode instalar hardware e software além de criar, alterar e excluir contas.

Alterando os tipos de conta

Para alterar o tipo de conta de uma conta de usuário local em um grupo de trabalho:

Clique em Start, clique em Control Panel, clique em User Accounts e, em seguida, clique em Change an account.



Clique em Change the account type, selecione um tipo de conta e clique em Change Account Type. A conta de usuário será exibida com o novo tipo de conta abaixo do nome do usuário.

Autenticando contas de usuário local

Quando o usuário faz logon em um computador local, o processo de autenticação faz o seguinte:

O usuário fornece um nome de usuário e uma senha e o Windows XP Professional encaminha essas informações para o SAM do computador local.

O Windows XP Professional compara as informações de logon com as informações de usuário contidas no SAM.

Se as informações forem iguais e a conta do usuário for válida, o Windows XP Professional criará um token de acesso para o usuário. Um token de acesso é a identificação do usuário no computador local e contém as configurações de segurança do usuário.

Essas configurações de segurança permitem que o usuário obtenha acesso aos recursos apropriados e execute tarefas específicas do sistema.

Em um grupo de trabalho, o usuário faz logon e é autenticado no computador local. Quando o usuário precisa obter acesso a recursos em outro computador no grupo de trabalho, as credenciais do usuário são enviadas para esse outro computador. Se o SAM no outro computador aceitar as credenciais, o usuário será autenticado, receberá um token de acesso e obterá acesso aos recursos daquele computador. Se o SAM não aceitar as credenciais, credenciais válidas serão solicitadas ao usuário.

Esse processo de autenticação de grupo de trabalho requer que qualquer alteração feita em uma conta de usuário, como uma alteração de senha, seja executada em cada computador que o usuário precise acessar.

Contas de usuário de domínio

Permitem que usuários façam logon no domínio para obter acesso a recursos da rede e residem no Active Directory.

O Active Directory é um banco de dados de objetos e recursos da rede que fica armazenado em um ou mais servidores. Quando contas de usuários são criadas nesse banco de dados, dizemos que essas contas são contas de domínio.

O Active Directory traz o benefício de um gerenciamento centralizado de recursos da rede inclusive de contas de usuários, dessa forma fazendo com que os usuários se autentiquem em um lugar centralizado.



Como se pode perceber, diferentemente do grupo de trabalho, a conta de usuário de domínio é criada apenas uma vez no Active Directory, dando ao usuário o direito de fazer logon em qualquer computador do domínio e acessar qualquer recurso desse domínio (desde que tenha as permissões adequadas).

Cada pessoa que usa regularmente os recursos em computadores da rede deve possuir uma conta de usuário.

Configurando a segurança local

O MMC (Microsoft Management Console) permite que você tenha acesso às ferramentas administrativas e também crie consoles personalizados com base em determinadas tarefas ou computadores como, por exemplo, criar um console com base na segurança local.

Quando você configura a segurança local, você define as diretivas de contas e computadores individuais. Para configurar a segurança local, você deve obter acesso aos consoles MMC pré-configurados, como o console Computer Management ou criar uma console personalizado.

Consoles pré-configurados que estão na pasta Administrative Tools não podem ser personalizados.

Por padrão, a pasta Administrative Tools não está visível no menu Start padrão. Para que as ferramentas administrativas fiquem visíveis no menu Start, faça o seguinte:

Clique com o botão direito do mouse em Start e, em seguida, clique em Properties.

Na guia Menu Start, certifique-se de que Menu Start está selecionado e clique em Customize.

Na guia Advanced, em Menu Start Items, selecione uma das opções para exibir Administrative Tools e clique em OK duas vezes.

Observação : o Menu Start clássico, que é o Menu Start disponível nas versões anteriores do Windows, está disponível. Para usá-lo, abra a folha Start Menu Properties e selecione Classic Menu Start.

As opções de segurança importantes podem ser configuradas usando um console MMC personalizado na segurança local.

Criando um console de segurança

Criar uma console de segurança permite que você abra uma ferramenta para executar várias tarefas de segurança relacionadas. Para criar uma console personalizado, você adiciona snap-ins e salva o console resultante com um nome descritivo. Para criar um console de segurança local personalizado, faça o seguinte:

Clique em Start, clique em Rum, digite mmc e clique em OK.

No menu File, clique em Add/Remove snap-in.



Na página Add/Remove snap-in, clique em Add.

Na janela Add Standalone Snap-in, selecione Group Policy da lista em ordem alfabética e clique em Add.

Na janela Select Group Policy Object, verifique se o computador local é exibido e clique em Finish. O snap-in Group Policy (diretiva de grupo), que permite que você defina as configurações do computador e do usuário, é exibido como Local Computer Policy na árvore de console.

Na janela Add Standalone Snap-in, selecione Local Users and Groups e clique em Add.

Você pode usar alguns snap-ins para gerenciar um computador remoto. Quando você seleciona esse tipo de snap-in, é exibida uma caixa de diálogo na qual você especifica o computador que o snap-in irá gerenciar. Clique em Local computer ou Another computer, digite o nome do computador e clique em Finish.

Feche a janela Add Standalone Snap-in.

Na janela Add/Remove snap-in, clique em OK.

No menu File, clique em Save, digite Console de segurança local e clique em Save.

Importante : quando você tenta fechar o console personalizado criado, uma mensagem perguntará “Save settings changes to console name?” Clicar em Yes salvará o console, clicar em No, não o salvará, mas as alterações que você fizer nas configurações serão aplicadas. Clicar em Cancel deixará o console aberto sem salvá-lo.

Configurando Diretivas de conta

O snap-in Group Policy contém as opções para configurarmos o computador encontradas em Computer Configuration. Todas as opções desse item, computer configuration, afetam todos os usuários que fazem logon no computador. Uma parte da configuração da segurança do computador consiste na definição de Diretivas de conta no computador. Para acessar as Diretivas de conta:

Abra um console salvo que inclua o snap-in Group Policy.

Expanda Local Computer Policy, Computer Configuration, Windows Settings, expanda Security Settings e, em seguida, expanda Account Policies

As Diretivas de conta (account policies) consistem em Password Policy e Account Lockout Policy. As configurações de Password Policy permitem que você defina os critérios das senhas. As configurações de Account Lockout Policy permitem que você defina os critérios e o comportamento dos bloqueios de contas de usuários

Configurando a Diretiva de senha



Para obter acesso às definições de Diretiva de senha configuráveis, clique em Password Policy. As propriedades que podem ser configuradas aparecem no painel da direita. Se clicar duas vezes em qualquer configuração, você poderá defini-la. Para manter um nível mínimo de segurança, defina a Diretiva de senha conforme especificado a seguir:

Enforce password history: indica o número de senhas armazenadas no histórico. Você pode configurar um valor de 0 a 24, indicando o número de senhas que o usuário deve obter acesso antes de reutilizar uma senha antiga.

Maximum password age: define o maior número de dias em que o usuário deve usar a mesma senha. Valores de 0 (a senha nunca expira) a 999 são válidos.

Minimum password age: define o número mínimo de dias que uma senha deve ser usada. Um valor de zero indica que a senha deve ser alterada imediatamente. Deve ser menor do que o tempo de vida máximo da senha.

Minimum Password Length: define o número mínimo de caracteres de uma senha. Valores de 0 a 14 são válidos.

Password must meet complexity requirements: quando habilitado, requer que a senha esteja em conformidade com o comprimento e os requisitos de duração; requer que a senha contenha letras maiúsculas, números ou caracteres especiais e não permite que as senhas contenham o nome ou nome completo do usuário.

Store password using reversible encryption for all users in a domain: não aplicável a grupos de trabalho.

Configurando a Diretiva de bloqueio de conta

Para obter acesso às definições de Diretiva de bloqueio de conta configuráveis, clique em Account Lockout Policy.

As propriedades que podem ser configuradas aparecem no painel de detalhes. Se clicar duas vezes em qualquer configuração, você poderá defini-la. Para manter um nível mínimo de segurança, defina a Diretiva de bloqueio de conta conforme mostrado a seguir:

Account lockout duration: indica o número de minutos que a conta é bloqueada. Valores de 0 a 99999 são válidos. Um valor de zero indica que uma conta é bloqueada até que seja redefinida por um administrador.

Account lockout threshold:: indica o número de tentativas de logon inválidas permitido antes que a conta de usuário seja bloqueada. Um valor de zero indica que a conta não será bloqueada, apesar do número de tentativas inválidas.

Reset account lockout counter after: indica o número de minutos decorridos antes de redefinir o contador de bloqueio da conta.

Configurando Diretivas locais



As Diretivas locais (Local Policies) também estão sob Security Settings. Para obter acesso às Diretivas locais, abra um console salvo que inclua o snap-in Group Policy, expanda Local Computer Policy, expanda Computer Configuration, expanda Windows Settings, expanda Security Settings e, em seguida, expanda Local Policies.

As Diretivas locais contêm User Rights Assignment (Atribuição de direitos de usuário) e Security Options (Opções de segurança). As configurações de Atribuição de direitos do usuário permitem que você conceda permissões para desempenhar ações específicas no computador para usuários ou grupos. As configurações de Opções de segurança permitem que você defina configurações de segurança no computador local.

Configurando a Atribuição de direitos de usuário

As Atribuições de direitos de usuário podem ser usadas para negar ou permitir acesso e direitos que os usuários podem ter em seus computadores ou em outros computadores da rede. As opções de configuração são: Access this computer from the network (Acesso a este computador pela rede), Deny access to this computer from the network (Negar acesso a este computador), Deny logon locally (Negar logon local) e Log on locally (logar localmente).

Importante : negar é a primeira permissão que é aplicada e substitui todas as outras permissões. Remover um usuário da lista de acessos concedidos não é o mesmo que negar acesso ao usuário.

Configurando as opções de segurança

As opções de configuração de segurança são as seguintes:

Interactive logon: do not display last user name.

Interactive logon: message text for users attempting to logon.

Interactive logon: message title for users attempting to logon.

Devices: Unsigned driver installation behavior.

Configurando opções de logon em um grupo de trabalho

Configurações em User Configuration afetam usuários ou grupos no computador local. Em um domínio, User Configuration afeta usuários ou grupos em qualquer computador que o usuário se logar. As configurações de User Configuration consistem de Software Settings, Windows Settings e Administrative Templates, no entanto isso pode ser alterado se snap-ins adicionais forem adicionados.

Alterando a tela de boas-vindas



A tela de boas-vindas padrão fornece um método rápido e fácil para que os usuários façam logon habilitando-os a selecionar sua conta de usuário e digitar a senha imediatamente. Essa tela padrão exibe todas as contas de usuário válidas que foram criadas no computador local.

Os ícones do usuário na frente de cada conta podem ser substituídos por uma imagem real do usuário, ou por qualquer outro arquivo de imagem. Por padrão, a conta Administrator é uma das contas exibidas na tela de boas-vindas. No entanto, quando outra conta recebe os privilégios da conta do administrator, ela não é mais exibida.

Você pode alterar a tela de boas-vindas para exigir que os usuários pressionem as teclas CTRL+ALT+DEL para exibir a caixa de diálogo Bem-vindo ao Windows. O usuário precisará digitar um nome de usuário e uma senha válida. Essa opção exibe somente o nome do último usuário que fez o logon na caixa de diálogo.

Para alterar a tela de boas-vindas, Welcome to Windows, abra o Control Panel e clique em User Accounts. Clique em Change the way users log on or off e, em seguida, desmarque a caixa de seleção Use the Welcom Screen.

Habilitando a Troca rápida de usuário

A opção Troca rápida de usuário permite que os usuários alternem entre contas de usuário sem fechar programas ou fazer logoff e isso está ativado por padrão. Por exemplo, a capacidade de alterar contas de usuário sem fazer logoff permite que os usuários que precisam executar funções administrativas obtenham acesso à conta Administrator (ou a outra conta com privilégios administrativos), desempenhe a função administrativa e retornem para suas contas sem precisar encerrar programas ou fazer logoff.

Enquanto a opção Fast User Switching (Troca rápida de usuário) permite que vários usuários façam logon e executem programas simultaneamente, o desempenho do computador dependerá de sua velocidade e da quantidade de memória disponível. Quando a opção Fast User Switching é ativada, o usuário verá três opções na caixa de diálogo Log Off Windows: Logoff, Switch User e Cancel. O botão Switch User pode ser usado para alterar para outra conta de usuário que fez logon ou para fazer logon como um usuário adicional.

Quando a opção Fast User Switching está desativada, o botão Switch User não é exibido. A opção Fast User Switching também adiciona uma guia no Task Manager do Windows. Nessa guia, chamada Users, os usuários podem fazer logoff, e aqueles usuários com privilégios administrativos podem fazer logoff deles mesmos ou de outros usuários.

Para desativar a Troca rápida de usuário:

Clique em Start, clique em Control Panel, clique duas vezes em User Accounts e, em seguida, clique em Change the way users log on or off.

Desmarque a caixa de seleção Use Fast User Switching e, em seguida, clique em Apply options.



Configurando opções de rede em um grupo de trabalho

Em um ambiente de grupo de trabalho, você deve executar o Network Setup Wizard (Assistente para configuração de rede) antes de configurar as seguintes opções:

Firewall de conexão com a Internet (ICF, Internet Connection Firewall). Permite que você use um computador para proteger toda a rede e proteger a conexão com a Internet.

Compartilhamento de pastas (Folder Sharing). Permite que os usuários na rede compartilhem pastas.

Compartilhamento de impressoras (Printer Sharing). Permite que os usuários na rede acessem as impressoras da rede.

Antes de usar o Network Setup Wizard para configurar o ICS, você deve concluir a lista de verificação Etapas para a criação de uma rede doméstica ou de pequena empresa. Para acessar o assistente e a lista de verificação:

Clique em Start, clique em Control Panel, clique em Network and Internet Connections e, em seguida, clique em Setup or change your home or small Office network.

Na página Welcome do Network Setup Wizard, clique em Next e, em seguida, clique em Checklist for creating a network (lista de verificação de criação de rede).

A lista de verificação para a criação de uma rede doméstica ou de pequena empresa (Home and Small Network Setup checklist) contém uma lista das tarefas a serem concluídas antes de executar o assistente, e tem links para as referências que podem ajudá-lo a concluir as tarefas.

Conclua a verificação e clique em Network Setup Wizard para retornar ao assistente.

Configurando o Compartilhamento de conexão

O Compartilhamento de conexão com a Internet (ICS, Internet Connection Sharing) conecta vários computadores à Internet usando uma única conexão com a rede mundial de computadores.

ICS – Internet Connection Sharing

Quando o ICS é configurado, um computador, chamado de host-ICS, conecta-se diretamente com a Internet e compartilha a conexão com outros computadores na rede. Os computadores clientes dependem do computador host-ICS para ter acesso à Internet.

A segurança é aprimorada quando o ICS é ativado, pois somente o computador host-ICS é visível para a Internet. Qualquer comunicação entre os computadores clientes e a Internet deve ser feita por meio de um host-ICS, o que mantém os endereços dos computadores clientes ocultos para a Internet. Somente o computador que executa o ICS é visto de fora da rede.

Além disso, o computador host-ICS gerencia o endereçamento da rede. O computador host-ICS atribui a ele mesmo um endereço permanente e fornece um serviço Dynamic Host Configuration



Protocol (DHCP, protocolo de configuração dinâmica de hosts) para os clientes ICS, atribuindo um endereço exclusivo a cada cliente de ICS e, conseqüentemente, fornecendo uma forma de os computadores se comunicarem na rede.

Tipos de conexão de ICS

O Assistente Network Setup Wizard deve ser executado em cada computador, que é parte do grupo de trabalho. Quando você executa o assistente, você pode escolher se o computador deve ser o host-ICS ou o computador cliente, usando uma das seguintes opções:

This computer connects directly to the Internet. Th e other computers on my network connect to the Internet through this computer (Este computador se conecta diretamente à Internet. Os outros computadores da rede se conectam à Internet por meio deste computador)

Essa configuração define o computador como o host-ICS. Quando o Assistente é executado, ele detecta se há vários adaptadores de rede instalados no computador. Em seguida, ele pergunta se deseja criar a ponte de rede (Network Bridge).

Os adaptadores de rede que são conectados à Internet, como o adaptador Ethernet conectado a uma modem DSL ou cable modem, não devem ser adicionados à Ponte de rede. A Ponte de rede simplifica a configuração de redes pequenas que são formadas de diferentes tipos de mídia, como Ethernet, adaptadores de rede de linha telefônica residencial (HPNA, home line network adapters), redes sem fio e dispositivos IEEE 1394.

Cada tipo de mídia cria seu próprio segmento de rede. Você pode criar uma única sub-rede para toda o ambiente usando a Ponte de rede em segmentos de mídia diferentes. A Ponte de rede oferece flexibilidade aprimorada permitindo uma mistura de tipos de mídia e automatizando as difíceis configurações que são normalmente associadas aos ambientes de mídia mistos.

This computer connects to the Internet through anot her computer on my network or through a residential gateway (Este computador se conecta à Internet por meio de outro computador na rede ou por um gateway residencial)

Essa configuração define o computador como cliente de um host-ICS ou de um gateway residencial. Um gateway residencial é um dispositivo de hardware que trabalha da mesma forma que um computador host-ICS.

Normalmente, um modem DSL ou cable-modem está conectado ao gateway residencial, que, por sua vez, é conectado a um hub ou switch Ethernet, onde estão conectados os computadores clientes.

Ao usar essa configuração, o computador pode enviar e receber e-mails e acessar a Web como se estivesse conectado diretamente à Internet.

Os clientes de ICS podem descobrir o host-ICS, controlar o status da conexão do host de ICS para o provedor de serviços de Internet (ISP), e exibir informações estatísticas sobre a conexão com a Internet.



Tipos de conexão não-ICS

Se você escolher a opção Others, você terá três opções de conexão que não usam o ICS:

This computer connects to the Internet directly or through a network hub. Other computers on my network also connect to the Internet directly or through a hub (Este computador se conecta diretamente à Internet ou por meio de um hub. Outros computadores da rede também se conectam a Internet diretamente ou por meio de um hub)

Selecione essa opção quando cada computador na rede tiver uma conexão direta com a Internet através de um hub de rede e um DSL ou uma conexão de modem a cabo. Normalmente, essa configuração de rede tem um DSL externo ou um modem a cabo conectado a um hub de rede Ethernet. Essa não é uma configuração de rede recomendada. Ela expõe todos os computadores da rede diretamente à Internet, criando problemas de segurança em potencial. É recomendável que haja um dispositivo de host seguro, como um computador que execute o Windows XP com o ICS e uma Firewall de conexão com a Internet ativada. Se você estiver usando essa configuração não-ICS para sua rede doméstica ou de pequena empresa, recomendamos que desative o compartilhamento de arquivos e impressoras no protocolo TCP/IP e ative-o no protocolo IPX/SPX.

Se você compartilhar arquivos e pastas em seus computadores que usam o protocolo TCP/IP, eles podem ser vistos na Internet. Somente ative o IPX/SPX para o compartilhamento de arquivos e impressoras se você estiver usando essa configuração de rede para a rede doméstica ou de pequena empresa.

This computer connects directly to the Internet. I do not have a network yet (Este computador se conecta diretamente à Internet. Ainda não tenho uma rede)

Selecione essa opção se você tiver somente um computador e ele tiver uma conexão com a Internet. O Assistente Network Setup Wizard configura esse computador para usar a Firewall de conexão com a Internet para proteger o computador de intrusos da Internet.

�This computer belongs to a network that does not ha ve na Internet connection (Este computador pertence a uma rede que não tem uma conexão com a Internet)

Selecione essa opção se tiver dois ou mais computadores em uma rede e nenhum deles tiver uma conexão com a Internet. Se você tiver tipos de adaptadores de rede diferentes, como Ethernet, modem, ou conector wireless instalados no computador que está executando o Windows XP, o Assistente Network Setup Wizard poderá criar uma ponte de rede para permitir que todos os computadores na rede se comuniquem.

Definindo as configurações de rede

Depois de configurar o método de conexão do computador, você deve identificar o computador fornecendo a ele uma descrição e um nome.

Em seguida, você deve nomear o grupo de trabalho. Por fim, você deve aplicar as configurações de rede que foram definidas. Isso pode ser feito no Assistente Network Setup Wizard.



Nome do computador

Um nome de computador identifica o computador na rede. Para participar da rede, cada computador deve ter um nome exclusivo. Se dois computadores tiverem o mesmo nome, é criado um conflito de comunicação na rede.

Ao escolher o nome do computador, sugerimos que você o mantenha curto e simples, como host-ICS ou quarto-casal.

Alguns provedores de serviço da Internet (ISPs) exigem que você use um nome de computador específico.

O nome do computador identifica o computador para a rede do ISP e é usado para validar a conta da Internet. Verifique com o seu ISP se ele requer um nome de computador específico.

Em caso positivo, não altere o nome do computador que foi fornecido pelo seu ISP.

O nome do computador é limitado a quinze caracteres e não pode conter espaços ou algum dos seguintes caracteres especiais como: ; : " < > * + = \ | ? ,

Descrição do computador

A descrição do computador é uma explicação curta do computador.

Por exemplo, você pode desejar ter uma descrição como host-ICS ou Computador do corredor. Se a rede usar uma combinação de sistemas operacionais do Windows, com o Windows XP, o Microsoft Windows ME Edition e o Microsoft Windows 98, a descrição do computador é exibida somente no Windows XP.

Nome de grupo de trabalho

Você identifica a rede nomeando o grupo de trabalho. Todos os computadores na rede devem ter o mesmo nome de grupo de trabalho.

Aplicando as configurações de rede

Depois de configurar o computador e as configurações de grupo de trabalho, você verá a página “Ready to apply network settings”.

Confirme se as informações dessa página estão corretas e clique em Next. Se as informações de configuração da rede estão incorretas, clique em Back para modificar as configurações e conclua o assistente.



Ativando o ICS e as Firewalls de conexão com a Internet

Depois de concluir o Assistente Network Setup Wizard, você pode ativar o ICS e o ICF (Internet Connection Firewall). Você também pode permitir que os usuários da Internet obtenham acesso aos serviços e aos programas sendo executados na rede por meio do ICF ou do ICS.

ICF

O Windows XP fornece a segurança adicional com proteção por firewall a pequenas redes que estão conectadas com a Internet. Uma firewall verifica toda a comunicação que passa pela conexão entre a Internet e o computador e seleciona que informações são recebidas.

O ICF protege o computador permitindo ou negando as comunicações que são destinadas ao computador originadas da Internet. Na maioria das redes domésticas ou de pequena empresa, o ICF deverá ser configurado no computador host-ICS; no entanto, o firewall pode ser ativado em qualquer conexão com a Internet.

Para o ICF, você pode registrar as informações de segurança sobre os serviços e programas que os usuários acessam na Internet. Você também pode configurar como manipular o tráfego do Internet Control Message Protocol (ICMP, protocolo de mensagens de controle da Internet) que é enviado para o computador que executa o ICF.

Ativando o ICS e o ICF

Para ativar o ICS e o ICF:

Clique em Start, clique em Control Panel, clique em Network and Internet Connections e, em seguida, clique em Network Connections.

Clique com o botão direito do mouse na conexão para a qual deseja ativar o ICS e o ICF e, em seguida, clique em Properties.

Na guia Advanced, marque a caixa de seleção em Internet Connection Firewall e, em seguida, marque a caixa de seleção em Internet Connection Sharing.

Se você desejar configurar o ICS ou ICF posteriormente, clique em Settings, selecione as opções desejadas e clique em OK duas vezes.

Ingressando em um domínio

Ingressar em um domínio permite que os usuários com contas de usuário de domínio obtenham acesso aos recursos contidos no domínio.



Ingressar em um domínio também torna o computador e os usuários sujeitos à Group Policy, às Diretivas de conta (Account Policies) e às configurações de segurança (Security Settings) do domínio. O ingresso em um domínio requer o seguinte:

Um nome de domínio.

Você deve ter o nome exato do domínio no qual deseja que o computador ingresse.

Uma conta de computador (computer account)

Antes de um computador ingressar em um domínio, deve existir no Active Directory desse domínio uma conta para o computador. Um administrador do domínio pode criar a conta usando o nome do computador exclusivo, ou você poderá criar a conta durante a instalação se tiver privilégios administrativos. Se a conta de computador for criada durante a instalação, a instalação solicitará o nome e a senha de uma conta de usuário com autoridade para adicionar contas de computador de domínio.

Um controlador de domínio disponível e um servidor que execute o serviço DNS.

Pelo menos um controlador de domínio no domínio em que você está ingressando e um servidor DNS devem estar on-line quando um computador é instalado no domínio.

Para ingressar em um domínio, faça o seguinte:

Clique em Start, clique com o botão direito do mouse em My Computer e, em seguida, clique em Properties.

Na guia Computer Name, clique em Change.

Na página Computer Name Changes, selecione Domain, digite o nome do domínio e clique em OK.

Se solicitado, digite o nome e a senha da conta de usuário que tem autoridade para criar contas de computador de domínio e clique em OK.

Quando uma mensagem de boas-vindas ao domínio for exibida, clique em OK e, em seguida, clique em OK na mensagem que solicita que você reinicie o computador.

Reinicie o computador para que a alteração tenha efeito. Após ingressar em um domínio, o usuário, o grupo e as diretivas de conta configuradas no domínio sempre irão sobrepor as diretivas configuradas no computador local.

Os usuários têm a opção de fazer logon no computador local, ou de fazer o logon em um domínio do qual o computador é membro.

Os usuários devem pressionar CTRL+ALT+DEL para exibir a caixa de diálogo Log On to Windows. O usuário precisará inserir um nome de usuário e uma senha válidos e decidirá se deseja fazer logon em um computador local ou em um domínio.



Autenticação de usuário em um domínio

Quando os usuários fazem logon em um domínio do Windows 2000, as suas credenciais são verificadas em relação ao subsistema de segurança do domínio, que é o banco de dados do Active Directory. O Active Directory armazena todas as informações de credenciais relativas às contas do computador e do usuário no domínio e também outras informações de segurança.

Como as credenciais dos usuários são autenticadas nesse banco de dados centralizado, os usuários em um domínio podem fazer logon de qualquer computador no domínio, exceto nos computadores aos quais o acesso daqueles usuários foi explicitamente negado.

Credenciais em cache

Quando os usuários que têm contas de usuário do domínio fazem logon no computador, uma cópia dessas credenciais é armazenada em cache em uma área segura do Registro do computador local. Essas credenciais em cache são usadas para permitir que o usuário faça logon no computador se o Active Directory não estiver disponível para autenticar o usuário.

A não-disponibilidade do Active Directory pode ocorrer quando o controlador de domínio está off-line, quando ocorrerem outros problemas de rede ou se o computador não estiver conectado à rede, por exemplo, quando os usuários móveis viajam.

Identificadores de segurança e entradas de controle de acesso

Toda vez que uma conta de computador ou uma conta de usuário é criada em um domínio ou em um computador local, é criado para ele um identificador de segurança (SID, security identifier) exclusivo. Em redes que executam o Windows XP Professional e o Windows 2000, os processos internos do sistema operacional referem-se ao SID da conta ao invés da conta de usuário ou do nome do grupo.

Cada objeto ou recurso no serviço de diretório é protegido por entradas de controle de acesso (ACEs, access control entries) que identificam os usuários ou grupos que podem obter acesso a ele. Uma ACE é criada para um objeto com o objetivo de conceder acesso a um recurso compartilhado.

Cada ACE contém o SID de cada usuário ou grupo que tem permissão de acesso ao objeto e define o nível de acesso permitido. Por exemplo, um usuário deve ter acesso somente leitura a um conjunto de arquivos, acesso de leitura e gravação a outro conjunto de arquivos e nenhum acesso a outro conjunto de arquivos.

Quando um usuário que tem um nome de usuário e uma senha válidos faz logon local, as credenciais da conta do usuário são verificadas no SAM local, a conta é autenticada e recebe um token de acesso.

Quando um usuário no mesmo computador faz logon em um domínio, as credenciais do usuário são autenticadas por meio do Active Directory. Quando o usuário tenta acessar qualquer recurso, o SID da conta do usuário é usado para verificar as permissões. Um SID da conta do computador é verificado quando o computador tenta estabelecer uma conexão com um recurso do domínio.



Um usuário poderia ter uma conta de usuário local e uma conta de usuário do domínio que tivessem os mesmos nomes e senhas. No entanto, como um SID é criado para cada conta, os SIDs das duas contas seriam diferentes.

Os usuários que fazem logon no computador local podem ainda obter acesso aos recursos do domínio, mas cada vez que tentarem obter acesso ao recurso do domínio, eles precisarão fornecer um nome de usuário e uma senha do domínio. Fornecer essas informações não permite que os usuários façam logon no domínio, mas estabelece uma sessão com o servidor no qual o recurso reside. Os usuários precisarão obter acesso aos recursos nesse determinado servidor, mas deverão digitar novamente seus nomes e senhas se tentarem obter acesso aos recursos em outro servidor.

Group Policy e configurações de segurança

Lembre-se de que quando você instala o snap-in Group Policy no computador local, ele é exibido como Local Computer Policy, que contém as subseções Computer Configuration e User Configuration.

Em um domínio, o snap-in Group Policy é exibido como Group Policy e também tem as subseções Computer Configuration e User Configuration.

Os administradores do domínio controlam a Group Policy do domínio, e a Group Policy do domínio substitui a Local Computer Policy.

As atualizações da Group Policy são dinâmicas e ocorrem em intervalos específicos. Se não houver alterações na Group Policy, o computador cliente ainda atualiza as configurações de diretiva de segurança em intervalos regulares para o objeto de Group Policy (GPO, Group Policy Object).

Se nenhuma alteração for descoberta, as GPOs não são processadas, mas as diretivas de segurança sim. Por questões de segurança, há um valor que define um limite máximo de tempo que o cliente pode funcionar sem reaplicar as GPOs. Por padrão, essa configuração é de cada 16 horas mais o desvio aleatório de até 30 minutos.

Mesmo que as GPOs contenham configurações de segurança que não são alteradas, a diretiva é reaplicada a cada 16 horas.



Figura 1 – Group Policy



PRÁTICA 3: CONFIGURAÇÃO DE REDES MICROSOFT

Exercício A

Objetivo

Trabalhar com grupos de trabalho.

a. Faça log on como Administrator, com a senha password.

b. Clique em Start, clique com o botão direito em My Computer, e então clique em Properties.

c. Em System Properties, clique em Computer Name.

d. Na guia Computer Name, clique em Change.

e. Clique em Workgroup, digite WORKGROUP para o nome do grupo de trabalho, e então clique em OK.

f. Na caixa de diálogo Computer Name Changes, digite Administrator para o nome de usuário e password para a senha, e então clique em OK.

g. Na caixa de mensagem Welcome to the WORKGROUP workgroup, clique em OK.

h. Na mensagem, You must reboot this computer to changes to take affect, clique em OK.

i. Feche System Properties, e então reinicie o computador.

Verificando o Grupo de trabalho

a. Faça log on como Administrator com a senha password.

b. Clique em Start, clique em My Computer, clique em My Network Places, e então clique em View Workgroup Computers.

c. Clique duas vezes em qualquer computador diferente do seu. Será solicitada uma senha para se conectar ao outro computador. Como a rede Home or Small Office Networking não foi instalada ainda, não haverá conectividade entre os computadores.

d. Clique em Cancel.

Configurando a rede doméstica ou de pequenos escritórios

a. Em Network Tasks, clique em Set up a home or small office network.



b. Em Welcome to the Network Wizard Setup, clique em Next.

c. Em Before you continue, você pode ver a lista de verificação para a criação de uma rede. Clique em Next.

d. Em Select a connection method, clique em Other, e então clique em Next.

e. Em Other Internet connection methods, clique em This computer belongs to a network that does not have an Internet connection, e então clique em Next.

f. Em Give this computer a description and name, na caixa computer description, digite o nome do seu computador e então clique em Next.

g. Em Name your network, na caixa Workgroup name, digite WORKGROUP, e então clique em Next.

h. Em Ready to apply network settings, verifique se tudo está correto, e então clique em Next.

i. Em You're almost done, selecione Use my Windows XP CD, e então clique em Next.

j. Em To Run the wizard with the Windows XP CD, leia as instruções, e então insira o CD do Windows XP.

k. Em Welcome the Microsoft Windows XP, clique em Perform additional tasks.

l. Em What do you want to do, clique em Set up a home or small office network.

m. Na caixa de mensagem Network Setup Wizard, clique em Yes.

n. Em To Run the wizard with the Windows XP CD, clique em Next.

o. Em Completing the Network Setup Wizard, clique em Finish.

p. Em Welcome the Microsoft Windows XP, clique em Exit.

q. Feche todas as janelas.

Verificando a configuração da rede doméstica

a. Clique em Start, clique com o botão direito em My Computer, e então clique em Explore.

b. Na lista de pastas, clique em Local Disk (C:).

c. Se o painel de detalhes exibier “These files are hidden”, clique em Show the contents of this folder.

d. Clique em File, clique em New, e então clique em Folder.

e. No painel de detalhes, renomeie New Folder para Lab10.



f. Clique com o botão direito na pasta Lab10, e então clique em Sharing and Security.

g. Em Network Sharing and security, clique em Share this folder in the network, e clique em OK.

h. Feche Windows Explorer

i. Clique em Start, clique em All Programs, clique em Accessories, e então clique em

WordPad.

j. Digite algum texto no documento do WordPad, clique em File, e então clique em

Save As.

k. Na caixa Save in, clique em Local Disk (C:). Clique duas vezes em Lab10, e então clique em Save.

l. Feche WordPad.

m. Clique em Start, clique em My Computer, clique em My Network Places, e então

clique em View workgroup computers.

n. Clique duas vezes no computador de seu colega. Clique duas vezes em Lab10, e então

clique duas vezes no documento dessa pasta.

o. Feche todas as janelas.

p. Clique em Start, clique com o botão direito em My Computer, e então clique em Manage.

q. Na janela Computer Management, expanda Local Users and Groups.

r. Clique com o botão direito em Users, e então clique em New User.

s. No campo User Name digite Useryyy, (where yyy são as três primeiras letras do nome do computador de seu colega).

t. Nos campos Password and Confirm Password, digite password.

u. Desmarque a caixa de seleção User must change password at next logon check box, e então clique em Create.

v. Feche a janela New User dialog, e então clique em Users.

x. Feche todas as janelas.

z. Clique em Start, e então clique em Control Panel.

ab. No Control Panel, clique em User Accounts.

ac. Na página Pick a Task, clique em Change the way users log on or off.



ad. Na caixa de mensagem User Accounts message, clique em OK.

ae. Na caixa de diálogo Offline Files Settings, desmarque a caixa de seleção Enable Offline Files

check box, e então clique em OK.

af. Na página Pick a Task, clique em Change the way users log on or off.

ag. Na página Select logon and logoff options, selecione Use the Welcome Screen, e então clique em Apply Options.

ah. Feche a janela User Accounts, feche Control Panel, e então faça log off do computador.

ai. Na mensagem Are you sure you want to log off, clique em Log Off.

Habilitando Fast User Swtching

a. Clique em Administrator, digite password para senha, e então clique na seta.

b. Abra o Control Panel, clique em User Accounts, e então clique em Change the way users log on or off.

c. Na página Select logon and logoff options, selecione Use Fast User Switching, e então clique em Apply Options.

d. Feche a janela User Accounts, feche Control Panel, e então faça log off do computador. Agora existe a opção de troca rápida entre usuários.

e. Clique em Switch User, clique em Userxxx (onde xxx são as três primeiras letras do nome de seu computador), e então digite password para o campo password.

f. Clique em Start, clique em All Programs, clique em Accessories, e então clique em WordPad.

g. Digite algum texto no documento do WordPad, mas não feche ou salve esse documento.

h. Clique em Start, clique em Log off, e então na mensagem Log Off Windows, clique em Switch User.

i. Log on as Administrator com a senha password.

j. Abra o WordPad and digite algum texto no novo documento, mas não feche ou salve esse documento.

k. Clique em Start, clique em Log off, e então na mensagem Log Off Windows, clique em Switch User.

l. Log on as Userxxx com a senha password.

m. Clique em Start, clique em Log off, e então na mensagem Log Off Windows message, clique em Log Off.



n. Na mensagem Save changes to Document, clique em No.

o. Log on as Administrator com a senha password.

p. Feche WordPad, na mensagem Save changes to Document, clique em No.

q. Faça Log off.

Exercício B

Objetivo: Trabalhar com domínios

a. Faça Log on como Administrator com a senha password.


c. Na página System Properties, clique em Computer Name, e então clique em Change.

d. Clique em Domain, digite NWTRADERS.MSFT e então clique em OK.

e. Na caixa de diálogo Domain Username and Password, digite Administrator para o campo nome and password para o campo Password, e então clique em OK.

f. Na caixa de mensagem Computer Name Changes, que exibe a mensagem Welcome to the NWTRADERS.MSFT domain, clique em OK.

g. Na caixa de mensagem Computer Name Changes, que exibe, You must restart this computer to the changes to take effect, clique em OK.

h. Clique em OK para fechar a página System Properties.

i. Na caixa de mensagem System Settings Change, clique em Yes para reiniciar o computador.

Testando o domínio

a. Pressione CTRL+ALT+DELETE, clique em Options, e então no campo Log on to, selecione NWTRADERS

b. Faça Log on como DomAdmin com a senha dompass.

c. Clique em Start, clique em My Computer, e então clique em My Network Places.

d. Na janela My Network Places, clique em Entire Network, e então clique duas vezes em Microsoft Windows Network.



e. Clique duas vezes em NWTRADERS para ver todos os computadores que estão no domínio.

f. Clique duas vezes em um computador para ver os recursos disponíveis nele.

g. Feche todas as janelas.

Verificando o domínio

a. Clique em Start, clique em My Computer, clique em My Network Places, e então

clique em View Network Connections.

b. Na página Network Connections, clique com o botão direito em Local Area Connection, e então clique em Properties.

c. Clique em Show icon in taskbar notification area when connected, e então clique em OK.

d. Clique com o botão direito em Local Area Connections, e então clique em Disable. O icone na página Network Connections se torna apagado e o ícone na barra de tarefas desaparece.

e. Feche a página Network Connections, e então faça log off.

f. Faça Log on como DomAdmin com a senha dompass.

g. Clique em Start, clique em My Computer, e então clique em My Network Places.

h. Clique em Entire Network, Clique duas vezes em Microsoft Windows Network,

e então Clique duas vezes em NWTRADERS. Nenhum computador aparece porque não há conectividade de rede.

i. Em Network Tasks, clique em View Network Connections, e então clique duas vezes em Local Area Connection, para reativar a conexão de rede.

j. Feche a página Network Connections, e então faça log off.



UTILIZANDO E CONFIGURANDO DESKTOP REMOTO COM VPN

Em muitas empresas, os empregados freqüentemente precisam compartilhar trabalho e recursos de diferentes localidades. Muitos empregados acabam executando suas atividades de sites remotos, inclusive suas próprias casas. Tais empregados precisam ter acesso aos mesmos recursos e a habilidade de interagir com colegas que estão trabalhando no site central da empresa. Com o Windows XP é possível dar acesso aos recursos da empresa para esses usuários remotos.

Estabelecendo conexões de acesso remoto

Figura 2 – Tela de conexão remota

Estabelecendo conexões de saída

Para estabelecer uma conexão de acesso remoto, você tem de configurar uma conexão de saída no computador cliente. Conexões de saída são conexões que são feitas para acesso a um servidor de acesso remoto.

O servidor de acesso remoto executa o serviço de Routing and Remote Access que utiliza protocolos de rede privada virtual (VPN – Virtual Private Network). Estando familiarizado com os benefícios e limitações de tipos vários de conexões e os protocolos que cada um deles utiliza, você poderá configurar conexões efetivamente remotas em computadores que executam o Windows XP Profissional.

Há três tipos básicos de conexões de saída:

Conexões de Internet. Conexões para um ISP (Internet Service Provider ou provedor de Internet) que podem ser configuradas como conexões discadas (dial-up) ou conexões de banda larga (broadband) que usam um modem de cabo, ISDN ou DSL (digital subscriber line) modem.



Conexões para redes privadas. Conexões para uma rede privada podem ser configuradas como dial-up ou conexões de VPN.

Conexões avançadas. São usadas conexões avançadas para configurar uma conexão diretamente para outro computador usando um cabo.

Você configura todas as conexões de saída em Windows XP Profissional usando o assistente New Connection Wizard. Muito do trabalho de configurar protocolos e serviços são automatizados quando você usar o assistente. Entendendo as opções dentro desse assistente e os protocolos que essas opções configuram, você será capaz para configurar conexões eficazmente.

Explorando as opções de Hardware

Você pode conectar os clientes de acesso remoto a um servidor de acesso remoto usando qualquer um dos vários tipos de conexões. Windows XP Profissional dá suporte a conexões discadas, ISDN, cable-modem, rede de X.25, ou conexões de cabo diretas. Ao selecionar um tipo de conexão para usar para acesso remoto, você deveria considerar as vantagens e desvantagens de cada tipo de conexão, explicadas a seguir.

Conexão discada (PSTN – Public Switched Telephony Network): disponibilidade Universal; modems baratos; baixas velocidades, taxada por tempo.

DSL – custos de taxas; altas velocidades; custo fixo, não é disponível em todos os locais.

ISDN – altas velocidades; linhas dedicadas, não é disponível em todos os locais .

X.25: Seguro – dedicado, não é globalmente usado.

Conexão direta – simples, segura, conexão dedicada, distância limitada, pode usar cabos paralelos ou infravermelhos.

Criando conexões dial-up e conexões de banda larga

Podemos usar o assistente New Connection Wizard para criar e configurar conexões de saída discadas e de banda larga para um provedor de acesso à Internet (ISP), por meio das quais o usuário poderá se conectar à rede privada da empresa. Uma conexão discada (dial-up) é aquela na qual o computador remoto usa a rede de telefonia pública comutada (PSTN – Public Switched Telephone Network) para discar para o número do provedor de Internet. Uma conexão de banda larga (broadband), que tem velocidade muitas vezes maior que uma conexão discada, usa um dispositivo de banda larga como um cable-modem, um modem DSL ou uma linha ISDN.

Para criar uma conexão de Internet a um ISP, inicie o Assistente New Connection Wizard, e na página Network Connection Type selecione Connect to the Internet.

Há duas razões para que as empresas escolham a conexão remota via Internet. Primeiro, usando a Internet, a empresa não precisa dispor de um grande conjunto de modems para receber as conexões externas; e, segundo, não há gastos com interurbanos se o ISP tiver um número local que o usuário possa discar para fazer a conexão. Usar um ISP para ter acesso à rede interna da



organização é uma solução boa para empresas que queiram usar a Internet como parte da infra-estrutura de rede.

Criando conexões discadas para redes privadas

Você pode criar um conexão discada (dial-up) diretamente para um computador ou rede privada usando o Assistente New Connection Wizard. Conectar-se à rede usando acesso remoto discado, permite que um cliente de acesso remoto use uma rede de comunicações, tal como a rede de telefonia pública, para criar uma conexão física a um servidor de acesso remoto na rede privada. Isto é tipicamente feito usando um modem ou adaptador ISDN para discar para o servidor de acesso remoto.

O acesso remoto discado permite manter usuários conectados à sua rede trabalhando remotamente. Porém, se sua organização tem um grande número de usuários remotos, o custo de interurbanos do telefone ficarão significantes. Uma alternativa para aumentar o tamanho de uma rede de acesso remota discada é usar uma solução de VPN para conectividade remota.

Para criar um conexão discada para uma rede privada:

Inicie o Assistente New Connection Wizard e na página Welcome, clique Next.

Na página Network Connection Wizard, selecione Connect to the network at my workplace, e então clique Next.

Na página Network Connection, selecione Dial-up connection e então clique Next.

Na página Connection Name, digite um nome para a conexão, e então clique Next.

Na página Phone Number to Dial, digite o número de telefone do servidor remoto, clique Next, e então finalize o assistente.

A opção Connect to the network at my workplace também permite criar uma conexão por uma VPN. A criação de conexões de VPN será vista mais adiante neste capítulo.

Estabelecendo uma sessão de acesso remoto



Figura 3 – Tela de conexão VPN

Depois de configurar a conesão de saída, podemos estabelecer uma conexão de acesso remoto. Para isso, os usuários executam um software de acesso e iniciam uma conexão com o servidor de acesso remoto. Essa conexão usa um protocolo de acesso remoto, como, por exemplo, o PPP – Point-to-point Multilink protocol.

O servidor de acesso remoto no qual um cliente irá se conectar deve estar executando o serviço Routing and Remote Access. Esse serviço usa tanto os protocolos de acesso remoto com os protocolos de rede local para permitir que os clientes se conectem a eles. Os protocolos de acesso remoto controlam a transmissão dos dados da WAN – Wide Area Network, enquanto os protocolos da rede local controlam a transmissão dos dados dentro da LAN – Local Area Network.

Ao usar esse tipo de conexão, os usuários enviam e recebem os dados do servidor de acesso remoto. No servidor, os dados são encapsulados usando um protocolo como o TCP/IP e então novamente encapsulados usando o protocolo de acesso remoto.

Verificando os protocolos de transporte de dados

O Windows XP Profissional usa um protocolo de acesso remoto para estabelecer uma conexão entre os dispositivos de acesso remotos, normalmente modems. O Windows XP Profissional usa então o protocolo de LAN para estabelecer comunicação entre os dois computadores. Quando um cliente de acesso remoto se comunica com um servidor, o cliente encapsula a informação com um protocolo de acesso remoto para transporte pela conexão WAN até o servidor. O serviço Routing and Remote Access desencapsula essa informação e usa os protocolos da LAN para encaminhá-la na rede local.



Protocolos de acesso remotos

O Windows XP Profissional suporta vários protocolos de acesso remotos para dar aos clientes uma maior flexibilidade na escolha dos servidores de acesso remoto.

Os protocolos suportados são descritos a seguir.

PPP – Point-to-Point Multilink Protocol

Figura 4 – Tela de conexão PPP

O PPP permite que os clientes de acessos remotos e servidores trabalhem juntos em uma rede.

Por exemplo, clientes com Windows XP Profissional podem se conectar a redes remotas por meio de qualquer servidor que use PPP. Da mesma forma, computadores que executam outro software de acesso remoto também podem usar PPP para discar para um computador Windows XP Profissional configurado com uma conexão de entrada. O PPP é o protocolo de acesso remoto mais usado.



SLIP – Serial Line Internet Protocol

O SLIP permite que computadores Windows XP se conectem a um servidor SLIP. O SLIP geralmente é usado com o Telnet, e não é satisfatório para a maioria das aplicações de acesso remotas modernas. Windows XP Profissional não inclui um componente de servidor para o protocolo SLIP.

Microsoft RAS Protocol

O protocolo de RAS é um protocolo de conexão remota mais antigo usado pela Microsoft. Computadores clientes com o Windows XP Profissional usam o protocolo RAS para se conectarem a servidores de acesso remotos Microsoft Windows 3.1, Microsoft Windows forWorkgroups, Microsoft MS-DOS®, ou LAN Manager.

Protocolos LAN

O Windows XP Profissional, quando configurado para conexões de entrada, suporta os protocolos de LAN:TCP/IP e NWLINK

Conectando a redes privadas virtuais (VPN)

Protocolos de uma VPN encapsulam pacotes de dados dentro de pacotes PPP. O VPN cria um túnel pela infra-estrutura da rede existente para enviar e receber os dados. Neste contexto, um túnel é uma rota de comunicação segura dentro da rede existente.

Há diversas maneiras para que um cliente se conecte a uma rede usando uma VPN.

Tipicamente, usuários irão se conectar à VPN usando inicialmente uma conexão a um ISP e então se conectando para ao gateway VPN, nome dado ao servidor de acesso remoto da empresa, por isso conexão de Internet. Nesse caso, o túnel virtual se estende do computador cliente até o servidor de acesso remoto.

O ISP também pode criar o túnel em nome do cliente. Quando isso acontece, o cliente se conecta ao ISP e fornece um logon de rede. O ISP então cria o túnel e envia a requisição de logon à rede do cliente. Neste caso, o túnel se estende do ISP ao servidor de acesso remoto. A conexão do cliente para o ISP não é parte do túnel de VPN; mas sim, uma conexão discada padrão.

Uma VPN não requer uma conexão discada. Só requer conectividade entre o cliente e o servidor. Se o cliente é diretamente conectado a uma LAN que usa IP, e tem conectividade a um servidor através da LAN, você pode estabelecer um túnel pela própria LAN.

Uma VPN fornece uma rede virtual por meio de uma rede física existente, como a Internet. Usando a Internet deste modo, as empresas podem reduzir seus custos de interurbanos e usar uma infra-estrutura existente ao invés de manter infra-estruturas próprias. Empregados podem



discar o ISP local e então fazer uma conexão de VPN à rede corporativa. Ao discar para o ISP local, os custos interurbanos associados a conexões discadas são eliminados.

Para criar uma conexão VPN:

Inicie o Assistente New Connection Wizard e na página Welcome, clique Next, selecione Connect to the network at my workplace, e então clique Next.

Na página Network Connection, clique em Virtual Private Network, e então clique Next.

Digite um nome para a conexão, e então clique Next.

Na página de Public Network, escolha se deseja ter uma conexão automaticamente iniciada, e então clique Next.

A página de Public Network só aparecerá se você já criou uma conexão. Se essa for a primeira conexão que você cria, a página não será exibida.

Digite o nome ou endereço do servidor de VPN, e então clique Next.

Se você quiser tornar essa conexão disponível a todos os usuários desse computador, clique em Anyone’s use, e então clique Next. Se você quiser reservar a conexão para seu uso próprio, clique My use only, clique Next, e então clique Finish.

Configurando os protocolos de VPN

Os protocolos que podem ser usados para uma VPN têm funcionalidades e características diferentes.

VPNs usam o Point-to-point Tunneling Protocol (PPTP) ou o Layer Two Tunneling Protocol (L2TP) para estabelecer conexões. O Windows XP Profissional permite especificar qual protocolo usar ao criar uma conexão VPN.

PPTP e L2TP

Tanto o PPTP quanto o L2TP usam o PPP para um encapsulamento inicial para os dados e para atribuir cabeçalhos adicionais para o transporte de dados por meio de uma rede existente. Algumas das diferenças fundamentais entre esses protocolos estão listadas à seguir:

Característica PPTP L2TP

Conectividade PPTP necessita de uma rede IP.

Pode usar IP, frame relay ou ATM.

Compressão de cabeçalho Não possui. O cabeçalho tem seis bytes.

Suporta compressão de cabeçalho. quando habilitado,



trabalha com cabeçalhos de quatro bytes.

Autenticação Não suporta autenticação do túnel ou IPSec.

Suporta autenticação do túnel. Conexões VPN que usam L2TP podem usar IPSec.

Criptografia Usa criptografia PPP automaticamente.

Se configurado, fornece um túnel seguro usando IPSec. Não há criptografia automática.

Configurando o protocolo VPN no cliente remoto

Você pode configurar o cliente remoto para automaticamente escolher que protocolo VPN ou usar somente um dos dois: PPTP ou L2TP. Para configurar o protocolo VPN do cliente, faça o seguinte:

Clique com o botão direito do mouse na conexão VPN que você quer configurar, e então clique em Properties.

Na guia Networking, em Type of VPN, selecione Automatic, PPTP, VPN ou L2TP IPSec VPN e então clique em Settings.

Na caixa de diálogo PPP Settings, selecione ou limpe as seguintes opções:

Enable LCP extensions : especifica as extensões LCP – Link Control Protocol –. As Extensões LCP podem inabilitar o estabelecimento de conexões quando discarem para servidores com versões antigas de PPP. Se problemas acontecerem, desmarque essa caixa de seleção.

Enable software compression : habilita a compressão de dados por software.

Negotiate multilink for single link connections : define se a negociação de multilink é habilitada para uma conexão de única.

Clique OK duas vezes.

Configurando conexões de entrada

Você também pode usar o Assistente New Connection Wizard para configurar um computador Windows XP Profissional para aceitar conexões de entrada discadas ou VPN. Você configura um computador para aceitar conexões de entrada para que usuários tenham acesso remoto aos recursos naquele computador, bem como aos recursos da rede à qual ele está conectado. Ao configurar o computador, você define qual hardware e protocolos usar, e quais usuários podem se conectar.



Para configurar uma conexão de entrada em um computador Windows XP Professional, faça o seguinte:

Inicie o Assistente New Connection Wizard e na página Welcome, clique Next, selecione Setup na advanced connection, e então clique Next.

Selecione Accept incoming connections, e então clique Next. O assistente irá conduzi-lo por uma série de páginas, descritas nas seções seguintes, que farão a configuração do computador e das permissões de usuário.

Configurando os dispositivos

Você pode configurar o computador para aceitar conexões de entrada pela Internet, por uma linha telefônica, ou uma conexão de cabo direta. Na página Devices for Incoming Connections, você seleciona os dispositivos para os quais você quer aceitar conexões de entrada. Somente os dispositivos atualmente instalados serão exibidos; você não pode adicionar dispositivos nesse assistente. Você pode definir as configurações de hardware e terminais para qualquer dispositivo selecionando o dispositivo e então clicando em Properties. Se você estiver configurando um modem, você pode selecionar o modem, e então clicar Properties para configurar preferências de chamada, como configurações de time-out, e preferências de conexão de dados, velocidade e protocolo de dados.

Habilitando conexões de VPN

Na página Incoming Virtual Private Network (VPN) Connection, você pode escolher se aceitará ou não conexões de VPN de entrada. Se você deseja aceitar conexões de VPN de entrada originadas na Internet, o computador deve ter um IP ou nome de computador conhecido na Internet. Se você escolher aceitar conexões de VPN de entrada, o Windows XP Profissional modificará o ICP – Internet Connection Firewall – para permitir que seu computador envie e receba pacotes VPN.

Configurando as Permissões de Usuário

Na página User Permissions, você pode especificar quais usuários ou grupos irão se conectar ao computador, e poderá configurar as propriedades para cada usuário ou grupo. As propriedades configuráveis são senhas e métodos de callback.

Escolhendo e configurando o software de rede

A página Network Software exibe os protocolos, serviços e clientes configurados para conexões de entrada, que são o TCP/IP, File and Printer Sharing for Microsoft Networks, QoS Packet Scheduler e Client for Microsoft Networks.

Configurando os protocolos de autenticação



Os servidores de acesso remoto usam autenticação para determinar a identidade do usuário remoto. Depois que o usuário é autenticado, ele recebe as permissões de acesso apropriadas e tem permissão para se conectar à rede.

A autenticação correta e segura de contas de usuário é crítica para a segurança da rede. Sem autenticação, usuários não autorizados poderiam acessar a rede privada da empresa.

A criptografia dos dados também é muito importante quando usar a rede, pois permite encriptar os dados críticos antes de enviar os dados pela rede remota.

Protocolos de autenticação

O Windows XP Professional suporta os seguintes protocolos de autenticação:

PAP – Password Authentication Protocol: usa senhas em texto claro, dando baixa proteção contra acesso não autorizado.

SPAP – Shiva Password Authentication Protocol: usa um mecanismo de criptografia reversível de duas fases do fabricante de hardware Shiva. É mais seguro que o PAP, oferecendo um nível médio de segurança.

CHAP – Challenge Handshake Authentication Protocol: protocolo de autenticação através de um mecanismo de desafio e resposta que negocia uma forma segura de autenticação criptografada usando o algoritmo Message Digest 5 (MD5), padrão aberto de mercado. Alto nível de segurança.

MS-CHAP – Microsoft CHAP: protocolo de autenticação irreversível (HASH). Alto nível de segurança.

MS-CHAP v2 : nova versão do MS-CHAP que suporta autenticação mútua, chaves iniciais mais fortes e diferentes chaves de criptografia para enviar e receber dados. Alto nível de segurança.

Para configurar os protocolos de autenticação em um cliente, faça o seguinte:

Clique com o botão direito do mouse na conexão VPN de saída desejada e então em Properties.

Na caixa de diálogo Properties, clique na guia Security, selecione Advanced (custom settings), e então clique em Settings.

Na caixa de diálogo Advanced Security Settings, em Logon security, selecione Allow these protocols para indicar os protocolos desejados ou então selecione Use Extensible Authentication Protocols (EAP) para personalizar os protocolos de autenticação a serem usados.

Clique em OK duas vezes.

Configurando criptografia de dados

A criptografia dos dados dá uma maior segurança à comunicação codificando os dados que são enviados entre o cliente e o servidor de acesso remoto. Os clientes que se conectam a um



servidor que obriga o uso de criptografia devem encriptar os dados,ou o servidor irá recusar a conexão.

Para configurar as regras de criptografia, faça o seguinte:

Clique com o botão direito do mouse na conexão VPN desejada e então em Properties.

Clique na guia Security, selecione Advanced (custom settings), clique em Settings e então selecione uma regra na lista Data encryption. As regras disponíveis são:

No encryption allowed (server will disconnect if it requires encryption): dados serão transmitidos sem proteção

Optional encryption (connect even if no encryption): criptografia não é obrigatória

Require encryption (disconnect if server declines): criptografia obrigatória

Maximum strength encryption (disconnect if server declines): criptografia forte obrigatória.

Remote Desktop

O Remote Desktop do Windows XP Professional permite obter acesso à área de trabalho do Windows a partir de outro computador na rede. Isso significa que é possível ter acesso às aplicações e recursos de seu computador de qualquer lugar da rede, como se você estivesse na frente de seu próprio computador. Enquanto você estiver usando seu computador remotamente, ninguém poderá usá-lo localmente. No entanto, o administrador poderá se logar localmente e a conexão remota será fechada.

Para usar o Remote Desktop é necessário:

Um computador ao qual se deseja ter acesso com Windows XP Professional e conectado à rede.

Um outro computador que fará o acesso ao primeiro, via rede, que deve ter o programa Remote Desktop Connections ou cliente Terminal Services.

Conta de usuário e senha apropriados.

Para configurar o Remote Desktop, faça o seguinte:

Clique em Start, botão direito do mouse em My Computer e então em Properties.

Na guia Remote, selecione Allow users to connect remotely to this computer.

Certifique-se de que você tem as permissões necessárias para conectar-se remotamente. Você deve ser um administrador ou membro do grupo local Remote Desktop Users.

Clique em Ok.



No computador que será usado para a conexão remota, abra a página Remote Desktop Connection, clicando em Start, All Programs, Acessories, Communications e então em Remote Desktop Connection. Você deverá infomar o nome do computador a se conectar, nome de usuário, senha e domínio.



PRÁTICA 4: UTILIZANDO E CONFIGURANDO DESKTOP REMOTO COM VPN

Exercício A

Objetivo

Configurar conexões VPN Inbound .


b. Clique em Start, e então clique em My Computer.

c. Em My Computer, clique em My Network Places, e então clique em View Network Connections.

d. Em Network Tasks, clique em Create a new connection.

e. Em Location Information, digite 11 no campo What area code (or city code) are you now, e então clique em OK.

f. Na página Phone and Modem Options, clique em OK.

g. Na página Welcome, clique em Next.

h. Na página Network Connection Type, selecione Set up an Advanced Connection, e então clique em Next.

i. Na página Advanced Connection Options, verifique se Accept incoming connections está selecionado, e então clique em Next.

j. Na página Device for Incoming Connections, clique em Next.

k. Na página Incoming Virtual Private Network (VPN) Connection, selecione Allow virtual private connections, e então clique em Next.

l. Na página User Permissions, clique em Userxxx (onde xxx são as três primeiras letras do nome de seu computador), e Useryyy (onde yyy são as três primeiras letras do nome do computador de seu colega), e então clique em Next.

m. Na página Networking Software, clique em Internet Protocol (TCP/IP), e então clique em Properties.

n. Na página Incoming TCP/IP Properties, verifique se Assign TCP/IP addresses automatically using DHCP está selecinado, e então clique em OK.



o. Na página Networking Software, clique em Next.

p. Na página Completing the Network Connection Wizard, clique em Finish.

Criando uma conexão VPN de saída (outbound)

a. Na janela Network Connections, clique em Create a new connection.

b. Na página Welcome to the Network Connection Wizard, clique em Next.

c. Na página Network Connection Digite, clique em Connect to the network at my workplace, e então clique em Next.

d. Na página Network Connection, clique em Virtual Private Network connection, e então clique em Next.

e. Na página Connection Name, digite Virtual Private Connection e então clique em Next.

f. Na página VPN Server Selection, no campo Host name or IP address, digite o endereço IP do computador de seu colega e então clique em Next.

g. Na página Connection Availability, clique em Anyone’s use, e então clique em Next.

h. Na página Completing the Network Connection Wizard, clique em Finish.

i. Na janela de Logon, clique em Cancel.

j. Na janela Network Connections, clique com o botão direito em Virtual Private Connection, e então clique em Properties.

k. Na caixa de diálogo Virtual Private Connections Properties, verifique se Show icon in notification area when connected está selecionado, e então clique em OK.

Testar a conexão VPN

a. Abra Network Connections, e então clique duas vezes em Virtual Private Connection.

b. Faça Log on as Userxxx com a senha password.

c. Abra um prompt de comando, e digite: IPCONFIG /ALL e então press ENTER.



d. Volte para a janela Network Connections, clique com o botão direito em Virtual Private Connection, e então clique em Disconnect.

e. Feche todas as janelas, e então faça log off.

Exercício B

Objetivo: configurar e usar Remote Desktop



c. Na janela System Properties, clique em Remote.

d. Na guia Remote, selecione Allow users to connect remotely to this computer.

e. Se uma caixa de mensagem Remote Sessions for exibida, leia a informação e então clique em OK.

f. Na guia Remote, clique em Select Remote Users.

g. Na caixa de diálogo Remote Desktop Users, clique em Add.

h. Na caixa de diálogo Select Users, no campo Enter the object names to select, digite Useryyy (onde yyy são as três primeiras letras do nome do computador de seu colega), e então clique em OK.

i. Na caixa de diálogo Remote Desktop Users, verifique se o usuário Useryyy é exibido no campo Name, e então clique em OK.

j. Clique em OK para fechar a janela System Properties.

k. Faça Log off.

Iniciando a conexão remota

a. Faça log on como Userxxx (onde xxx são as três primeiras letras do nome de seu computador) com a senha password.

b. Clique em Start, clique em All Programs, clique em Accessories, clique em Communications, e então clique em Remote Desktop Connection.

c. Na caixa de diálogo Remote Desktop Connection, no campo Computer, digite o nome ou IP do computador de seu colega, e então clique em Connect.



d. Verifique se Userxxx (onde xxx são as três primeiras letras do nome de seu computador) está no campo User Name, digite password para o campo password, e então clique em OK.

e. Inicie uma aplicação no computador de seu colega. A aplicação é mostrada na barra de tarefas.

f. Minimize o Remote Control.

g. Quando a barra de tarefas mostrar Your_Partner’s_Computer – Remote Desktop, você estará olhando para a area de trabalho de seu computador.

h. Restaure Your_Partner’s_Computer – Remote Desktop, feche todas as aplicações, clique em Start, clique em Logoff, clique em Logoff quando for perguntado “Are you sure you want to log off.”

i. Faça Log off.



CONFIGURAÇÃO DO WINDOWS XP PROFESSIONAL PARA COMPUTAÇÃO MÓVEL

Configurando o Windows XP Professional para computação móvel

Um número crescente de funcionários que viajam regularmente desempenha suas funções usando um computador portátil (laptop). O Windows XP Professional atende aos requisitos exclusivos desses usuários móveis no que se refere a um sistema operacional de laptop e fornece uma forma de trabalho consistente para os usuários, independentemente de estarem viajando ou trabalhando no escritório.

O Windows XP Professional pode detectar o hardware automaticamente em laptops mais novos. Se o Windows XP Professional não detectar o hardware automaticamente você poderá criar um perfil de hardware para definir os dispositivos a serem carregados por um computador portátil quando um usuário mover o computador do escritório para uso em um local remoto. Por exemplo, no escritório ele pode usar a impressora de rede e em casa uma impressora local, diretamente conectada ao computador.

O Windows XP Professional foi projetado para tornar a computação móvel mais produtiva, disponibilizando recursos avançados como o gerenciamento de energia que prolonga a vida útil da bateria do computador móvel.

A disponibilização off-line de arquivos, pastas e sites permite que os usuários trabalhem nos mesmos arquivos, pastas ou sites, estando ou não conectados, e gerenciem a sincronização desses recursos com facilidade.

Configurando o hardware para computação móvel

O Windows XP Professional usa reconhecimento de hardware e tecnologias Plug and Play para detectar e instalar automaticamente a maioria dos novos dispositivos de hardware e vários outros mais antigos.

Conseqüentemente, os usuários móveis que usam seus computadores em locais variados geralmente não precisam fazer nada para que os computadores funcionem com um hardware diferente em cada local.

Um usuário móvel pode usar, por exemplo, uma mesa com ponto de rede no escritório, para se conectar a rede da empresa, e um modem sem fio para fazer a conexão à Internet durante uma viagem.

Porém, em determinados casos, o usuário pode estar utilizando hardware não Plug and Play (que necessita de intervenção do usuário para sua instalação) em seu laptop. E no caso de utilização de hardware Plug and Play, a detecção e instalação deste costuma levar alguns minutos para ser finalizada.



Portanto, para agilizar essas alterações constantes de hardware, o Windows XP Professional dispõe do serviço de perfis de hardware, onde é possível preconfigurar o hardware que estará sendo utilizado no laptop, ou até mesmo no desktop, em determinado momento.

Para criar perfis de hardware siga estas etapas:

Clique em Start, em Control Panel, em Performance and Maintenance e, em seguida, clique em System.

Na guia Hardware da folha System Properties, clique em Hardware Profiles (Perfis de Hardware).

Em Available hardware profiles, clique em Docked (current). Esse perfil fornece um modelo para a criação de novos perfis de hardware

Clique em Copy, digite um novo nome de perfil e clique em OK.

Em When Windows start, selecione uma das duas opções de inicialização: Wait until I select a hardware profile (aguardar até que eu selecione um perfil de hardware) ou Select the first profile listed if I don’t select a profile in x (selecionar o primeiro perfil listado se eu não selecionar um perfil em (segundos)).

Reinicie o computador e selecione o novo perfil de hardware na inicialização.

Faça logon e abra a folha System Properties.

Na guia Hardware, clique em Device Manager e clique duas vezes em um dispositivo que você deseja ativar ou desativar para o novo perfil.

Na guia General, na lista de dispositivo em uso, selecione uma destas opções e clique em OK:

Use this device (enable) (Usar este dispositivo (ativar)).

Do not use this device in the current hardware profile (disable) (Não usar este dispositivo no perfil de hardware padrão (desativar)).

Do not use this device in any hardware profile (disable) (Não usar este dispositivo em nenhum perfil de hardware (desativar)).

Quando o usuário iniciar o computador, o perfil de hardware padrão será iniciado, ou o usuário poderá selecionar manualmente um outro perfil. Os únicos drivers de dispositivo carregados são os ativados para o perfil de hardware selecionado.



Configurando as opções de gerenciamento de energia para computação móvel

O Windows XP Professional oferece suporte à tecnologia de gerenciamento de energia, chamada de interface de energia e configurações avançadas (ACPI – Advanced Configuration and Power Interface).

A ACPI permite que o Windows XP Professional gerencie o estado de alimentação de energia de computadores portáteis e desktops em resposta à atividade do usuário, aplicativos ou drivers de dispositivos. O Windows XP Professional também oferece suporte a computadores portáteis usando o gerenciamento avançado de energia (APM – Advanced Power Management).

Para reduzir o consumo de energia de uma estação de trabalho ou computador portátil você poderá escolher um esquema de energia.

Para obter acesso às propriedades de opções de energia, como esquemas de energia:

Clique em Start, em Control Panel, em Performance and Maintenance.

Clique em Power Options (Opções de energia).

Na guia Power Schemes, em Power Schemes, selecione um dos esquemas de energia descritos na tabela a seguir:

Home/Office Desk (Casa /escritório): Mantém a energia constante no disco rígido e no sistema quando o computador está conectado.

Portable/Laptop (Portátil/laptop): Desativa todas as configurações depois de 5 a 30 minutos de inatividade.

Presentation (Apresentação): Mantém a energia constante no monitor quando o computador está conectado ou é executado com baterias. Mantém a energia constante no disco rígido e no sistema quando o computador está conectado.

Always On (Sempre ligado): Mantém a energia constante no sistema quando o computador está conectado ou sendo executado com baterias.

Minimal Power Management (Gerenciamento mínimo de energia): Mantém a energia constante no disco rígido e no sistema quando o computador está conectado.

Max Battery (Maximizar bateria): Mantém a energia constante no disco rígido quando o computador está conectado.

As configurações de intervalo de tempo predefinidas são exibidas nas listas Turn off monitor e Turno off hard disks da guia Power Schemes. Você pode alterar essas configurações clicando na seta próxima à lista e, em seguida, clicando no intervalo de tempo desejado.



Usando opções de economia de energia

É possível usar os esquemas de energia para reduzir o consumo de energia, o que ajuda a preservar a vida útil da bateria em computadores portáteis. Se você pretende ficar distante do seu computador por um curto período de tempo, pode colocá-lo em espera, o que faz com que todo o sistema operacional fique em um estado de baixa utilização de energia.

Configurando o estado em espera

O estado de espera (standby) do Windows XP Professional faz com que o computador desligue, ou coloque em standby determinados dispositivos de hardware, para obter um consumo mais baixo de energia.

Para configurar o estado de espera:

Abra a folha Power Options Properties.

Na guia Advanced, em Power buttons, selecione uma das seguintes opções que determinará quando o estado em espera entrará em vigor:

When I close the lid of my protable computer (Ao fechar a tampa do computador portátil).

When I press the power button on my computer (Ao pressionar o botão para ligar/desligar o computador).

When I press the sleep button on my computer (Ao pressionar o botão para adormecer o computador).

Clique em OK ou Apply.

Ativando a hibernação

A hibernação salva a área de trabalho na unidade de disco rígido, e em seguida desliga o computador.

Para ativar a hibernação siga as etapas:

Na folha Power Options Properties, clique na guia Hibernate, marque a caixa de seleção Enable hibernation e clique em Apply.

Clique na guia Power Schemes e selecione um intervalo de tempo em System hibernates.

O computador hiberna depois de ficar ocioso pelo período de tempo especificado.

Para colocar manualmente um computador no estado de hibernação:



Clique em Start e, em seguida, clique em Shut Down.

Na caixa de diálogo Shut Down Windows, clique em Hibernate.

Você pode usar a senha do Windows para proteger o computador com uma senha durante o estado em espera e de hibernação. Na folha Power Options Properties, clique na guia Advanced e, em seguida, clique em Prompt for password when computer resumes from standby.

Disponibilizando arquivos, pastas e páginas da Web para uso off-line

Figura 5 – Tela de opções de pastas

Os arquivos off-line permitem que um usuário obtenha acesso aos arquivos armazenados em uma pasta compartilhada da rede mesmo que não esteja conectado a ela. Quando um usuário se reconectar à rede poderá ter a cópia do arquivo armazenada no cache local sincronizada com a versão da rede. Isso é possível, porque os arquivos off-line são armazenados em cachê nos discos rígidos locais, mesmo que a origem resida em um servidor de rede.

Quando um arquivo ou pasta estiver marcado como disponível off-line, os usuários poderão acessar a versão desse arquivo na rede enquanto estiverem conectados. Quando se desconectarem da rede, os seguintes eventos poderão ocorrer:



Quando um usuário efetua logoff da rede, o Windows XP Professional sincroniza os arquivos da rede com uma cópia do arquivo armazenado no cache local.

Enquanto está desconectado da rede, o usuário tem acesso à cópia armazenada no cache local.

Quando um usuário efetua logon novamente na rede, o Windows XP Professional sincroniza todos os arquivos off-line modificados pelo usuário com a versão do arquivo na rede. Se o arquivo tiver sido modificado nos dois locais, o Windows XP Professional solicitará que o usuário escolha qual versão deverá ser mantida, ou ele poderá renomear um arquivo e manter as duas versões.

Configurando o computador cliente para arquivos off-line

Arquivos individuais de uma pasta de rede compartilhada ou toda a pasta de rede compartilhada podem ser disponibilizados para uso off-line. Depois que os arquivos off-line estiverem ativados no servidor, você deverá configurar o computador cliente para usar arquivos off-line.

Para configurar o computador cliente para usar arquivos off-line siga o procedimento:

Clique em Start, em My Computer, em Tools e, em seguida, clique em Folder Options.

Na guia Offline Files, observe que, por padrão, a opção Enable Offline Files está ativada.

Selecione uma das opções listadas a seguir:

Synchronize all offline files when loggin on (Sincronizar todos os arquivos off-line ao fazer logon): sincroniza as alterações feitas no arquivo armazenado localmente em cahe com a versão da rede ao fazer logon (a ativação dessa opção é uma prática recomendada).

Synchronize all offline files before logging off (Sincronizar todos os arquivos off-line antes de fazer logoff): assegura que a última versão da rede estará armazenada em cachê no computador local durante a desconexão da rede (a ativação dessa opção é uma prática recomendada).

Display a reminder every xx minutes (Exibir lembrete a cada (minutos)): lembra que está trabalhando em um arquivo off-line. Defina o número de minutos entre os lembretes.

Create na Offline Files shortcut on the desktop (Criar um atalho para arquivos off-line na área de trabalho): cria um atalho para os arquivos off-line na área de trabalho.

Encrypt offline files to secure data (Encriptar os arquivos off-line para proteger os dados): mantém os arquivos off-line protegidos contra intrusos que podem obter acesso não autorizado ao seu computador (a ativação dessa opção é uma prática recomendada).

Defina o espaço em disco a ser usado, na opção Amount of disk space to use for temporary offline files, e clique em OK.

Disponibilizando arquivos off-line



Depois de configurar o cliente para usar aquivos off-line, devemos especificar que arquivos e pastas serão usados off-line. Para isso, faça o seguinte no computador onde os arquivos ou pastas residem:

No My Computer ou My Network Places, selecione a pasta ou arquivo desejado.

No menu File, clique em Make Available Offline.

Para configurar as opções de cachê de uma pasta compartilhada, siga este procedimento no computador em que reside a pasta compartilhada:

No Windows Explorer, clique com o botão direito do mouse na pasta para a qual você deseja definir opções decache, clique em Sharing and Security, na guia Sharing, selecione Share this folder e clique em Caching.

Se não desejar que o conteúdo dessa pasta seja armazenado emcache, desmarque a caixa de seleção Allow caching of files in this shared folder nessa pasta compartilhada. Se desejar ativar os arquivos off-line, deixe a caixa de seleção marcada, escolha uma das opções descritas a seguir.

Automatic caching of documents (Cache automático de documentos): para pastas que contêm documentos do usuário. Os arquivos abertos são automaticamente descarregados e disponibilizados quando o usuário está trabalhando off-line.

Automatic caching of programs and documents (Cache automático de programas e documentos): recomendada para pastas com dados somente leitura ou para aplicativos de execução pela rede. O compartilhamento de arquivos não é garantido. Os arquivos abertos são automaticamente descarregados e disponibilizados quando o usuário está trabalhando off-line. As cópias mais antigas dos arquivos são automaticamente excluídas para que haja espaço para arquivos mais novos e acessados recentemente.

Manual caching for documents (Cache manual para documentos): os usuários terão de especificar manualmente os arquivos que devem estar disponíveis quando estiverem trabalhando off-line.

Usando arquivos off-line

Quando o usuário se conecta a uma pasta compartilhada da rede ele pode clicar com o botão direito do mouse na pasta ou arquivo que ele deseja que esteja disponível off-line e clicar em Make Available Offline, no menu File.

Para configurar a resposta dos arquivos off-line em relação à desconexão de rede, siga este procedimento no computador em que reside a pasta:

Clique em Start, em My Computer, em Tools e, em seguida, clique em Folder Options.

Na guia Offline Files, clique em Advanced.

Em When a network connection is lost, configure o comportamento padrão do computador, selecionando uma destas opções:



Notify me and begin working connection (Avisar e começar a trabalhar off-line) para receber notificação da conexão perdida e continuar trabalhando com arquivos off-line.

Never allow my computer to go offline (Nunca permitir que meu computador fique off-line) para tornar arquivos e pastas off-line indisponíveis caso haja perda de conectividade.

Disponibilizando páginas da Web para uso off-line

Para disponibilizar uma página da Web off-line siga o procedimeto abaixo:

Abra o Internet Explorer.

Viste a página desejada.

Clique em Favorites.

Clique em Add to Favorites.

Selecione Make available off-line.

Para especificar um agendamento para atualizar a página, e a quantidade de conteúdo a fazer o download, clique em Customize e siga as instruções do assistente.

Gerenciando a sincronização de arquivo



Figura 6 – Tela da aplicação de sincronização

A sincronização examina as versões locais dos arquivos e as versões da rede e, se detectar alterações, ela atualiza automaticamente os arquivos e pastas. Para gerenciar arquivos no computador e na rede, você pode escolher quando os arquivos off-line serão sincronizados.

Para configurar o gerenciamento de sincronização siga o procedimento

Clique em Start, aponte para All Programs aponte para Accessories e clique em Synchronize.

Na caixa de diálogo Items to Synchronize, marque as caixas de seleção dos itens off-line que você deseja sincronizar.

Clique em Setup para exibir a caixa de diálogo Synchronization Settings, clique na guia Logon/Logoff e selecione uma conexão de rede local ou uma conexão dial-up.

Para configurar os itens da tabela a seguir, execute as seguintes ações:

Para selecionar arquivos a serem sincronizados para uma determinada conexão: na guia On/Idle, clique na conexão de rede a ser usada na lista. When I am using this network connection e marque as caixas de seleção ao lado dos itens off-line a serem sincronizados na lista Synchronize the following checked items.

Para Sincronizar ao fazer logon: na guia Logon/Logoff, clique em When I log on to my computer.

Para Sincronizar ao fazer logoff: na guia Logon/Logoff, clique em When I log off my computer.

Para perguntar ao usuário antes de sincronizar os itens off-line automaticamente: na guia Logon/Logoff, marque a caixa de seleção Ask me before synchronizing the items.

Para Agendar a sincronização quando o sistema estiver ocioso ou em momentos específicos: na guia Scheduled, clique em Add para iniciar o Assistente Scheduled Synchronization Wizard. O assistente irá ajudá-lo a criar um agendamento de sincronização.

Após selecionar as opções apropriadas, clique em OK.



Figura 7 – Configurações de sincronização



PRÁTICA 5: CONFIGURAÇÃO DO WINDOWS XP PROFESSIONAL PARA COMPUTAÇÃO MÓVEL

Exercício A

Objetivo

Configurando Power Options


b. No Control Panel: Se você está no modo de visualização clássico do Control Panel, clique duas vezes em Power Options e vá para o passo d, ou

c. Se você está no modo de visualização por categoria do Control Panel, clique em Performance and Maintenance, e então clique em Power Options.

d. Na caixa de diálogo Power Options Properties, em Hibernate tab, verifique se Enable hibernation está selecionado.

e. Na guia Advanced, selecione a caixa de seleção Always show icon in the taskbar.

f. Na guia Power Schemes, clique em Save As.

g. Na caixa de diálogo Save Scheme, digite Mobile User e então clique em OK.

h. Em Settings for Mobile User power scheme, defina para desligar o monitor depois de 10 minutos e os discos rígidos após 15 minutos.

i. Clique em OK para fechar a caixa de diálogo Power Options Properties, e então feche o Control Panel.

Testando a hibernação

a. Clique em Start, e então clique em Run.

b. Na caixa Open, digite calc e então clique em OK.

c. Calcule a seguinte expressão “(79 * 36.04) =” e então deixe o aplicativo Calculator aberto.

d. Clique em Start, e então clique em Run.

e. Na caixa Open, digite notepad e então clique em OK.



f. Na janela do Notepad, digite Windows XP Professional Hibernation support e então deixe o Notepad aberto.

g. Clique em Start, clique em All Programs, clique em Accessories, clique em System Tools, e então clique em Disk Defragmenter.

h. Clique na partição C:, e então no menu Action, clique em Analyze.

i. Enquanto o Disk Defragmenter está rodando, clique em Start, e então clique em Shut Down.

j. Na caixa de diálogo Shut Down Windows, clique em Hibernate, e então clique em OK.

k. Deslique o computador, se necessário, e então reinicie o computador.

l. Destrave o computador, e então verifique que os aplicativos Calculator, Notepad, e Disk Defragmenter ainda estão rodando.

m. Feche todas as aplicações, e então log off.

Exercício B

Objetivo: Configurar acesso a arquivos off-line

a. Faça Log on como Administrator com a senha password.

b. Clique em Start, clique com o botão direito em My Computer, e então clique em Explore.

c. No menu Tools, clique em Folder Options.

d. Na caixa de diálogo Folder Options, clique em Offline Files.

e. Selecione Enable Offline Files, clique em OK, e então feche o Windows Explorer.

f. Clique em Start, clique com o botão direito em My Computer e então clique em Properties.

g. Na guia Computer Name, clique em Change.

h. Na caixa de diálogo Computer Name Changes, selecione Domain, e no campo Domain Name digite Nwtraders.msft, e então clique em OK.

i. Quando solicitado, informe o usuário Administrator e a senha password, e então clique em OK.

j. Clique em OK na caixa de mensagem Welcome to the Nwtraders.msft domain

k. Clique em OK quando for perguntado You must restart this computer for changes to take effect.

l. Clique em OK para fechar a janela System Properties.



m. Clique em Yes quando for perguntado Do you want to restart your computer now?.

Criando a pasta off-line


b. Clique em Start, clique com o botão direito em My Computer, e então clique em Manage.

c. Expanda Shared Folders, clique com o botão direito em Shares, e então clique em New File Share.

d. Na caixa de diálogo Create Shared Folder, na caixa Folder to share, digite C:\nome_do_computador_seu_parceiro, no campo Share name, digite o nome do computador de seu parceiro, e então clique em Next.

e. Clique em Yes na caixa de mensagem “The system cannot find the specified path “C:\nome_do_computador_seu_parceiro”. Do you want to create it?”.

f. Verifique se a opção All users have full control está selecionada, e então clique em Finish.

g. Clique em No, na caixa de mensagem “Do you want to create another shared folder”.

Definindo o caching

a. Clique em Shares, clique com o botão direito no nome do computador de seu parceiro, e então clique em Properties.

b. Na janela de propriedades, na guia General, clique em Caching.

c. Verifique se a opção Manual caching of documents está selecionada, e então clique em OK.

d. Clique em OK para fechar janela de propriedades e então feche o Computer Management.

Testando a configuração

a. Clique em Start, e então clique em Run.

b. Na caixa Open, digite \\nome_computador_parceiro\nome_seu _computador e então clique em OK.

c. Clique em Start, clique em All Programs, clique em Accessories, e então clique em

WordPad.

d. No WordPad, digite “Este é um teste”.

e. No menu File, clique em Save As.



f. Na caixa Save In, clique em My Network Places, e então Clique duas vezes em Entire Network, Clique duas vezes em Microsoft Windows Network, clique 2 vezes em NWTRADERS, clique duas vezes no computador de seu colega, e então clique duas vezes no seu computador.

g. Na caixa File name, digite xxx Offline File (onde xxx são as três primeiras letras do nome de seu computador) e então clique em Save.

h. Feche o WordPad, e restaure seu computador na janela de compartilhamentos do computador de seu colega.

a. Clique com o botão direito no arquivo que você acabou de salvar, e então clique em Make Available Offline.

b. O assistente Offline Files Wizard é iniciado. Clique em Next.

c. Verifique se a opção Automatically synchronize the Offline Files when I log on and log off my computer não está selecionada, e então clique em Next.

d. Verifique se a opção Enable reminders está selecionada, selecione Create a shortcut to the Offline Files folder on my desktop, e então clique em Finish.

e. Feche a janela de seu computador no computador de seu colega.

a. Na área de trabalho (desktop), clique duas vezes no atalho que foi criado para a pasta off-line.

b. Clique duas vezes em xxx Offline File.

c. Feche xxx Offline File.

d. Feche a pasta de arquivos Offline.

a. Clique em Start.

b. Se a opção Connect to for exibida no menu Start, clique em Connect to, e então clique em Show all connections e vá para o passo d.

c. Se a opção Network Connections não aparece no menu Start, clique em Control Panel, clique em Network and Internet Connections, e então clique em Network Connections.

d. Clique com o botão direito em Local Area Connection, e então clique em Disable.

e. Quando a conexão Local Area Connection estiver desabilitada, minimize a janela Network Connections.

a. Na area de notificação, você agora pode ver um ícone de um computador. Posicione o mouse sobre esse ícone e você verá a mensagem Offline Files – The network is not available.

b. Na área de trabalho, Clique duas vezes no atalho da pasta para arquivos Offline.



c. Clique duas vezes em xxx Offline File.

d. No documento do WordPad, digite “Este é outro teste”.

e. Salve as mudanças do documento, e então feche o WordPad.

f. Na area de notificação, clique no ícone Offline Files Status.

g. Clique em Work online without synchronizing changes, e então clique em OK.

h. Feche a pasta de arquivos Offline.

i. Na área de trabalho, Clique duas vezes no atalho da pasta de arquivos offline, e então abra o arquivo xxx offline. Verifique o conteúdo do arquivo.

a. Restaure a janela Network Connections.

b. Clique com o botão direito em Local Area Connection, clique em Enable, e então feche Network and Dial-up Connections.

c. Verifique novamente o conteúdo do arquivo xxx offline.

a. No Control Panel, clique em Appearance and Themes, e então clique em Folder Options.

b. Na caixa de diálogo Folder Options dialog box, na guia Offline Files, desmarque a caixa de seleção Enable Offline Files, e então clique em OK.

c. Feche o Control Panel, e então faça log off.



O QUE SÃO AS FERRAMENTAS ADMINISTRATIVAS

Ferramentas administrativas permitem que os administradores da rede adicionem, busquem e alterem configurações da rede ou do computador e também objetos do Active Directory. Podemos instalar as ferramentas administrativas para gerenciar um ambiente de rede com servidor Windows 2003 em computadores com Windows XP Professional e Windows Server 2003 para administrar remotamente o Active Directory e também as configurações da rede.

As ferramentas administrativas mais comuns são as seguintes:

– Computer Management;

– Remote Desktops;

– Event Viewer;

– Services.

Apenas para sistemas com o AD:

– Active Directory Users and Computers;

– Active Directory Sites and Services;

– Active Directory Domains and Trusts;



Administrando o Windows Server 2003

Figura 8 – Visão das ferramentas administrativas do Windows Server 2003 Enterprise Edition

Os administradores de sistemas com experiência em administração e suporte a rede baseada em Microsoft Windows 2000 podem aplicar seus conhecimentos neste ambiente baseado em Windows Server 2003 através de novas ferramentas usadas para executar tarefas de administração comuns. Além disso, os administradores de sistemas experientes podem aprender novas tarefas de administração que existem no Windows Server 2003.

Instalando o pacote de ferramentas administrativas

Podemos instalar as ferramentas administrativas em computadores com Windows XP Professional quando desejamos administrar remotamente recursos da rede como Active Directory ou até mesmo serviços como WINS – Windows Internet Name Service – ou DHCP – Dynamic Host Configuration Protocol. Para isso, a estação com Windows XP Professional deve ter o Service Pack 1 e também o hot fix do artigo 329357 da base de conhecimento Microsoft.



Já o Windows Server 2003 inclui todas as ferramentas administrativas como snap-ins que podem ser adicionadas a uma MMC (Microsoft Management Console). Isso inclui todas as ferramentas para gerenciamento do Active Directory, mas não inclui as ferramentas para gerenciamento de serviços que não foram instalados no servidor, como WINS ou DHCP. Se desejarmos gerenciar tais serviços em um servidor remoto, devemos instalar as ferramentas administrativas apropriadas.

Para instalar o pacote de ferramentas administrativas do Windows Server 2003 em um computador com Windows XP Professional, deve-se ter permissões administrativas sobre o computador local. Se o computador é membro de um domínio, o administrador do domínio deve estar no grupo que tem as permissões devidas. Os procedimentos para essa instalação são os seguintes:

Colocar o CD do Windows Server 2003 no drive.

Se o CD de instalação não rodar automaticamente:

clique em Start, e então em Run;

na caixa de diálogo Run, clique em Browse;

na caixa de diálogo Browse, clique em My Computer;

clique duplo no drive de CD e então clique duplo em setup.exe;

na caixa de diálogo Run, click em OK.

Na caixa de diálogo que se abre, clique em Execute Additional Tasks.

Na caixa seguinte, clique em Browse this CD.

Duplo clique na pasta i386.

Duplo clique no ícone Adminpak.msi.

Especificar o local de instalação.

MMC – Microsoft Management Console

Podemos usar o MMC para criar, salvar e abrir ferramentas administrativas, chamadas consoles, que são usadas para gerenciar o hardware, software e componentes de rede do sistema operacional Windows.

Para isso, as ferramentas administrativas são incorporadas ao MMC como snap-ins. Snap-in é uma ferramenta que é hospedada em MMC. O MMC fornece um framework padrão no qual vários snap-ins podem rodar, permitindo que o administrador gerencie vários serviços usando uma única interface. O MMC também permite que o administrador personalize a console.



Com o MMC2 é possível selecionar snap-ins específicos, permitindo que se crie um framework que inclua somente as ferramentas administrativas que o administrador necessite.

Para criarmos uma console MMC, devemos fazer o seguinte:

Clicar em Start, Run, digitar MMC e clicar em OK.

No console, no menu File, clicar em Add/Remove Snap-in.

Clicar no botão Add...

Na caixa de diálogo Add/Remove Snap-in, dê um duplo clique no item que deseja adicionar.

Na caixa de diálogo Add Standalone Snap-in, dê um duplo clique no item que deseja adicionar, ou selecione e clique no botão ADD.

Se for exibido algum Assistente, siga as instruções.

Repita o passo 4 se desejar adicionar outro item à console.

Na caixa de diálogo Add Snap-in, clique em Close.

Clique em OK.

No menu File, clique em Save, e atribua um nome correspondente.

Resolução de problemas na instalação das ferramenta s administrativas

Os problemas mais comuns na instalação das ferramentas administrativas são a impossibilidade de instalação dessas ferramentas, quando o sistema operacional não permite que elas sejam instaladas, e quando os arquivos de ajuda apresentam links quebrados.

Para resolvermos o primeiro problema, a impossibilidade de instalação das ferramentas administrativas, devemos verificar os seguintes itens:

– Existência de permissões administrativas no computador local : devemos utilizar um usuário que tenha permissões administrativas totais no computador local.

- Versão do sistema operacional : o sistema operacional deve ser Windows Server 2003 ou Windows XP Professional.

Já o problema de links quebrados para os arquivos de ajuda se deve ao fato que devemos ter tanto os arquivos de ajuda do cliente e servidor do pacote de ferramentas administrativas instalados no Windows XP Professional. Para resolvermos esse problema, devemos integrar os arquivos de ajuda instalando também os arquivos de ajuda do servidor no Windows XP Professional. Isso é uma tarefa simples e deve ser feita após a instalação das ferramentas

2 Maiores informações sobre o MMC podem ser obtidas em

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windows2000serv/howto/mmcsteps.asp



administrativas no ambiente Windows XP Professional. Os passos para essa instalação são os seguintes:

Clicar no menu Iniciar, então em Ajuda e Suporte.

Na janela Ajuda e Suporte, clique em Opções.

No painel esquerdo, clique em Instanar e compartilhar a ajuda do Windows.

No painel direito, clique em Instalar o conteúdo da “Ajuda” a partir de outro computador Windows Instalar o Conteúdo da ajuda a partir de um CD ou imagem de disco.

Digite a localização do CD, computador ou imagem e clique em Localizar.

Quando os arquivos de ajuda disponíveis forem exibidos, clique na versão de Ajuda desejada e então em instalar.



PRÁTICA 6: INSTALANDO AS FERRAMENTAS ADMINISTRATIVAS

Efetuar logon em nwtraders como Adminx (onde x é o número de aluno atribuído a você) com a senha domain . Instalar o Windows Server 2003 Administration Tools a partir do CD do Windows Server 2003.

Efetue logon usando as seguintes informações: User name (Nome de usuário): Admin x (onde x é o número de aluno atribuído a você) Password (Senha): domain Log on to (Efetuar logon em): nwtraders

Verifique se o CD do Windows Server 2003 está na unidade de CD-ROM.

Clique em Start e em Run .

Na caixa Open (Abrir), digite CD-ROM:\I386\adminpak.msi (onde CD-ROM é a letra da unidade de CD-ROM) e clique em OK.

Na página Welcome to the Windows2000 Administration Tools Setup Wizard (Bem-vindo ao Assistente para instalação do Windows Server 2003 Administration Tools), clique em Next (Avançar).

Um indicador é exibido para mostrar o andamento da instalação das ferramentas de instalação do Windows Server 2003.

Na página Completing the Windows Server 2003 Administration Tools Setup Wizard (Concluindo o ‘Assistente para instalação do Windows Server 2003 Administration Tools’), clique em Finish (Concluir).


Parte 2 - Active Directory e Administração de contas de usuários

e computadores

Parte 2 - Active Directory e Administração de contas de usuários e computadores




ACTIVE DIRECTORY

Visão geral do Active Directory

O Active Directory, que é um componente essencial na arquitetura do SOR (Sistema Operacional de Rede) Windows Server 2003, representa a rede como um serviço de diretório para ambientes de computação distribuída.

Segundo a RFC2828, diretório é um servidor de bando de dados ou outro sistema que fornece informação sobre uma entidade cujo nome é conhecido. Essa é a função primordial do Active Directory: fornecer informações sobre os recursos da rede.

O Active Directory permite que as organizações gerenciem e compartilhem de forma centralizada as informações sobre usuários e recursos da rede e também atuam como uma entidade central para a segurança da rede. Por ser um serviço de diretório completo, o Active Directory foi projetado para ser um ponto de consolidação permitindo o gerenciamento centralizado e reduzindo o número de diretórios que a companhia necessita. Por tudo isso, o Active Directory é um dos componentes principais do sistema operacional Windows Server 2003.

Atualmente, as redes de computadores são primordiais para o sucesso dos negócios de qualquer empresa. Como conseqüência desse fato, os sistemas operacionais de rede precisam dispor de mecanismos para gerenciar os objetos e recursos distribuídos que compõem o ambiente de rede. Um serviço de diretório, como definido pela RFC2828, atua justamente nesse ponto, fornecendo um local adequado para armazenar as informações sobre as entidades e recursos da rede, tais como aplicações, arquivos, impressoras, usuários e grupos. O serviço de diretório Active Directory da Microsoft fornece um mecanismo consistente para nomear, descrever, localizar, acessar, gerenciar e garantir a segurança desses recursos individuais.

Objetivando facilitar a tarefa administrativa, um serviço de diretório como o Active Directory deve atuar também como um framework principal do sistema operacional de rede. Dessa forma, ele se torna a autoridade central que gerencia todos os objetos e seus relacionamentos, interagindo com eles. A figura 2 a seguir mostra esse framework, interagindo com os objetos da rede.



Figura 9 – Active Directory

As principais vantagens do Active Directory, listadas pela Microsoft, são:

Gerenciamento – O Active Directory, como qualquer outro serviço de diretório, fornece um ponto de gerenciamento simples, centralizado e consistente para usuários, aplicações e dispositivos, ou seja, para os objetos e recursos da rede.

Segurança – O Active Directory fornece aos administradores algumas ferramentas para gerenciar a segurança dos serviços disponíveis para os usuários internos e externos.

Interoperabilidade – O Active Directory, como qualquer outro serviço de diretório, fornece acesso padronizado para todas as suas funcionalidades. Assim é possível se comunicar com outros serviços de diretório de mercado, que também se alinham aos padrões.

O objetivo do serviço de diretório

A necessidade de organizar a informação fez com que muitos fabricantes desenvolvessem serviços de repositórios de dados ou de diretórios em suas aplicações proprietárias, disponibilizando dispositivos e funcionalidades específicas para atender as necessidades de seus clientes. O exemplo mais comum é o e-mail: os programas de e-mail incluem serviços de diretório que permitem que seus usuários localizem e enviem e-mails para outros usuários.

Com os sistemas operacionais de rede não foi diferente. Estes usam serviços de diretório para dar suporte às funções de gerenciamento de contas de usuário e armazenamento de informações de configuração sobre aplicações e recursos da rede.



Como podemos perceber, como cada fabricante fez sua solução da melhor maneira para atender os seus clientes, sem seguir nenhum padrão, não raramente esses serviços de diretório proprietários não têm como compartilhar as informações armazenadas, tornando os diversos serviços incompatíveis entre si. Essa situação gera os seguintes problemas:

– Muitas contas para cada usuário: os usuários geralmente possuem e usam muitas contas de usuário e senhas para se logarem em diferentes sistemas, redes e aplicativos. Como os sistemas são independentes e incompatíveis, cabe aos usuários a tarefa de saber exatamente onde localizar a informação desejada na rede.

– Duplicidade e inconsistência das informações: como existem muitos sistemas e cada sistema tem seu serviço de diretório, cabe aos administradores gerenciar cada serviço de diretório existente na rede da melhor maneira possível. Isso muitas vezes gera dados duplicados e, pior, dados inconsistentes.

– Dificulta o desenvolvimento de novas aplicações: a cada nova aplicação desenvolvida, o desenvolvedor deve criar módulos específicos para cada serviço de diretório que a aplicação necessite acessar.

A conseqüência dessa proliferação de serviços de diretório especializados é o aumento significativo e contínuo do custo de propriedade. Manter esses diversos serviços de diretório requer um grande esforço de gerenciamento, aplicações mais complexas e afeta a produtividade do usuário final.

Pensando nesses problemas, a Microsoft criou o Active Diretory com a proposta de ser um único serviço de diretório na rede. Para tal, o Active Diretory é um serviço escalável, construído usando padrões de Internet (X.500) e intimamente integrado ao sistema operacional Windows Server 2003. Com o objetivo de fornecer um serviço de diretório de fácil utilização para aplicações Windows, o Active Directory foi projetado, ainda segundo a Microsoft, para ser um ponto de consolidação para migração, gerenciamento centralizado e redução do número de serviços de diretórios que a empresa possui.

Estrutura hierárquica do Active Directory

Buscando otimizar o desempenho e facilitar a localização de objetos no diretório, o Active Directory organiza as informações em uma hierarquia orientada a objetos e fornece replicação multimaster , possibilitando a utilização de vários servidores com a imagem do diretório, como forma de tolerância a falhas e balanceamento de carga.

O Active Directory usa objetos para representar todos os recursos da rede. Como recursos, podemos classificar os usuários, grupos, máquinas, dispositivos, aplicações e qualquer outro objeto que esteja no Active Directory. O AD usa containers para representar organizações, como o departamento de marketing ou coleções de objetos comuns como impressoras. Desta forma, o AD consegue organizar a informação em uma estrutura de árvore hierárquica construída com esses objetos e seus containers, de modo similar a uma estrutura de pastas e arquivos do sistema de arquivos de um computador.

A figura a seguir mostra essa organização hierárquica e seus componentes.

Parte 2 - Active D irectory e Administração de contas de usuários e computadores


Figura 10 – Estrutura hierárquica do Active Directory

Ainda dentro desse escopo, o Active Directory gerencia os relacionamentos entre os objetos e containers fornecendo uma visão simples, centralizada e de fácil entendimento. Esta organização facilita a localização, gerenciamento e uso dos recursos em uma rede totalmente distribuída.

Essa hierarquia do Active Directory é totalmente flexível e configurável, de modo que as empresas podem organizar seus recursos da maneira que considerarem mais adequada.

Armazenamento orientado a objetos

O Active Directory armazena suas informações sobre elementos que compõem a rede na forma de objetos. Esses objetos podem receber atributos. Os atributos descrevem características específicas sobre o objeto. Desta forma, podemos armazenar uma grande quantidade de informações no diretório, facilitando o controle de acesso aos recursos da rede.

A figura 4 mostra os recursos de rede de uma empresa, armazenados no Active Directory como objetos. A figura mostra ainda os atributos de um determinado objeto, atributos esses que caracterizam esse objeto.



Figura 11 – O objeto e seus atributos

Quando o administrador cria um novo objeto ou edita um objeto já existente, as propriedades ou atributos daquele objeto armazenam as informações que o descrevem. Esses atributos nos dão outra facilidade adicional: no AD é possível localizar objetos filtrando a pesquisa por atributos específicos.

Replicação de dados multimaster

Para garantir alto desempenho (balanceamento de carga), alta disponibilidade (tolerância a falhas) e flexibilidade em ambientes distribuídos, o Active Directory utiliza uma técnica de replicação de dados chamada multimaster.

Na replicação de dados multimaster, a empresa pode criar múltiplas cópias do diretório, chamadas de réplica, e colocá-las em vários servidores diferentes na rede. O grande trunfo dessa técnica é que mudanças feitas em qualquer uma das réplicas são automaticamente propagadas em todas as outras cópias. Por isso o nome multimaster, pois uma alteração feita em qualquer uma das réplicas é propagada para as demais, enquanto que na técnica conhecida como single-master, utilizada por exemplo em servidores de nomes, as alterações só podem ser feitas em uma única máquina, a master.

Na técnica multimaster não há uma máquina master: todas as máquinas podem atuar com master. A figura 5 a seguir ilustra a técnica de replicação de dados multimaster.



Figura 12 - Replicação multimaster

O esquema no Active Directory

Um componente importante no AD é chamado de esquema. O esquema contém as definições de todos os objetos, como computadores, usuários e impressoras que estão armazenados no Active Directory. No Windows Server 2003, há somente um esquema para toda a floresta, então todos os objetos criados no Active Directory seguem as mesmas regras e definições.

Há duas definições de tipos no esquema: as classes de objeto e os atributos.

As classes de objetos descrevem os tipos de objetos que podem ser criados no AD. Cada classe de objeto é um conjunto de atributos.

Os atributos são definidos separadamente das classes de objeto. Cada atributo é definido uma única vez é pode ser usada em várias classes de objeto. Um exemplo é o atributo descrição que é usado em muitas classes de objeto, mas é definida somente uma vez no esquema garantindo a consistência do modelo.

O esquema é armazenado no banco de dados do Active Directory, da mesma forma que qualquer outro objeto. Assim, é possível que o esquema:

esteja dinamicamente disponível para as aplicações de usuários, ou seja, as aplicações podem ler o esquema para descobrir que objetos e propriedades estão disponíveis para uso;

seja dinamicamente atualizado, o que permite que uma aplicação aumente o esquema com novos atributos e classes de objeto para que eles sejam utilizados imediatamente;

possa usar listas de controle de acesso discretas (DACLs – Discretionary Access Control Lists) para proteger todas as classes de objetos e atributos. O uso de DACLs garante que somente usuários autorizados façam mudanças no esquema.

De uma maneira simplista, o esquema contém as definições dos objetos que podem ser criados no Active Directory para representar os recursos da rede.

Parte 2 - Active Directory e Administr ação de contas de usuários e computadores


O protocolo LDAP

Lightweigth Directory Access Protocol (LDAP) é um protocolo de serviço de diretório, definido em várias RFCs (RFCs 2251 a 2256 e RFCs 2829 a 2830) que permite acesso de leitura e atualização a serviços de diretório, como o Active Directory.

O LDAP nomeia caminhos que serão usados para acessar objetos no Active Directory, podendo para isso utilizar-se de nomes absolutos ou relativos.

Os nomes absolutos (distinguished name) identificam o domínio onde o objeto está localizado e o caminho completo pela árvore hierárquica pelo qual esse objeto é alcançado. Todo objeto no Active Directory tem um nome absoluto. Um exemplo de nome absoluto seria:

CN=Lula,OU=Produção,DC=SBCampo,DC=CVRD

No exemplo acima temos:

Chave Atributo Descrição

DC Domain Component Uma componente do nome do domínio

OU Organizational Unit Uma unidade organizacional que pode ser utilizada para conter outros objetos

CN Common Name Qualquer outro objeto, como usuários e computadores.

Tabela 1 – Chaves no nome absoluto

Já o nome relativo é a porção do nome absoluto que identifica univocamente aquele objeto no seu container. O nome relativo tem significância local, pois o mesmo pode se repetir em outro container. No exemplo anterior, o nome relativo do objeto usuário Lula é Lula.

A tabela abaixo mostra mais alguns exemplos de nomes absolutos e nomes relativos:

Nome Absoluto Nome Relativo

OU=Vendas,DC=Osasco,DC=teste OU=Vendas

CN=Julia,OU=Compras,DC=Europa,DC=Band CN=Julia

Tabela 2 – Exemplos de nomes absolutos e nomes relativos

Estrutura lógica do Active Directory

O Active Directory é logicamente estruturado em domínios, unidades organizacionais, árvores, florestas e o catálogo global. Essa estrutura lógica é flexível e fornece um método para projetar uma hierarquia dentro da Active Directory, de fácil entendimento para qualquer usuário. Para que tenhamos um bom entendimento desses componentes lógicos do Active Directory, nas próximas seções discutiremos um pouco sobre cada um deles.



Domínios no Windows Server 2003

Quando trabalhamos com uma rede Windows Server 2003, geralmente criamos o que chamamos de domínio.

Mas o que é um domínio?

Um domínio é uma unidade lógica em uma rede cuja administração é centralizada. O domínio pode ser considerado um conjunto de computadores, definidos pelo administrador da rede, que compartilham um banco de dados centralizado e comum. Além disso, o domínio deve ter um nome único e fornecer acesso a contas de usuários e grupos mantidas pelo administrador daquele domínio.

Em uma rede com sistema operacional de rede Windows Server 2003, os domínios são usados para definir como a informação e os recursos da rede serão organizados e armazenados.

Podemos criar também uma hierarquia de domínios. O primeiro domínio criado no Active Directory é chamado de domínio raiz. Quando o Active Directory é instalado pela primeira vez em uma rede com sistema operacional de rede Windows Server 2003, criamos o primeiro servidor com o papel de controlador de domínio em uma nova floresta, estabelecendo assim o domínio raiz. Esse controlador de domínio terá o bando de dados do Active Directory.

Os domínios também funcionam como um limite de segurança . Esse limite de segurança garante que o administrador de um domínio tenha as permissões e direitos necessários para executar tarefas administrativas somente naquele domínio, a menos que esses direitos e permissões em outros domínios sejam explicitamente dados àquele administrador. Todo domínio tem suas próprias políticas de segurança e relacionamentos de segurança com outros domínios. Esses relacionamentos de segurança com outros domínios são chamados de relações de confiança e podem ser uni ou bidirecionais.

Domínios também definem os limites de replicação. Em um domínio, podem existir computadores com a função de controladores de domínio que contém uma réplica do Active Directory, conforme visto nas seções anteriores. Todos os controladores de domínio em um determinado domínio podem receber mudanças no Active Directory e replicar essas mudanças para todos os outros controladores de domínio. Essa é a replicação de dados multimaster e ela é feita somente dentro de um mesmo domínio.

Unidades organizacionais

Uma unidade organizacional (OU – Organizational Unit) é um objeto container que o administrador pode utilizar para organizar objetos dentro do domínio. Uma OU pode conter objetos, como contas de usuários, grupos, computadores, impressoras e também outras OUs.

O administrador da rede pode usar OUs para agrupar objetos em uma hierarquia lógica que melhor se adapte às necessidades da empresa. Desta forma, as OUs podem ser utilizadas para representar:

modelo de rede administrativa baseada nas responsabilidades administrativas dos objetos;

estrutura organizacional baseada no organograma da empresa ou em limites geográficos.



A hierarquia de OUs dentro de um domínio é independente da hierarquia de OUs dentro de outro domínio, ou seja, cada domínio pode implementar hierarquias de OUs diferentes e próprias.

As OUs também podem ser utilizadas para descentralização de tarefas administrativas. O administrador pode delegar o controle administrativo de uma OU a um usuário ou a um grupo, bastando para isso atribuir as permissões e direitos para essas tarefas.

Resumindo: as unidades organizacionais são objetos containers utilizados para melhor organizar os recursos da rede dentro do Active Directory.

Árvores e florestas

Como dito anteriormente, o primeiro domínio Windows Server 2003 que o administrador cria é chamado de domínio-raiz. Todos os outros domínios que forem criados abaixo deste formam uma árvore de domínios.

Uma árvore é um arranjo de domínios Windows Server 2003 que compartilham um nome de espaço (DNS) contíguo.

Quando um novo domínio é adicionado à árvore, o novo domínio é filho do domínio imediatamente superior. Assim, o nome do domínio filho é uma combinação do nome de todos os domínios hierarquicamente superiores a ele, formando um nome absoluto do DNS3. Todo domínio filho tem uma relação de confiança transitiva e de duas vias (duplo) com o domínio pai. Uma relação de confiança transitiva e de duas vias são as relações de confiança padrão entre domínios do Windows Server 2003. Os objetos de um domínio só podem se relacionar com objetos do mesmo domínio, a não ser que seja feita uma relação de confiança entre domínios.

Uma relação transitiva significa que uma relação de confiança feita com um domínio é automaticamente estendida para todos os outros domínios com os quais são mantidas relações de confiança.

Uma relação de duas vias significa que há duas relações de confiança em direções opostas entre os dois domínios.

De modo análogo a uma floresta de verdade, florestas no ambiente Windows Server 2003 é um conjunto de árvores ligadas por relações de confiança, ou seja, uma floresta é um conjunto de uma ou mais árvores. As árvores na floresta não compartilham o mesmo espaço de nomes. Entretanto, as árvores da floresta compartilham o mesmo esquema e o mesmo catálogo global.

3 DNS será abordado em outro módulo deste curso.



Figura 13 – Árvores e florestas

Catálogo global

O catálogo global é um repositório de informação que contém um subconjunto de atributos de todos os objetos no Active Directory. Os atributos armazenados neste catálogo são aqueles mais utilizados em consultas, como por exemplo primeiro nome ou nome de logon. O catálogo global contém informações suficientes para rapidamente localizar qualquer objeto no Active Directory.

Com o catálogo global, o usuário pode encontrar informações em toda a floresta no Active Directory. O catálogo global faz com que o serviço de diretório Active Directory seja transparente para o usuário, ou seja, o usuário não precisa saber onde procurar os objetos; o catálogo global faz isso por ele.

O catálogo global também contém as permissões de acesso para cada objeto e atributo nele armazenado. Assim, todas as configurações de segurança de acesso e direitos são preservadas.

Todo Active Directory tem um controlador de domínio que armazena uma cópia das consultas feitas e as armazena no catálogo global que é chamado de servidor de catálogo global. Por padrão, o primeiro controlador de domínio que é criado no Active Directory se torna o servidor de catálogo global. Servidores adicionais podem ser configurados para balanceamento de carga e distribuição do serviço, de modo análogo às réplicas do banco de dados do Active Directory.

Controladores de domínio

Controladores de domínio são computadores com Windows Server 2003 que armazenam uma cópia do Active Directory. Um controlador de domínio também gerencia as mudanças feitas no diretório e replica essas mudanças para os outros controladores no mesmo domínio, através da técnica multimaster. Além disso, os controladores de domínio também são responsáveis pelos processos de logon, autenticação, autorização e buscas no Active Directory.



Um domínio pode ter um ou mais controladores de domínio. Cabe ao administrador da rede buscar a configuração ideal para que sua rede se mantenha o maior tempo possível disponível. Um mínimo de dois controladores é recomendável para que uma rede tenha a disponibilidade e tolerância a falhas satisfatória: caso um controlador falhe, existe o segundo que poderá executar as tarefas sem paralisação da rede.

Um controlador de domínio automaticamente replica qualquer mudança no diretório para todos os outros controladores. Esse processo de replicação garante que toda a informação no Active Directory estará disponível para todo controlador de domínio e que essa informação é a mais atualizada possível.

Conforme abordado anteriormente, o Active Directory utiliza a replicação de dados multimaster. Entretanto, algumas mudanças são feitas em modo single-master para evitar potenciais conflitos em operações essenciais como adição ou remoção de um domínio de uma floresta.



PRÁTICA 7: INGRESSANDO EM UM DOMÍNIO


Efetuar logon como Administrator, usando a senha password e concluir o Manage Your Server Wizard especificando que existem outros servidores na rede e que você não deseja que o Manage Your Server Wizard seja exibido toda vez que reiniciar o computador.

Pressione CTRL+ALT+DELETE.

Na caixa de diálogo Log On to Windows (Logon no Windows), clique em Options (Opções).

Verifique se as opções User name (Nome de usuário), Password (Senha) e Log on using dial-up connection (Efetuar logon usando conexão dial-up) são exibidas.

Na caixa de diálogo Log On to Windows , clique em Options .

Na caixa de diálogo Log On to Windows , digite password na caixa Password e pressione ENTER.

O sistema verifica suas credenciais de usuário e se você está conectado. Em seguida, a página Manage Your Server Wizard é exibida.

Feche a janela Manage Your Server ,

Pressione CTRL+ALT+DELETE.

Clique em Cancel (Cancelar) para fechar a caixa de diálogo Windows Security .

Configurar seu servidor para torná-lo membro do domínio nwtraders.msft. A conta de usuário usada para o ingresso no domínio é Adminx (onde x é o número atribuído ao aluno) com a senha domain .

Clique em Start , aponte para Settings e clique em Control Panel .

No Control Panel , clique duas vezes em System (Sistema).

Na caixa de diálogo System Properties (Propriedades do sistema), clique em Properties na guia Network Identification (Identificação de rede).



Na caixa de diálogo Identification Changes (Alterações de identificação), selecione Domain (Domínio) em Member of (Membro de).

Na caixa Domain , digite nwtraders.msft e clique em OK.

Uma caixa de diálogo é exibida solicitando as credenciais do usuário para o domínio.

Na caixa de diálogo Domain Usernam e and Password (Nome de usuário e senha do domínio), digite nwtraders\admin x (onde x é o número atribuído ao aluno) na caixa Name (Nome).

Na caixa Password , digite domain e clique em OK.

Uma mensagem de boas-vindas é exibida indicando que o computador ingressou no domínio com êxito.

Na caixa de mensagem Network Identification (Identificação de rede), clique em OK.

Outra mensagem é exibida solicitando que você reinicie o computador para que as alterações efetuadas tenham efeito.

Clique em OK para fechar a caixa de mensagem Network Identification .

Clique em OK para fechar a caixa de diálogo System Properties .

Feche o Control Panel .

Na caixa de diálogo System Settings Change (Alteração das configurações do sistema), clique em Yes (Sim).

O computador será reiniciado.


100 KIT DIDÁTICO DE SEGURANÇA EM SISTEMAS DA INFORM AÇÃO

ADMINISTRAÇÃO DE CONTAS DE USUÁRIOS E COMPUTADORES

Devido ao crescimento da utilização de computadores em todos os setores da economia, o uso das redes também cresceu. Com isso, o número de usuários de redes, que possuem login, senha, propriedades e permissões, aumentou estrondosamente. A conseqüência desse aumento de usuários foi que a tarefa de administração de usuário se tornou mais complexa e dispendiosa.

Além dos usuários, cabe ao administrador da rede a gestão dos recursos compartilhados na rede, pois a principal razão para a interligação de computadores em rede foi o compartilhamento de recursos, desde arquivos e aplicativos até impressoras e scanners. Com isso, o número de objetos a serem gerenciados por um administrador de rede chega facilmente à casa dos milhares.

Neste capítulo, estudaremos algumas técnicas e procedimentos que objetivam facilitar a tarefa de administração, com toda a segurança e eficiência necessária para termos uma rede confiável e consistente.

Em um sistema multiusuário, vários usuários podem acessar os mesmos recursos simultaneamente. Para isso, faz-se necessário utilizarmos mecanismos para proteger dados e informações privativas de um único usuário, de modo que outros usuários ou grupos não tenham o acesso a eles. Outro ponto é em relação à gerência dos recursos. Não podemos permitir que um usuário se utilize totalmente de um recurso ou que esse usuário monopolize esse recurso. Assim, precisamos limitar os direitos dos usuários de forma que esses direitos sejam suficientes para que ele execute seu trabalho sem atrapalhar o trabalho dos demais. Para conseguirmos isso, criamos contas de usuário para representar o usuário pessoa física e todos os recursos, direitos e informações pertencentes a ele.

Cada conta de usuário é composta de, no mínimo, um nome de login, sua respectiva senha, bem como um UID (Universal Identifier), GID (Group Identifier). Outras informações comuns, mas não obrigatórias, são o nome do diretório ou pasta pessoal e o ambiente de trabalho inicial.

Os números UID e GID são números exclusivos que identificam um usuário univocamente. Assim, se os usuários são locais ou gerenciados centralizadamente não teremos problemas maiores. Porém, quando criamos contas de usuários em vários computadores da rede, esses números ainda devem ser exclusivos. Nesse caso, devemos utilizar um sistema com gerenciamento de contas de usuários globais, válidos em todo o ambiente. Em ambientes Windows Server 2003 o Active Directory é esse sistema de gerenciamento global.

Após a criação das contas de usuário, devemos conceder aos usuários acesso aos diversos recursos da rede, como impressoras, pastas e arquivos. Isso pode ser feito diretamente na conta do usuário ou indiretamente, por meio dos grupos de contas de usuários. Com isso, o usuário após logar-se terá acesso a esses recursos, sendo eles locais ou globais. Essas credenciais que definem o perfil de um usuário são exclusivas e permitem, desde que esse direito não seja revogado, que o usuário logue-se na rede a partir de qualquer computador. Para que o usuário “sinta-se em casa” em outro computador, os perfis são capazes de controlar seus ambientes de trabalho, incluindo as configurações do desktop.

Como já discutido anteriormente, uma conta de usuário deve ser criada para cada usuário na rede de modo que esse usuário efetue logon em computadores e na rede com uma identidade única e



exclusiva que pode ser validada (autenticada e autorizada) na rede. Assim o usuário poderá ter acesso aos recursos disponíveis.

A validação das contas de usuário tem dois aspectos: o primeiro é a autenticação que certifica que aquele usuário é autêntico, ou seja, que ele existe e é válido na rede. O segundo aspecto é a autorização que concede ao usuário autenticado os direitos de acesso que ele possui, ou seja, dá acesso a alguns recursos e bloqueia o acesso a outros recursos, conforme configurado pelo administrador da rede.

Convenções de nomeação

Uma das funções do administrador de uma rede é a criação de contas de usuários. O processo de criação de contas de usuário deve ser um processo normatizado pela empresa. Essa normatização deve incluir, dentre outras coisas, as regras para a nomeação das contas de usuários. Assim, para tornar esse processo mais eficiente, precisamos conhecer e aplicar as convenções e diretrizes já em uso na rede da empresa. Seguindo as convenções e diretrizes já estabelecidas, será mais fácil para o administrador da rede gerenciar as contas de usuário depois de criadas.

A convenção de nomeação deve estabelecer as regras de criação das contas de usuário, definindo como essas contas serão identificadas na rede. Uma convenção de nomeação consistente deve facilitar a associação de nomes de usuários a nomes de contas de usuários, além de facilitar também a sua localização em listas e relatórios.

Listaremos a seguir algumas idéias, e não regras, para as convenções de nomeação. Lembramos que essas idéias são apenas algumas recomendações para serem aplicadas nas convenções e regras de cada empresa.

– Os nomes de logon para contas de usuário, nomes que identificam essa conta, devem ser exclusivos na rede ou no escopo onde a conta for criada. Isso é óbvio, pois se existirem duas contas com mesmo nome, fica muito difícil identificar os usuários corretamente. Praticamente todos os sistemas já inibem a duplicidade de nomes de contas de usuário.

– Os nomes de logon de contas usuário não devem ser longos nem curtos. A Microsoft, por exemplo, recomenda um máximo de 20 caracteres maiúsculos ou minúsculos para essa nomeação.

– Caracteres especiais devem ser evitados. Muitos sistemas, como o Windows 2003 Server, não aceitam caracteres especiais como / \ “ [ ] : ; | = , + * ? < > @., na nomeação de contas de usuários.

– A convenção de nomeação para nomes de logon de contas de usuário também deve considerar usuários com nomes iguais. Algumas sugestões em uso nas empresas seriam:

Usar o nome e a última inicial e adicionar outras letras do sobrenome para acomodar nomes iguais. Por exemplo, para dois usuários Luís da Silva, um nome de logon de conta de usuário poderia ser LuisS e outro LuisSi.

Podemos utilizar também a inicial do primeiro nome e o último sobrenome. Por exemplo, LSilva.



Em algumas situações, é interessante identificar os funcionários temporários, como auditores e visitantes, por suas contas de usuário. Para isso, podemos utilizar uma letra inicial que identifique o caráter temporário dessa conta. Como exemplo, pode-se incluir o caracter T e um hífen no início do nome da conta de usuário. Por exemplo, T-LuisS.

Outra solução para resolver nomes iguais seria utilizar um número que identifique o usuário. Poderíamos utilizar nesse caso, CPF, número de matrícula de alunos ou número de registro de funcionário.

Essas são apenas algumas idéias. Qualquer política de nomeação é válida, desde que ela produza nomes de logon de contas de usuário exclusivos e seja de fácil entendimento e reconhecimento.

Diretrizes para senhas

Outro componente importante em uma conta de usuário é a senha. Embora alguns sistemas não consideram a senha um componente obrigatório, ela é o componente de segurança da conta de usuário, pois somente o dono da conta deve conhecer a senha. Assim, quando da autenticação da conta na rede, o usuário deve apresentar além do nome da conta de usuário, a senha para que o processo se concretize. Assim sendo, é primordial para a segurança da rede que a senha seja complexa e de difícil adivinhação. Isso ajuda a impedir que pessoas não autorizadas tenham acesso à rede e a seus recursos. De forma similar às diretrizes para nomeação de contas, devemos também ter diretrizes para a atribuição de senhas. A seguir, daremos algumas idéias:

– Por questões óbvias, devemos sempre atribuir uma senha complexa para a conta do Administrador. Assim evitamos que pessoas não autorizadas se utilizem dessa conta para ter acesso à rede.

– É interessante implementar um sistema que delegue ao usuário a tarefa de administrar sua senha. Desta forma, a tarefa de criar, alterar e manter a senha passa a ser do usuário. Sistemas de identificação positiva são muito úteis em caso de esquecimento da senha. Essa prática é a melhor para diminuir a carga de trabalho administrativa do administrador da rede.

– Toda senha deve ter um período de validade definido, de modo que, depois de expirado esse tempo, o usuário deve trocar sua senha.

– Evite que o usuário use senhas anteriormente utilizadas, fáceis e até mesmo palavras existentes em dicionários. Um dos ataques mais comuns é o ataque do dicionário que testa todas as palavras existentes em um determinada língua.

– Deve-se mostrar aos usuários a importância da utilização de senhas complexas e difíceis de serem descobertas. Para isso, devemos:

– evitar usar senhas com uma associação óbvia, como o nome do membro de uma família ou data de aniversário. Esse tipo de senha, embora fortemente não recomendado, ainda é muito comum.

– usar senhas longas, pois dificultam a adivinhação. A Microsoft, por exemplo, recomenda o comprimento mínimo de oito caracteres.



– usar uma combinação de letras maiúsculas e minúsculas, além de caracteres não alfanuméricos.

Pastas ou diretórios pessoais

Outra característica que o administrador da rede pode associar a uma conta de usuário é chamada de pasta ou diretório pessoal (home directory). A pasta pessoal é um local no qual os usuários salvam seus trabalhos e geralmente são áreas de disco limitadas nos servidores. A grande vantagem dessas pastas é que o administrador pode fazer e agendar backups dessas informações de modo que em caso de desastre, os dados podem ser recuperados. Isso é uma segurança para o usuário e um grande bônus para o administrador da rede.

As pastas pessoais não fazem parte de um perfil de usuário, não afetando o processo de logon, caso o local definido não esteja disponível. Geralmente colocamos as pastas pessoais em um servidor de rede. Para isso, veremos, ainda neste capítulo, como criar essas pastas e diretórios pessoais e quais considerações devem ser feitas.

Grupos

Um grupo é um conjunto de contas de usuários. Os grupos têm papel fundamental na concessão de acesso aos recursos da rede. Quando utilizamos grupos, simplificamos o gerenciamento das permissões de acesso de usuários a recursos compartilhados, pois usuários com perfis e necessidades parecidos podem ser atribuídos a um grupo comum. Assim, as permissões e acessos necessários a esses usuários são atribuídos ao grupo e indiretamente aos usuários que compõem esse grupo. Ou seja, os grupos permitem conceder permissões e privilégios a vários usuários ao mesmo tempo. Depois de conceder a permissão e privilégio a um grupo, basta adicionar os usuários àquele grupo e estes herdarão os direitos do grupo.

Como podemos notar, quando utilizamos os grupos para conceder permissões, fazemos isso uma única vez ao invés de fazermos várias vezes, uma para cada usuário do grupo. Administrativamente, isso é excelente.

Em alguns sistemas operacionais, como no Windows Server 2003, é possível colocar outros grupos dentro de um grupo. Essa é uma outra funcionalidade muito interessante do ponto de vista administrativo.

Ao adicionar um objeto (usuário ou outros grupos) a um grupo, devemos ter em mente as seguintes considerações:

– Quando adicionamos um objeto a um grupo, geralmente esse objeto herda todos os direitos do grupo, a não ser que esteja explicitamente negado o direito a esse objeto.

– Em alguns sistemas operacionais, podemos colocar as contas de usuário em vários grupos simultaneamente. Isso é possível porque um grupo é simplesmente uma lista de participantes, com referência às contas de usuários reais. Nesse caso, o usuário herdará o conjunto de todas os direitos dos grupos dos quais ele faz parte, exceto se o direito for explicitamente negado.



Tipo de contas de usuários no SOR Windows 2003

O sistema operacional de rede Windows Server 2003 possui os seguintes tipos de contas de usuário: conta de usuário local, conta de usuário de domínio e conta de usuário interno.

Uma conta de usuário local só é usada em um ambiente de rede pequeno, como um grupo de trabalho, ou em momentos em que o computador pode não estar acessando a rede. As contas de usuário local não são reconhecidas no domínio. Assim elas só possibilitam que o usuário acesse recursos disponíveis localmente no computador no qual ela foi criada. Além disso, o usuário só pode se logar no computador no qual a conta local foi criada. Essa conta não é válida em nenhum outro local da rede.

As contas de usuário local residem em um banco de dados local chamado SAM, que é o banco de dados de contas de segurança local do computador. Elas não são armazenadas no Active Directory do domínio e possuem uma menor quantidade de propriedades que as contas de domínio.

As contas de usuário de domínio permitem que os usuários efetuem logon em um domínio e obtenham acesso a recursos disponíveis em toda a rede. As contas de usuário de domínio devem ser criadas em um servidor Windows Server 2003 que atue como controlador de domínio.

As Contas de usuário internas permitem que um usuário execute tarefas administrativas ou obtenha acesso temporário aos recursos da rede. Há duas contas de usuário internas, que não podem ser excluídas:

Administrator,

Guest.

As contas de usuário local Administrator e Guest residem no SAM (Security Accounts Manager) que é o banco de dados de segurança local de um computador enquanto que as contas de usuário de domínio Administrator e Guest residem no Active Directory.

As contas de usuário internas são criadas automaticamente durante a instalação do Windows Server 2003 e a instalação do Active Directory.

O Windows Server 2003 possui ferramentas administrativas para ajudá-lo a criar e administrar as contas de usuário.

Criando contas de usuário

Como administrador da rede, devemos dar aos usuários o acesso a vários recursos da rede. Assim sendo, devemos criar contas de usuário para identificar e autenticar os usuários de modo que eles possam garantir o acesso aos recursos necessários da rede.

Uma conta de usuário é um objeto que consiste de todas as informações que definem um usuário em um Windows Server 2003. A conta de usuário pode ser local ou de domínio, como já vimos anteriormente. A conta de usuário inclui informações como nome do usuário, senha, os grupos a que o usuário pertence, seus direitos e permissões para acessar o computador e recursos da rede.



Uma conta de usuário pode ser usada para:

– habillitar um usuário a logar-se em um computador da rede;

– habilitar serviços e processos a rodarem em um determinado contexto de segurança;

– gerenciar o acesso de usuários a recursos da rede.

Associação de nomes com contas de usuário de domíni o

Em um domínio, há quatro tipos de nomes associados às contas de usuário de domínio. No Active Directory, cada conta de usuário contém um nome de logon, um nome de logon pré-Windows 2000, um nome de logon principal e um nome relativo distinto do Diretório LDAP (Lightweight Directory Access Protocol).

Veja o quadro a seguir:

Tabela 3 - Nomes associados ao domínio

Nome Exemplo

Nome de logon gmartins

Nome de logon pré_Windows 2000 teste\gmartins

Nome de logon principal [email protected]

Nome relativo distinto LDAP CN=gmartins,CN=users,dc=teste,dc=net

A tabela anterior mostra os exemplos dos quatro tipos de nomes associados a um domínio. Em seguida, abordaremos cada um desses nomes.

O nome de logon é aquele que o administrador da rede digita ao criar uma conta de usuário do domínio. Esse nome deve ser único no container em que a conta foi criada, pois esse nome é usado como nome relativo distinto. Os usuários usam o nome de logon durante o processo de logon. O usuário deve informar o nome de logon, uma senha e o domínio no qual ele deseja se logar.

Os nomes de logon podem conter até 20 caracteres maiúsculos ou minúsculos, caracteres especiais, exceto / \ “ [ ] : ; | = , + * ? < > @.

As regras de nomeação abordadas anteriormente são uma boa dica para serem usadas ao criar o nome de logon de um usuário.

Além do nome de logon, se desejarmos, podemos usar uma conta pré-Windows 2000 NetBIOS (Network Basic Input/Output System) para nos logar em um domínio Windows, a partir de computadores com sistema operacional anterior ao Windows 2000. Para isso, devemos usar o formato Nome_do_domínio\Nome_do_Usuário. Esse nome é o nome de logon pré-Windows 2000.



O nome de logon principal (user principal name – UPN) é formado do nome de logon seguido do sinal @ e de um sufixo. Esse nome deve ser único na floresta. O sufixo do UPN pode ser um nome de domínio do DNS (Domain Name System), o nome de qualquer domínio na floresta ou um nome alternativo que o administrador cria somente para o processo de logon.

Finalmente, o nome relativo distinto do diretório LDAP é um nome que identifica unicamente o objeto em seu container pai. Os usuários nunca usam esse nome, mas os administradores podem usá-lo para adicionar usuários por meio de um script ou linha de comando. Todos os objetos usam a mesma convenção de nomeação LDAP, de modo que esse nome se torna único em uma unidade organizacional.

Posição da conta de usuário na hierarquia do Active Directory

O administrador da rede pode criar a conta de um usuário em qualquer lugar na floresta e em qualquer unidade organizacional no domínio. Geralmente, a escolha da posição ideal é feita seguindo ou o modelo geopolítico ou o modelo de negócio.

No modelo geopolítico, os usuários são criados no domínio de acordo com sua posição geográfica. Se uma empresa com sede em São Paulo tem escritórios em Belo Horizonte e Rio de Janeiro, os usuários do Rio de Janeiro serão criados no domínio ou unidade organizacional Rio de Janeiro. Nesse tipo de estrutura, geralmente são colocados controladores de domínio nos locais remotos para diminuir o tempo de logon, bem como o tráfego nas linhas de comunicação da WAN.

Já no modelo de negócio, a estrutura hierárquica do Active Directory reflete a estrutura hierárquica da própria empresa e nesse modelo os usuários são criados nos departamentos ou setores nos quais eles são efetivamente alocados.

Opções de senha da conta de usuário

Quando criamos uma conta de usuário, o administrador dispõe de algumas opções para a senha vinculada a essa conta. Essas opções podem ser configuradas quando a conta é criada ou na caixa de diálogo Propriedades da conta de usuário.

As opções de senha são as seguintes:

User must change password at next logon – Quando essa opção é selecionada, o usuário deverá trocar sua senha na próxima vez que efetuar o logon. Essa opção geralmente é usada quando uma nova conta é criada ou quando o usuário esquece sua senha, obrigando o administrador a “resetar” a senha da conta.

User cannot change password – Essa opção é usada quando o administrador deseja controlar quando a senha pode ser alterada, pois o usuário não tem permissão de trocar sua própria senha.

Password never expires – Com essa opção selecionada, a senha do usuário nunca expirará. Essa opção não é recomendada por motivos de segurança.

Account is disabled Essa opção desabilita a conta de usuário, não permitindo que ele logue-se no domínio ou computador local.

Parte 2 - Active Dire ctory e Administração de contas de usuários e computadores


Como criar contas de usuários

Como já visto, as contas de usuário de domínio permitem que os usuários loguem-se no domínio e acessem recursos disponíveis em qualquer ponto da rede. Já as contas de usuário locais4 permitem somente que o usuário se logue localmente em um computador, não permitindo que ele acesse os recursos da rede.

Uma das principais funções do administrador da rede é criar contas de usuário para gerenciar adequadamente o ambiente de rede.

A principal ferramenta para se administrar os usuários, computadores e grupos no Windows Server 2003 é o Active Directory Users and Computers. As novas características do Active Directory Users and Computers incluem mover os objetos utilizando a operação de drag-and-drop (clicar e arrastar), modificar as propriedades para múltiplas contas, criar e salvar pesquisas para localizar objetos no Active Directory.

Para criar uma conta de usuário de domínio devemos executar os seguintes passos:

Clicar no menu Start, Administrative Tools, e então em Active Directory Users and Computers.

Na árvore do console, duplo clique no domínio desejado.

No painel da direita, clique com o botão direito na unidade organizacional onde o novo usuário será criado e então selecione New e clique em User.

Na caixa de diálogo, preencha os campos First name, Initials, Last name.

No campo User logon name, digite o nome de logon do usuário5.

Da lista drop-down, clique no sufixo UPN que deve ser adicionado ao nome de logon digitado, e clique em Next.

Nas caixas Password e Confirm password, digite a senha inicial do usuário.

Selecione as opções de senha desejadas.

Clique em Next e então em Finish.

Para criar uma conta de usuário local, os passos são os seguintes:

Clicar no menu Start, Administrative Tools, e então em Computer Management.

Na árvore do console, expanda Local Users and Groups e clique em Users.

No menu Action, clique em New User.

Na caixa de diálogo New User, digite o nome de logon na caixa User name.

4 O Windows Server 2003 não permite a criação de contas de usuário locais no controlador do domínio. 5 O nome de logon não pode ser igual a de outro usuário ou grupo já existente e deve conter no máximo 20 caracteres.



Modifique o campo full name da maneira adequada.

Nas caixas Password e Confirm password, digite a senha inicial do usuário.

Selecione as opções de senha desejadas.

Clique em Create e então em Close.

Usando ferramentas de linha de comando para a admin istração

Os novos comandos administrativos do Windows Server 2003 incluem os seguintes comandos:

dsadd – Use para criar usuários, grupos e outros objetos do Active Directory.

dsget – Use para obter informações sobre um determinado objeto no Active Directory e suas propriedades.

dsmod – Use para modificar propriedades de conta, acrescentar novos participantes a grupos e fazer mudanças nos objetos do Active Directory.

dsquery – Use para localizar objetos no Active Directory.

dsmove – Use para mover ou renomear objetos no Active Directory.

dsrm – Use para deletar objetos no Active Directory.

Você pode adicionar vários exemplos de comandos em arquivos de script para automatizar as tarefas administrativas. Crie um arquivo de texto e adicione cada tipo de comando que você deseja, salvando o arquivo com a extensão cmd.

Os benefícios de usar ferramentas de linha de comando para executar tarefas administrativas incluem:

– automatização de tarefas administrativas comuns;

– facilidadde de administrar grandes números de contas;

– redução do tempo e algum possível erro humano ao administrar grandes números de contas;

– conveniência para administradores que preferem utilizar a linha de comando.

Para maiores informações sobre os comandos dsadd, dsmod, ou dsquery, digite no prompt de comando: dsadd /? , dsmod /? , dsquery /? .



Figura 14 – Visão das Opções de Help dos comandos dsadd, dsmod, dsquery entre outros

Opções de conta

Antes de ativarmos uma nova conta de usuário, é possível definir restrições sobre o seu uso, controlando a maneira como um usuário acessa o domínio ou um computador. Por padrão, o usuário de um domínio pode efetuar logon em qualquer computador do domínio, contudo, é possível limitar as horas durante as quais um usuário pode efetuar logon no domínio e os computadores nos quais ele pode efetuar logon, assim como especificar a data de expiração de uma conta de usuário, permitindo manter a segurança necessária da rede.

Horário de logon

É possível definir as horas de logon para os usuários que só precisam de acesso em horários específicos. Por exemplo, você pode definir as horas de logon para que os funcionários do turno da noite possam efetuar logon apenas durante suas horas de trabalho.

Restrição de acesso aos computadores

Os usuários podem efetuar logon no domínio usando, por padrão, qualquer computador desse domínio. Você pode configurar as opções de conta para especificar os computadores nos quais os usuários podem efetuar logon. Por exemplo, é possível permitir que usuários, como funcionários temporários, efetuem logon no domínio somente no respectivo computador.

Isso impede que esses usuários efetuem logon em outros computadores e obtenham acesso a informações confidenciais armazenadas neles.

Expiração da conta

O administrador de rede pode definir a data de expiração de uma conta de usuário para garantir que essa conta seja desativada quando o usuário não precisar mais acessar a rede. Por exemplo, como uma prática de segurança recomendada, é possível definir que as contas de usuário de funcionários temporários expirem na data de término de seus contratos.

Parte 2 - Active Directory e Admini stração de contas de usuários e computadores


Definindo propriedades para contas de usuário de do mínio

O Windows Server 2003 fornece ferramentas administrativas para ajudá-lo a criar e administrar as contas de usuário. O Windows Server 2003 Administration Tools está, por padrão, instalado em um controlador de domínio, este ambiente dá a possibilidade de gerenciar remotamente um domínio e suas contas de usuário, fazendo uma instalação manual do Windows Server 2003 Administration Tools em um servidor membro ou computador que execute o Windows Server 2003 Professional.

Gerenciando os dados de usuário criando pastas-base

Um administrador da rede pode dar aos usuários um local para armazenarem seus documentos, este local se chama pasta-base do usuário. Essa pasta não faz parte do perfil do usuário de modo que não afeta o seu processo de logon. Os itens abaixo nos dão alguns pontos de onde se pode determinar essa pasta-base:

Capacidade de backup e restauração

É sua responsabilidade principal promover, em caso de perda de dados, sua imediata recuperação. É muito mais fácil garantir que foi feito o backup dos arquivos quando eles se encontram em um local central do servidor. Se as pastas-base de usuários estiverem localizadas nos computadores locais, você precisará executar backups regulares em cada computador.

Espaço suficiente no servidor

É importante que haja espaço suficiente no servidor para permitir que os usuários armazenem seus dados. O Windows Server 2003 fornece controle mais preciso sobre o armazenamento baseado na rede através das cotas de disco, que permitem monitorar e limitar o espaço em disco usado por cada usuário.

Espaço suficiente nos computadores dos usuários

As pastas-base deverão estar localizadas em um servidor de rede, caso os usuários estejam trabalhando em computadores com muito pouco espaço em disco ou nenhum disco rígido.

Desempenho da rede

Haverá menos tráfego de rede se a pasta-base estiver localizada no computador local do usuário.

Para criar uma pasta-base, execute as seguintes etapas:



Crie e compartilhe uma pasta em um servidor.

Conceda a permissão apropriada para a pasta.

Forneça um caminho da pasta para a conta do usuário.

Definindo propriedades para contas de usuário de do mínio

Um conjunto de propriedades padrão está associado a cada conta de usuário criado no domínio. Depois de criar uma conta de usuário de domínio, pode-se configurar propriedades pessoais, de conta, opções de logon e configurações de rede dial-up.

Definindo propriedades pessoais

A caixa de diálogo Properties (Propriedades) contém informações sobre cada conta de usuário. Essas informações são armazenadas no Active Directory. Quanto mais completas forem as informações, mais fácil será procurar por usuários no Active Directory; se todas as propriedades da guia Address (Endereço) estiverem completas, você poderá localizar o usuário usando o endereço como o critério da pesquisa facilitando a procura por muitos usuários. Para ativar essa comodidade faça o seguinte:

Abra o Active Directory Users and Computers, no menu Administrative Tools selecione o domínio e clique na pasta apropriada para visualizar as contas de usuário de domínio disponíveis.

Clique com o botão direito do mouse na conta de usuário de domínio apropriado e, em seguida, clique em Properties.

Na caixa de diálogo Properties, escolha a guia adequada para as propriedades pessoais que você deseja digitar ou alterar e digite valores para cada propriedade.

A tabela a seguir descreve as guias da caixa de diálogo Properties referentes ao usuário.

General (Geral)

Documenta o nome, a descrição, o local do escritório, o número de telefone, a lista de e-mail e as informações sobre a página inicial referentes ao usuário.

Address (Endereço)

Documenta o endereço do usuário, caixa postal, cidade, estado ou município, CEP e país.



Account (Conta)

Atribui o caminho do perfil e a pasta-base do usuário.

Profile (Perfil)

Atribui o caminho do perfil e a pasta-base do usuário.

Telephones (Telefones)

Documenta o endereço, pager, celular, fax e números de telefone protocolo lnternet (IP), e permite digitar observações que contêm informações descritivas sobre o usuário.

Organization (Organização)

Documenta o cargo, o departamento, o gerente da empresa e os relatórios diretos do usuário.

Member Of (Participante de)

Especifica os grupos aos quais o usuário pertence.

Dial-in (Discagem)

Define as permissões de acesso, as opções de retorno de chamada e as rotas e endereços IPs estáticos.

Environment (Ambiente)

Especifica um ou mais aplicativos a serem iniciados e os dispositivos aos quais conectar durante o logon do usuário.

Sessions (Sessões)

Especifica configurações do Terminal Services.



Remote control (Controle remoto)

Especifica configurações de controle remoto do Terminal Services.

Terminal Services Manager (Gerenciador de serviços de terminal)

Define o perfil do usuário no Terminal Services.

Definindo propriedades de conta

Na guia Account (Conta) da caixa de diálogo Properties, você pode definir configurações que foram especificadas quando uma conta de usuário de domínio foi criada, como o nome de logon do usuário e as opções de logon.

Para definir a data de expiração de uma conta, execute as seguintes etapas:

Abra a caixa de diálogo Properties referente à conta de usuário apropriada.

Na guia Account, em Account Expires (Vencimento da conta), clique em End of (Termina em). Selecione uma data de expiração na lista e clique em OK.

Especificando opções de logon

Nessa opção pode-se controlar as horas e quais usuários de um domínio poderão efetuar logon.

Definindo horas

Por padrão, os usuários podem se conectar a um servidor 24 horas por dia, 7 dias por semana. Em uma rede de alto nível de segurança, convém restringir

o horário que um usuário pode efetuar logon na rede. Por exemplo, é aconselhável restringir o horário nos tipos de ambientes a seguir:

Onde as horas de logon constituem uma condição para a certificação de segurança, como em uma rede governamental.

Onde há vários turnos. Você pode permitir que os funcionários do turno da noite efetuem logon somente durante suas horas de trabalho.

Para definir horas de logon, execute as seguintes etapas:



Abra a caixa de diálogo Properties referente à conta de usuário. Na guia Account, clique em Logon Hours (Horas de logon):

uma caixa azul indica que o usuário pode efetuar logon durante a hora;

uma caixa branca indica que o usuário não pode efetuar logon.

Para permitir ou negar acesso, execute um dos seguintes procedimentos e clique em 0K:

selecione as caixas dos dias e das horas em que você deseja negar acesso, clicando na hora de início, arrastando para a hora de término e clicando em Logon Denied (Logon negado);

selecione os retângulos dos dias e das horas em que você deseja permitir acesso, clicando na hora de início, arrastando para a hora de término e clicando em Logon permitted (Logon permitido).

Definindo os computadores a partir dos quais os usu ários podem efetuar Iogon

Por padrão, qualquer usuário com uma conta válida pode efetuar logon na rede a partir de qualquer computador que execute o Windows Server 2003. Em uma rede de alto nível de segurança em que os dados confidenciais são armazenados no computador local, restrinja os computadores a partir dos quais os usuários podem efetuar logon na rede.

Para especificar os computadores a partir dos quais um usuário pode efetuar logon, execute as seguintes etapas:

Abra a caixa de diálogo Properties de uma conta de usuário e, na guia Account, clique em Log On To (Efetuar logon em).

Clique em The following computers (Os seguintes computadores). Adicione os computadores a partir dos quais um usuário pode efetuar logon digitando o nome do computador na caixa Computer name (Nome do computador) e clique em Add (Adicionar). Quando terminar de adicionar computadores, clique em 0K.

Copiando contas de usuário de domínio

Como administrador você pode fazer cópias de conta de usuários, isso facilita a criação de novos usuários com perfis semelhantes, pois essas cópias eliminam a necessidade de configurar todas as propriedade para a nova conta de usuário.



Copiando uma conta de usuário existente

Para criar uma conta de usuário a partir de uma conta de usuário existente, execute as seguintes etapas:

Abra Active Directory Users and Computers e clique na pasta Users na árvore de console.

No painel de detalhes, clique com o botão direito do mouse na conta de usuário que você deseja copiar e, em seguida, clique em Copy (Copiar).

Na caixa de diálogo Copy Object – User (Copiar objeto – Usuário), digite o nome do usuário e o nome de logon do usuário para a nova conta de usuário e clique em Next (Avançar).

Digite e confirme a senha, defina os requisitos de senha (desmarque a caixa de seleção Account is disabled [A conta está desativada] – se apropriado) e clique em Next.

Verifique se as informações da nova conta de usuário estão corretas e clique em Finish (Concluir).

As Propriedades são então copiadas para a nova conta de usuário de domínio

Quais propriedades são copiadas de uma conta para o utra?

As propriedades de usuário copiadas da conta de usuário de domínio existentes para a nova conta são descritas a seguir:

General (Geral)

Nenhuma.

Address (Endereço)

Todas, exceto Street Address (Endereço)

Account (Conta)

Todas, exceto Logon Name (Nome de logon) que é copiada da caixa de diálogo Copy Object – User (Copiar objeto – Usuário)

Profile (Perfil)



Todas, exceto as entradas Profile path (Caminho do perfil) e Home folder (Pasta base), que são modificadas para refletir o nome de logon do novo usuário.

Telephones (Telefones)

Nenhum

Organization (Organização)

Todas, exceto Title (Forma de tratamento)

Member Of (Participante de)

Todas.

Dial-in (Discagem)

Nenhuma. As configurações padrões aplicam-se à nova conta de usuário.

Environment (Ambiente)


Remote Control (Controle remoto)


Terminal Services Profile (Perfil de serviços)


Criando modelos de contas de usuário



Modelos de contas de usuários permitem que se tenha um modelo padrão para um grupo de usuários na rede.

Para criar um modelo atribua um nome de conta exclusivo e lembre-se de marcar a caixa de seleção ACCOUNT IS DISABLED ao definir os requisitos de senha.

As diretrizes a serem consideradas durante a criação de modelos são:

Criar um modelo para cada categoria de usuários.

Se há normalmente usuários de rede temporários ou de curto prazo, crie um modelo com horas de logon limitadas, especificações de estação de trabalho e outras restrições necessárias.

Personalizando configurações de usuário com perfis de usuário

O perfil de usuário contém todas as configurações que o usuário pode definir para o ambiente de trabalho de um computador que executa o Windows Server 2003, inclusive as configurações regionais, do monitor, do mouse e do som, além das conexões de rede e de impressora. Você pode configurar um perfil de usuário, de modo que esteja associado a um usuário para cada computador em que ele efetuar logon.

Existem 4 tipos de usuários:

Perfil de usuário padrão.

Serve como base para todos os perfis de usuário. Todo perfil de usuário começa com uma cópia do perfil de usuário padrão, que é armazenada em cada computador que executa o Windows 2000 Professional ou o Windows Server.

Perfil de usuário local.

Criado na primeira vez que um usuário efetua logon em um computador, sendo armazenado no computador local. Qualquer alteração feita no perfil de usuário local será específica do computador em que ocorreu. Vários perfis de usuário locais podem existir em um só computador.

Perfil de usuário móvel.

Criado pelo administrador do sistema e armazenado em um servidor. Esse perfil está disponível toda vez que um usuário efetua logon em qualquer computador da rede. Se um usuário fizer alterações nas configurações da área de trabalho, quando ele efetuar logoff, seu perfil será atualizado no servidor.



Perfil de usuário obrigatório.

Criado pelo administrador para especificar as configurações específicas de um usuário e pode ser local ou móvel. Um perfil obrigatório de usuário não permite que os usuários salvem alterações nas configurações da área de trabalho. Os usuários podem modificar as configurações da área de trabalho do computador quando efetuam logon, mas essas alterações não são salvas quando efetuam logoff.

Criando um perfil de usuário móvel

Para configurar um perfil de usuário móvel, execute as seguintes etapas:

Crie uma pasta compartilhada em um servidor e forneça aos usuários a permissão Full Control (Controle total) para a pasta.

Forneça o caminho para a pasta compartilhada. Abra o Active Directory Users and Computers. No painel de detalhes, clique com o botão direito do mouse na conta de usuário aplicável e, em seguida, clique em Properties. Na guia Profile (Perfil), em User profile (Perfil de usuário), digite as informações de caminho para especificar a pasta compartilhada na caixa Profile path (Caminho do perfil).

As informações de caminho devem ser exibidas da seguinte maneira:

\nome_do_servidor\nome_pasta_compartilhada\nome do_usuário.

Você pode usar a variável %username% em vez de digitar o nome do usuário. O Windows Server 2003 substitui automaticamente %username% pelo nome da conta de usuário do perfil de usuário móvel.

Criando um perfil móvel obrigatório

Em geral, você usa um perfil obrigatório quando um grupo de usuários precisa de configurações de área de trabalhos iguais e você não deseja que modifiquem suas áreas de trabalho. Para criar um perfil de usuário móvel obrigatório, execute as seguintes tarefas:

Crie uma pasta compartilhada em um servidor com uma pasta de perfis para conter o perfil de usuário a ser criado. Forneça aos usuários a permissão Full Control para a pasta de perfis. Por exemplo, crie uma pasta chamada Profiles e, em seguida, crie uma pasta chamada User1 nessa pasta.

Defina um perfil de usuário móvel configurado. No Active Directory Users and Computers, crie um novo usuário, especifique sua pasta de perfis referente às informações de caminho e configure o perfil.

Por exemplo, crie um usuário chamado User 1 e especifique o caminho de perfil \\nome_do_servidor\Proflles\User1. Para configurar o perfil, efetue logon no domínio como User 1, modifique as configurações da área de trabalho, se necessário, e efetue logoff.



Para tomar um perfil obrigatório de usuário, um administrador deve alterar a extensão .dat de Ntuser para man.

Renomeie o arquivo de perfis Ntuser.dat como Ntuser.man (de mandatório). Isso torna o perfil somente leitura e, por conseqüência, obrigatório. Para renomear o perfil, efetue logon como Administrador, abra o Windows Explorer e, na pasta de perfis do usuário, renomeie o arquivo Ntuser.dat como Ntuser.man.

Recomendações para administrar usuários

Algumas recomendações importantes para administração de usuários são as seguintes:

– Troque o nome da conta Administrador em cada domínio para reduzir o risco de uso sem autorização desta conta.

– Crie uma conta de Administrador como “isca” com o nome de “Administrator”;

– Remova todos os direitos. Faça a conta de usuário ser participante do grupo Domains Guests e então desabilite a conta.

– Quando os eventos de auditoria de falha de logon forem habilitados, essa nova conta criará eventos dentro do Event Viewer, com isso você poderá identificar possíveis ataques usando a conta Administrator.

– Desabilite todas as contas de modelo, com isso você impedirá que usuários não autorizados consigam utilizar uma conta de modelo para acessar a rede.

– Configure datas de expiração para contas de empregados temporários para períodos curtos, isso impede que os empregados temporários consigam acessar a rede quando seus contratos expirarem.

– Localize as contas de usuário que estão desativadas ou sem uso. Ao localizar as contas, compare a lista de contas de usuário do domínio localizado com a lista de empregados, parceiros, clientes e usuários autorizados fornecida pelo departamento de recursos humanos ou de folha de pagamento.

Recomendações para administrar computadores

Da mesma forma, apresentamos a seguir algumas recomendações importantes para administração de contas de computadores:

– As contas de computador devem ser associadas aos seus usuários.

– Em ambientes onde os computadores não são compartilhados entre vários usuários, o nome da conta de computador pode ser vinculada facilmente ao nome de seu usuário. Por exemplo, o computador para a usuária kellyr poderia ser nomeado kellyr1. Acrescentando um número depois do nome do usuário.



PRÁTICA 8: CRIANDO CONTAS DE USUÁRIO DE DOMÍNIO


Efetuar logon em nwtraders como Adminx (onde x é o número de aluno atribuído a você) com a senha domain.

Efetue logon usando as seguintes informações: User name (Nome de usuário): Admin x (onde x é o número de aluno atribuído a você) Password (Senha): domain Log on to (Efetuar logon em): nwtraders

No Active Directory Users and Groups, em Servidor OU (onde Servidor é o nome do computador atribuído a você), criar a conta de usuário Temp1 com o nome de logon ServidorT1 e a senha password . Criar a conta de usuário Temp2 com o nome de logon ServidorT2 e a senha password .

Abra o Active Directory Users and Computers (Usuários e computadores do Active Directory) no menu Administrative Tools (Ferramentas administrativas).

Na árvore de console, expanda nwtraders.msft e clique em Servidor OU (onde Servidor é o nome do computador atribuído a você).

Clique com o botão direito em Servidor OU, aponte para New (Novo) e clique em User (Usuário).

Use as seguintes informações para preencher a caixa de diálogo New Object - User (Novo objeto - usuário): First name (Nome): Temp1 User Logon name (Nome de logon do usuário): ServidorT1 (onde Servidor é o nome do computador atribuído a você)

Clique em Next .

Nas caixas Password (Senha) e Confirm password (Confirmar senha), digite password

Marque a caixa de seleção User cannot change password (O usuário não pode alterar a senha) e clique em Next .

Analise as configurações da conta de usuário Temp1 e clique em Finish .

Clique com o botão direito do mouse em Servidor OU, aponte para New e clique em User .

Use as seguintes informações para preencher a caixa de diálogo New Object - User : First name: Temp2 User Logon name: ServidorT2 (onde Servidor é o



nome do computador atribuído a você)

Clique em Next .

Nas caixas Password e Confirm password , digite password

Marque a caixa de seleção User cannot change password e clique em Next .

Analise as definições de configuração da conta de usuário Temp2 e clique em Finish .

Usando o Active Directory Users and Groups, definir as seguintes propriedades em Temp1:

Logon Hours: Monday through Saturday, 6 A.M. to 9 P.M.

Log On To: Servidor (onde Servidor é o nome do computador atribuído a você e Servidor do parceiro (onde Servidor do parceiro é o nome do computador atribuído a seu parceiro)

Account Expires: Primeira sexta-feira a partir da data atual

Profile Path: \\London\profiles\%username%

Home Folder: H:\\London\home\%username%

No Active Directory Users and Computers , no painel de detalhes, clique duas vezes em Temp1 .

Na caixa de diálogo Temp1 Properties (Propriedades de Temp1), na guia Account (Conta), clique em Logon Hours (Horário de logon).

Na caixa de diálogo Logon Hours for Temp1 (Horas de logon para Temp1), no canto superior esquerdo, clique em All (Todos) e, em seguida, clique em Logon Denied (Logon negado).

Arraste o cursor sobre as horas de logon, de modo que a descrição abaixo do calendário exiba Monday through Saturday from 6AM to 9PM (De segunda a sábado das 6:00 às 21:00), clique em Logon Permitted (Logon permitido) e, em seguida, clique em OK.

Na guia Account (Conta), clique em Log On To (Efetuar logon em).

Clique em The following computers (Os seguintes computadores), na caixa Computer name (Nome do computador) digite Servidor (onde Servidor é o nome do computador atribuído a você) e clique em Add (Adicionar).

Na caixa Computer name , digite Servidor do parceiro (onde Servidor do parceiro é o nome do computador atribuído a seu parceiro), clique em Add e em OK.

Na guia Account , em Account expires (Vencimento da conta), clique em End of (Termina em) e selecione a primeira sexta-feira a partir



da data atual.

Na guia Profile (Perfil), na caixa Profile path (Caminho do perfil), digite \\london\profiles\%username%

(continuação) Em Home folder (Pasta base), clique em Connect (Conectar) e, em seguida, clique em H:.

Na caixa To (Em), digite \\london\home\%username% e clique em OK.

Usando Active Directory Users and Groups, definir as propriedades a seguir em Temp2:

Logon Hours: Monday through Saturday, 12 A.M. to 6 A.M., and Monday through Saturday, 9 P.M. to 12 A.M.

Log On To: Computer55

Account Expires: Primeira sexta-feira a partir da data atual

Profile Path: \\London\profiles\%username%

Home Folder: H:\\London\home\%username%

No Active Directory Users and Computers , no painel de detalhes, clique duas vezes em Temp2 .

Na caixa de diálogo Temp2 Properties (Propriedades de Temp2) na guia Account , clique em Logon Hours .

Na caixa de diálogo Logon Hours for Temp2 (Horas de logon para Temp2), clique em All e em Logon Denied .

Arraste o cursor sobre as horas de logon, de modo que a descrição abaixo do calendário exiba Monday through Saturday 12AM to 6AM (De segunda a sábado de meia-noite às 6:00), e clique em Logon Permitted .

Novamente, arraste o cursor sobre as horas de logon, de modo que a descrição abaixo do calendário exiba Monday through Saturday from 9PM to 12AM (De segunda a sábado das 21:00 à meia-noite), clique em Logon Permitted e, em seguida, clique em OK.

Na guia Account , em Account expires , clique em End of e selecione a primeira sexta-feira a partir da data atual.

Clique em Add e, em seguida, clique em OK.

Na guia Account , em Account expires , clique em End of e selecione a primeira sexta-feira a partir da data atual.

Na guia Profile , na caixa Profile path , digite \\london\profiles\%username%

Em Home folder , clique em Connect e, em



seguida, clique em H:.

Na caixa To, digite \\london\home\%username% e clique em OK.

Feche o Active Directory Users and Computers e efetue logoff.

Tentar efetuar logon em ServidorT2 (onde Servidor é o nome do computador atribuído a você) com a senha password e verificar as restrições de logon da conta.

Tente efetuar logon usando as seguintes informações: User logon name (Nome de logon do usuário): ServidorT2 (onde Servidor é o nome do computador atribuído a você) Password: password Log on to: nwtraders

Uma mensagem é exibida, indicando que você não pode efetuar logon devido a uma restrição de conta.

(continuação) Clique em OK.

Efetuar logon em nwtraders como ServidorT1 (onde Servidor é o nome do computador atribuído a você) com a senha password . Abrir um prompt de comando e verificar a letra da unidade. Depois, criar um arquivo de texto chamado Seu Nome na área de trabalho.

Efetue logon usando as seguintes informações: User logon name: ServidorT1 (onde Servidor é o nome do computador atribuído a você) Password: password Log on to: nwtraders

Clique em Start , run , digite cmd e dê enter .

(continuação) Feche o prompt de comando.

Clique com o botão direito do mouse na área de trabalho, clique em New e, em seguida, clique em Text Document (Documento de texto).

Nomeie o arquivo de texto como Seu nome.

Feche todas as janelas abertas e efetue logoff.

No computador do seu parceiro, efetuar logon em nwtraders como ServidorT1 (onde Servidor é o nome do computador atribuído a você) com a senha password . Verificar se o arquivo de texto criado na tarefa 6 é exibido na área de trabalho.

No computador do seu parceiro, efetue logon usando as seguintes informações: User logon name: ServidorT1 (onde Servidor é o nome do computador atribuído a você) Password: password Log on to: nwtraders

Verifique se o arquivo de texto criado na tarefa 6

Parte 2 - Activ e Directory e Administração de contas de usuários e computadores


está exibido na área de trabalho.

(continuação) Efetue logoff do servidor do seu parceiro.


Parte 3 - Gerenciamento de Acesso a Recursos



GERENCIAMENTO DE ACESSO A RECURSOS

O que são permissões?

Permissões definem o tipo de acesso garantido ao usuário, grupo ou computador a um objeto. Podemos, por exemplo, deixar um usuário ler o conteúdo de um arquivo e outro usuário mudar esse mesmo arquivo, além de negar o acesso aos outros usuários.

Permissões são aplicadas a qualquer objeto seguro, como arquivos, objetos no AD e objetos do registro; podem ser atribuídas a qualquer usuário, grupo ou computador.

Pastas compartilhadas

Com o surgimento das redes foi necessário criar novos recursos de rede como, por exemplo, fornecer pastas compartilhadas. As pastas compartilhadas fornecem acesso a arquivos e a serviços de rede que podem ser centralizados em um servidor deixando assim as estações clientes livres. Manter uma pasta compartilhada em um servidor facilita os usuários acessarem essa pasta em comum e facilita também os backup das informações contidas nessa pasta.

No Windows Server 2003 existem apenas três grupos que podem criar pastas compartilhadas:

Administrator;

Serve Operators;

Power User.

Esses três são grupos encontrados no console de Gerenciamento do Computador, na pasta Usuários e Grupos Locais, se o servidor é um servidor membro, ou no console Active Directory User and Computers, container Groups, num controlador de domínio Windows Server 2003.

A tabela a seguir descreve quem pode compartilhar pastas em servidores Windows Server 2003:

Para compartilhar pastas em Deve ser membro do grupo

Controlador de domínio Windows Server 2003

Administrators ou Server Operators.

Servidor membro ou stand-alone Windows Server 2003

Administrators ou Power Users.

Tabela 4 - Permissões para compartilhar pastas nos servidores



Compatilhando pastas

Ao compartilhar uma pasta observe 2 pontos:

A qual domínio ou grupo de trabalho a pasta pertence.

O tipo de sistema operacional em execução no computador em que a pasta está.

É importante salientar que só se pode compartilhar uma pasta quando aquele que deseja fazer isso esteja em um dos grupos mencionado acima: Administrator ou Server Operators ou Power User.

Ao compartilhar uma pasta, você deve atribuir a ela um nome de pasta compartilhada, e também pode fornecer um comentário para descrevê-la e seu conteúdo, limitar o número de usuários que têm acesso a ela e conceder permissões. Também há a opção de compartilhar a mesma pasta com vários nomes. Isso permite consolidar várias pastas compartilhadas em uma única, possibilitando que os usuários utilizem o mesmo nome de pasta compartilhada usado antes que elas fossem consolidadas.

Para criar uma pasta compartilhada, clique com o botão direito do mouse nela no Windows Explorer e, em seguida, clique em Sharing (Compartilhamento). Na guia Sharing, configure as opções descritas na tabela a seguir.

Share this folder

(Compartilhar esta pasta)

Clique para compartilhar a pasta.

Share Name (Nome do compartilhamento)

Digite o nome que os usuários de locais remotos usam para estabelecer urna conexão com a pasta compartilhada. O nome padrão da pasta compartilhada é o nome da pasta. Essa opção é necessária.

Nota: alguns computadores clientes com sistemas operacionais mais antigos (principalmente os da família 9x) só conseguem identificar um número limitado de caracteres no nome do compartilhamento. Na dúvida, limite a 8 caracteres, sem espaços ou caracteres especiais.

Comment (Comentário)

Digite uma descrição opcional para o nome da pasta compartilhada. O comentário é exibido, além do nome da pasta compartilhada, quando os usuários em computadores clientes procuram pastas compartilhadas no servidor. Você pode usar esse comentário para identificar o conteúdo da pasta compartilhada.

User Limit (Limite de usuários)

Digite o número de usuários que podem se conectar simultaneamente à pasta compartilhada. Essa opção não é necessária. Se você clicar em Maximum Allowed (Máximo permitido), o Windows 2000 Professional dará suporte a até dez conexões. O Microsoft Windows 2000 Server pode dar suporte a



tantas conexões quanto o número de licenças adquiridas

Permissions (Permissões)

Clique para definir as permissões de pasta compartilhada que só se aplicam quando a pasta é acessada através da rede. Por padrão, a permissão Full Control (Controle total) é concedida ao grupo Everyone para todas as novas pastas compartilhadas.

As permissões de pasta compartilhada aplicam-se a pastas, e não a arquivos individuais. As permissões de pasta só se aplicam aos usuários que se conectam à pasta na rede. Elas não restringem acesso aos usuários que acessam essa pasta no computador em que está armazenada. Você pode conceder permissões de pasta compartilhada a contas de usuário, grupos e contas de computador.

A tabela a seguir descreve o que cada usuário pode fazer se tiver uma dessas permissões.

Tipos de permissões O que o usuário pode execut ar

Read (Ler) Exibir nomes de pastas, nomes de arquivos, dados de arquivos e atributos, executar arquivos de aplicativos e alterar as pastas contidas na pasta compartilhada.

Change (Alterar)

Criar pastas; adicionar arquivos a pastas; alterar dados em arquivos; acrescentar dados a arquivos; alterar atributos de arquivo; excluir pastas e arquivos, e executar as ações autorizadas pela permissão Read.

Full Control (Controle total)

Alterar permissões de arquivo, apropriar-se de arquivos, e executar todas as tarefas permitidas pelas permissões Change e Read. Por padrão, o grupo Everyone tem essa permissão. Por padrão, troque para o grupo Authenticated Users se o compartilhamento estiver num volume NTFS.

Outra forma de compatilhar pastas é através da ferramenta Computer Management. Para isso siga os seguintes passos:

Abra a ferramenta Computer Management, e na árvore de console, expanda Shared Folders, e então clique em Shares.

No menu Action, clique em New Share

Siga os passos no assistente Share a Folder Wizard.

Além disso, também podemos usar o comando net share para compartilhar pastas. Para isso, o comando deve ser usado da seguinte forma:

Abra um prompt de comando.

Digite net share nomePastaCompartilhada=Drive:Caminho,



onde:

NomePastaCompatilhada nome que será visto na rede para a pasta compartilhada;

Drive:Path caminho absoluto no servidor para a pasta.

As permissões são cumulativas

As permissões efetivas de um usuário para um recurso são a combinação das permissões de pasta compartilhadas, concedidas à conta de usuário individual, e das permissões de pasta compartilhada, concedidas aos grupos aos quais o usuário pertence. Por exemplo, se um usuário tiver a permissão Read para uma pasta e for participante de um grupo com a permissão Write (Gravar) para a mesma pasta, ele terá as permissões Read e Write para essa pasta.

Negar permissões substitui outras permissões

Você pode negar permissões de pasta compartilhada. As permissões negadas substituem qualquer permissão definida para contas de usuário e grupos. Recomenda-se que você negue permissões de pasta compartilhada somente quando deseja garantir que usuários específicos não tenham acesso a uma pasta compartilhada.

Se você negar permissões de pasta compartilhada a um usuário, esse usuário não terá essa permissão, mesmo que você a conceda, a um grupo do qual ele é participante. Se você simplesmente não conceder uma permissão de pasta compartilhada a um usuário, esse usuário poderá se tornar participante de um grupo que possui essa permissão e, portanto, também a possuirá.

Concedendo permissões de pasta compartilhada

Você pode conceder permissões de pasta compartilhada quando a pasta estiver em uma unidade formatada para usar o sistema de arquivos NTFS, FAT (tabela de alocação de arquivos) ou FAT32.

Para que os usuários obtenham acesso a uma pasta compartilhada em um volume NTFS, eles precisam das permissões de NTFS apropriadas para cada arquivo e pasta, além das permissões de pasta compartilhada.

Na guia Security (Segurança) da caixa de diálogo Properties (Propriedades), defina as permissões de NTFS para arquivos e pastas residentes em um volume NTFS.

Para conceder permissões de pasta compartilhada para usar contas, grupos e contas de computador, execute as seguintes etapas:



Abra a caixa de diálogo Properties da pasta compartilhada. Na guia Sharing clique em Permissions (Permissões) para abrir a caixa de diálogo Permissions.

Clique em Add (Adicionar). Na caixa de diálogo Select Users, Computers, or Groups (Selecionar usuários, computadores ou grupos), clique em Look in (Examinar) para ver uma lista de domínios (inclusive o computador local) na qual você pode selecionar nomes de contas de usuário e grupos.

Selecione a conta de usuário ou o grupo ao qual você deseja conceder permissões.

Marque a caixa de seleção Allow (Permitir) das permissões apropriadas para a conta de usuário, grupo ou computador.

Modificando configurações de pastas compartilhadas

Você pode modificar uma pasta compartilhada na guia Sharing da caixa de diálogo Properties da pasta.

A tabela abaixo nos mostra as opções de configurações de pastas compartilhadas.

Interromper o compartilhamento

de uma pasta

Clique em Do not share this folder

(Não compartilhar esta pasta)

Modificar o nome

do compartilhamento

Clique em Do not share this folder para interromper o compartilhamento da pasta e, em seguida, clique em Apply (Aplicar) para aplicar a alteração. Clique em Share this folder (Compartilhar esta pasta) e digite o nome da nova pasta compartilhada na caixa Share name.

Essa ação remove todas as permissões de pasta compartilhadas.

Modificar permissões

de pasta compartilhada

Clique em Permissions. Na caixa de diálogo Permissions, adicione ou remova usuários ou modifique permissões, selecionando o usuário. Em seguida, selecione as permissões individuais a serem permitidas ou negadas.

Compartilhar uma pasta

com vários nomes

Clique em New Share (Novo compartilhamento) para compartilhar uma pasta com um nome de pasta compartilhada adicional. Use nomes de pasta compartilhada adicional para consolidar várias pastas compartilhadas em



uma única pasta. Isso permite que os usuários continuem a usar o nome da pasta compartilhada original. Essa opção só é exibida quando a pasta já está compartilhada.

Remover um nome de pasta

compartilhada adicional

Clique em Remove Share (Remover compartilhamento). Essa opção só será exibida depois que a pasta for compartilhada mais de uma vez.

Tabela 5 - Propriedades de uma pasta compartilhada

Conectando-se a pastas compartilhadas

Depois que você compartilha uma pasta, os usuários podem obter acesso a ela através da rede. Os usuários podem obter acesso a uma pasta compartilhada em outro computador, usando My Network Places, Map Network Drive ou o comando Run (Executar).

Usando My Network Places

Em muitos casos, a maneira mais fácil de obter acesso à pasta compartilhada consiste em usar My Network Places.

Para se conectar a uma pasta compartilhada usando My Network Places, execute as seguintes etapas:

Clique duas vezes em My Network Places.

Digite o caminho de rede da pasta compartilhada à qual você deseja se conectar ou clique em Browse (Procurar) para localizar o computador em que a pasta compartilhada está localizada.

Clique duas vezes na pasta compartilhada para abri-la

Usando Map Network Drive

Mapeie uma unidade de rede para que uma letra de unidade e um ícone sejam associados a uma pasta compartilhada específica. Isso facilita fazer referência ao local de um arquivo em uma pasta compartilhada.

Por exemplo, em vez de apontar para \\Servidor\Nome_da_Pasta_Compartilhada\Arquivo, você apontaria para Unidade:\Arquivo. Use letras de unidade para obter acesso às pastas



compartilhadas para as quais você não pode usar um caminho do tipo convenção universal de nomenclatura (UNC), como, por exemplo, uma pasta de um aplicativo antigo.

Para mapear para uma unidade de rede, execute as seguintes etapas:

Clique com o botão direito do mouse em My Network Places e, em seguida, clique em Map Network Drive.

the Map Network Drive Wizard (Assistente para mapear a unidade de rede), selecione a letra de unidade a ser usada.

Digite o nome da pasta compartilhada à qual você deseja se conectar ou clique em Browse para localizá-la.

Para obter acesso a uma pasta compartilhada que você usará de forma recorrente, selecione Reconnect at Iogon (Reconectar-se no logon) para se conectar automaticamente toda vez que efetuar logon.

Usando o comando Run

Quando você usa o comando Run para se conectar a um recurso de rede, uma letra de unidade não é necessária, permitindo um número ilimitado de conexões que independem das letras de unidade disponíveis.

Para se conectar a uma pasta compartilhada em uma unidade de rede, execute as seguintes etapas:

Clique em Start e, em seguida, em Run.

Na caixa de diálogo Run, digite o caminho UNC na caixa Open (Abrir) e clique em 0K.

Também é possível, por exemplo, copiar um arquivo sem mapear o compartilhamento, com o comando xcopy:

xcopy \\servidor_de_origem\pasta_compatillhada\arquivo [destino]

Combinando as permissões de NTFS e de pasta compart ilhada

Uma estratégia para controlar o acesso aos recursos da rede em urna partição NTFS consiste em compartilhar pastas com as permissões padrões de pasta compartilhada e, depois, controlar o acesso a essas pastas concedendo permissões de NTFS, que veremos a seguir neste mesmo capítulo.



Quando você compartilha uma pasta em uma partição formatada com NTFS, as permissões de pasta compartilhada e as de NTFS são combinadas para proteger os recursos de arquivo. As permissões de NTFS são aplicadas, seja o recurso acessado localmente ou através da rede.

Quando um administrador combina as permissões de NTFS e as de pasta compartilhada, são aplicadas as mais restritivas das permissões de NTFS combinadas ou das permissões de pasta compartilhada combinadas.

Pode-se conceder permissões de pasta compartilhada em um volume NTFS coma as seguintes regras:

As permissões de NTFS são necessárias em volumes NTFS. Por padrão, o grupo Everyone tem a permissão Full Control. Atenção! Novamente, se a sua intenção for realmente compartilhar algo para todos, troque essa permissão para o grupo Authenticated Users.

Os usuários devem ter as permissões de NTFS adequadas para cada arquivo e ssubpasta de uma pasta compartilhada, além das permissões de pasta compartilhada, para obter acesso a esses recursos.

Quando você combina as permissões de NTFS e as de pasta compartilhada, a permissão resultante é a mais restritiva das permissões (de pasta compartilhada e NTFS) combinadas.

Tendo em vista as restrições acima, e sabendo que o NTFS vale tanto para as permissões locais como para as permissões da rede, é seguro trabalhar apenas nas permissões NTFS, deixando as permissões de compartilhamento como Full Control para o Grupo Authenticated Users.Atenção! Isso só vale para partições/volumes formatados com NTFS, e se as permissões NTFS estiverm corretas. Além disso, gera menor trabalho administrativo, visto que todas as permissões estão no mesmo lugar (Segurança do NTFS).

Usando pastas compartilhadas administrativas

O Windows Server 2003 compartilha automaticamente as pastas que permitem executar tarefas administrativas. Um símbolo de cifrão ($) é acrescentado a essas pastas compartilhadas. Esse símbolo oculta a pasta compartilhada dos usuários que pesquisam o computador em My Network Places. A raiz de cada unidade, inclusive das unidades de disco rígido e de CD-ROM, a pasta raiz do sistema e o local dos drivers de impressora são pastas compartilhadas ocultas criadas automaticamente pelo Windows Server 2003.

Por padrão, os participantes do grupo Administrators possuem a permissão Full Control para pastas compartilhadas administrativas. Você não pode modificar as permissões em pastas compartilhadas administrativas.

A tabela a seguir descreve a finalidade das pastas compartilhadas administrativas, fornecidas automaticamente pelo Windows Server 2003.

Pasta compartilhada Finalidade

C$, D$, E$ Essas pastas compartilhadas são usadas para conexão remota com um por computador e execução de tarefas administrativas. A raiz de cada



partição/volume em um disco rígido é automaticamente compartilhada. Ao se conectar a essa pasta, você obtém acesso a toda a partição.

Admin$

A pasta raiz do sistema, que é C:\Windows por padrão. Os administradores podem obter acesso a essa pasta compartilhada para administrar o Windows Server 2003, sem saber em que pasta esse programa está instalado.

Print$

Essa pasta fornece acesso a arquivos de driver de impressora para computadores clientes. Quando você instala a primeira impressora compartilhada, a pasta raiz do sistema\System32\Spool\Drivers é compartilhada como Print$. Somente os participantes dos grupos Administrators, Server Operators e Print Operators possuem a permissão Full Control. O grupo Everyone tem a permissão Read (Ler).

IPC$6 Essa pasta é usada durante a administração remota de um computador e quando visualizar os recursos compartilhados de um computador

FAX$ Essa pasta compartilhada é usada para armazenar temporariamente arquivos e páginas de rosto no servidor

As pastas compartilhadas ocultas não se limitam às criadas automaticamente pelo Windows 2000. Você pode compartilhar pastas adicionais e acrescentar um símbolo de cifrão ($) ao fim do nome da pasta compartilhada. Depois, somente os usuários que sabem o nome da pasta poderão obter acesso a ela. Essas pastas ocultas não são consideradas compartilhamentos administrativos.

Publicando uma pasta compartilhada no Active Directory

A publicação de recursos, inclusive de pastas compartilhadas no Active Directory permite que os usuários pesquisem o Active Directory para localizar recursos de rede, mesmo que o local físico desses recursos seja alterado. Por exemplo, se você mover uma pasta compartilhada para outro computador, todos os atalhos que apontarem para o objeto do Active Directory que representa a pasta compartilhada publicada continuarão a funcionar, desde que a referência ao local físico seja atualizada. Os usuários não precisam atualizar suas conexões.

É possível publicar qualquer pasta compartilhada no Active Directory que possa ser acessada por meio de um nome UNC. Depois que uma pasta compartilhada for publicada, um usuário em um computador que execute o Windows 2000 poderá usar o Active Directory para localizar o objeto que representa a pasta compartilhada e, em seguida, conectar-se a ela.

Para publicar uma pasta compartilhada no Active Directory, execute as seguintes etapas:

6 Para mais informações sobre IPC$ consulte http://support.microsoft.com/?kbid=101150.



Abra o Active Directory Users and Computers (Usuários e computadores do Active Directory) no menu Administrative Tools (Ferramentas administrativas).

Na árvore de console do Active Directoiy Users and Computers, clique com o botão direito do mouse no domínio em que você deseja publicar a pasta compartilhada, aponte para New (Novo) e clique em Shared Folder (Pasta compartilhada).

Na caixa Shared Folder Name (Nome da pasta compartilhada), digite o nome da pasta como deve ser exibido no Active Directory.

Na caixa Network Path (Caminho da rede), digite o caminho para a pasta compartilhada (nome UNC) e clique em 0K.

Os administradores e usuários podem localizar informações no Active Directory usando o comando Search (Pesquisar) do menu stars, My Network Places na área de trabalho ou Active Directory Users and Computers Active Directory

Permissões NTFS

NTFS é o sistema de arquivos padrão Windows Server 2003, e fornece desempenho e características que não são encontrados no FAT nem no FAT32.

As permissões NTFS são usadas para especificar que usuários, grupos e computadores podem acessar arquivos e pastas. Além disso, essas permissões também ditam o que pode ser feito com o conteúdo de um arquivo ou pasta.

Permissões de arquivo NTFS

Conforme discutido anteriormente, quando utilizamos o sistema operacional de rede Windows Server 2003 com o sistema de arquivos NTFS, conseguimos controlar o acesso a arquivos de forma individualizada especificando quais usuários ou grupos terão acesso a esses arquivos, bem como qual o tipo de acesso que será concedido.

A tabela a seguir lista os tipos de permissões NTFS que podem ser atribuídas a arquivos.

Permissões NTFS de arquivo O que o usuário pode fazer

Read (Ler) Ler o arquivo e exibir os seus atributos.

Write (Gravar) Renomear o arquivo e alterar e exibir os atributos.

Read & Execute (Ler e Executar) Executar os aplicativos e as ações da permissão read.

Modify (Modificar) Modificar e excluir o arquivo + ações permissão Write + ações



permissão Read & Execute

Full Control (Controle Total) Todas as ações possíveis.

Tabela 6 – Permissões NTFS de arquivo

Na figura a seguir são mostradas as propriedades de segurança de um arquivo, onde podemos visualizar as permissões exibidas na tabela anterior.

Figura 15 – Permissões NTFS de arquivo

Além das permissões de arquivo, com o NTFS também é possível atribuir permissões a pastas e subpastas. Se uma permissão Permitir (Allow) é atribuída a uma pasta e a permissão Negar (Deny) for atribuída a um arquivo dentro dessa pasta, a permissão Negar tem precedência e o usuário ou grupo de usuários não terá acesso ao arquivo.

As permissões NTFS de pastas são exibidas na tabela a seguir.

Permissões NTFS de pastas O que o usuário pode fazer



Read (Ler) Ver os arquivos e subpastas que compõem a pasta, além de verificar as permissões e atributos da pasta.

Write (Gravar) Criar novos arquivos e subpastas na pasta, além de alterar os atributos dela.

List Folder Contents (Listar conteúdo da pasta)

Exibir os nomes dos arquivos e subpastas que estão na pasta.

Read & Execute (Ler e Executar) Navegar pela pasta + permissões Read + permissões List Folder Contents.

Modify (Modificar) Excluir a pasta + permissões Write e Read & Execute.

Full Control (Controle Total) Todas as ações possíveis.

Tabela 7 - Permissõees NTFS de pastas

A figura a seguir mostra a janela de propriedades de uma pasta com as permissões mostradas na tabela anterior.

Figura 16 - Permissões NTFS de pasta



Atribuindo permissões NTFS

Para conceder permissões NTFS a contas de usuário, grupos e contas de computador, execute as seguintes etapas:

1. Abra a caixa de diálogo Properties da pasta ou arquivo desejado. Selecione a guia Security.

2. Clique em Add (Adicionar). Na caixa de diálogo Select Users, Computers, or Groups (Selecionar usuários, computadores ou grupos), clique em Look in (Examinar) para ver uma lista de domínios (inclusive o computador local) na qual você pode selecionar nomes de contas de usuário e grupos.

3. Selecione a conta de usuário ou o grupo ao qual você deseja conceder permissões.

4. Marque a caixa de seleção Allow (Permitir) das permissões apropriadas para a conta de usuário, grupo ou computador.

Herança de permissões NTFS

Por padrão, permissões concedidas a uma pasta pai são herdadas pelas subpastas e arquivos que estão dentro dessa pasta pai. Quando criamos arquivos e pastas dentro da pasta pai, o Windows Server 2003 automaticamente atribui as permissões NTFS da pasta pai.

Ao copiarmos ou movermos arquivos e pastas, as permissões podem mudar dependendo de onde movemos os arquivos. A tabela a seguir mostra as situações possíveis:

Ação Resultado

Copiar arquivo ou pasta dentro da mesma partição NTFS

A cópia mantém as permissões.

Copiar arquivo ou pasta para uma partição NTFS diferente

A cópia herda as permissões.

Copiar arquivo ou pasta para uma partição não NTFS.

As permissões são perdidas, pois o destino não tem suporte a essas permissões.

Mover arquivo ou pasta dentro da mesma partição NTFS.

As permissões originais são mantidas.

Mover arquivo ou pasta para outra partição NTFS.

As permissões originais são mantidas.

Mover arquivo ou pasta para uma partição não NTFS.

As permissões são perdidas, pois o destino não tem suporte a essas permissões.

Tabela 8 - Resultados das permissões quando copiar ou mover arquivos e pastas



Podemos evitar que isso ocorra removendo as permissões herdadas e só mantendo as permissões desejadas, selecionando-as individualmente. Quando desabilitamos a herança em uma pasta, essa pasta se torna a nova pasta pai e seu conteúdo passa a herdar suas permissões.

Para remover permissões herdadas, e copiá-las se necessário, devemos fazer o seguinte:

No Windows Explorer, clicar com o botão direito do mouse no arquivo ou pasta que desejamos mudar a herança de permissões, e então clicar em Properties.

Na janela Properties, na guia Security, clicar em Advanced.

Na janela Advanced Security Settings, desmarcar a caixa de seleção Allow inheritable permissions from the parent to propagate to this object and all child objects. Include thes with entries explicitly defined here.

Na janela Security, clicar em um dos seguintes itens:

Copy, para copiar as permissões que foram anteriormente aplicadas ao pai desse objeto.

Remove, para remover as permissões que foram herdadas do pai desse objeto.

Na janela Advanced Security Settings, clique em OK.

Na janela Properties, clique em OK.



PRÁTICA 9: GERENCIANDO ACESSO A RECURSOS

Exercício 1 : Atribuindo permissões de NTFS


Efetuar logon em nwtraders como Adminx (onde x é o número de aluno atribuído a você) com a senha domain e remover as permissões padrão da pasta Data, bloqueando a herança.

Efetue logon usando as seguintes informações: User name (Nome de usuário): Adminx (onde x é o número de aluno atribuído a você) Password (Senha): domain Log on to (Efetuar logon em): nwtraders

No Windows Explorer, navegue para C:\MOC\Win2273\Labfiles\LabXX e abra a caixa de diálogo Properties (Propriedades) da pasta Data.

Na caixa de diálogo Data Properties (Propriedade de Data), na guia Security (Segurança), visualize as permissões para a pasta Data.

(continuação) Em Name (Nome), clique em Everyone e, em seguida, clique em Remove (Remover).

Uma mensagem será exibida, indicando que você não pode remover o grupo Everyone, porque o objeto está herdando permissões de seu pai.

Clique em OK para fechar a mensagem.

Clique em Advanced.

Desmarque a caixa de seleção Allow inheritable permissions from the parent to propagate to this object and all child objetcts para impedir a herança de permissões.

Uma mensagem será exibida, solicitando que você copie para a pasta as permissões existentes herdadas ou remova todas essas permissões, exceto aquelas especificadas explicitamente.

Na caixa de diálogo Security, clique em Remove.



Atribuir permissões ao grupo Users para a pasta Data.

Na caixa de diálogo Data Properties, clique em Add.

Na caixa de diálogo Select Users, Computers, or Groups (Selecionar usuários, computadores ou grupos), na caixa Look in (Examinar), verifique se nwtraders.msft está exibido.

Em Name, clique em Domain Users (Usuários do domínio), clique em Add e, em seguida, clique em OK.

(continuação) Na caixa de diálogo Data Properties, verifique se Domain Users está selecionado e conceda a permissão Write.

Atribuir permissões Full Control ao grupo Creator Owner da pasta Data.


Na caixa de diálogo Select Users, Computers, or Groups (Selecionar usuários, computadores ou grupos), na caixa From This Location, verifique se nwtraders.msft é exibido.

Em Enter the object names to select, digite Creator Owner (Proprietário criador), clique em Add e, em seguida, clique em OK.

Na caixa de diálogo Data Properties, verifique se Creator Owner está selecionado e conceda a permissão Full Control.

Observação: É recomendável que você use a permissão Modify sempre que possível e use a permissão Full Control com menos freqüência.

Atribuir permissões Full Control ao grupo Administrators local da pasta Data e criar um arquivo chamado Admin.txt.


Na caixa de diálogo Select Users, Computers, or Groups, na caixa From This Location, clique em locations e escolha Servidor (Servidor é o nome do computador atribuído a você) e clique em OK.

Em Enter Name the object names to select, digite Administrators (Administradores) em seguida, clique em OK.

Na caixa de diálogo Data Properties, verifique se Administrators está selecionado e conceda a permissão Full Control.



Clique em OK para fechar a caixa de diálogo Data Properties.

Na pasta C:\MOC\Win2273\Labfiles\LabXX\Data, crie um arquivo de texto chamado Admin.txt. Esse arquivo será usado para testar permissões.

Feche todas as janelas abertas e efetue logoff.

Efetuar logon em nwtraders como Studentx (onde x é o número de aluno atribuído a você) com a senha domain e testar as permissões de pasta atribuídas para a pasta Data.

Efetue logon usando as seguintes informações: User name: Studentx (onde x é o número de aluno atribuído a você) Password: domain Log on to (Efetuar logon em): nwtraders

No Windows Explorer, navegue para a pasta C:\MOC\Win2273\Labfiles\LabXX\Data.

Na pasta Data, tente criar um arquivo de texto chamado Student.txt.

(continuação) Tente executar as tarefas a seguir no arquivo que você acabou de criar, observando as tarefas que podem ser executadas.

Abra o arquivo

Modifique o arquivo

Salve o arquivo

Exclua o arquivo

(continuação) Tente executar as tarefas a seguir no arquivo Admin.txt, observando as tarefas que podem ser executadas.

Abra o arquivo

Modifique o arquivo

Salve o arquivo

Exclua o arquivo

(continuação) Feche todas as janelas abertas e efetue logoff.



Exercício 2 : Compartilhando pastas


Efetuar logon em nwtraders como Adminx (onde x é o seu número de aluno) com a senha domain e compartilhar a pasta C:\MOC\Win2273\Labfiles\Lab7\Apps como Apps.

Efetue logon usando as seguintes informações: User name (Nome de usuário): Adminx (onde x é o nome de aluno atribuído a você) Password (Senha): domain Log on to (Efetuar logon em): nwtraders

No Windows Explorer, procure pela pasta C:\MOC\Win2273\Labfiles\LabXX\Apps.

Abra a caixa de diálogo Properties da pasta Apps e clique na guia Sharing.

Observação: Observe que a pasta Apps não está compartilhada.

(continuação) Clique em Share this folder (Compartilhar esta pasta).

O nome de compartilhamento assume como padrão o nome da pasta. Para que o nome de compartilhamento seja diferente do nome da pasta, altere-o aqui.

Na caixa Description (Descrição), digite Shared Applications e clique em OK.



Exercício 3 : Atribuindo permissões de pasta compartilhada


Determinar as permissões atuais da pasta compartilhada Apps.

Abra a caixa de diálogo Properties de Apps.

Na guia Sharing, clique em Permissions.

Remover as permissões padrão e atribuir a permissão Full Control ao grupo local Administrators.

Na caixa de diálogo Permissions for Apps (Permissões de Apps), verifique se Everyone (Todos) está selecionado e clique em Remove (Remover).

Clique em Add (Adicionar).

Na caixa Select Users, Computers, or Group, digite Administrators, e, em seguida, clique em OK.

(continuação) Em Permissions, conceda a permissão Full Control ao grupo Administrators e clique em OK.

Clique em OK para fechar a caixa de diálogo Apps Properties e feche o Windows Explorer.

Exercício 4: Conectando-se a uma pasta compartilhad a


Conectar-se à pasta Apps compartilhada no computador, usando o comando Run.

Clique em Start e, em seguida, clique em Run.

Na caixa Open, digite \\Servidor (onde Servidor é o nome do computador atribuído a você) e clique em OK.

Observação: Normalmente, você se conectaria a outro computador para verificar a funcionalidade de uma pasta compartilhada. Para a finalidade deste laboratório, você se conectará ao seu computador.

(continuação) Clique duas vezes em Apps para confirmar que você pode obter acesso à pasta.

Feche a janela \\Servidor\APPS (onde Servidor é



o nome do seu computador)

Mapear uma unidade de rede para a pasta compartilhada \\London\Corpdata no computador do instrutor, usando Map Network Drive.


Na caixa Drive (Unidade), clique em P.

Na caixa Folder (Pasta), digite \\london\corpdata

Desmarque a caixa de seleção Reconnect at logon (Reconectar-se no logon).

Observação: Você obterá acesso a essa pasta compartilhada apenas neste exercício. Desativar a opção de reconexão garantirá que o Windows Server 2003 não tente automaticamente se reconectar mais tarde a essa pasta compartilhada.

(continuação) Para concluir a conexão, clique em Finish (Concluir).

O Windows Explorer será aberto, mostrando o conteúdo da nova pasta compartilhada. Observe que a barra de título exibirá P:\.

Feche a janela P:.

Abra My Computer (Meu computador) e localize CorpData on London (P:).

Desconectar a unidade de rede mapeada da pasta compartilhada CorpData do computador do instrutor, usando My Computer.

Em My Computer, clique com o botão direito do mouse em CorpData on London (P:) e, em seguida, clique em Disconnect (Desconectar).

Feche My Computer e efetue logoff.

Efetuar logon em nwtraders como Studentx (onde x é o número de aluno atribuído a você) com a senha domain e tentar se conectar à pasta compartilhada CorpData do computador do instrutor.

Efetue logon usando as seguintes informações: User name: Studentx (onde x é o número de aluno atribuído a você) Password: domain Log on to: nwtraders


Na caixa Drive (Unidade), clique em P.



Na caixa Folder, digite \\london\corpdata

Desmarque a caixa de seleção Reconnect at logon, se necessário, e clique em Finish.

O Windows Server 2003 exibirá uma mensagem, indicando que o acesso foi negado.

(continuação) Clique em OK para fechar a mensagem.

Conectar-se à pasta CorpData compartilhada como Adminx (onde x é o número de aluno atribuído a você) com a senha domain.


Na caixa Drive, clique em P:\London\Corpdata.

Na caixa Folder, digite (ou escolha) \\London \Corpdata

Clique em Connect using a different user name (Conectar usando outro nome de usuário).

Na caixa de diálogo Connect As (Conectar-se como), na caixa User name, digite Adminx (onde x é o número de aluno atribuído a você).

Na caixa Password, digite domain e clique em OK.

Desmarque a caixa de seleção Reconnect at logon, se necessário, e clique em Finish.

Uma mensagem será exibida, indicando que a unidade P já está conectada. Isso ocorrerá porque existe uma conexão IPC da tentativa anterior.

Clique em Yes (Sim) para substituir a conexão atual.

(continuação) Feche todas as janelas e efetue logoff.



Exercício 5 : Removendo um compartilhamento de pasta


Efetuar logon em nwtraders como Adminx (onde x é o seu número de aluno) com a senha domain e finalizar o compartilhamento da pasta Apps.

Efetue logon usando as seguintes informações: User name: Adminx (onde x é o nome de aluno atribuído a você) Password: domain Log on to: nwtraders

No Windows Explorer, navegue para a pasta C:\MOC\Win2273\Labfiles\LabXX.

Abra a caixa de diálogo Properties da pasta Apps.

Na guia Sharing, clique em Do not share this folder e, em seguida, clique em OK.

O Windows Server 2003 não exibirá mais o ícone que identifica Apps como uma pasta compartilhada.

Feche o Windows Explorer.

Clique em Start e, em seguida, clique em Run.

Na caixa de diálogo Open, digite \\Servidor\Apps (onde Servidor é o nome do seu computador) e clique em OK.

(continuação) Clique em OK para fechar a mensagem, clique em Cancel (Cancelar) para fechar a caixa de diálogo Run e efetue logoff.


Parte 4 - Configuração IIS



CONFIGURAÇÃO IIS

Configuração de um Servidor Web

Os produtos de servidor baseado no Microsoft Windows Server 2003 se integram com a Web publicando dentro do sistema operacional um servidor Web embutido, o Microsoft Internet Information Services (IIS) 6.0. O ambiente Web integrado que o Windows Server 2003 fornece torna fácil para uma organização publicar e armazenar o conteúdo da Web através de uma Intranet corporativa ou da Internet.

Visão Geral do IIS

Figura 17 – Recursos do IIS

O IIS 6.0, ao contrário da versão 5.0, não é instalado automaticamente durante o processo de instalação do Windows Server 2003. O IIS foi desenvolvido para dar suporte tanto a um, quanto para vários Web sites em um único servidor Web. Os recursos do IIS publicados na Web se integram aos últimos padrões da Internet para fornecer altos níveis de segurança, um melhor desempenho, e protocolos publicados baseados na Web.

Em adição ao servidor da World Wide Web (WWW), outros serviços da Internet que trabalham em conjunto com o IIS incluem:

Serviço File Transfer Protocol (FTP) : Permite a você configurar sites FTP para atualizar e baixar arquivos.

Serviço Network News Transfer Protocol (NNTP) : Permite a você armazenar grupos de discussão eletrônicos, ou newsgroups. Os Newsgroups contém discussões, que consistem de artigos e mensagens que são relatadas para um assunto particular.

Serviço Simple Mail Transfer Protocol (SMTP) : Permite a você receber mensagens de e-mail de uma aplicação cliente e enviar estas mensagens de e-mail para outro servidor através da



Internet. Você também pode configurar controladores de domínio para usar o serviço SMTP para fazer replicação através de links.

Administrando o IIS

Quando se está administrando o IIS, é importante que você aplique as mais recentes atualizações de segurança para certificar-se de que seu servidor IIS esteja atualizado e seguro. Também, as ferramentas administrativas do Windows 2003, incluídas no CD do Windows Server 2003, fornecem as ferramentas administrativas que permitem a você gerenciar um servidor Web remotamente e monitorar o desempenho do IIS.

Observação: O arquivo chamado adminpak.msi está localizado no diretório \i386 no CD do Windows Server 2003, ou no systemroot/system32 em um computador executando o Windows 2003. Para instalar as Ferramentas Administrativas do Windows 2003, clique com o botão direito em adminpak.msi, e então clique em Install.

Aplicando as Últimas Atualizações de Segurança

Para certificar-se de que seu servidor Web possa tirar vantagem da mais recente atualização de segurança, você deve verificar que seu servidor Web esteja executando o software mais recente, incluindo service packs, hot fixes, e atualizações de segurança.

Importante: Para ajudá-lo a determinar que software é necessário no seu servidor Web, para receber a mais recentes informações de segurança, e para obter informações sobre a ferramenta de bloqueio do IIS, inscreva-se no serviço boletim de segurança em http://www.microsoft.com/technet/security/bulletin/notify.asp

Gerenciando os Servidores Web Remotamente

Use o Internet Services Manager para se conectar e gerenciar os servidores Web remotamente a partir de qualquer computador que está executando o Windows Server 2003.

Para se conectar a outro servidor Web usando o Internet Services Manager:

Abra o Internet Services Manager a partir do menu Administrative Tools.

Na árvore de console, clique com o botão direito em Internet Information Services, e então clique em Connect.

Na caixa de diálogo Connect To Computer, digite o nome do servidor Web para o qual você quer se conectar, e então clique em OK.

Observação: Para mais informações sobre usar o Internet Services Manager para gerenciar um servidor Web remotamente, em Internet Services Manager, clique no menu Action, e então clique em Help.

Monitorando o Internet Information Services

Abra o System Monitor d partir de menu Administrative Tools para monitorar o desempenho do IIS. Quando você instala o IIS, os seguintes objetos de desempenho e contadores para monitorar a atividade dos serviços são adicionados ao System Monitor:



Internet Services Manager Global : Contém contadores que relatam a disponibilidade de largura de banda e o uso do IIS Object Cache.

A disponibilidade de largura de banda limita a largura de banda usada pelos serviços do IIS para um valor que é configurado pelo administrador. Se a quantia de largura de banda se aproximar ou exceder o limite, a disponibilidade de largura de banda retarda ou rejeita as solicitações do serviço do IIS até que mais largura de banda se torne disponível.

O IIS Object Cache armazena freqüentemente objetos usados e objetos que podem diminuir o desempenho se eles forem retornados repetidamente. Os contadores relatam o tamanho, conteúdo, e efetividade dos IIS Objects Cache.

Web Service : Fornece contadores que mostram dados sobre conexões anônimas e não-anônimas para o serviço de aplicação HTTP e solicitações HTTP que foram tratadas desde que o serviço Web foi iniciado.

Active Server Pages : Monitora aplicações que estão sendo executadas no seu servidor Web que usam Active Server Pages. Para monitorar as solicitações processadas pelas chamadas das aplicações CGI (Common Gateway Interface) ou extensões ISAPI (Internet Server Application Programming Interface), use os contadores no objeto Web Services.

Resolvendo Problemas do IIS

Figura 18 – Solucionando problemas no IIS

Para testar um Web site que está conectado à Internet:

Certifique-se que o home directory para o seu servidor Web contém todos os arquivos HTML para o Web site.

Abra o navegador da Web em um computador que tem uma conexão ativa para a Internet. Este computador pode ser o computador que você está testando, embora seja recomendado que você use um computador diferente na rede.

Na caixa Address, digite a URL (Uniform Resource Locator) para o home directory do Web site, e então pressione ENTER.

Observação: A URL inclui o nome do seu Web site e o caminho do arquivo que você quer visualizar. Por exemplo, se o seu site é registrado no DNS como examples.nwtraders.com e você quer visualizar o arquivo chamado homepage.htm que está localizada no home directory, digite: http://examples.nwtraders.com/homepage.htm.



Para testar um Web site na sua Intranet:

Certifique-se que o seu computador tem uma conexão de rede ativa e o servidor WINS ou o servidor DNS está funcionando apropriadamente.

Abra o navegador da Web.

Na caixa Address, digite a URL do home directory do servidor Web, e então pressionar ENTER.

Observação: A URL inicia com http:// seguido do nome de rede do seu servidor e o caminho do arquivo que você quer visualizar. Por exemplo, se o seu site está registrado no WINS como Admin1 e você quiser visualizar o arquivo chamado homepage.htm que está localizado na raiz do seu diretório, digite http://admin1/homepage.htm.

Resolvendo Problemas do IIS

Quando você não é capaz de exibir uma página Web enquanto testa um Web site, examine cuidadosamente a mensagem de erro. A mensagem de erro contém informações que podem ajudar a identificar a causa do problema. As seguintes informações listam problemas de conectividade comuns e suas soluções.

O cliente não pode encontrar o servidor Web : Verifique a resolução de nome e a conectividade.

Acesso negado : Verifique o método de autenticação e permissões de arquivo.

Arquivo não encontrado : Verifique se o arquivo existe e se esta localização está correta.

Arquivo não exibido corretamente : Verifique o projeto da página para assegurar que todos os elementos existem, assim como gráficos. Verifique se as permissões estão configuradas corretamente.

Dica: Se o seu computador tem o IIS instalado, você pode usar o seu navegador Web para acessar os documentos online do IIS, que contém muitos dicas e procedimentos para a solução de problemas. Para acessar a documentação online do IIS, na caixa Address, digite http://localhost/iishelp e então pressione ENTER.


Parte 5 - Monitoramento de Rede e Implementação de Segurança


157

MONITORAMENTO DE REDE E IMPLEMENTAÇÃO DE SEGURANÇA

Monitoração de Segurança

Uma estrutura de segurança só é eficaz quando são implementados controles de prevenção e de detecção. Sabendo que nem sempre é possível evitar 100% dos ataques, é importante que exista uma estrutura e um processo que possibilite a detecção de ataques. Para isso deve ser montada uma estrutura de monitoração de segurança. Tal estrutura deve funcionar em diversas camadas, da rede até as aplicações. Pontos a serem monitorados normalmente são:

Dispositivos de Rede

Firewall

IDS – Intrusion Detection Systems

Sistemas Operacionais

Serviços

Aplicações

Alguns casos permitem a geração de alertas quanto a situações não permitidas, enquanto outros apenas disponibilizam um log que deve ser monitorado para identificação de situações não autorizadas. Um sistema completo de monitoração deve integrar tudo isso de forma a evitar a existência de falsos positivos (alerta de perigo em situações onde não há perigo real, o “alarme falso”) ou falsos negativos (falta do alarme quando algo errado acontece).

Um sistema de monitoração comum costuma ser composto dos seguintes componentes:

Sensores ou pontos monitorados – Local onde são geradas as informações a serem monitoradas.

Servidores de log ou de consolidação de informações – Local onde as informações são armazenadas e tratadas. Em alguns casos há o tratamento automático e consolidação de informações.

Console de monitoração – Local onde a informação é apresentada para as pessoas responsáveis pela monitoração.



Firewall

Router

Internet

SwitchServidores

Switch

Estações de trabalho

SNMPLOG

SNMP

SNMP LOGSNMP LOG

Console de Monitoramento

Alguns protocolos e padrões costumam ser utilizados nos sistemas de monitoração. Podemos destacar:

Syslog – Definido na RFC 3164, o protocolo syslog permite o envio de mensagens de texto simples. O protocolo syslog define duas características para cada mensagem, compondo um número chamado de priority, a facility e a severity. A facility é utilizada para definir quem gerou a mensagem. As facilities definidas na RFC são:

Numerical Facility

Code

0 kernel messages

1 user-level messages

2 mail system

3 system daemons

4 security/authorization messages

5 messages generated internally by syslogd

6 line printer subsystem

7 network news subsystem

8 UUCP subsystem

9 clock daemon

10 security/authorization messages


159

11 FTP daemon

12 NTP subsystem

13 log audit

14 log alert

15 clock daemon

16 local use 0(local0)








Como podemos observar, as facilities foram definidas tendo em vista um sistema baseado em Unix comum. Felizmente foram definidas facilities “genéricas”, que podem ser utilizadas de acordo com a necessidade de cada caso. Os níveis de severidade para cada evento, definidos na RFC, são:

Numerical Severity

Code

0 Emergency: system is unusable

1 Alert: action must be taken immediately

2 Critical: critical conditions

3 Error: error conditions

4 Warning: warning conditions

5 Notice: normal but significant condition

6 Informational: informational messages

7 Debug: debug-level messages



Nas mensagens syslog há ainda a identificação do host gerador da mensagem e um timestamp.

As mensagens syslog costumam ser enviadas através do protocolo UDP, o que significa que não há garantia de entrega e há pouca segurança quanto a origem das mensagens (é simples gerar uma mensagem com origem falsa). Existe a opção de se utilizar syslog sobre TCP, porém o overhead criado pode não compensar em termos de performance.

Praticamente todo sistema baseado em Unix tem seu próprio serviço syslog, que permite a recepção e o envio de mensagens. Sistemas Windows não suportam syslog por padrão, mas existem diversas ferramentas de terceiros, muitas de código aberto e gratuitas, que permitem o uso de syslog nessa plataforma. O syslog é também é o padrão utilizado na maior parte dos dispositivos de rede para transmissão de logs. A construção de um servidor de logs (loghost) para consolidar em um único ponto os logs dos dispositivos de rede é algo extremamente simples e que traz inúmeros benefícios em termos de rastreabilidade.

Figura 19 Mensagens syslog

O protocolo SNMP

SNMP – Simple Network Management Protocol – Definido na RFC 1157, é outro protocolo baseado em UDP que costuma ser utilizado em sistemas de monitoração. O SNMP pode ser usado também para alterar configurações nos dispositivos monitorados, porém estas funcionalidades não costumam ser utilizadas devido a suas deficiências de segurança.


161

O SNMP é um protocolo extensível que pode ser utilizado para monitorar qualquer característica de um dispositivo, desde que o fabricante forneça as definições para isso, que podem ser integradas nos sistemas de gerenciamento disponíveis no mercado. O controle de acesso do SNMP baseia-se em uma senha conhecida como community. Ao configurar um dispositivo para ser gerenciado via SNMP normalmente define-se a community que poderá obter informações e a community que poderá fazer alterações na configuração, normalmente definidas por padrão como public e private.

Como o tráfego SNMP não é encriptado, qualquer invasor que capture essa informação na rede poderá realizar as mesmas ações, bastando para isso apresentar as mesmas communities. Alguns controles podem ser utilizados para minimizar o problema, como o controle do IP da console de gerenciamento, porém como o SNMP trabalha sobre UDP tal controle acaba sendo limitado.

O SNMP também pode trabalhar através de traps, situações onde o dispositivo monitorado envia informações à console de gerenciamento sem que seja necessário que esta venha buscá-las. Normalmente são definidas traps para situações onde é necessária a atenção imediata da equipe de monitoração, como quando um link de comunicação cai ou quando há a quantidade de erros em uma comunicação passa de um limite pré-estabelecido.

Por sua característica extensível o SNMP pode ser utilizado para monitorar diferentes tipos de dispositivos, bastando para isso existir uma MIB (Management Information Base) para ele. Além de dispositivos de rede, diversos sistemas operacionais podem ser monitorados via SNMP, dentre eles o próprio Windows, que tem um serviço SNMP que pode ser instalado. As principais soluções de monitoração integrada do mercado, como o HP Open View e o IBM Tivoli, trabalham com SNMP.



Figura 20 - Console do HP OpenView

Event Log (Windows) – Os sistemas Windows utilizam um sistema próprio de log, que muitos conhecem como Event Viewer. Os sistemas Windows mantém 3 logs independentes, o log de Sistema, o log de Aplicação e o log de Segurança. Os logs são armazenados em um formato binário proprietário e gerenciados por um serviço do Windows. Os logs podem ser acessados remotamente através dos protocolos utilizados pelo Windows, como SMB/CIFS e RPC. Infelizmente a própria Microsoft não preparou o Windows para permitir uma consolidação simples do log de vários servidores, sendo necessário para isso a utilização de outras ferramentas, como o Microsoft Operations Manager (MOM). Existem diversas ferramentas que permitem transformar o log do Windows em formatos mais simples para trabalhar, como texto simples ou mesmo o envio como mensagens syslog.


163

Figura 21 Event Viewer do Windows XP mostrando o log de segurança

Texto Simples – O formato mais comum para logs continuam sendo os arquivos texto simples. Serviços HTTP, SMTP, FTP e outros normalmente geram arquivos de log em texto simples. Apesar de serem fáceis de serem tratados, podem trazer problemas quando estão espalhados por diversos servidores, dificultando a integração. Como cada produto usa um formato diferente, ações de normalização (normalmente jogando os dados para um sistema de banco de dados) costumam ser necessárias para permitir a integração.

Além destes protocolos, existem no mercado diversos produtos que visam integrar diferentes tipos de informações monitoradas em um único sistema, seja através de syslog, SNMP ou outros sistemas proprietários.

Monitoração de Dispositivos de Rede

Dispositivos de rede merecem atenção especial em uma monitoração de segurança. Diversos ataques podem ser detectados nestes dispositivos antes mesmo de chegarem ao primeiro firewall. Roteadores e Switches costumam ser monitorados através de SNMP ou syslog, enquanto sistemas de Firewall costumam ter sistemas próprios de log. Abaixo há um exemplo de configuração de syslog e SNMP de um roteador cisco:



logging buffered 16384

logging facility local7

logging source-interface Loopback0

logging 10.0.2.200

snmp-server engineID local 00000009020000507335F220

snmp-server community HardtoGuessPassword RO 98

snmp-server community HardToGuessPassword view v1default RO

snmp-server trap-source Loopback0

snmp-server packetsize 2048

snmp-server location Border Router 1 at Building 5

snmp-server contact Your Name Here [[email protected]]

snmp-server enable traps snmp

snmp-server enable traps hsrp

snmp-server enable traps config

snmp-server enable traps entity

snmp-server enable traps envmon

snmp-server enable traps bgp

snmp-server enable traps rsvp

snmp-server enable traps frame-relay

snmp-server enable traps syslog

snmp-server enable traps rtr

snmp-server host 10.0.2.200 HardToGuessPassword

!

Em qualquer que seja o sistema é importante que todo acesso administrativo seja registrado. Uma alteração não autorizada de regra em um firewall pode expor uma rede toda, de maneira que acessos administrativos acabam merecendo atenção especial. Tentativas de acesso mal sucedidas podem indicar um ataque frustrado. Como é comum que até mesmo um administrador erre sua senha ao acessar um sistema, é importante que o sistema de monitoração tenha a capacidade de alertar apenas quando acontecem 3 ou mais tentativas seguidas, minimizando


165

assim a ocorrência de falsos positivos. As tentativas, porém, devem sempre ser registradas, mesmo que não seja gerado um alerta, para fins de rastreabilidade.

Além dos acessos administrativos, há os eventos gerados por regras e ACLs. Dispositivos podem ser configurados para registrar determinados pacotes ou conexões, facilitando a identificação de acessos não autorizados. Uma estratégia de monitoração deve levar em conta o volume de informações geradas, pois mesmo que seja interessante conhecer todos os casos de um certo tipo de acesso pode não ser possível verificar todas elas. É importante lembrar que sistemas ligados à Internet recebem diversas sondagens, até mesmo automáticas, provenientes de worms que circulam há muito tempo na rede. Gerar alertas para cada conexão negada no firewall pode sobrecarregar a equipe de monitoração e fazer com que eventos mais importantes acabem passando desapercebidos. Logo, convém não gerar alertas em situações como portscans e acessos bloqueados no firewall provenientes da Internet. As mesmas situações, quando provenientes de redes de terceiros ou da rede interna, merecem atenção especial, pois estão vindo de redes teoricamente confiáveis.

Figura 22 Log do Check Point Firewall-1, mostrando conexões aceitas e bloqueadas

Monitoração de Servidores

A monitoração de servidores requer cuidado especial, pois devem ser monitorados o Sistema Operacional e os serviços utilizados. Normalmente isso é feito através dos logs gerados por eles. Para que a monitoração seja eficiente é importante que os recursos de monitoração tenham sido habilitados na implementação de segurança. Em sistemas Windows 2000, por exemplo, é necessário verificar se as opções de auditoria estão habilitadas:



Figura 23 Configuração de auditoria do Windows 2000

Como pode ser observado, há casos onde é interessante registrar os eventos de sucesso e falha (logon de usuários e alteração de políticas, por exemplo) e casos onde apenas as falhas devem ser registradas (Uso de privilégios, por exemplo), pois registrar todos eventos pode acabar sobrecarregando os logs. Alguns casos requerem configurações adicionais, como o acesso a objetos.

Além de habilitar a auditoria, é necessário configurar os acessos que se deseja registrar nos próprios objetos. Arquivos e diretórios críticos, por exemplo, podem ser auditados quanto a sua modificação, permitindo assim que haja um registro permamente de quem altera os arquivos. Em um servidor de páginas Web, por exemplo, pode-se auditar os arquivos html, o que permitiria à monitoração saber imediatamente quando um arquivo é alterado. Casos como pichamento de site seriam detectados imediatamente.

Algumas informações registradas pelo sistema operacional ganham importância adicional quando usadas para alimentar sistemas de consolidação e análise inteligente. Acesso de administradores a partir de estações diferentes das suas e em horários suspeitos poderiam gerar alertas diferenciados, permitindo uma detecção de situações autorizadas mas que podem representar um ataque em andamento.

Os arquivos de log gerados pelos serviços também são muito importantes em um esquema de monitoração. Os logs de um serviço HTTP, por exemplo, podem ajudar na identificação de ataques, como no log de um servidor IIS abaixo:

2001-09-26 01:23:25 xxx.132.203.88 - 24.48.198.69 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 404 -

2001-09-26 01:23:35 xxx.100.203.88 - 24.48.198.69 80 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir 404 -

2001-09-26 01:41:58 xxx.48.169.149 - 24.48.198.69 80 GET /default.ida XXXXX..... .....200 -

2001-09-26 01:45:07 xxx.48.116.121 - 24.48.198.69 80 GET /scripts/root.exe /c+dir 404 -


167

2001-09-26 01:45:11 xxx.48.116.121 - 24.48.198.69 80 GET /MSADC/root.exe /c+dir 404 -

Intrusion Detection Systems - IDS

Atualmente uma grande parte da monitoração de segurança de uma rede baseia-se nos sistemas de detecção de intrusos, os IDS. Os sistemas de IDS se tornaram uma grande febre das áreas de segurança nas empresas há alguns anos, mas recentemente têm recebido diversas críticas quanto a sua real utilidade. Na verdade o problema dos IDSes é o mesmo de qualquer outra forma de monitoração vista até agora, o excesso de informações com pouca importância. Um sistema de IDS que leve à equipe de monitoração informações importantes e apenas quando realmente é necessário sempre tem o seu valor.

IDSes costumam ser divididos em duas famílias, Network based e Host Based. O IDS Host Based é instalado nos próprios servidores que podem ser vítimas dos ataques, enquanto o IDS Network Based é conectado a rede e escuta todo o tráfego passante, detectando os ataques que passam. A maioria dos produtos e implementações do mercado são baseadas em IDS Network Based, embora cada um tenha seu conjunto de vantagens e desvantagens.



PRÁTICA 10: INSTALAÇÃO E UTILIZAÇÃO DE UM SNIFFER

Objetivos

Instalar um sniffer para Windows.

Efetuar captura de tráfego.

Analisar tráfego FTP e efetuar captura de senhas.

Materiais

Kit com estação cliente (Windows XP) e estação servidor (Windows 2003 Server)

Instalar o serviço IIS com todos os serviços (Web, FTP, SMTP,etc)

Efetuar o download do software Ethereal (versão 0.10.3) para instalação local em C:\Lab

Efetuar o download do arquivo Winpcap 3.0 e gravar no diretório C:\LABS. Para isto acesse: http://winpcap.polito.it/install/default.htm

Observação: Os computadores do kit devem estar interligados por um HUB para que seja possível analisar o tráfego da rede.

Procedimentos

Nesta prática faremos a configuração de um Sniffer possibilitando a captura de pacotes que trafegam em claro na rede diretamente conectada ao mesmo. Poderemos verificar a vulnerabilidade ao utilizar protocolos que trafegam em claro, ou seja, sem criptografia de dados.

Inicialmente faremos a instalação do Ethereal, para maiores informações acesse http://www.ethereal.com/.

Opcionalmente podemos utilizar o software Winpcap. Um aplicativo que possibilita a captura e análise de pacotes em sistemas Win32, para mais informações acesse http://winpcap.polito.it/

ETAPA 1 - Clique em Start – Run, digite c:\labs\WinPcap_3_0.exe e inicie a instalação.


169

ETAPA 2 - Clique em Next , marque o check box concordando com a licença e clique Next toda vez for solicitado até finalizar a instalação.

ETAPA 3 - Agora será necessário instalar o Ethereal. Clique em Start – Run, digite c:\labs\ethereal-setup-0.10.3.exe

ETAPA 4 - Clique em Next , concorde com a licença e clique Next toda vez for solicitado até finalizar a instalação.

ETAPA 5 - Inicie a interface do Ethereal clicando em Start - Programs e selecione Ethereal. A interface de administração será apresentada.

ETAPA 6 - Inicie a captura de pacotes. No menu, clique em Capture e selecione Start



ETAPA 7 - Selecione a Interface de rede desejada (caso possua mais de uma interface selecione a interface conectada no segmento a ser monitorado) e clique OK.

ETAPA 8 - A captura de pacotes da rede será iniciada. Clique em Stop quando quiser interromper o processo de captura.


171

ETAPA 9 - Veja que os pacotes encontram-se disponíveis agora para análise, nesse instante não efetuaremos uma analise detalhada, posteriormente efetuaremos uma análise detalhada especificamente do protocolo FTP.

ETAPA 10 - Repita as etapas 6 e 7 antes de executar os passos a seguir:

ETAPA 11 - Agora inicie uma conexão com o servidor FTP:

Utilize o prompt de comando DOS (Start – Run – cmd)

Execute a seqüência abaixo:



D:\>ftp [endereço ip do servidor FTP]

Usuário (endereço ip do servidor FTP:(none)): anonymous

Senha:[email protected]

ETAPA 12 -Após efetuar o login com sucesso , efetue logout com o comando quit

ETAPA 13 - Pare a captura dos dados e analise agora os pacotes capturados.

ETAPA 14 - Para facilitar a análise dos pacotes, exibindo apenas na tela o protocolo FTP, digite ftp em mínúsculo, no canto inferior esquerdo, em Filter, clicando Enter em seguida.

ETAPA 15 - Na tela de visualiazão dos pacotes capturados do Ethereal. Na coluna Info dos pacotes capturados, procure informações de “user” e “password” enviados para o servidor.


173

ETAPA 16 - Verifique que o usuário e senha foram facilmente capturados.

ETAPA 17 – Agora tente verificar o tráfego da rede quando se utiliza um webmail, por exemplo.



IMPLEMENTAÇÃO DE SEGURANÇA

Implementar segurança é uma das últimas fases do processo de segurança da informação. Antes de chegarmos nela, é necessário realizar uma completa análise de riscos, com o intuito de se identificar os pontos que devem ser trabalhados pela implementação. Muitas vezes vulnerabilidades podem ter um custo de solução proibitivo, ou mesmo representarem um baixo risco devido à pequena chance de serem exploradas ou mesmo ao baixo impacto resultante de um ataque. Logo, na fase de análise de risco identificam-se os pontos que serão trabalhados na implementação.

A implementação deve atingir várias camadas de tecnologia. As ações compreendem desde o desenho de rede até a configuração das aplicações, passando pela configuração de dispositivos de rede e sistemas operacionais. Em cada um dos casos, adotam-se as políticas de mínimo privilégio e segregação de funções, refletindo os conceitos nas opções de configuração.

Para o escopo deste trabalho, vamos nos ater apenas na implementação de segurança do sistema operacional.

Implementação de segurança em sistemas operacionais

Um dos maiores focos de uma ação de implementação de segurança é o sistema operacional usado nos equipamentos. As ações de segurança devem ir das estações de trabalho até os servidores. Em ambientes heterogêneos, a complexidade para implementação aumenta sensivelmente, pois é necessário criar padrões de segurança para cada sistema operacional existente.

Nas discussões referentes a segurança de sistemas operacionais freqüentemente acontece a polarização entre sistemas baseados em Unix e sistemas Microsoft Windows. Apesar dos diversos pontos de vista, o nível de segurança depende exclusivamente da capacidade dos administradores em administrá-los. Um administrador com conhecimentos de Windows terá pouco sucesso em implementar segurança em um Linux, e vice-versa. Não há, portanto, grandes vantagens em termos de segurança em escolher um ou outro tipo.

A implementação de segurança em sistemas operacionais costuma ser feita baseada em checklists. Existem diversas fontes de checklists de configuração de segurança, dentre elas os próprios fornecedores dos sistemas. A Microsoft, por exemplo, disponibiliza em seu site diversos checklists para seus sistemas operacionais baseados no Windows NT. Um ponto importante dos checklists é que raramente eles poderão ser aplicados em sua totalidade em todos os sistemas. Cada computador tem características advindas de suas funções na rede que determinam o que pode ser aplicado de um checklist. Convém que após a implementação sejam testadas todas as funcionalidades da máquina e documentada a configuração final, gerando-se assim um padrão de configuração específico, que deve ser revisto a cada modificação significativa no software instalado.

Alguns conceitos devem ser levados em conta durante a implementação de segurança:


175

Segregação de funções – Convém evitar que diversas funções sejam exercidas pelo mesmo servidor. Muitas funções acabam por gerar a necessidade de muitos serviços instalados e habilitados, aumentando a complexidade da configuração e gerando dependência entre serviços que poderiam ser completamente independentes.

Mínimo privilégio – Direitos e permissões devem ser configurados da forma mais restritiva possível, evitando assim que haja excesso de poderes para determinados usuários ou níveis de acesso.

Perfil baixo – Serviços desnecessários devem ser desabilitados e software desnecessário deve ser desinstalado, reduzindo-se assim os pontos onde podem surgir vulnerabilidades.

Defesa em profundidade – Não é aconselhável confiar em apenas uma medida de segurança. A existência de mais de uma forma de proteção para uma única vulnerabilidade ou forma de ataque faz com que a falha de uma dessas camadas não seja completamente comprometedora. O mesmo princípio deve ser seguido quanto a medidas de proteção externas, como a existência de firewall. Deixar de implementar medidas de segurança porque há um firewall evitando o acesso a determinado serviço torna-se ineficaz quando há um problema no firewall.

Com base nesses conceitos é possível montar um planejamento da implementação e escolher quais medidas de segurança são mais importantes. Com os conceitos estabelecidos, podemos identificar quais os principais pontos a serem tratados em dos ambientes mais comuns em redes, os sistemas operacionais baseados no Windows NT.

Implementação de segurança em Windows Server

Apesar das críticas constantes, é possível configurar sistemas NT ou derivados (2000, XP e 2003) de forma segura. O histórico de vulnerabilidades encontradas em tais sistemas, porém, é vasto, fazendo com que a primeira e mais importante medida de segurança a ser tomada seja a instalação de correções. Para sistemas Windows, as correções são disponibilizadas em forma de hotfixes (correções isoladas para um determinado problema) ou Service Packs (conjunto de hotfixes e melhorias reunidos em um único pacote).

Service packs costumam ser cumulativos, ou seja, reúnem todas correções existentes nos service packs anteriores mais os hotfixes lançados depois. Sendo assim, a primeira ação a ser tomada após a instalação de um sistema operacional Windows é a instalação do último service pack. Alguns administradores preferem ser cautelosos e não utilizar a última versão, porém é preciso ficar atento à política da Microsoft quanto ao lançamento de hotfixes compatíveis (os hotfixes podem ser lançados com a obrigatoriedade de um nível de Service Pack mínimo). Após a instalação do service pack, é necessário instalar os hotfixes disponibilizados depois dele. Entretanto, essa tarefa não é tão simples quanto parece. Podem ser adotadas as seguintes posições:

Instalação de hotfixes de acordo com os componentes utilizados – instala-se hotfixes apenas referentes aos componentes do Windows utilizados na máquina. Deve ser feito com cuidado, pois existem casos onde a vulnerabilidade pode ser explorada mesmo quando o componente afetado não é utilizado.



Instalação de todos os hotfixes – Há uma maior garantia quanto a eliminação da vulnerabilidade, mas requer mais tempo dos administradores e há mais risco de indisponibilidade por conta de uma eventual incompatibilidade do hotfix.

Seja qual for a posição adotada, é importante que o administrador esteja sempre atento ao surgimento de novos hotfixes. A Microsoft disponibiliza um sistema de mensagens alertando quanto a existência de novas correções, e há também listas de discussão onde tais hotfixes são anunciados.

Além do download e instalação manual de correções, também há a opção de se utilizar sistemas automatizados, como o SUS (System Update Services), da própria Microsoft, ou outros produtos de terceiros (BigFix, por exemplo). O uso de tais ferramentas torna-se interessante quando há a preocupação de manter atualizados diversos servidores e estações. O gerenciamento de correções (patch management) torna-se complexo quando há no mesmo ambiente diversas versões de Windows, que acabam exigindo correções distintas. Há ainda a opção de implementar a distribuição de correções de maneira semi-automática, com recursos que vão desde login scripts até group policies ou sistemas de distribuição de software.

Sistemas de gerenciamento de patches são soluções de relativo baixo custo e, além de cuidar da distribuição de atualizações para diversas plataformas de software – em geral não estão restritos aos patches da Microsoft –, também ajudam a controlar o inventário de softwares de uma rede, permitindo ao administrador prontamente detectar a presença de um software que tenha sido indevidamente instalado por um usuário.

As ferramentas mais conhecidas para esta finalidade são o Altiris, Landesk, IBM Tivoli e CA Unicenter. Algumas dessas ferramentas fazem mais do que apenas aplicar patches.

Uma vez estando o sistema atualizado, aparecem as seguintes preocupações:

Usuários e Grupos

Direitos de sistema

Permissões do sistema de arquivos e compartilhamentos

Serviços

Auditoria

Configurações adicionais

A configuração inadequada de usuários e grupos é uma das maiores portas de entrada de invasores em qualquer plataforma. De nada adianta uma configuração robusta de segurança se existem usuários com poderes administrativos indefinidos. Portanto, um dos pontos mais importantes a se verificar é a real necessidade da existência de cada usuário e grupo, assim como a presença de cada usuário em cada grupo. É importante que apenas aqueles usuários que realmente necessitam estejam no grupo de administradores. Convém também renomear e alterar as descrições dos usuários que são criados na instalação, dificultando sua identificação por invasores.


177

Os sistemas baseados no Windows NT também definem direitos de sistema que podem ser atribuídos a qualquer usuário ou grupo. Alguns direitos, como “Debug Programs”, acabam por dar poderes aos usuários que acabam inutilizando diversas medidas de segurança. A configuração adequada dos direitos também permite um maior controle sobre as ações dos usuários. É possível evitar, por exemplo, que determinados usuários possam se logar localmente na máquina:

Parte 5 - Mo nitoramento de Rede e Implementação de Segurança


Os checklists disponíveis para NT e derivados fazem diversas recomendações quando a direitos, embora seja altamente recomendável que o administrador conheça a função de cada um deles, podendo assim customizar a configuração de acordo com suas necessidades.

Um dos pontos mais importantes da configuração de segurança de um Windows é a configuração das permissões do sistema de arquivos, do registro e dos compartilhamentos. As permissões são definidas através de ACLs, que definem os acessos permitidos a cada grupo ou usuário em determinado objeto (arquivo, diretório, chave de registro, entre outros). A configuração padrão do Windows NT vem com algumas deficiências que podem ser sanadas através da definição de permissões melhores. O Windows 2000 e posteriores já vêm com permissões mais bem definidas. É importante ressaltar, porém, que permissões para novos objetos devem ser definidas com cuidado. A melhor opção neste caso é seguir sempre o princípio do mínimo privilégio.

Uma reclamação constante quanto aos sistema Windows é a quantidade de serviços instalados e habilitados na instalação padrão. De fato, até o Windows XP, diversos serviços desnecessários são instalados por padrão e muitas vezes nem podem ser removidos. Muitos deles também precisam rodar com credenciais de sistema, ou seja, agem como parte do sistema operacional. Vulnerabilidades em tais serviços representam uma grande ameaça à segurança do sistema, pois podem significar um acesso indevido com o mesmo nível de permissões que o próprio sistema operacional tem, ou seja, acesso total. Portanto, recomenda-se que sejam verificados todos os serviços instalados quanto a real necessidade de sua utilização. Serviços não necessários devem ser desabilitados, e aqueles permitidos devem ser executados com credenciais de usuários comuns, evitando o uso do usuário SYSTEM ou de outro com nível de administrador.


179

No Windows, assim como em qualquer sistema operacional, é imprescindível que haja um nível mínimo de rastreabilidade, permitindo a identificação de ações não autorizadas ou tentativas de acesso indevido. Para isso, devem ser utilizados os recursos de auditoria. Ao habilitar a auditoria o administrador tem a opção de auditar até mesmo o acesso a objetos, podendo identificar acessos ou tentativas de acessos a arquivos e pastas. É importante porém que a configuração de auditoria seja feita de forma a não sobrecarregar os logs do sistema com informações desnecessárias.

Além desses itens, configurados diretamente através das ferramentas comuns do sistema operacional, há ainda diversas alterações que podem ser feitas com intuito de aumentar o nível de segurança do sistema. Muitas delas são feitas através de alterações no registro, pois foram opções de configuração criadas após o lançamento do produto e incorporadas nos service packs. Entre elas destacam-se aquelas que visam a aumentar a segurança dos protocolos de autenticação (migrando-se do sistema LM para o sistema NTLMv2, por exemplo) ou que restringem as informações que o sistema fornece a acessos anônimos (RestrictAnonymous). A maioria dos checklists disponíveis para Windows traz diversas destas configurações adicionais, que devem ser estudadas uma a uma quanto a sua aplicabilidade na máquina em questão.

Implementação de segurança em serviços

A segurança de um servidor não depende apenas da segurança do sistema operacional. Os serviços utilizados, como servidores HTTP, SMTP, Banco de Dados e outros, também devem ser configurados de maneira adequada. Assim como o sistema operacional, o software dos serviços também deve ser mantido atualizado. Quando o serviço é disponibilizado de forma independente do sistema operacional é necessário monitorar não apenas a disponibilização de correções por parte dos dois fornecedores.



Uma vez atualizado, é preciso conhecer as principais vulnerabilidades de cada serviço e produto, sendo possível assim definir quais as medidas de proteção necessárias. Os princípios utilizados são os mesmos utilizados para os sistemas operacionais, mas cada serviço tem sua particularidade que deve ser lembrada:

Servidores HTTP

A segurança do serviço HTTP tem algumas premissas básicas. Antes de tudo é necessário conhecer o que será disponibilizado pelo serviço, qual o público e qual a criticidade das informações. Assim, pode-se definir como serão tratados os principais pontos:

Usuário utilizado – O serviço HTTP, quando recebe uma requisição, busca o arquivo necessário ou executa uma rotina sob uma determinada credencial. Em sistemas Windows o usuário utilizado costuma ser aquele criado automaticamente pela instalação do serviço, o IUSR_NOMEDOSERVIDOR. Em sistemas Unix, quando utilizado o Apache, costuma utilizar-se o usuário nobody. O importante é verificar se o usuário utilizado não tem permissões e direitos em demasia. O ideal é que tal usuário tenha apenas acesso de leitura aos arquivos que serão acessados via Web e de execução dos eventuais arquivos de conteúdo dinâmico (CGIs, ASP, PHP, etc). Sem permissões em outros arquivos e diretórios tal usuário não poderá ser utilizado em ataques onde o serviço web é comprometido, como aqueles que exploram vulnerabilidades como UNICODE.

Restrições por IP – Não é sempre que um serviço HTTP é utilizado para disponibilizar páginas na Internet. Com o uso cada vez mais comum de intranets e extranets, é interessante que o serviço seja configurado para entregar as páginas apenas aos IPs que têm permissão para isso, quando é possível identificá-los. Há ainda a possibilidade de, em arquiteturas que prevêem o uso de um proxy reverso, permitir que o web server atenda somente requisições provenientes do proxy reverso, evitando o acesso realizado por uma outra máquina que possa ter sido invadida.

Conexão segura – SSL – Quando o conteúdo transmitido tem algum nível de criticidade, como senhas e números de cartão de crédito, é preciso garantir que as informações não serão capturadas durante o tráfego. Para isso, utiliza-se o SSL, ou HTTPS. Para que seja possível habilitá-lo é necessário que seja gerado um certificado digital para o servidor, na verdade para o nome DNS que será acessado (por exemplo, www.siteseguro.com.br). O certificado pode ser comprado em uma das Autoridades Certificadoras existentes ou mesmo emitido por um software próprio, embora nesse caso os usuários não tenham o mesmo grau de confiança proporcionado por um certificado reconhecido.

Autenticação – Em situações onde é necessário controlar quais usuários poderão acessar determinadas páginas, pode-se utilizar os recursos de autenticação do próprio protocolo HTTP, embora normalmente este tipo de controle seja feito na camada de aplicação. Quando a opção for pelo controle do próprio http, deve-se verificar se a opção escolhida não tem restrições quanto ao browser utilizado (o sistema de Challenge-Response do IIS, por exemplo, funciona apenas com Internet Explorer) ou se há transmissão de senha sem criptografia (neste caso deve ser utilizado SSL). Outra opção de autenticação normalmente disponível nos servidores é o uso de certificados digitais no lado cliente. Embora pouco comum, é uma das maneiras mais seguras de autenticação HTTP disponíveis atualmente.


181

Log – Os servidores HTTP costumam registrar todas as requisições recebidas. Deve-se verificar se a configuração utilizada está armazenando todos os dados necessários para uma eventual investigação de um incidente de segurança. O log deve ser monitorado constantemente e protegido contra acesso indevido.

Servidores SMTP

São poucos os pontos de segurança a serem verificados em servidores SMTP se o software estiver atualizado:

Proteção contra relay – Com o grande número de SPAMs circulando na Internet atualmente, é importante que o servidor esteja configurado de forma aceitar mensagens apenas para os domínios pelo qual ele é responsável ou de remetentes autorizados. Assim, evita-se que o servidor seja utilizado para envio de SPAM e que seu endereço seja colocado em listas de bloqueio (listas negras). O controle pode ser feito por IP (apenas usuários conectados a partir de determinados IPs podem enviar mensagens) ou por autenticação. No caso de se utilizar sistemas de autenticação é importante verificar se o método utilizado não envia senhas sem criptografia, situação que pode ser remediada com o uso de SSL.

Antivírus – O servidor de correio é um dos principais pontos de entrada e saída de vírus. Portanto, torna-se um ponto importante no controle desta ameaça. Um antivírus de SMTP integrado ao serviço permite que todas as mensagens sejam verificadas antes de serem repassadas, evitando-se assim não apenas a contaminação com o envio de vírus para outros locais. Alguns antivírus também contam com filtros adicionais para minimizar o tráfego de SPAM.

Log – Como qualquer serviço, é importante manter um nível mínimo de rastreabilidade no SMTP. O log gerado deve registrar a origem das conexões, horário de recebimento e envio e os endereços de origem e destino.

Servidores FTP

Servidores FTP correm o risco de serem explorados de diversas maneiras se não forem configurados da maneira adequada. Os pontos que devem ser notados, além da atualização do software, são:

Usuário utilizado – Quando o serviço FTP permite o acesso anônimo todo acesso deste tipo é visto pelo sistema operacional como um usuário específico (IUSR_NOMEDOSERVIDOR no IIS e



diversos, como ftp, nos sistemas baseados em Unix). É importante que tal usuário tenha acesso apenas àqueles arquivos que serão acessados de forma anônima via FTP.

Restrições por IP – O serviço FTP costuma ser utilizado em situações onde não é desejado o acesso irrestrito por qualquer rede. Nestes casos o serviço deve ser configurado para permitir o acesso apenas dos IPs que têm permissão para isso, como uma proteção adicional contra acessos indevidos.

Autenticação – Sempre que houver a necessidade de upload de arquivos para o servidor ou controle quanto a quem acessa as informações, a autenticação deve ser utilizada e o acesso anônimo desabilitado. Servidores que permitem uploads e têm o acesso anônimo habilitado são procurados por pessoas da Internet e worms para serem transformados em repositórios de pirataria, consumindo recursos que deveriam ser disponibilizados para outros fins e colocando em risco legal os responsáveis.

Criptografia – O serviço de FTP tem poucas opções para a proteção das informações trafegadas, inclusive as senhas utilizadas na autenticação. Portanto, é interessante que sejam utilizados protocolos como SSL ou SSH, quando disponíveis. É preciso lembrar, porém, que são poucos os clientes de FTP que têm essas opções.

Log – Por utilizar autenticação e permitir a entrada e saída de informações, é muito importante que todos os acessos sejam registrados, inclusive com horário, origem, usuário e ações realizadas. O log deve ser monitorado constantemente e protegido contra acesso indevido.

Servidores de banco de dados

O banco de dados normalmente é um dos pontos mais críticos da rede, pois lá que as informações valiosas podem estar armazenadas. Além de ser imprescindível que o software seja atualizado, alguns controles adicionais devem ser implementados:

Controle de acesso – Os sistemas de banco de dados costumam ter suas próprias bases de usuários e sistemas de autenticação. É muito importante que todos os usuários existentes tenham senhas fortes (o usuário mais poderoso do SQL Server (sa), por exemplo, tem senha em branco após a instalação) e perfis adequados a suas necessidades.

É muito comum encontrar servidores onde todo acesso às bases é feito através do usuário administrador. Tal prática prejudica a rastreabilidade e torna todo o sistema excessivamente vulnerável a um ataque contra as aplicações que utilizam esse usuário. Cada aplicação deve ter seu próprio usuário, com acesso restrito apenas às informações daquela aplicação e com o nível


183

de acesso necessário para o que a aplicação faz (um sistema de consulta, por exemplo, deve utilizar um usuário com permissões apenas de leitura).

Cabe conscientizar e fiscalizar os desenvolvedores de software para que adotem práticas seguras para o desenvolvimento de software, utilizando de maneira favorável as limitações de acesso existentes nos servidores, para implementar o conceito de menor privilégio – uma conta de usuário não deve ter um privilégio de acesso maior do que é necessário. O administrador de banco de dados (DBA) também é uma pessoa importante para a segurança da informação.

Stored Procedures de sistema – Bancos de dados costumam ter diversas rotinas instaladas para facilitar a administração. É importante que as permissões para acesso a estas rotinas sejam verificadas, evitando que possam ser acessadas por usuários de aplicações. Muitas destas rotinas não são utilizadas e podem ser removidas sem problemas.

Acesso direto às tabelas – Sistemas de banco de dados têm recursos de “views” e “stored procedures” que podem ser implementados para evitar que os usuários tenham acesso direto às tabelas. Desta forma é possível garantir que acesso será realizado apenas de acordo com regras preestabelecidas, evitando situações como ataques de SQL Injection, e também evitar que um código inadequado em uma aplicação que faça acesso ao banco de dados possa corromper as informações contidas no banco. Na medida do possível, o acesso direto a tabelas de um banco deve ser evitado, a menos que sejam exclusivamente para consulta.

Log – O acesso às bases de dados deve ser registrado, assim como a autenticação dos usuários. O log deve ser monitorado constantemente e protegido contra acesso indevido.

Implementação de segurança em aplicações

Última camada a ser acessada pelo usuário, as aplicações também devem receber medidas de proteção. Embora cada aplicação tenha suas próprias características, é importante que alguns conceitos estejam sempre presentes:

Autenticação e controle de acesso – Aplicações onde há necessidade de controle quanto a quem acessa as informações e com quais poderes devem utilizar sistemas de autenticação e controle de acesso. Tais controles devem ser implementados de forma que informações críticas para seu funcionamento, como senhas, estejam sempre protegidas.

Falha segura – Conceito básico de segurança da informação deve ser utilizado no desenvolvimento de qualquer aplicação. Ao acontecer uma situação não prevista no seu funcionamento, a aplicação deve garantir que não serão liberadas informações ou acessos



inadequados. Exemplos são arquivos temporários com informações críticas ou paralisação de controles deixando o usuário com controle total sobre as informações.

Rastreabilidade – Sempre que possível, a aplicação deve registrar ações importantes, como login e logoff de usuários, modificação de informações e violações de acesso. O log deve ser constantemente monitorado e armazenado de forma segura, de forma a evitar sua modificação não autorizada.

Cada vez mais, as aplicações irão requerer cuidados especiais em seu desenvolvimento. Em última instância, uma aplicação desenvolvida sem os devidos critérios de segurança coloca em risco toda a arquitetura e infra-estrutura de segurança empregada em uma companhia.


185

PRÁTICA 11: APLICAÇÃO DE SEGURANÇA EM SERVIDORES

Objetivos

Efetuar a configuração de segurança em plataforma Windows.

Analisar o papel das principais configurações implementas

Materiais

Servidor MS Windows 2000/2003 Server instalação padrão

Observação: algumas opções de segurança, por padrão, já vem definidas ou tiveram seus nomes modificados no Windows 2003 Server.

Procedimentos

Implementar configurações no sistema operacional, abrangendo basicamente as seguintes implementações:

Alterações no registro;

Desabilitar e remover serviços desnecessários;

Implementar políticas de segurança;

Auditoria;

Configurações de logs;

Permissões NTFS.

É muito importante que qualquer implementação de segurança seja homologada em um ambiente diferente do ambiente de produção. Alterações de configuração nos servidores pode comprometer a disponibilidade de aplicações de missão crítica.

Os mesmos cuidados em relação a garantia de disponibilidade e integridade da informação, levados em consideração na instalação dos patches de segurança, também devem ser considerados durante na implementação de qualquer outro controle de segurança.



Estamos falando de uma estratégia de recuperação para qualquer servidor que foi comprometido devido o impacto de uma instalação de um controle de segurança.

Alguns controles de segurança são aplicáveis a um ambiente, outros não. Cada ambiente tem sua particularidade. Daí a importância de uma análise de risco anterior que irá dimensionar a aplicabilidade ou não de um controle de segurança específico.

Para fechar, outro ponto relevante é entender o que significa cada controle de segurança implementado. Esse entendimento será útil na hora de rastrear possíveis impactos gerados pela implementação.

Iniciemos as implementações de segurança:

Observação: para efeito de laboratório, selecionamos alguns controles de segurança. Em um ambiente corporativo, outros controles devem ser implementados.

ETAPA 1 - Para alterar configurações no registro, utilizamos uma ferramenta nativa do sistema operacional chamada regedit. Muito cuidado no uso dessa ferramenta! Quando utilizada de forma indevida pode comprometer gravemente o servidor.

O sistema operacional possui um recurso chamado AUTORUN. Através desse recurso, quando um CD é inserido no drive, uma aplicação pode ser configurada automaticamente no momento que o sistema operacional efetua o reconhecimento da mídia inserida no drive.

Para prevenir esse tipo de ação maliciosa, é recomendável que o recurso de AUTORUN seja desabilitado no servidor. Para isso, clique em Start - Run . Digite regedit e clique OK. Uma tela parecida com a que se segue deve surgir:


187

ETAPA 2 - Para desabilitar o recurso de AUTORUN do CDRom, através do registro, expanda:

HKEY_LOCAL_ MACHINE

SYSTEM

CurrentControlSet

Services

CDROM

ETAPA 3 - Na chave CDROM, clique duas vezes, na coluna da direita, no nome Autorun:



ETAPA 4 - Em Dados do valor: , altere o parâmetro 1 para 0 e clique OK. Nesse momento o recurso de AUTORUN do CD-Rom encontra-se desabilitado.

ETAPA 5 – Nesta etapa ajustaremos alguns parâmetros de segurança do Local Security Policy. Clique em Start - Programs - Administrative Tools e selecione Local Security Policy. Altere os seguintes parâmetros conforme exibido abaixo:

Password Policy

Parâmetro Alterar para:

Enforce password history 10 passwords remembered

Maximum password age 60 days

Minimum password age 2 days

Minimum password length 8 characters

Passwords must meet complexity requirements

Enabled

Store password using reversible encryption for …

Disabled

Detalhes: o parâmetro " Passwords must meet complexity requirements" é um filtro que força os usuários a utilizar senhas fortes, no mínimo 3 tipos de caracteres diferentes.

ETAPA 6 - Alterar o Account Lockout Policy


Account lockout duration 0

Account lockout threshold 10 invalid logon attempts

Reset account lockout counter 99999 minutes


189

after

ETAPA 7 - Alterar o Audit Policy


Audit account logon events Success, Failure

Audit account management Success, Failure

Audit directory service access

Failure

Audit logon events Success, Failure

Audit object access Failure

Audit policy change Success, Failure

Audit privilege use Failure

Audit process tracking No auditing

Audit system events Failure

ETAPA 8 - Alterar o Security Options

Additional restrictions for anonymous connections No access without explicit Anonymous permissions

Allow server operators to schedule tasks (domain controllers only)

Disabled

Allow system to be shut down without having to log on

Disabled

Allowed to eject removable NTFS media Administrators

Amount of idle time required before disconnecting 15 minutes



session

Audit the access of global system objects Disabled

Audit use of Backup and Restore privilege Enabled

Automatically log off users when logon time expires (local)

Disabled

Clear virtual memory pagefile when system shuts down

Enabled

Digitally sign client communication (always) Disabled

Digitally sign client communication (when possible) Enabled

Digitally sign server communication (always) Disabled

Digitally sign server communication (when possible) Enabled

Disable CTRL+ALT+DEL requirement for logon Disabled

Do not display last user name in logon screen Enabled

LAN Manager Authentication Level Send LM e NTLM

Message text for users attempting to log on Acesso restrito a usuários autorizados.

Message title for users attempting to log on A T EN C A O !!!!!!!!!!

Number of previous logons to cache (in case domain controller is …)

0 logons

Prevent system maintenance of computer account password

Disabled

Prevent users from installing printer drivers Enabled

Prompt user to change password before expiration 14 days

Recovery Console: Allow automatic administrative logon

Disabled

Recovery Console: Allow floppy copy and access to all …

Enabled

Rename administrator account Not Defined


191

Rename guest account Not Defined

Restrict CD-ROM access to locally logged-on user only

Enabled

Restrict floppy access to locally logged-on user only Enabled

Secure channel: Digitally encrypt or sign secure channel data (always)

Disabled

Secure channel: Digitally encrypt secure channel data (when possible)

Enabled

Secure channel: Digitally sign secure channel data (when possible)

Enabled

Secure channel: Require strong (Windows 2000 or later) session key

Disabled

Send unencrypted password to connect to third-party SMB servers

Disabled

Shut down system immediately if unable to log security audits

Disabled

Smart card removal behavior No Action

Strengthen default permissions of global system objects …

Enabled

Unsigned driver installation behavior Warn but allow installation

Unsigned non-driver installation behavior Warn but allow installation

ETAPA 9 - A próxima etapa consiste em alterar as permissões NTFS. Para alterar as permissões dos arquivos, basta selecionar a pasta ou o arquivo específico e configurar as permissões conforme a política definida. Para efeito de laboratório, iremos alterar as seguintes permissões NTFS:

Através do Windows Explorer, clique com o botão direito na unidade C: e selecione Properties. Selecione a aba Security, e configure as permissões conforme abaixo:

Administrators Full Control

CREATOR OWNER Full Control

Authenticated Users Read



SYSTEM Full Control

ETAPA 10 - Repita procedimento anterior para os arquivos abaixo:

%systemroot%\repair


%systemdrive%\boot.ini


SYSTEM Full Control

%systemdrive%\ntdetect.com


SYSTEM Full Control

%systemdrive%\ntldr


SYSTEM Full Control

%systemdrive%\autoexec.bat


SYSTEM Full Control


%systemdrive%\config.sys


SYSTEM Full Control


193


%systemroot%\system32\*.exe


SYSTEM Full Control

Authenticated Users Execute

%systemroot%\system32\*.dll


SYSTEM Full Control

Authenticated Users Execute

ETAPA 11 - Para finalizar as implementações de segurança deste exercício, vamos desabilitar os serviços desnecessários. Clique em Start - Programs - Administrative Tools e selecione Services. Para cada serviço listado abaixo, clique duas vezes e altere o status do serviço para Disable.

Alerter

Automatic Updates

ClipBook

Distribute File System

DHCP Client

Fax Service

IPSEC Policy Agent

Messenger

NetMeeting Remote Desktop Sharing

Network DDE

Network DDE DSDM

Print Spooler



RunAs Service

Task Scheduler

Telnet

Uninterruptible Power Supply

ETAPA 12 - Reinicialize o computador onde foi implementado as configurações de segurança.

ETAPA 13 - Após a reinicialização, na tela de login, deverá aparecer uma tela de alerta de segurança e o campo usuário deve estar em branco.


Anexo1 - Procedimentos de Instalação Módulo I


197

INTRODUÇÃO

Conceitos e Implementação de Sistema Operacional Wi ndows XP Professional

Objetivos:

Apresentar os principais conceitos do sistema operacional Windows XP Professional, bem como suas principais características e configurações, desde a configuração básica de redes Microsoft até computação móvel.

Conteúdo:

Principais características e configurações do Microsoft Windows XP Professional

Automatização e Monitoramento de Processos do Microsoft Windows XP Professional

Solução de problemas de software e hardware

Discos, suas principais configurações e sistemas de arquivos

Rede com Microsoft Windows XP Professional

Computação Móvel com Microsoft Windows XP Professional

Referência MOC:

2272 - Implementing and Supporting Microsoft Windows XP Professional



PROCEDIMENTO PARA PREPARAÇÃO DA IMAGEM

1. Máquina Instrutor

1.1. Material Necessário

- Imagem Genérica do Windows Server 2003, English, sem Service Pack;

- CD do Trainer Material, curso 2272;

- Microsoft Office 2003;

- Adobe Reader 7.0;

- FilZip 3.0;

- Macromedia Shockwave Player 10.0;

- Flash Player 7.0.

1.2. Hardware

- Requisitos Minimos:

Pentium III 1,8GHz

256MB of RAM

8GB hard disk

CD Rom

Non-ISA network adapter (10/100 megabits per second (Mbps) required)

4MB video adapter

Super VGA (SVGA) monitor (15 inch)

Sound card with speakers


199

1.3 Windows Server 2003

1.3.1. Configurações

- Ao ser reinicializada, surge a tela do Windows Setup que deverá ser configurada conforme abaixo:

Computer Name: LONDON

Administrator Password: password

Confirm Password: password

- A maquina termina de fazer as instalações de dispositivos e reinicializa automaticamente;

- Reiniciar a maquina novamente e logar como Administrator, senha password.

- Adicionar os seguinte teclados:

Portuguese (Brazil) - Portuguese (Brazilian ABNT2)

- Renomear as placas de rede para:

Intel Onboard: Local Area Connection 1 (Onboard)

- Configurar a placa de rede Intel (Onboard), conforme abaixo:

IP 192.168.1.200

Subnet mask 255.255.255.0

Preferred DNS: 192.168.1.200

WINS Server: 192.168.1.200

[X] Show icon in notification area when connected

- Renomear a Particao C:\ para Local Disk;

Serviços DHCP e WINS

- Através do Add or Remove Programs, Networking Services, adicionar os servicçs de DHCP e WINS.



1.3.2. Instalação Active Directory

- Click em Start, Run;

- Digitar: dcpromo;

- Next;

- Next;

- Na janela "Domain Controller Type", verificar se está habilitada a seguinte opção:

(x)Domain Controller for a new domain

- Na janela "Install or Configure", verificar se esta habilitada a seguinte opção:

(x) No, just install and configure DNS name for new domain

- Na janela "Create New Domain", verificar se esta habilitada a seguinte opção:

(x)Domain in a new forest

- Na janela New Domain Name, no campo Full DNS name for new domain, preencher conforme abaixo:

[ nwtraders.msft ]

- Na janela NetBIOS Domain Name, verificar se está preenchido conforme abaixo:

[ NWTRADERS ]

- Na janela Database and Log Folders, manter o default e clicar em Next;

- Na janela Shared System Volume, manter o default e clicar em Next;

- Na janela DNS Registration Diagnostics, optar por:

(x) Install and configure DNS Server on this computer, and set this computer to use this DNS server as its preferred DNS server.


201

- Na janela Permissions, manter o default e click em next;

Obs.: A opcao default deve ser:

(x) Permissions compatible only with Windows 2000 or Windows Server 2003 operating systems.

- Na janela Directory Services Restore Mode Administrator Password, configurar conforme abaixo:

Restore Mode Password: [ password ]

Confirm Password: [ password ]

- Next;

- Click em Finish;

- Click em Restart Now.

1.3.3. Configuração DHCP Server

- A partir do Administrative Tools, abrir o DHCP Server;

- Click direito em London.nwtraders.msft, New Scope;

- Next;

- Na janela Scope Name, preencher conforme abaixo:

Name: nwtraders scope

Description: DHCP scope

- Na janela IP Address Range, preencher conforme abaixo:

Start IP address: 192.168.1.101

End IP address: 192.168.1.199

- Na janela Add Exclusion, click em next;

- Na janela Lease Duration, manter o default e click em next;



- Na janela Configure DHCP Options, optar por:

(x) No, I will configure these options later

- Click em Finish.

- A partir do Administrative Tools, abrir o DHCP Server;

- Expandir o Scope 192.168.1.0;

- Selecione Scope Options;

- Click direito em Scope Options e click em Configure Options;

- Na janela Scope Options, selecione 006 DNS Servers;

- Em IP address, digite [ 192.168.1.200 ] e click em Add;

- Em Available Options, selecione 015 DNS Domain Name;

- Em String, digite [ nwtraders.msft ] e click em Ok para fechar a janela.

- Click direito em london.nwtraders.msft, e click em Authorize;

- Click direito em Scope [ 192.168.1.0 ] nwtraders scope, e click em Activate;

- Feche o DHCP.

1.3.4. Configuração DNS Server

- A partir do Administrative Tools, abrir o DNS Server;

- Expandir London, click em Reverse Lookup Zones, click direito em Reverse Lookup Zones e click em New Zone;

- Next;

- Em Zone Type, verifique se Primary zone está selecionada e click em Next;


203

******************************************************************

Diferença entre o Setup do Windows 2000 Server e o do Windows Server 2003

******************************************************************

Neste ponto, nao aparece no Setup do Windows 2000 Server, mas surge a

janela Active Directory Zone Replication Scope, que foi mantida default.

Esta opção refere-se ao modo como sera feita a replicação das informações

do DNS atraves rede.

- Em Active Directory Zone Replication Scope, manter a opção default:

(x)To all domain controllers in the Active Directory domain nwtraders.msft

- Em Reverse Lookup Zone Name, em Network ID, digite [ 192.168.11 ];

******************************************************************


******************************************************************

Neste ponto, não aparece no Setup do Windows 2000 Server, mas surge a

janela Dynamic Update, que foi mantida default.

Esta opção refere-se ao modo que esta DNS zone aceitará para efetuar o

Dynamic Update.

- Em Dynamic Update, manter a opção default;



(x)Allow only secure dynamic updates (recommended for Active Directory)

- Click em Finish;

- Expandir o Forward Lookup Zones;

- Click em nwtraders.msft, click direito em nwtraders.msft e click em Properties;

- Na aba General, selecione Yes em Allow Dynamic Updates, e click em OK;

******************************************************************


******************************************************************

Pelo Windows Server 2003, não é possivel selecionar Yes em Allow Dynamic

Updates, pois não há esta opção.

Em Dynamic Updates, foi mantida a opção default, que é: Secure only.

- Expandir Reverse Lookup Zones;

- Click em 192.168.1.x Subnet, click direito em 192.168.1.x Subnet, e click em Properties;

- Na aba General, selecione Yes em Allow Dynamic Updates, e click em OK;

*****************************************************************


*****************************************************************

Pelo Windows Server 2003, não é possivel selecionar Yes em Allow Dynamic

Updates, pois não há esta opção.

Em Dynamic Updates, foi mantida a opcao default, que é: Secure only.

- Feche o DNS.


205

1.3.5. Politicas de Senha

- A partir do Administrative Tools, click em Domain Security Policy;

- Expandir Account Policies e click em Password Policy;

- Alterar configuração, conforme abaixo:

Configuração Default, antes da alteração:

Enforce password history: 24 passwords remembered

Maximum password age: 42 days

Minimum password age: 1 days

Minimum password length: 7 characters

Password must meet complexity requirements: Enable

Store passwords using reversible encryption: Disable

Configuração após a alteração:

Enforce password history: Not Defined

Maximum password age: Not Defined

Minimum password age: Not Defined

Minimum password length: Not Defined

Password must meet complexity requirements: Disable

Store passwords using reversible encryption: Disable

1.3.6. Criação Contas, OU e GPO

- A partir do Administrative Tools, abrir o Active Directory Users and Computers;

- Expandir nwtraders.msft;

- Selecione a OU Users;

- Click direito na OU Users, selecione New e click em User;

- Criar os novos usuários usando as seguintes configurações:



Observação: Em cada conta criada, desabilitar:

[ ]User must change password at next logon

First Name Last name User Logon Name Password

Domain User Van DomUserVan dompass

Domain User Den DomUserDen dompass

Domain User Per DomUserPer dompass

Domain User Bri DomUserBri dompass

Domain User Lis DomUserLis dompass

Domain User Bon DomUserBon dompass

Domain User Lim DomUserLim dompass

Domain User San DomUserSan dompass

Domain User Ban DomUserBan dompass

Domain User Sin DomUserSin dompass

Domain User Cas DomUserCas dompass

Domain User Tun DomUserTun dompass

Domain User Aca DomUserAca dompass

Domain User Mia DomUserMia dompass

Domain User Auk DomUserAuk dompass

Domain User Suv DomUserSuv dompass

Domain User Sto DomUserSto dompass

Domain User Mos DomUserMos dompass

Domain User Car DomUserCar dompass

Domain User Mon DomUserMon dompass

Domain User Man DomUserMan dompass

Domain User Tok DomUserTok dompass

Domain User Kha DomUserKha dompass


207

Domain User Nai DomUserNai dompass

- Criar uma conta Administrator usando as seguintes configurações:

First and Last Name User Logon Name Password Group Membership

Domain Admin DomAdmin dompass Administrators

Domain Admins

Domain Users

- Click direito em nwtraders.msft, click em New e click em Organizational Unit;

- Na janela New Object – Organizational Unit, digite [ Lab9b Computers ] e click em OK.

- Click direito na OU Lab9b Computers, e click em Properties;

- Na janela Lab9b Computers Properties, click na aba Group Policy, click em New e renomeie

o nome New Group Policy object para [ Lab9B Group Policy ] e Click em Edit;

- Na janela Group Policy Object Editor, Computer Configuration, expandir Windows Settings,

Security Settings e Local Policies, e click em Security Options;

- No Painel Direito, click duplo em Interactive logon: Message text for users attempting to

log on;

- Click em Define this policy setting in the template, digite "This is the Corporate

Security Policy…" e click em OK;

- No Painel Direito, click duplo em Interactive logon: Message title for users attempting to

log on;

- Click em Define this policy setting, digite "Corporate Security Policy" e click em OK.

- Fechar a janela Group Policy Object Editor;

- Fechar a janela Lab9b Computers Properties;

- Fechar o Active Directory Users and Computers.



1.3.7. Criação Compartilhamentos

- Criar os seguintes diretórios:

Diretórios Diretórios

C:\Lab10C C:\RAHelp

C:\Home C:\Profiles

C:\MigStore C:\USMT

C:\MigStore\DomUserVan C:\MigStore\DomUserAca

C:\MigStore\DomUserDen C:\MigStore\DomUserMia

C:\MigStore\DomUserPer C:\MigStore\DomUserAuk

C:\MigStore\DomUserBri C:\MigStore\DomUserSuv

C:\MigStore\DomUserLis C:\MigStore\DomUserSto

C:\MigStore\DomUserBon C:\MigStore\DomUserMos

C:\MigStore\DomUserLim C:\MigStore\DomUserCar

C:\MigStore\DomUserSan C:\MigStore\DomUserMon

C:\MigStore\DomUserBan C:\MigStore\DomUserMan

C:\MigStore\DomUserSin C:\MigStore\DomUserTok

C:\MigStore\DomUserCas C:\MigStore\DomUserKha

C:\MigStore\DomUserTun C:\MigStore\DomUserNai

- Compatilhar o diretório Lab10C e atribuir ao grupo Everyone a permissão Full Control;

- Compatilhar o diretório MigStore e atribuir ao grupo Everyone a permissão Full Control;

- Compatilhar o diretório USMT e atribuir ao grupo Everyone a permissão Read e ao grupo

Administrators a permissão Full Control;

- Compatilhar o diretório RAHELP e atribuir ao grupo Everyone a permissão Full Control;

- Compatilhar o diretorio Home e atribuir ao grupo Everyone a permissao Full Control;

- Compatilhar o diretório Profiles e atribuir ao grupo Everyone a permissão Full Control.


209

Observação: O Setup Guide não solicita a configuração de permissões NTFS.

1.3.8. Configuração Wallpaper

- A partir do CD-ROM Trainer CD, referente ao curso 2272b, abrir o diretório

CDROM:\Setup\Images e compiar o arquivo LON.BMP para C:\Windows\Web\Wallpaper;

- Click direito no Desktop e click em Properties;

- Na janela Display Properties, na aba Desktop, click em Browse;

- Na janela Browse, abrir o diretorio C:\Windows\Web\Wallpaper, selecionar Lon e click em

Open;

- Na janela Display Properties, click em OK.

1.3.9. Windows Server 2003 CD

- Criar uma pasta chamada CDWS2003 em C:\;

- Copiar o conteudo do Trainer CD para dentro da pasta CDTrainer, criada em C:\.

1.3.10. Trainer CD

- Criar uma pasta chamada CDTrain em C:\;

- Copiar o conteudo do Trainer CD para dentro da pasta CDTrainer, criada em C:\.

1.3.11. PowerPoint Viewer

- Criar a pasta C:\Pptview;

- Copiar o conteudo da pasta C:\CDTrain\Pptview para dentro da pasta C:\Pptview;

- Abrir a pasta C:\Pptview, click duplo em Ppt_name.vbs e click duplo em Pptview.msi para instalar o PowerPoint Viewer;



1.3.12. Slides PowerPoint

- Abrir a pasta C:\CDTrain\Tools;

- Click duplo em 2272_ppt.msi para instalar os Slides PowerPoint.

1.3.13. Fontes MOC

- Abrir a pasta C:\CDTrain\Tools;

- Click duplo em Mocfonts.msi para instalar as Fontes do MOC.

1.3.14. Lab Files

- Abrir a pasta C:\CDTrain\Setup;

- Click duplo em LABFILES.EXE para instalar os Lab Files;

- Aceitar a opcao default, C:\Moc\2272, e click em Unzip.

- Click em Ok;

- Click em Close para fechar o Winzip Self-Extrator.

1.3.15. Softwares

- Desinstalar o Winzip;

- Instalar o Microsoft Office 2003 (Apenas Word, Excel, PowerPoint, Conversores

e Filtros e Ferramentas do Office);

- Instalar o Adobe Reader 7.0;

- Instalar o FilZip 3.0;

- Instalar o Macromedia Shockwave Player 10.0;

- Instalar o Macromedia Flash Player 7.0.


211

1.3.16. Imagem

- Incializar a maquina com o CD Boot IBM no drive de CD-ROM;

- Salvar a imagem no Ghost Server, com nome Img_Inst.gho, no seguinte caminho:

G:\Microsoft - W2003\IBM\Celeron\Modulo 1\Instrutor\Img_Inst.gho

2. Máquina Aluno

2.1. Material Necessario

- CD do Trainer Material, curso 2272;

- CD do Windows XP Professional, English, Service Pack 1;

- Microsoft Office 2003 Viewer (Word, Excel, PowerPoint);

- Adobe Reader 7.0;

- FilZip 3.0;


- Flash Player 7.0.

2.2. Hardware

- Requisitos Mínimos:

Pentium II 400

PCI 2.1 bus

256 MB of RAM

8-GB hard disk

512-KB L2 cache

DVD player

Non-ISA network adapter (10/100 Mbps required)

4-MB video adapter

SVGA monitor (17 inch)



Microsoft Mouse or compatible pointing device

Sound card with headphones or speakers

- Maquina Utilizada:

IBM - Celeron

CPU Intel Celeron - 1,00 GHz

256 MB de RAM

- Foi adicionada uma SEGUNDA placa de rede do fabricante VIA, no PRIMEIRO slot da esquerda

para a direita (frente-a-frente com o gabinete sem a tampa, olhando-o por cima).

2.3. Windows XP Professional

- Iniciar a instalacao do Windows XP Professional, English, Service Pack 1,

Academic Aliance (Obs.: Nesta imagem foi utilizado o CD do Campus Agreement e

o Serial Number do Academic nao serviu, tendo sido utilizado o do Campus Agreement,

que tambem BXPWV-4BXJP-XB2DX-TCX2Q-3R4D8);

- Criar uma particao de 5000 MB (5.0 GB), formatada com NTFS;

- Durante a instalacao, configurar coforme abaixo:

Regional and Language Options:

Regional Options: Portuguese (Brazil);

Location: Brazil;

Teclados:

Portuguese (Brazil) - Portuguese (Brazilian ABNT2) - Definir este como Default.

Name: Vancouver

Organization: Northwind Traders


213

Product Key: DPMW4-Q2VJ2-3C4FP-4QMWR-R4TJD

Computer Name: VANCOUVER

Administrative Password: password

Cofirm Password: password

Time Zone: Brasilia

Network Settings: Typical settings

Workgroup: WORKGROUP

Conexão com a Internet:

(x)Local area network (LAN)

Configurações da conexão speed:

Obtain IP automatically: [X]

Obtain DNS automatically: [X]

Registro Microsoft:

(X)No, not at this time

Who will use this computer?



Your name: Suporte

Reiniciar a maquina.

- A partir do Control Panel, abrir User Accounts e click em Change the

way users log on or off;

- Desabilitar a opcao [ ]Use the Welcome screen;

- Reiniciar a maquina;

- Resetar a senha do usuario Suporte, criado durante a instalacao para a senha

default do departamento de tecnologia;

- Fiz o Dump da imagem Generica no Ghost Server em:

G:\Microsoft - W2003\IBM\Celeron\Generica\XP_Pro\English_Campus.gho

- Ingressar a maquina no Dominio nwtraders.msft;

- Criar as pastas C:\Setup e C:\Tools;

- A partir do Trainer Materials CD, copiar o conteudo da pasta Setup para a pasta C:\Setup;

- A partir do Trainer Materials CD, copiar o conteudo da pasta Setup\MOC para a pasta

C:\Setup;

- Executar o arquivo CD-ROM:\labfiles\labfiles.exe;

- Alterar o Papel de Parede configurando-o com o arquivo referente ao nome da maquina que

encontra-se em:

C:\Setup\Images

Softwares


215

- Instalar o Microsoft Office 2003 Viewer (Word, Excel, PowerPoint);

- Instalar o Adobe Reader 7.0;

- Instalar o FilZip 3.0;

- Instalar o Macromedia Shockwave Player 10.0;

- Instalar o Macromedia Flash Player 7.0.


Anexo2 - Procedimentos de Instalação Módulo II


219

INTRODUÇÃO

Administrando um Ambiente Microsoft Windows Server 2003

Objetivos

Capacitar o aluno a gerenciar tarefas administrativas essenciais ao sistema operacional Windows Server 2003, habilitando-o a manter o sistema atualizado e sem falhas.

Conteúdo

Principais características do Microsoft Windows Server 2003

Gerenciamento e Administração de Recursos do Microsot Windows Server 2003

Métodos de Atualização e Proteção a Falhas

Gerenciamento de Dados e Discos no Microsoft Windows Server 2003

Referência MOC

2273 - Managing and Maintaining a Microsoft Windows Server 2003 Environment 2274 -

Managing a Microsoft Windows Server 2003 Environment

2275 - Maintaining a Microsoft Windows Server 2003 Environment

PROCEDIMENTO PARA PREPARAÇÃO DA IMAGEM

1. Máquina Instrutor


- Imagem Genérica do Windows Server 2003, English, com Service Pack;

- CD do Trainer Material, curso 2274 e 2275;

- Microsoft Office 2003 Professional;



- Adobe Reader 7.0;

- FilZip 3.0;


- Flash Player 7.0.

1.2. Hardware


Pentium III 1,8 GHz

512MB of RAM

8GB hard disk

CD Rom


4MB video adapter






Computer Name: LONDON






221




IP 192.168.1.200



WINS Server: 192.168.1.200


Renomear a Particao C:\ para Local Disk;

1.3.2. Instalação dos arquivos de setup

Copie os arquivos de setup do Treiner CD, compartilhe a pasta C:\Setup e depois execute C:\Setup\Allfiles.exe. Abaixo passo a passo para a instalação em detalhes.

- Pegue o Treiner Material do 2274

- Copie a pasta Setup na raiz do “Treiner Material” para o C:\ e renomeia a pasta para “C:\Setup_2274”.

- Copie a pasta Tools na raiz do “Treiner Material” para o C:\ e renomeia a pasta para “C:\Tools_2274”.

- Execute C:\Setup_2274\Allfiles.exe

- Clique em Unzip

- Clique em OK

- Clique em Close


- Copie a pasta Setup na raiz do “Treiner Material” para o C:\ e renomeia a pasta para “C:\Setup_2275”.

- Copie a pasta Tools na raiz do “Treiner Material” para o C:\ e renomeia a pasta para “C:\Tools_2275”.

- Execute C:\Setup_2274\Allfiles.exe



- Clique em Unzip

- Clique em OK

- Clique em Close

- Compartilhe as pastas “Setup_2274” e “Setup_2275” e defina a permissão Everyone Read

1.3.3. Instalação das fontes

- Execute C:\Tools_2274\Fonts.exe

- Clique em Yes para instalar as fontes

- Quando a instalação tiver completa clique em OK

1.3.4. Instalação do Office 2003 Professional

- Instale o Office 2003 Professional Inglês FULL, menos o Outlook e Access

1.3.5. Instalação das Apresentações da MSFT

- Execute o arquivo C:\Tools_2274\2274_ppt.msi

- Execute o arquivo C:\Tools_2275\2275_ppt.msi

1.3.6. Configuração do Papel de Parede

- Verifique se a resolução está em 800x600

- Nas propriedades de vídeo, defina como papel de parede a figura LON.BMP que está no diretório C:\Setup_2274\Images

1.3.7. Instalação do Active Directory

- Clique em Start, em seguida Run

- Digite dcpromo e clique em OK

- Na tela Welcome to the Active Directory Installation Wizard, clique em Next

- Na tela Operating System Compatibility, clique em Next


223

- Nos próximos passos continue de acordo com a tabela abaixo

Na tela de assistente Faça

Domain Controller Verifique set Domain controller for a new domain está selecionado.

Create New Domain Verifique que Domain in a new forest está selecionado.

New Domain Name Digite nwtraders.msft

NetBIOS Domain Name Verifique se NWTRADERS aparece.

Database and Log Folders

Deixe a opção padrão.

Shared System Volume Deixe a opção padrão.

DNS Registration Diagnostics

Deixe a opção padrão.

Permissions Deixe a opção padrão.

Directory Services Restore Mode Administrator Password

Restore Mode Password: password

Confirm password: password

Summary Clique em Next.

- Na tela Completing the Active Directory Installation Wizard, clique em Finish

- Clique em Restart Now

1.3.8. Populacionando o AD

- Clique em Start, em seguida Run, digite a linha abaixo e clique em OK

C:\MOC\2274\Labfiles\Setup\import.bat


C:\MOC\2274\Labfiles\Setup\setpass.vbs

- Na tela Click OK to Start, clique em OK



- Na tela Finish, clique em OK


C:\MOC\2275\Labfiles\Setup\import.bat


C:\MOC\2275\Labfiles\Setup\setpass.vbs



1.3.9. Habiltando Contas de Usuários

- Clique em Start, em seguida Administrative Tools e em seguida clique em Active Directory Users and Computers

- Expande nwtraders.msft, expande IT Admin e depois clique em IT Users

- Clique na primeira conta e pressione SHIFT + END para selecionar todos os usuários

- Clique com o botão direito nas conta de usuários, em seguida clique em Enable Account e em seguida clique OK

- Na árvore da console clique em Users

- No painel de detalhes, clique na coluna Description

- Clique em AcapulcoUser, segure SHIFT e em seguida clique em VancouverUser

- Segure CTRL e clique em DL Temp Employees para descelecioná-los

- Clique com o botão direito, clique em Enable Account, e em seguida clique em OK

1.3.10. Configurando Segurança no Active Directory

- Clique em Start, clique em Run, digite o texto abaixo e clique em OK

C:\MOC\2274\labfiles\setup\adminfullcontrol.vbs




225


C:\MOC\2274\labfiles\setup\set-managedby-property.vbs




C:\MOC\2275\labfiles\setup\adminfullcontrol.vbs




C:\MOC\2275\labfiles\setup\set-managedby-property.vbs



1.3.11. Instalação dos Serviços de Rede (Networking Services)

- Insira o CD do Windows 2003 Server Enterprise

- Clique em Start, aponte para Control Panel e clique em Add or Remove Programs

- Na tela Add or Remove Programs, clique em Add/Remove Windows Components

- Dentro de Components, clique em Networking Services, e clique em Details

- Na tela Networking Services, verifique se a opção Domain Name System (DNS) está selecionado

- Selecione a opção Dinamyc Host Configuration Protocol (DHCP)

- Selecione a opção Windows Internet Name Service (WINS), e clique em OK

- Na tela Windows Components, clique em Next

- Clique em Finish

- Feche as janelas abertas



1.3.12. Configuração do DHCP Server Service

- Clique em Start, em seguida Administrative Tools, e depois clique em DHCP

- Expande London.nwtraders.msft [192.168.1.200]

- Clique com o botão direito em London.nwtraders.msft [192.168.1.200], e em seguida clique em New Scope

- Na tela Welcome to the New Scope Wizard, clique em Next

- Na tela Scope Name digite as informações abaixo:

Start IP Address: 192.168.1.50

End IP Address: 192.168.1.100

- Na tela Add Exclusion, clique em Next

- Na tela Lease Duration, clique em Next

- Na tela Configure DHCP Options, clique em Next

- Na tela Router (Default Gateway), digite o endereço IP abaixo, clique em Add, e em seguida clique em Next

IP Address: 192.168.1.200

- Na tela Domain Name and DNS Servers, digite as configurações abaixo, clique em Add, e em seguida clique em Next

Parent Domain: nwtraders.msft

IP Address: 192.168.1.200

- Na tela WINS Server, digite a configuração abaixo, clique em Add, e em seguida clique em Next

IP Address: 192.168.1.200

- Na tela Activate Scope, clique em Next para validar o scopo

- Na tela Completing the New Scope Wizard, clique em Finish

- Clique com o botão direito em London.nwtraders.msft [192.168.1.200] e clique em Authorize

- Clique com o botão direito em London.nwtraders.msft [192.168.1.200] e clique em Refresh

- Feche a janela do DHCP


227

1.3.13. Instalação do Group Policy Management Conso le (GPMC)

- Copie o arquivo gpmc.msi da raiz do CD-ROM para a pasta C:\Setup_2274

- Execute C:\Setup_2274\gpmc.msi

- Na tela Welcome to the Microsoft Group Policy Management Console Setup Wizard, clique em Next

- Na tela License Agreement, clique em I Agree, e em seguida clique em Next

- Na tela Completing to the Microsoft Group Policy Management Console Setup Wizard, clique em Finish

1.3.14. Movendo Contas de Usuários e Computadores p ara Pasta Padrão

- Clique em Start, em seguida clique em Run, digite o comando (executará um script) abaixo e clique em OK

C:\MOC\2274\labfiles\setup\moveusers.bat

1.3.15. Configuração de Segurança Extra no Active D irectory

- Clique em Start, em seguida Administrative Tools, e depois clique em Active Directory Users and Computers

- No menu View, clique em Advanced Features

- Expande nwtraders.msft e expande IT Admin

- Clique com botão direito em IT Users, e em seguida clique Delegate Control

- Na tela Welcome to the Delegation of Control Wizard, clique em Next

- Na tela Users and Groups, clique em Add

- Dentro da tela Select Users, Computers, or Groups, no campo Enter the object names to select, digite DL IT OU Administrators, e em seguida clique em OK

- Na tela Users and Groups, clique em Next

- Na tela Completing the Delegation of Control Wizard, clique em Finish

- Clique com o botão direito em IT Teste, e em seguida clique em Delegate Control





- Na tela Select Users, Computers, or Groups, digite DL IT OU Administrators, e em seguida clique em OK


- Na tela Task to Delegate, selecione a opção Create a custom task to delegate, e em seguida clique em Next

- Na tela Active Directory Object Type, em clique em Next

- Na tela Permissions, selecione Full Control, e clique em Next


- Clique com botão direito em Users, e clique em Delegate Control



- No campo Select Users, Computers, or Groups, digite DL IT OU Administrators, e em seguida clique em Next


- Na tela Task to Delegate, selecione a opção Create, delete, and manage user accounts, e em seguida clique em Next


- Clique com botão direito em Computers, e clique em Delegate Control



- No campo Select Users, Computers, or Groups, digite DL IT OU Administrators, e em seguida clique em OK


- Na tela Task to Delegate, selecione a opção Create a custom task to delegate, e em seguida clique em Next

- Na tela Active Directory Object Type, clique na opção Only the following objects in the folder, em seguida selecione Computer Objects

- Selecione as opções Create selected objects in this folder e Delete selected objects in this folder, e em seguida clique em Next

- Na tela Permissions, selecione as opções Read e Write, e em seguida clique em Next


229


1.3.16. Remover Users, Group and Computer da OU Loa cation

- Clique em Start, em seguida Run e execute o script

C:\MOC\2274\labfiles\setup\remove_CGU_OU.bat

1.3.17. Criando GPO e habilitando Printer Location Tracking

- Clique em Start, depois Administrative Tools, e clique em Group Policy Management

- Expande Forest:nwtraders.msft e em seguida expande Domains

- Clique com o botão direito em nwtraders.msft, e em seguida clique Create and Link a GPO Here

- No campo New GPO, digite Printer Location Tracking, e clique em OK

- Expande nwtraders.msft

- Clique com o botão direito em Printer Location Tracking, e clique em Edit

- Em Group Policy Object Editor, expande Computer Configuration, expande Administrative Templates e em seguida clique em Printers

- No painel details, clique duas vezes em Pre-populate printer search location text

- Clique em Enable, e clique em OK

- Feche todas as janelas

1.3.18. Habilitando os alunos para criar GPO

- Clique em Start, depois Administrative Tools, e clique em Group Policy Management

- Expande Forest:nwtraders.msft e em seguida expande Domains

- Expande nwtraders.msft, e em seguida clique Group Policy Objects

- Na aba Delegation, clique em Add

- Na tela Select Users, Computers, or Groups, dentro do campo Enter the object name to select, digite DL IT OU Administrators e em seguida clique em OK



1.3.19. Configuração para os alunos auditarem as GP O´s

- Em Group Policy Management, expande Forest:nwtraders.msft e em seguida expande Domain Controllers

- Clique com o botão direito em Default Domain Controllers Policy, e clique em Edit

- Em Group Policy Object Editor, expande Computer Configuration, expande Window Settings, expande Security Settings, expande Local Policies e em seguida clique em User Rights Assignment

- Clique duas vezes em Manage auditing and security log

- No campo Manage auditing and security log Properties, clique em Add User or Group

- No campo Add User or Group, digite NWTRADERS\DL IT OU Administrators e clique em OK

- Clique em Audit Policy

- No painel details, clique duas vezes em Audit directory service access

- No campo Audit directory service access Properties, clique em Failure, e clique em OK

1.3.20. Melhorando o nível funcional de domínio

- Em Active Directory Users and Computers, clique com o botão direito em nwtraders.msft, e clique em Raise Domain Functional Level

- Na tela Raise Domain Functional Level, clique em Raise

- Na tela Raise Domain Functional Level, clique em OK

- Na tela Raise Domain Functional Level, clique em OK


1.3.21. Instalação do Application Server

- Clique em Start, Control Panel e clique em Add or Remove Programs

- Na tela Add or Remove Programs, clique em Add/Remove Windows Components

- Dentro de Components, selecione Application Server, e clique em Next

- Clique em Finish



231

2. GLASGOW


- Imagem Genérica do Windows Server 2003, English, com Service Pack;



- Adobe Reader 7.0;

- FilZip 3.0;


- Flash Player 7.0.

2.2. Hardware


Pentium II 400

256MB of RAM

8GB hard disk

CD Rom


4MB video adapter








Computer Name: GLASGOW









VIA Off-board: Local Area Connection 2 (Off-board)

- Desabilitar a placa de rede VIA (Off-board).


IP 192.168.1.100



233


WINS Server: 192.168.1.200



2.3.2. Instalação dos arquivos de setup


- Copie a pasta Images dentro da pasta Setup na raiz do “Treiner Material” para o C:\

2.3.3. Configuração do Papel de Parede

- Verifique se a resolução está em 800x600

- Nas propriedades de vídeo, defina como papel de parede a figura GLA.BMP que está no diretório C:\Images

2.3.4. Habilitando Acesso Remoto

- Clique em Start, depois em Control Panel e clique em System

- Na tela de System Properties, clique na aba Remote

- Selecione a opção Allow users to connect remotely to this computer e clique em OK

2.3.5. Criando uma Pasta Compartilhada

- Vai em Computer Management, e expande a opção Shared Folders e clique em New Share

- Na tela Welcome to the Share a Folder Wizard, clique em Next

- No campo Folder path, digite C:\Share e clique em Next

- Quando perguntar se deseja criar a pasta compartilhada, clique em Yes

- Na tela Name, Description, and Settings, clique em Next

- Na tela Permissions, selecione Administrators have full access; other users have read-only access, clique em Finish, e em seguida clique em Close



2.3.6. Configurando Impressora Compartilhada

- Clique em Start, em seguida Printers and Faxes

- Clique duas vezes em Add Printer

- Na tela Welcome to the Add Printer Wizard, clique em Next

- Na tela Local or Network Printer, limpe a opção Automatically detect and install my Plug and Play printer, e clique em Next

- Na tela Select a Printer Port, clique em Next

- Na tela Install Printer Software, dentro de Manufacturer, clique em HP

- Dentro de Printers, selecione a impressora HP LaserJet 5Si, e clique em Next

- Na tela Name Your Printer, no campo Printer Name, digite Class e clique em Next

- Na tela Printer Sharing, clique em Next

- Na tela Location and Comment, clique em Next

- Na tela Print Test Page, selecione a opção No, e clique em Next

- Na tela Completing the Add Printer Wizard, clique em Finish

3. Máquina Aluno

3.1. Material Necessario



- Adobe Reader 7.0;

- FilZip 3.0;


- Flash Player 7.0.


235

3.2. Hardware

- Requisitos Mínimos:

Pentium II 400

PCI 2.1 bus

256 MB of RAM

8-GB hard disk

512-KB L2 cache

Non-ISA network adapter (10/100 Mbps required)

4-MB video adapter

SVGA monitor (17 inch)

Microsoft Mouse or compatible pointing device

Sound card with headphones or speakers




Computer Name: IBTA












IP 192.168.1.100



WINS Server: 192.168.1.200



3.3.2. Instalação de Lab Files

- Clique em Start, e em seguida Run, digite \\london\setup_2274\allfiles.exe e em seguida clique em OK

- Na tela File Download, clique em Open

- Na tela WinZip Self-Extractor – Allfiles.exe, clique em Unzip

- Clique em Ok e Close

- Clique em Start, e em seguida Run, digite \\london\setup_2275\allfiles.exe e em seguida clique em OK


- Na tela WinZip Self-Extractor – Allfiles.exe, clique em Unzip

- Clique em Ok e Close

3.3.3. Instalação da Group Policy Management Consol e

- Clique em Start, e em seguida Run, digite \\london\setup_2274\gpmc.msi e em seguida clique em OK



237

- Na tela Welcome to the Microsoft Group Policy Management Console Setup Wizard, clique em Next

- Na tela Completing the Microsoft Group Policy Management Console Setup Wizard, clique em Finish

módulo 2-apostila prática-segurança em sistemas da informação-ssi

Documents