montagem e configuração drd dde redes de computadores · • instala o iis 6.0 e configura o...
TRANSCRIPT
1
Montagem e Configuração d R d dde Redes de Computadores
Windows
Prof. Rodrigo [email protected]
ApresentaçãoProf. Rodrigo Rocha – [email protected]
EmentaEmenta• Introdução a redes de computadores• Dispositivos de redes• Tolerância a falhas• Planejamento e Montagem da infra-estrutura• Protocolo TCP/IPProtocolo TCP/IP• Endereçamento• Configuração e Gerenciamento básico de Roteadores.• Rede Windows 2003• Rede Linux• Redes sem Fio (Wireless)
2
EdiçõesWindows Server 2003 Web EditionFunciona como host e servidor Web, fornecendo uma plataforma para agilizar o desenvolvimento e a implantação de aplicativos e serviços da Web.• acesso via web ilimitado• não pode ser gateway, dhcp ou servidor de fax• pode estar no domínio mas não pode ser controlador de domínio
Windows Server 2003 Standard EditionAtende às necessidades diárias de empresas de todos os portes, fornecendo uma solução para o compartilhamento de arquivos efornecendo uma solução para o compartilhamento de arquivos e impressoras, conectividade segura com a Internet, implantação centralizada de aplicativos da área de trabalho e colaboração entre funcionários, parceiros e clientes.
EdiçõesWindows Server 2003 Enterprise EditionDestina-se a empresas de médio a grande porte, ativando a infra-estrutura da empresa, aplicativos de linha de negócios e transações de comércio eletrônico.
• Suporta Micorsoft Metadirectory Services (mms), que integra multiplos diretórios, banco de dados e arquivos no AD
• Hot Add Memory, permite adicionar memória em hardwares suportados sem o desligamento da máquina
• Windows System Rescue Manager (WSRM), que suporta a alocação de CPU e recursos de memória para uma aplicação
Windows Server 2003 Datacenter EditionPermite o desenvolvimento de soluções comerciais críticas que exigem os bancos de dados mais escalonáveis e o processamento de um grande volume de transações. Além disso, é uma plataforma ideal para a consolidação de servidores.
• disponível na versão OEM• versão 32 e 64 bits
4
Perguntas1. Você esta planejando implantar o Windows Server 2003 para um departamento com 250 empregados. O servidor deverá armazenar os diretórios pessoais e pastas compartilhadas do departamento. Também deverá gerenciar várias impressoras onde os usuários enviam seus documentos. Qual edição você recomendaria para ser a melhor solução custo-benefício para o departamento?
2. Você esta planejando implantar o Windows Server 2003 para um novo domínio Active Directory em uma grande corporação, que inclui múltiplos ADs separados e mantidos pelas subsidiárias da corporação. A empresa decidiu adotar o Exchange Server 2003 como plataforma unificada de e-mail, e planeja usar o Microsoft Metadirectory Services (MMS) para sincronizar as propriedades dos objetos através da organização. Qual edição você recomendaria para ser a melhor solução custo-benefício para o departamento?
3. Você planeja instalar servidores para prover acesso via Internet a aplicação de e-commerce da empresa. Foi decidido a instalação de 4 servidores dedicados como front-end da aplicação Web e 1 servidor robusto para banco de dados SQL. Quais edições você recomendaria com base em suma solução de melhor custo-benefício?
Serviços oferecidosServidor de Arquivos
• acesso centralizado aos arquivos e diretórios• gerenciamento de cota de disco• melhorar o sistema de busca de arquivos habilitando o serviço de Indexação
Servidor de Impressão• centralizado e acesso gerenciável as impressoras• compartilhamento de dispositivos de impressão• wizard para instalação e acesso aos drivers da impressora• instala o IIS 6.0 e configura o Internet Printing Protocol (IPP) • instala a ferramenta de administração pela web
Servidor de Aplicação (IIS, ASP.NET)Provê infra estrutura para suportar hospedagem de aplicações web• Provê infra-estrutura para suportar hospedagem de aplicações web
• Instala o IIS 6.0, ASP.NET e COM+
Servidor de E-Mail• Instala os protocolos de POP3 e SMTP• Atua como servidor de e-mail para clientes POP3 de e-mail
5
Serviços oferecidosTerminal Server
• Provê aplicações e recursos do servidor para multiplos usuários que não tenham estes recursos em seus computadores
• Usuários podem se conectar via terminal Services ou Desktop Remoto
Acesso Remoto/VPN• instala protocolos de roteamento• serviços de acesso via dial-up• Virtual Private Network (VPN) conecta os usuários remotos através de conexão segura
Servidor de Domínio (Active Directory)• Fornece “serviços de diretório” para clientes da rede• Instala o servidor DNS
Servidor DNS• Fornece serviço de resolução de nomes• “Transforma” nomes em endereços IP e endereços IP em nomes de host
Serviços oferecidosServidor DHCP• Fornece automaticamente endereços IP para os clientes• Devemos definir o escopo de endereços para a rede
Servidor de fluxo de mídia• gerencia, entrega e armazena conteúdo do Windows
Media, incluindo fluxo de áudio e vídeo através de uma intranet ou da Internet
Servidor WINSServidor WINS• Fornece resolução de nomes NetBIOS para IP• É necessário para suportar sistemas operacionais antigos (95, NT). • Para Windows XP e 200 não é necessário, porém em algumas
aplicação antigas ele deverá ser instalado
6
Serviço de diretórioNecessidade de compartilhar recursos (arquivos, aplicações, e-mail, etc.)Grupo de TrabalhoA ti Di tActive Directory• Gerenciamento centralizado• Sistema seguro
controla usuários, grupos, políticas, etc.segurança para recursos
• Outras funcionalidadesSysVolSysVol
– scripts de usuários, políticas
LDAPKerberosReplicação de Arquivos (FRS)
Domínios, árvores e florestasDomínio• Precisa de pelo menos 1• Componente central do serviço de diretório do windows 2003
Árvore• múltiplos domínios• compartilha nomes de DNS contínuo
Ex: jundiai.aula.com.br , indaiatuba.aula.com.br
Floresta• Domínios que não compartilham o mesmo domínio “root”
7
Objetos e Unidades Organizacionais (OU)
Objetos• Possuem atributos/propriedades que o define• AD é capaz de armazenar milhões de objetos• AD é capaz de armazenar milhões de objetos
usuários, grupos, impressoras, pastas compartilhadas, Group Policies (GPO), etc.
Unidade Organizacional• Agrupamento de objetos que possuem• Agrupamento de objetos que possuem
características administrativas comuns• Organizar o AD
Delegação e Group PolicyDelegação• Delega parte da administração para alguns
administradoresadministradores• Possibilidade de um administrador gerenciar
usuários e senhas de uma OU
Group Policy• aplica configurações de segurança• distribuí software• configura o sistema operacional e o
comportamento das aplicações
8
Laboratório 01Instalar o Windows Server 2003Instalar o AD
http://technet microsoft com/pt• http://technet.microsoft.com/pt-br/library/cc668413(printer).aspx
• Nome do servidor no AD• Nome NetBios
Instalar DHCP Server
MMCMicrosoft Management Console• ferramenta administrativa• interface comum para as aplicações (snap-ins)• interface comum para as aplicações (snap-ins)
9
MMC com Snap-Ins
ModosAutor (padrão)• Garante acesso total ao mmc• Pode adicionar e remover snap-ins• criar janelas• mudar as opções• salvar o console
Usuário• controle total
li it d ( á i j l )• limitado (várias janelas)• limitado (uma janela)
10
Remote DesktopPermite gerenciar o servidor remotamente
Laboratório 02Instalando e configurando Remote Desktop• Servidor
iniciar - painel de controle – sistema – remoto(aba)– habilitar área de trabalho remota
• EstaçãoIniciar – acessórios – comunicações – conexão de área de trabalho remota
• MMCSnap-In – Configuração dos serviços de terminalConexão – Adaptador de Rede
– máximo de conexões 1Conexão – Sessões
– [x] ignorar configuração do usuário» finalizar uma sessão desconectada: 15 minutos» limite de sessão ativa: nunca» limite de sessão ociosa: 15 minutos» quando o limite da sessão for atingido ou a sessão for interrompida:
» desconectar da sessão
Permissões
11
UsuáriosPara adicionar um usuário
• Iniciar – Ferramentas Administrativas – Usuários e Computadores do AD• MMC – Snap in – usuário e computadores do AD
UsuáriosPor padrão, é utilizado o Default Domain Policy GPO.
13
Múltiplas propriedadesPodemos trocar algumas propriedades de vários usuários ao mesmo tempo
Criando múltiplos usuáriosTemplates
• Quando possuímos objetos com propriedades similares• Ex: Vendedores (mesmo horário, possui diretório HOME, etc...)• (*) Deixar esta conta desativada (brecha de segurança)• Propriedades copiadas• Propriedades copiadas• Geral
nenhuma propriedade é copiada• Endereço
Todas as propriedades são copiadas, exceto nome da rua• Conta
Todas as propriedades são copiadas, exceto nome logon (é pedido quando copia o template)• Perfil
Todas as propriedades são copiadas, perfil e diretório HOME são modificados para o novo usuáriousuário
• Telefonesnenhuma propriedade é copiada
• OrganizaçãoTodas as propriedades são copiadas, exceto título
• Membros de Todas as propriedades são copiadas
• Discagem, Controle remoto, Ambiente, Sessão, Perfil de serviços de terminal, COM+nenhuma propriedade é copiada
14
Usando CSVDEImportamos ou exportamos objetos do ADUtilizamos arquivos textos separados por vírgulacsvde [-i] [-f NomeArquivo] [-k]csvde [ i] [ f NomeArquivo] [ k] -i• Especifica o modo de importação. Se não especificado, o
modo padrão é exportação.-f NomeArquivo• Identifica o nome do arquivo para importaçãoIdentifica o nome do arquivo para importação
-k • Ignora as mensagens de erro: “object already exists,”
“constraint violation,” e “attribute or value already exists” durante o processo de importação.
ExemploArquivo usuario.txt• DN,objectClass,sAMAccountName,sn,givenName,userPrincipalName• "CN=Aluno Curso,OU=Lab, DC=servidor,DC=aula1",
ser al noc C rso Al no al no c rso@ser idor a la1user,alunoc,Curso,Aluno,[email protected]
Comando• csvde –i –f usuario.txt
15
Utilitários de linha de comandoDSADD• Adiciona objetos no diretório
DSGET• Mostra as propriedades dos objetos no diretório
DSMOD• Modifica os atributos selecionados de um objeto existente
DSMOVE• Move o objeto da localização corrente para um novo local
DSRM• Remove um objeto, a árvore completa ou ambos
DSQUERYDSQUERY• Pesquisa no AD por critérios específicos• Usado para listar os objetos do AD
Clique no comando para obter ajuda. Fonte: technet
Perfis de usuárioÉ uma coleção de pastas e arquivos que contém os elementos do ambiente de trabalho e é único para cada usuário. Inclui :• Atalhos do menu iniciar, desktop e da barra de início
rápido• Arquivos no Desktop e redirecionamento dos Meus
Documentos• Favoritos e cookies do Internet Explorer• Certificados (se implantados)• Certificados (se implantados)• Arquivos específicos de aplicativos (dicionário do Office,
modelos e lista de auto-complete)• Meus locais de rede• Configurações do vídeo, como aparência, papel de
parede e proteção de tela
16
Perfil LocalPor padrão encontra-se em: %Systemdrive% \Documents and Settings\%Username% Quando o usuário faz login na primeira vez, o sistema cria o perfil para o usuário copiando o perfil padrão O nome daperfil para o usuário copiando o perfil padrão. O nome da pasta é baseado no nome de logon.Todas as mudanças feitas são armazenadas no perfil local. Cada usuário tem um perfil individualO ambiente do usuário pode ser estendido pelo perfil All Users, que inclui atalhos, lugar de rede e dados de
li ti P d ã t Ad i i t d daplicativos. Por padrão somente o Administrador pode modificar esta pasta.O perfil é totalmente local, se o usuário logar em outra máquina, será criado um novo perfil (caso não tenha logado antes).
Perfil Remoto (RUP)Perfil é armazenado no servidor• Vantagens
pode ser incluído na cópia de segurançaanalisado por antivíruscontrole centralizado
Instalação• Criar uma pasta compartilhada no servidor de arquivos• Configurar na Aba Perfil das propriedades do usuário
Caminho do Perfil: \\<server >\<share>\%Username%Caminho do Perfil: \\<server >\<share>\%Username%.– %username% será substituído pelo nome de logon
Performance• Versões anteriores copiando todo o conteúdo• 2003 – o conteúdo é sincronizado
17
Perfil pré configuradoAmbiente produtivo com acesso fácil aos recursos de rede e aplicativosRemover acessos não necessários a recursosSimplificação do suporteInstalação• Com um usuário normal, configure o ambiente • Logar como administrador• Painel de Controle – Sistema – (Aba) Avançado• Perfil do usuário – confgurações• Copiar para: \\<server>\<share>\<username> • Clique em uso permitido – alterar e escolha o usuário• Nas propriedades do usuário configurar o caminho do
perfil
Perfil mandatórioTodas as alterações efetuadas pelo usuário não são salvasImplantaçãoImplantação• Renomear o arquivo ntuser.dat para ntuser.man
18
Segurança com GPOGroup policy (GPO)• usuários e computadores do AD• Selecione o domínio• Selecione o domínio• Botão direito – Propriedade• (Aba) Diretivas do Grupo – Editar
Configurações do WindowsCo gu ações do do s• Configurações de Segurança
Diretivas de Conta
Diretivas de SenhaA senha deve satisfazer requisitos de complexidade• filtro de senhas (passfilt.dll)• Características
não pode ser baseada no nome da contano mínimo 6 caracterescontém tipo de caracteres de pelo menos 3 tipos dos 4 grupos
– maiúsculas (A..Z)– minúsculas (a..z)– algarismos (0..9)– caracteres especias (!@#$%¨&*)
Aplicar histórico de senhas• a nova senha não pode ser nenhuma das “x” anteriores
Armazenar senhas utilizando criptografia reversível
Comprimento mínimo de senha• número mínimo de caracteres
Tempo de vida máximo de senha• prazo máximo para o usuário trocar a senha
Tempo de vida mínimo de senha• prazo mínimo para o usuário trocar a senha
19
Diretivas de bloqueioDuração de bloqueio de conta• Define quantos minutos irão se passar antes do
AD liberar a conta travadaAD liberar a conta travadaLimite de bloqueio de conta• Número de tentativas de senha errada antes de
bloquear a contaZerar contador de bloqueios de conta após• define o tempo que deverá passar antes de zerar
o contador de tentativas de logon inválida
AuditoriaConfigurações do Windows• Configurações de Segurança
Diretivas locais– Diretivas de auditoria
Auditoria de eventos de logon
Auditoria de gerenciamento de conta• auditar terefas de gerenciamento de conta (criação,
l ã d l ã )alteração, deleção, etc..)
Mais detalheshttp://www.microsoft.com/brasil/security/guidance/prodtech/
win2003/secmod128.mspx
20
Exercícios1-) Crie uma Unidade Organizacional chamada funcionários
2-) Defina um padrão para nomenclatura de nomes
3 ) Adicione dois usuários utilizando este padrão Configure somente Primeiro3-) Adicione dois usuários utilizando este padrão. Configure somente Primeiro nome, Sobrenome, Nome Logon, Nome Logon (pre win2000)
4-) Configure as seguintes propriedades (ao mesmo tempo) para os dois usuários:
ABA Propriedade ValorGeralGeral
DescriçãoNº telefone
Exercício de criação de usuários(19) 3869-2020
GeralEndereçoEndereçoEndereçoEndereçoOrganizaçãoOrganização
HomePageRuaCidadeEstadoCEPTítuloEmpresa
( )http://www.exemplo.comR. Virando a EsquerdaValinhosSP13270-200ProfessorFaculdade da 3. Idade
Exercícios5-) Você está criando usuários para trabalhar temporariamente
na sua organização. Eles irão trabalhar diariamente das 9h00 às 17h00, de acordo com um contrato que começará em um mês e encerrará dois meses apósmês e encerrará dois meses após.
Eles não podem trabalhar for a deste calendário.Quais propriedades você configuraria para garantir o máximo
de segurança?a. Senhab. Horário de Logonc Vencimento da contac. Vencimento da contad. Armazenar senhas com criptografia reversívele. Conte é confiável para delegaçãof. Usuário deverá alterar sua senha no próximo logong. Conta desabilitadah. Senha nunca expira
21
Exercícios6-) Crie um modelo para os representantes de vendas. (Não esqueça de desabilitar a conta)Crie um grupo “Representantes de Venda”Crie um grupo Representantes de VendaConfigura as seguintes propriedades do Modelo• membro de: representantes de venda• horário de logon: segunda à sexta das 8h00 –g g
17h00• vencimento da conta: 3 meses após a criação• empresa: VendeTudo• perfil: \\servidor\_perfis\%username%
Exercícios7-) Abra o prompt de comando e execute o seguinte:• dsquery user "OU=Employees, DC=Contoso,DC=Com" -stalepwd
7 O que mostrou ?O que mostrou ?E o comando:• dsquery user "OU=Employees, DC=Contoso,DC=Com" -stalepwd
7 | dsmod user -mustchpwd yes
8-) Prepare um arquivo texto chamado importacao.txt, que contenha os dados para a criação de 3 usuárioscontenha os dados para a criação de 3 usuários. Importe estes dados utilizando o CSVDE.
22
Compartilhando pastasAtravés do MMC• snap in – Pastas Compartilhadas
Novo – compartilhamentoNovo compartilhamento
Atenção: Para clientes MS-DOS usar nomenclatura 8.3
Compartilhamento de pastaPropriedades• Geral• Publicar
permite publicar o compartilhamento no ADpermite publicar o compartilhamento no AD
• Permissões de compartilhamento• Segurança
Permite definir permissões NTFS
23
Permissões de compartilhamentoDefine as permissões do compartilhamento• Ler
usuários podem visualizar nome de pastas, nome, propriedades e atributos dos arquivos. Podem rodar programas e acessar outras pastas dentro do compartilhamentoPodem rodar programas e acessar outras pastas dentro do compartilhamento
• AlterarPodem criar pastas, adicionar arquivos na pasta, modificar arquivos e atributos, deletar arquivos e pastas e todas as ações permitidas no “Ler”
• Controle totalPodem modificar permissões dos arquivos, se tornar proprietário de arquivos e todas as permissões do “Alterar”
Podem ser permitidas ou negadasPermissão efetiva• permissões do usuário + permissões dos grupos que é membro
ex: usuário: Ler + grupo: Alterar = Permissão Efetiva= Alterar
• Negar prevalece sobre outras permissõesex: grupo: Ler (Permitir) + outro grupo: Acesso Total (Negar) = sem acesso a leitura de arquivos
Permissões de compartilhamentoDefine o máximo de permissão efetivaPermissões de Compartilhamento vs NTFS
• tornam seu trabalho complexo• são restritivas
Ex: Grupo Controle Total (NTFS) + Compartilhamento Ler ou Ler e Alterar = Acesso LimitadoEx: Grupo Controle Total (NTFS) + Compartilhamento Ler ou Ler e Alterar = Acesso Limitado
Limitações• Projeto
Permissões só funcionam para acesso via client. Não se aplicam a acesso local, via terminal, http, ftp e telnet
• ReplicaçãoNão são replicados pelo serviço de replicação (FRS)
• FragilidadePerde as permissões se a pasta for movidaPerde as permissões se a pasta for movida
• DetalhamentoNão consigo detalhar as permissões, ao contrário do NTFS
• AuditoriaNão é possível configurar auditoria baseado em pasta compartilhada
• ComplexidadeSe as permissões de pasta e NTFS forma aplicadas ao mesmo tempo
24
Mundo RealUso das permissões de compartilhamento não é aconselhável.• Usar efetivamente somente em caso de sistemas de arquivos FAT e
FAT32FAT32
Regra Geral• Permissões de Compartilhamento
Usuário autenticados: Controle TotalLimitar o acesso através de permissões NTFS aos arquivos e pastasEx: Remover a herança, remover usuários do domínio e adicionar somente os grupos que tem direitos
Sessões e Arquivos AbertosSessões• Verifica quem está conectado, qual computador, nº de arquivos
abertos, tempo de conexão e tempo ocioso
Arquivos Abertos• Verifica o nome do arquivo acessado por bloqueios e modo de acesso• Verifica o nome do arquivo, acessado por, bloqueios e modo de acesso
25
LaboratórioVerificar se o servidor tem a funcionalidade de servidor de arquivos• Iniciar – ferramentas Administrativas – Gerenciar o Servidor
Ferramentas• MMC – Snap In – Pastas Compartilhadas• ou• filesvr.msc
Atividades• Criar uma pasta chamada “Geral” no c:\• Crie um arquivo texto chamado teste.txt dentro desta pasta• Compartilhar a pasta• Atribuir permissões de compartilhamento: Todos (Controle Total)t bu pe ssões de co pa t a e to odos (Co t o e ota )• Em uma estação acesse a pasta compartilha via UNC e abra o arquivo
teste.txt• Verifique no servidor as sessões e arquivos abertos• Envie uma mensagem para os usuários que o servidor será desligado• Desconecte todos os arquivos abertos
Permissões do Sistema de Arquivo NTFS
Internet explorer – botão direita –propriedades• Aba Segurança• Editor Access Control List (ACL)
Primeira Tela (“Resumão”)• Modelo de Permissões
pois Ler & Executar é uma composição de várias permissões
Posso ter permissões para usuários, grupos, computadores e INetOrgPerson• “A classe de objeto InetOrgPerson é usada em
vários serviços de diretório LDAP e X 500 nãovários serviços de diretório LDAP e X.500 não-Microsoft para representar pessoas em uma organização” (Technet)
26
Permissões do Sistema de Arquivo NTFS
Avançado• detalhe das permissões• configurar auditoria• configurar proprietário• verificar as permissões efetivas
Modelos de Permissão e Permissões Especiais
Ler e Executar• Abrir e ler arquivos e pastas• Copiar recursos (assumindo que tenha permissão de escrita no destino)• Não existe permissão no Windows que impeça a cópia, entratando podemos utilizar o Digital Rights
Management (DMR)
Leitura e Modificar• Aplicado a pasta permite criar novas pastas e arquivos• Aplicado ao arquivo permite modificar e alterar os atributos (somente leitura, oculto, sistema)• junto com o Modificar permite a exclusão
Alterar Permissões• O usuário que pode trocar as permissões é o proprietário• Dá ao usuário poderes para modificar as ACL
.
27
HerançaPermissões aplicadas a uma pasta reflete nas suas sub-pastas e arquivosFacilita a administraçãoFacilita a administração
Permissões EfetivasUsuário pertence a muitos grupos, a combinação de suas permissões formam a permissão efetivaRegras
• Permissões de arquivos tem prioridade sobre permissões de pasta• Permissões “Permitido” são acumulativas• Permissões Permitido são acumulativas
grupo1: Ler e Executar grupo2: Escrever = Permissão Efetiva: Ler e Executar, Escrever (pode deletar)
• Permissão “Negar” tem maior prioridade do que “Permitir”• Permissões explícitas tem maior prioridade sobre herdadas
28
Proprietário criadorPessoa que criou o objetoQualquer permissão dada ao Proprietário/Criador é explicitamente atribuída ao usuário que criou o objetoE lExemplo:• Pasta – Ler e Executar• Proprietário Criador – Direito Total• Usuário1 na Pasta: Criar arquivos e Escrever
Criou o arquivo teste.txtAutomaticamente recebeu Controle Total sobre o arquivoInclusive – PODE ALTERAR AS PERMISSÕES
– Falha de segurança
Propriedade• Se o usuário é o proprietário e negou para ele mesmo Controle total,
ele perdeu a capacidade de alterar as ACLpode perder acesso a arquivos e pastas
• Administrador pode apropriar
LaboratórioCriar 4 usuários Criar os Grupos
• Usuários do Projeto X (com 2 usuários criados anteriormente)• Gerentes (com 2 usuários criados anteriormente)
Criar uma pasta chamada “projeto_x” e compartilhá-laDar as permissões NTFS• Administradores
Controle Total
• Usuários do Projeto Xler, adicionar arquivos e pastascontrole total nos arquivos e pastas que criar
• Gerentes• Gerentesler e modificar todos os arquivosnão pode deletar nenhum arquivo que eles não criaramcontrole total nos arquivos e pastas que criaram
• SistemaServiços rodando com a conta Sistema têm controle total
29
ResoluçãoDesabilitar a herança• senão todos terão ler e executar herdados
ResoluçãoGrupo projetox• Permissões especiais
grupo Gerentesgrupo Gerentes• Modificar permissões e• retirar deleção
30
Laboratório 2Crie um grupo Terceiros• Crie 1 usuário e faça-o membro deste grupo
Crie o grupo Engenheiros• Crie 1 usuário e faça o membro do grupo• Crie 1 usuário e faça-o membro do grupo• Eles devem ter permissão de ler os documentos da pasta projetoX
1. Situação• Você deverá prevenir acesso indevido dos terceiros a pasta do projetoX
2. Situação• Crie um usuário e faça-o membro de Terceiros e Engenheiros• Quais os direitos deste usuário na pasta do projetoxQ p p j• Como previno este usuário de acessar esta pasta
Auditando os usuáriosPara monitorar e rastrear determinadas ações, você deve ativar a auditoria
31
AuditoriaVocê pode auditar eventos com sucesso e falhaExemplos de uso:• Sucesso
gerar log de acessos a arquivos do RHgerar log de acessos a arquivos do RHmonitorar acesso de usuários que não deveriam ter tais permissõesidentificar padrões diferentes dos comuns (Alguma outra pessoa pode estar usando esta conta)
• FalhaMonitorar acessos maliciosos a recursos que são negadosIdentificar falhas na tentativa do usuário acessar recursos. Pode indicar permissões insuficientes para exercer seu trabalhopermissões insuficientes para exercer seu trabalho
IMPORTANTE:• Habilitar a Auditoria de Acesso a Objetos• Ferramentas administrativas – diretivas de segurança do controlador de
domínio
AuditoriaVisualizador de Eventos• segurança
32
LaboratórioHabilite a auditoria para o grupo projetox, nas ações de deleção de arquivo
H bilit dit i d bj t GPOHabilite a auditoria de acesso a objetos no GPO
Entre como um usuário do grupo projetox e remova um arquivo
Como administrador verifique os logs gerados através doComo administrador, verifique os logs gerados através do visualizador de eventos
CotasLimitar o espaço utilizado no(s) disco(s)habilitando a Cota padrão
33
CotasEntradas da cotaEscolher o objeto para atribuir cota
LaboratórioCrie um usuário no seu domínioAtribua quota de 10Mb com aviso em 5MbC i i d 10Mb tilh tCopie mais de 10Mb para o compartilhamento no servidor
34
ScriptsPequenos “programas” que automatizam tarefasWindows Script Host (WSH)Windows Script Host (WSH)• Permite você rodar programas escritos em
vbscript e jscript• Características
executar tarefas administrativastili bj tutilizar objetos com
adicionar características de linguagem de programação aos scriptsrodar ferramentas de linha de comando
Exemplos• Executar tarefas administrativas
• Mapeando um drive• Set objNetwork = Wscript.CreateObject("WScript.Network")• objNetwork.MapNetworkDrive “Z:", "\\servidor01\geral"
utilizar objetos COMAdi i d á i AD• Adicionando um usuário ao AD
• Set objOU = Wscript.GetObject("LDAP://OU=management,dc=dominioTeste,dc=com")• Set objUser = objOU.Create("User", "cn=Usuario") • objUser.Put "sAMAccountName", “usuario" • objUser.SetInfo
• adicionar características de linguagem de programação aos scripts• Apagando uma pasta.
• Set objFSO = Wscript.CreateObject("Scripting.FileSystemObject")• strFolder = Wscript.Arguments.Item(0) • objFSO.DeleteFolder(strFolder)
• O Nome da pasta é recebido por argumentos• apaguepasta.vbs c:\scripts
• rodar ferramentas de linha de comando• Se o domínio for igual a “dominioTeste” mapeia o drive z:
• Set objNetwork = Wscript.CreateObject("Wscript.Network")• Set objShell = WScript.CreateObject("WScript.Shell") • strDomain = objNetwork.DomainName • If strDomain = “dominioTeste" Then • objShell.Run "net use x: \\servidor01\docs" • End If
35
úteisMostrar mensagens• Wscript.Echo “Mensagem”• msgbox “Mensagem” ”Título”• msgbox Mensagem ,, Título• Mostrar por 3 segundos
Set WshShell = Wscript.CreateObject("Wscript.Shell")WshShell.Popup “Mensagem!",3, “título"
Ler entrada do usuário• strResposta = InputBox(“Digite seu Nome:",
“Atenção")
úteisMapear Drive
• Set objNetwork = Wscript.CreateObject("WScript.Network")• objNetwork.MapNetworkDrive “Z:", "\\servidor01\geral"
Remover drive mapeadoRemover drive mapeado• WshNetwork.RemoveNetworkDrive "I:“
Mostrando nome do usuário e nome do computador• Set objNet = WScript.CreateObject("WScript.Network")• WScript.Echo “Nome do Computador:" & objNet.ComputerName• WScript.Echo “Nome do usuario:" & objNet.UserName
Executar comando externo• Set WshShell =
WScript.CreateObject("WScript.Shell")• WshShell.Run ("notepad")
36
úteisCriando atalhos no Desktop
• Set WshShell = Wscript.CreateObject("Wscript.Shell")• StrMyDesktop = WshShell.SpecialFolders("Desktop")
• sLinkFile = StrMyDesktop & "\Atalho.LNK"S t WS WS i t C t Obj t("WS i t Sh ll")• Set oWS = WScript.CreateObject("WScript.Shell")
• Set oLink = oWS.CreateShortcut(sLinkFile)•• oLink.TargetPath = “c:\teste\teste.exe"• oLink.Arguments = ""• oLink.Description = “Programa teste"• oLink.HotKey = "ALT+CTRL+P"• oLink.IconLocation = “c:\teste\teste.exe, 0"• oLink.WindowStyle = "1"• oLink.WorkingDirectory = “c:\teste\"• oLink.Save
Apagando um atalho• Set Shell = CreateObject("WScript.Shell") • Set FSO = CreateObject("Scripting.FileSystemObject") • DesktopPath = Shell.SpecialFolders("Desktop") • FSO.DeleteFile DesktopPath & "\atalho.lnk"
Scriptrelacionando a conta do usuário com um script
37
LaboratórioCrie um usuário qualquerCrie um compartilhamento em que esse usuário tenha direitosusuário tenha direitosCrie um script que:• mostre uma mensagem de boas vindas que
contenha o nome do computador e o nome do usuário
• mapeio o drive x: para este compartilhamento• crie um atalho no desktop que chame a
calculadora do windows (calc.exe)• abra o bloco de notas automaticamente
(notepad.exe)
BackupCópia de segurançaIniciar – Executar – ntbackup.exe
38
Tipos de BackupNORMAL: Um backup normal (ou total) copia todos os arquivos selecionados e marca cada um deles como já tendo um backup (em outras palavras, o atributo de arquivo morto é desmarcado). Com backups normais, você só precisa da cópia mais recente do arquivo ou da fita de back p para resta rar todos os arq i os Normalmente oda fita de backup para restaurar todos os arquivos. Normalmente, o backup normal é executado quando você cria um conjunto de backup pela primeira vez.
INCREMENTAL: Um backup incremental copia somente os arquivos criados ou alterados desde o último backup normal ou incremental. Os arquivos dos quais foram feitos backup são marcados dessa forma (ou seja o atributo de arquivo morto é desmarcado) Se você usar umaseja, o atributo de arquivo morto é desmarcado). Se você usar uma combinação de backup normal e backup incremental, precisará do último conjunto de backup normal e de todos os conjuntos de backup incrementais para restaurar.
Tipos de BackupDIFERENCIAL: Um backup diferencial copia somente os arquivos criados ou alterados desde o último backup normal ou incremental. Os arquivos que já têm um backup não são marcados dessa forma (ou seja, o atributo de arquivo morto não é desmarcado). Se você executar uma combinação de backup normal e backup diferencial, a restauração doscombinação de backup normal e backup diferencial, a restauração dos dados exigirá os arquivos ou as fitas do último backup normal e do último backup diferencial.
CÓPIA: Uma cópia auxiliar (ou secundária) é uma cópia dos dados de backup. Os dados copiados são uma imagem fiel da cópia de backup primária e podem ser usados como uma cópia de backup de modo de espera ativo se os servidores, os dispositivos e a mídia de backup p , p pprimário forem perdidos ou destruídos. As cópias primária e secundária usam mídias diferentes e, muitas vezes, bibliotecas de backup diferentes.
DIÁRIO: Backup que copia todos os arquivos selecionados que forem alterados no dia de execução do backup diário. Os arquivos que sofreram backup não são marcados como tal (ou seja, o atributo de arquivamento não é desmarcado).
39
LaboratórioCriar um diretório chamado dadosCopiar alguns arquivos para este diretórioC tb kCarregar o ntbackup.exefazer backup desta pastaapagar os arquivosrestaurar o backup
Monitorandoferramentas Admins. DesempenhoMediar as atividades do computador
40
LaboratórioLogado como administrador, carregue o Desempenho nas Ferramentas AdministrativasEntre em logs e alertas de desempenho – logs do contadorBotão da direita e escolha “Nova configuração de log”g ç gCrie um arquivo de log chamado Teste, adicione os objetos: LogicalDisk, PhysicalDisk e Filas de Trabalho do ServidorMude o intervalo para 8 segundosAnote a localização deste arquivoDepois que ele estiver registrando, efetue algumas operações no computador. Após 30 segundos, retorne a tela de desempenho e pare de registrarregistrar.No Monitor do Sistema, clique em Exibir dados do log e carregue o arquivo teste criado anteriormenteAgora você poderá visualizar o que foi registrado
BibliografiaFILHO, João E. M. Descobrindo o Linux. 2. ed. Novatec, 2007.HOLME, Dan; THOMAS, Orin. MCSA/MCSE Self-Paced Training Kit (Exam 70-290): Managing and Maintaining a Microsoft Windows Server 2003 Environment, Second Edition (Hardcover). Microsoft Press, 2004.LUNARDI, Marco A. Comandos Linux. 1.ed. Ciência Moderna, 2006.ROSS John O Livro de WI-FI: Instale Configure e Use Redes Wireless (Sem Fio) 1 ed Alta BooksROSS, John.O Livro de WI-FI: Instale, Configure e Use Redes Wireless (Sem Fio). 1.ed. Alta Books, 2004.TANENBAUM, Andrew S.. Redes de computadores: PLT. Rio de Janeiro: Campus, 2007.TORRES, Gabriel. Redes de Computadores: Curso Completo. 1.ed. Axcel Books, 2001.