Escolar Documentos
Profissional Documentos
Cultura Documentos
NESTE CAPÍTULO
» Medindo confiabilidade e
desempenho no Windows Server
capítulo 5
Padrão de desempenho
Manutenção
Ativando o Windows
Quando você instala pela primeira vez um novo sistema operacional em um servidor, uma
das primeiras coisas que você faz é ativá-lo. Se você tiver a sorte de estar em um domínio
com um Key Management Server (KMS), a ativação do servidor é feita automaticamente
para você. Você não precisa encontrar a chave do produto e digitá-la no servidor. O KMS gerencia o
chaves de produto (ela usa chaves de ativação múltipla [MAKs]) e ativações para você. Se
você não tiver a sorte de ter um KMS, precisará ativar manualmente o servidor. Veja como
ativar um servidor por meio da interface gráfica do usuário (GUI) e da linha de comando.
4. Clique em Ativar.
5. Clique em Fechar.
Você é deixado na tela de ativação mostrada na Figura 5-1, onde vê que sua versão do Windows
agora está ativada.
De qualquer forma, primeiro você precisa instalar a chave. Você faz isso com o script do
Windows Server License Manager, slmgr.vbs.
Para usar slmgr.vbs para instalar a chave, use o comando com o parâmetro -ipk. Basta
substituir <productkey> pela sua chave de licença de 25 caracteres, incluindo os hífens:
FIGURA 5-1:
A janela de
ativação mostrando
que o Windows
Server 2022
está ativado.
Você obtém uma caixa de diálogo que informa a chave do produto instalada com sucesso. Clique OK.
Após a instalação da chave de licença, use o mesmo script com o parâmetro -ato para fazer uma
ativação online de sua cópia do Windows. Você faz isso com o seguinte comando:
desempenho
Padrão
de Manutenção
slmgr.vbs -ato
Se a ativação for bem-sucedida, você verá uma caixa de diálogo informando que o produto foi ativado
com sucesso, conforme mostrado na Figura 5-2.
FIGURA 5-2:
Usando
slmgr. vbs para ativar
Windows Server.
FIGURA 5-3:
Você pode acessar
a caixa de
diálogo Opções de
pasta por meio da
guia Exibir no
Explorador de Arquivos.
A caixa de diálogo Opções de pasta possui três guias: Geral, Exibir e Pesquisar.
A guia Geral
A guia Geral (mostrada na Figura 5-4) permite ajustar o comportamento geral das pastas. Você
pode definir o Explorador de arquivos para abrir por padrão em Acesso rápido (padrão) ou em
Este PC. Você tem a opção de abrir pastas na mesma janela (padrão) ou em uma nova janela.
Cansado de clicar duas vezes para abrir um
pasta? Altere-o para um único clique. Você pode até definir o Acesso rápido para exibir pastas
usadas com frequência (padrão), arquivos usados com frequência ou ambos.
FIGURA 5-4:
A guia Geral
da caixa
de diálogo
Opções de pasta.
A guia Exibir
Na guia Exibir (mostrada na Figura 5-5), você pode fazer alterações em como as pastas e os itens
nas pastas são exibidos. Uma das alterações mais comuns que faço na guia Exibir é selecionar desempenho
Padrão
de Manutenção
Mostrar arquivos, pastas e unidades ocultos e Ocultar extensões para tipos de arquivo conhecidos.
Com essas duas opções definidas dessa forma, posso visualizar pastas ocultas como o usuário
padrão e arquivos ocultos como ntuser.dat. E por não ocultar as extensões, fica mais fácil
diferenciar entre aplicativos e arquivos de configuração quando eles têm o mesmo nome.
Observe no fundo da Figura 5-5 que você pode ver as extensões de arquivo e que o arquivo oculto,
que anteriormente não era visível (na Figura 5-4), agora está visível com um ícone transparente.
A guia Pesquisar
A guia Pesquisar (mostrada na Figura 5-6) controla o comportamento da função de pesquisa ao
pesquisar pastas e arquivos no sistema operacional. Por padrão, a única opção selecionada aqui é
Incluir diretórios do sistema na seção Ao pesquisar locais não indexados. Outras opções incluem
pesquisar arquivos compactados, nomes de arquivos e conteúdo. E você pode dizer ao Windows
Search para não usar o índice durante sua pesquisa. Use essa última opção com cuidado - o
processo pode demorar um pouco para ser concluído, dependendo da quantidade de dados que
precisa passar.
FIGURA 5-5:
A guia Exibir
da caixa de
diálogo
Opções de pasta.
FIGURA 5-6:
A guia
Pesquisar
da caixa de
diálogo Opções de pasta.
FIGURA 5-7:
A Internet
desempenho
Padrão
de Manutenção
Caixa de
diálogo Propriedades.
» Geral: A guia Geral permite que você defina suas próprias páginas iniciais,
o comportamento de inicialização do Internet Explorer, defina como deseja que as páginas da
Web sejam exibidas em guias, exclua seu histórico de navegação e ajuste itens relacionados
à aparência.
» Segurança: A guia Segurança permite definir o nível de segurança para zonas individuais —
Internet, Intranet local, Sites confiáveis e Sites restritos.
» Privacidade: permite que você especifique se sites têm permissão para rastrear sua localização,
como você deseja que o bloqueador de pop-up funcione e se deseja que o modo InPrivate
desative as barras de ferramentas e extensões.
» Conexões: permite configurar uma conexão com a Internet e especificar um proxy na área de configurações da
» Programas: a guia Programas permite definir comportamentos padrão para clicar em links
e edição de arquivos HTML. Ele também permite que você gerencie quaisquer complementos instalados e
defina programas que deseja usar para coisas como e-mail. Você também pode definir os tipos de arquivo
» Avançado: A guia Avançado oferece uma maneira de definir configurações mais granulares no Internet Explorer
(IE). Você pode personalizar como o IE reagirá aos scripts, alterar quais configurações criptográficas
O método mais recente de configuração das Opções da Internet é acessado por meio do menu Iniciar
e do ícone Configurações, que se parece com uma engrenagem. A partir daí, você pode selecionar
Rede e Internet no novo menu Configurações. Abordo essa área com mais detalhes no Livro 4,
Capítulo 1.
» Plano de fundo: Esta seção permite definir o plano de fundo com uma imagem, uma cor sólida ou uma
apresentação de slides. Você pode definir o plano de fundo para preencher, ajustar, esticar, lado a lado,
centralizar ou estender.
» Cores: nesta seção, você escolhe quais serão suas cores de destaque para itens como o menu Iniciar. Você
pode escolher cores específicas ou selecionar Escolher automaticamente uma cor de destaque do
meu plano de fundo, e novas cores serão definidas sempre que a cor do plano de fundo mudar. Você pode
definir onde a cor de destaque aparece e pode selecionar um modo de aplicativo claro ou escuro.
» Tela de bloqueio: Aqui, você pode definir uma imagem personalizada em sua tela de bloqueio. Você pode
» Temas: assim como no Windows 10, você pode definir temas no Windows Server 2022. Esses temas afetam
» Iniciar: A seção Iniciar permite que você personalize o que aparece em seu menu Iniciar
cardápio. Você pode optar por mostrar mais blocos ou aplicativos ou até mesmo deixar a tela
inicial ocupar a tela inteira (como no Windows 8).
desempenho
Padrão
de Manutenção
FIGURA 5-8:
Exibindo as
faces de fonte
disponíveis
para a fonte Courier New.
Relatando problemas
O utilitário de solução de problemas ainda está localizado no Painel de controle. Para acessar o
Painel de controle, clique em Iniciar, clique em Sistema Windows e clique em Painel de controle.
A partir daí, clique em Sistema e segurança e, em seguida, clique em Revisar o status do
computador e resolver problemas (na seção Segurança e manutenção). Os problemas potenciais
são divididos em problemas de segurança e manutenção, conforme mostrado na Figura 5-9.
FIGURA 5-9:
O
utilitário de solução
de problemas pode
notificá-lo sobre
problemas e
possíveis soluções.
» Clique no menu Iniciar e, em seguida, clique no ícone de engrenagem para acessar o menu Configurações.
Clique em Sistema, clique em Sobre, clique em Informações do sistema e clique em
Configurações avançadas do sistema. Na guia Avançado, clique no botão Configurações em Desempenho.
FIGURA 5-10:
o desempenho
Caixa de desempenho
Padrão
de Manutenção
diálogo Opções.
» Efeitos Visuais: Permite ajustar a quantidade de efeitos visuais que o Windows usa. Em um servidor,
isso normalmente deve ser definido para desempenho em vez de transições de tela chamativas.
O Controle de Conta de Usuário (UAC) foi projetado para proteger seu sistema contra alterações não
autorizadas. Requer certos tipos de alterações para obter a aprovação do administrador antes que possam ser
executados. Isso garante que malware e outros aplicativos nocivos não sejam executados sem o seu
consentimento. Também pode ser incrivelmente irritante quando você está simplesmente tentando fazer seu
trabalho. Ele solicita sua aprovação sempre que um programa deseja fazer uma alteração em seu sistema. Se
você estiver conectado como um usuário padrão, deverá fornecer um nome de usuário e senha ou PIN de
administrador. Se você estiver conectado como administrador, deverá selecionar sim ou não. A maioria das
tarefas de manutenção requer algum nível de elevação de privilégio, então você provavelmente se deparará com
isso em algum momento. Você pode saber se será solicitado observando o aplicativo que deseja executar. Se o
ícone do programa tiver um ícone de escudo no canto inferior direito, ele solicitará a elevação.
Existem quatro níveis de configurações no UAC, classificados do menos seguro ao mais seguro
seguro:
» Sempre notificar: esta é a configuração mais segura, mas também é a mais irritante porque
irá avisá-lo sempre que um aplicativo ou usuário quiser fazer uma alteração que
precise de permissões de administrador.
Se quiser fazer alterações no UAC em um sistema individual, você pode acessar o Painel de controle para
Sistema e segurança, Segurança e manutenção e, em seguida, Alterar configurações de controle de conta de
usuário, mostradas na Figura 5-11. Se isso estiver sendo controlado por meio da Diretiva de Grupo, as opções
na imagem podem estar esmaecidas.
FIGURA 5-11: A
caixa de diálogo
Configurações de
controle de conta de usuário.
instalar aplicativos. Você também pode instalá-los da maneira tradicional (clicando duas vezes
no pacote de instalação que você baixou ou obteve do disco ou mídia flash).
A remoção de aplicativos pode ser feita de um local central. Clique em Iniciar e, em seguida,
clique no ícone de engrenagem para acessar as Configurações. A partir daí, clique em
Aplicativos. Para remover um aplicativo, basta selecioná-lo e clicar no botão Desinstalar,
conforme mostrado na Figura 5-12.
FIGURA 5-12:
Desinstalar um
programa na
seção Aplicativos
e recursos do
menu Configurações.
O Windows Server 2022, como muitos de seus predecessores, possui vários utilitários que permitem medir
o desempenho do sistema e encontrar possíveis gargalos ou restrições de recursos. As ferramentas mais
comuns são Monitor de Desempenho, Monitor de Recursos e Gerenciador de Tarefas.
Monitor de desempenho
O Performance Monitor permite que você colete informações em tempo real e colete essas informações
em um log para análise posterior. Ele analisa o impacto que os aplicativos em execução em seu sistema
têm no desempenho geral do sistema. Você pode acessar o Monitor de Desempenho no Gerenciador do
Servidor clicando em Ferramentas e, em seguida, clicando em Monitor de Desempenho.
O Performance Monitor é a ferramenta perfeita para rastrear métricas básicas de desempenho em sua
unidade central de processamento (CPU) e memória de acesso aleatório (RAM),
embora contenha mais alguns contadores do que apenas CPU e RAM. Você pode monitorar o
desempenho da maior parte do hardware, software e serviços executados em seu sistema.
FIGURA 5-13:
Desempenho
desempenho
Padrão
de Manutenção
Monitor em execução
no Windows
Servidor 2022.
Uma das melhores coisas sobre o Performance Monitor é que você pode agendar a coleta.
Digamos, por exemplo, que sempre haja uma desaceleração em seu sistema entre 22h e meia-
noite. Você pode agendar o monitor de desempenho para executar e analisar os dados para
determinar onde está o problema e, em seguida, ver os resultados quando chegar na manhã
seguinte.
5. Clique duas vezes em seu novo contador, selecione uma cor diferente o suficiente da
a cor do contador padrão e clique em OK.
Monitor de recursos
O Monitor de recursos é mais útil para solucionar problemas que estão causando o
travamento do sistema ou até mesmo causando falhas. Você pode ver rapidamente quais
processos estão usando mais recursos ou estão usando a maior quantidade de disco,
largura de banda de rede ou memória. Você pode clicar nas guias individuais de CPU,
Memória, Disco ou Rede para obter mais detalhes sobre cada um. Na verdade, também
gosto de usar esse utilitário para solucionar problemas de desempenho. Acho que ele
apresenta problemas de desempenho de uma maneira muito útil. Consulte a Figura 5-14
para obter um exemplo da aparência do Monitor de recursos.
FIGURA 5-14:
Solução de problemas
conteúdo do recurso
ção é simples
com Resource
Monitor.
Gerenciador de tarefas
O Gerenciador de Tarefas existe no sistema operacional Windows há muito tempo. Ele
fornece uma visão rápida da utilização de CPU, rede e memória e
permite que você pare de executar processos ou aplicativos de maneira deselegante se eles não estiverem
respondendo.
» Clique com o botão direito do mouse na barra de tarefas e escolha Gerenciador de Tarefas.
Depois de abrir o Gerenciador de Tarefas, você verá uma tela semelhante à Figura 5-15.
desempenho
Padrão
de Manutenção
FIGURA 5-15:
Gerenciador de
Tarefas no Windows
Servidor 2022.
A maioria dos Administradores de Sistema entra no Gerenciador de Tarefas com uma coisa em mente.
Eles têm um aplicativo ou processo que não está respondendo e precisam encerrá-lo. Veja como fazer isso no
Gerenciador de Tarefas:
Antes de poder usar o Backup do Windows Server, você precisa instalar o recurso. Siga esses passos:
Cópia de segurança.
7. Clique em Avançar.
8. Clique em Instalar.
O Backup do Windows Server (uma vez instalado) pode ser acessado por meio do Gerenciador do Servidor.
Basta escolher Ferramentasÿ Backup do Windows Server.
Há um problema interessante com a instalação do Backup do Windows Server que ocorreu em várias
revisões do sistema operacional do servidor: você instalou o Backup do Windows Server, mas ele não
aparece no menu Ferramentas. A correção: volte para Adicionar funções e recursos e, na tela Selecionar
recursos, expanda Ferramentas de administração de servidor remoto e escolha Balanceamento de carga
de rede. Não tenho ideia de por que instalar as Ferramentas de administração de servidor remoto para
balanceamento de carga de rede faz isso aparecer. Experimentei vários recursos e o balanceamento de
carga de rede é o único que resolveu esse problema.
Backup do sistema
Depois de instalar o Backup do Windows Server, você pode iniciar o console no Gerenciador do Servidor.
Escolha Ferramentasÿ Backup do Windows Server. Você verá uma tela semelhante à Figura 5-16.
FIGURA 5-16:
Windows Server
Backup permite
criar e executar
backups,
uma vez ou em um
agendar.
6. Clique em OK e em Avançar.
8. Clique em Avançar.
6. Clique em OK e em Avançar.
7. Na tela Especificar hora do backup, selecione com que frequência deseja que os
backups sejam executados.
8. Clique em Avançar.
9. Na tela Especificar tipo de destino, você pode selecionar qualquer um desses — apenas
não salve o backup na mesma unidade da qual está fazendo o backup.
Se não estiver visível, clique em Mostrar todos os discos disponíveis e selecione-o a partir daí.
Você recebe um aviso de que o disco será reformatado quando você concluir o assistente.
Restauração do sistema
A restauração de itens é simples e agradável por meio do Backup do Windows Server. Veja como
recuperar um arquivo que foi excluído:
4. Clique em Avançar.
Isso será feito com um calendário com datas disponíveis e uma caixa suspensa com horários.
6. Clique em Avançar.
No meu caso, apaguei um arquivo e uma pasta, então vou escolher Arquivos e Pastas.
8. Clique em Avançar.
FIGURA 5-17:
Restaurando alguns
arquivos por
meio do Backup do
Windows Server.
Gerenciando o armazenamento
Muitas das tarefas de gerenciamento de armazenamento no Windows Server 2022 podem ser
executadas na área Serviços de Arquivo e Armazenamento no Gerenciador do Servidor. A partir daqui,
você pode gerenciar os volumes, discos e pools de armazenamento associados ao seu servidor. Se
quiser saber mais sobre como configurar e gerenciar armazenamento, consulte o Livro 2, Capítulo 2.
Gerenciando discos
O gerenciamento dos discos em seu sistema é feito por meio da área Serviços de Arquivo e
Armazenamento no Gerenciador do Servidor. Depois de clicar em Serviços de Arquivo e Armazenamento,
basta clicar em Discos e você poderá gerenciar os discos físicos e lógicos, bem como os volumes relacionados.
Ao clicar com o botão direito do mouse na unidade, você pode criar um novo volume, colocar um disco
off-line on-line ou colocar um disco on-line off-line ou redefinir o disco. Se você clicar com o botão direito
o volume, você tem muitas opções semelhantes ao antigo utilitário de gerenciamento de disco
(que você ainda pode usar se quiser). Você pode ver essas opções na Figura 5-18.
FIGURA 5-18:
Gerenciando um volume
de disco nos Serviços
de Arquivo e
Armazenamento.
desempenho
Padrão
de Manutenção
Desfragmentando drives
À medida que um disco é usado e os dados são criados e excluídos, os dados no disco tornam-
se fragmentados. Isso pode causar problemas de desempenho em unidades de disco rígido
(HDDs). Você precisará desfragmentar o disco para resolver esse problema. Ao desfragmentar
seu HDD, você pega todos os dados dispersos e os combina para que ocupem um único
espaço contíguo. As unidades de estado sólido (SSDs) também podem se beneficiar da
otimização se oferecerem suporte ao TRIM, que permite que o sistema operacional informe à
unidade SSD quando os blocos de dados não são mais necessários. Para desfragmentar ou
otimizar sua unidade, siga estas etapas:
A desfragmentação de disco costumava ser algo que um administrador do sistema tinha que fazer
manualmente, mas em sistemas operacionais de servidor recentes, ela é programada automaticamente para
ser executada uma vez por semana, como você pode ver na Figura 5-19.
FIGURA 5-19: A
desfragmentação de
disco é executada
automaticamente
uma vez por semana,
Para o administrador do sistema, algumas tarefas de rotina precisam ser feitas, mas são inconvenientes de
serem executadas manualmente ou monótonas. Para esses tipos de tarefas, o Agendador de Tarefas é uma
ótima maneira de automatizar tarefas de manutenção para que você não precise mais se lembrar de fazer
logon em um sistema para executá-las.
Chegar ao Agendador de Tarefas é simples. O Gerenciador do Servidor é iniciado quando você faz logon no
sistema. No Gerenciador do Servidor, escolha Ferramentasÿ Agendador de Tarefas. A tela que inicia é
semelhante à Figura 5-20.
FIGURA 5-20:
O Agendador de
Tarefas é a área
central para
gerenciar
tarefas automatizadas/agendadas.
» Pronto: A tarefa agendada está pronta para sua próxima execução agendada.
FIGURA 5-21:
Configurar
uma das
tarefas pré-
configuradas
do Windows Server.
Você pode alterar a programação em que a tarefa é executada ou até mesmo excluir a
tarefa, se desejar. Existem várias abas que você deve entender:
» Triggers: Esta aba é utilizada para automatizar a tarefa. Aqui, você pode criar um
agende se desejar que a tarefa seja executada em um determinado dia em um determinado horário ou se
desejar que a tarefa seja iniciada quando ocorrerem outros eventos, como logon, inicialização ou quando
ocorrer um determinado evento.
» Ações: As guias Ações contêm o que você deseja que a tarefa realmente faça.
Normalmente, isso iniciará algum tipo de programa, embora você ainda possa usar as opções
obsoletas de enviar um e-mail ou exibir uma mensagem.
» Condições: A guia Condições pode definir quando a tarefa poderá ser executada. Por exemplo,
você pode exigir que a tarefa seja executada apenas após o sistema ficar ocioso por um período
de tempo predeterminado.
» Configurações: A guia Configurações permite que você ajuste as configurações relacionadas a como a tarefa
pode ser executado e o que deve fazer se ocorrer uma falha.
Para editar uma tarefa pré-configurada, basta clicar duas vezes na tarefa, fazer as alterações
e clicar em OK. Por exemplo, digamos que eu queira agendar a tarefa SilentCleanup para ser
executada todas as noites. Eu seguiria estes passos:
Agora a tarefa será executada todos os dias às 19h no meu caso. Você pode ver como isso
se parece na Figura 5-22.
desempenho
Padrão
de Manutenção
FIGURA 5-22:
Alterar uma tarefa pré-
configurada para ser
executada todos os dias.
Para criar sua própria tarefa, selecione a Biblioteca do Agendador de Tarefas. Você tem a opção de criar
uma tarefa básica ou simplesmente criar uma tarefa. Aqui estão as etapas para criar uma tarefa:
4. Na guia Geral, dê um nome à sua tarefa, selecione em qual conta de usuário você deseja que ela
seja executada e selecione para qual sistema operacional deseja configurá-la.
No servidor em que você deseja usar a Área de Trabalho Remota, basta clicar no menu Iniciar, em
Acessórios do Windows e escolher Conexão de Área de Trabalho Remota. Insira o nome do
sistema ao qual você deseja se conectar e clique em Conectar, mostrado na Figura 5-23.
FIGURA 5-23:
Conexão a
outro sistema
por meio de
uma Conexão de
Área de Trabalho Remota.
Você será solicitado a fornecer credenciais para fazer logon no outro servidor. Digite um nome de
usuário e senha e clique em OK.
Se este for um sistema ao qual você se conecta com frequência, você pode salvar as configurações
de conexão e até informar qual nome de usuário deseja usar. Com a janela de conexão da área de
trabalho remota aberta, clique na seta Opções. Preencha o nome de usuário e escolha Salvar como.
Isso criará um arquivo RDP no qual você pode clicar duas vezes para iniciar automaticamente uma
sessão futura da Área de Trabalho Remota com suas configurações salvas. Aqui estão algumas das
outras configurações que você pode criar, que também podem ser salvas neste arquivo RDP: desempenho
Padrão
de Manutenção
As Ferramentas de Administração de Servidor Remoto (RSAT) permitem que você gerencie todas as
várias funções e recursos em seu servidor. O melhor do RSAT é que você pode instalá-lo em seu
sistema de desktop e gerenciar servidores remotamente, exatamente como faria se estivesse conectado
a um servidor individual. A interface é a conhecida interface do Server Manager. A principal diferença
entre este Gerenciador do Servidor e o do servidor é que, em vez da opção Servidor Local, você
simplesmente tem a opção Todos os Servidores.
Conectando ao servidor
Para gerenciar um servidor com RSAT, você precisa se conectar a ele primeiro. Siga estas etapas para
adicionar um servidor ao Server Manager em um PC com Windows 10:
2. Clique com o botão direito do mouse em Todos os servidores e escolha Adicionar servidores.
4. Selecione o(s) servidor(es) que deseja adicionar e clique na seta para mover o
servidor(es) selecionado(s) para a caixa Selecionado.
5. Clique em OK.
6. Clique com o botão direito do mouse no servidor recém-adicionado e escolha Iniciar contadores de desempenho.
Depois de seguir essas etapas, seu servidor mostrará Online em capacidade de gerenciamento (mostrado
na Figura 5-24) e agora você pode gerenciar seu servidor remotamente por meio das ferramentas RSAT.
FIGURA 5-24:
Usando RSAT
para gerenciar
servidores
remotos de um cliente Windows 10.
desempenho
Padrão
de Manutenção
FIGURA 5-25:
Há muitos
de opções
para gerenciar
um servidor remoto
seu RSAT.
O RSAT tem sido o esteio para administrar servidores remotos por um bom tempo.
Houve melhorias significativas feitas no RSAT, especialmente no Windows 10, mas o RSAT ainda
é algo instalado localmente. A Microsoft reconheceu a necessidade de um console centralizado
que pudesse ser atendido por meio de um navegador da Web, e assim nasceu o Windows Admin
Center.
Você pode instalar o Windows Admin Center em uma área de trabalho se quiser apenas ver do
que ele é capaz. Sua força, no entanto, vem de instalá-lo em um servidor e fazer com que esse
servidor seja seu servidor de gerenciamento. Os administradores podem se conectar à interface
da web e todos os servidores que precisam gerenciar já estão lá. Nas seções a seguir, abordo
algumas tarefas administrativas comuns usando o Windows Admin Center.
Conectando a um servidor
A página padrão que o Windows Admin Center abre é a tela Todas as conexões. Esta tela é onde
você pode adicionar sistemas. Estou executando isso em um PC com Windows 10 e meu PC já
aparece no Windows Admin Center. Siga estas etapas para adicionar um novo servidor:
3. Clique em Enviar.
Adicionar servidores é simples assim. A conexão será configurada automaticamente para usar as
credenciais do usuário conectado. Se você não quiser usar essas credenciais, selecione o sistema
e escolha Gerenciar como. Insira a conta que deseja usar e clique em Continuar. Na Figura 5-26,
você pode ver que meu PC com Windows 10 e o sistema Windows Server 2022 estão usando a
conta de administrador.
FIGURA 5-26:
Conectando
para um
servidor com
Windows Admin Center.
altera sua visualização para a visualização do Gerenciador do Servidor, mostrada na Figura 5-27.
A partir daqui, você pode gerenciar o sistema, verificar a utilização de recursos e muito mais.
Você pode fazer tudo o que fazia no Gerenciador de Servidores tradicional, com várias
novidades. A versão mais recente do Windows Admin Center inclui muitas novas
funcionalidades do Azure, incluindo a capacidade de gerenciar clusters do Kubernetes do
Azure, backups do Azure, Central de Segurança do Azure e muito mais.
FIGURA 5-27: A
visualização
do Gerenciador do
Servidor no
Windows Admin Center.
Uma unidade de recuperação do Windows pode ser muito útil se você precisar fazer uma restauração
bare metal. Isso pode recuperar o sistema operacional, configurações personalizadas e
configurações, bem como drivers. Siga estas etapas para criar uma unidade de recuperação:
2. Clique no Menu Iniciar, role para baixo até Sistema Windows e escolha
Painel de controle.
Na tela final Criar a unidade de recuperação, você será avisado de que tudo na unidade de
destino será excluído.
7. Clique em Criar.
NESTE CAPÍTULO
» Configurando variáveis de
ambiente de usuário e sessão
» Compreendendo os símbolos da
linha de comando e o que eles fazem
Capítulo 6
Trabalhando no
Linha de comando
Praticamente todo administrador
em algum momento de O
de sua carreira. sistema
prompt já
detrabalhou
comando écom o Prompt
um ponto de Comando
de partida para um
número de utilitários de diagnóstico e um grande recurso para coletar informações,
além de ser um utilitário para automatizar tarefas repetitivas.
Este capítulo discute como trabalhar com a linha de comando — desde o básico sobre como
usar a linha de comando até como personalizá-la ao seu gosto.
Abrindo um administrativo
Prompt de comando
A maneira mais simples de acessar o Prompt de Comando no Windows Server 2022 é clicar no
menu Iniciar, rolar para baixo até Sistema Windows e clicar em Prompt de Comando.
Isso executará o prompt de comando em um estado sem privilégios.
Para que alguns comandos funcionem, você deve executar o prompt de comando como administrador.
Para fazer isso, clique com o botão direito do mouse em Prompt de comando no menu Iniciar, clique
em Mais e clique em Executar como administrador, conforme mostrado na Figura 6-1. Quando o
Prompt de Comando for aberto, a barra superior exibirá “Administrador: Prompt de Comando”. Esta é
uma maneira visual rápida de verificar se você está executando como administrador.
FIGURA 6-1:
Executando o
Comando
Solicitar
como
administrador permite
que você execute
comandos mais privilegiados.
Nesta seção, dou uma olhada nas diferentes personalizações que você pode fazer.
FIGURA 6-2:
A guia Opções
permite que
você personalize como
você interage com
o Comando
Incitar.
Tamanho do Cursor
Alterar o tamanho do cursor torna o cursor mais largo e mais fácil de localizar. Essa
configuração pode ser muito útil para pessoas com deficiência visual.
Histórico de comandos
O histórico de comandos permite que você simplesmente pressione a tecla Para cima para
voltar aos comandos antigos, o que pode evitar que você tenha que redigitar comandos se
estiver fazendo algo repetitivo. O tamanho do buffer padrão é 50, mas você pode aumentar
Trabalhando
no comando
Linha
de
Opções de edição
Nesta seção, você tem algumas opções para controlar como editar itens no prompt de
comando:
» Modo de Edição Rápida: Permite o uso do mouse para copiar e colar texto em
e na janela Prompt de comando.
» Modo de Inserção: Permite digitar onde quer que o cursor esteja. Se o modo de inserção
for desativado por algum motivo, você substituirá o texto existente começando no local
do cursor.
» Ativar atalhos de tecla Ctrl: permite usar atalhos de tecla Ctrl como Ctrl+C para copiar
ou Ctrl+V para colar.
» Use Ctrl+Shift+C/V como Copiar/Colar: Se você usar Ctrl+C para copiar texto, não
poderá usá-lo para parar um comando em execução. Isso pode ser problemático
porque sua única outra opção é fechar a janela do prompt de comando e começar
novamente. Se você marcar esta caixa, ela preservará o uso original de Ctrl+C, mas
também permitirá que você copie e cole adicionando a tecla Shift ao comando.
Seleção de texto
» Teclas de seleção de texto estendidas: permite que você use teclado comum
atalhos dentro do prompt de comando.
O console legado remove muitos dos recursos mais recentes que foram adicionados ao
prompt de comando. Se você marcar a caixa de seleção Usar console herdado, algumas das
opções de personalização que mencionei não aparecerão mais na guia Opções para você.
Você pode querer fazer isso para problemas de compatibilidade ou para alguém que está
acostumado com a maneira como o Prompt de Comando costumava funcionar e acha
perturbador trabalhar com ele com as opções mais recentes.
Mudando a fonte
A guia Fonte (mostrada na Figura 6-3) é bastante direta. Ele permite que você
selecione o tamanho da fonte e qual fonte deseja usar. Ele ainda oferece uma
visualização prévia de como sua seleção ficará na visualização da janela. Na Figura
6-3, por exemplo, escolhi um tamanho de fonte de 24 na fonte Consolas. Você pode
ver na caixa inferior a visualização de como minha fonte ficará se eu mantiver essa configuração.
FIGURA 6-3:
A guia Fonte
permite que
você mude
a fonte e como
ele exibe no
comando
Incitar.
» Tamanho do Buffer de Tela: O número de caracteres que você pode ver em uma
única linha é controlado pelo ajuste de Largura. O ajuste de altura determina quantas
linhas serão armazenadas na memória. Selecione Quebrar saída de texto ao
redimensionar se desejar que o texto seja ajustado sempre que você
redimensionar a janela do prompt de comando. Isso é útil se a saída de um
Trabalhando
no comando
Linha
de
comando for difícil de ler porque o tamanho da janela é pequeno. Você pode
ajustar a janela do prompt de comando e o texto será redimensionado
automaticamente, em vez de ter que redimensionar a janela e executar novamente o comando.
FIGURA 6-4:
A guia Layout
configura o que
a janela
parece.
Você também pode ajustar a opacidade do prompt de comando usando o controle deslizante Opacidade.
O controle deslizante é normalmente definido como 100%. No entanto, se você ajustar o controle deslizante
para baixo, poderá ver o que está por trás do prompt de comando.
FIGURA 6-5:
As cores
guia permite
personalizar cores
no comando
Incitar.
FIGURA 6-6:
Avançar
personalizações
que estão disponíveis
no Comando
Incitar.
Trabalhando
no comando
Linha
de
» Cores do Terminal: Você pode fazer alterações na seção Cores do Terminal tanto no plano
de fundo quanto no primeiro plano do Prompt de Comando.
» Forma do Cursor: Na seção Forma do Cursor, você pode ajustar o cursor para
aparecem como o cursor herdado, um sublinhado, uma barra vertical, uma caixa vazia ou uma
caixa sólida.
» Cores do Cursor: Como você pode imaginar, esta seção permite ajustar a cor
do cursor na janela do Prompt de Comando.
» Rolagem do Terminal: Por padrão, a rolagem para frente está habilitada. Isso
permite que você percorra o histórico de comandos armazenado no buffer. Se
você marcar isso e desabilitar Scroll-Forward, você só poderá rolar até a
saída da última linha.
Existem algumas variáveis ambientais, muitas para cobrir em um único livro. Se você quiser saber
quais variáveis ambientais estão disponíveis para você e quais são suas configurações atuais,
você pode fazer isso na janela Prompt de Comando.
Basta digitar Definir | Mais e você obtém a saída para todas as variáveis ambientais no sistema,
conforme mostrado na Figura 6-7.
FIGURA 6-7:
Exibindo
ambiente
variáveis e
seu atual
configurações é
possível com o comando Set.
Uma das variáveis ambientais mais comuns para editar é a variável PATH .
Você pode editar a variável PATH quando quiser incluir um diretório em seu caminho para que possa
simplesmente executar programas nesse diretório sem ter que realmente navegar para esse diretório.
A sintaxe é simples. Por exemplo, para adicionar uma pasta chamada Tools ao meu caminho, eu digito
SET PATH=%PATH%;C:\Tools. Isso anexa minha pasta Tools às variáveis de caminho existentes,
como você pode ver na Figura 6-8. Posso verificar se minha nova entrada está em meu caminho
digitando echo %PATH%.
FIGURA 6-8:
A exibição depois
de anexar
uma pasta
ao meu PATH
variável de
ambiente.
comando.
Se você deseja ajuda geral no Prompt de Comando, como orientação sobre o que você pode fazer,
basta digitar help e pressionar Enter. Você obtém uma lista de todos os comandos que pode executar
naquele momento, mostrado na Figura 6-10.
FIGURA 6-9:
Usando a
ajuda do
prompt de
comando para
obter mais
informações sobre um comando.
FIGURA 6-10:
Usando o
comando help
no prompt de
comando.
< comando <arquivo.txt Executa um comando e insere o conteúdo do arquivo após o comando.
>> comando >>arquivo.txt Semelhante ao único símbolo >, exceto que este comando é anexado se o
arquivo existir, em vez de sobrescrever o arquivo.
|| comando A || Executa o comando B somente se o comando A não for concluído com êxito.
comando B
@ @echo off Digitar o símbolo de arroba (@) suprimirá o que vier depois dele. Não é realmente
um comando; na verdade, é um sinalizador opcional que pode ser usado para
suprimir o que vier depois dele. Isso pode impedir que uma linha de código apareça
nos logs do seu servidor. Você costuma vê-lo usado com @echo off para desativar a
saída de comandos que estão sendo executados em um script ou no console.
Trabalhando
no comando
Linha
de
NESTE CAPÍTULO
» Compreendendo o PowerShell
pontuação e como usá-la
Capítulo 7
Uma das coisas que mais amo no PowerShell sobre o prompt de comando é a
linguagem comum usada com os cmdlets do PowerShell. Os cmdlets do
PowerShell utilizam um formato verbo-substantivo. Ao usar um cmdlet do
PowerShell, há um conjunto bem documentado de “verbos” que você pode usar.
Os verbos mais comuns do PowerShell que você vê são Get, Set, New e Invoke.
Muitos outros verbos estão disponíveis — você pode vê-los no site da Microsoft
junto com exemplos de quando eles seriam usados; vá para https://
docs.microsoft.com/en-us/powershell/scripting/developer/cmdlet/approved-verbs-
for-windows-powershell-commands?view =powershell-7.1.
Substantivos no contexto de cmdlets do PowerShell são contra os quais você deseja agir.
Considere o cmdlet Get-Date. Obter é o verbo; você está dizendo ao PowerShell que deseja
consultar algumas informações. Data é o substantivo; você está pedindo ao PowerShell para
recuperar a data.
Este capítulo serve como uma breve introdução ao PowerShell. Se quiser saber mais sobre o
PowerShell, consulte o Livro 6.
Abrindo um administrativo
Janela do PowerShell
A Microsoft tem feito um grande esforço para fazer com que mais administradores de sistema
adotem o PowerShell, devido à sua flexibilidade e utilidade. No Windows Server 2022, quando
você clica com o botão direito do mouse no menu Iniciar, não vê mais o Prompt de Comando
por padrão; em vez disso, você verá o Windows PowerShell, conforme mostrado na Figura 7-1.
» Você pode escolher Windows PowerShell, que abre uma janela não elevada do
PowerShell. Esta janela permitirá que você execute tarefas do PowerShell que
não requerem privilégios administrativos.
» Você pode escolher Windows PowerShell (Admin), que abre uma janela
elevada do PowerShell. Grande parte do trabalho que você faz como
administrador do sistema exigirá acesso administrativo; portanto, escolha
o Windows PowerShell (Admin).
PowerShell
Trabalhando
com
FIGURA 7-1:
janelas
O PowerShell agora
clicando com o
botão direito do mouse no
Menu Iniciar.
Configurando o PowerShell
Você pode configurar a janela do PowerShell da mesma forma que pode configurar a janela
do prompt de comando. Você pode personalizar a janela uma vez ou definir padrões para que
as configurações sejam carregadas todas as vezes. A única limitação de fazer as configurações
por meio da seleção de Padrões ou Propriedades no menu é que as cores que o PowerShell
usa para comandos e outras coisas não são afetadas pelas configurações de Propriedades. Se
você quiser afetar a cor dos comandos e outros componentes do PowerShell, precisará usar
um script de perfil. Se é isso que você deseja fazer, consulte “Usando um script de perfil” mais
adiante neste capítulo.
Para configurar a janela do PowerShell, inicie o Windows PowerShell, clique com o botão direito
do mouse na barra de título do Windows PowerShell e escolha Propriedades. A caixa de
diálogo Propriedades do Windows Power Shell é exibida. Nas seções a seguir, oriento você
nesta caixa de diálogo guia por guia.
Opções
A guia Opções (mostrada na Figura 7-2) é onde você pode definir coisas como o tamanho
do cursor, quantos comandos deseja recuperar, opções de edição e seleção de texto. As
seções a seguir orientam você em cada uma das seções da guia Opções.
FIGURA 7-2:
A guia Opções
permite que
você personalize como
você interage
com o Windows
PowerShell.
Tamanho do Cursor
Alterar o tamanho do cursor torna o cursor mais largo e mais fácil de localizar. Essa
configuração pode ser muito útil para pessoas com deficiência visual. Pessoalmente,
prefiro que essa configuração seja grande para o prompt de comando e o Windows PowerShell.
Histórico de comandos As
Opções de edição
A seção Edit Options oferece algumas opções para controlar como você pode editar
itens na janela do PowerShell:
» Modo de edição rápida: marcar esta caixa permite que você use o mouse para copiar e PowerShell
Trabalhando
com
» Modo de Inserção: Marcar esta caixa permite que você digite onde quer que o cursor esteja.
Se esta opção estiver desativada, você substituirá o texto existente, dependendo de onde o
cursor estiver localizado.
» Ativar atalhos de tecla Ctrl: Marcar esta caixa permite que você use atalhos de tecla Ctrl
como Ctrl+C para copiar ou Ctrl+V para colar.
» Filtrar conteúdo da área de transferência ao colar: Marcar esta caixa remove a formatação
do material colado proveniente da janela do Windows PowerShell.
» Use Ctrl+Shift+C/V como Copiar/Colar: Se estiver usando Ctrl+C para copiar texto, você
não pode usar esse atalho para interromper um comando em execução. Isso pode ser um
problema se você tiver um comando travado, porque terá que fechar a janela do
Windows PowerShell. Se você habilitar esta opção, ela permitirá o uso normal de Ctrl+C (para
interromper um comando em execução), mas ainda permitirá que você copie e cole
adicionando a tecla Shift ao atalho.
Seleção de texto
» Ativar seleção de quebra de linha: marcar esta caixa pode corrigir problemas de formatação
ao copiar e colar do Windows PowerShell.
» Teclas de seleção de texto estendidas: marcar esta caixa permite o uso de atalhos de teclado
comuns dentro da janela do PowerShell.
Página de Código Atual não é um campo ajustável. Ele permite que você saiba qual código de
caractere está usando. Na minha janela do PowerShell, você pode ver que estou usando um
conjunto de caracteres UTF-8.
Marcar a última opção, Use Legacy Console, remove muitos dos recursos mais
recentes que foram adicionados ao PowerShell. Se você ativá-lo, algumas das
opções de personalização que discuti desaparecerão da guia Opções para você.
Não recomendo marcar esta caixa em uma janela do Windows PowerShell.
Fonte
A guia Fonte (mostrada na Figura 7-3) é uma guia simples com apenas algumas configurações.
Ele permite que você selecione o tamanho da fonte que deseja usar e qual fonte usar. A
seção Visualização da janela fornece uma visualização de como sua seleção ficará.
Na Figura 7-3, por exemplo, escolhi um Tamanho de 24 e uma Fonte de Consolas. Você
pode ver na caixa inferior (Fonte selecionada: Consolas) a visualização de como minhas
escolhas ficarão se eu optar por manter minhas alterações.
FIGURA 7-3:
A guia Fonte
permite que
você mude a
fonte e como
ele é exibido
no PowerShell.
Disposição
A guia Layout (mostrada na Figura 7-4) possui três opções configuráveis:
» Tamanho do Buffer da Tela: O ajuste de Largura controla o número de caracteres que cabem na
tela. O ajuste de altura determina quantas linhas serão armazenadas na memória. Marque a
caixa Quebrar saída de texto ao redimensionar para permitir que o texto na tela se ajuste
automaticamente ao redimensionar a janela do PowerShell.
PowerShell
Trabalhando
com
FIGURA 7-4:
A guia Layout
configura o que o
PowerShell
janela vai
parece.
cores
A guia Cores (mostrada na Figura 7-5) permite definir as cores de fundo e de texto usadas na janela do
Windows PowerShell. Você pode ajustar o plano de fundo e as cores do texto para a janela do PowerShell,
bem como para quaisquer caixas pop-up que aparecerem. Selecione o botão de opção da opção que
deseja alterar (por exemplo, Fundo da tela) e escolha a cor desejada usando as listas suspensas
Vermelho, Verde e Azul ou clicando em uma das caixas coloridas abaixo.
Por padrão, o Windows PowerShell tem fundo azul e texto quase branco. Você pode mudar isso para o
que quiser. Em todas as minhas capturas de tela neste capítulo, estou usando um fundo preto com texto
branco, principalmente porque imprime melhor.
Você também pode ajustar a opacidade da janela do PowerShell usando o controle deslizante Opacidade.
O controle deslizante normalmente está em 100%, o que o torna sólido para que você não possa ver
através dele. No entanto, se você deslizar o controle deslizante para a esquerda, poderá ver o que está
por trás da janela do PowerShell. Isso pode ser divertido, mas pessoalmente acho uma distração; Eu
recomendo deixar o controle deslizante de Opacidade em 100%.
FIGURA 7-5:
As cores
guia permite que
você personalize
cores da tela
no Windows
PowerShell.
» Cores do terminal: você pode fazer alterações na seção Terminal Colors tanto no plano de
fundo quanto no primeiro plano da janela do PowerShell.
» Forma do Cursor: Na seção Forma do Cursor, você pode ajustar o cursor para
aparecem como o cursor herdado, um sublinhado, uma barra vertical, uma caixa vazia ou uma
caixa sólida.
» Rolagem do Terminal: Por padrão, Scroll-Forward está habilitado. Isso permite que você percorra
o histórico de comandos armazenado no buffer. Se você marcar esta caixa e desabilitar Scroll-
Forward, você só poderá rolar até a saída da última linha.
PowerShell
Trabalhando
com
FIGURA 7-6:
Avançar
personalizações
que estão disponíveis
no comando
Incitar.
Para definir as cores dos vários componentes que aparecem na tela, como comandos,
variáveis, strings e assim por diante, você precisa criar um script que defina a cor
desejada para cada um. Digamos que eu queira que todos os componentes sejam apenas
brancos no meu fundo preto (o que funciona muito bem para impressão). Meu script ficaria assim:
$colors = @{}
$colors['String'] = [System.ConsoleColor]::White $colors['Variable']
= [System.ConsoleColor]::White $colors['Comment'] =
[System.ConsoleColor ]::White $colors['None'] =
[System.ConsoleColor]::White $colors['Command'] =
[System.ConsoleColor]::White $colors['Parameter'] =
[System.ConsoleColor]: :White $colors['Type'] =
[System.ConsoleColor]::White $colors['Number'] =
[System.ConsoleColor]::White $colors['Operator'] =
[System.ConsoleColor]::White $colors['Member'] =
[System.ConsoleColor]::White Set-PSReadLineOption -Colors
$colors
Você pode ver que cada componente é definido individualmente e, no final, o comando Set-
PSReadLineOption é usado para ler as cores da variável que você criou no início chamada $colors.
Existem algumas variáveis ambientais. Se você quiser saber quais variáveis de ambiente estão
disponíveis para você e quais são suas configurações atuais, você pode verificar isso no Windows
PowerShell. Apenas defina o local para as variáveis ambientais (é tratado como um drive)
digitando o seguinte:
Get-ChildItem Env:
Você recebe a saída para todas as variáveis ambientais no sistema, mostradas na Figura 7-7.
Uma das variáveis ambientais mais comuns para editar é a variável PATH . Isso é feito quando
você deseja incluir um diretório em seu caminho para que possa simplesmente executar programas
nesse diretório sem precisar realmente estar nesse diretório. A sintaxe é simples. Por exemplo,
para adicionar uma pasta chamada Tools ao meu caminho, eu digitaria o seguinte:
[Ambiente]::SetEnvironmentVariable("DEMO","C:\Ferramentas","Usuário")
Isso acrescentaria minha pasta Tools localizada em minha unidade C: às variáveis de caminho
existentes, como você pode ver na Figura 7-8. Posso verificar se minha nova entrada está em meu
caminho digitando o seguinte:
Get-ChildItem Env:
Você precisará fechar o PowerShell e reabri-lo após adicionar uma variável de ambiente para vê-
lo com o comando Get-ChildItem Env:. Se você acabou de adicionar um e não o vê, verifique se
não esqueceu esta etapa.
PowerShell
Trabalhando
com
FIGURA 7-7:
Exibir
variáveis
ambientais e
suas
configurações
atuais é fácil com o Get
Comando
ItemFilho .
FIGURA 7-8:
A exibição após
a criação de uma
nova variável
de ambiente.
FIGURA 7-9:
Usando a
Ajuda do PowerShell
para obter
mais informações
sobre o
cmdlet Get Command .
Se você deseja ajuda geral no Windows PowerShell, como orientação quanto à sintaxe do
comando Help, basta digitar help e pressionar Enter. Você obtém a página de Ajuda do
Windows PowerShell que explica o que é e fornece alguns exemplos, conforme mostrado na
Figura 7-10.
PowerShell
Trabalhando
com
FIGURA 7-10:
Usando o
comando
help no
Windows PowerShell.
(contínuo)
(contínuo)
' 'Meu valor é $var' (O resultado seria: Encapsula o texto; trata o texto literalmente para que as variáveis sejam
Meu valor é $var.) Mesmo que a tratadas como texto.
variável $var seja definida como
5, $var será impresso como $var.
PowerShell ISE
O PowerShell Integrated Scripting Environment (ISE) tem sido um excelente recurso para aqueles que estão
aprendendo o PowerShell ou para aqueles que desejam solucionar problemas de scripts do PowerShell.
Ele tem dois painéis para trabalhar com scripts do PowerShell. O painel superior é o editor de texto, que
faz codificação de cores e executa sugestões de conclusão de comando para você com um recurso conhecido
como IntelliSense.
O segundo painel é uma janela tradicional do PowerShell. Você pode digitar comandos diretamente nele,
embora normalmente eu o use para ver qual foi a saída de uma linha de código individual quando estou
solucionando problemas por que um script não está sendo executado corretamente.
O lado direito da tela oferece uma espécie de Command Explorer. Ele lista todos os comandos que você
pode usar e o ajudará a concluir o comando.
O PowerShell ISE é compatível com o Windows PowerShell 5.1. A partir do PowerShell 6, não há mais
suporte e a recomendação da Microsoft é fazer a transição para o uso do Visual Studio Code se você
quiser uma ferramenta gráfica para trabalhar com scripts do PowerShell.
A maioria dos exemplos do PowerShell neste livro foi feita no Visual Studio Code exatamente por esse
motivo, embora deva ser observado que o Windows Server 2022 no momento da redação deste livro é
fornecido com o PowerShell 5.1.
4 Configurando
rede
no Windows
Servidor 2022
Machine Translated by Google
Resumo do conteúdo
CAPÍTULO 1: Visão geral da rede do Windows
Server 2022 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .341
....
NESTE CAPÍTULO
Capítulo 1
Neste capítulo, explico como fazer networking no Windows Server 2022. Apresento a você o
Centro de Rede e Compartilhamento e o informo sobre como configurar TCP/IP, DNS e DHCP
(todos os quais explico com mais detalhes em as páginas que se seguem).
Para acessar o Centro de Rede e Compartilhamento, clique com o botão direito do mouse no
menu Iniciar e escolha Conexões de Rede. Na página Status, role para baixo até Central de Rede
e Compartilhamento.
Na tela Network and Sharing Center (mostrada na Figura 1-1), você obtém acesso a alguns dos
utilitários úteis em um só lugar.
FIGURA 1-1:
A Rede e
Central de
Compartilhamento no Windows
Servidor 2022.
Na seção "Exibir suas redes ativas", você pode ver rapidamente se sua conexão está habilitada e
se você possui conectividade com a Internet. Se você não tiver conectividade com a Internet, o tipo
de acesso dirá "Sem Internet".
No lado esquerdo da tela, você vê o link Alterar configurações do adaptador. Ao clicar nesse link,
você verá uma lista de todos os adaptadores de rede presentes em seu sistema. Clique com o
botão direito do mouse no adaptador e escolha Propriedades (consulte a Figura 1-2).
Windows
Visão
geral
do Servidor
Rede
2022
FIGURA 1-2:
Acessando as
propriedades do
adaptador de rede
tela.
A tela Propriedades é onde ocorre a maior parte da configuração do TCP/IP. Para saber mais sobre
esse assunto, vá para a seção “Configurando TCP/IP”, mais adiante neste capítulo.
A seção final do Centro de Rede e Compartilhamento para a qual quero chamar sua atenção é o
utilitário Solucionar problemas. Ao clicar no link Solução de problemas (consulte a Figura 1-1), você
será direcionado para a área Solução de problemas. A partir daqui, você pode clicar em Conexões
com a Internet (consulte a Figura 1-3) e obter um utilitário baseado em assistente que pode ajudá-
lo a identificar e resolver problemas.
Se o sistema não achar que há um problema, talvez seja necessário clicar em Solucionadores de
problemas adicionais para obter a opção necessária. A partir daí, você pode selecionar Conexões
com a Internet ou escolher entre uma infinidade de outras opções de solução de problemas.
FIGURA 1-3:
Solução de problemas de
sua conexão com a
Internet
com o embutido
utilitário de solução de
problemas.
Status
A página Status é a página padrão com a qual você começa quando entra na área Rede e
Internet. Ele oferece muitas das mesmas opções que você tem no Centro de Rede e
Compartilhamento, bem como o status de sua conexão de rede (consulte a Figura 1-4).
Na parte inferior da página, você pode ver o link “Alterar opções do adaptador” e o link
“Solução de problemas de rede”, assim como você fez no Centro de Rede e Compartilhamento.
Meu palpite é que esta tela eventualmente substituirá o Centro de Rede e Compartilhamento
porque o conjunto de ferramentas nesta tela é idêntico.
Windows
Visão
geral
do Servidor
Rede
2022
FIGURA 1-4:
A tela Status na
seção Rede e
Internet das
Configurações.
Ethernet
Ao clicar no link Ethernet no menu à esquerda da Rede e
Área da Internet, são apresentadas opções específicas para a conexão Ethernet (consulte a
Figura 1-5):
» Change Adapter Options: Se você clicar neste link, obterá uma lista de todas as opções de adaptação
instaladores no sistema. Você pode escolher com quais adaptadores deseja trabalhar a partir daí.
» Alterar opções avançadas de compartilhamento: Se você clicar neste link, poderá alterar a descoberta
de rede e as configurações de compartilhamento de arquivos e impressoras para seus perfis
de rede.
» Firewall do Windows: clicar neste link abre a tela mais recente de Firewall e proteção de rede,
mostrada na Figura 1-6. A partir daqui, você pode permitir aplicativos específicos por meio do
firewall, habilitar ou desabilitar o firewall para os diferentes perfis e ajustar as notificações
que o firewall fará. Você também pode entrar na área de Configurações avançadas, que permite
especificar regras mais granulares por Protocolo de Internet (IP), número de porta e assim por
diante.
FIGURA 1-5:
A tela
Ethernet na
seção
Rede e Internet
das Configurações.
FIGURA 1-6:
A tela
Firewall e
proteção de rede
na seção Rede
e Internet de
Configurações.
Discar
Ao clicar no link Dial-up no menu à esquerda da área Rede e Internet, você pode criar
uma nova conexão se tiver um modem conectado ao seu sistema. Um assistente
orienta você a definir o número para o qual você precisa discar para o serviço.
VPN
Ao clicar no link VPN no menu à esquerda da área Rede e Internet, você pode criar
uma conexão de rede privada virtual (VPN) (consulte a Figura 1-7).
Por padrão, o único provedor de VPN disponível é integrado ao Windows. Você precisa
nomear a conexão e, em seguida, informar o endereço do servidor VPN ao qual está
se conectando.
Windows
Visão
geral
do Servidor
Rede
2022
FIGURA 1-7:
A tela VPN em Rede
e
seção de internet
de Configurações.
Proxy
Ao clicar no link Proxy no menu à esquerda da área Rede e Internet, você pode definir
as configurações de proxy — o que você precisará fazer se sua organização usar um
servidor proxy (consulte a Figura 1-8). Se você estiver usando um script de configuração
automática, poderá ativar as opções Detectar configurações automaticamente e Usar
script de configuração.
FIGURA 1-8:
A tela Proxy na
seção Rede e
Internet das
Configurações.
Se precisar definir as coisas manualmente, você pode usar a seção “Manual Proxy
Setup” para especificar o endereço IP e a porta do servidor proxy.
Configurando TCP/IP
Transmission Control Protocol/Internet Protocol (TCP/IP) é um conjunto completo de
protocolos que permite que os dispositivos se comuniquem em uma rede. Trabalhar
com a configuração TCP/IP em seu servidor é uma das tarefas básicas que se espera
que você saiba como administrador de sistema.
Antes de explicar como configurar o TCP/IP, preciso que você entenda alguns termos:
• IPv4: Um endereço de 32 bits que identifica um sistema em uma rede IPv4 (por
exemplo, 192.168.10.10)
• IPv6: um endereço de 128 bits que identifica um sistema em uma rede IPv6 (por
exemplo, FE80:0000:0000:0000:0202:B2EF:FC4B:5749)
» Domain Name System (DNS): traduz nomes de host em endereços IP usando zonas de
pesquisa direta e endereços IP em nomes de host com pesquisa reversa
zonas.
Agora que você conhece os termos-chave, vamos atribuir um endereço IP a um sistema. Siga
estas etapas para percorrer as configurações que você pode alterar:
1. Clique com o botão direito do mouse no menu Iniciar e escolha Conexões de rede.
FIGURA 1-9:
Selecionando com
qual protocolo de
rede você
deseja trabalhar
na caixa de
diálogo
Propriedades do adaptador.
FIGURA 1-10:
Definido estaticamente
IP e DNS
configurações do servidor
são comuns
em servidores
servindo
infraestrutura crítica
Serviços.
FIGURA 1-11:
O Avançado
A caixa de diálogo
Configurações de TCP/
IP permite executar
configurações mais avançadas
configuração
tarefas.
A guia Configurações de IP pode ser usada para adicionar, editar ou remover endereços IP ou gateways.
A guia DNS permite adicionar, editar ou remover servidores DNS. (A tela de configuração básica
permite que dois servidores sejam configurados, mas nesta guia você pode configurar servidores
adicionais se precisar.) Se estiver usando WINS, a guia WINS permite especificar servidores WINS que
estão disponíveis no rede.
Entendendo o DHCP
O Dynamic Host Configuration Protocol (DHCP) torna sua vida mais fácil atribuindo automaticamente
um endereço IP a um sistema. Ele gerencia endereços que estão em uso e garante que endereços IP
duplicados nunca sejam emitidos. Por padrão, um endereço é alugado por oito dias, momento em que a
concessão pode ser renovada ou o endereço IP pode ser reatribuído a outro sistema.
Windows
Visão
geral
do Servidor
Rede
2022
Automatizar o provisionamento de endereços IP é desejável, mas haverá casos em que você precisará
definir um endereço IP estático que não será alterado. Os sistemas que hospedam os principais serviços
de infraestrutura, como DNS, DHCP e Active Directory, devem ter endereços IP estáticos. Você ainda
pode gerenciar os endereços IP estáticos no DHCP definindo uma reserva para que o endereço IP seja
contabilizado, mas o DHCP não o emitirá novamente.
O DHCP pode fornecer configuração além de simplesmente emitir endereços IP. Ao usar as opções de
DHCP, você pode definir coisas como o gateway padrão, os servidores de nomes para uma rede,
servidores de imagem disponíveis e muito mais.
Então, como funciona o DHCP? Uma das maneiras mais fáceis de lembrar é com a sigla DORA ; DORA
significa Descobrir, Oferecer, Solicitar e Reconhecer:
1. Descubra.
Um cliente DHCP solicita um endereço IP enviando uma mensagem DHCPDiscover para sua
sub-rede local como uma transmissão.
2. Oferta.
O servidor DHCP faz uma oferta ao cliente usando uma mensagem DHCPOffer, que
contém o endereço IP e as informações de configuração, incluindo o tempo de concessão.
3. Pedido.
O cliente DHCP transmite um DHCPRequest para indicar que aceitou o que foi enviado.
4. Reconheça.
Como último passo, o servidor DHCP transmite uma mensagem DHCPAck, que permite
ao cliente saber que a concessão foi finalizada.
O DHCP usa as portas UDP/67 e UDP/68. UDP/67 é usado como porta de destino no servidor DHCP e
UDP/68 é usado pelo cliente DHCP.
Definindo DNS
Domain Name System (DNS) é o serviço usado para mapear nomes amigáveis como www.dummies.com
para um endereço IP, que é como um computador endereça locais.
Você precisa entender alguns termos para entender como o DNS divide os endereços:
» Domínio de primeiro nível: O domínio de primeiro nível é utilizado para indicar o país de
origem ou o tipo de organização. Por exemplo, uma organização comercial pode
usar .com ou um site no Brasil pode usar .br. Os domínios comuns de nível superior
incluem
• .com (comercial)
• Códigos de país como .us, .br, .tk, .cn e assim por diante
Zonas no DNS são usadas para separar limites administrativos dentro de um namespace DNS
comum (como sometestorg.com). Vários subdomínios podem existir na mesma zona e várias
zonas podem existir no mesmo servidor DNS. Por exemplo, posso ter três subdomínios:
hr.sometestorg.com, sales.sometestorg.com e legal.sometestorg.com. Meus subdomínios RH e
Vendas são gerenciados pelo mesmo grupo de pessoas, portanto, estão na mesma zona. Meu
domínio jurídico é gerenciado por um grupo diferente de pessoas, portanto, está em sua própria
zona. Cada zona armazena suas informações em um arquivo de zona DNS. O arquivo de zona
DNS contém todos os registros existentes na zona.
Os registros DNS são armazenados em zonas DNS. Existem vários tipos de registros DNS que
você pode encontrar em uma zona, e o tipo de registro define que tipo de registro você está usando.
Os subdomínios, por exemplo, são normalmente definidos por um registro A. A Tabela 1-1 lista os
tipos de registro DNS comuns.
Windows
Visão
geral
do Servidor
Rede
2022
SOA Start of Authority define o nome do servidor DNS primário, intervalos de atualização
e configurações de tempo de vida.
A ou AAAA Os registros A são registros de host para endereços IPv4; Os registros AAAA são
registros de host para endereços IPv6. Este registro fornece um mapeamento de um
nome de host para um endereço IP.
CNAME CNAMEs são usados para criar um registro de alias. Por exemplo,
você pode ter server1.example.com, mas deseja que as pessoas
usem o nome www.myawesomesite.com. Você pode fazer isso
criando um CNAME com o URL desejado e apontar o CNAME para o
registro A de server1.example.com.
Agora que você sabe de tudo isso, deve estar se perguntando: “Mas como funciona o DNS?” A
resposta simples: consultas de DNS. Quando um cliente DNS precisa resolver um registro, ele
envia uma consulta DNS para um servidor DNS local. Se esse servidor souber o endereço, ele
responderá com o endereço IP. Se não souber o endereço, pode consultar outro servidor.
Vamos usar o seguinte exemplo: Você deseja acessar www.dummies.com porque não é um idiota.
Você digita o endereço em seu navegador e nos bastidores, é isso que acontece:
2. O servidor local não sabe, então envia uma consulta ao servidor raiz para
obtenha um servidor DNS autoritativo para .com.
5. A partir daí, o servidor local pode consultar o servidor DNS dummies.com para
www.dummies.com, e receberá um endereço IP válido como resposta à consulta original.
Tudo isso acontece em poucos segundos que você leva para acessar o site. A resposta é
armazenada em cache pelo cliente DNS por quanto tempo o tempo de vida (TTL) for definido,
para que solicitações futuras possam ser respondidas pelo cache no sistema local, em vez de
ter que passar pelas consultas novamente.
O DNS usa a porta 53 para se comunicar. Consultas DNS regulares são feitas em UDP/53; no
entanto, consultas maiores, como consultas IPv6 e DNSSEC, precisam de TCP/53. O TCP/53
também é usado para transferências de zona, razão pela qual foi historicamente bloqueado
por organizações no firewall. No entanto, se sua organização planeja usar IPv6 ou DNSSEC,
você precisa permitir.
2. Clique com o botão direito do mouse em Zonas de pesquisa direta e clique em Nova zona.
Na tela Zone Type, você será solicitado a marcar a caixa de seleção Store the Zone in
Active Directory. Você deve estar em um controlador de domínio gravável para selecionar
esta opção. Sugiro selecionar isso para obter a tolerância a falhas das zonas integradas
do Active Directory.
6. Clique em Avançar.
Na tela Dynamic Update, você tem três opções. Se você optou por armazenar a zona DNS no
Active Directory, todas as três opções estarão disponíveis. Se você optar por não armazenar a
Windows
Visão
geral
do Servidor
Rede
2022
zona DNS no Active Directory, não poderá selecionar Permitir apenas atualizações dinâmicas
seguras.
FIGURA 1-12:
Selecionar o
escopo de
replicação para a
nova zona é
importante; neste
caso, o escopo
está no nível do domínio.
Se você seguiu essas etapas, sua tela deve ser semelhante à Figura 1-13.
Você pode ver a nova zona para o subdomínio de legal.sometestorg.com.
FIGURA 1-13:
O jurídico.
A zona
sometestorg.com
fornece
um limite
administrativo
separado da zona sometestorg.
zona com.
» O DNS ajuda os sistemas na rede a localizar um controlador de domínio usando registros localizadores, que
ajudam as estações de trabalho e servidores fornecendo a localização dos controladores de domínio.
Sem os registros do localizador, seus sistemas não seriam capazes de autenticar, porque não teriam
um local para enviar o tráfego de autenticação.
» Os controladores de domínio dependem do DNS para encontrar outros controladores de domínio para replicar
seus dados de zona para.
importante, aceita alterações e adições aos registros de zona. Os servidores DNS secundários
podem atender a consultas, mas não podem aceitar adições ou alterações nos registros da
zona. Eles contêm uma cópia somente leitura da zona que é copiada do servidor DNS primário.
Se o servidor DNS primário da zona ficar inativo, você poderá promover o servidor DNS
secundário da zona a primário. Este não é um processo automático — como administrador do
servidor, você deve iniciá-lo.
Se estiver usando zonas DNS integradas ao Active Directory, você será automaticamente
tolerante a falhas. As zonas DNS integradas ao Active Directory armazenam seus registros no
Active Directory. Os servidores DNS considerados autoritativos para essas zonas existem em
uma configuração multimestre. Se um dos servidores DNS caísse, os outros servidores DNS
continuariam a atender às consultas sem problemas.
Lembre-se de que, para ser tolerante a falhas, você precisa de pelo menos dois servidores
DNS com autoridade para a zona integrada do Active Directory.
Windows
Visão
geral
do Servidor
Rede
2022
NESTE CAPÍTULO
» Gerenciando e configurando
conexões de rede no Windows Server
Capítulo 2
Desempenho Básico
Tarefas de rede
Neste capítulo, abordo como fazer a configuração básica em uma placa de interface de
rede e me aprofundar em algumas outras coisas legais que você pode fazer com a rede
no Windows Server 2022.
1. Clique no menu Iniciar e, em seguida, clique no ícone de engrenagem para abrir o menu Configurações.
Ao selecionar o adaptador de rede, você tem várias opções que aparecem em uma
barra na parte superior da tela, conforme mostrado na Figura 2-1:
FIGURA 2-1:
Trabalhando com as
propriedades de
um adaptador de rede.
Também há opções se você clicar com o botão direito do mouse no adaptador de rede. A
maioria das opções corresponde ao que apareceu na barra superior quando você selecionou o
adaptador de rede, com exceção de Bridge Connections, que permite unir dois adaptadores de
rede para que o sistema operacional os veja como um único adaptador de rede.
Supondo que você deseja configurar o adaptador de rede, você pode clicar com o botão direito
do mouse no adaptador e escolher Propriedades ou selecionar Alterar configurações desta
conexão na barra superior quando o adaptador de rede for selecionado. Depois de abrir a caixa
de diálogo Propriedades do adaptador de rede, você deverá ver algo parecido com a Figura 2-2.
FIGURA 2-2:
A caixa de
diálogo Desempenho
Básico Tarefas
rede
de
Propriedades da rede
adaptador
permite alterar a
configuração do
adaptador de rede.
Alguns dos itens na caixa de diálogo Propriedades do adaptador de rede só podem ser
desinstalados, enquanto outros podem ser configurados por meio do botão Propriedades. Além
disso, você pode instalar novos recursos de rede clicando no botão Instalar.
Conectando-se à Internet
Em algumas redes (como uma rede doméstica, por exemplo), você conecta seu computador
a um roteador ou switch conectado a um modem a cabo e a configuração é automática.
Você é capaz de acessar a Internet em poucos minutos. Se você verificasse seu endereço
IP, teria um dos endereços IP internos não roteáveis, de um dos intervalos mostrados na
Tabela 2-1.
172.16.0.0/12 172.16.0.0–172.31.255.255
192.168.0.0/16 192.168.0.0–192.168.255.255
Em uma organização, você pode ter algum tipo de proxy entre você e a Internet. Os proxies
podem atuar como uma combinação de um firewall e um filtro da web; eles podem proteger
seu sistema de tráfego perigoso, bem como bloquear sites maliciosos conhecidos. Para
configurar um proxy, siga estas etapas:
1. Clique no menu Iniciar e, em seguida, clique no ícone de engrenagem para acessar as Configurações
cardápio.
3. Clique em Proxy.
Em uma organização, se você estiver usando um proxy, provavelmente terá um script de configuração.
5. Clique em Salvar.
FIGURA 2-3:
Configurando um script
de proxy para Internet
acesso em um
Servidor Windows.
pelas quais pode ser uma boa solução, dependendo do seu caso de uso:
» Talvez você tenha uma linha telefônica tradicional, mas DSL não é oferecido em sua área.
» Talvez você precise de acesso à Internet, mas precisa que seja o mais barato possível
possível (o acesso discado custa aproximadamente US$ 20 por mês).
Seja qual for o motivo, se você precisar usar uma conexão dial-up, veja como configurá-
la:
4. Escolha Dial-up.
Sua tela deve ser semelhante à Figura 2-4, embora, por razões óbvias, as entradas não
coincidam.
9. Clique em Criar.
FIGURA 2-4:
Configurar
uma
conexão dial-
up no Windows
Server 2022 é
simples se
você tiver as
informações do seu ISP.
Se o seu local de trabalho usa uma VPN para se conectar, você pode usar o cliente VPN do
Windows integrado. Veja como configurar isso:
1. Clique no menu Iniciar e, em seguida, clique no ícone de engrenagem para acessar as Configurações
cardápio.
3. Selecione VPN.
Sua tela deve ser semelhante à Figura 2-5, embora seus campos tenham dados diferentes.
Desempenho
Básico Tarefas
rede
de
FIGURA 2-5:
Configurando
uma VPN para
acesso remoto
com o cliente VPN
do Windows integrado.
O endereço IP é o endereço dado a um sistema. É como outros sistemas na rede irão abordar o
seu sistema.
A máscara de sub-rede identifica qual parte do endereço é um endereço de rede e qual parte do
endereço é um endereço de host. Por exemplo, 172.22.0.0/16 tem uma máscara de sub-rede de
255.255.0.0. O /16 é conhecido como notação Classless Inter-Domain Routing (CIDR) e informa
quantos bits a parte de rede do endereço ocupa. Todos os outros sistemas nesta mesma rede
terão endereços IP que começam com 172.22.xx, e o x refere-se à parte do host do endereço
que será diferente de sistema para sistema.
O gateway padrão é o endereço IP usado por um sistema para alcançar sistemas em outras
redes.
Vamos conhecer um pouco do IPv4 e do IPv6 e ver como você pode configurar cada um.
Para começar, você precisa abrir a caixa de diálogo Propriedades do adaptador de rede para
qualquer adaptador de rede com o qual deseja trabalhar. Aqui estão as etapas para acessar a
caixa de diálogo Propriedades:
1. Clique no menu Iniciar e, em seguida, clique no ícone de engrenagem para abrir as Configurações
cardápio.
5. Clique com o botão direito do mouse no adaptador de rede desejado e escolha Propriedades.
IP Versão 4
Os endereços IP versão 4 (IPv4) são endereços de 32 bits. Cada número representa 8 bits em
binário — por exemplo, 255 é representado como 1111 1111.
Para configurar um endereço IPv4 estático, selecione Internet Protocol Version 4 (TCP/IPv4) e
clique em Properties. Por padrão, isso é definido como Obter um endereço IP automaticamente e
Obter endereço do servidor DNS automaticamente. Você pode selecionar Usar o seguinte
endereço IP e preencher o endereço IP, a máscara de sub-rede e o gateway padrão na metade
superior da caixa de diálogo. Em seguida, selecione Usar os seguintes endereços de servidor
DNS e preencha os servidores DNS preferenciais na parte inferior e clique em OK. Consulte a
Figura 2-6 para obter um exemplo.
FIGURA 2-6:
As propriedades do Desempenho
Básico Tarefas
rede
de
IP versão 6
Os endereços IPv4 estão em uso há algum tempo e foi reconhecido que eventualmente não
haveria mais endereços IPv4 públicos disponíveis. O último endereço IPv4 público disponível no
Registro Americano para Números da Internet (ARIN) foi emitido em setembro de 2015. O IP
Versão 6 (IPv6) foi criado para resolver o problema da falta de endereços IPv4. Em vez de um
endereço curto de 32 bits, os endereços IPv6 têm um endereço de 128 bits muito mais longo. O
endereço é composto por 8 grupos de 16 bits, separados por dois pontos.
Para configurar um endereço IPv6 estático, selecione Internet Protocol Version 6 (TCP/IPv6) e
clique em Properties. Por padrão, isso é definido como Obter um endereço IP automaticamente
e obter o endereço do servidor DNS automaticamente. Você pode selecionar Usar o seguinte
endereço IPv6 e preencher o endereço IP, a máscara de sub-rede e a porta padrão na metade
superior da caixa de diálogo. Em seguida, selecione Usar os seguintes endereços de servidor
DNS e preencha os servidores DNS preferenciais na parte inferior da caixa de diálogo e clique
em OK. Consulte a Figura 2-7 para obter um exemplo.
FIGURA 2-7:
As propriedades do
IPv6 são definidas por
meio da rede
caixa de
diálogo
Propriedades do adaptador.
O novo protocolo agora aparece na lista de protocolos instalados, conforme mostrado na Figura
2-8.
FIGURA 2-8:
É simples
instalar clientes,
serviços e
protocolos como o
Multicast confiável
Protocolo.
Tenha cuidado ao desinstalar recursos de rede. Desinstalar a coisa errada, como Client for
Microsoft Networks, pode ter resultados muito ruins.
Desempenho
Básico Tarefas
rede
de
Você se lembra de como instalamos o Reliable Multicast Protocol na seção anterior? Vamos
desinstalar isso agora:
2. Clique em Desinstalar.
Você obtém uma caixa de diálogo solicitando que você confirme se deseja desinstalá-lo.
3. Clique em Sim.
NESTE CAPÍTULO
Capítulo 3
Realizando Avançado
Tarefas de rede
mas saber como configurar alguns dos serviços mais avançados pode ser
Saber muito
como importante
configurar o básico da
também. rede do
Embora Windows
a rede Server
forneça é uma
acesso obrigação,
aos recursos, às vezes
você precisa permitir o acesso remoto ou configurar o acesso para dispositivos de rede
para aproveitar sua infraestrutura do Active Directory (AD) para autenticação.
Neste capítulo, explico como configurar os Serviços de Área de Trabalho Remota (RDS) e
explico o que é necessário para configurá-los corretamente. Também discuto a instalação do
componente Network Policy Server (NPS) da função Remote Access Service (RAS), que
permite que os dispositivos de rede aproveitem um protocolo chamado RADIUS, que por sua
vez permite a autenticação no AD, mesmo que o próprio dispositivo não seja AD -consciente.
para se conectar a um sistema remoto e visualizar a área de trabalho, como se você tivesse o
console real do servidor ativado. Para permitir a Área de Trabalho Remota, você precisa ativá-la
no servidor e deve permitir TCP e UDP 3389 se houver um firewall entre você e o servidor para o
qual deseja fazer o RDP.
Usando o RDS, você pode fornecer aos seus usuários seus próprios desktops virtuais para
trabalhar. Isso é ótimo para aplicativos em que a instalação é complicada ou cara e simplifica as
atualizações porque você só precisa atualizar o aplicativo no servidor, não em vários PCs. Você
também pode usar o RDS for RemoteApps, que permite executar um aplicativo no servidor, mas
apresentar o aplicativo ao usuário como se estivesse instalado em sua área de trabalho.
3. Na tela Select Installation Type, selecione Remote Desktop Services Installation, conforme
mostrado na Figura 3-1, e clique em Next.
6. Na tela Select a Server, o servidor em que você está já está selecionado, então basta clicar
em Next.
Você vê uma tela de progresso à medida que a função é instalada (consulte a Figura 3-2). Quando a função é instalada,
o servidor é reinicializado.
FIGURA 3-1:
A seleção de Serviços
de Área de Trabalho
Remota é
diferente das
etapas
usuais para instalar uma função.
Tarefas
rede
de
Realizando
Avançado
FIGURA 3-2:
Instalando a
função RDS em
um único servidor
por meio da
instalação do Quick Start.
1. Faça logon em um sistema que tenha as ferramentas RSAT instaladas para o Active Directory.
5. Clique na guia Perfil de Serviços de Área de Trabalho Remota (consulte a Figura 3-3).
FIGURA 3-3:
Configurando o
perfil de um
usuário para tirar total
vantagem do
A funcionalidade RDS
envolve um
perfil de roaming e
mapeando uma
unidade doméstica.
• Pasta Inicial dos Serviços de Área de Trabalho Remota: define a unidade inicial do
usuário quando ele faz login em uma sessão no RDS.
• Negar permissões a este usuário para fazer logon na sessão de área de trabalho remota
Host Server: Marcar esta caixa bloqueia a conexão do usuário por meio do RDS,
independentemente de fazer parte de um grupo de segurança que permita isso.
Configurando aplicativos
Uma das coisas realmente úteis sobre o RDS é a capacidade de publicar aplicativos. Você
pode publicá-los na área de trabalho de um usuário ou pode querer disponibilizá-los por
meio do RD Web Access. Existem motivos comuns para compartilhar aplicativos por meio
do RDS. Aplicativos que dependem de versões antigas de Java ou Flash ou Internet
Explorer, por exemplo, são ótimos candidatos a esse serviço. Ao usar o RDS para oferecer
suporte a esse aplicativo legado, você só tem a versão antiga do software instalada em um
sistema, em vez de todos os sistemas nos quais os usuários precisam usar o aplicativo
legado. Isso reduz a quantidade de software vulnerável em sua rede. O Windows Server
2022 tem três aplicativos já compartilhados por padrão (supondo que você tenha implantado
com o método Quick Start — consulte “Instalando serviços de área de trabalho remota”,
anteriormente neste capítulo): Calculadora, Paint e WordPad. Digamos que a empresa não
queira que os usuários trabalhem com o WordPad por meio do RDS; em vez disso, deseja
que os usuários trabalhem com o Notepad++. Você pode instalar o Notepad++ no servidor
e configurá-lo para ser usado no RDS. Nesse caso, você seguiria estas etapas:
2. No Gerenciador do Servidor, clique no menu lateral onde diz Área de Trabalho Remota
Serviços.
Programas RemoteApp.
8. Clique com o botão direito do mouse no aplicativo recém-adicionado e escolha Editar propriedades.
FIGURA 3-4:
Adicionar
um programa
não Windows à
lista de programas
RemoteApp
disponíveis
é simples, desde
que você saiba
onde está o executável.
Por padrão, todos têm acesso ao novo aplicativo. No entanto, você pode alterar isso
selecionando Somente usuários e grupos especificados.
Isso é tudo para configurar um aplicativo e disponibilizá-lo para seus usuários com o RDS.
Você pode controlar quais aplicativos são visíveis no RD Web Access na mesma tela em que
publica novos aplicativos. Por padrão, eles são publicados no Acesso via Web RD quando você
os publica no Servidor RDS. Se não quiser que um aplicativo esteja no Acesso via Web RD,
você pode editar as propriedades do aplicativo. A guia Geral tem uma área intitulada Mostrar o
Programa RemoteApp no Acesso via Web RD. Basta alterar o botão para Não e clicar em OK
para removê-lo.
Antes de poder acessar a página RD Web Access, você precisa configurar um certificado
Secure Sockets Layer (SSL). Nas versões anteriores do Windows Server, um certificado
autoassinado era criado automaticamente e você podia simplesmente ignorar os avisos
de certificado. Um certificado autoassinado não é mais criado por padrão, portanto,
vamos criar um e anexá-lo ao serviço RDWeb. Siga esses passos:
Como alternativa, você pode clicar em Selecionar certificado existente se tiver um certificado
emitido pelo sistema PKI (Public Key Infrastructure) corporativo.
7. Para o nome do certificado, você precisa inserir um nome de domínio totalmente qualificado
(FQDN).
9. Marque a caixa de seleção Armazenar este certificado e escolha um local para salvar
o certificado.
Suponho que, se você estiver lendo e tiver feito essa configuração, deseja jogar com o
RD Web Access. Abra seu navegador da web (em um sistema que não seja o servidor
da web RD) e digite o endereço do seu servidor da web RD. No meu caso, o endereço
é https:// server2022-svr2.sometestorg.com/RDWeb.
Você pode obter um erro devido a um certificado não confiável. Isso é esperado porque o certificado é
autoassinado se você escolheu criar um certificado nas instruções anteriores. Você pode desconsiderar esta
mensagem com segurança por enquanto. Depois de inserir o endereço, você deverá ver uma tela semelhante
à Figura 3-5.
FIGURA 3-5:
A tela de logon
do RD Web
Access é
simples e elegante.
Ao fazer login no RD Web Access, você vê todos os aplicativos publicados para os quais tem permissão. Se
você estava acompanhando a seção anterior e instalou o aplicativo Notepad++, verá o ícone do Notepad++ na
lista. Clique nesse ícone para iniciar o Notepad++.
Você pode receber uma mensagem informando que um site está tentando executar um programa RemoteApp.
Está reclamando porque a Microsoft não reconhece o editor. Como você sabe que o Notepad++ é seguro, vá
em frente e clique em Conectar. Você vê uma caixa de diálogo que diz Iniciando seu aplicativo (consulte a
Figura 3-6). Depois que a conexão remota com o servidor for estabelecida, o aplicativo será aberto como se
estivesse instalado em seu sistema.
FIGURA 3-6:
Quando você
seleciona um
aplicativo no
console do
Acesso
via Web RD,
uma conexão
remota é
estabelecida e o
aplicativo é
aberto como se
estivesse realmente instalado em seu sistema.
• CALs não podem ser rastreadas via grupo de trabalho; eles só podem ser rastreados via Active
Diretório.
Tarefas
rede
de
Realizando
Avançado
• As CALs podem ser atribuídas em excesso (o que permite que você repasse o que está
permitido em seu contrato de licenciamento).
Você precisa ter um servidor de licenciamento ativo para poder atribuir licenças. Acho estranho que esta
peça não seja instalada com os outros componentes para RDS. Veja como instalar a função de
licenciamento em seu servidor RDS:
5. Clique em Fechar.
Agora que o Licenciamento RD está instalado, o sinal de mais foi substituído por um ícone de faixa de
opções, conforme mostrado na Figura 3-7.
8. Clique em OK.
FIGURA 3-7:
Clique no sinal de adição
para instalar a função
de licenciamento RD.
Agora que o servidor de licenciamento está instalado, veremos como adicionar uma licença ao
Servidor RDS:
2. Clique com o botão direito do mouse no nome do servidor e escolha Ativar servidor.
6. Ignore a próxima tela porque ela está solicitando informações opcionais adicionais
— basta clicar em Avançar.
7. Clique em Concluir.
Agora que seu servidor RDS está ativado, você pode instalar suas CALs.
4. Digite as informações do seu programa de licença (um código de licença, código de contrato/
autorização ou algo parecido) e clique em Avançar.
Seu servidor RDS agora está instalado e licenciado. Seus usuários podem se conectar a sessões de
Tarefas
rede
de
Realizando
Avançado
área de trabalho remota e fazer seu trabalho como se estivessem sentados em frente a uma área de
trabalho no escritório. Ou talvez eles possam acessar um aplicativo herdado que historicamente teve
dificuldade em executar em seus desktops normais. Configurar o RDS não é uma tarefa pequena ou
simples, mas é um serviço muito útil para atender às necessidades do seu negócio.
Primeiro, você precisa instalar o NPAS. Então eu apresento o NPS e explico o que você pode
fazer com isso.
Antes de usar um servidor RADIUS totalmente novo para autenticação no Active Directory, você
precisa registrá-lo. Esta é uma etapa muito importante que muitas vezes é perdida ao configurar
um servidor RADIUS. Aqui estão as etapas para registrar seu servidor RADIUS:
2. Clique com o botão direito do mouse em NPS (Local) e selecione Registrar Servidor no Active Directory.
3. Clique em OK.
4. Clique em OK.
Isso é tudo. É uma etapa muito simples, mas crucial que muitas vezes é perdida.
este cenário, digamos que você tenha um switch Cisco. Você está se conectando ao switch
localmente, mas deseja configurar uma fonte central de autenticação para que não precise se
lembrar de um nome de usuário e senha para cada switch em seu ambiente. A configuração do
switch para apontar para o servidor RADIUS está fora do escopo deste livro, mas a configuração
do cliente não. Veja como configurar o cliente RADIUS para um switch Cisco:
Tarefas
rede
de
Realizando
Avançado
7. Clique em OK.
FIGURA 3-8:
A guia
Configurações
é onde a maior
parte da
configuração
ocorre para um cliente RADIUS.
2. Expanda Políticas.
Nesse caso, nomeei a política Admins. de domínio para comutadores de rede e deixei o tipo de servidor de acesso à
5. Clique em Avançar.
Você pode ver na Figura 3-9 minha nova política de permissão sobre as políticas de negação. Se Realizando
Avançado
Tarefas
rede
de
uma conexão de entrada não corresponder à minha política, ela será negada automaticamente.
FIGURA 3-9:
Uma política de rede
que permite o
tráfego precisa ter o
número de
processamento mais
baixo para que seja
processada antes das
políticas de negação padrão.
Existem várias combinações diferentes que você pode usar com os parâmetros.
Por exemplo, vejamos uma verificação básica para garantir que você consiga se conectar a
uma porta remota. Abra o PowerShell e digite o seguinte comando:
Este comando testa para ver se você pode fazer uma conexão pela porta 443 (HTTPS) e
fornece uma saída detalhada dos resultados, conforme mostrado na Figura 3-10.
-Porta Usado para testar a conectividade remota com um servidor de destino. Você especifica um
número de porta TCP e ele testa a conexão.
-InformationLevel Existem dois valores que você pode usar com este parâmetro: Detailed retorna um pouco de
informação e Quiet retorna informações básicas.
-TraceRoute Executa o tracert no sistema de destino. O Tracert exibe cada salto até chegar ao seu destino.
FIGURA 3-10:
você pode testar
conectividade básica
com apenas alguns
parâmetros
adicionados ao
cmdlet
Test NetConnection .
O teste anterior verifica a conectividade básica. Imagine este cenário: seus usuários
reclamaram que, quando estão em suas sessões de área de trabalho remota, não
conseguem acessar um determinado site. Eles dizem que podem acessar o site quando
Tarefas
rede
de
Realizando
Avançado
usam seus sistemas regulares. no entanto. Você pode tentar o teste básico de conectividade
novamente, mas desta vez especifique um destino. Eu usei o endereço www.dummies.com
para o meu exemplo.
Se esse comando for bem-sucedido, o campo TcpTestSucceeded dirá True. Se for esse o
caso, a conexão com o site é boa. Se o campo TcpTestSucceeded disser False, você pode ter
um problema de roteamento. Você pode confirmar se este é um problema de roteamento ou
não com o parâmetro -TraceRoute .
O comando anterior executa um TraceRoute e mostra cada salto ao longo do caminho até o
destino. Se o TraceRoute não for bem-sucedido, provavelmente há um problema de
roteamento ou seu provedor de serviços de Internet (ISP) pode estar tendo problemas.
Como última etapa, você pode executar diagnósticos de roteamento para ver se há algum
problema com o roteamento para o site de destino. Você pode executar diagnósticos de
roteamento com o parâmetro -DiagnoseRouting . O comando se parece com isso:
Como você pode ver, esse comando pode fornecer muitas informações e ajudar em seus
esforços de solução de problemas. Você poderá encontrar a origem do problema e resolver os
problemas de conectividade de rede mais rapidamente.
NESTE CAPÍTULO
Capítulo 4
Diagnosticando e
Reparando rede
Problemas de Conexão
Nunca falha:
saindo, vocêé recebe
sexta-feira
uma eligação
você está se preparando
informando para
que há um voltar para
problema casa.
de rede em Assim comode
um ou mais você
seusé
servidores. Talvez seus sistemas estejam inativos. Talvez eles estejam intermitentemente para
cima e para baixo. Sua missão, caso decida aceitá-la (você tem escolha?), é encontrar o problema e
corrigi-lo.
Este capítulo aborda alguns dos recursos integrados de solução de problemas do sistema operacional
e alguns dos problemas de configuração mais comuns que você pode enfrentar com sistemas novos
e antigos.
FIGURA 4-1:
As janelas
Rede
A tela de
diagnóstico é um
assistente que
ajuda a
diagnosticar e reparar problemas.
Existe um método adicional para iniciar uma ferramenta de solução de problemas específica da Internet.
Esta ferramenta não está focada em problemas de rede interna. Ele é focado especificamente em
problemas de conectividade com a Internet. Para acessar a ferramenta de solução de problemas de
conexões com a Internet, siga estas etapas:
Diagnosticando
Reparando
e Problemas
conexão
rede
de
O utilitário Troubleshoot é executado e permite que você saiba se encontrar alguma coisa.
FIGURA 4-2:
O Adicional
O link de solução de
problemas contém
muitas
ferramentas de solução
de problemas,
incluindo uma que pode
ajudar com
problemas de
conectividade com a Internet.
4. Clique com o botão direito do mouse no adaptador de rede que deseja verificar e selecione Diagnosticar.
FIGURA 4-3:
O
Diagnóstico
de Rede do
Windows pode
diagnosticar muitos
problemas, incluindo
adaptadores de rede desabilitados.
Obviamente, só porque um sistema está com problemas de rede, isso não significa que haja
um problema de software. Problemas de hardware podem ser mais difíceis de rastrear porque o
utilitário de solução de problemas não será realmente capaz de ajudar. Aqui estão alguns problemas
comuns que podem afetar as conexões de rede em um sistema:
» Cabo ruim: os cabos Ethernet têm um pedaço de cobre passando pelo meio do cabo. O
Diagnosticando
Reparando
e Problemas
conexão
rede
de
cabo de fibra ótica tem fibras de vidro ao longo do comprimento do cabo. Se o meio
usado para transmissão estiver danificado, você perderá suas conexões. Procure
dobras no cabo e dobras acentuadas. Procure áreas onde o cabo parece ter sido
esticado. A solução para esse problema é substituir o cabo danificado.
» Switchport com defeito: O switchport ao qual o sistema está conectado pode estar com
problemas. Às vezes, as portas podem ficar com defeito ou um administrador de rede
pode ter desligado a porta por engano. Para verificar se esse é o problema, peça
ao administrador da rede para verificar se a porta está ativa. Se não estiver,
peça ao administrador da rede para reativá-lo. Se a porta estiver ativa, mas não estiver
funcionando, você pode mover o cabo para uma porta de rede diferente no switch
assim que o administrador da rede o configurar para você.
» NIC ruim: Se sua NIC apresentar problemas, você precisará substituí-la. Infelizmente,
isso significa que seu sistema precisará ser desligado para que você possa
substituir o cartão.
ipconfig /release
ipconfig /renovar
ipconfig /flushdns
» ping: O comando ping fornece um feedback simples. Ele permite que você saiba como
quantos pacotes enviou, quantos pacotes recebeu e qual foi a latência entre o envio e o
recebimento. Por padrão, o ping enviará quatro pacotes, mas você pode ajustar o número
de pings ou torná-lo um ping contínuo, se necessário. (Consulte a Figura 4-4 para obter
um exemplo de ping.)
» telnet: Pode ser usado para testar se uma determinada porta está aberta. Você precisa ter o
Cliente Telnet instalado para que isso funcione. Sua equipe de segurança pode não gostar de
encontrar o Telnet em um sistema, portanto, certifique-se de não violar a política da empresa ao
instalá-lo. Muitos sistemas foram configurados para não exibir banners — se você não receber
um erro, provavelmente conseguiu se conectar a qualquer recurso que deseja testar.
Diagnosticando
Reparando
e Problemas
conexão
rede
de
FIGURA 4-4:
O utilitário ping
fornece
uma leitura
simples e pode
apontar um
problema entre
uma origem e um destino.
Quando o Firewall do Windows bloquear algo, você verá uma mensagem semelhante à Figura 4-5.
FIGURA 4-5:
O Visualizador de
Eventos pode
mostrar quando o
Firewall do
Windows bloqueou um pacote de entrada.
Se você não encontrar nada que tenha sido bloqueado, poderá desativar temporariamente
o Firewall do Windows para ver se isso resolve o problema. Apenas certifique-se de que
isso não seja contra a política organizacional antes de tentar.
1. Clique no menu Iniciar, role para baixo até Sistema Windows e escolha
Prompt de comando.
2. Digite o seguinte comando e pressione Enter.
1. Clique no menu Iniciar, role para baixo até Sistema Windows e escolha
Prompt de comando.
2. Digite o seguinte comando e pressione Enter.
O hardware do servidor geralmente é bastante confiável. Alguns problemas podem ser causados
por hardware problemático, mas na maioria das vezes o problema decorre de algum tipo de
configuração incorreta.
Nas seções a seguir, oriento você sobre alguns problemas comuns com os quais os administradores
de sistema precisam lidar.
Endereços IP duplicados
Sintoma: Você recebe uma mensagem informando que há um endereço IP duplicado em sua
rede.
Solução: A melhor solução é usar o protocolo DHCP (Dynamic Host Configuration Protocol) para
que os endereços IP sejam atribuídos e rastreados automaticamente. Se você não tiver DHCP
em seu ambiente, tente usar outro endereço IP.
Sintoma: seu sistema consegue se comunicar com outros sistemas na mesma sub-rede, mas não
consegue se comunicar com nada fora da sub-rede.
Solução: defina um endereço de gateway padrão. Isso informará ao sistema para onde enviar o
tráfego se o tráfego não for destinado a um sistema na rede local.
Sintoma: você não consegue resolver nomes como www.dummies.com ou, ao tentar ingressar
em um domínio do Active Directory, recebe uma mensagem informando que o nome de domínio
não pode ser encontrado.
Solução: defina os servidores DNS apropriados para sua rede. Isso permitirá que você faça a resolução
interna de nomes. Se o seu sistema for ingressar em um domínio do Active Directory, ele requer uma
entrada válida para um servidor DNS.
Solução: Verifique se o Firewall do Windows Defender está habilitado. Verifique se existe uma regra
que permite o tráfego que deveria estar indo para o aplicativo. É incrível a frequência com que isso é
perdido ao provisionar aplicativos.
Solução: verifique suas configurações de IPv4. É muito fácil digitar incorretamente um endereço IP ou
uma máscara de sub-rede. Se algum deles estiver incorreto, seu sistema não funcionará corretamente.
Alguns utilitários de terceiros podem ser muito úteis para ajudá-lo a encontrar problemas de rede.
A Tabela 4-1 lista alguns dos meus favoritos. Alguns são gratuitos e alguns custam dinheiro. Em
geral, os produtos gratuitos podem não ter suporte ou ter suporte limitado, portanto, considere isso se
optar por procurar ferramentas de terceiros.
SolarWinds ipMonitor A partir de US$ 1.570 Oferece um up/down simples e agradável www.solarwinds.com/ip-
console para redes, servidores e aplicativos. monitor
SolarWinds Netflow A partir de US$ 1.072 Analisa os fluxos de rede em busca de www.solarwinds. com/
Analisador de Tráfego problemas e monitora o uso da largura de banda. netflow analisador
de tráfego
Rede SolarWinds A partir de US$ 1.638 Monitora o desempenho da rede e alerta sobre www.solarwinds. com/
Monitor de desempenho problemas. network
performance-monitor
5 Gerenciando
Segurança com
janelas
Servidor 2022
Machine Translated by Google
Resumo do conteúdo
CAPÍTULO 1: Compreendendo a segurança do
Windows Server 2022 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .403
.....
NESTE CAPÍTULO
Capítulo 1
Compreendendo o Windows
Servidor 2022 Segurança
Neste capítulo, abordo os fundamentos da segurança. Pense neste capítulo como uma cartilha de
segurança, com tópicos gerais de segurança primeiro, seguidos por tópicos específicos do Windows
Server (como segurança .NET, segurança de arquivos e pastas e o Windows Security App).
Esta seção aborda os fundamentos da segurança para que você entenda a terminologia que
utilizo neste livro.
FIGURA 1-1:
A tríade CIA é
um dos conceitos
mais básicos
em segurança
da informação.
Veja o que cada um desses termos significa para você como administrador do sistema:
» Integridade: Integridade significa que os dados não foram alterados ou adulterados de forma
alguma. A integridade dos dados pode ser aplicada a dados em repouso ou dados em trânsito.
O controle de versão pode ser útil para reverter alterações acidentais. Alterações
potencialmente maliciosas podem ser detectadas pelo software de monitoramento de integridade
de arquivo, que cria um hash de um arquivo. Se o hash mudar, o arquivo também mudou.
Um hash é uma função matemática executada em um arquivo. Ele cria uma “impressão digital”
exclusiva que mudará se alguma modificação for feita no arquivo a partir do qual foi gerado.
Ao comparar as impressões digitais de dois arquivos (o original e uma cópia, por exemplo),
você pode saber se o arquivo foi modificado.
Autenticação, autorização e
contabilidade
O próximo conjunto de termos que você precisa saber são autenticação, autorização e
contabilidade, coletivamente chamados de triplo A:
Compreendendo
Windows
o Segurança
Servidor
2022
Tokens de acesso
Os tokens de acesso são usados pelo sistema operacional Windows Server para
identificar um usuário que está interagindo com um objeto. O token geralmente contém
o identificador de segurança (SID) do usuário, SIDs para grupos dos quais o usuário é
membro e a origem do token de acesso. Um SID é um valor exclusivo atribuído a um
objeto para identificá-lo. Com usuários, o SID é o que permite alterar o nome do usuário
sem afetar o acesso do usuário. O nome do usuário pode mudar, mas o SID não.
Descritores de segurança
Os descritores de segurança contêm informações úteis relacionadas à segurança de
um objeto que é protegido ou pode ser protegido. Pode incluir o SID para o proprietário do
objeto, listas de controle de acesso que especificam quem tem permissão para acessar o objeto e
quais eventos de acesso devem gerar registros de auditoria.
» Listas de controle de acesso discricionário (DACLs): DACLs são o que a maioria dos
administradores pensam quando perguntados sobre ACLs no Windows Server. As DACLs são
usadas para conceder ou negar acesso com base em uma conta de usuário ou associação de grupo.
Negar entradas sempre tem precedência sobre permitir entradas. Consulte a Figura 1-2 para
obter um exemplo de DACL em uma pasta.
» Listas de controle de acesso do sistema (SACLs): as SACLs não são tão conhecidas quanto as
DACLs. Eles podem ser usados para determinar que tipo de evento deve ser auditado.
Eles podem auditar o acesso bem-sucedido, o acesso com falha ou ambos. No exemplo da
Figura 1-3, estou auditando os sucessos e as falhas de qualquer conta de administrador
de domínio, mas estou registrando apenas as falhas da minha conta ksmith.
FIGURA 1-2:
As listas de
controle de acesso
discricionário podem
ser usadas para
determinar quem deve
ter acesso a uma
pasta ou arquivo.
Compreendendo
Windows
o Segurança
Servidor
2022
FIGURA 1-3:
Usar uma SACL para
auditar o acesso
privilegiado a uma
pasta é simples.
As SACLs estão vazias por padrão, você deve configurar o que deseja auditar.
Se você tiver apenas um ou dois servidores, definir essa configuração manualmente não é tão
ruim. No entanto, se você tiver vários servidores, configurar SACLs rapidamente se tornará
incontrolável. Diretiva de grupo para o resgate!
No meu caso, vou criar um novo Objeto de Diretiva de Grupo (GPO) chamado Servidores de
Arquivos.
4. Clique com o botão direito do mouse no nome do domínio e selecione Criar um GPO neste domínio,
e vincule-o aqui.
Criar seu GPO dessa maneira significa que ele será aplicado a todos os sistemas de domínio.
Embora isso seja bom em um ambiente de demonstração, provavelmente você desejará vincular
o GPO a uma unidade organizacional (OU) que contém os servidores de arquivos.
8. Clique duas vezes em Políticas de auditoria para expandi-lo e, em seguida, clique duas vezes em Objeto
Acesso.
FIGURA 1-4:
Você pode usar
Política de Grupo
para definir
suas SACLs para
organização.
Isso é tudo para configurar a auditoria de arquivos na Diretiva de Grupo. Você também
precisa ativar a auditoria na pasta que deseja monitorar. No servidor de arquivos onde a
pasta está localizada, siga estas etapas:
1. Clique com o botão direito do mouse na pasta na qual deseja ativar a auditoria e escolha
Propriedades.
6. Clique em OK novamente para sair das Configurações de segurança avançadas para <folder_name>
caixa de diálogo.
administrador de sistema. Embora algumas pastas possam ser deixadas abertas para o mundo,
você provavelmente será solicitado a bloquear determinadas pastas ou compartilhamentos para
que apenas algumas pessoas possam acessá-los. No Windows Server, você pode ter um
Sistema de Arquivos NT (NTFS) conflitante e permissões de compartilhamento, o que pode tornar
a solução de problemas de acesso muito mais difícil. Vamos examinar os diferentes tipos de
permissões e como podemos verificar as permissões efetivas.
Versões modernas do Windows Server suportam NTFS, que é o sistema de arquivo padrão que
você vê na maioria dos servidores Windows atualmente. O NTFS fez melhorias significativas em
segurança e confiabilidade e adicionou suporte para volumes maiores.
Com o NTFS, ganhamos a capacidade de definir ACLs, uma grande melhoria em relação aos dias
FAT32. Embora os servidores de arquivos aproveitem as permissões NTFS, eles também podem
usar compartilhamentos. A ideia por trás dos compartilhamentos é fazer com que os usuários
possam acessar um diretório no servidor sem acesso direto ao servidor. Isso é uma grande vitória
para a segurança, mas as permissões efetivas (as permissões combinadas das permissões NTFS
e as permissões de compartilhamento) às vezes podem causar problemas de acesso inesperados.
Permissões NTFS
Editar as permissões NTFS em um arquivo ou pasta é simples: basta clicar com o botão direito do
mouse na pasta ou arquivo cujas permissões você deseja alterar e clicar em Propriedades. Então
clique na guia Segurança (consulte a Figura 1-5). Existem vários níveis diferentes de permissões
em sistemas de arquivos NTFS:
» Controle total: O controle total oferece a capacidade de ler, gravar e executar arquivos em
uma pasta, bem como a capacidade de definir permissões. Ele também permite a
capacidade de excluir arquivos e pastas. Controle total é um nível de permissão
altamente privilegiado e só deve ser concedido àqueles que têm acesso
administrativo.
» Modificar: Permite alterar o conteúdo e/ou títulos de pastas e arquivos e permite deletar
arquivos e pastas.
» Ler e executar: permite abrir arquivos e pastas e iniciar programas, incluindo scripts.
» Listar Conteúdo da Pasta: Permite visualizar os títulos dos arquivos e pastas, mas
não permite abrir os arquivos.
FIGURA 1-5:
você pode definir
permissões de forma
muito granular com a
guia Segurança na
caixa de diálogo
Propriedades do arquivo.
Compartilhar permissões
As permissões de compartilhamento são definidas usando a guia Compartilhamento na caixa de diálogo
Propriedades do arquivo (consulte a Figura 1-5) — basta clicar no botão Compartilhamento avançado e, em
seguida, clicar em Per missões. As permissões de compartilhamento são muito mais simples do que as
permissões NTFS. Você vê algo semelhante à Figura 1-6.
Compreendendo
Windows
o Segurança
Servidor
2022
FIGURA 1-6:
As permissões de
compartilhamento
Alterar ou ler o
acesso aos usuários
ou grupos.
Você tem três níveis simples de permissões que podem ser definidos em um compartilhamento:
» Controle total: permite que você leia, modifique e exclua itens dentro do compartilhamento.
Você também pode alterar as permissões e assumir a propriedade dos arquivos.
» Alterar: permite que você faça tudo o que o Controle Total pode, exceto definir permissões.
» Ler: permite que você visualize arquivos e pastas, mas não edite de qualquer maneira.
Permissões efetivas
Permissões efetivas são aquelas que podem causar problemas. Você pode configurar suas permissões
corretamente, mas um usuário liga e diz que não pode acessar seus arquivos. No Windows Server 2016, a
Microsoft introduziu uma guia Permissões efetivas que permite verificar quais permissões um usuário realmente
terá com base na combinação de permissões NTFS e permissões de compartilhamento.
1. Clique com o botão direito do mouse na pasta que deseja verificar e selecione Propriedades.
3. Clique em Avançado.
Você verá uma tela semelhante à Figura 1-7. Isso mostra que minha usuária Karen
Smith não tem permissões para a pasta. Na realidade, ela não tem permissões
NTFS, embora tenha permissões de compartilhamento. Como ela não tem
permissões NTFS, ela foi negada.
FIGURA 1-7:
Verificar
as permissões
efetivas de uma
conta de usuário
é uma ótima
maneira de
validar se eles
têm as permissões
que você
espera que eles tenham.
A partir desta tela, você pode alterar algumas configurações relacionadas à segurança do seu
sistema. Se a auditoria do servidor de arquivos não estiver habilitada, por exemplo, você pode
ativá-la para este servidor individual. Veja um exemplo da Política de Segurança Local na Figura 1-8.
FIGURA 1-8:
A tela Política de
Segurança Local
permite que você
defina as configurações
de segurança local
em seu sistema.
A Diretiva de Grupo substituirá essas configurações. Se você definir uma Diretiva de Segurança
Local superestrita, mas tiver requisitos de senha negligentes sendo enviados por meio da Diretiva
de Grupo, seu sistema herdará os requisitos de senha negligentes. Algumas áreas-chave de
interesse para qualquer administrador de sistema seriam:
» Política de Auditoria: A Política de Auditoria está localizada em Políticas Locais. Ele permite que
você especifique quais tipos de eventos você deseja auditar. Eles podem ser definidos como
Sucesso, Falha ou ambos.
» Opções de segurança: Opções de segurança também estão localizadas em Políticas locais. Esta é
uma longa lista de configurações de segurança que podem ser definidas para o seu sistema.
Eles são organizados em grupos semelhantes de opções de configuração, como contas,
auditoria, DCOM, dispositivos, controlador de domínio, logon interativo, Microsoft Network
Client, Microsoft Network Server, acesso à rede, segurança de rede, console de recuperação,
desligamento, criptografia do sistema, objetos do sistema, Configurações do Sistema e Controle
de Conta de Usuário.
Compreendendo
Windows
o Segurança
Servidor
2022
FIGURA 1-9:
O painel de
proteção contra vírus
e ameaças oferece
uma solução
antimalware
completa.
Você pode escolher as configurações da tela Proteção contra vírus e ameaças em toda
a organização usando a Diretiva de Grupo. Basta fazer as alterações que deseja enviar
para a organização abrindo o Editor de Gerenciamento de Diretiva de Grupo. Abra o GPO
que deseja editar e clique duas vezes em Configuração do Computador, seguido de
Políticas, Modelos Administrativos, Componentes do Windows e Microsoft Defender
Antivirus.
FIGURA 1-10:
Alterar as
configurações
de firewall em
Firewall e
proteção de
rede é simples
com os links fornecidos.
A tela Exploit Protection merece um pouco mais de atenção (consulte a Figura 1-12). Ele pode
protegê-lo contra vários tipos de exploits e está ativado por padrão. Possui Control Flow Guard,
que ajuda a garantir a integridade das chamadas indiretas feitas ao sistema, e Data Execution
Prevention, que impede a execução de código em páginas de memória reservadas para
dados. Além disso, oferece a randomização de layout de espaço de endereço (ASLR), que
fornece randomização para os locais onde os executáveis são armazenados na memória do
servidor. Isso fornece proteção contra ataques de estouro de buffer.
FIGURA 1-11:
O App & Browser
Control
oferece a
capacidade
Compreendendo
Windows
o Segurança
Servidor
2022
de se proteger
contra
executáveis e
arquivos
baixados, além
de configurar a Proteção contra Exploit.
FIGURA 1-12:
Exploit Protection
fornece vários
mecanismos
mais avançados
para proteger
seu sistema, já
ativado por
padrão.
Segurança do dispositivo
Por último, mas não menos importante, está a seção Segurança do dispositivo, que fornece
utilitários que permitem a interação com o chip TPM (Trusted Platform Module) (se houver) e
controles de virtualização. O TPM é um chip da sua placa-mãe que gera chaves criptográficas
e guarda metade da chave; a outra metade da chave é armazenada em disco. Isso evita que
um ladrão roube um disco rígido e o descriptografe em outro sistema. Há um botão para
limpar o TPM e os usuários podem receber recomendações para atualizar o firmware do
TPM quando houver uma atualização disponível. Há também uma configuração de Integridade
de controle do hipervisor que você pode usar para habilitar ou desabilitar essa funcionalidade.
É usado para determinar se o software executado no modo kernel, como drivers, é um
software seguro. Você pode ver na Figura 1-13 que a peça Hypervisor Control Integrity está
em execução na minha máquina virtual, mas não tem TPM exposto a ela (o TPM não passa
pelo VirtualBox v6.x), então as opções do TPM não existir.
FIGURA
1-13: O recurso
Hypervisor
Control Integrity
é mostrado
em Core
Isolation nesta máquina virtual.
NESTE CAPÍTULO
» Entendendo as diferenças
entre permissões de pastas compartilhadas
com segurança do sistema de arquivos
Capítulo 2
Configurando Compartilhado
Recursos
Disponibilizar recursos para seus usuários finais sem dar a eles acesso aos servidores nos quais os
recursos estão é uma obrigação nas organizações. Ao compartilhar uma pasta, você pode mapear
uma unidade para a pasta compartilhada para seus usuários finais automaticamente. O usuário final
vê outra unidade (pense em unidades domésticas ou unidades de departamento), quando na
realidade é uma pasta que reside em um servidor. Uma das coisas mais confusas para novos
administradores de sistema é como compartilhar uma pasta. Existem duas guias: Segurança e
Compartilhamento. Para obter uma explicação sobre as listas de controle de acesso discricionário
(DACLs) e os diferentes níveis de permissão disponíveis na guia Segurança e na guia Compartilhar,
consulte o Livro 5, Capítulo 1.
Como prática recomendada, você normalmente definirá um acesso mais aberto aos compartilhamentos
e, em seguida, restringirá o acesso com as permissões do New Technology File System (NTFS) na
guia Segurança. Isso simplifica muito a administração e, com a guia Efetivo por missões, você pode
verificar se os usuários estão obtendo as permissões para o compartilhamento e seu conteúdo que
deveriam ter.
Você pode estar se perguntando: “Por que defini permissões em dois lugares? Isso é simplesmente
bobo!” Concordo. O motivo é anterior ao sistema de arquivos NTFS. Antes do NTFS, havia o FAT16
e o FAT32. Esses sistemas de arquivos não permitem que você defina o controle de acesso da
maneira que pode com o NTFS. Assim, para proteger adequadamente os compartilhamentos, foi
introduzida a guia Compartilhamento, que fornece as três configurações básicas: Ler, Alterar e Controle Total.
Quando o sistema de arquivos NTFS foi introduzido, de repente você tinha acesso a controles de
acesso muito mais granulares. E isso nos traz para onde estamos hoje. Muitos administradores de
sistema definem as mesmas permissões no NTFS e nos compartilhamentos.
Isso funciona, mas adiciona muita complexidade ao gerenciamento dos compartilhamentos. O que a
Microsoft e a maioria dos instrutores da Microsoft recomendam é definir permissões bastante abertas
no compartilhamento e, em seguida, restringir o acesso por meio do NTFS usando a guia Segurança.
Na Figura 2-1, você pode ver as permissões de compartilhamento para a pasta Software.
Observe que todos têm controle total.
FIGURA 2-1: As
permissões de
compartilhamento
são bastante abertas neste exemplo.
Todo mundo tem
controle total.
O NTFS foi introduzido pela primeira vez em 1993, mas não ganhou popularidade até um
pouco mais tarde. O NTFS foi o primeiro sistema de arquivos suportado pelo Windows que
Compartilhado
Configurando Recursos
oferecia controle de acesso mais granular. Em vez das três permissões básicas fornecidas
pelos compartilhamentos, ele possui seis permissões que podem ser atribuídas: Controle total,
Modificar, Ler e executar, Listar conteúdo da pasta, Ler e Gravar.
A melhor prática atual é ter mais permissões abertas em compartilhamentos, enquanto usa o
sistema de arquivos NTFS para restringir o acesso à pasta. O raciocínio por trás dessa prática
recomendada é que seria difícil definir permissões de compartilhamento e NTFS e mantê-las
sincronizadas. Para evitar esse problema, você gostaria de usar um sobre o outro. Como as
permissões NTFS oferecem mais granularidade, elas são a melhor escolha lógica.
Na Figura 2-2, você pode ver que uma usuária chamada Karen Smith tem as permissões Read
& Execute, List Folder Contents e Read for. Na próxima seção, explico por que isso é
importante.
FIGURA 2-2:
Aqui, as
permissões NTFS
definidas na guia
Segurança são mais
restritivo
do que a parte
permissões.
Agora que você tem uma ideia de como funcionam as permissões efetivas, vamos voltar ao
exemplo que mostrei nas seções anteriores. As permissões de compartilhamento no meu
servidor tinham todos definidos como Controle total. As permissões NTFS deram ao usuário
Karen Smith permissões muito mais limitadas. Verifique a guia Permissões efetivas para ver o
que ela realmente tem:
1. Clique com o botão direito do mouse na pasta cujas permissões deseja verificar e escolha
Propriedades.
3. Clique em Avançado.
Você pode ver os resultados para o usuário Karen Smith na Figura 2-3.
Compartilhado
Configurando Recursos
FIGURA 2-3:
O Efetivo
Aba de acesso
mostra o que um
usuário ou grupo
realmente tem
para permissões.
Os itens marcados são o acesso concedido ao usuário Karen Smith na guia Segurança.
Além disso, observe que cada um dos itens com um X vermelho diz Permissões de arquivo
na coluna Acesso limitado por.
Compartilhamento de recursos
Você pode querer compartilhar outros itens além dos arquivos e pastas típicos. Por exemplo, você pode
querer compartilhar unidades de dispositivo ou outro hardware. Nesta seção, oriento você sobre algumas
das coisas que você pode querer compartilhar e explico como fazê-lo.
Mídia de armazenamento
Pode ser necessário compartilhar o acesso a uma unidade de DVD ou a um dispositivo de armazenamento
externo conectado à sua máquina. Esta é uma coisa muito simples de fazer. Basta seguir estes passos:
2. Clique com o botão direito do mouse na mídia de armazenamento que deseja compartilhar e escolha Dar
Acesso aÿ Compartilhamento avançado (consulte a Figura 2-4).
FIGURA 2-4: O
compartilhamento de um
dispositivo de
armazenamento segue
Por padrão, o nome do compartilhamento é a letra da unidade do volume/mídia que você está
compartilhando.
6. Clique em Permissões, adicione quem você deseja que tenha acesso à unidade e
Clique OK.
7. Clique em OK novamente.
Você pode dizer que a unidade de armazenamento é compartilhada porque um ícone com duas pessoas aparecerá
embaixo dela depois que você a compartilhar.
impressoras
Compartilhar uma impressora também é relativamente simples, embora as etapas sejam um pouco diferentes do que
são para compartilhar dispositivos de armazenamento. Em mais de algumas organizações, vi uma impressora local
compartilhada onde havia um servidor de impressão em toda a empresa. Você pode perguntar por que eles estavam
compartilhando uma impressora de uma estação de trabalho em vez de usá-la por meio do servidor de impressão. A
resposta geralmente era semelhante a uma impressora única.
7. Marque a caixa de seleção Compartilhar esta impressora e escolha as outras opções desejadas.
8. Clique em OK.
Outros recursos
A forma como você compartilha outros recursos dependerá do que você deseja compartilhar. Em
um ambiente Windows Server, as opções de compartilhamento devem ser muito semelhantes às
que já foram abordadas, portanto, se você entender como compartilhar pastas e impressoras,
deverá ser capaz de lidar com quaisquer solicitações de compartilhamento que surgirem.
Você também pode achar que deseja ter maior controle sobre seus arquivos quando eles saem de
sua organização. Talvez você queira criptografá-los com senha ou forçá-los a expirar. Você pode
fazer isso com os serviços de gerenciamento de direitos do Active Directory (AD RMS).
Nesta seção, eu me aprofundo em AD FS e AD RMS, explicando o que cada um deles faz e como
configurá-los.
Então, como funciona o AD FS? Vejamos o processo de autenticação. Site 1 é sua rede local onde
residem seus controladores de domínio e seus servidores AD FS e AD FS Proxy. O Site 2 hospeda
o site de terceiros no qual você deseja autenticar usando suas credenciais do Active Directory. Há
uma relação de confiança estabelecida entre o Site 1 onde você
são e Site 2 onde você deseja acessar os recursos. O servidor AD FS no Site 1 é chamado de
provedor de identidade, porque é onde ocorre a autenticação. O Site 2 é referido como a parte
confiável; ele depende do token do AD FS para determinar se você é um usuário autenticado
ou não. Funciona assim:
2. O Site 2 redireciona a solicitação para o servidor AD FS Proxy do Site 1, que solicita seu
usuário e senha.
3. Depois que a solicitação é autenticada, o Proxy do Site 1 retorna para o Site 2 com um token que contém
as declarações sobre sua conta de usuário, incluindo sua identidade.
O AD FS foi projetado com um objetivo muito específico em mente: fornecer uma experiência
de logon único (SSO) para seus usuários finais em aplicativos Web. Funciona muito bem para
esse fim e é o que a Microsoft recomenda na maioria dos casos para autenticação com o
Office365. O AD FS não foi projetado para ajudar a autenticar outras coisas que exigem o token
Windows NT mais tradicional, como acesso a compartilhamentos de arquivos, Exchange Server
(e-mail), RDP ou aplicativos Web mais antigos que não entendem declarações.
Neste ponto, você pode estar se perguntando como o AD FS se encaixa em um capítulo sobre
compartilhamento de recursos. Afinal, você não está compartilhando o Active Directory. Ao
federar um trust com outra organização, você pode acessar os recursos dessa outra
organização. Em essência, a outra organização pode compartilhar seus recursos (como um
aplicativo da Web) com você sem precisar que você se autentique separadamente em seus sistemas. Compartilhado
Configurando Recursos
Agora que você sabe o que é AD FS e o básico de como ele funciona, vamos configurá-lo.
Você precisa de um certificado Secure Sockets Layer (SSL) para concluir a configuração.
Para as finalidades destas instruções, criarei um certificado autoassinado, mas você desejará
um certificado de uma autoridade de certificação pública para um servidor AD FS de produção
real.
Características.
9. Clique em Fechar.
A primeira etapa está concluída: você instalou o AD FS. Para torná-lo útil, porém,
você precisa configurá-lo. Siga esses passos:
FIGURA 2-5:
Configurando a
função AD FS
após a instalação.
O Nome do Serviço de Federação será preenchido com base no nome comum no certificado.
Na próxima tela, você precisa criar uma conta de serviço gerenciada por grupo, mas essa opção
provavelmente ficará esmaecida porque a chave raiz KDS não foi criada.
6. Clique com o botão direito do mouse em Iniciar e selecione Windows PowerShell (Admin).
As chaves do serviço de distribuição de chaves (KDS) são necessárias para que você possa gerar
senhas para contas de serviço gerenciado de grupo (gMSAs). Um gMSA é um tipo de conta de
serviço gerenciado capaz de sincronizar sua senha com vários sistemas automaticamente. O serviço
que usa o gMSA precisa oferecer suporte a gMSAs para que isso funcione.
a caixa de erro.
Pode ser necessário clicar em Anterior e, em seguida, clicar em Avançar para disponibilizar a opção
Criar uma conta de serviço gerenciada por grupo.
9. Selecione Criar uma conta de serviço gerenciada por grupo, digite o nome que deseja
usar e clique em Avançar.
10. Na tela Especificar banco de dados de configuração, selecione Criar um banco de dados
neste servidor usando o banco de dados interno do Windows e clique em Avançar.
Em um ambiente de produção, você provavelmente desejará selecionar um SQL Server real para
hospedar o banco de dados do AD FS. O banco de dados interno do Windows é limitado e
pouco escalável.
FIGURA 2-6:
Revise suas
configurações de
AD FS antes de
concluir a configuração.
1. Clique com o botão direito do mouse no Menu Iniciar e escolha Windows PowerShell (Admin).
Depois de confirmar que o AD FS está funcionando, você pode desabilitar a página usada
para testá-lo digitando o seguinte comando:
FIGURA 2-7:
Depois que o AD RMS é
instalado,
você precisa
configurá-lo.
3. Na tela Create or Join an AD RMS Cluster, escolha Create a New AD RMS Cluster e
clique em Next.
4. Na tela Selecionar banco de dados de configuração, digite o nome do seu banco de dados SQL
servidor e clique em Avançar.
Uma observação rápida aqui para preservar sua sanidade: em um ambiente de produção, a conta
de serviço do AD RMS deve ser membro de Usuários do domínio e não deve ter privilégios adicionais
atribuídos a ela. Se você estiver em seu ambiente de laboratório e tiver instalado o AD RMS em
um controlador de domínio, precisará colocar a conta de serviço no grupo Admins. do domínio.
Se não o fizer, receberá um erro
A menos que haja necessidade de suporte legado, você deve sempre escolher o
Modo criptográfico 2. Ele possui chaves privadas mais longas (2.048 bits) e usa um
algoritmo de hash mais forte. Isso torna mais difícil para um invasor violar sua criptografia
porque se torna mais demorado com tamanhos de chave maiores.
8. Na próxima tela, defina uma senha para proteger a chave do cluster e, em seguida,
clique em Avançar.
10. Na tela Especificar endereço do cluster, defina o Tipo de conexão como Usar uma conexão
criptografada por SSL, dê um nome ao cluster (deve ser um nome de domínio
totalmente qualificado) e clique em Avançar.
13. Na próxima tela, deixe o padrão Register the SCP Now selecionado e
clique em Avançar.
Agora você tem o AD RMS instalado e configurado. Tenho certeza que você quer
pular direto e começar a brincar. Se você tentar abrir o console do AD RMS agora,
receberá um erro que diz “Falha na solicitação com status HTTP 401: não
autorizado”. Isso acontece porque um grupo foi criado, chamado AD RMS Enter
prize Admins. Este grupo é criado localmente no servidor e, embora sua conta seja
adicionada a ele automaticamente, você não obtém os benefícios das novas
permissões até que saia e faça login novamente. Vá em frente e faça isso agora. Vou esperar.
Depois que você fizer logoff e logon novamente, o Gerenciador do Servidor será iniciado
automaticamente. Escolha Ferramentasÿ Serviços de Gerenciamento de Direitos do Active Directory.
Você vê um console semelhante à Figura 2-8.
FIGURA 2-8:
você pode gerenciar
AD RMS do console
disponível por meio do
servidor
ferramentas do gerente
cardápio.
Agora você precisa configurar um modelo de política de direitos, que é o que ajuda a definir quaisquer
regras e/ou condições que você deseja aplicar aos dados protegidos pelo modelo. Siga esses passos:
3. Clique em Adicionar.
No meu caso, dei à minha usuária Karen Smith apenas permissões de exibição, conforme mostrado
na Figura 2-10.
FIGURA 2-9:
A criação do
modelo de
política de direitos
define o que você
deseja
aplicar aos dados protegidos.
Compartilhado
Configurando Recursos
FIGURA 2-10:
Garantir que um
usuário possa visualizar,
6. Clique em Avançar.
Em um ambiente de produção, você deseja atribuir direitos por meio de grupos em vez de usuários
nomeados individualmente. O grupo deve ter um endereço de e-mail associado a ele.
Agora que o modelo de política de direitos foi criado, você precisa configurar a distribuição
real para o modelo. Você faz isso no PowerShell. Para abrir o PowerShell, clique com o
botão direito do mouse no menu Iniciar e clique em Windows PowerShell (Admin).
Primeiro, você criará um novo diretório em uma unidade de armazenamento. Você pode
colocar este novo diretório onde quiser. Estou colocando-o em C: para esta demonstração,
mas recomendo que você não o armazene na unidade do sistema para uma implantação
de produção. Em seguida, você precisa compartilhar o diretório com a conta de serviço AD
RMS. Você faz isso para os modelos AD RMS. Siga esses passos:
Você pode ver todos os comandos do meu ambiente no PowerShell na Figura 2-11.
Agora volte para o AD RMS Management Console, onde você configurará o local do arquivo
para salvar os modelos:
FIGURA 2-11:
Criar as pastas
e os compartilhamentos
é simples através do
Windows PowerShell.
Compartilhado
Configurando Recursos
FIGURA 2-12:
Quando o
compartilhamento
é criado, você precisa apontar
AD RMS para
Para verificar se isso está funcionando, vá para o local do modelo. Você deve ver um
documento XML com o nome que lhe deu anteriormente.
Agora que o servidor está configurado, seus usuários poderão restringir o acesso a seus
documentos com os modelos aos quais você deu acesso. Quando seus usuários desejam
proteger um documento no Microsoft Word, por exemplo, eles podem selecionar a guia
Arquivo, clicar em Informações no menu à esquerda, clicar em Restringir acesso e, em seguida,
clicar em Conectar-se a servidores de gerenciamento de direitos e obter modelos, conforme
mostrado em Figura 2-13. Os modelos que você definiu no servidor RMS serão exibidos e seu
usuário poderá escolher o modelo apropriado com base no tipo de dados que está no documento.
FIGURA 2-13:
o protetor
O botão Documento
permite
selecionar um
modelo RMS
definido em seu
Servidor AD RMS.
NESTE CAPÍTULO
» Entendendo e configurando
Guarda de credenciais
Capítulo 3
Configurando o funcionamento
Sistema de segurança
que permitem que você proteja melhor seu sistema sem nenhum custo extra além da licença do
O Windows sistema
Serveroperacional
2022 fornece vários mecanismos de segurança integrados
do servidor.
FIGURA 3-1:
O usuário familiar
A janela Controle
de conta protege
seu sistema contra
software não
autorizado
ou
Usuários.
Não é uma boa ideia acessar a Internet em um servidor. Pode até ser contra as políticas da
sua organização. Se você precisar baixar o software para o seu servidor da Internet, baixe-o
primeiro para a sua estação de trabalho, verifique se ele foi verificado pelo seu software
antivírus e, em seguida, copie-o para o servidor.
O UAC é ótimo para sessões interativas, mas e se você agendou tarefas que precisa executar?
Essas tarefas são executadas em uma sessão não interativa, então como você as executa
como administrador sem a interferência do UAC? Ao criar a tarefa no Agendador de Tarefas,
certifique-se de selecionar o botão de opção Executar se um usuário está conectado ou não e
marque a caixa de seleção Executar com privilégios mais altos. Com esses itens selecionados,
suas tarefas agendadas poderão ser executadas como administrador sem interferência do
UAC.
Talvez você entenda os riscos inerentes a isso e ainda queira ter elevação automática de
privilégios. Em caso afirmativo, consulte "Usando a política de segurança local para controlar o
controle de contas de usuário", mais adiante neste capítulo. Lá, examino as etapas necessárias
para permitir a elevação automática de privilégios.
Um dos métodos comuns para lidar com o UAC é apenas desligá-lo quando ele o incomodar.
Não recomendo este curso de ação, mas pode ser feito facilmente com o miniaplicativo User
Accounts:
3. Clique em Alterar configurações de controle de conta de usuário, conforme mostrado na Figura 3-2.
FIGURA 3-2:
Desativar o
Controle de Conta
de Usuário em
Contas de Usuário
é simples, mas
deve ser feito com cautela.
Figura 3-3).
• Nunca notificar
• Notificar quando os aplicativos tentarem fazer alterações (não escurecer a área de trabalho)
• Notifique sempre quando os aplicativos tentarem fazer alterações ou você tentar fazer
Mudanças
FIGURA 3-3:
Escolher Never
Notify desativa
o UAC para
o usuário conectado.
Para abrir a caixa Diretiva de segurança local, clique no menu Iniciar, digite secpol.msc e
pressione Enter. Selecione Políticas locais e, em seguida, Opções de segurança e role até o fim.
Você vê várias opções para configuração do UAC na parte inferior, todas classificadas por
Controle de Conta de Usuário, conforme mostrado na Figura 3-4. Se você quiser alterar essas
configurações em sua organização, faça as alterações discutidas aqui na Diretiva de Grupo em
vez da Diretiva de Segurança Local.
No início deste capítulo, prometi a você que mostraria como elevar automaticamente as
permissões administrativas sem os prompts do UAC. Veja como:
1. Clique duas vezes em Controle de conta de usuário: Comportamento do prompt de elevação para
Administradores no modo de aprovação do administrador.
Várias outras configurações também são comportamentos que você pode escolher para aprovação do administrador
Modo:
» Elevar sem solicitar: permite que uma conta privilegiada execute executáveis e faça alterações no
sistema sem solicitar.
FIGURA 3-4:
A política de
segurança local
permite uma
configuração
mais granular do
controle de conta de usuário.
» Solicitar consentimento para binários não Windows (padrão): quando algo que não é
um programa do Windows requer privilégios administrativos, o usuário é solicitado a
permitir ou negar a ação. Se o usuário permitir, ele será executado com o nível mais alto
de permissões. Se o usuário não tiver permissões suficientes, a ação não ocorrerá.
Independentemente de você estar usando um logon local ou uma conta de domínio para fazer logon,
o Windows Server 2022 (e o Windows 10!) usa um produto chamado Credential Manager para salvar
suas credenciais da Web e do Windows. Você pode acessar o Gerenciador de Credenciais no Painel
de Controle clicando em Contas de Usuário e, em seguida, clicando em Gerenciador de Credenciais.
O melhor do Credential Manager é que ele oferece a capacidade de salvar credenciais para que você
possa ter uma experiência quase de logon único.
Você pode fazer backup e restaurar credenciais, bem como adicionar credenciais do Windows,
credenciais baseadas em certificado e credenciais genéricas, tudo no mesmo painel, mostrado na
Figura 3-5.
FIGURA 3-5:
Credencial funcionamento
Configurando
o segurança
Sistema
de
Manager permite
que você
gerencie suas
senhas de
rede a partir de
um único local.
O Credential Guard foi introduzido no Windows Server 2016 como uma forma de mitigar alguns dos
ataques de senha que estavam se tornando mais comuns. Ele protege praticamente qualquer coisa
que possa ser considerada uma credencial em um servidor Windows, incluindo hashes de senha
NT LAN Manager (NTLM), tíquetes de concessão de tíquete Kerberos (TGT) e credenciais
armazenadas por aplicativos como credenciais de domínio.
NTLM foi um protocolo desenvolvido pela Microsoft para facilitar a autenticação. Ele armazena
valores de senha com hash no servidor ou no controlador de domínio.
O Kerberos fornece recursos de criptografia mais fortes e usa autenticação baseada em tíquete.
O tíquete de concessão de tíquete (TGT) é usado para solicitar acesso a recursos.
O Credential Guard está disponível no Windows Server 2016/Windows 10 e mais recente.
O Credential Guard não foi projetado para proteger credenciais armazenadas no Active Directory
ou no Security Accounts Manager (SAM). Ele foi projetado para proteger os segredos durante o
uso, para que não sejam armazenados na memória, onde podem ser roubados.
» Bloqueio UEFI é preferencial, embora não seja um requisito. Ele impede que um invasor
desative o Credential Guard com uma alteração no registro.
» O firmware UEFI em seu servidor deve suportar inicialização segura e estar na versão
de firmware 2.3.1.c ou superior.
Política de grupo
Habilitar o Credential Guard pela Diretiva de Grupo é de longe o método mais simples porque
tem a menor quantidade de etapas e espaço para erros. Siga esses passos:
2. Expanda Floresta e Domínios e, em seguida, expanda o domínio ao qual deseja aplicar o Credential
Guard.
3. Clique com o botão direito do mouse em Objetos de Diretiva de Grupo e selecione Novo.
5. Expanda Objetos de Diretiva de Grupo, caso ainda não o tenha feito, e clique em sua nova diretiva
para selecioná-la.
A inicialização segura impede que softwares e/ou drivers não autorizados sejam carregados durante a
inicialização do sistema.
10. Na caixa Credential Guard Configuration, selecione Enabled with UEFI Lock.
FIGURA 3-6:
Habilitar
o Credential Guard
com a
Diretiva de
Grupo é o
método de
implantação mais simples e rápido.
Registro
Em alguns sistemas, você não pode aplicar a Diretiva de Grupo e precisa de outro meio de
habilitar o Credential Guard. Existem algumas etapas que você precisará executar para ativá-
lo por meio do registro. Esta seção orienta você em cada uma dessas etapas.
Esta primeira etapa só precisa ser executada se o sistema no qual você deseja ativar o
Credential Guard for uma compilação do Windows 10 anterior à compilação número 1607. O
Windows Server 2016 e mais recente não requer esta etapa.
Você pode ver os DWORDs recém-criados na Figura 3-7. Quando esses DWORDs são
criados, você pode ativar o Credential Guard.
FIGURA 3-7:
Com as duas chaves
definidas que
habilitam a
segurança baseada
em virtualização,
você pode habilitar o Credential Guard.
funcionamento
Configurando
o segurança
Sistema
de
A segunda etapa nesta aventura é realmente habilitar o Credential Guard. Se você estiver no
Windows Server 2016 ou mais recente, ou Windows 10 1607 ou mais recente, você pode ter
pulou direto para esta etapa. Se você não tiver certeza de como acessar o Editor do Registro,
verifique a Etapa 1 na seção anterior.
2. Adicione um novo DWORD chamado LsaCfgFlags e defina o valor como 1 para habilitar
Guarda de credenciais com bloqueio UEFI.
Essas configurações entrarão em vigor após uma reinicialização, pois foram feitas na seção
HKEY_LOCAL_MACHINE (HKLM).
A caixa de diálogo Inicialização e recuperação permite que você escolha coisas como com qual
sistema operacional deseja iniciar o sistema (se tiver vários sistemas operacionais instalados), o
tempo para mostrar a lista de sistemas operacionais e a quantidade de tempo para mostrar a
recuperação opções. Você também pode configurar a falha do sistema para reiniciar
automaticamente os sistemas e se deseja criar um despejo de memória ou não. Você pode ver
essas opções na Figura 3-8.
Você pode estar pensando: “Bem, isso é legal, mas como chego à caixa de diálogo Inicialização
e recuperação?” Estou feliz que você perguntou. Siga esses passos:
1. Clique em Iniciar e, em seguida, clique no ícone Configurações, que tem o formato de uma engrenagem.
e seção de recuperação.
FIGURA 3-8:
A caixa de diálogo
Inicialização e
recuperação
permite definir a
funcionalidade
de inicialização e
recuperação que
você deseja que seu servidor use.
funcionamento
Configurando
o segurança
Sistema
de
FIGURA 3-9:
Para acessar
Inicialização e
recuperação,
você precisa
Na caixa de diálogo Inicialização e recuperação, você pode definir o sistema operacional padrão
no qual deseja inicializar, bem como por quanto tempo deseja que a lista de sistemas
operacionais disponíveis apareça. Essa configuração é útil se você tiver vários sistemas
operacionais instalados no mesmo servidor e quiser especificar qual sistema operacional deve
ser considerado o padrão. Você também pode configurar o que deseja que o sistema faça em
caso de falha e se deseja que ocorra um despejo de memória, bem como onde deseja armazená-
lo. Por padrão, se encontrar uma falha, o Windows Server 2022 reinicia automaticamente e cria
um despejo de memória. O despejo de memória é útil posteriormente para diagnosticar o
problema que causou a falha do sistema.
E aí está. É assim que você altera as opções de inicialização e recuperação no Windows Server
2022.
Quando um sistema solicita uma conexão segura, a versão TLS com suporte mais alto será a
escolhida. Historicamente, isso tem sido o TLS 1.2, mas com a adição do TLS 1.3 na mistura,
acredito que isso mudará à medida que as organizações optarem por oferecer suporte ao TLS
1.3. Você pode visualizar a ordem de prioridade padrão para os protocolos e conjuntos de cifras
no site de documentação da Microsoft em: https://docs.microsoft.com/en-us/windows/win32/
secauthn/tls-cipher-suites-in-windows- servidor-2022.
protocolos de cifra
Um protocolo cifrado é o que usamos para garantir que tenhamos uma conexão segura para
nossos dados. O protocolo de cifra é o que define o que uma conexão segura deve ter.
Por exemplo, diferentes fornecedores devem ser capazes de se comunicar com segurança
usando conjuntos de cifras não proprietários. TLS é o mais comum hoje em dia; a sigla significa
Transport Layer Security.
Conjuntos de cifras
Um conjunto de cifras é um conjunto de instruções que definem como os dados transmitidos devem ser
criptografados. Os conjuntos de cifras modernos utilizam TLS, enquanto os conjuntos de cifras mais antigos
usavam Secure Socket Layer (SSL).
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
» ECDHE: Esta é a troca de chaves usada para proteger as informações necessárias para
criar chaves compartilhadas.
» ECDSA: Esta é a assinatura e é usada para assinar digitalmente coisas como e-mail
mensagens.
FIGURA 3-10:
A modificação de
conjuntos de cifras é
relativamente simples
com o editor de
Diretiva de Grupo Local.
3. Clique com o botão direito do mouse na caixa Cipher Suites e escolha Select All.
4. Escolha Copiar.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
Provedores de Segurança\SCHANNEL
Navegue até a pasta Protocolos e você verá os protocolos listados lá, caso uma alteração
tenha sido feita antes. Há uma pasta para o componente Servidor e uma pasta para o
componente Cliente de cada um. Se este for um sistema novo, nenhuma pasta aparecerá
em Protocolos e você precisará criá-los.
Eu uso o TLS 1.1 em meu exemplo (veja a Figura 3-11). Desativei o componente do
servidor TLS 1.1 adicionando o DWORD ativado e definindo-o como 0.
FIGURA 3-11:
Desativar o
TLS 1.1 no Registro
pode ser feito com
um novo valor
DWORD.
» Habilitado: Este protocolo pode ser usado a menos que o outro sistema de negociação de
comunicações o tenha desabilitado.
funcionamento
Configurando
o segurança
Sistema
de
» Desabilitado por Padrão: Este protocolo não será usado a menos que seja especificamente
Requeridos.
NESTE CAPÍTULO
» Compreendendo os fundamentos do
Firewall do Windows Defender
» Configurando e Gerenciando o
Firewall do Windows Defender em
Servidor Windows 2022
Capítulo 4
Trabalhando com o
Internet
coisas e deixar as coisas boas entrarem. Você pode optar por bloquear ou restringir
Existemtráfego
poucasde
coisas mais
entrada debásicas para arriscados
protocolos a segurançaoudonúmeros
que o princípio de Você
de porta. manterpode
as más
até bloquear o tráfego de saída apenas para protocolos e números de porta aprovados.
A definição das formas aceitáveis de tráfego de entrada e saída geralmente é realizada
com o Windows Defender Firewall.
O Firewall do Windows Defender é um firewall dinâmico. Isso significa que você pode
criar uma regra para permitir o tráfego de entrada e o tráfego estabelecido será
automaticamente liberado. Se você criar uma regra de saída, o tráfego que sai será
automaticamente permitido de volta. Ele pode inspecionar todo o tráfego que passa por ele
e rastrear o estado da conexão. Esta é uma grande melhoria em relação aos firewalls tradicionais mais ant
chamados de firewalls sem estado, para os quais você teve que criar uma regra para permitir o tráfego
em ambas as direções em uma lista de controle de acesso. Os firewalls sem estado não inspecionam
o tráfego; eles apenas permitem ou bloqueiam com base nos endereços IP ou portas de origem e destino.
O Firewall do Windows Defender, como a maioria dos firewalls existentes, opera em uma negação
padrão para conexões de entrada. Essencialmente, se não houver uma regra que permita o tráfego, ele
será bloqueado. Conexões de saída normalmente são permitidas por padrão.
Você pode ver o firewall referido como Microsoft Defender Firewall em algumas documentações do
Micro soft e Windows Defender Firewall em outras documentações. O produto no sistema operacional
ainda é chamado Windows Defender Firewall, então esta é a terminologia que estou usando. Lembre-se
de que esses dois termos se aplicam ao mesmo produto para evitar confusão.
Conhecendo o Windows
Perfis do Defender Firewall
O Firewall do Windows Defender usa perfis para definir os níveis de confiança do tráfego de rede. Os
perfis podem ser atribuídos a adaptadores de rede específicos, embora, por padrão, todos os perfis
sejam ativados para cada adaptador de rede. Por exemplo, o perfil de domínio é usado quando um
sistema está conectado a um domínio e geralmente é mais permissivo do que o perfil público, que é
projetado para ser usado quando um adaptador de rede está conectado a uma rede não confiável como
a Internet.
» Privado: Este perfil é usado se o sistema estiver em uma rede com a qual não tenha
nenhuma associação; por exemplo, um sistema em uma rede que não possui um
domínio usaria o perfil Privado. O perfil privado deve ser mais restritivo do que o
perfil de domínio porque há menos confiança em uma rede privada do que em uma
rede de domínio.
» Público: Este perfil é usado quando é feita uma conexão com uma rede pública como um
hotel, restaurante ou cafeteria. Deve ser o perfil mais restritivo porque está se
conectando com o mínimo de confiança à rede.
desabilitar o Firewall do Windows Defender, mas você deve verificar a política da sua
organização para saber se tem permissão para fazer isso.
Desativar o Firewall do Windows não é uma boa ideia. É uma camada de proteção para o seu
servidor.
Com esse aviso de isenção de responsabilidade, vamos ver como desabilitar e habilitar o
Windows Defender Firewall. Existem três maneiras de habilitar e desabilitar a parede de
fogo. Você pode fazer isso por meio da interface gráfica do usuário (GUI), do Power Shell ou
da linha de comando.
Seguem os passos para desligar o firewall do perfil Domínio (os passos são os mesmos para
os perfis Público e Privado, basta substituir o perfil desejado no Passo 4):
» Clique com o botão direito do mouse no menu Iniciar e clique no ícone de engrenagem para entrar no
Menu de configurações.
Se você não vir um perfil de domínio, é porque o sistema não está conectado a um
domínio. Este perfil não aparece, a menos que o sistema tenha ingressado no domínio.
» Para desabilitar o Firewall do Windows Defender, clique em cada perfil que deseja
desabilitar e, em seguida, clique na chave de alternância do Firewall do Windows
Defender, atualmente na posição ligada na Figura 4-2, para desligá-la.
» Para reativar o firewall, basta clicar no botão de alternância novamente para deslizá-lo
de volta à posição ligada.
FIGURA 4-1:
As
configurações do
Windows
Defender Firewall estão
disponíveis por
meio do aplicativo
Segurança do
Windows em Atualização e segurança.
FIGURA 4-2:
Cada perfil do
Windows
Defender Firewall
pode ser
desabilitado
individualmente com o botão de alternância.
Se você quiser desabilitar/habilitar apenas um dos perfis, use apenas esse nome de perfil em
vez de Domínio,Público,Privado.
Se você quiser desabilitar/habilitar apenas um dos perfis, use apenas o nome do arquivo pro
(domínio, público ou privado) em vez de todos os perfis.
1. Clique com o botão direito do mouse no menu Iniciar e clique no ícone de engrenagem para acessar as Configurações
cardápio.
FIGURA 4-3:
O Avançado
Tela de
configurações do Windows
Firewall de defesa
permite que
você faça
alterações
granulares na
maneira como o firewall se comporta.
» Regras de segurança de conexão: esta área permite que você configure seu sistema para usar
IPSec para proteger as comunicações entre os terminais.
» Monitoramento: Esta área permite que você veja rapidamente quais regras de perfil são
ativado e se há alguma regra de segurança de conexão configurada. Ele também permite que
você veja se há alguma associação de segurança configurada atualmente. Consulte a seção
Trabalhando
com
o
Internet
“Entendendo o IPSec”, mais adiante neste capítulo, se não tiver certeza do que é uma SA.
Na tela Configurações avançadas, clique com o botão direito do mouse em Windows Defender Firewall
com segurança avançada e selecione Propriedades. Você vê guias para cada um dos perfis e uma guia
para IPSec. Comece com a guia para o perfil público, mostrado na Figura 4-4.
FIGURA 4-4:
Os perfis podem ser
alterado do
padrão
comportamento no
Tela de propriedades
do Windows
Defensor
Firewall.
» Estado do Firewall: Aqui você tem a opção de ligar ou desligar. Isso pode ser configurado
para desativar ou ativar o firewall para o perfil específico em que você está.
• Bloquear tudo: bloqueia tudo, independentemente de haver uma regra que permita
isso ou não.
• Permitir: permite o tráfego independentemente de o tráfego ser permitido por uma regra.
• Permitir: permite o tráfego independentemente de o tráfego ser permitido por uma regra.
» Conexões de Rede Protegidas: Ao clicar neste botão, você poderá selecionar em quais adaptadores
de rede deseja que o perfil seja aplicado.
» Logging: O botão Logging permite alterar a localização dos logs do firewall, definir o limite de
tamanho dos logs e escolher se deseja registrar pacotes descartados e/ou conexões
bem-sucedidas.
Como você provavelmente pode dizer, pode ser muito específico em termos de como deseja que um perfil se
comporte e onde deseja que esse perfil se aplique.
Para desativar a regra, basta clicar com o botão direito do mouse e escolher Desativar regra.
Trabalhando
com
o
Internet
FIGURA 4-5:
A habilitação de regras pré-
construídas pode ser feita a
tela.
As regras predefinidas são convenientes, mas tendem a ser muito específicas para os serviços da
Microsoft. E se você precisar instalar um produto de fornecedor com necessidades de porta específicas?
Vamos criar uma regra a partir de um caso de uso: você é um administrador de sistema e foi solicitado
a permitir conexões de entrada para um sistema conectado a um domínio que hospeda um banco de
dados MySQL. Você sabe que o MySQL precisa da porta TCP 3306, então vamos criar uma regra para
permitir esse tráfego:
Ao fazer isso, você está permitindo apenas que o tráfego de domínio alcance o banco de dados MySQL.
Se sua organização usa um sistema de tíquetes para rastrear alterações, colocar o número do
tíquete no campo Descrição da regra pode ser muito útil para documentar por que a alteração foi
feita.
Na Figura 4-6, você pode ver a regra que criei na parte superior. Você pode dizer que já está
ativado porque tem a marca de seleção verde ao lado.
FIGURA 4-6:
A regra
personalizada
criada para o
MySQL permitirá
o tráfego de
entrada TCP/3306
vindo do domínio.
Posso ouvir a voz dentro da sua cabeça dizendo: “Isso foi fácil, mas onde está a granularidade?”
Você pode obter excepcionalmente granular na regra. Vamos dar uma olhada nas configurações.
Clique duas vezes em uma regra. Usarei a regra MySQL que acabei de criar.
Existem oito guias no total. Cada guia permite que você faça uma alteração na regra.
Algumas das configurações são as coisas básicas que você definiu quando criou inicialmente a
regra; outros permitem mais granularidade do que o que estava dentro do assistente de regras:
» Geral: Esta aba permite ajustar o nome da regra, se ela está habilitada e se
deseja permitir ou bloquear o tráfego.
» Computadores Remotos: Na guia Computadores Remotos, você pode optar por permitir
conexões apenas de computadores específicos ou ignorar a regra para
computadores específicos.
escolher entre TCP e UDP porque escolhi uma regra de porta. Nesta tela, no entanto,
tenho muito mais opções, mostradas na Figura 4-7. Eu poderia obtê-los através do
assistente se escolhesse Custom em vez de Port.
Também posso alterar as portas locais e remotas nesta guia. Atualmente, na minha
regra, tenho o TCP 3306 permitido.
FIGURA 4-7:
Há muito mais
protocolos
disponíveis nesta
guia do que
havia
através do
assistente porque
Eu o criei como um
Regra do porto.
» Escopo: A guia Escopo permite determinar quem deve ter permissão para se
conectar. O IP local, por exemplo, pode ser definido se o seu sistema tiver vários
endereços IP, mas você só deseja permitir a conexão da regra por meio de um dos
endereços IP. Ao usar o IP remoto, você está definindo quais IPs o aplicativo no
servidor pode acessar. Isso pode aumentar muito a postura de segurança; por exemplo,
com meu servidor MySQL, talvez eu só queira permitir que ele fale com o servidor de
aplicativos, mas não com o servidor web. Posso definir isso com Scope.
» Avançado: Avançado permite definir a quais perfis aplicar esta regra, a qual adaptador de
rede aplicá-la e se você deseja permitir passagem de borda. Normalmente, você deseja que
isso seja definido como Block Edge Traversal, que é a configuração padrão.
» Principals locais: A guia Principals locais permite definir usuários locais específicos que têm
permissão para se conectar por meio da regra ou especificar quais usuários devem poder ignorar
a regra.
» Usuários remotos: a guia Usuários remotos permite definir usuários remotos específicos que têm
permissão para se conectar por meio da regra ou quais usuários devem poder ignorar a regra.
Você poderia ter feito todas essas configurações por meio do assistente se tivesse
selecionado Personalizado em vez de Porta. Eu gosto de levá-lo através do exercício de
olhar para as guias individuais, porém, porque conheci alguns administradores de sistema
que não entendem o que as guias significam ou como editar a regra corretamente depois
que ela é criada.
Compreendendo o IPSec
O IP Security (IPSec) é usado para proteger as comunicações em uma rede baseada em IP.
Ele é normalmente configurado para oferecer suporte e proteger a comunicação rede-a-rede,
host-a-host ou host-a-rede. Para empresas que lidam com informações confidenciais, o
IPSec fornece um método para criptografar dados enquanto estão em trânsito. Existem
alguns termos que você deve entender ao falar sobre IPSec:
• Modo Principal ou Modo Agressivo: Também referido como IKE Fase 1. Este
fase cria com segurança o canal de comunicação e lida com a troca de chaves. Essa
negociação configura a SA.
• Modo rápido: também conhecido como IKE Fase 2. Todas as chaves subseqüentes
as trocas são feitas por meio do Modo rápido porque consome menos recursos do
sistema.
» Internet Key Exchange (IKE): IKE é usado para lidar com negociações e autenticação para a
criação de IPSec SAs.
Trabalhando
com
o
Internet
1. Com a tela Configurações avançadas aberta, clique com o botão direito do mouse em Segurança de conexão
Regras e selecione Nova regra.
Certificado se você tiver uma infraestrutura de chave pública (PKI) interna que possa
oferecer suporte a esse uso.
6. Para esta demonstração, escolhi usar NTLMv2 como meu método de autenticação principal, com
Kerberosv5 como uma opção de autenticação secundária, mostrada na Figura 4-8.
7. Clique em OK.
8. Clique em Avançar.
Agora você concluiu a regra de segurança de conexão. Isso precisa ser configurado em
qualquer sistema no qual você deseja usar IPSec. Por exemplo, eu o configurei em um
dos meus outros sistemas e o SA apareceu imediatamente, conforme mostrado na Figura 4-9.
FIGURA 4-8:
você pode definir
autenticação
primária e
secundária
opções para
computadores e
Usuários.
FIGURA 4-9:
A SA entre
meus dois sistemas se
conectaram
automaticamente
depois que
as regras de
segurança de
conexão foram
configuradas em ambos os sistemas.
NESTE CAPÍTULO
» Entendendo certificados em
Servidor Windows 2022
» Selecionando o certificado de
usuário apropriado
» Escolhendo o certificado de
computador certo
capítulo 5
Compreendendo o digital
certificados
Entenda sabe
Todo mundo o que que
é umos
certificado e como
certificados eleuma
são funciona.
coisa boa. Muito menos pessoas sob
Quando você acessa um site, pode verificar se o site está usando HTTPS. Mas o que o
HTTPS realmente significa? É a abreviação de HyperText Transfer Protocol over SSL (que
significa Secure Sockets Layer). Um certificado é usado para proteger o canal de
comunicação.
Criptografia 101
A criptografia é usada para proteger os dados em trânsito e em repouso. A criptografia usa
algoritmos matemáticos para gerar “chaves”, que são usadas para criptografar dados. Uma
única chave pode ser usada para criptografar e descriptografar os dados (consulte
“Criptografia simétrica”), ou você pode ter uma chave privada e uma chave pública, que estão
ligadas matematicamente. Uma chave criptografa e a outra descriptografa (consulte
“Criptografia assimétrica”).
Uma chave é usada por um algoritmo criptográfico para transformar texto simples em texto
criptografado, que é conhecido como texto cifrado. Também é usado para alterar o texto
cifrado de volta para texto simples. A própria chave consiste em uma cadeia de bits, cujo
comprimento é determinado pelo que o algoritmo que você está usando suporta e o
comprimento que você especifica.
criptografia simétrica
Criptografia simétrica é a capacidade de criptografar e descriptografar com a mesma chave.
Quando estiver usando um segredo compartilhado ou uma senha, você pode pensar nisso
como criptografia simétrica. Como ele usa apenas uma chave, é mais rápido, mas também
menos seguro porque um invasor só precisaria descobrir qual é a chave para descriptografar
os dados. Você pode ver um diagrama de como a criptografia simétrica funciona na Figura 5-1.
FIGURA 5-1:
A criptografia
simétrica usa
uma chave para
criptografar e
descriptografar dados.
Uma cifra é o algoritmo que está sendo usado para executar a criptografia e a descriptografia.
» 3DES
» AES
» TwoFish Compreendendo
digital
o certificados
» BlowFish
» IDEIA
criptografia assimétrica
Criptografia assimétrica (ou criptografia de chave pública) é um esquema de criptografia em
que os dados são criptografados por uma chave e descriptografados por outra chave. As
teclas são vinculadas matematicamente e só funcionarão umas com as outras. A chave
privada é mantida em segurança e oferece não repúdio (o que significa que pode provar a
identidade) porque não é distribuída. A chave pública é fornecida a outras pessoas e é usada
para descriptografar os dados que foram criptografados pela chave privada. Criptografia
assimétrica é o que é usado na infraestrutura de chave pública (PKI). Um exemplo comum de
criptografia assimétrica é quando você usa HTTPS. Digamos que você acesse o site do seu
banco. Seu navegador recebe o certificado público, que ele usa para criptografar e
descriptografar o tráfego com os servidores da Web do banco. Os servidores da web do seu
banco têm a chave privada, o que prova que o banco é quem diz ser e permite que o banco
descriptografe seu tráfego. Você pode ver um diagrama de como a criptografia assimétrica funciona em alto ní
FIGURA 5-2:
A criptografia
assimétrica usa
duas
chaves vinculadas
matematicamente
para criptografar
e descriptografar dados.
» Diffie-Hellman
» DSS\DSA
» RSA
» ECDH
» ECDSA
» CRL: A Lista de Certificados Revogados rastreia os certificados que foram revogados, o que
os torna inválidos. Por padrão, a CRL base é atualizada a cada sete dias e a CRL
delta é atualizada uma vez por dia.
» SAN: Subject Alternative Names permite que você adicione mais nomes a um certificado do
que apenas o nome comum. Isso é útil quando você precisa oferecer suporte a nomes
curtos e endereços IP, especialmente para trabalhos de desenvolvimento. Você também
pode adicionar outros FQDNs, o que torna esses certificados muito úteis quando você
deseja evitar certificados curinga.
Existem muitos tipos de certificados no AD CS. O servidor padrão não ingressado no domínio tem
um conjunto de modelos de certificado prontos para uso, mas uma autoridade de certificação
(CA) do prêmio Enter ingressada no domínio tem ainda mais modelos de certificado para escolher.
Na seção a seguir, discuto os tipos mais comuns de certificados de usuário e computador que
você encontra e quais são seus usos.
Certificados de usuário
Os certificados de usuário são sobre — você adivinhou — os usuários. Esses certificados são
normalmente usados para estabelecer a identidade de um usuário. Aqui estão alguns dos tipos Compreendendo
digital
o certificados
FIGURA 5-3:
O usuário
certificado
modelo é bom
para EFS, email
seguro e
autenticação de cliente.
O Encrypting File System (EFS) pode ser usado para criptografar arquivos ou pastas e
só pode ser descriptografado pelo usuário que os criptografou ou por um agente de
recuperação autorizado (EFS Recovery Agent). Observe que isso é diferente do BitLocker,
que oferece criptografia de disco total, não criptografia em nível de arquivo/pasta.
» EFS básico: se você estiver usando o EFS, seus sistemas solicitarão automaticamente um
certificado EFS básico de uma de suas autoridades de certificação na primeira vez que
um de seus usuários tentar criptografar um arquivo, supondo que eles ainda não tenham
um certificado de usuário . O certificado EFS básico é usado exclusivamente para
operações EFS.
» EFS Recovery Agent: Este modelo de certificado também é usado em conjunto com o EFS,
mas é usado para descriptografar dados que foram criptografados pelo EFS. Isso pode ser
devido a alguém deixar a empresa ou ter sido rescindido. Pode até ser uma exclusão
acidental. Com o certificado EFS Recovery Agent, os dados podem ser descriptografados.
Por padrão, todos os membros dos grupos Domain Admins e Enterprise Admins
podem se inscrever neste certificado.
Computador
Os certificados de computador são semelhantes aos certificados de usuário, pois verificam
a identidade. A principal diferença é que eles estão verificando a identidade de uma
máquina em vez da identidade de um usuário. Aqui estão alguns dos modelos de
certificado de computador mais comuns e seus usos:
» Computador: O modelo Computador pode ser usado tanto para estações de trabalho
quanto para servidores. Isso geralmente é usado para VPNs para determinar se
um sistema está autorizado, mas também pode ser usado para criptografia. Por padrão, o
nome do sistema é extraído do Active Directory, embora possa ser feito um
processo manual. Você sempre pode consultar o modelo na CA emissora e ele informará
para quais finalidades foi aprovado. Na Figura 5-4, você pode ver as propriedades do
modelo para o modelo Computador.
FIGURA 5-4:
O modelo
Computador
fornece cliente e
servidor
autenticação.
NESTE CAPÍTULO
» Entendendo o Certificado
Autoridade (CA) Arquitetura e
Hierarquia
Capítulo 6
Instalando e
Configurando AD CS
tificates. Se você estiver gerenciando sua própria Infraestrutura de Chave Pública
Em algum momento
(PKI) de suaprovavelmente
do Windows, carreira, vocêusará
provavelmente
os Serviçosprecisará trabalhar
de Certificados do com
Active
Directory (AD CS).
Se você não tem certeza do que é um certificado ou por que deseja um, verifique o Capítulo
5 deste minilivro. Lá, abordo o que são certificados e alguns dos modelos mais comuns
usados para emitir certificados. Como uma breve recapitulação, os certificados são usados
para provar a identidade e/ou criptografar dados. Os certificados são emitidos por servidores
em uma infraestrutura de chave pública (PKI). Como os certificados adquiridos de
autoridades de certificação terceirizadas podem ter custos proibitivos para as organizações,
muitas organizações instalam seus próprios PKIs internos para oferecer suporte a sistemas
ou aplicativos internos.
Uma CA raiz nunca deve ser usada para emitir certificados do dia-a-dia. A melhor prática é
ter no mínimo uma CA raiz e uma CA emissora. A CA raiz emite um certificado de CA
subordinado para a CA emissora, e deve ser isso. Tecnicamente, você pode combinar as
duas funções e fazer com que a CA raiz também seja uma CA emissora, mas essa abordagem
não é recomendada.
Se a CA raiz estiver offline, ela não poderá ser atacada. Este é o tipo mais seguro de CA raiz;
é conhecido como CA raiz offline. Com essa arquitetura, a CA raiz é colocada online para
emitir certificados com base no modelo de CA subordinada para as CAs emissoras. Depois
de emitir o certificado e atualizar as listas de certificados revogados (CRLs), ele é desativado
novamente.
Uma CRL é usada para identificar quais certificados foram revogados, o que significa que não
são mais certificados válidos.
As autoridades de certificação raiz offline são a opção mais segura e devem ser a escolha
preferida. A desvantagem das CAs raiz offline, no entanto, é que você precisa distribuir seu
certificado por meio da Política de Grupo e publicar manualmente as CRLs, o que pode ser
demorado. Para um pequeno departamento de TI, o conjunto de habilidades pode não existir
para dar suporte a esse tipo de manutenção. Se seu ambiente não tiver requisitos
regulamentares rígidos em relação à proteção de sua PKI, uma CA raiz corporativa é uma
boa solução. A CA raiz corporativa está anexada ao Active Directory,
para que possa publicar seu próprio certificado e CRLs automaticamente. Este também é o
método mais simples de implantação, porque há muito pouco trabalho manual. Se você optar por
seguir esse caminho, certifique-se de que o sistema operacional seja protegido, que o acesso
seja limitado aos usuários essenciais e que tenha um bom software anti-malware em execução.
Você precisa tomar algumas precauções extras com uma CA raiz corporativa porque ela está
online o tempo todo.
Na maioria das organizações menores comuns, a CA emissora e a CA de política são a mesma Instalando
e Configurando
AD
CS
Serviços. Isso é usado apenas para controlar a renovação da CA, não a renovação de outros certificados.
Criar este arquivo é um processo simples. Há muitas configurações que podem ser feitas com o arquivo
CAPolicy.inf , então eu recomendo fazer sua pesquisa para determinar quais configurações você deseja
que sejam no arquivo. Preste muita atenção aos períodos de validade que você definir. Você não deseja
que seus certificados de autoridade de certificação tenham uma duração extremamente longa, mas uma
vida útil muito curta afetará os certificados emitidos e seus períodos de validade. Os certificados emitidos
não podem ter períodos de validade mais longos do que o CA em que foram emitidos.
[Versão]
Assinatura="$Windows NT$"
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod = Anos
RenewalValidityPeriodUnits=5
AlternateSignatureAlgorithm=0
Você pode digitar isso no Bloco de Notas e salvá-lo como CAPolicy.inf no diretório C:\Windows . O nome
e a localização são importantes. Se eles não estiverem corretos, as configurações não serão aplicadas. A
seção [Version] é a única seção obrigatória no arquivo e sempre deve estar no início.
Você pode estar se perguntando para que servem as outras configurações. Isto é o que cada um deles
está fazendo:
» RenewalValidityPeriod: especifica para que tipo de período de tempo você deseja que
um certificado renovado seja válido. Você pode escolher entre horas, dias, semanas,
meses ou anos.
Se você for instalar uma CA offline, é importante adicionar um Período CRL ao arquivo CAPolicy.inf . Se
você ativar a CA raiz apenas uma vez por ano, defina-a como uma vez por ano, como no exemplo a
seguir. Você precisa adicionar as duas linhas a seguir na seção [Certsrv_Server] :
CRLPeríodo=anos
CRLPeriodUnits=1
FIGURA 6-1:
Após a instalação
do AD CS, ele
precisa ser
configurado.
14. Na tela Setup Type, selecione Standalone CA (conforme mostrado na Figura 6-2),
e clique em Avançar.
16. Na tela Chave Privada, selecione Criar uma Nova Chave Privada e clique em
Próximo.
17. Na tela Cryptography for CA, certifique-se de que o comprimento da chave seja de no mínimo
2048 e selecione SHA256 para assinatura do certificado (consulte a Figura 6-3); em
seguida, clique em Avançar.
19. Para a tela Vality Period, aceite o padrão de cinco anos e clique em
Próximo.
FIGURA 6-2:
Você não pode
alterar essa
seleção
posteriormente
sem reinstalar o AD CS.
Instalando
e Configurando
AD
CS
FIGURA 6-3:
A tela Criptografia para
CA permite
definir parâmetros
de segurança
importantes
para sua CA.
Quando a configuração estiver concluída, você obterá a tela Resultados com uma mensagem de
Configuração bem-sucedida.
Em seguida, você precisa obter o certificado e a CRL da CA raiz para poder publicá-los no
Active Directory. Normalmente, você os copia para uma unidade flash porque a CA raiz não
deve estar na rede.
FIGURA
6-4: O
arquivo de
certificado raiz
recém-criado e
a CRL precisam
ser copiados da CA raiz.
Copie os arquivos para um sistema onde você possa fazer login com uma conta que seja
membro dos grupos de segurança Administradores de domínio ou Administradores
corporativos no Active Directory. Abra o PowerShell como administrador e execute estes comandos:
O primeiro comando publica o certificado no Active Directory, onde ele será replicado
para qualquer sistema ingressado no AD em aproximadamente oito horas. O segundo
comando publica a nova CRL e o terceiro comando garante que o certificado CA raiz seja
adicionado aos armazenamentos de certificados relevantes em quaisquer CAs subordinadas.
4. Na tela Chave Privada, selecione Criar uma Nova Chave Privada e clique em Avançar.
5. Na tela Criptografia para CA, certifique-se de que o tamanho da chave seja de no mínimo
2048 e selecione SHA256 para assinatura do certificado (consulte a Figura 6-3); em
seguida, clique em Avançar.
Quando a configuração estiver concluída, você obterá a tela Resultados com uma mensagem de Configuração bem-sucedida.
Depois que a configuração estiver concluída, você não terá nenhuma tarefa manual para
concluir, como fazia com a raiz offline. Os certificados e CRLs são publicados diretamente
no Active Directory.
4. Na tela Chave Privada, selecione Criar uma Nova Chave Privada e clique em
Próximo.
Escolhi a ISSUECA.
Você deve ver a CA raiz corporativa criada anteriormente na lista, conforme mostrado na
Figura 6-5. Observe que, se você criou a CA raiz offline, pode selecionar o outro balão
nessa tela para gerar uma solicitação de assinatura de certificado (CSR).
FIGURA 6-5:
Selecionando a CA
raiz, assumindo
que a CA raiz é
uma CA corporativa,
para emitir o
certificado da CA emissora.
Quando a configuração estiver concluída, você obterá a tela Resultados com uma mensagem de
Configuração bem-sucedida.
Instalando
e Configurando
AD
CS
FIGURA
6-6: O Microsoft
Management
Console (MMC)
oferece várias
opções de
configuração
para o seu sistema,
incluindo certificados.
6. Clique em OK.
9. Com a pasta Certificates selecionada, clique com o botão direito do mouse no espaço em
branco ao lado dela, escolha All Tasks e, em seguida, Request New Certificate (consulte a Figura 6-7).
FIGURA 6-7:
A solicitação
de um certificado
no MMC começa
quando você
seleciona o
armazenamento
de certificados e faz a solicitação.
12. Escolha Domain Controller, conforme mostrado na Figura 6-8, e clique em Enroll.
O servidor fará a solicitação e retornará com uma mensagem de sucesso após a emissão do certificado.
FIGURA 6-8:
Você é presenteado
com o cer
tifique os modelos
que você tem
permissão
para usar.
Isso é tudo o que você precisa fazer para se inscrever em um certificado de uma CA emissora corporativa em
um sistema ingressado em AD.
Com CAs empresariais, você pode se inscrever em certificados de qualquer máquina em que esteja. Você pode
ter alguns dispositivos que não estão conectados ao Active Directory. Esses sistemas estão apenas sem sorte?
Claro que não! A interface de inscrição na web permite que você emita certificados com uma solicitação de
assinatura de certificado (CSR) que você gerou de praticamente qualquer dispositivo.
Um CSR é gerado quando você deseja criar um certificado. Ele contém a chave pública que você deseja incluir
no certificado, bem como as informações que deseja incluir no certificado, como nome, organização e assim
por diante. O nome é referido como um nome comum e consiste no nome de domínio totalmente qualificado do
sistema (por exemplo, www.dummies.com).
Vamos retornar à CA de emissão corporativa que você instalou anteriormente e adicionar a parte de registro da
web:
14. Marque a caixa de seleção para Inscrição na Web da Autoridade de Certificação e clique em
Próximo.
Você pode estar se perguntando para que serve todo esse trabalho. Você forneceu a seus
usuários uma página da Web onde eles podem solicitar e receber certificados por conta própria,
sem a necessidade de solicitá-los. Essa é uma maneira fantástica de permitir que seus usuários
protejam seus aplicativos internos sem precisar entrar em contato com outra pessoa para criar o
certificado para eles. Seus usuários podem acessar a interface da Web (mostrada na Figura 6-9)
em http:// servername/CertSrv/Default.asp.
FIGURA 6-9:
A teia
A página de
inscrição para
certificados é simples e fácil
usar.
Agora que o OCSP está instalado, você precisa habilitar seu modelo de certificado para quando for
configurá-lo. Siga esses passos:
3. Clique com o botão direito do mouse em Modelos de certificado e escolha Novoÿ Modelo de certificado
para Emitir.
Agora você deve ver o modelo de assinatura de resposta OCSP listado em Modelos de certificado,
conforme mostrado na Figura 6-10.
FIGURA 6-10:
O OCSP
O modelo de
assinatura de
resposta é necessário
para definir as
informações de
revogação como
parte da configuração do OCSP.
2. Clique com o botão direito do mouse em Configuração de revogação e escolha Adicionar revogação
Configuração.
O nome pode ser o que você quiser. Vou nomear o meu ISSUECAREV.
5. Na tela Select CA Certificate Location, deixe o padrão Select a Certificate for Existing
Enterprise CA selecionado e clique em Next.
8. Clique em Avançar.
Instalando
e Configurando
AD
CS
FIGURA 6-11:
Definir a
configuração
de revogação
OCSP requer
o modelo de
certificado de
assinatura de resposta OCSP.
Seu respondedor OCSP agora está instalado e funcionando! Agora, quando um certificado é
apresentado, o serviço OCSP pode responder com uma resposta em tempo real que indica se o
certificado ainda é válido ou se foi revogado.
Configurando o modelo
O primeiro passo para configurar a inscrição automática é configurá-la no próprio modelo de
certificado. Então, vamos configurar o modelo para registrar automaticamente o grupo de usuários do domínio.
4. Selecione o modelo de certificado do usuário, clique com o botão direito do mouse e escolha Duplicar
Modelo.
5. Na guia Compatibilidade, altere o menu suspenso Autoridade de Certificação para a versão mais baixa
da CA que você possui. Faça o mesmo para o menu suspenso Destinatário para a versão de
servidor/desktop mais baixa que você possui.
9. Clique em OK.
11. Clique com o botão direito do mouse em Modelos de certificado novamente, mas
desta vez escolha Novoÿ Modelo de certificado a ser emitido.
12. Selecione seu novo certificado de usuário VPN (ou o que você nomeou na etapa 6) e
Clique OK.
Agora a CA está configurada para emitir o novo certificado de usuário. Você está pronto para configurar a
Diretiva de Grupo para que os usuários ingressados no domínio obtenham automaticamente seus certificados
quando fizerem login.
2. Clique com o botão direito do mouse na Diretiva de domínio padrão (ou em qualquer diretiva em
que você deseja colocá-la) e escolha Editar.
7. Clique em OK.
FIGURA 6-12: A
última parte da
configuração do
registro automático é
definir a Diretiva de
Grupo para
registrar automaticamente
certificados de usuário.
NESTE CAPÍTULO
Capítulo 7
Neste capítulo, você aprenderá como proteger sua infraestrutura de DNS usando DNS
Security Extensions (DNSSEC) e Autenticação de Entidades Nomeadas (DANE) baseada
em DNS.
Compreendendo o DNSSEC
O DNSSEC foi projetado para impedir que invasores sequestrem o processo de pesquisa
de DNS e proteja os usuários de endereços para servidores mal-intencionados. DNSSEC
assina zonas e registros, o que permite que o endpoint que fez a consulta valide se um
registro DNS é um registro válido ou se está redirecionando para um local inválido e
potencialmente malicioso (envenenamento de cache de DNS).
Ao assinar digitalmente a zona raiz em sua infraestrutura de DNS, você pode garantir aos usuários
que seus sistemas estão obtendo respostas de servidores DNS válidos.
As assinaturas digitais criam um hash – pense nisso como uma impressão digital única. Se algo
sobre um registro for alterado, o hash não corresponderá e o registro será inválido.
É importante lembrar que o DNSSEC não criptografa nenhum dado; está apenas validando a
identidade do servidor DNS que está fazendo a pesquisa de DNS.
» Chave de Assinatura de Chave (KSK): A KSK é uma chave de longo prazo usada para assinar ZSKs e
validar registros DNSKEY.
» Chave de Assinatura de Zona (ZSK): A ZSK é uma chave de curto prazo usada para assinar o
registros DNS.
Para proteger uma zona com DNSSEC, uma das primeiras coisas que ocorre é o agrupamento de
tipos de registros semelhantes em um conjunto de registros de recursos (RRset). O RRset é então
assinado digitalmente, o que fornece proteção para todos os registros individuais dentro do conjunto
de registros de recursos.
A chave privada do ZSK é usada para assinar digitalmente cada RRset, e a chave pública do ZSK é
usada para verificar a assinatura. A assinatura digital de cada RRset é salva como um registro
RRSet Signature (RRSIG).
» RRSIG: Contém a assinatura digital de um RRset que foi assinado pelo ZSK, ou um registro DNSKEY que
foi assinado pelo KSK.
» DNSKEY: Os registros DNSKEY podem conter a chave pública do ZSK ou a chave pública do KSK.
» DS: O registro do Signatário de Delegação (DS) permite a transferência de confiança da zona pai para uma
zona filha, que por sua vez permite que a zona filha seja habilitada para DNSSEC. O registro DS contém
uma cópia com hash do DNSKEY da zona pai.
» NSEC: DNS tradicional retorna uma resposta vazia se não houver correspondência. O problema com isso
é que não está fornecendo uma resposta autenticada. Os registros NSEC retornam uma resposta
autenticada com o próximo registro seguro disponível. Por exemplo, digamos que você solicite
totalmentebogus.sometestorg.com.
Não há registro para totalmentebogus, então o servidor DNS pode apenas retornar o registro para
www.
» NSEC3: NSEC3 faz a mesma coisa que NSEC, mas o nome do proprietário no
registro é armazenado em um estado de hash. Ao armazenar o nome do proprietário em hash, você protege
contra a enumeração de zona, que é uma forma de reconhecimento que permite a um invasor construir a
zona DNS com base em redirecionamentos para outros registros.
Configurando DNSSEC
Agora você tem uma compreensão de como o DNSSEC funciona em alto nível. Vamos
realmente configurá-lo em nosso servidor Windows.
Habilitando DNSSEC
Quando você decidir que deseja usar o DNSSEC, a primeira coisa a fazer é entrar e assinar a
zona DNS. Você precisa de um sistema que tenha a ferramenta administrativa DNS Manager
instalada. Siga esses passos:
2. Expanda o servidor e as zonas de pesquisa direta e selecione o domínio no qual deseja habilitar
o DNSSEC.
3. Clique com o botão direito do mouse no domínio e escolha DNSSECÿ Assinar a zona, conforme mostrado na
Figura 7-1.
4. Clique em Avançar.
Protegendo
DNS
seu infraestrutura
A
6. Na tela Key Master, selecione The DNS Server <yourservername> Is the Key Master e clique em Next.
FIGURA 7-1:
você pode habilitar
DNSSEC em um
zona selecionando
Assine a Zona
localizada sob
DNSSEC no
cardápio.
15. Na tela Next Secure (NSEC), escolha Use NSEC3 e clique em Next.
16. Na tela Trust Anchors, selecione a opção Enable the Distribution of Trust
Anchors for This Zone, deixe a outra caixa de seleção marcada e clique em
Next.
17. Na tela Signing and Polling Parameters, altere o algoritmo de geração de registro DS para apenas
SHA-256, conforme mostrado na Figura 7-3.
FIGURA 7-2:
Criar o KSK é
simples — você
pode aceitar os
padrões com segurança.
FIGURA 7-3:
Considerando que
o registro DS é
responsável pela
transferência de
trust, você deseja
selecionar apenas
algoritmos seguros,
como SHA-256.
Se você quiser verificar se o DNSSEC está ativado, pode ser necessário atualizar, mas verá Protegendo
DNS
seu infraestrutura
A
todos os tipos de registro especiais que mencionei anteriormente. Meu exemplo é mostrado
na Figura 7-4.
FIGURA 7-4:
Depois que a
zona for
assinada, os tipos
de registro DNSSEC
especiais
aparecerão na zona assinada.
2. Expanda seu domínio e clique com o botão direito do mouse em Política de domínio padrão.
3. Clique em Editar.
5. Na seção Criar Regras, certifique-se de que Sufixo esteja selecionado no menu suspenso
caixa para baixo e, em seguida, preencha o nome de domínio.
7. Clique em Criar.
Isso é tudo. Com sua política de resolução de nomes em vigor, os sistemas ingressados no domínio
usarão o DNSSEC.
FIGURA 7-5:
Criando um nome
Resolução
Política de dentro
A Diretiva de Grupo
é a maneira mais
simples de garantir que
os sistemas
ingressados no domínio usarão
DNSSEC.
Entendendo o DANE
DANE é construído em DNSSEC. Embora o DNSSEC tente proteger contra envenenamento e
falsificação de cache de DNS, o DANE adiciona uma camada adicional de proteção ao permitir que o
administrador de um nome de domínio especifique qual autoridade de certificação tem permissão para
emitir certificados para o domínio de sua organização, bem como fornecer uma maneira de autenticar
certificados de cliente e servidor com uma autoridade de certificação. Isso impede que um invasor
emita um certificado de uma autoridade de certificação e tente passá-lo como seu. Requer DNSSEC
para fazer sua mágica.
O básico do DANE
A Autenticação de Entidades Nomeadas (DANE) baseada em DNS usa um tipo de registro mais
recente conhecido como registro TLSA (Transport Layer Security Authentication). O registro TLSA é Protegendo
DNS
seu infraestrutura
A
usado para associar um nome de domínio a um certificado TLS. Nem todos os provedores de
hospedagem DNS oferecem suporte ao DANE, mas se seus servidores DNS estiverem executando o
Windows Server 2016 ou mais recente, você poderá usar o DANE porque o Windows Server 2016
oferece suporte a tipos de registro desconhecidos.
O DANE permitirá que você vincule um certificado a um nome DNS específico usando DNSSEC.
Configurando o DANE
A configuração do DANE consiste em duas partes: primeiro, você deve gerar o registro TLSA e,
em seguida, instalar o registro TLSA com o PowerShell.
TLSA, você precisa de uma cópia do certificado que deseja proteger. Siga esses passos:
Isso pode variar dependendo do navegador. Estou usando o navegador padrão, que é o
Edge.
8. Clique em Avançar.
https://www.huque.com/bin/gen_tlsa
12. Clique no menu Iniciar, clique em Acessórios do Windows e clique em Bloco de Notas.
13. Abra o certificado que você exportou com o Bloco de Notas escolhendo Arquivo
ÿ Abrir e, em seguida, selecionando o arquivo de certificado exportado.
-----INICIAR CERTIFICADO-----
e terminando com:
-----CERTIFICADO DE FIM-----
Você recebe uma saída semelhante à Figura 7-7. Com isso em mãos, você pode instalar o
registro TLSA no servidor.
Protegendo
DNS
seu infraestrutura
A
FIGURA 7-6:
você precisa gerar
rar o TLSA
gravar antes de
poder usá-lo.
FIGURA 7-7:
A página gerou
o registro
TLSA e agora
você pode instalá-lo.
1. Clique com o botão direito do mouse no menu Iniciar e selecione Windows PowerShell (Admin).
Se você vir um tipo de 52, ele foi reconhecido como um registro TLSA válido. Um exemplo é
mostrado na Figura 7-8.
FIGURA 7-8:
É importante verificar
se o registro TLSA
foi criado
corretamente.
O DNS sobre HTTPS permite que o tráfego DNS seja criptografado, o que fornece proteção e confidencialidade e
também mascara efetivamente o tráfego DNS à medida que ele trafega pela porta HTTPS 443, em vez da tradicional
porta DNS 53.
Protegendo
DNS
seu infraestrutura
A
Isso parece ótimo, não é? Você pode estar dizendo a si mesmo que isso é bom demais para ser verdade. Não
poderia haver muitos DNSs que suportam DoH, poderia? Na verdade, existem vários, e suspeito que mais serão
adicionados com o tempo. Se você quiser ver a lista atual de sistemas disponíveis, execute o seguinte comando:
Get-DNSClientDohServerAddress
Você verá uma lista de provedores conhecidos que oferecem suporte a DoH.
6. Clique em Salvar.
FIGURA 7-9:
voce tem varios
opções de
criptografia para
tráfego DNS.
3. Clique com o botão direito do mouse em Política de domínio padrão e escolha Editar.
FIGURA 7-10:
O novo recurso
DoH pode ser
configurado por
meio da Diretiva de Grupo.
Protegendo
DNS
seu infraestrutura
A
5. Escolha Enabled e escolha qual opção você deseja usar para DoH.
Você tem a opção de proibir, permitir ou exigir DNS sobre HTTPS. Vou escolher
Permitir DoH por enquanto.
6. Clique em OK.
Isso é tudo! Se você acompanhou este capítulo, percorreu um longo caminho para melhorar a
segurança de sua infra-estrutura de DNS.
6 Trabalhando com
janelas
PowerShell
Machine Translated by Google
Resumo do conteúdo
CAPÍTULO 1: Apresentando o PowerShell
. . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
NESTE CAPÍTULO
Capítulo 1
Apresentando o PowerShell
lugar comum, haverá uma demanda muito maior por um administrador de sistema
PowerShell é a onda
que tenha do futuro.
habilidades em ÀPowerShell.
medida queAlém
a automação do servidor se
disso, a administração torna com
remota maiso
PowerShell reduz a necessidade de interagir com a interface gráfica do usuário (GUI) e
pode permitir que você faça alterações em um ou mais sistemas de sua estação de trabalho.
Objetos
No PowerShell, um objeto é uma única instância de algo, como um serviço ou um
processo. Se você executar Get-Process ou Get-Service dentro do PowerShell, cada linha
é um objeto (supondo que você esteja usando a formatação padrão). Na Figura 1-1, há um
serviço em cada linha e cada serviço é um objeto.
FIGURA 1-1:
Cada
linha retornada no
O comando
Get-Service é
um objeto.
Oleoduto
O pipeline permite pegar a saída de um comando e enviá-la (transmitir) para o próximo
comando. Por exemplo, se estiver tentando descobrir quais métodos e propriedades estão
disponíveis para um cmdlet, você pode usar a saída do cmdlet e canalizá-la para Get-
Member. Na Figura 1-2, entrei em Get-Service sem filtros e adicionei Get-Member. Nesse
caso, como não há filtros, Get-Member pode retornar todos os métodos e propriedades
associados a Get-Service.
Você pode fazer muitas coisas depois do pipeline. Normalmente, você vê coisas como
formatação e filtros, às vezes até comandos de exportação.
Apresentando
PowerShell
o
FIGURA 1-2:
Usar o pipeline
permite
enviar a saída
de um comando
para a entrada
de outro.
Provedores
Os provedores do PowerShell permitem que você acesse várias fontes de dados como se
fossem uma unidade de dados regular em seu sistema. Os provedores integrados ao
PowerShell estão listados na Tabela 1-1. Você pode visualizar uma lista dos provedores
integrados em seu sistema com o seguinte comando:
Get-PSProvider
Registro HKLM:
Pseudônimo Alias:
Ambiente Ambiente:
Sistema de arquivo C:
Função Função:
Variável Variável:
Os provedores do PowerShell permitem que você interaja com seu sistema de maneiras diferentes.
Por exemplo, o provedor FileSystem permite que você trabalhe com o sistema de arquivos em seu
servidor usando os cmdlets PSDrive. Get-PSDrive retornará uma lista de todas as unidades
disponíveis na sessão atual do PowerShell, incluindo as unidades do sistema, bem como as
unidades que podem ser usadas para trabalhar com outros provedores. Você também pode criar e
remover um PSDrive com os cmdlets New-PSDrive e Remove-PSDrive .
Variáveis
Pense em uma variável como um contêiner no qual você pode armazenar algo. Você pode criar
uma variável a qualquer momento. As variáveis não diferenciam maiúsculas de minúsculas e podem
usar espaços e caracteres especiais. Como prática recomendada, a Microsoft evita usar espaços e
caracteres especiais em nomes de variáveis. Ele recomenda usar caracteres alfanuméricos (A–Z,
0–9) e o caractere de sublinhado (_).
As variáveis são declaradas com o cifrão ($). Por exemplo, se eu quisesse criar uma variável para
armazenar meu primeiro nome, poderia digitar o seguinte:
$PrimeiroNome = "Sara"
Quando você deseja exibir o valor de uma variável, tudo o que precisa fazer é digitá-lo com o cifrão
anterior. Na Figura 1-3, você pode ver que defini minha variável FirstName como meu primeiro
nome, Sara. Então eu digitei o nome da variável e ele me mostrou o valor da variável.
Sessões
As sessões são usadas para se conectar ao PowerShell em um sistema remoto. Isso pode ser feito
para executar comandos ou interagir diretamente com o PowerShell no sistema remoto.
Por exemplo, New-PSSession criará uma nova sessão do PowerShell. Isso pode ser feito em um
sistema local ou em um sistema remoto. Observe que New-PSSession cria uma conexão persistente,
enquanto Enter-PSSession se conecta a um sistema remoto, mas cria apenas uma conexão
temporária que existe enquanto o comando ou os comandos estiverem em execução.
Apresentando
PowerShell
o
FIGURA 1-3:
Usar o cifrão
informa ao
sistema que
você está
trabalhando
com uma
variável. Você
pode criar e
exibir
variáveis
adicionando o cifrão na frente do nome da variável.
Comentários
Sempre que você escrever scripts do PowerShell, você deve sempre adicionar comentários, que
ajudam outras pessoas a entender como o código funciona e o que ele está fazendo. Os comentários
também podem ajudá-lo se você precisar alterar o código ou se não o executar com muita frequência.
Os comentários começam com o símbolo de cerquilha (#). Tudo o que vem depois do símbolo de
hash nessa linha faz parte do comentário. Veja o seguinte exemplo:
#Isto é um comentário...
Write-Host "Isto não é um comentário"
Apelido
Aliases são atalhos para comandos completos. Há muitos para listar todos os aliases do PowerShell,
mas a Tabela 1-2 lista alguns dos mais comuns.
Cmdlets
Um cmdlet é um pedaço de código que consiste em um verbo e um substantivo. Verbos comuns
são Obter, Definir, Novo, Instalar e assim por diante. Com o cmdlet Get-Command, Get é o verbo
e Command é o substantivo.
gcm Get-Command
organizar Classificar-objeto
kimono
Get-Item
cp Copiar item
em Lista de formatos
pwd Get-Location
cls Clear-Host
em Novo item
dormir Iniciar-Sleep
onde Onde-objeto
Quando você executa esse comando, o PowerShell retorna uma lista de todos os comandos
em que o substantivo inclui rede. Os asteriscos são curingas e basicamente informam ao
PowerShell que você não se importa se há texto antes ou depois do substantivo que está
procurando. Um exemplo desse comando é mostrado na Figura 1-4.
Os parâmetros permitem refinar o que você está interessado em fazer o comando. Por
exemplo, usar o cmdlet Get-Command por padrão retornará cmdlets, aliases e funções.
Usando o parâmetro -All , você pode fazer com que o cmdlet Get-Command retorne cmdlets,
aliases, funções, filtros, scripts e aplicativos. Você pode descobrir quais parâmetros estão
disponíveis para um determinado comando verificando a documentação de ajuda do comando.
Abordei o uso da ajuda no PowerShell posteriormente neste capítulo.
Apresentando
PowerShell
o
FIGURA 1-4:
Você pode usar o
cmdlet
Get-Command
para encontrar
outros comandos,
mesmo que você não
conheça o substantivo inteiro
nome.
Usando o PowerShell
Nesta seção, mostro o uso diário típico do PowerShell e como realizar as coisas que tornarão
sua vida como administrador de sistema muito melhor.
FIGURA 1-5:
O PowerShell ISE é
uma ferramenta
muito poderosa para
escrever
scripts do
PowerShell.
Editores de texto
O Visual Studio Code é um editor de código projetado para ser uma versão leve dos
produtos tradicionais e mais complexos. Ele é otimizado para desenvolvimento rápido de
código e está disponível gratuitamente para Windows, Linux e macOS. Ele apresenta muitos
dos recursos úteis aos quais você está acostumado se já usou o PowerShell ISE no passado,
mas adiciona alguns novos recursos que o tornam uma ferramenta organizacional melhor.
Ele pode concluir comandos com o IntelliSense e tem um método muito mais amigável de
navegar pelos comandos do PowerShell quando você instala a extensão do PowerShell.
Para administradores de sistema que tenham alguma familiaridade com o Visual Studio ou
que desejam integração com o GitHub ou outros repositórios de código, o Visual Studio
Code é uma ótima opção. Ele traz suporte para comandos Git prontos para uso e pode ser
personalizado com outras extensões além da extensão principal do PowerShell. Daqui para frente,
6. Na tela Selecionar pasta do menu Iniciar, escolha uma pasta no menu Iniciar se desejar
que o aplicativo seja armazenado em algum lugar diferente do padrão e clique
em Avançar.
Você também pode optar por não criar uma pasta do menu Iniciar. Aceito os padrões.
Na figura, você pode ver que o PowerShell é o primeiro da lista. Certifique-se de selecionar o
desenvolvido pela Microsoft.
FIGURA 1-6:
A tela
Selecionar tarefas
adicionais permite
personalizar como
e quando você
interagirá com
o VS Code.
FIGURA 1-7:
Após a
instalação
do VS Code,
você pode
instalar a
extensão
PowerShell do Extension Marketplace.
marca ao lado de um cmdlet, seu navegador abre a página de ajuda online desse cmdlet.
Clicar no ícone de lápis insere o cmdlet na janela de codificação.
Apresentando
PowerShell
o
FIGURA 1-8:
As janelas
PowerShell
Command Explorer
mostram os
cmdlets do
PowerShell e
fornecem acesso
fácil aos arquivos de ajuda.
Propriedades e métodos
Propriedades e métodos são usados junto com cmdlets para refinar o que você deseja que o
cmdlet faça. As propriedades são usadas para exibir os dados que se aplicam a um objeto,
como verificar se um objeto é somente leitura ou para verificar se existem dados relacionados a
um objeto. As propriedades são prefixadas com um traço como este:
Métodos são diferentes de propriedades. Você os chama colocando um ponto (.) antes do nome
do método. Os métodos geralmente são usados para especificar algum tipo de ação que você
deseja executar em um objeto. Considere o método Replace no exemplo a seguir:
Aqui, você está usando o método Replace para alterar a palavra great para a palavra super.
Variáveis
Como mencionei anteriormente, as variáveis são usadas para armazenar valores. Eles podem
armazenar comandos, valores e strings. Você usará variáveis extensivamente se fizer qualquer
quantidade de script porque elas tornam as coisas mais simples. Você pode chamar uma
variável em vez de digitar um comando longo, por exemplo.
Matrizes
Uma matriz é um tipo de variável. Ao criar a variável de matriz, você atribui vários valores à
mesma variável. Por exemplo:
$Alfabeto = "A,B,C,D,E,F"
Esse código cria uma variável de array chamada $alphabet, que contém as letras A, B, C, D, E
e F.
Para ler o conteúdo do array, você faz o mesmo que faria para exibir o conteúdo de uma
variável. Você chama a variável na janela do PowerShell — neste caso, $Alphabet. Você obtém
uma exibição semelhante à Figura 1-9 se usar meu exemplo.
Arrays são um tipo de variável muito útil para o trabalho de administração do sistema. Por
exemplo, quando você deseja armazenar uma lista de nomes de usuário ou nomes de
computador que você exportou do Active Directory para poder executar comandos em cada um
deles, uma matriz é um ajuste perfeito. Ainda não cobri loops, mas você pode executar um
comando em cada entrada em uma matriz com um loop, em vez de executar um comando em
um sistema individual.
Apresentando
PowerShell
o
FIGURA 1-9:
Criar uma variável
de array e
exibir uma
variável de array
são muito
semelhantes ao que
você usou
anteriormente para trabalhar com variáveis.
O pipeline pode ser muito útil para passar comandos e/ou dados para outro comando para
que você possa agir sobre ele. Digamos, por exemplo, que a calculadora esteja funcionando
e você odeie aquela calculadora irritante. Você pode executar o seguinte comando para finalizá-lo.
Claro que você poderia ter acertado o X vermelho para fechar a calculadora, mas que graça
teria? No mundo real, você usaria esse comando para interromper um processo que não está
respondendo. Você pode usar uma versão semelhante com Start-Process ou outros cmdlets
úteis e executá-los em um ou mais servidores para simplificar as tarefas de administração
remota.
Nesse caso, o $_ está passando a saída do cmdlet Get-Process e permite que você acesse
as propriedades do comando Get-Process para executar os operadores de comparação.
Você pode ver a saída real desses dois comandos na Figura 1-10.
FIGURA 1-10:
Usando um
pipeline com $_
para passar a
saída do
primeiro cmdlet,
o que permite
usar as
propriedades
do cmdlet para
filtrar usando
os operadores de comparação.
Então, quando você deve usar o pipeline? Acredito que você deva usar o pipeline sempre
que precisar que a saída de um comando seja passada para o próximo comando.
Isso pode resultar em alguns pipelines muito longos, mas usar o pipeline é mais simples do
que dividir cada cmdlet por conta própria.
Get-Module -ListAvailable
Se você executar o comando sozinho, obterá uma lista dos módulos que estão
disponíveis atualmente em sua sessão. Ao adicionar o parâmetro -ListAvailable , você
pode obter uma lista de módulos instalados em seu computador e disponíveis para uso.
Esse comando levará algum tempo para retornar resultados, mas quando retornar, você Apresentando
PowerShell
o
terá uma boa lista de todos os módulos do PowerShell disponíveis em seu sistema.
Incluí um exemplo da saída na Figura 1-11. Observe que sua saída pode parecer
diferente porque você terá módulos adicionais listados com base nas funções e recursos
instalados em seu sistema.
FIGURA 1-11:
A visualização
dos módulos
disponíveis no
PowerShell dá uma
ideia de quão
poderoso ele
pode ser e de
quantas ferramentas
você tem à sua disposição.
-eq e -ne
Igual a (-eq) e diferente de (-ne) são usados quando você precisa encontrar uma correspondência
exata para algo ou quando deseja garantir que seus resultados não correspondam. A resposta que
você recebe é uma resposta verdadeiro/falso. Considere o seguinte exemplo de código:
$num = 2
$outros = 3 $num
-eq $outros
Quando a última linha for executada, ela retornará um falso porque 2 não é igual a 3. Vamos
executar diferente de (-ne) agora, que retorna um verdadeiro:
Você pode ver esses pequenos fragmentos na Figura 1-12 com suas saídas.
FIGURA 1-12:
Se você está
tentando
determinar se
um objeto
corresponde a
outro, um
simples igual
a (-eq) pode ser sua melhor aposta.
-gt e -lt
Maior que (-gt) e menor que (-lt) também são operadores de comparação que retornam uma resposta
verdadeiro/falso. Você pode brincar com uma versão realmente simples disso, definindo uma variável
com um valor e, em seguida, testando-a. Por exemplo:
Apresentando
PowerShell
o
$x=4
$ x -gt 8
O código anterior verificará se o valor de x (neste caso, 4) é maior que 8. Não é, então a resposta
será falsa.
-e e -ou
-and e -or também retornam respostas verdadeiro/falso com base nas condições fornecidas. -e, por
exemplo, retorna um verdadeiro se ambas as declarações que ele alimenta forem verdadeiras. -or
retorna verdadeiro se uma das declarações fornecidas for verdadeira.
Por exemplo, a seguinte afirmação será verdadeira se $a for menor que $b e $b for menor que 50:
Esta equação é semelhante, mas será verdadeira se $a for menor que $b ou se $b for menor que 50:
Host de gravação
Write-Host é usado para escrever coisas na tela. Este comando é muito útil quando você deseja dar
algum contexto ao resultado de algo.
Por exemplo, você pode definir o valor de uma variável, neste caso, $x para 2:
$x=2
Então você pode usar Write-Host para imprimir uma frase e a saída da variável:
Saída de gravação
Write-Output imprime o valor de uma variável em uma tela, assim como simplesmente digitar
a variável. O principal motivo para usar esse comando específico é que você pode dizer a
ele para não enumerar dados. Se você estiver trabalhando com arrays, isso pode ser útil
porque o array será passado pelo pipeline como um único objeto em vez de vários objetos.
FIGURA 1-13:
Adicionando -Não
Enumerar conta
PowerShell para
tratar arrays
de forma diferente
do normal.
Out-File
Out-File é outro método para exportar dados do PowerShell para um arquivo fora do PowerShell.
Isso é especialmente útil quando você precisa compilar os dados de um script, por exemplo, para
análise posterior.
Apresentando
PowerShell
o
Para obter uma lista de processos em execução em um sistema para que você possa despejá-los
em um arquivo, você pode fazer algo assim:
Lógica de script
Os loops podem tornar um script do PowerShell ainda mais poderoso. Por exemplo, digamos que
você queira executar um comando em uma lista exportada de computadores do Active Directory.
Você pode usar um loop para enumerar o arquivo CSV importado e executar o comando em cada
entrada individual.
Se
A instrução If testa uma condição para ver se ela é verdadeira. Se for verdadeiro, executará o código
do bloco. Se não for verdadeiro, verificará a próxima condição ou executará as instruções do bloco
final. Aqui está um exemplo bobo:
$servidor = 'Windows'
If ($servidor -eq 'Linux') {
Write-Host 'Este é um servidor Linux.'
}
ElseIf ($server -eq 'Solaris') { Write-Host
'Este é um sistema Solaris.' }
Else
{ Write-Host "Não sei que tipo de sistema é esse." }
Nesse caso, como $server foi inicializado como Windows, os dois primeiros blocos serão ignorados,
mas o terceiro bloco será executado. O último bloco é ignorado porque não foi alcançado.
ParaCada-objeto
O uso de ForEach-Object permite enumerar vários objetos que foram passados pelo pipeline ou
mesmo importados de arrays e arquivos CSV, apenas para
cite alguns. Digamos que você queira reunir os nomes de todos os processos em execução
em seu sistema, mas não deseja nenhuma das outras informações que o acompanham.
Você poderia usar ForEach-Object para fazer isso:
Enquanto
Os loops while são conhecidos como loops de pré-teste porque o código não é executado se
a condição definida para o loop não for verdadeira. Basicamente, o código será executado
até que a expressão que está avaliando se torne falsa. Isso pode ser muito útil quando você
precisa incrementar ou decrementar um contador. Observe o seguinte exemplo:
$meuint = 1
FAZER
{
"Número do loop inicial $ myint" $ myint
$ myint+
+
"Agora meu número inteiro é $ myint"
} Enquanto ($myint -le 5)
Você pode estar pensando: “Ok, vai contar de 1 a 5.” Mas isso não é bem verdade.
No quinto loop, o loop While vê que 5 é menor ou igual a 5, permitindo que ele continue.
Somente quando for apresentado com 6 ele interromperá a execução porque 6 não é menor
ou igual a 5. Portanto, ele contará de 1 a 6. Experimente!
A exportação de um CSV é muito útil quando você tem uma saída que contém várias
colunas. Este é o meu comando principal quando estou fazendo uma exportação do Active
Directory porque mantém tudo limpo e organizado.
Veja como exportar os processos em um sistema, semelhante ao que você fez com Out
Arquivo para obter um arquivo de texto:
Você só precisa especificar -Path se quiser salvar a saída ou importar a saída de algum lugar
diferente do diretório em que você está atualmente.
Exportando HTML/XML
Este não é exatamente uma exportação verdadeira. Na verdade, você está convertendo a saída
de um comando em HTML e, em seguida, usando Out-File para gravá-lo nesse arquivo.
Considere o seguinte exemplo:
Você pode ver este exemplo na Figura 1.14, onde usei o comando Invoke-Item para realmente
abrir meu arquivo HTML criado que contém a saída do comando Get Process .
FIGURA 1-14:
o convertido
O cmdlet To-Html
pode ser usado
para
converter a
saída de um
comando anterior
para um formato
HTML, que pode
ser gravado em
arquivo com Out-File.
Execute o cmdlet Get-Process para obter uma linha de base para aparência. A Figura 1-15
dá uma ideia da aparência da saída do cmdlet.
LISTA DE FORMATOS
Format-List pega a saída do cmdlet ou qualquer código que esteja antes dele e transforma
a saída em uma lista. A saída de Get-Process | Format-List se parecerá com a Figura 1-16.
FORMAT-TABLE
Format-Table pode pegar dados em um formato de lista e convertê-los em uma tabela. Com
o cmdlet Get-Process que estou usando neste capítulo, ele não alteraria a saída porque Get-
Process já está gerando uma tabela. Você pode adicionar o parâmetro -AutoSize para que
os tamanhos das colunas na tabela sejam ajustados automaticamente.
Apresentando
PowerShell
o
FIGURA 1-15:
A saída de
Get-Process
é normalmente em
formato de tabela.
FIGURA 1-16:
Get-Process
formatado em
uma lista em
vez do formato
de tabela usual.
EM TODO O FORMATO
FIGURA 1-17:
Você pode usar
Formato amplo para
formatar bem e
apresentar dados
em formatos de tabela.
Chamar-Comando
Invoke-Command pode ser usado local ou remotamente. Como o foco desta seção
está no uso remoto do cmdlet, é aí que vou me concentrar. Diga que eu queria correr
-ScriptBlock {Get-Process}
Nova-PSSession
A execução de New-PSSession permite estabelecer uma conexão duradoura e
persistente com um sistema remoto em sua rede. Se você deseja executar o
comando por meio de sua PSSession, use o cmdlet Invoke-Command (consulte a
seção anterior). Para abrir a nova conexão, digite o seguinte:
Enter-PSSession
Enter-PSSession permite abrir uma sessão interativa em um computador remoto.
O prompt muda para indicar que você está conectado ao sistema remoto. Na Figura
1-18, você pode ver o prompt alterado, bem como os comandos que executei no
servidor remoto.
FIGURA
1-18:
Interagir com
um servidor
remoto é intuitivo
após conectar-
se a ele com Enter PSSession.
Isso é extremamente útil se você estiver executando sistemas headless como o Server Core em
seu ambiente. Para sair da sessão interativa, você pode digitar Exit-PSSession ou simplesmente
digitar exit.
Atualizar-Ajuda
Uma das primeiras coisas que gosto de fazer com um novo sistema é executar o comando
Update-Help . Esse cmdlet baixa os artigos de ajuda disponíveis no momento em que você
emite o comando. Pode demorar um pouco, então execute-o quando não precisar usá-lo
imediatamente. Na Figura 1-19, você pode ver como é o processo de atualização. Cada módulo
exibe seu progresso. Este processo requer uma conexão com a Internet.
FIGURA 1-19:
Atualizando as
páginas de ajuda
para seus módulos
do PowerShell.
As versões mais recentes dos artigos de ajuda estarão nas páginas de referência do
PowerShell da Microsoft (https://docs.microsoft.com/en-us/powershell/ scripting), não por
download em seu sistema.
Apresentando
PowerShell
o
Obter ajuda
O cmdlet Get-Help é como o canivete suíço dos cmdlets. Se você não sabe o que está
procurando, pode ser muito útil. Aqui estão algumas opções:
» Processo Get-Help: Este comando é bom quando você não sabe o nome exato
do cmdlet que está procurando. Ele procurará tópicos de ajuda que
contenham o processo de palavras e os exibirá para você posteriormente.
-Detalhado e -Completo
Os artigos de ajuda têm diferentes níveis de detalhes nos quais podem entrar. Normalmente,
o artigo de ajuda mostrará a sintaxe básica para dar uma ideia de como usar o cmdlet. Para
ver mais níveis de detalhe, você pode usar o seguinte:
Por exemplo, você pode digitar Get-Help Get-Process -Full para obter todos os detalhes
disponíveis nos arquivos de ajuda do cmdlet Get-Process .
Política de Execução
A Política de Execução permite definir que tipo de scripts podem ser executados em sua rede. Você pode
definir a Política de Execução por meio da Política de Grupo ou do seguinte cmdlet do PowerShell:
Existem vários tipos de política que podem ser colocados no lugar de <policy> no exemplo anterior:
» Restrito: Esta é a política padrão se nenhuma outra política for especificada. Ele impede a execução de
scripts do PowerShell e não carrega arquivos de configuração.
» AllSigned: Para que um script ou arquivo de configuração seja executado, ele deve ser assinado
por um certificado confiável. Eu abordo como fazer isso na próxima seção.
» Irrestrito: Isso permite que você execute todos os scripts e carregue todos os arquivos de
configuração. Você é solicitado a fornecer permissão antes que um script seja executado. Eu
não recomendo usar esta configuração.
» Bypass: É muito semelhante ao Irrestrito, exceto que nem mesmo solicita permissão para executar
um script. Aconselho você a nunca usar essa configuração.
» Indefinido: remove qualquer Política de Execução definida no momento, a menos que essa Política
de Execução esteja sendo definida por meio da Política de Grupo.
Assinatura de código
Para usar uma Política de Execução mais segura, um script do PowerShell precisa ser assinado. Ao assinar
um script do PowerShell, você confirma que ele veio de uma fonte confiável e que não foi alterado desde
que foi lançado. Se estiver usando RemoteSigned, você só precisa se preocupar com assinaturas em
scripts baixados da Internet. No entanto, se o seu pessoal de segurança enlouqueceu e está definido como
AllSigned, você precisa assinar seus scripts do PowerShell antes de executá-los. Nas seções a seguir,
mostro as etapas envolvidas para fazer isso.
Se você estiver criando certificados para uso interno, poderá criar um CSC usando sua
autoridade de certificação interna. Esse é o fluxo de trabalho que você pode percorrer aqui:
2. Clique com o botão direito do mouse em Pessoal, selecione Todas as tarefas e Solicitar novo certificado.
4. Na tela Select Certificate Enrollment Policy, escolha Active Directory Enrollment Policy
e clique em Next.
6. Clique em Concluir.
2. Selecione Pessoal, clique com o botão direito do mouse em seu CSC e escolha Todas as tarefas ÿExportar.
9. Clique em OK.
10. Navegue até onde você salvou o certificado e clique duas vezes nele.
Isso assina o script com o certificado que está na minha Loja Pessoal. Depois que o script for
assinado, posso executá-lo. Não sou solicitado e ele é executado sem problemas. Se você
observar a Figura 1.20, poderá ver como o script se parece com a assinatura adicionada a
ele.
No exemplo da Figura 1.21, mostro tudo do início ao fim. Eu defino a Política de Execução
para AllSigned. Em seguida, tento executar um script não assinado. Você pode ver que
recebo uma mensagem de erro feia dizendo que o script não está assinado digitalmente. Eu
executo o cmdlet do PowerShell para assinar meu script e, em seguida, executo o script
novamente e ele é executado com êxito. Muito legal, certo?
Apresentando
PowerShell
o
FIGURA 1-20:
A assinatura de um
script permite
que ele seja
executado
mesmo em um ambiente
restritivo que
exija que todos
os scripts do
PowerShell sejam assinados.
FIGURA 1-21:
Uma demonstração do
que você vê ao
executar um script
não assinado,
assinar o script e,
finalmente, executar o
script assinado.
NESTE CAPÍTULO
Capítulo
2 Compreendendo o .NET
Framework
e, mais importante, por que ele vem junto com o PowerShell. Usando .NET, não
Muitas pessoas
você só sepode
perguntam por que
fazer coisas noprecisam entender
PowerShell o .NET
que não Framework
conseguiria fazer
nativamente, mas também pode criar funções e módulos com o código .NET que
pode ser reutilizado.
funcionalidade. A estrutura .NET oferece aos desenvolvedores o código de que precisam para
escrever aplicativos .NET sem ter que desenvolver cada pedacinho de código de forma personalizada.
O .NET é integrado ao PowerShell, portanto, você pode chamar os mesmos trechos de código .NET
que os desenvolvedores podem fazer no PowerShell, no console ou em um script. Por exemplo, a
Figura 2-1 mostra um pedaço de código .NET chamado do PowerShell que exibe processos no
sistema. Este pedaço de código .NET é realmente usado para o cmdlet Get-Process do PowerShell.
FIGURA 2-1:
A rede
Estrutura
expande a
funcionalidade
do PowerShell
muito com código
que pode ser chamado
no console ou
por meio de roteiro.
Cada nova versão do .NET Framework adiciona novas funcionalidades e corrige problemas antigos.
O .NET Framework segue uma cadência semelhante à da maioria dos produtos, pois possui versões
principais e secundárias. As versões principais tendem a se concentrar fortemente em novos recursos,
enquanto as versões secundárias adicionam recursos e corrigem problemas encontrados nas
versões anteriores.
No momento da redação deste artigo, a versão 4.8 é a versão principal atual e a versão secundária
atual. A versão 4.8 é a instalada por padrão no Windows Server 2022. É muito comum ter várias
versões do .NET Framework instaladas no mesmo sistema; geralmente não há problema com a
coexistência deles.
A versão do .NET em que você está atualmente está armazenada no Registro do Windows. Para
localizar o número da versão, você pode usar o seguinte comando:
Este comando retorna um número. A Tabela 2-1 lista o número mínimo para cada versão principal.
Quando executo este comando em meu sistema, por exemplo, obtenho 528449. De acordo com a
Tabela 2-1, isso significa que tenho a versão 4.8, que está correta porque o valor mínimo para 4.8
é 528040.
Fonte: https://docs.microsoft.com/en-us/dotnet/framework/
migration-guide/how-to-determine which-versions-are-
installed#ps_a
Na maioria das vezes, você tem uma versão do .NET instalada e é isso. Às vezes, porém, você
pode ter um aplicativo herdado que precisa de uma versão mais antiga do .NET e um aplicativo
mais novo que requer uma versão mais recente do .NET. O melhor do .NET é que você pode
executar mais de uma versão lado a lado. Por exemplo, seu aplicativo herdado pode precisar
do .NET 3.5, mas seu aplicativo mais recente precisa do .NET 4.5. Você pode instalar ambas as
versões do .NET em seu sistema, e cada aplicativo poderá ser executado com a versão do .NET de
que necessita.
O .NET está disponível no sistema operacional do servidor como um recurso. Para instalar o .NET,
siga estas etapas:
6. Na tela Selecionar recursos, selecione Recursos do .NET Framework 3.5 (que instala
o .NET Framework 2.0, 3.0 e 3.5) ou .NET Framework 4.8 e clique em Avançar.
» Classes Base: Melhorias na criptografia foram feitas ao usar o modo FIPS. Anteriormente, você
receberia um erro se usasse uma das versões gerenciadas de uma classe de provedor
criptográfico que não tivesse sido certificada para FIPS 140-2.
O Zlib, que é usado para compactação, também foi atualizado para incluir algumas correções de
problemas.
» Windows Presentation Foundation (WPF): WPF é uma estrutura baseada em interface do usuário
que auxilia na criação de aplicativos de desktop. Nesta versão atualizada do WPF, foi adicionado
suporte para configurações de pontos altos por polegada (DPI). Isso permite que os aplicativos que
precisam de alto DPI sejam dimensionados adequadamente para que sejam nítidos e claros para
o usuário final.
» Common Language Runtime: Foram feitas atualizações no compilador Just-In-Time (JIT). Agora é
baseado na versão .NET Core 2.1 do compilador JIT.
Se você está se perguntando por que eles estão usando algo tão antigo, bem, eles não estão. O .NET
tem sido historicamente específico para o Windows, e o .NET Core é uma estrutura de software
de código aberto que permite criar aplicativos .NET no Windows, Linux e macOS.
Algumas melhorias também foram feitas em como a memória é gerenciada com o Native Image
Generator (NGEN) e recursos de verificação de malware, que garantem que todos os conjuntos
sejam verificados, não apenas aqueles carregados do disco.
A visualização dos assemblies no GAC é feita por meio de uma ferramenta chamada
gacutil.exe. Esta ferramenta faz parte do Prompt de Comando do Desenvolvedor para Visual Compreendendo
Estrutura
o .NET
Studio, então você precisa instalar o Visual Studio em seu sistema se quiser jogar com o
GAC em seu sistema. O Visual Studio IDE Community é a versão gratuita e inclui o Prompt
de comando do desenvolvedor. A Figura 2-2 dá uma ideia de como o GAC se parece quando
você visualiza as montagens. Eu digitei o seguinte comando:
gacutil.exe -l
FIGURA 2-2:
Você pode
exibir o conteúdo
do GAC com
o prompt de
comando
do desenvolvedor.
» Privado: os assemblies privados são implantados com um aplicativo e só podem ser usados
por esse aplicativo. Pense neles como as crianças no parquinho que não compartilham.
[Reflection.AssemblyName]::GetAssemblyName('C:\Windows\
Microsoft.NET\Framework\v4.0.30319\accessibility.dll').Versão
Depois de executar esse comando, sou apresentado aos números principais, secundários, de
compilação e de revisão, conforme mostrado na Figura 2-3.
FIGURA 2-3:
Você precisa
Compreendendo
Estrutura
o .NET
usar o PowerShell
para visualizar
as
propriedades do assembly em
janelas
Servidor 2022.
Compreendendo o .NET
Standard e o .NET Core
O .NET Framework tem sido um elemento básico por muitos anos, mas estruturas mais recentes
estão ganhando popularidade.
.NET Core
O .NET Core é um dos mais novos membros da família .NET Framework. É de código aberto e pode
ser executado no Windows, Linux e macOS. Com o .NET Core, você pode criar aplicativos
multiplataforma. Se seu aplicativo for desenvolvido com .NET Core, somente os aplicativos .NET
Core serão compatíveis — você não poderá dar suporte ao Xamarin ou ao .NET Framework clássico.
O .NET Core é uma implementação das especificações definidas no .NET Standard.
Você pode se perguntar por que usaria o .NET Core se ele não for compatível com os outros
tempos de execução. Existem alguns bons motivos:
» Se você estiver codificando para um aplicativo móvel, o .NET Core é otimizado para dispositivos móveis
trabalhar.
Padrão .NET
O .NET Standard é um conjunto de APIs que todos os frameworks .NET devem suportar. Isso
inclui .NET Core, Xamarin e o clássico .NET Framework. É importante observar que o .NET
Standard é uma especificação, não uma estrutura. Ele é usado para criar bibliotecas que podem
ser usadas em todas as suas implementações .NET, incluindo o .NET Framework tradicional,
o .NET Core mais recente e o Xamarin.
NESTE CAPÍTULO
Capítulo 3
Trabalhando com
scripts e cmdlets
Nocom
Capítulo
isso.1,No
explico o que2,éfalo
Capítulo o PowerShell
um poucoesobre
dou informações
.NET e suabásicas sobre
interação como trabalhar
com
PowerShell. Este capítulo trata de colocar essas informações e suas habilidades
em uso, começando a criar os scripts que você usará diariamente como administrador
de sistema.
e exemplos de como usar os cmdlets. A seleção padrão é a versão estável mais recente
do PowerShell. No momento da redação deste artigo, essa é a versão 7.1. No entanto,
o Windows Server vem com uma versão mais antiga. Você pode atualizar para a nova
versão ou clicar na caixa suspensa Versão e escolher a versão mais antiga.
Cada cmdlet é agrupado por tipo e listado para você examinar ou selecionar.
A Figura 3-1 mostra um exemplo da aparência da página Connect-PSSession.
FIGURA 3-1:
A página
Referência
do site da
Microsoft contém
centenas
de cmdlets
com
descrições,
sintaxe e exemplos.
Se você deseja obter mais exemplos para trabalhar, a Galeria do PowerShell tem
milhares de scripts de exemplo que você pode baixar e começar a usar. O que adoro na
Galeria do PowerShell é que você pode pesquisar o que deseja baixar. Por exemplo,
baixei módulos do PowerShell escritos para firewalls de nível empresarial. Os
fornecedores publicaram apenas uma API; a comunidade se reuniu e escreveu um
módulo do PowerShell que me permite usar a sintaxe familiar do PowerShell em vez de
aprender a API do fornecedor.
C:\PSTemp\dowhile.ps1
.\dowhile.ps1
Se você está se perguntando com quais propriedades você tem que trabalhar, você pode
encontrá-las como faria com um cmdlet normal. O exemplo anterior, por exemplo, poderia ser
digitado da seguinte forma, para saber as propriedades que estão disponíveis:
FIGURA 3-2:
Verificando as
propriedades de
objetos COM
é semelhante
a verificar as
propriedades
dos cmdlets, usando
Get-Member.
Você aprendeu sobre o pipeline e sobre variáveis. Todas essas coisas permitirão que você
seja um ninja do PowerShell, uma ideia de cada vez.
Por exemplo, você poderia escrever esta linha de código desta maneira:
$cmd = Get-Command
$cmd | Get-Member
Combinar vários cmdlets em vez de executá-los um de cada vez e armazenar seus valores
em variáveis funciona muito melhor e com muito mais eficiência. No Capítulo 4 deste minilivro,
mostro como levar isso para o próximo nível e economizar
seus comandos em um arquivo que você pode gravar a qualquer momento. Os scripts do PowerShell são
absolutamente maravilhosos. Eles economizam muito tempo e, se projetados corretamente, você pode
usá-los por anos para automatizar processos e trabalhos em lote.
Get-ChildItem \\servername\sharename
Trabalhar com Server Message Block (SMB), que é um protocolo de compartilhamento de arquivos para
uso em uma rede, também é simples. Vejamos alguns comandos que permitirão trabalhar com
compartilhamentos SMB em servidores de arquivos Windows. Eles são executados localmente, portanto,
Trabalhando
cmdlets
scripts
com
e
você precisará criar uma sessão com o sistema no qual deseja executá-lo.
Get-SmbShare retorna uma lista de todos os compartilhamentos SMB no sistema local. Isso pode ser útil
quando você precisa ir além e listar as propriedades de um compartilhamento.
Por exemplo, digamos que eu queira ver as propriedades de um compartilhamento chamado MyData. Eu
posso digitar algo como o seguinte:
Como você pode ver na Figura 3-3, você pode obter algumas informações valiosas sobre seu
compartilhamento com esse simples comando. Você pode descobrir o caminho físico, se os dados estão
criptografados, se as cópias de sombra estão ativadas e assim por diante.
FIGURA 3-3:
Get-SmbShare
é um cmdlet muito
poderoso que
oferece a
capacidade de
coletar uma
grande quantidade de informações.
Lembre-se de que, para alguns desses scripts, pode ser necessário instalar um módulo
para que funcione corretamente. Se você executar os scripts do Active Directory em seu
controlador de domínio, não precisará adicionar o módulo AD. Se você estiver executando
a partir de um sistema sem Active Directory (como seu desktop, por exemplo), você
precisa importar o módulo Active Directory com o comando Import-Module ActiveDirectory.
Se você tiver o Remote Server Administration Tools (RSAT) instalado em sua área de
trabalho, os módulos poderão ser carregados automaticamente quando necessário.
Como você pode ver na Figura 3-4, a conta de usuário é criada e colocada na OU que
eu especifiquei. A conta está habilitada e estará pronta para o usuário em seu primeiro
dia.
FIGURA 3-4:
A criação de um
usuário no
PowerShell é
rápida e o usuário
Trabalhando
cmdlets
scripts
com
e
aparece
quase
instantaneamente,
conforme mostrado
na janela Usuários e computadores do Active Directory.
FIGURA 3-5:
Executar sua
consulta e ter as
informações na tela
pode ser bom, mas é
ainda melhor
quando está em um
arquivo com o
qual você pode
trabalhar posteriormente.
Get-Process retornará todos os processos ativos por padrão. Você pode executá-lo sozinho e
receber uma saída formatada em tabela com os processos ativos.
Get-Service é um pouco diferente, pois é totalmente normal ter serviços que não funcionam
durante o dia. Se você quiser ver apenas os processos em execução, digite um comando
semelhante ao seguinte:
O $_.Status é uma propriedade de Get-Service. Usar o Where-Object na frente dele filtrará sua
saída para que você veja apenas os serviços em execução.
O que você faz se quiser verificar os serviços em vários sistemas? Você seleciona vários nomes
de sistema como este:
Este comando verificará o WinRM especificamente nos três servidores que incluí após o
parâmetro -ComputerName . Trabalhando
cmdlets
scripts
com
e
NESTE CAPÍTULO
» Entendendo e Criando
scripts do PowerShell
Capítulo 4
ing é tão satisfatório quanto escrever seus próprios scripts e cmdlets. Esse sentimento
Toneladas de scriptsrealmente
de realização já foram não
criados
podeeser
prontos paraquando
superado download, mas
o script emnada
que você está
trabalhando é colocado em uso.
O PowerShell é provavelmente uma das minhas linguagens de script favoritas. A principal razão
é que quando você tem uma compreensão da sintaxe e como procurar as propriedades de vários
cmdlets, você está realmente limitado apenas pela sua imaginação.
Antes de passar a trabalhar com scripts e funções, vamos tirar algumas definições do caminho:
» Script: Um script é uma série de comandos que são executados em ordem, dependendo
se você tem operações condicionais ocorrendo em seu script. Os scripts geralmente
contêm cmdlets, loops e outros elementos que, quando executados juntos, realizam
alguma tarefa. Os scripts são o método mais fácil de automatizar o trabalho repetitivo.
Os scripts do PowerShell são sempre salvos com um tipo de arquivo PS1. Isso informa ao seu
sistema que o arquivo é um arquivo de script do PowerShell e sugerirá o PowerShell ou seu
editor de texto favorito para editá-lo ou abrirá o PowerShell para executá-lo.
Se você precisar de amostras ou quiser fazer o download de trechos de código para criá-lo do
zero, recomendo fortemente a PowerShell Gallery ( www.powershellgallery.com). Ele é mantido
pela Microsoft e possui módulos, scripts e até alguns exemplos de PowerShell DSC, sobre o
qual falo em
FIGURA 4-1:
PowerShell
Galeria é
uma excelente
recurso para
baixar ou ver
exemplos de vários
scripts ou
módulos.
Antes de entrar em um exemplo de script, quero acrescentar que você sempre deve
usar comentários ao escrever um script. Você pode denotar um comentário no
Power Shell iniciando a linha com um hash (#). Tudo depois do hash nessa linha é
ignorado e tratado como um comentário. Os comentários são úteis porque podem
formar um esboço do que você está tentando realizar. Eles podem servir como
documentação para você mais tarde e podem ajudar seus colegas de trabalho a
usar o roteiro ou ajudá-lo a escrevê-lo. avançadas
próprios
funções
Criando
scripts
seus
e
Nas seções a seguir, passo por esse script passo a passo. Então eu mostro a coisa
toda junto. Nunca tema! O script está no repositório do GitHub criado para este livro,
e você pode baixá-lo de lá, em vez de digitá-lo novamente. O repositório GitHub criado
para este livro está localizado em https://github.com/sara-perrott/Server2022PowerShell.
FIGURA 4-2:
Usar arquivos CSV
para importar
conjuntos de dados
para scripts é uma
maneira simples de lidar
com várias entradas.
Criando o roteiro
Este script importa usuários do arquivo CSV que você criou anteriormente e cria uma conta do
Active Directory para cada um deles.
Supondo que você não esteja trabalhando em um controlador de domínio, você precisa importar
o módulo do Active Directory para poder trabalhar com os cmdlets do AD. Esse processo
costumava ser manual, mas agora é importado automaticamente quando necessário.
Presumindo que você tenha as Ferramentas de Administração de Servidor Remoto (RSAT)
instaladas, o módulo para o Active Directory será carregado quando você usar um cmdlet que o exija.
A próxima linha inicia um loop foreach . Este loop irá linha por linha através do arquivo CSV.
Cada linha é armazenada na variável $User . Cada um dos nomes de coluna é chamado pela
seção $User.columnname e o valor é armazenado em cada uma das variáveis que correspondem
ao mesmo nome. (Observe a chave entre o foreach e o bloco variável.)
$FName = $User.FName
$LName = $User.LName
$Username = $User.username
$Email = $Usuário.Email
$Telefone = $Usuário.Telefone
$Dept = $User.Dept
$Password = $User.password $Title
= $User.Title
$OU = $Usuário.OU
Em seguida, você deseja verificar se o nome de usuário que está criando já existe no Active
Directory. A maneira mais simples de fazer isso é com uma instrução If...Else .
Então, aqui está a parte If , que verifica se a conta do usuário já existe e, se existir, imprime o avançadas
próprios
funções
Criando
scripts
seus
e
erro na tela:
Então você usa a parte Else para dizer que, se a conta ainda não foi encontrada,
vamos criá-la. Portanto, o cmdlet New-ADUser é chamado com os vários parâmetros
que foram capturados no arquivo CSV.
outro
{
`
Novo ADUser
-SamAccountName $Username `
-UserPrincipalName "$Username@sometestorg.com" ` -Name
"$FName $LName" `
-GivenName $FName `
-Surname $LName `
-Enabled $True `
-DisplayName "$LName, $FName" ` -Path
$OU `
-OfficePhone $Phone `
-EmailAddress $Email ` -Title
$Title ` -Department
$Dept ` -AccountPassword
(convertto-securestring $Password
-AsPlainText -Force) -ChangePasswordAtLogon $True
}
Essas são as partes separadas, então vamos ver o script em sua totalidade.
Observação: removi os comentários do exemplo para tornar a versão impressa mais
legível. A versão no GitHub tem todos os comentários:
Import-Module ActiveDirectory
$ImportADUsers = Import-Csv C:\PSTemp\UserImport.csv foreach ($User
in $ImportADUsers) { $FName = $User.FName
$LName = $User.LName
$Username =
$User.username $Email =
$User.Email $Phone =
$User.Phone $Dept =
$User.Dept $Password
= $User.password $Title = $User.Title
$OU = $User.OU
{
Write-Warning "Esta conta de usuário já existe no Active
Diretório: $Nome de usuário" }
outro
{
`
Novo ADUser
-SamAccountName $Username `
-UserPrincipalName "$Username@sometestorg.com" ` -Name
"$FName $LName" ` -GivenName
$FName ` -Surname
$LName ` -Enabled
$True ` -DisplayName
"$LName, $FName" ` -Path $OU `
-OfficePhone
$Phone ` -EmailAddress
$Email ` -Title $Title `
-Department $Dept
` -AccountPassword
(convertto-securestring $Password
-AsPlainText -Force) -ChangePasswordAtLogon $True }
Executando o script
Na primeira vez que você executar o script, é altamente recomendável executá-lo no Visual
Studio Code. O Visual Studio Code é útil para solucionar problemas com scripts porque
você pode depurar e executar uma linha de código por vez. Além disso, destaca os
problemas para você, o que pode torná-los mais fáceis de encontrar. Os culpados de
sempre são aquelas malditas chaves nos loops.
1. Clique em Iniciar, role para baixo até Visual Studio Code, expanda a pasta e clique em
Visual Studio Code.
avançadas
próprios
funções
Criando
scripts
seus
e
Quando tiver certeza de que seu script está funcionando, há dois métodos para executá-lo:
» Clique com o botão direito do mouse no script e selecione Executar com PowerShell. Não
gosto desse método porque a janela do PowerShell aparece, mas fecha imediatamente quando
você termina, então você não pode ver se encontrou algum erro.
• Exemplo 1: C:\PSTemp\UserImport.ps1
• Exemplo 2: .\UserImport.ps1
Aqui estão os tipos de política que podem ser usados para definir a política de execução:
» AllSigned: Para que um script seja executado, ele deve ser assinado por um certificado confiável.
» RemoteSigned: Requer que qualquer script baixado da Internet seja assinado por um certificado confiável.
Os scripts criados localmente não precisam ser assinados para serem executados.
» Irrestrito: Permite executar todos os scripts. Você é solicitado a fornecer permissão antes que um
script seja executado.
Confira o Capítulo 1 deste minilivro para saber mais sobre assinatura de código. Lá, oriento você
nas etapas de solicitação de um certificado de assinatura de código e na assinatura de um script
do Power Shell.
Para a maioria dos administradores de sistema, a ideia de criar suas próprias ferramentas no
Power Shell pode ser um pouco intimidante. Com as funções avançadas do PowerShell, você pode
usar muito do que aprendeu sobre o PowerShell para criar seu próprio conjunto de ferramentas
que pode ser executado da mesma forma que os cmdlets do PowerShell. A maior diferença é que
os cmdlets do PowerShell são escritos em linguagens .NET Framework como C#, e você deve
compilá-los para usá-los. As funções avançadas são escritas usando a linguagem de script
PowerShell.
Existem alguns componentes que entram na criação de uma função avançada do PowerShell.
Abordarei esses componentes primeiro, antes de me aprofundar na criação de sua primeira função
avançada.
» param: Esta área é usada para definir os parâmetros que você deseja que sua função
avançada use.
avançadas
próprios
funções
Criando
scripts
seus
e
Você pode ver como esses componentes são dispostos na Figura 4-3.
FIGURA 4-3:
A
anatomia
básica de
uma função
avançada
inclui [Cmdlet
Binding()],
que permite
que a função
se comporte
como um cmdlet e use recursos de cmdlet.
[Parâmetro(Obrigatório,ValueFromPipeline)]
[ValidateSet('String1','String2')]
Primeiro, para dizer ao PowerShell que você deseja criar uma função, você precisa iniciar o
texto no arquivo com function, seguido do nome que deseja para sua função.
Isso absolutamente precisa seguir a sintaxe do verbo-substantivo do PowerShell. Em
seguida, você adiciona [CmdletBinding()], que informa ao PowerShell que esta é uma função
avançada e deve ser tratada de forma semelhante a um cmdlet. No bloco Param , você
define quaisquer parâmetros que deseja usar. Nesse caso, você está definindo um
parâmetro, que é uma variável chamada computername.
função Get-ReconData
{
[CmdletBinding()]
Param
([string[]] $nomedocomputador
)
Em seguida, adicionarei algum texto em um bloco BEGIN . Eu gosto de usar isso para ver
em qual sistema está atualmente. Você provavelmente não vai querer fazer isso na produção,
especialmente se tiver vários sistemas nos quais está executando essa função. Mas é ótimo
para solucionar problemas em seu script.
COMEÇAR {
Em seguida é onde a mágica acontece. O bloco PROCESS é onde estou dizendo à função
o que quero que ela faça. Neste exemplo, estou dizendo para executar o bloco de código
para cada objeto que é passado para ele por meio da variável $computername . Cada objeto
é atribuído à variável $computer .
avançadas
próprios
funções
Criando
scripts
seus
e
Agora você pode usar as classes WMI (Windows Management Instrumentation) para obter
as informações que deseja. Nesse caso, estou usando duas classes WMI para consultar os
dados que desejo. Estou usando a classe Win32_OperatingSystem e a classe
Win32_ComputerSystem . Você pode ver uma lista das propriedades com as quais pode
trabalhar nas páginas de documentação da Microsoft. Win32_OperatingSys tem pode ser
encontrado em https://docs.microsoft.com/en-us/windows/desktop/cimwin32prov/win32-
operatingsystem e Win32_ComputerSystem pode ser
encontrado em https://docs.microsoft.com/en-us/windows/desktop/cimwin32prov/win32-
computersystem.
Para informar ao PowerShell que desejo usar as duas classes WMI, uso o cmdlet Get-
WmiObject do PowerShell para atribuir a classe WMI desejada a uma variável. Em seguida,
escolhi algumas das propriedades que considerei mais úteis para coletar algumas informações
sobre o sistema. Criei nomes para eles e, em seguida, mapeei o nome para a variável WMI
que criei anteriormente e a propriedade na qual estou interessado. Finalmente, estou dizendo
para gravar a saída da função na tela. Em um ambiente de produção, se você estiver
executando isso em vários sistemas, poderá exportar os dados para um arquivo.
PROCESSO {
foreach ($computer in $computername) { $os =
Get-WmiObject -class Win32_OperatingSystem
-computerName $computador
$comp = Get-WmiObject -class Win32_ComputerSystem
-computerName $computer
$prop = @{'ComputerName'=$computador;
'OSVersion'=$os.version;
'SPVersion'=$os.servicepackmajorversion;
'FreeMem'=$os.FreePhysicalMemory;
'OSType'=$os.OSType;
'Domínio'=$comp.domínio;
'Status'=$comp.Status}
$sysinfo = New-Object -TypeName PSObject -Property $prop Write-Output
$sysinfo}
}
O último bloco é simplesmente o bloco End{} . Nesse caso, você não precisa executar nada
após a execução da função, portanto, é deixado em branco.
função Get-ReconData
{
[CmdletBinding()]
Param
([string[]] $nomedocomputador
)
COMEÇAR {
Salve sua função como um arquivo .ps1 da mesma forma que faria com um script normal do PowerShell.
Agora vamos tentar e ver como fica quando é executado.
avançadas
próprios
funções
Criando
scripts
seus
e
1. Clique no menu Iniciar e role para baixo até a pasta Visual Studio Code.
4. Navegue até onde seu script está armazenado, selecione o arquivo e clique em Abrir.
Isso informa que você deseja executar o script do diretório atual. Deve ficar assim: . .\Get-
ReconData.ps1.
A saída que você recebe conterá todas as informações que você pediu para a função
recuperar. Nesse caso, server2022-svr3 é uma máquina virtual do Windows Server 2022,
mas você pode ver que ainda consigo obter informações valiosas, mostradas na Figura 4-4.
FIGURA 4-4:
É
importante testar
sua função
e é simples no
VS Code.
1. Clique com o botão direito do mouse no menu Iniciar e escolha Windows PowerShell (Admin).
No meu caso, está na minha pasta PSTemp, então digitei cd C:\PSTemp para acessá-la.