Windows Server 2022 - 2

Machine Translated by Google
NESTE CAPÍTULO
» Ativando o Windows Server 2022
» Adicionar e remover aplicativos

padrão no servidor
» Medindo confiabilidade e
desempenho no Windows Server
» Protegendo os dados do sistema contra

perda ou corrupção
» Trabalhando com Servidor Remoto

Ferramentas de administração para
tarefas de administração do servidor
» Gerenciando servidores com Admin Center
capítulo 5
Padrão de desempenho
Manutenção
esperava saber fazer. Desde tarefas simples como ativar a licença

Este capítulo aborda
em um novo as tarefas
servidor diárias que
para trabalhar com um administrador
o novíssimo de Admin
Windows sistema
Center,
há um pouco de algo neste capítulo para todos.
Ativando o Windows
Quando você instala pela primeira vez um novo sistema operacional em um servidor, uma
das primeiras coisas que você faz é ativá-lo. Se você tiver a sorte de estar em um domínio
com um Key Management Server (KMS), a ativação do servidor é feita automaticamente
para você. Você não precisa encontrar a chave do produto e digitá-la no servidor. O KMS gerencia o
CAPÍTULO 5 Executando a Manutenção Padrão 279

chaves de produto (ela usa chaves de ativação múltipla [MAKs]) e ativações para você. Se
você não tiver a sorte de ter um KMS, precisará ativar manualmente o servidor. Veja como
ativar um servidor por meio da interface gráfica do usuário (GUI) e da linha de comando.
Através da interface gráfica do usuário

A ativação do Windows Server 2022 a partir da GUI é muito simples. Começa no meu lugar
favorito: Server Manager! Veja como ativar o Windows Server 2022 por meio do console do
Gerenciador do Servidor:
1. Iniciando no Gerenciador do Servidor, clique em Servidor Local no lado esquerdo de

o cardápio.
2. Para iniciar o processo de ativação, clique no hiperlink Não ativado ao lado de

ID do produto.
Uma caixa de diálogo será iniciada automaticamente solicitando a chave do produto.
3. Insira a chave do produto e clique em Avançar.
Você será solicitado a ativar o Windows.
4. Clique em Ativar.
Você obtém uma confirmação de que o Windows foi ativado.
5. Clique em Fechar.
Você é deixado na tela de ativação mostrada na Figura 5-1, onde vê que sua versão do Windows
agora está ativada.
Através da linha de comando

Você também pode ativar sua cópia do Windows Server por meio da linha de comando. Você
pode querer fazer isso porque prefere ser um ninja do prompt de comando ou talvez porque
tenha o Server Core instalado e não tenha escolha.
De qualquer forma, primeiro você precisa instalar a chave. Você faz isso com o script do
Windows Server License Manager, slmgr.vbs.
Para usar slmgr.vbs para instalar a chave, use o comando com o parâmetro -ipk. Basta
substituir <productkey> pela sua chave de licença de 25 caracteres, incluindo os hífens:
slmgr.vbs -ipk <chave do produto>
280 LIVRO 3 Administrando o Windows Server 2022

FIGURA 5-1:
A janela de
ativação mostrando
que o Windows
Server 2022
está ativado.
Você obtém uma caixa de diálogo que informa a chave do produto instalada com sucesso. Clique OK.
Após a instalação da chave de licença, use o mesmo script com o parâmetro -ato para fazer uma
ativação online de sua cópia do Windows. Você faz isso com o seguinte comando:
desempenho
Padrão
de Manutenção
slmgr.vbs -ato
Se a ativação for bem-sucedida, você verá uma caixa de diálogo informando que o produto foi ativado
com sucesso, conforme mostrado na Figura 5-2.
FIGURA 5-2:
Usando
slmgr. vbs para ativar
Windows Server.

Configurando a interface do usuário

A interface do usuário pode ser algo muito particular para uma pessoa. Você pode gostar que
as coisas sejam definidas de uma certa maneira. Nesta seção, abordo algumas das opções
de configuração que você tem para trabalhar com a interface do usuário.
Trabalhando com a caixa de diálogo Opções de pasta

A caixa de diálogo Opções de pasta permite que você altere algumas coisas. Para acessá-lo,
abra o File Explorer, clique na guia Exibir e, em seguida, clique em Opções e selecione Alterar
pasta e opções de pesquisa (conforme mostrado na Figura 5-3).
FIGURA 5-3:
Você pode acessar
a caixa de
diálogo Opções de
pasta por meio da
guia Exibir no
Explorador de Arquivos.
A caixa de diálogo Opções de pasta possui três guias: Geral, Exibir e Pesquisar.
A guia Geral
A guia Geral (mostrada na Figura 5-4) permite ajustar o comportamento geral das pastas. Você
pode definir o Explorador de arquivos para abrir por padrão em Acesso rápido (padrão) ou em
Este PC. Você tem a opção de abrir pastas na mesma janela (padrão) ou em uma nova janela.
Cansado de clicar duas vezes para abrir um

pasta? Altere-o para um único clique. Você pode até definir o Acesso rápido para exibir pastas
usadas com frequência (padrão), arquivos usados com frequência ou ambos.
FIGURA 5-4:
A guia Geral
da caixa
de diálogo
Opções de pasta.
A guia Exibir
Na guia Exibir (mostrada na Figura 5-5), você pode fazer alterações em como as pastas e os itens
nas pastas são exibidos. Uma das alterações mais comuns que faço na guia Exibir é selecionar desempenho
Padrão
de Manutenção
Mostrar arquivos, pastas e unidades ocultos e Ocultar extensões para tipos de arquivo conhecidos.
Com essas duas opções definidas dessa forma, posso visualizar pastas ocultas como o usuário
padrão e arquivos ocultos como ntuser.dat. E por não ocultar as extensões, fica mais fácil
diferenciar entre aplicativos e arquivos de configuração quando eles têm o mesmo nome.
Observe no fundo da Figura 5-5 que você pode ver as extensões de arquivo e que o arquivo oculto,
que anteriormente não era visível (na Figura 5-4), agora está visível com um ícone transparente.
A guia Pesquisar
A guia Pesquisar (mostrada na Figura 5-6) controla o comportamento da função de pesquisa ao
pesquisar pastas e arquivos no sistema operacional. Por padrão, a única opção selecionada aqui é
Incluir diretórios do sistema na seção Ao pesquisar locais não indexados. Outras opções incluem
pesquisar arquivos compactados, nomes de arquivos e conteúdo. E você pode dizer ao Windows
Search para não usar o índice durante sua pesquisa. Use essa última opção com cuidado - o
processo pode demorar um pouco para ser concluído, dependendo da quantidade de dados que
precisa passar.
CAPÍTULO 5 Executando Manutenção Padrão 283

FIGURA 5-5:
A guia Exibir
da caixa de
diálogo
Opções de pasta.
FIGURA 5-6:
A guia
Pesquisar
da caixa de
diálogo Opções de pasta.
Configurando suas opções de Internet

Você pode definir suas opções de Internet de duas maneiras: por meio do Painel de
controle ou por meio da tela Rede e Internet.

Vou começar com o método do Painel de Controle. Siga esses passos:
1. Clique em Iniciar, em Sistema Windows e em Painel de controle.

2. Clique em Rede e Internet e em Opções da Internet.
A caixa de diálogo Propriedades da Internet, mostrada na Figura 5-7, é exibida.
FIGURA 5-7:
A Internet
desempenho
Padrão
de Manutenção
Caixa de
diálogo Propriedades.
Há sete guias na caixa de diálogo Propriedades da Internet:
» Geral: A guia Geral permite que você defina suas próprias páginas iniciais,
o comportamento de inicialização do Internet Explorer, defina como deseja que as páginas da
Web sejam exibidas em guias, exclua seu histórico de navegação e ajuste itens relacionados
à aparência.
» Segurança: A guia Segurança permite definir o nível de segurança para zonas individuais —
Internet, Intranet local, Sites confiáveis e Sites restritos.
» Privacidade: permite que você especifique se sites têm permissão para rastrear sua localização,
como você deseja que o bloqueador de pop-up funcione e se deseja que o modo InPrivate
desative as barras de ferramentas e extensões.
» Conteúdo: A guia Conteúdo concentra-se em vários recursos relacionados ao conteúdo. Você

pode trabalhar com certificados, controlar como o AutoCompletar funciona e examinar as
configurações de qualquer feed relacionado a RSS.

» Conexões: permite configurar uma conexão com a Internet e especificar um proxy na área de configurações da
rede local (LAN).
» Programas: a guia Programas permite definir comportamentos padrão para clicar em links
e edição de arquivos HTML. Ele também permite que você gerencie quaisquer complementos instalados e
defina programas que deseja usar para coisas como e-mail. Você também pode definir os tipos de arquivo
que deseja que o Internet Explorer abra.
» Avançado: A guia Avançado oferece uma maneira de definir configurações mais granulares no Internet Explorer
(IE). Você pode personalizar como o IE reagirá aos scripts, alterar quais configurações criptográficas
deseja usar e muito mais.
O método mais recente de configuração das Opções da Internet é acessado por meio do menu Iniciar
e do ícone Configurações, que se parece com uma engrenagem. A partir daí, você pode selecionar
Rede e Internet no novo menu Configurações. Abordo essa área com mais detalhes no Livro 4,
Capítulo 1.
Concentrando-se em suas configurações de personalização

As configurações de personalização receberam muita atenção no Windows Server 2022.
Na verdade, eles têm sua própria seção no novo menu Configurações. Para acessar as configurações
de Personalização, clique no Menu Iniciar e, em seguida, clique no ícone de roda dentada para
acessar as Configurações. A partir daí, clique em Personalização.
Existem vários locais diferentes que você pode personalizar:
» Plano de fundo: Esta seção permite definir o plano de fundo com uma imagem, uma cor sólida ou uma
apresentação de slides. Você pode definir o plano de fundo para preencher, ajustar, esticar, lado a lado,
centralizar ou estender.
» Cores: nesta seção, você escolhe quais serão suas cores de destaque para itens como o menu Iniciar. Você
pode escolher cores específicas ou selecionar Escolher automaticamente uma cor de destaque do
meu plano de fundo, e novas cores serão definidas sempre que a cor do plano de fundo mudar. Você pode
definir onde a cor de destaque aparece e pode selecionar um modo de aplicativo claro ou escuro.
» Tela de bloqueio: Aqui, você pode definir uma imagem personalizada em sua tela de bloqueio. Você pode
escolher entre as fotos do banco de imagens ou escolher as suas próprias.
» Temas: assim como no Windows 10, você pode definir temas no Windows Server 2022. Esses temas afetam
o plano de fundo, as cores, os sons e a aparência do cursor.

» Fontes: A seção Fontes permite pesquisar, visualizar e instalar novas fontes.

Se você gosta de uma fonte específica, pode clicar nela para ver as faces de fonte
disponíveis, conforme mostrado na Figura 5-8 com a fonte Courier New.
» Iniciar: A seção Iniciar permite que você personalize o que aparece em seu menu Iniciar
cardápio. Você pode optar por mostrar mais blocos ou aplicativos ou até mesmo deixar a tela
inicial ocupar a tela inteira (como no Windows 8).
» Barra de Tarefas: A seção Barra de Tarefas permite alterar o comportamento do

barra de tarefas. Você pode bloqueá-lo ou ocultá-lo e pode optar por substituir o Windows
PowerShell pelo prompt de comando ao clicar com o botão direito do mouse no menu Iniciar.
desempenho
Padrão
de Manutenção
FIGURA 5-8:
Exibindo as
faces de fonte
disponíveis
para a fonte Courier New.
Relatando problemas
O utilitário de solução de problemas ainda está localizado no Painel de controle. Para acessar o
Painel de controle, clique em Iniciar, clique em Sistema Windows e clique em Painel de controle.
A partir daí, clique em Sistema e segurança e, em seguida, clique em Revisar o status do
computador e resolver problemas (na seção Segurança e manutenção). Os problemas potenciais
são divididos em problemas de segurança e manutenção, conforme mostrado na Figura 5-9.

FIGURA 5-9:
O
utilitário de solução
de problemas pode
notificá-lo sobre
problemas e
possíveis soluções.
Definindo sua regional e

Opções de idioma
As opções regionais e de idioma são definidas no novo menu Configurações em Hora e
idioma. Você pode acessar isso clicando no menu Iniciar e, em seguida, clicando no ícone de
roda dentada para acessar as Configurações. Isso permite que você defina a data e a hora,
a região, o idioma e as configurações de fala.
Trabalhando com o desempenho

Caixa de diálogo de opções
A caixa de diálogo Opções de desempenho é bastante direta.
Existem duas maneiras de chegar lá:
» Clique em Iniciar, em Sistema Windows e em Painel de Controle. A partir daí,

escolha a seção Sistema e segurança e clique em Sistema. Clique em
Configurações avançadas do sistema. Na guia Avançado, clique no botão
Configurações em Desempenho.

» Clique no menu Iniciar e, em seguida, clique no ícone de engrenagem para acessar o menu Configurações.
Clique em Sistema, clique em Sobre, clique em Informações do sistema e clique em
Configurações avançadas do sistema. Na guia Avançado, clique no botão Configurações em Desempenho.
De qualquer maneira, você obtém uma tela semelhante à Figura 5-10.
FIGURA 5-10:
o desempenho
Caixa de desempenho
Padrão
de Manutenção
diálogo Opções.
Existem três guias na caixa de diálogo Opções de desempenho:
» Efeitos Visuais: Permite ajustar a quantidade de efeitos visuais que o Windows usa. Em um servidor,
isso normalmente deve ser definido para desempenho em vez de transições de tela chamativas.
» Avançado: Permite definir se o desempenho deve ser melhor direcionado

desempenho para programas ou serviços em segundo plano e permite ajustar a quantidade de
memória virtual que está sendo usada.
» Prevenção de Execução de Dados: Prevenção de Execução de Dados (DEP) é uma ótima

recurso para proteger seu sistema contra códigos maliciosos, mas pode causar problemas de
desempenho com alguns aplicativos. Normalmente, seu fornecedor informará se o DEP precisa ser
desabilitado e você poderá colocar esse programa na lista de permissões.

Entendendo como o controle de acesso do usuário

Afeta as tarefas de manutenção
O Controle de Conta de Usuário (UAC) foi projetado para proteger seu sistema contra alterações não
autorizadas. Requer certos tipos de alterações para obter a aprovação do administrador antes que possam ser
executados. Isso garante que malware e outros aplicativos nocivos não sejam executados sem o seu
consentimento. Também pode ser incrivelmente irritante quando você está simplesmente tentando fazer seu
trabalho. Ele solicita sua aprovação sempre que um programa deseja fazer uma alteração em seu sistema. Se
você estiver conectado como um usuário padrão, deverá fornecer um nome de usuário e senha ou PIN de
administrador. Se você estiver conectado como administrador, deverá selecionar sim ou não. A maioria das
tarefas de manutenção requer algum nível de elevação de privilégio, então você provavelmente se deparará com
isso em algum momento. Você pode saber se será solicitado observando o aplicativo que deseja executar. Se o
ícone do programa tiver um ícone de escudo no canto inferior direito, ele solicitará a elevação.
Existem quatro níveis de configurações no UAC, classificados do menos seguro ao mais seguro
seguro:
» Never Notify: Isso é basicamente desligar o UAC. Não faça isso.
» Notificar-me apenas quando os aplicativos tentarem fazer alterações em meu

computador (não escurecer minha área de trabalho): Isso o notifica quando os
programas estão tentando fazer alterações em seu sistema. Você pode continuar
fazendo coisas em segundo plano sem reconhecer o prompt do UAC.
» Avise-me apenas quando aplicativos tentarem fazer alterações em meu computador

(Padrão): Isso irá notificá-lo quando os programas estiverem tentando fazer alterações
em seu sistema. Você deve responder sim ou não (supondo que esteja logado como
administrador) antes de poder continuar. Se você não estiver conectado como
administrador, precisará usar uma conta e senha de administrador no prompt.
» Sempre notificar: esta é a configuração mais segura, mas também é a mais irritante porque
irá avisá-lo sempre que um aplicativo ou usuário quiser fazer uma alteração que
precise de permissões de administrador.
Se quiser fazer alterações no UAC em um sistema individual, você pode acessar o Painel de controle para
Sistema e segurança, Segurança e manutenção e, em seguida, Alterar configurações de controle de conta de
usuário, mostradas na Figura 5-11. Se isso estiver sendo controlado por meio da Diretiva de Grupo, as opções
na imagem podem estar esmaecidas.
Para obter mais informações sobre o UAC, consulte o Livro 5, Capítulo 3.

FIGURA 5-11: A
caixa de diálogo
Configurações de
controle de conta de usuário.
Adicionando e removendo padrão

Formulários
O Windows Server 2022, assim como o Windows 10, pode aproveitar a Windows App Store para desempenho
Padrão
de Manutenção
instalar aplicativos. Você também pode instalá-los da maneira tradicional (clicando duas vezes
no pacote de instalação que você baixou ou obteve do disco ou mídia flash).
A remoção de aplicativos pode ser feita de um local central. Clique em Iniciar e, em seguida,
clique no ícone de engrenagem para acessar as Configurações. A partir daí, clique em
Aplicativos. Para remover um aplicativo, basta selecioná-lo e clicar no botão Desinstalar,
conforme mostrado na Figura 5-12.

FIGURA 5-12:
Desinstalar um
programa na
seção Aplicativos
e recursos do
menu Configurações.
Medindo a confiabilidade e o desempenho

Como administrador do sistema, você terá muitos dias começando com reclamações do tipo “O servidor
está muuuito lento”. Se isso acontecer, sempre culpe a equipe de networking.
Estou brincando.
O Windows Server 2022, como muitos de seus predecessores, possui vários utilitários que permitem medir
o desempenho do sistema e encontrar possíveis gargalos ou restrições de recursos. As ferramentas mais
comuns são Monitor de Desempenho, Monitor de Recursos e Gerenciador de Tarefas.
Monitor de desempenho
O Performance Monitor permite que você colete informações em tempo real e colete essas informações
em um log para análise posterior. Ele analisa o impacto que os aplicativos em execução em seu sistema
têm no desempenho geral do sistema. Você pode acessar o Monitor de Desempenho no Gerenciador do
Servidor clicando em Ferramentas e, em seguida, clicando em Monitor de Desempenho.
O Performance Monitor é a ferramenta perfeita para rastrear métricas básicas de desempenho em sua
unidade central de processamento (CPU) e memória de acesso aleatório (RAM),

embora contenha mais alguns contadores do que apenas CPU e RAM. Você pode monitorar o
desempenho da maior parte do hardware, software e serviços executados em seu sistema.
Na Figura 5-13, iniciei o Monitor de Desempenho com o % Tempo do Processador padrão e

adicionei Interrupções/seg.
FIGURA 5-13:
Desempenho
desempenho
Padrão
de Manutenção
Monitor em execução
no Windows
Servidor 2022.
Uma das melhores coisas sobre o Performance Monitor é que você pode agendar a coleta.
Digamos, por exemplo, que sempre haja uma desaceleração em seu sistema entre 22h e meia-
noite. Você pode agendar o monitor de desempenho para executar e analisar os dados para
determinar onde está o problema e, em seguida, ver os resultados quando chegar na manhã
seguinte.
Uma das desvantagens do Performance Monitor é como os contadores são granulares.

Pode ser difícil localizar o contador que fornecerá as informações de que você precisa; portanto,
talvez seja necessário brincar um pouco com ele para encontrar o contador certo.
Para adicionar um contador ao Monitor de desempenho, siga estas etapas:
1. Abra o Monitor de desempenho e clique em Monitor de desempenho.
2. Clique no sinal de mais (+) na barra de menus.

3. Na tela Adicionar contadores, expanda Processador e selecione Interrupções/seg.
4. Com Interrupts/Sec realçado, clique no botão Adicionar e, em seguida, clique em OK.
5. Clique duas vezes em seu novo contador, selecione uma cor diferente o suficiente da
a cor do contador padrão e clique em OK.
Monitor de recursos
O Monitor de recursos é mais útil para solucionar problemas que estão causando o
travamento do sistema ou até mesmo causando falhas. Você pode ver rapidamente quais
processos estão usando mais recursos ou estão usando a maior quantidade de disco,
largura de banda de rede ou memória. Você pode clicar nas guias individuais de CPU,
Memória, Disco ou Rede para obter mais detalhes sobre cada um. Na verdade, também
gosto de usar esse utilitário para solucionar problemas de desempenho. Acho que ele
apresenta problemas de desempenho de uma maneira muito útil. Consulte a Figura 5-14
para obter um exemplo da aparência do Monitor de recursos.
FIGURA 5-14:
Solução de problemas
conteúdo do recurso
ção é simples
com Resource
Monitor.
Gerenciador de tarefas
O Gerenciador de Tarefas existe no sistema operacional Windows há muito tempo. Ele
fornece uma visão rápida da utilização de CPU, rede e memória e

permite que você pare de executar processos ou aplicativos de maneira deselegante se eles não estiverem
respondendo.
Existem duas maneiras de acessar o Gerenciador de Tarefas:
» Clique com o botão direito do mouse na barra de tarefas e escolha Gerenciador de Tarefas.
» Pressione Ctrl+Alt+Del e escolha Gerenciador de Tarefas nessa tela.
Depois de abrir o Gerenciador de Tarefas, você verá uma tela semelhante à Figura 5-15.
desempenho
Padrão
de Manutenção
FIGURA 5-15:
Gerenciador de
Tarefas no Windows
Servidor 2022.
A maioria dos Administradores de Sistema entra no Gerenciador de Tarefas com uma coisa em mente.
Eles têm um aplicativo ou processo que não está respondendo e precisam encerrá-lo. Veja como fazer isso no
Gerenciador de Tarefas:
1. Com o Gerenciador de Tarefas aberto, selecione o aplicativo que não responde.
2. Clique em Finalizar tarefa.
O aplicativo ou processo será interrompido.
Terminar programas através do Gerenciador de Tarefas é um desligamento desagradável. Pode

levar à perda de dados e deve ser usado como último recurso.

Protegendo os dados em seu servidor

Uma das muitas tarefas de um administrador de sistema é proteger os ativos críticos de uma empresa. Um
dos ativos mais críticos quase sempre serão os dados. O Windows Server 2022 fornece um utilitário opcional
que pode ser usado para fazer backup e restaurar dados, conhecido como Backup do Windows Server.
Antes de poder usar o Backup do Windows Server, você precisa instalar o recurso. Siga esses passos:
1. No Gerenciador do servidor, clique em Gerenciar e, em seguida, clique em Adicionar funções e

Características.
2. Na tela Antes de começar, clique em Avançar.
3. Na tela Selecionar tipo de instalação, clique em Avançar.
4. Na tela Selecionar servidor de destino, clique em Avançar.
5. Na tela Selecionar funções do servidor, clique em Avançar.
6. Na tela Selecionar recursos, role para baixo e selecione Windows Server
Cópia de segurança.
7. Clique em Avançar.
8. Clique em Instalar.
9. Quando a instalação terminar, clique em Fechar.
O Backup do Windows Server (uma vez instalado) pode ser acessado por meio do Gerenciador do Servidor.
Basta escolher Ferramentasÿ Backup do Windows Server.
Há um problema interessante com a instalação do Backup do Windows Server que ocorreu em várias
revisões do sistema operacional do servidor: você instalou o Backup do Windows Server, mas ele não
aparece no menu Ferramentas. A correção: volte para Adicionar funções e recursos e, na tela Selecionar
recursos, expanda Ferramentas de administração de servidor remoto e escolha Balanceamento de carga
de rede. Não tenho ideia de por que instalar as Ferramentas de administração de servidor remoto para
balanceamento de carga de rede faz isso aparecer. Experimentei vários recursos e o balanceamento de
carga de rede é o único que resolveu esse problema.
Backup do sistema
Depois de instalar o Backup do Windows Server, você pode iniciar o console no Gerenciador do Servidor.
Escolha Ferramentasÿ Backup do Windows Server. Você verá uma tela semelhante à Figura 5-16.

FIGURA 5-16:
Windows Server
Backup permite
criar e executar
backups,
uma vez ou em um
agendar.
Criando um backup único

Pode haver momentos em que você deseja um backup recente porque está prestes a
fazer alguma manutenção ou atualizar algum software. Nesses casos, o backup
agendado pode não ser recente o suficiente para atender às suas finalidades. Se isso desempenho
Padrão
de Manutenção
acontecer, um backup único é a melhor solução. Siga esses passos:
1. No Gerenciador do Servidor, escolha Ferramentasÿ Backup do Windows Server.
2. No console Windows Server Backup, escolha Backup único à direita

lateral da tela.
3. Na tela Opções de backup, selecione Diferentes opções e clique em Avançar.
4. Na tela Selecionar configuração de backup, selecione Personalizado e clique em Avançar.
5. Clique em Adicionar itens e escolha o que deseja fazer backup.
Vou escolher tudo, exceto minha unidade de backup.
6. Clique em OK e em Avançar.
7. Na tela Especificar tipo de destino, você pode selecionar qualquer um desses

— apenas não salve o backup na mesma unidade da qual está fazendo o backup.
Vou escolher minha unidade F: local, então escolherei Unidades locais.

9. Na tela Selecionar destino de backup, escolha a unidade que deseja

faça backup e clique em Avançar.
10. Na tela de confirmação, clique em Backup e o backup será iniciado.
Criando um backup agendado

Para criar um backup agendado, siga estas etapas:
2. No console Windows Server Backup, escolha Backup Schedule na

lado direito da tela.
3. Na tela Introdução, clique em Avançar.
4. Na tela Selecionar configuração de backup, selecione Personalizado e clique em Avançar.
5. Clique em Adicionar itens e escolha o que deseja fazer backup.
Vou escolher tudo, exceto minha unidade de backup.
6. Clique em OK e em Avançar.
7. Na tela Especificar hora do backup, selecione com que frequência deseja que os
backups sejam executados.
Vou selecionar Uma vez por dia e 21h.
9. Na tela Especificar tipo de destino, você pode selecionar qualquer um desses — apenas
não salve o backup na mesma unidade da qual está fazendo o backup.
Vou selecionar Backup em um disco rígido dedicado para backups.
11. Na tela Selecionar disco de destino, selecione o disco que deseja

voltar para.
Se não estiver visível, clique em Mostrar todos os discos disponíveis e selecione-o a partir daí.
12. Depois de selecionar seu disco de backup, clique em Avançar.
Você recebe um aviso de que o disco será reformatado quando você concluir o assistente.
13. Clique em Sim.
14. Na tela de confirmação, clique em Concluir.

Restauração do sistema
A restauração de itens é simples e agradável por meio do Backup do Windows Server. Veja como
recuperar um arquivo que foi excluído:
2. No menu à direita, clique em Recuperar.
3. Na tela Introdução, selecione onde o backup está armazenado.
No meu caso, escolherei Este servidor.
5. Escolha o backup disponível que você precisa.
Isso será feito com um calendário com datas disponíveis e uma caixa suspensa com horários.
7. Selecione o que deseja recuperar.
No meu caso, apaguei um arquivo e uma pasta, então vou escolher Arquivos e Pastas.
9. Navegue pela árvore até encontrar o que procura.
No meu caso, isso se parece com a Figura 5-17.

desempenho
Padrão
de Manutenção
11. Na tela Especificar opções de recuperação, selecione o destino de recuperação

e como a restauração deve reagir se encontrar itens com o mesmo nome no destino.
No meu caso, escolho Original Location e Overwrite Existing Versions.
13. Na tela de confirmação, clique em Recuperar.
Você pode observar o progresso de sua recuperação.
14. Quando a recuperação estiver concluída, clique em Fechar.

FIGURA 5-17:
Restaurando alguns
arquivos por
meio do Backup do
Windows Server.
Executando tarefas de gerenciamento de disco

Gerenciar o armazenamento do servidor é uma tarefa importante. Tanto é assim que organizações
maiores geralmente têm administradores de armazenamento além dos administradores de sistema.
Como administrador do sistema, você deve ter uma boa compreensão de como gerenciar e manter o
armazenamento em seus servidores.
Gerenciando o armazenamento
Muitas das tarefas de gerenciamento de armazenamento no Windows Server 2022 podem ser
executadas na área Serviços de Arquivo e Armazenamento no Gerenciador do Servidor. A partir daqui,
você pode gerenciar os volumes, discos e pools de armazenamento associados ao seu servidor. Se
quiser saber mais sobre como configurar e gerenciar armazenamento, consulte o Livro 2, Capítulo 2.
Gerenciando discos
O gerenciamento dos discos em seu sistema é feito por meio da área Serviços de Arquivo e
Armazenamento no Gerenciador do Servidor. Depois de clicar em Serviços de Arquivo e Armazenamento,
basta clicar em Discos e você poderá gerenciar os discos físicos e lógicos, bem como os volumes relacionados.
Ao clicar com o botão direito do mouse na unidade, você pode criar um novo volume, colocar um disco
off-line on-line ou colocar um disco on-line off-line ou redefinir o disco. Se você clicar com o botão direito

o volume, você tem muitas opções semelhantes ao antigo utilitário de gerenciamento de disco
(que você ainda pode usar se quiser). Você pode ver essas opções na Figura 5-18.
FIGURA 5-18:
Gerenciando um volume
de disco nos Serviços
de Arquivo e
Armazenamento.
desempenho
Padrão
de Manutenção
Desfragmentando drives
À medida que um disco é usado e os dados são criados e excluídos, os dados no disco tornam-
se fragmentados. Isso pode causar problemas de desempenho em unidades de disco rígido
(HDDs). Você precisará desfragmentar o disco para resolver esse problema. Ao desfragmentar
seu HDD, você pega todos os dados dispersos e os combina para que ocupem um único
espaço contíguo. As unidades de estado sólido (SSDs) também podem se beneficiar da
otimização se oferecerem suporte ao TRIM, que permite que o sistema operacional informe à
unidade SSD quando os blocos de dados não são mais necessários. Para desfragmentar ou
otimizar sua unidade, siga estas etapas:
1. No Gerenciador do servidor, escolha Ferramentasÿ Desfragmentar e otimizar unidades.
2. Selecione a unidade que está fragmentada e clique em Analisar.
A análise retornará com recomendações sobre se você precisa otimizá-la.

3. Se necessário, selecione Otimizar e a unidade será desfragmentada.
A desfragmentação de disco costumava ser algo que um administrador do sistema tinha que fazer
manualmente, mas em sistemas operacionais de servidor recentes, ela é programada automaticamente para
ser executada uma vez por semana, como você pode ver na Figura 5-19.
FIGURA 5-19: A
desfragmentação de
disco é executada
automaticamente
uma vez por semana,
mas ainda pode ser executada manualmente.
Automatizando tarefas de diagnóstico

com o Agendador de tarefas
Para o administrador do sistema, algumas tarefas de rotina precisam ser feitas, mas são inconvenientes de
serem executadas manualmente ou monótonas. Para esses tipos de tarefas, o Agendador de Tarefas é uma
ótima maneira de automatizar tarefas de manutenção para que você não precise mais se lembrar de fazer
logon em um sistema para executá-las.
Chegar ao Agendador de Tarefas é simples. O Gerenciador do Servidor é iniciado quando você faz logon no
sistema. No Gerenciador do Servidor, escolha Ferramentasÿ Agendador de Tarefas. A tela que inicia é
semelhante à Figura 5-20.

FIGURA 5-20:
O Agendador de
Tarefas é a área
central para
gerenciar
tarefas automatizadas/agendadas.
Descobrindo o status da tarefa

Se você deseja saber qual é o status de uma tarefa, pode verificar a coluna Status após
selecionar Biblioteca do Agendador de Tarefas ou qualquer uma das pastas contidas na
Biblioteca do Agendador de Tarefas. Aqui estão alguns dos status que você pode encontrar: desempenho
Padrão
de Manutenção
» Pronto: A tarefa agendada está pronta para sua próxima execução agendada.
» Em execução: a tarefa agendada está em execução no momento.
» Desabilitado: A tarefa agendada não será executada.
Usando tarefas pré-configuradas

O Windows Server 2022 vem com algumas tarefas predefinidas que você pode escolher.
Por exemplo, a Limpeza de Disco é executada automaticamente quando o sistema começa
a ficar sem espaço livre. Você pode ver na Figura 5-21 que o Status é Pronto e também
fornece o último tempo de execução.

FIGURA 5-21:
Configurar
uma das
tarefas pré-
configuradas
do Windows Server.
Você pode alterar a programação em que a tarefa é executada ou até mesmo excluir a
tarefa, se desejar. Existem várias abas que você deve entender:
» Geral: A guia Geral contém informações sobre a tarefa, incluindo quem

criou e em qual conta ele será executado.
» Triggers: Esta aba é utilizada para automatizar a tarefa. Aqui, você pode criar um
agende se desejar que a tarefa seja executada em um determinado dia em um determinado horário ou se
desejar que a tarefa seja iniciada quando ocorrerem outros eventos, como logon, inicialização ou quando
ocorrer um determinado evento.
» Ações: As guias Ações contêm o que você deseja que a tarefa realmente faça.
Normalmente, isso iniciará algum tipo de programa, embora você ainda possa usar as opções
obsoletas de enviar um e-mail ou exibir uma mensagem.
» Condições: A guia Condições pode definir quando a tarefa poderá ser executada. Por exemplo,
você pode exigir que a tarefa seja executada apenas após o sistema ficar ocioso por um período
de tempo predeterminado.
» Configurações: A guia Configurações permite que você ajuste as configurações relacionadas a como a tarefa
pode ser executado e o que deve fazer se ocorrer uma falha.
» Histórico: A guia Histórico informa se a tarefa foi executada com sucesso.

Se ocorrer um erro, ele poderá fornecer informações valiosas sobre o que causou o erro.

Para editar uma tarefa pré-configurada, basta clicar duas vezes na tarefa, fazer as alterações
e clicar em OK. Por exemplo, digamos que eu queira agendar a tarefa SilentCleanup para ser
executada todas as noites. Eu seguiria estes passos:
1. No Gerenciador do Servidor, escolha Ferramentasÿ Agendador de Tarefas.
2. Expanda a Biblioteca do Agendador de Tarefas.
3. Vá para a pasta DiskCleanup e clique duas vezes em SilentCleanup.
4. Clique na guia Acionadores e, em seguida, clique em Novo.
5. Em Begin the Task, selecione On a Schedule.
6. Altere a área de configurações para Diário e selecione a hora que deseja

correr em.
7. Em Configurações avançadas, selecione Parar tarefa se durar mais de e

selecione um período de tempo razoável.
8. Clique em OK para salvar o acionador.
Agora a tarefa será executada todos os dias às 19h no meu caso. Você pode ver como isso
se parece na Figura 5-22.
desempenho
Padrão
de Manutenção
FIGURA 5-22:
Alterar uma tarefa pré-
configurada para ser
executada todos os dias.

Criando suas próprias tarefas

Talvez as tarefas pré-configuradas não sejam o que você precisa para fazer o trabalho. Talvez você tenha
um script personalizado que precisa ser executado de acordo com uma programação. É aqui que criar
suas próprias tarefas pode ser muito útil.
Para criar sua própria tarefa, selecione a Biblioteca do Agendador de Tarefas. Você tem a opção de criar
uma tarefa básica ou simplesmente criar uma tarefa. Aqui estão as etapas para criar uma tarefa:
1. No Gerenciador do Servidor, escolha Ferramentasÿ Agendador de Tarefas.
2. Clique em Biblioteca do Agendador de Tarefas.
3. Selecione Criar tarefa no menu à direita.
4. Na guia Geral, dê um nome à sua tarefa, selecione em qual conta de usuário você deseja que ela
seja executada e selecione para qual sistema operacional deseja configurá-la.
5. Clique na guia Acionadores e, em seguida, clique em Novo.
6. Em Begin the Task, selecione On a Schedule.
7. Altere a área de configurações para Diário e selecione o horário que deseja

correr em.
8. Em Configurações avançadas, selecione Parar tarefa se durar mais de e

selecione um período de tempo razoável.
9. Clique em OK para salvar o acionador.
10. Clique na guia Ações e selecione Iniciar um Programa.
11. Em Programa/Script, clique em Procurar e selecione o script que deseja

tarefa a ser executada.
12. Adicione quaisquer argumentos necessários e clique em OK.
13. Clique em OK para salvar a tarefa.
Pronto, você criou sua primeira tarefa!
Trabalhando com área de trabalho remota

Quando você trabalha em servidores, às vezes você precisa ser capaz de ver o que está acontecendo
fazendo login no servidor real. Nesses casos, a Área de Trabalho Remota é a ferramenta que você
deseja. A área de trabalho remota permite que você se conecte remotamente ao console do sistema
Windows Server. Existem várias opções de configuração que você pode fazer para impactar o
funcionamento da sessão da Área de Trabalho Remota.

No servidor em que você deseja usar a Área de Trabalho Remota, basta clicar no menu Iniciar, em
Acessórios do Windows e escolher Conexão de Área de Trabalho Remota. Insira o nome do
sistema ao qual você deseja se conectar e clique em Conectar, mostrado na Figura 5-23.
FIGURA 5-23:
Conexão a
outro sistema
por meio de
uma Conexão de
Área de Trabalho Remota.
Você será solicitado a fornecer credenciais para fazer logon no outro servidor. Digite um nome de
usuário e senha e clique em OK.
Se este for um sistema ao qual você se conecta com frequência, você pode salvar as configurações
de conexão e até informar qual nome de usuário deseja usar. Com a janela de conexão da área de
trabalho remota aberta, clique na seta Opções. Preencha o nome de usuário e escolha Salvar como.
Isso criará um arquivo RDP no qual você pode clicar duas vezes para iniciar automaticamente uma
sessão futura da Área de Trabalho Remota com suas configurações salvas. Aqui estão algumas das
outras configurações que você pode criar, que também podem ser salvas neste arquivo RDP: desempenho
Padrão
de Manutenção
» Definindo a configuração de exibição: Com a Conexão de Área de Trabalho Remota

aberta e o balão Opções expandido, clique na guia Exibir. Nessa guia, você pode
definir o tamanho da janela remota, habilitar o suporte para vários monitores e escolher
quantas cores deseja. Por padrão, é definido como 32 bits, que é a configuração de
qualidade mais alta.
» Acessando recursos locais: Com a Conexão de Área de Trabalho Remota aberta e o

balão Opções expandido, clique na guia Recursos Locais. Nesta guia, você pode
configurar o áudio, como o teclado reagirá com a sessão remota e quais dispositivos
locais você deseja passar pela conexão remota, como impressoras, unidades e
área de transferência.
» Otimizando o desempenho: Com a Conexão de Área de Trabalho Remota aberta e o

balão Opções expandido, clique na guia Experiência. Por padrão, isso é definido para
detectar a qualidade da conexão automaticamente. Você pode configurá-lo para qualquer
tipo de conexão que estiver usando, incluindo modem, banda larga de baixa
velocidade, satélite, banda larga de alta velocidade, WAN ou LAN. Você também pode
escolher se deseja que a conexão seja reconectada se cair.

Trabalhando com servidor remoto

Ferramentas de administração
As Ferramentas de Administração de Servidor Remoto (RSAT) permitem que você gerencie todas as
várias funções e recursos em seu servidor. O melhor do RSAT é que você pode instalá-lo em seu
sistema de desktop e gerenciar servidores remotamente, exatamente como faria se estivesse conectado
a um servidor individual. A interface é a conhecida interface do Server Manager. A principal diferença
entre este Gerenciador do Servidor e o do servidor é que, em vez da opção Servidor Local, você
simplesmente tem a opção Todos os Servidores.
Descobrindo regras de firewall

Para usar o RSAT, os servidores remotos precisam estar executando o WinRM e o firewall do Windows
deve permitir a porta 5985 para que o RSAT possa se comunicar com o servidor remoto.
Conectando ao servidor
Para gerenciar um servidor com RSAT, você precisa se conectar a ele primeiro. Siga estas etapas para
adicionar um servidor ao Server Manager em um PC com Windows 10:
1. Clique em Iniciar, abra o Gerenciador do Servidor e clique em Todos os Servidores.
2. Clique com o botão direito do mouse em Todos os servidores e escolha Adicionar servidores.
3. Pesquise o nome do sistema.
4. Selecione o(s) servidor(es) que deseja adicionar e clique na seta para mover o
servidor(es) selecionado(s) para a caixa Selecionado.
5. Clique em OK.
6. Clique com o botão direito do mouse no servidor recém-adicionado e escolha Iniciar contadores de desempenho.
Depois de seguir essas etapas, seu servidor mostrará Online em capacidade de gerenciamento (mostrado
na Figura 5-24) e agora você pode gerenciar seu servidor remotamente por meio das ferramentas RSAT.
Gerenciando seus servidores

Para gerenciar os servidores que foram adicionados à versão RSAT do Server Manager, basta clicar
com o botão direito do mouse no servidor e escolher o que deseja fazer. Há uma tonelada de opções de
gerenciamento disponíveis para você na interface do Server Manager. Você pode adicionar funções e
recursos, reiniciar o servidor ou executar ferramentas do AD se o sistema remoto for um controlador de
domínio. Você pode até executar uma janela remota do PowerShell. Veja as opções disponíveis na
Figura 5-25.

FIGURA 5-24:
Usando RSAT
para gerenciar
servidores
remotos de um cliente Windows 10.
desempenho
Padrão
de Manutenção
FIGURA 5-25:
Há muitos
de opções
para gerenciar
um servidor remoto
seu RSAT.

Trabalhando com o Centro de Administração
O RSAT tem sido o esteio para administrar servidores remotos por um bom tempo.
Houve melhorias significativas feitas no RSAT, especialmente no Windows 10, mas o RSAT ainda
é algo instalado localmente. A Microsoft reconheceu a necessidade de um console centralizado
que pudesse ser atendido por meio de um navegador da Web, e assim nasceu o Windows Admin
Center.
Você pode instalar o Windows Admin Center em uma área de trabalho se quiser apenas ver do
que ele é capaz. Sua força, no entanto, vem de instalá-lo em um servidor e fazer com que esse
servidor seja seu servidor de gerenciamento. Os administradores podem se conectar à interface
da web e todos os servidores que precisam gerenciar já estão lá. Nas seções a seguir, abordo
algumas tarefas administrativas comuns usando o Windows Admin Center.
Focando em regras de firewall

O Windows Admin Center precisa da porta 6516 aberta no servidor em que está sendo executado.
Ao conectar no mesmo sistema, basta abrir o Microsoft Edge e digitar https://localhost:6516. Se
estiver acessando de um sistema remoto, você precisa digitar https://<nome do servidor>:6516.
Conectando a um servidor
A página padrão que o Windows Admin Center abre é a tela Todas as conexões. Esta tela é onde
você pode adicionar sistemas. Estou executando isso em um PC com Windows 10 e meu PC já
aparece no Windows Admin Center. Siga estas etapas para adicionar um novo servidor:
1. Clique em Adicionar e, em seguida, clique em Adicionar conexão do servidor.
2. Selecione Adicionar um servidor e digite o nome do servidor.
3. Clique em Enviar.
Adicionar servidores é simples assim. A conexão será configurada automaticamente para usar as
credenciais do usuário conectado. Se você não quiser usar essas credenciais, selecione o sistema
e escolha Gerenciar como. Insira a conta que deseja usar e clique em Continuar. Na Figura 5-26,
você pode ver que meu PC com Windows 10 e o sistema Windows Server 2022 estão usando a
conta de administrador.

FIGURA 5-26:
Conectando
para um
servidor com
Windows Admin Center.
Usando o Windows Admin Center

para gerenciar seus servidores
No Windows Admin Center, clique no nome do sistema que você deseja gerenciar. Isso desempenho
Padrão
de Manutenção
altera sua visualização para a visualização do Gerenciador do Servidor, mostrada na Figura 5-27.
A partir daqui, você pode gerenciar o sistema, verificar a utilização de recursos e muito mais.
Você pode fazer tudo o que fazia no Gerenciador de Servidores tradicional, com várias
novidades. A versão mais recente do Windows Admin Center inclui muitas novas
funcionalidades do Azure, incluindo a capacidade de gerenciar clusters do Kubernetes do
Azure, backups do Azure, Central de Segurança do Azure e muito mais.

FIGURA 5-27: A
visualização
do Gerenciador do
Servidor no
Windows Admin Center.
Criando uma unidade de recuperação do Windows
Uma unidade de recuperação do Windows pode ser muito útil se você precisar fazer uma restauração
bare metal. Isso pode recuperar o sistema operacional, configurações personalizadas e
configurações, bem como drivers. Siga estas etapas para criar uma unidade de recuperação:
1. Insira uma unidade flash USB em branco no sistema.
2. Clique no Menu Iniciar, role para baixo até Sistema Windows e escolha
Painel de controle.
3. Altere Exibir por categoria para Exibir por ícones grandes.
4. Selecione Recuperação e clique em Criar uma unidade de recuperação.
5. Na tela Criar uma unidade de recuperação, clique em Avançar.
O sistema demora um pouco, mas deve localizar a unidade flash USB.
6. Quando o sistema encontrar o driver, clique em Avançar.
Na tela final Criar a unidade de recuperação, você será avisado de que tudo na unidade de
destino será excluído.
7. Clique em Criar.

NESTE CAPÍTULO
» Abrindo um Comando administrativo

Solicitar para gerenciar seu servidor
» Configurando a linha de comando para uso
» Configurando variáveis de
ambiente de usuário e sessão
» Obtendo ajuda adicional na linha

de comando
» Compreendendo os símbolos da
linha de comando e o que eles fazem
Capítulo 6
Trabalhando no
Linha de comando
Praticamente todo administrador
em algum momento de O
de sua carreira. sistema
prompt já
detrabalhou
comando écom o Prompt
um ponto de Comando
de partida para um
número de utilitários de diagnóstico e um grande recurso para coletar informações,
além de ser um utilitário para automatizar tarefas repetitivas.
Este capítulo discute como trabalhar com a linha de comando — desde o básico sobre como
usar a linha de comando até como personalizá-la ao seu gosto.
Abrindo um administrativo
Prompt de comando
A maneira mais simples de acessar o Prompt de Comando no Windows Server 2022 é clicar no
menu Iniciar, rolar para baixo até Sistema Windows e clicar em Prompt de Comando.
Isso executará o prompt de comando em um estado sem privilégios.
CAPÍTULO 6 Trabalhando na linha de comando 313

Para que alguns comandos funcionem, você deve executar o prompt de comando como administrador.
Para fazer isso, clique com o botão direito do mouse em Prompt de comando no menu Iniciar, clique
em Mais e clique em Executar como administrador, conforme mostrado na Figura 6-1. Quando o
Prompt de Comando for aberto, a barra superior exibirá “Administrador: Prompt de Comando”. Esta é
uma maneira visual rápida de verificar se você está executando como administrador.
FIGURA 6-1:
Executando o
Comando
Solicitar
como
administrador permite
que você execute
comandos mais privilegiados.
Configurando a Linha de Comando

Você pode personalizar bastante o prompt de comando. Se você clicar com o botão direito do mouse
na barra de menus e escolher Propriedades, poderá definir as personalizações desejadas. Essas
personalizações durarão enquanto você tiver a sessão aberta. Se você deseja que as configurações
sejam salvas, clique com o botão direito do mouse na barra de menus e escolha Padrões. Os menus
Propriedades e Padrões são quase idênticos.
Nesta seção, dou uma olhada nas diferentes personalizações que você pode fazer.

Personalizando como você interage com o

Prompt de comando
A guia Opções (mostrada na Figura 6-2) é onde você pode definir coisas como o tamanho
do cursor, quantos comandos manter salvos no buffer, opções de edição e seleção de texto.
Consulte esta captura de tela à medida que passo por cada seção da guia Opções.
FIGURA 6-2:
A guia Opções
permite que
você personalize como
você interage com
o Comando
Incitar.
Tamanho do Cursor
Alterar o tamanho do cursor torna o cursor mais largo e mais fácil de localizar. Essa
configuração pode ser muito útil para pessoas com deficiência visual.
Histórico de comandos
O histórico de comandos permite que você simplesmente pressione a tecla Para cima para
voltar aos comandos antigos, o que pode evitar que você tenha que redigitar comandos se
estiver fazendo algo repetitivo. O tamanho do buffer padrão é 50, mas você pode aumentar
Trabalhando
no comando
Linha
de
ou diminuir conforme desejar.
Opções de edição
Nesta seção, você tem algumas opções para controlar como editar itens no prompt de
comando:

» Modo de Edição Rápida: Permite o uso do mouse para copiar e colar texto em
e na janela Prompt de comando.
» Modo de Inserção: Permite digitar onde quer que o cursor esteja. Se o modo de inserção
for desativado por algum motivo, você substituirá o texto existente começando no local
do cursor.
» Ativar atalhos de tecla Ctrl: permite usar atalhos de tecla Ctrl como Ctrl+C para copiar
ou Ctrl+V para colar.
» Filtrar o conteúdo da área de transferência ao colar: remova guias e aspas

inteligentes do material colado vindo da janela do prompt de comando.
» Use Ctrl+Shift+C/V como Copiar/Colar: Se você usar Ctrl+C para copiar texto, não
poderá usá-lo para parar um comando em execução. Isso pode ser problemático
porque sua única outra opção é fechar a janela do prompt de comando e começar
novamente. Se você marcar esta caixa, ela preservará o uso original de Ctrl+C, mas
também permitirá que você copie e cole adicionando a tecla Shift ao comando.
Seleção de texto
Nesta seção, você tem duas opções adicionais para trabalhar:
» Ativar seleção de quebra de linha: ajuda a corrigir problemas de formatação ao

copiando e colando do prompt de comando.
» Teclas de seleção de texto estendidas: permite que você use teclado comum
atalhos dentro do prompt de comando.
Página de Código Atual A

Página de Código Atual não é um campo ajustável. É simplesmente passar
informações sobre qual código de caractere você está usando. Estou nos Estados
Unidos, então recebi 437 (que é um resquício dos velhos tempos do IBM PC) e o
identificador adicional dos Estados Unidos.
Usar console herdado
O console legado remove muitos dos recursos mais recentes que foram adicionados ao
prompt de comando. Se você marcar a caixa de seleção Usar console herdado, algumas das
opções de personalização que mencionei não aparecerão mais na guia Opções para você.
Você pode querer fazer isso para problemas de compatibilidade ou para alguém que está
acostumado com a maneira como o Prompt de Comando costumava funcionar e acha
perturbador trabalhar com ele com as opções mais recentes.

Mudando a fonte
A guia Fonte (mostrada na Figura 6-3) é bastante direta. Ele permite que você
selecione o tamanho da fonte e qual fonte deseja usar. Ele ainda oferece uma
visualização prévia de como sua seleção ficará na visualização da janela. Na Figura
6-3, por exemplo, escolhi um tamanho de fonte de 24 na fonte Consolas. Você pode
ver na caixa inferior a visualização de como minha fonte ficará se eu mantiver essa configuração.
FIGURA 6-3:
A guia Fonte
permite que
você mude
a fonte e como
ele exibe no
comando
Incitar.
Escolhendo o layout da janela

Na guia Layout (mostrada na Figura 6-4), há três opções configuráveis:
» Tamanho do Buffer de Tela: O número de caracteres que você pode ver em uma
única linha é controlado pelo ajuste de Largura. O ajuste de altura determina quantas
linhas serão armazenadas na memória. Selecione Quebrar saída de texto ao
redimensionar se desejar que o texto seja ajustado sempre que você
redimensionar a janela do prompt de comando. Isso é útil se a saída de um
Trabalhando
no comando
Linha
de
comando for difícil de ler porque o tamanho da janela é pequeno. Você pode
ajustar a janela do prompt de comando e o texto será redimensionado
automaticamente, em vez de ter que redimensionar a janela e executar novamente o comando.
» Tamanho da Janela: Os ajustes de Largura e Altura alteram o tamanho da janela

real do Prompt de Comando.

» Posição da janela: se você desmarcar a caixa de seleção Deixar a janela de posição do

sistema, poderá ajustar a que distância deseja que o Prompt de comando seja aberto
nas bordas superior e esquerda da tela. Se você não marcar a caixa de seleção, não
poderá alterar as configurações Esquerda e Superior.
FIGURA 6-4:
A guia Layout
configura o que
a janela
parece.
Definindo as cores do texto

A guia Cores (mostrada na Figura 6-5) permite definir as cores de fundo e de texto usadas no Prompt de
Comando. Você pode ajustar as cores do texto e do plano de fundo da tela do prompt de comando, bem
como das caixas pop-up. Por padrão, o Prompt de Comando tem fundo preto e texto quase branco. Você
pode mudar isso para o que quiser.
Você também pode ajustar a opacidade do prompt de comando usando o controle deslizante Opacidade.
O controle deslizante é normalmente definido como 100%. No entanto, se você ajustar o controle deslizante
para baixo, poderá ver o que está por trás do prompt de comando.
Tornando o Prompt de Comando seu

Uma nova guia introduzida é a guia Terminal, que permite mais personalização do Prompt de Comando.
Isso é mostrado na Figura 6-6 com quatro novas opções.

FIGURA 6-5:
As cores
guia permite
personalizar cores
no comando
Incitar.
FIGURA 6-6:
Avançar
personalizações
que estão disponíveis
no Comando
Incitar.
Trabalhando
no comando
Linha
de
» Cores do Terminal: Você pode fazer alterações na seção Cores do Terminal tanto no plano
de fundo quanto no primeiro plano do Prompt de Comando.
» Forma do Cursor: Na seção Forma do Cursor, você pode ajustar o cursor para
aparecem como o cursor herdado, um sublinhado, uma barra vertical, uma caixa vazia ou uma
caixa sólida.

» Cores do Cursor: Como você pode imaginar, esta seção permite ajustar a cor
do cursor na janela do Prompt de Comando.
» Rolagem do Terminal: Por padrão, a rolagem para frente está habilitada. Isso
permite que você percorra o histórico de comandos armazenado no buffer. Se
você marcar isso e desabilitar Scroll-Forward, você só poderá rolar até a
saída da última linha.
Definindo Variáveis Ambientais

Existem dois tipos de variáveis de ambiente. As variáveis de ambiente do usuário se aplicam a
um usuário individual e as variáveis de ambiente do sistema se aplicam a todos os usuários.
Existem algumas variáveis ambientais, muitas para cobrir em um único livro. Se você quiser saber
quais variáveis ambientais estão disponíveis para você e quais são suas configurações atuais,
você pode fazer isso na janela Prompt de Comando.
Basta digitar Definir | Mais e você obtém a saída para todas as variáveis ambientais no sistema,
FIGURA 6-7:
Exibindo
ambiente
variáveis e
seu atual
configurações é
possível com o comando Set.

Uma das variáveis ambientais mais comuns para editar é a variável PATH .
Você pode editar a variável PATH quando quiser incluir um diretório em seu caminho para que possa
simplesmente executar programas nesse diretório sem ter que realmente navegar para esse diretório.
A sintaxe é simples. Por exemplo, para adicionar uma pasta chamada Tools ao meu caminho, eu digito
SET PATH=%PATH%;C:\Tools. Isso anexa minha pasta Tools às variáveis de caminho existentes,
como você pode ver na Figura 6-8. Posso verificar se minha nova entrada está em meu caminho
digitando echo %PATH%.
FIGURA 6-8:
A exibição depois
de anexar
uma pasta
ao meu PATH
variável de
ambiente.
Obtendo ajuda na linha de comando

Obter ajuda na linha de comando é muito fácil. Para obter ajuda com um comando específico, você
pode digitar o comando seguido de /?. Por exemplo, na Figura 6-9, você pode ver que eu queria obter
ajuda com o utilitário nslookup, então digitei nslookup /? e fui apresentado às opções para esse
Trabalhando
no comando
Linha
de
comando.
Se você deseja ajuda geral no Prompt de Comando, como orientação sobre o que você pode fazer,
basta digitar help e pressionar Enter. Você obtém uma lista de todos os comandos que pode executar
naquele momento, mostrado na Figura 6-10.

FIGURA 6-9:
Usando a
ajuda do
prompt de
comando para
obter mais
informações sobre um comando.
FIGURA 6-10:
Usando o
comando help
no prompt de
comando.

Compreendendo os símbolos da linha de comando

Os símbolos podem estender a utilidade do prompt de comando. Eles podem permitir que
você envie a saída para um arquivo ou combine comandos. A Tabela 6-1 fornece uma lista de
símbolos que você pode usar na janela do prompt de comando.
TABELA 6-1 Símbolos da linha de comando

Símbolo Exemplo Descrição
> comando > arquivo.txt Grava a saída do comando no nome de arquivo que você especificar. Se o arquivo
não existir, ele será criado. Se o arquivo existir, o arquivo será substituído.
< comando <arquivo.txt Executa um comando e insere o conteúdo do arquivo após o comando.
>> comando >>arquivo.txt Semelhante ao único símbolo >, exceto que este comando é anexado se o
arquivo existir, em vez de sobrescrever o arquivo.
| comando A | Envia a saída do comando A para a entrada do comando B.

comando B
& comando A e Executa o comando A e depois o comando B.

comando B
&& comando A Executa o comando B somente se o comando A terminar com sucesso.

&& comando B
|| comando A || Executa o comando B somente se o comando A não for concluído com êxito.
comando B
@ @echo off Digitar o símbolo de arroba (@) suprimirá o que vier depois dele. Não é realmente
um comando; na verdade, é um sinalizador opcional que pode ser usado para
suprimir o que vier depois dele. Isso pode impedir que uma linha de código apareça
nos logs do seu servidor. Você costuma vê-lo usado com @echo off para desativar a
saída de comandos que estão sendo executados em um script ou no console.
Trabalhando
no comando
Linha
de

NESTE CAPÍTULO
» Abrindo uma janela do PowerShell

com privilégios administrativos
» Configurando e customizando seu

Sessão do PowerShell
» Definir variáveis ambientais com

PowerShell
» Obtenção de assistência dentro do

Janela do PowerShell
» Compreendendo o PowerShell
pontuação e como usá-la
Capítulo 7
Trabalhando com o PowerShell

tem feito um grande esforço em direção ao PowerShell. E não é difícil de ver
O Prompt de Comando
por que. tem pode
O PowerShell sido executar
um item os
básico por utilitários
mesmos muitos anos, mas
e coisas a Microsoft
que podem ser
executados no prompt de comando, mas também pode executar muito mais do que isso. Ao
importar módulos, você pode expandir as coisas que o PowerShell pode fazer.
O PowerShell é uma opção muito flexível para administradores de sistema. O console

pode executar os comandos herdados que estavam disponíveis no prompt de comando,
bem como os comandos e scripts mais recentes do PowerShell. O PowerShell melhora a
capacidade de oferecer suporte à automação em plataformas, incluindo datacenters
locais, Azure, Amazon Web Services (AWS) e com o PowerShell Core, até mesmo Linux e macOS!
Ao trabalhar no PowerShell, você descobrirá como é fácil digitar comandos mais

longos, pois o PowerShell usa tabulação completa. Isso permite que você digite as
primeiras letras de um cmdlet e pressione a tecla Tab. Se um cmdlet corresponder ao
que você digitou até agora, ele será exibido. Se não for o cmdlet correto, você pode
continuar pressionando a tecla Tab até que o cmdlet correto seja exibido. Isso torna a
administração da janela do PowerShell muito eficiente.
CAPÍTULO 7 Trabalhando com o PowerShell 325

Uma das coisas que mais amo no PowerShell sobre o prompt de comando é a
linguagem comum usada com os cmdlets do PowerShell. Os cmdlets do
PowerShell utilizam um formato verbo-substantivo. Ao usar um cmdlet do
PowerShell, há um conjunto bem documentado de “verbos” que você pode usar.
Os verbos mais comuns do PowerShell que você vê são Get, Set, New e Invoke.
Muitos outros verbos estão disponíveis — você pode vê-los no site da Microsoft
junto com exemplos de quando eles seriam usados; vá para https://
docs.microsoft.com/en-us/powershell/scripting/developer/cmdlet/approved-verbs-
for-windows-powershell-commands?view =powershell-7.1.
Substantivos no contexto de cmdlets do PowerShell são contra os quais você deseja agir.
Considere o cmdlet Get-Date. Obter é o verbo; você está dizendo ao PowerShell que deseja
consultar algumas informações. Data é o substantivo; você está pedindo ao PowerShell para
recuperar a data.
Este capítulo serve como uma breve introdução ao PowerShell. Se quiser saber mais sobre o
PowerShell, consulte o Livro 6.
Abrindo um administrativo
Janela do PowerShell
A Microsoft tem feito um grande esforço para fazer com que mais administradores de sistema
adotem o PowerShell, devido à sua flexibilidade e utilidade. No Windows Server 2022, quando
você clica com o botão direito do mouse no menu Iniciar, não vê mais o Prompt de Comando
por padrão; em vez disso, você verá o Windows PowerShell, conforme mostrado na Figura 7-1.
Você tem duas opções nesta visualização:
» Você pode escolher Windows PowerShell, que abre uma janela não elevada do
PowerShell. Esta janela permitirá que você execute tarefas do PowerShell que
não requerem privilégios administrativos.
» Você pode escolher Windows PowerShell (Admin), que abre uma janela
elevada do PowerShell. Grande parte do trabalho que você faz como
administrador do sistema exigirá acesso administrativo; portanto, escolha
o Windows PowerShell (Admin).

PowerShell
Trabalhando
com
FIGURA 7-1:
janelas
O PowerShell agora
reside por padrão no

menu que você acessa
clicando com o
botão direito do mouse no
Menu Iniciar.
Configurando o PowerShell
Você pode configurar a janela do PowerShell da mesma forma que pode configurar a janela
do prompt de comando. Você pode personalizar a janela uma vez ou definir padrões para que
as configurações sejam carregadas todas as vezes. A única limitação de fazer as configurações
por meio da seleção de Padrões ou Propriedades no menu é que as cores que o PowerShell
usa para comandos e outras coisas não são afetadas pelas configurações de Propriedades. Se
você quiser afetar a cor dos comandos e outros componentes do PowerShell, precisará usar
um script de perfil. Se é isso que você deseja fazer, consulte “Usando um script de perfil” mais
adiante neste capítulo.
Para configurar a janela do PowerShell, inicie o Windows PowerShell, clique com o botão direito
do mouse na barra de título do Windows PowerShell e escolha Propriedades. A caixa de
diálogo Propriedades do Windows Power Shell é exibida. Nas seções a seguir, oriento você
nesta caixa de diálogo guia por guia.

Opções
A guia Opções (mostrada na Figura 7-2) é onde você pode definir coisas como o tamanho
do cursor, quantos comandos deseja recuperar, opções de edição e seleção de texto. As
seções a seguir orientam você em cada uma das seções da guia Opções.
FIGURA 7-2:
A guia Opções
permite que
você personalize como
você interage
com o Windows
PowerShell.
Tamanho do Cursor
Alterar o tamanho do cursor torna o cursor mais largo e mais fácil de localizar. Essa
configuração pode ser muito útil para pessoas com deficiência visual. Pessoalmente,
prefiro que essa configuração seja grande para o prompt de comando e o Windows PowerShell.
Histórico de comandos As
configurações do histórico de comandos permitem que você pressione a tecla de seta

para cima para voltar aos comandos anteriores. Isso pode evitar que você precise
redigitar comandos se estiver fazendo algo repetitivo. O tamanho do buffer padrão é 50,
mas você pode aumentar ou diminuir conforme desejar. A configuração Number of
Buffers é usada para especificar quantos processos podem ter seu próprio buffer individual.
A caixa de seleção Descartar Duplicatas Antigas é opcional; Eu normalmente não verifico
por preferência pessoal. Ele remove comandos duplicados, o que pode tornar mais
simples encontrar um comando antigo porque você não terá que passar por muitas repetições
comandos.

Opções de edição
A seção Edit Options oferece algumas opções para controlar como você pode editar
itens na janela do PowerShell:
» Modo de edição rápida: marcar esta caixa permite que você use o mouse para copiar e PowerShell
Trabalhando
com
colar texto na janela do Windows PowerShell.
» Modo de Inserção: Marcar esta caixa permite que você digite onde quer que o cursor esteja.
Se esta opção estiver desativada, você substituirá o texto existente, dependendo de onde o
cursor estiver localizado.
» Ativar atalhos de tecla Ctrl: Marcar esta caixa permite que você use atalhos de tecla Ctrl
como Ctrl+C para copiar ou Ctrl+V para colar.
» Filtrar conteúdo da área de transferência ao colar: Marcar esta caixa remove a formatação
do material colado proveniente da janela do Windows PowerShell.
» Use Ctrl+Shift+C/V como Copiar/Colar: Se estiver usando Ctrl+C para copiar texto, você
não pode usar esse atalho para interromper um comando em execução. Isso pode ser um
problema se você tiver um comando travado, porque terá que fechar a janela do
Windows PowerShell. Se você habilitar esta opção, ela permitirá o uso normal de Ctrl+C (para
interromper um comando em execução), mas ainda permitirá que você copie e cole
adicionando a tecla Shift ao atalho.
Seleção de texto
A seção Seleção de texto oferece duas opções adicionais para trabalhar:
» Ativar seleção de quebra de linha: marcar esta caixa pode corrigir problemas de formatação
ao copiar e colar do Windows PowerShell.
» Teclas de seleção de texto estendidas: marcar esta caixa permite o uso de atalhos de teclado
comuns dentro da janela do PowerShell.
Página de Código Atual A
Página de Código Atual não é um campo ajustável. Ele permite que você saiba qual código de
caractere está usando. Na minha janela do PowerShell, você pode ver que estou usando um
conjunto de caracteres UTF-8.
Usar console herdado
Marcar a última opção, Use Legacy Console, remove muitos dos recursos mais
recentes que foram adicionados ao PowerShell. Se você ativá-lo, algumas das
opções de personalização que discuti desaparecerão da guia Opções para você.
Não recomendo marcar esta caixa em uma janela do Windows PowerShell.

Fonte
A guia Fonte (mostrada na Figura 7-3) é uma guia simples com apenas algumas configurações.
Ele permite que você selecione o tamanho da fonte que deseja usar e qual fonte usar. A
seção Visualização da janela fornece uma visualização de como sua seleção ficará.
Na Figura 7-3, por exemplo, escolhi um Tamanho de 24 e uma Fonte de Consolas. Você
pode ver na caixa inferior (Fonte selecionada: Consolas) a visualização de como minhas
escolhas ficarão se eu optar por manter minhas alterações.
FIGURA 7-3:
A guia Fonte
permite que
você mude a
fonte e como
ele é exibido
no PowerShell.
Disposição
A guia Layout (mostrada na Figura 7-4) possui três opções configuráveis:
» Tamanho do Buffer da Tela: O ajuste de Largura controla o número de caracteres que cabem na
tela. O ajuste de altura determina quantas linhas serão armazenadas na memória. Marque a
caixa Quebrar saída de texto ao redimensionar para permitir que o texto na tela se ajuste
automaticamente ao redimensionar a janela do PowerShell.
» Tamanho da Janela: Os ajustes de Largura e Altura nesta seção alteram

tamanho real da janela do PowerShell.

» Posição da janela: Se você desmarcar a caixa de seleção Deixar a janela de posição do

sistema, poderá ajustar a distância que deseja que a janela do PowerShell esteja da parte
superior e esquerda da tela. (Se você deixar a caixa de seleção marcada, as opções
Esquerda e Superior ficarão esmaecidas.)
PowerShell
Trabalhando
com
FIGURA 7-4:
A guia Layout
configura o que o
PowerShell
janela vai
parece.
cores
A guia Cores (mostrada na Figura 7-5) permite definir as cores de fundo e de texto usadas na janela do
Windows PowerShell. Você pode ajustar o plano de fundo e as cores do texto para a janela do PowerShell,
bem como para quaisquer caixas pop-up que aparecerem. Selecione o botão de opção da opção que
deseja alterar (por exemplo, Fundo da tela) e escolha a cor desejada usando as listas suspensas
Vermelho, Verde e Azul ou clicando em uma das caixas coloridas abaixo.
Por padrão, o Windows PowerShell tem fundo azul e texto quase branco. Você pode mudar isso para o
que quiser. Em todas as minhas capturas de tela neste capítulo, estou usando um fundo preto com texto
branco, principalmente porque imprime melhor.
Você também pode ajustar a opacidade da janela do PowerShell usando o controle deslizante Opacidade.
O controle deslizante normalmente está em 100%, o que o torna sólido para que você não possa ver
através dele. No entanto, se você deslizar o controle deslizante para a esquerda, poderá ver o que está
por trás da janela do PowerShell. Isso pode ser divertido, mas pessoalmente acho uma distração; Eu
recomendo deixar o controle deslizante de Opacidade em 100%.

FIGURA 7-5:
As cores
guia permite que
você personalize
cores da tela
no Windows
PowerShell.
Personalizando o PowerShell um pouco mais

A guia Terminal (mostrada na Figura 7-6) permite mais personalização da
janela do PowerShell com quatro novas opções.
» Cores do terminal: você pode fazer alterações na seção Terminal Colors tanto no plano de
fundo quanto no primeiro plano da janela do PowerShell.
» Forma do Cursor: Na seção Forma do Cursor, você pode ajustar o cursor para
aparecem como o cursor herdado, um sublinhado, uma barra vertical, uma caixa vazia ou uma
caixa sólida.
» Cores do Cursor: Esta seção permite ajustar a cor do cursor dentro

a janela do PowerShell.
» Rolagem do Terminal: Por padrão, Scroll-Forward está habilitado. Isso permite que você percorra
o histórico de comandos armazenado no buffer. Se você marcar esta caixa e desabilitar Scroll-
Forward, você só poderá rolar até a saída da última linha.

PowerShell
Trabalhando
com
FIGURA 7-6:
Avançar
personalizações
que estão disponíveis
no comando
Incitar.
Usando um script de perfil

Antes de criar seu script, você precisa criar uma pasta WindowsPowerShell em sua pasta
Documentos. O script de perfil deve ser nomeado como profile.ps1 e deve ser colocado
dentro da pasta WindowsPowerShell.
Para definir as cores dos vários componentes que aparecem na tela, como comandos,
variáveis, strings e assim por diante, você precisa criar um script que defina a cor
desejada para cada um. Digamos que eu queira que todos os componentes sejam apenas
brancos no meu fundo preto (o que funciona muito bem para impressão). Meu script ficaria assim:
$colors = @{}
$colors['String'] = [System.ConsoleColor]::White $colors['Variable']
= [System.ConsoleColor]::White $colors['Comment'] =
[System.ConsoleColor ]::White $colors['None'] =
[System.ConsoleColor]::White $colors['Command'] =
[System.ConsoleColor]::White $colors['Parameter'] =
[System.ConsoleColor]: :White $colors['Type'] =
[System.ConsoleColor]::White $colors['Number'] =
[System.ConsoleColor]::White $colors['Operator'] =
[System.ConsoleColor]::White $colors['Member'] =
[System.ConsoleColor]::White Set-PSReadLineOption -Colors
$colors

Você pode ver que cada componente é definido individualmente e, no final, o comando Set-
PSReadLineOption é usado para ler as cores da variável que você criou no início chamada $colors.
Definindo Variáveis Ambientais

Existem dois tipos de variáveis de ambiente:
» Usuário: as variáveis de ambiente do usuário se aplicam a usuários individuais.
» Sistema: As variáveis de ambiente do sistema se aplicam a todos os usuários em um sistema.
Existem algumas variáveis ambientais. Se você quiser saber quais variáveis de ambiente estão
disponíveis para você e quais são suas configurações atuais, você pode verificar isso no Windows
PowerShell. Apenas defina o local para as variáveis ambientais (é tratado como um drive)
digitando o seguinte:
Get-ChildItem Env:
Você recebe a saída para todas as variáveis ambientais no sistema, mostradas na Figura 7-7.
Uma das variáveis ambientais mais comuns para editar é a variável PATH . Isso é feito quando
você deseja incluir um diretório em seu caminho para que possa simplesmente executar programas
nesse diretório sem precisar realmente estar nesse diretório. A sintaxe é simples. Por exemplo,
para adicionar uma pasta chamada Tools ao meu caminho, eu digitaria o seguinte:
[Ambiente]::SetEnvironmentVariable("DEMO","C:\Ferramentas","Usuário")
Isso acrescentaria minha pasta Tools localizada em minha unidade C: às variáveis de caminho
existentes, como você pode ver na Figura 7-8. Posso verificar se minha nova entrada está em meu
caminho digitando o seguinte:
Get-ChildItem Env:
Você precisará fechar o PowerShell e reabri-lo após adicionar uma variável de ambiente para vê-
lo com o comando Get-ChildItem Env:. Se você acabou de adicionar um e não o vê, verifique se
não esqueceu esta etapa.

PowerShell
Trabalhando
com
FIGURA 7-7:
Exibir
variáveis
ambientais e
suas
configurações
atuais é fácil com o Get
Comando
ItemFilho .
FIGURA 7-8:
A exibição após
a criação de uma
nova variável
de ambiente.

Obtendo ajuda no PowerShell

Você pode precisar de ajuda com a sintaxe de um determinado cmdlet. Por exemplo, o cmdlet
Get-Command tem uma sintaxe que você precisa seguir para obter informações específicas
e relevantes. Para obter ajuda sobre o cmdlet Get-Command , simplesmente digite Get-Help
Get-Command, conforme mostrado na Figura 7-9.
FIGURA 7-9:
Usando a
Ajuda do PowerShell
para obter
mais informações
sobre o
cmdlet Get Command .
Se você deseja ajuda geral no Windows PowerShell, como orientação quanto à sintaxe do
comando Help, basta digitar help e pressionar Enter. Você obtém a página de Ajuda do
Windows PowerShell que explica o que é e fornece alguns exemplos, conforme mostrado na
Figura 7-10.

PowerShell
Trabalhando
com
FIGURA 7-10:
Usando o
comando
help no
Windows PowerShell.
Entendendo a pontuação do PowerShell

Enquanto o Prompt de Comando tratava de símbolos, o Windows PowerShell
trata de pontuação. A Tabela 7-1 lista os tipos de pontuação que você pode usar
na janela do Windows PowerShell.
TABELA 7-1 Pontuação do Windows PowerShell
Exemplo de pontuação Descrição
# #Isto é um comentário Identifica comentários. Comentários são usados em

scripts do PowerShell para documentar quais seções de
código devem fazer e outras informações. Todo o texto digitado
após o # em uma linha é considerado um comentário.
$ $minhavariável Declara variáveis.
= $minhavariável=1 Atribui um valor a uma variável.
| Get-ChildItem | Get-Member Pega a saída do primeiro comando e a passa para a entrada do

segundo comando.
" Encapsula o texto; variáveis mostram o valor
"Meu valor é $var" (O resultado
pode ser: Meu valor é 5.) Isso apropriado.
pressupõe que a variável $var foi
definida anteriormente como 5.
(contínuo)

(contínuo)
Exemplo de pontuação Descrição
' 'Meu valor é $var' (O resultado seria: Encapsula o texto; trata o texto literalmente para que as variáveis sejam
Meu valor é $var.) Mesmo que a tratadas como texto.
variável $var seja definida como
5, $var será impresso como $var.
() algumtexto.ToLower() Fornece argumentos para cmdlets e agrupa itens como

números.
100/(5+4)*6
[] $fruta=[maçã,laranja] Normalmente usado para matrizes e comparações semelhantes.
-like [algum texto]
{} Chamar-Comando Usado para incluir blocos de código.

-ScriptBlock {cmdlets}
PowerShell ISE
O PowerShell Integrated Scripting Environment (ISE) tem sido um excelente recurso para aqueles que estão
aprendendo o PowerShell ou para aqueles que desejam solucionar problemas de scripts do PowerShell.
Ele tem dois painéis para trabalhar com scripts do PowerShell. O painel superior é o editor de texto, que
faz codificação de cores e executa sugestões de conclusão de comando para você com um recurso conhecido
como IntelliSense.
O segundo painel é uma janela tradicional do PowerShell. Você pode digitar comandos diretamente nele,
embora normalmente eu o use para ver qual foi a saída de uma linha de código individual quando estou
solucionando problemas por que um script não está sendo executado corretamente.
O lado direito da tela oferece uma espécie de Command Explorer. Ele lista todos os comandos que você
pode usar e o ajudará a concluir o comando.
O PowerShell ISE é compatível com o Windows PowerShell 5.1. A partir do PowerShell 6, não há mais
suporte e a recomendação da Microsoft é fazer a transição para o uso do Visual Studio Code se você
quiser uma ferramenta gráfica para trabalhar com scripts do PowerShell.
A maioria dos exemplos do PowerShell neste livro foi feita no Visual Studio Code exatamente por esse
motivo, embora deva ser observado que o Windows Server 2022 no momento da redação deste livro é
fornecido com o PowerShell 5.1.

4 Configurando
rede
no Windows
Servidor 2022
Resumo do conteúdo
CAPÍTULO 1: Visão geral da rede do Windows
Server 2022 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .341
....
CAPÍTULO 2: Executando tarefas básicas de rede. . . . . . . . . . . . . . . . 359
CAPÍTULO 3: Realizando tarefas avançadas de rede . . . . . . . 371
CAPÍTULO 4: Diagnosticando e reparando a rede

Problemas de Conexão. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
NESTE CAPÍTULO
» Examinando a Rede e Compartilhando

Centro
» Controlando suas configurações de rede
» Configurando TCP/IP no Windows

Servidor 2022
» Compreendendo o DHCP e por que você

precisa dele
» Entendendo o DNS e como ele facilita

sua vida
Capítulo 1
Visão geral do Windows

Servidor 2022 Rede
para apoiá-lo. A rede que você apoiará provavelmente será uma Ethernet
Um servidor
rede.não
As pode
redesfazer seu trabalho
Ethernet usam um fundamental
cabo de parsem uma rede
trançado nãosólida e confiável
blindado (UTP).
Existem diferentes categorias de cabo Ethernet, mas as mais comuns são
Categoria 5e (Cat5e) e Categoria 6 (Cat6). Conforme você sobe de categoria,
ganha velocidade e, em alguns casos, distância.
Se a sua organização ocupa um único prédio ou um pequeno espaço de escritório,

provavelmente você oferecerá suporte a uma rede local (LAN) e sua organização
provavelmente será proprietária de todos os componentes de rede. Se sua organização for
maior e mais dispersa geograficamente, você pode oferecer suporte a uma rede de longa
distância (WAN); neste caso, sua organização será proprietária de parte do equipamento de
rede, mas um provedor de serviços de Internet (ISP) provavelmente será proprietário de
parte do cobre ou da fibra que seu tráfego está atravessando.
CAPÍTULO 1 Visão geral da rede do Windows Server 2022 341

Neste capítulo, explico como fazer networking no Windows Server 2022. Apresento a você o
Centro de Rede e Compartilhamento e o informo sobre como configurar TCP/IP, DNS e DHCP
(todos os quais explico com mais detalhes em as páginas que se seguem).
Conhecendo o Centro de Rede e

Compartilhamento
No Windows Server 2022, o Centro de Rede e Compartilhamento oferece um local central para
começar a atender a todas as suas necessidades de rede. Este utilitário estava em versões
anteriores do Windows, portanto, se você for um administrador de sistema de longa data, esta
interface será confortável para você.
Para acessar o Centro de Rede e Compartilhamento, clique com o botão direito do mouse no
menu Iniciar e escolha Conexões de Rede. Na página Status, role para baixo até Central de Rede
e Compartilhamento.
Na tela Network and Sharing Center (mostrada na Figura 1-1), você obtém acesso a alguns dos
utilitários úteis em um só lugar.
FIGURA 1-1:
A Rede e
Central de
Compartilhamento no Windows
Servidor 2022.
342 LIVRO 4 Configurando a rede no Windows Server 2022

Na seção "Exibir suas redes ativas", você pode ver rapidamente se sua conexão está habilitada e
se você possui conectividade com a Internet. Se você não tiver conectividade com a Internet, o tipo
de acesso dirá "Sem Internet".
No lado esquerdo da tela, você vê o link Alterar configurações do adaptador. Ao clicar nesse link,
você verá uma lista de todos os adaptadores de rede presentes em seu sistema. Clique com o
botão direito do mouse no adaptador e escolha Propriedades (consulte a Figura 1-2).
Windows
Visão
geral
do Servidor
Rede
2022
FIGURA 1-2:
Acessando as
propriedades do
adaptador de rede
tela.
A tela Propriedades é onde ocorre a maior parte da configuração do TCP/IP. Para saber mais sobre
esse assunto, vá para a seção “Configurando TCP/IP”, mais adiante neste capítulo.
A seção final do Centro de Rede e Compartilhamento para a qual quero chamar sua atenção é o
utilitário Solucionar problemas. Ao clicar no link Solução de problemas (consulte a Figura 1-1), você
será direcionado para a área Solução de problemas. A partir daqui, você pode clicar em Conexões
com a Internet (consulte a Figura 1-3) e obter um utilitário baseado em assistente que pode ajudá-
lo a identificar e resolver problemas.
Se o sistema não achar que há um problema, talvez seja necessário clicar em Solucionadores de
problemas adicionais para obter a opção necessária. A partir daí, você pode selecionar Conexões
com a Internet ou escolher entre uma infinidade de outras opções de solução de problemas.

FIGURA 1-3:
Solução de problemas de
sua conexão com a
Internet
com o embutido
utilitário de solução de
problemas.
Usando as ferramentas de conexões de rede

No Windows Server 2022, há uma seção que permite controlar todas as configurações de
rede. Você pode acessar essas ferramentas clicando com o botão direito do mouse no menu
Iniciar e escolhendo Conexões de rede. Como alternativa, você pode clicar em Iniciar, em
Configurações (o ícone de engrenagem) e em Rede e Internet.
Status
A página Status é a página padrão com a qual você começa quando entra na área Rede e
Internet. Ele oferece muitas das mesmas opções que você tem no Centro de Rede e
Compartilhamento, bem como o status de sua conexão de rede (consulte a Figura 1-4).
Na parte inferior da página, você pode ver o link “Alterar opções do adaptador” e o link
“Solução de problemas de rede”, assim como você fez no Centro de Rede e Compartilhamento.
Meu palpite é que esta tela eventualmente substituirá o Centro de Rede e Compartilhamento
porque o conjunto de ferramentas nesta tela é idêntico.

Windows
Visão
geral
do Servidor
Rede
2022
FIGURA 1-4:
A tela Status na
seção Rede e
Internet das
Configurações.
Ethernet
Ao clicar no link Ethernet no menu à esquerda da Rede e
Área da Internet, são apresentadas opções específicas para a conexão Ethernet (consulte a
Figura 1-5):
» Change Adapter Options: Se você clicar neste link, obterá uma lista de todas as opções de adaptação
instaladores no sistema. Você pode escolher com quais adaptadores deseja trabalhar a partir daí.
» Alterar opções avançadas de compartilhamento: Se você clicar neste link, poderá alterar a descoberta
de rede e as configurações de compartilhamento de arquivos e impressoras para seus perfis
de rede.
» Centro de Rede e Compartilhamento: Clicar neste link abre o bom e velho

Centro de Rede e Compartilhamento.
» Firewall do Windows: clicar neste link abre a tela mais recente de Firewall e proteção de rede,
mostrada na Figura 1-6. A partir daqui, você pode permitir aplicativos específicos por meio do
firewall, habilitar ou desabilitar o firewall para os diferentes perfis e ajustar as notificações
que o firewall fará. Você também pode entrar na área de Configurações avançadas, que permite
especificar regras mais granulares por Protocolo de Internet (IP), número de porta e assim por
diante.

FIGURA 1-5:
A tela
Ethernet na
seção
Rede e Internet
das Configurações.
FIGURA 1-6:
A tela
Firewall e
proteção de rede
na seção Rede
e Internet de
Configurações.

Discar
Ao clicar no link Dial-up no menu à esquerda da área Rede e Internet, você pode criar
uma nova conexão se tiver um modem conectado ao seu sistema. Um assistente
orienta você a definir o número para o qual você precisa discar para o serviço.
VPN
Ao clicar no link VPN no menu à esquerda da área Rede e Internet, você pode criar
uma conexão de rede privada virtual (VPN) (consulte a Figura 1-7).
Por padrão, o único provedor de VPN disponível é integrado ao Windows. Você precisa
nomear a conexão e, em seguida, informar o endereço do servidor VPN ao qual está
se conectando.
Windows
Visão
geral
do Servidor
Rede
2022
FIGURA 1-7:
A tela VPN em Rede
e
seção de internet
de Configurações.
Proxy
Ao clicar no link Proxy no menu à esquerda da área Rede e Internet, você pode definir
as configurações de proxy — o que você precisará fazer se sua organização usar um
servidor proxy (consulte a Figura 1-8). Se você estiver usando um script de configuração
automática, poderá ativar as opções Detectar configurações automaticamente e Usar
script de configuração.

FIGURA 1-8:
A tela Proxy na
seção Rede e
Internet das
Configurações.
Se precisar definir as coisas manualmente, você pode usar a seção “Manual Proxy
Setup” para especificar o endereço IP e a porta do servidor proxy.
Configurando TCP/IP
Transmission Control Protocol/Internet Protocol (TCP/IP) é um conjunto completo de
protocolos que permite que os dispositivos se comuniquem em uma rede. Trabalhar
com a configuração TCP/IP em seu servidor é uma das tarefas básicas que se espera
que você saiba como administrador de sistema.
Antes de explicar como configurar o TCP/IP, preciso que você entenda alguns termos:
» Endereço IP: Um endereço IP é um número que identifica exclusivamente um sistema

em uma rede. Existem duas versões de endereços IP:
• IPv4: Um endereço de 32 bits que identifica um sistema em uma rede IPv4 (por
exemplo, 192.168.10.10)
• IPv6: um endereço de 128 bits que identifica um sistema em uma rede IPv6 (por
exemplo, FE80:0000:0000:0000:0202:B2EF:FC4B:5749)

» Domain Name System (DNS): traduz nomes de host em endereços IP usando zonas de
pesquisa direta e endereços IP em nomes de host com pesquisa reversa
zonas.
» Windows Internet Name Service (WINS): Responsável pela conversão

Nomes NetBIOS para endereços IP. O WINS foi usado principalmente em versões mais antigas
do Windows (Windows 2000, Windows XP e Windows Server 2003).
Agora que você conhece os termos-chave, vamos atribuir um endereço IP a um sistema. Siga
estas etapas para percorrer as configurações que você pode alterar:
1. Clique com o botão direito do mouse no menu Iniciar e escolha Conexões de rede.
2. Clique em Alterar opções do adaptador.
3. Clique com o botão direito do mouse em um dos adaptadores e escolha Propriedades.

Windows
Visão
geral
do Servidor
Rede
2022
A caixa de diálogo Propriedades do adaptador é exibida.
4. Selecione Internet Protocol Version 4 (TCP/IPv4) e clique no botão Properties (conforme

mostrado na Figura 1-9).
A caixa de diálogo Propriedades do Protocolo Internet Versão 4 (TCP/IPv4) é exibida. Por

padrão, isso é definido para obter um endereço de protocolo de Internet (IP) e servidor de nome
de domínio (DNS) automaticamente. Você pode ver na Figura 1-10 que o servidor tem
endereços estáticos configurados. Isso ocorre porque é um servidor DNS e controlador de domínio.
FIGURA 1-9:
Selecionando com
qual protocolo de
rede você
deseja trabalhar
na caixa de
diálogo
Propriedades do adaptador.

FIGURA 1-10:
Definido estaticamente
IP e DNS
configurações do servidor
são comuns
em servidores
servindo
infraestrutura crítica
Serviços.
Você também pode definir configurações adicionais e mais avançadas. Na caixa de

diálogo Propriedades do Protocolo da Internet Versão 4 (TCP/IPv4) (consulte a Figura
1-10), clique no botão Avançado. A caixa de diálogo Advanced TCP/IP Settings possui
três abas que permitem fazer configurações mais avançadas em relação ao seu endereço
IP, servidores DNS e servidores WINS, mostrados na Figura 1-11.
FIGURA 1-11:
O Avançado
A caixa de diálogo
Configurações de TCP/
IP permite executar
configurações mais avançadas
configuração
tarefas.

A guia Configurações de IP pode ser usada para adicionar, editar ou remover endereços IP ou gateways.
A guia DNS permite adicionar, editar ou remover servidores DNS. (A tela de configuração básica
permite que dois servidores sejam configurados, mas nesta guia você pode configurar servidores
adicionais se precisar.) Se estiver usando WINS, a guia WINS permite especificar servidores WINS que
estão disponíveis no rede.
Entendendo o DHCP
O Dynamic Host Configuration Protocol (DHCP) torna sua vida mais fácil atribuindo automaticamente
um endereço IP a um sistema. Ele gerencia endereços que estão em uso e garante que endereços IP
duplicados nunca sejam emitidos. Por padrão, um endereço é alugado por oito dias, momento em que a
concessão pode ser renovada ou o endereço IP pode ser reatribuído a outro sistema.
Windows
Visão
geral
do Servidor
Rede
2022
O DHCP transfere o fardo de atribuir e rastrear endereços IP do administrador do sistema e de uma

planilha manual para um processo mais automatizado. Especialmente para grandes organizações, o
DHCP garante que o espaço de endereço IP disponível seja utilizado com mais eficiência. Se um
dispositivo com concessão for removido da rede ou estiver offline, a concessão será removida quando
expirar e o endereço IP será disponibilizado para outro dispositivo.
Automatizar o provisionamento de endereços IP é desejável, mas haverá casos em que você precisará
definir um endereço IP estático que não será alterado. Os sistemas que hospedam os principais serviços
de infraestrutura, como DNS, DHCP e Active Directory, devem ter endereços IP estáticos. Você ainda
pode gerenciar os endereços IP estáticos no DHCP definindo uma reserva para que o endereço IP seja
contabilizado, mas o DHCP não o emitirá novamente.
O DHCP pode fornecer configuração além de simplesmente emitir endereços IP. Ao usar as opções de
DHCP, você pode definir coisas como o gateway padrão, os servidores de nomes para uma rede,
servidores de imagem disponíveis e muito mais.
Então, como funciona o DHCP? Uma das maneiras mais fáceis de lembrar é com a sigla DORA ; DORA
significa Descobrir, Oferecer, Solicitar e Reconhecer:
1. Descubra.
Um cliente DHCP solicita um endereço IP enviando uma mensagem DHCPDiscover para sua
sub-rede local como uma transmissão.
2. Oferta.
O servidor DHCP faz uma oferta ao cliente usando uma mensagem DHCPOffer, que
contém o endereço IP e as informações de configuração, incluindo o tempo de concessão.

3. Pedido.
O cliente DHCP transmite um DHCPRequest para indicar que aceitou o que foi enviado.
4. Reconheça.
Como último passo, o servidor DHCP transmite uma mensagem DHCPAck, que permite
ao cliente saber que a concessão foi finalizada.
O DHCP usa as portas UDP/67 e UDP/68. UDP/67 é usado como porta de destino no servidor DHCP e
UDP/68 é usado pelo cliente DHCP.
Definindo DNS
Domain Name System (DNS) é o serviço usado para mapear nomes amigáveis como www.dummies.com
para um endereço IP, que é como um computador endereça locais.
Você precisa entender alguns termos para entender como o DNS divide os endereços:
» Domínio de primeiro nível: O domínio de primeiro nível é utilizado para indicar o país de
origem ou o tipo de organização. Por exemplo, uma organização comercial pode
usar .com ou um site no Brasil pode usar .br. Os domínios comuns de nível superior
incluem
• .com (comercial)
• .edu (instituições de ensino)
• .org (geralmente usado por organizações sem fins lucrativos)
• .net (uma alternativa para .com)
• .gov (sites do governo)
• .mil (sites militares)
• Códigos de país como .us, .br, .tk, .cn e assim por diante
» Domínio de segundo nível: Um domínio de segundo nível é registrado para um

indivíduo ou uma organização. Por exemplo, dummies.com é um domínio de segundo
nível.
» Subdomínio: Subdomínios são nomes adicionais que uma organização

escolhe registrar. Um exemplo de subdomínio seria o www em www. dummies. com.

Zonas no DNS são usadas para separar limites administrativos dentro de um namespace DNS
comum (como sometestorg.com). Vários subdomínios podem existir na mesma zona e várias
zonas podem existir no mesmo servidor DNS. Por exemplo, posso ter três subdomínios:
hr.sometestorg.com, sales.sometestorg.com e legal.sometestorg.com. Meus subdomínios RH e
Vendas são gerenciados pelo mesmo grupo de pessoas, portanto, estão na mesma zona. Meu
domínio jurídico é gerenciado por um grupo diferente de pessoas, portanto, está em sua própria
zona. Cada zona armazena suas informações em um arquivo de zona DNS. O arquivo de zona
DNS contém todos os registros existentes na zona.
Os registros DNS são armazenados em zonas DNS. Existem vários tipos de registros DNS que
você pode encontrar em uma zona, e o tipo de registro define que tipo de registro você está usando.
Os subdomínios, por exemplo, são normalmente definidos por um registro A. A Tabela 1-1 lista os
tipos de registro DNS comuns.
Windows
Visão
geral
do Servidor
Rede
2022
TABELA 1-1 Tipos de registro DNS

Descrição do tipo de registro
SOA Start of Authority define o nome do servidor DNS primário, intervalos de atualização
e configurações de tempo de vida.
A ou AAAA Os registros A são registros de host para endereços IPv4; Os registros AAAA são
registros de host para endereços IPv6. Este registro fornece um mapeamento de um
nome de host para um endereço IP.
PTR Mapeia um endereço IP para um nome de host e é usado para pesquisas

reversas de DNS.
NS Define servidores de nomes para a zona DNS.
MX Define o registro DNS do servidor de troca de e-mail.
CNAME CNAMEs são usados para criar um registro de alias. Por exemplo,
você pode ter server1.example.com, mas deseja que as pessoas
usem o nome www.myawesomesite.com. Você pode fazer isso
criando um CNAME com o URL desejado e apontar o CNAME para o
registro A de server1.example.com.
Agora que você sabe de tudo isso, deve estar se perguntando: “Mas como funciona o DNS?” A
resposta simples: consultas de DNS. Quando um cliente DNS precisa resolver um registro, ele
envia uma consulta DNS para um servidor DNS local. Se esse servidor souber o endereço, ele
responderá com o endereço IP. Se não souber o endereço, pode consultar outro servidor.
Vamos usar o seguinte exemplo: Você deseja acessar www.dummies.com porque não é um idiota.
Você digita o endereço em seu navegador e nos bastidores, é isso que acontece:

1. O cliente DNS consulta o servidor DNS local se souber quem é www.dummies.

com é.
2. O servidor local não sabe, então envia uma consulta ao servidor raiz para
obtenha um servidor DNS autoritativo para .com.
Ele recebe uma referência para os servidores DNS .com .
3. O servidor local consulta os servidores .com em busca de www.dummies.com.
4. O servidor .com pode não saber o endereço, mas fornece o endereço em

uma referência para o servidor DNS para dummies.com.
5. A partir daí, o servidor local pode consultar o servidor DNS dummies.com para
www.dummies.com, e receberá um endereço IP válido como resposta à consulta original.
Tudo isso acontece em poucos segundos que você leva para acessar o site. A resposta é
armazenada em cache pelo cliente DNS por quanto tempo o tempo de vida (TTL) for definido,
para que solicitações futuras possam ser respondidas pelo cache no sistema local, em vez de
ter que passar pelas consultas novamente.
O DNS usa a porta 53 para se comunicar. Consultas DNS regulares são feitas em UDP/53; no
entanto, consultas maiores, como consultas IPv6 e DNSSEC, precisam de TCP/53. O TCP/53
também é usado para transferências de zona, razão pela qual foi historicamente bloqueado
por organizações no firewall. No entanto, se sua organização planeja usar IPv6 ou DNSSEC,
você precisa permitir.
Criando uma zona DNS

Em algum momento de sua carreira, é muito provável que você seja solicitado a criar uma
zona. Quando expliquei as zonas anteriormente, mencionei o caso de uso de ter uma zona
com dois subdomínios: um subdomínio de vendas e um subdomínio de RH. Nesse exemplo,
mencionei a necessidade de uma nova zona para o subdomínio Jurídico. Aqui estão as etapas
envolvidas na configuração da nova zona:
1. No Gerenciador do Servidor, escolha Ferramentasÿ DNS.
2. Clique com o botão direito do mouse em Zonas de pesquisa direta e clique em Nova zona.
3. No Assistente Bem-vindo à nova zona, clique em Avançar.
4. Na tela Tipo de zona, selecione o botão de opção ao lado de Zona primária,

e clique em Avançar.

Na tela Zone Type, você será solicitado a marcar a caixa de seleção Store the Zone in
Active Directory. Você deve estar em um controlador de domínio gravável para selecionar
esta opção. Sugiro selecionar isso para obter a tolerância a falhas das zonas integradas
do Active Directory.
5. Na tela Active Directory Zone Replication Scope, selecione a opção

botão ao lado de Para todos os servidores DNS em execução nos controladores de
domínio neste domínio: <domain_name>, mostrado na Figura 1-12.
7. Na tela Zone Name, digite o nome da zona que deseja

criar e clique em Avançar.
Neste exemplo, inserirei legal.sometestorg.com.
Na tela Dynamic Update, você tem três opções. Se você optou por armazenar a zona DNS no
Active Directory, todas as três opções estarão disponíveis. Se você optar por não armazenar a
Windows
Visão
geral
do Servidor
Rede
2022
zona DNS no Active Directory, não poderá selecionar Permitir apenas atualizações dinâmicas
seguras.
8. Selecione Permitir apenas atualizações dinâmicas seguras e clique em Avançar.
9. Na tela Concluindo o assistente de nova zona, clique em Concluir.
FIGURA 1-12:
Selecionar o
escopo de
replicação para a
nova zona é
importante; neste
caso, o escopo
está no nível do domínio.
Se você seguiu essas etapas, sua tela deve ser semelhante à Figura 1-13.
Você pode ver a nova zona para o subdomínio de legal.sometestorg.com.

FIGURA 1-13:
O jurídico.
A zona
sometestorg.com
fornece
um limite
administrativo
separado da zona sometestorg.
zona com.
DNS e Active Directory

Para instalar o Active Directory, você deve ter o DNS instalado antecipadamente ou
instalá-lo ao mesmo tempo que o Active Directory. Você pode se perguntar por que
precisa do DNS para poder usar o Active Directory. Existem algumas razões:
» O DNS ajuda os sistemas na rede a localizar um controlador de domínio usando registros localizadores, que
ajudam as estações de trabalho e servidores fornecendo a localização dos controladores de domínio.
Sem os registros do localizador, seus sistemas não seriam capazes de autenticar, porque não teriam
um local para enviar o tráfego de autenticação.
» Os controladores de domínio dependem do DNS para encontrar outros controladores de domínio para replicar
seus dados de zona para.
Tornando o DNS tolerante a falhas

Ao criar um servidor DNS, você especifica se ele será o servidor DNS primário ou o
servidor DNS secundário de uma zona. Só pode haver um servidor DNS primário para
uma zona, mas você pode ter vários servidores DNS secundários em uma zona. O
servidor DNS primário da zona atende às consultas que chegam e, mais

importante, aceita alterações e adições aos registros de zona. Os servidores DNS secundários
podem atender a consultas, mas não podem aceitar adições ou alterações nos registros da
zona. Eles contêm uma cópia somente leitura da zona que é copiada do servidor DNS primário.
Se o servidor DNS primário da zona ficar inativo, você poderá promover o servidor DNS
secundário da zona a primário. Este não é um processo automático — como administrador do
servidor, você deve iniciá-lo.
Se estiver usando zonas DNS integradas ao Active Directory, você será automaticamente
tolerante a falhas. As zonas DNS integradas ao Active Directory armazenam seus registros no
Active Directory. Os servidores DNS considerados autoritativos para essas zonas existem em
uma configuração multimestre. Se um dos servidores DNS caísse, os outros servidores DNS
continuariam a atender às consultas sem problemas.
Lembre-se de que, para ser tolerante a falhas, você precisa de pelo menos dois servidores
DNS com autoridade para a zona integrada do Active Directory.
Windows
Visão
geral
do Servidor
Rede
2022

NESTE CAPÍTULO
» Visualização das propriedades da rede em

Servidor Windows 2022
» Conexão com outras redes e uso

de redes privadas virtuais
» Gerenciando e configurando
conexões de rede no Windows Server
Capítulo 2
Desempenho Básico
Tarefas de rede
configurar a rede em um servidor Windows. Pode ser necessário alterar o IP

endereço
Espera-se queemosum servidor, por exemplo.
administradores Certos servidores
de sistema conheçam devem ter seus endereços
os detalhes básicos de como
definido estaticamente. Geralmente, serão sistemas de infraestrutura crítica, como
serviços de domínio do Active Directory (AD DS), DNS (sistema de nome de domínio)
e servidores DHCP (Dynamic Host Configuration Protocol).
Neste capítulo, abordo como fazer a configuração básica em uma placa de interface de
rede e me aprofundar em algumas outras coisas legais que você pode fazer com a rede
no Windows Server 2022.
Visualizando Propriedades de Rede

Observar as propriedades de seu adaptador de rede oferece uma maneira rápida e
simples de ver como seu sistema está configurado para se comunicar em sua rede.
Para ver suas propriedades de rede no Windows Server 2022, siga estas etapas:
CAPÍTULO 2 Executando tarefas básicas de rede 359

1. Clique no menu Iniciar e, em seguida, clique no ícone de engrenagem para abrir o menu Configurações.
2. Clique em Rede e Internet.
3. Escolha Ethernet no menu à esquerda.
Ao selecionar o adaptador de rede, você tem várias opções que aparecem em uma
barra na parte superior da tela, conforme mostrado na Figura 2-1:
FIGURA 2-1:
Trabalhando com as
propriedades de
um adaptador de rede.
» Desativar este dispositivo de rede: Desativa o adaptador de rede selecionado.
» Diagnosticar esta conexão: usado para solucionar problemas de conexão relacionados

à conectividade de rede.
» Renomear esta conexão: Permite renomear a conexão. Isso é

útil se houver vários adaptadores de rede e você precisar acompanhar o que cada
um está fazendo.
» Ver Status desta Conexão: Mostra o status da rede

conexão.
» Alterar configurações desta conexão: Abra a caixa de diálogo Propriedades para

o adaptador de rede que foi selecionado.

Também há opções se você clicar com o botão direito do mouse no adaptador de rede. A
maioria das opções corresponde ao que apareceu na barra superior quando você selecionou o
adaptador de rede, com exceção de Bridge Connections, que permite unir dois adaptadores de
rede para que o sistema operacional os veja como um único adaptador de rede.
Supondo que você deseja configurar o adaptador de rede, você pode clicar com o botão direito
do mouse no adaptador e escolher Propriedades ou selecionar Alterar configurações desta
conexão na barra superior quando o adaptador de rede for selecionado. Depois de abrir a caixa
de diálogo Propriedades do adaptador de rede, você deverá ver algo parecido com a Figura 2-2.
FIGURA 2-2:
A caixa de
diálogo Desempenho
Básico Tarefas
rede
de
Propriedades da rede
adaptador
permite alterar a
configuração do
adaptador de rede.
Alguns dos itens na caixa de diálogo Propriedades do adaptador de rede só podem ser
desinstalados, enquanto outros podem ser configurados por meio do botão Propriedades. Além
disso, você pode instalar novos recursos de rede clicando no botão Instalar.
Conectando a outra rede

Conectar-se à sua rede local é um ótimo primeiro passo, mas na maioria dos casos você
realmente deseja se conectar a outra rede. O melhor e mais comum exemplo disso é a conexão
com a Internet. A Internet é uma rede totalmente diferente daquela em que seu computador
está conectado e você precisa estar configurado corretamente para acessá-la.

Conectando-se à Internet
Em algumas redes (como uma rede doméstica, por exemplo), você conecta seu computador
a um roteador ou switch conectado a um modem a cabo e a configuração é automática.
Você é capaz de acessar a Internet em poucos minutos. Se você verificasse seu endereço
IP, teria um dos endereços IP internos não roteáveis, de um dos intervalos mostrados na
Tabela 2-1.
TABELA 2-1 Intervalos de endereços privados IPv4

sub-rede Faixa
10.0.0.0/8 10.0.0.0–10.255.255.255
172.16.0.0/12 172.16.0.0–172.31.255.255
192.168.0.0/16 192.168.0.0–192.168.255.255
Para acessar a Internet, no entanto, você precisa de um endereço IP público. O modem a

cabo que você aluga do seu ISP está recebendo o endereço IP público e geralmente está
fazendo a “tradução” entre seu endereço IP interno (que não é roteável na Internet) para o
endereço IP público roteável atribuído a ele.
Em uma organização, você pode ter algum tipo de proxy entre você e a Internet. Os proxies
podem atuar como uma combinação de um firewall e um filtro da web; eles podem proteger
seu sistema de tráfego perigoso, bem como bloquear sites maliciosos conhecidos. Para
configurar um proxy, siga estas etapas:
1. Clique no menu Iniciar e, em seguida, clique no ícone de engrenagem para acessar as Configurações
cardápio.
3. Clique em Proxy.
Em uma organização, se você estiver usando um proxy, provavelmente terá um script de configuração.
4. Clique na opção Usar script de configuração e digite o endereço do script, incluindo

o nome do arquivo .pac .
5. Clique em Salvar.
Depois de clicar em salvar, as configurações do seu servidor devem ser semelhantes à

Figura 2-3. A localização do script de proxy será diferente, é claro.

FIGURA 2-3:
Configurando um script
de proxy para Internet
acesso em um
Servidor Windows.
Configurando uma conexão dial-up

Ok, eu sei que você provavelmente riu quando viu este cabeçalho. Quem usa dial-up
mais, certo? Acredite ou não, o dial-up ainda existe, embora certamente esteja se
tornando menos comum. Por que você pode usar dial-up? Bem, existem algumas razões Desempenho
Básico Tarefas
rede
de
pelas quais pode ser uma boa solução, dependendo do seu caso de uso:
» Talvez você tenha uma linha telefônica tradicional, mas DSL não é oferecido em sua área.
» Talvez você precise de uma conexão confiável e consistente e esteja realmente

verificando e-mails ou fazendo pesquisas simples no Google.
» Talvez você precise de acesso à Internet, mas precisa que seja o mais barato possível
possível (o acesso discado custa aproximadamente US$ 20 por mês).
Seja qual for o motivo, se você precisar usar uma conexão dial-up, veja como configurá-
la:
1. Inscreva-se em um serviço dial-up e obtenha o número do serviço.
Este é o número que você ligará para se conectar.
2. Clique no menu Iniciar e clique na engrenagem para acessar o menu Configurações.

4. Escolha Dial-up.
5. Clique em Configurar uma nova conexão.
6. Escolha Conectar à Internet e clique em Avançar.
7. Na tela Como você deseja conectar, selecione Dial-up.
8. Na tela Digite as informações do seu provedor de serviços de Internet (ISP), insira

as informações que você obteve na Etapa 1.
Sua tela deve ser semelhante à Figura 2-4, embora, por razões óbvias, as entradas não
coincidam.
9. Clique em Criar.
FIGURA 2-4:
Configurar
uma
conexão dial-
up no Windows
Server 2022 é
simples se
você tiver as
informações do seu ISP.
Conectando-se a uma rede privada virtual

Você pode usar uma rede privada virtual (VPN) para obter acesso remoto a uma rede.
O melhor das VPNs é que elas permitem que você trabalhe como se estivesse realmente em
sua rede de trabalho.
Se o seu local de trabalho usa uma VPN para se conectar, você pode usar o cliente VPN do
Windows integrado. Veja como configurar isso:
1. Clique no menu Iniciar e, em seguida, clique no ícone de engrenagem para acessar as Configurações
cardápio.

3. Selecione VPN.
4. Clique em Adicionar uma conexão VPN.
5. Para VPN Provider, selecione Windows (integrado).
6. Digite um nome de conexão e o endereço do servidor VPN que você

deseja se conectar.
Sua tela deve ser semelhante à Figura 2-5, embora seus campos tenham dados diferentes.
7. Digite seu nome de usuário e senha e clique em Salvar.
Desempenho
Básico Tarefas
rede
de
FIGURA 2-5:
Configurando
uma VPN para
acesso remoto
com o cliente VPN
do Windows integrado.
Gerenciando Conexões de Rede

Alterar o endereço IP é uma atividade bastante normal, mas algumas das outras
opções na caixa de diálogo Propriedades do adaptador de rede não são tão diretas.
Nesta seção, eu oriento você em cada uma dessas opções, porque essas são as
que você provavelmente trabalhará.

Compreendendo o cliente para Microsoft

recurso de redes
O Client for Microsoft Networks não tem nenhuma configuração que você possa fazer nele. Você
pode desinstalá-lo, mas é isso. O recurso Cliente para redes Microsoft é necessário para permitir
que um cliente acesse remotamente arquivos, impressoras e outros recursos compartilhados em
um servidor Windows. Ele é instalado por padrão e não deve ser desinstalado.
Configurando o Protocolo de Internet

Definir as configurações de IP em um servidor é uma das tarefas mais comuns que os
administradores de sistema farão em um servidor. Antes de prosseguirmos para a configuração,
vamos ver primeiro um pouco de terminologia.
O endereço IP é o endereço dado a um sistema. É como outros sistemas na rede irão abordar o
seu sistema.
A máscara de sub-rede identifica qual parte do endereço é um endereço de rede e qual parte do
endereço é um endereço de host. Por exemplo, 172.22.0.0/16 tem uma máscara de sub-rede de
255.255.0.0. O /16 é conhecido como notação Classless Inter-Domain Routing (CIDR) e informa
quantos bits a parte de rede do endereço ocupa. Todos os outros sistemas nesta mesma rede
terão endereços IP que começam com 172.22.xx, e o x refere-se à parte do host do endereço
que será diferente de sistema para sistema.
O gateway padrão é o endereço IP usado por um sistema para alcançar sistemas em outras
redes.
Vamos conhecer um pouco do IPv4 e do IPv6 e ver como você pode configurar cada um.
Para começar, você precisa abrir a caixa de diálogo Propriedades do adaptador de rede para
qualquer adaptador de rede com o qual deseja trabalhar. Aqui estão as etapas para acessar a
caixa de diálogo Propriedades:
1. Clique no menu Iniciar e, em seguida, clique no ícone de engrenagem para abrir as Configurações
cardápio.
3. Escolha Ethernet no menu à esquerda.
5. Clique com o botão direito do mouse no adaptador de rede desejado e escolha Propriedades.

IP Versão 4
Os endereços IP versão 4 (IPv4) são endereços de 32 bits. Cada número representa 8 bits em
binário — por exemplo, 255 é representado como 1111 1111.
Para configurar um endereço IPv4 estático, selecione Internet Protocol Version 4 (TCP/IPv4) e
clique em Properties. Por padrão, isso é definido como Obter um endereço IP automaticamente e
Obter endereço do servidor DNS automaticamente. Você pode selecionar Usar o seguinte
endereço IP e preencher o endereço IP, a máscara de sub-rede e o gateway padrão na metade
superior da caixa de diálogo. Em seguida, selecione Usar os seguintes endereços de servidor
DNS e preencha os servidores DNS preferenciais na parte inferior e clique em OK. Consulte a
Figura 2-6 para obter um exemplo.
FIGURA 2-6:
As propriedades do Desempenho
Básico Tarefas
rede
de
IPv4 são definidas

na caixa de
diálogo
Propriedades
do adaptador de rede.
IP versão 6
Os endereços IPv4 estão em uso há algum tempo e foi reconhecido que eventualmente não
haveria mais endereços IPv4 públicos disponíveis. O último endereço IPv4 público disponível no
Registro Americano para Números da Internet (ARIN) foi emitido em setembro de 2015. O IP
Versão 6 (IPv6) foi criado para resolver o problema da falta de endereços IPv4. Em vez de um
endereço curto de 32 bits, os endereços IPv6 têm um endereço de 128 bits muito mais longo. O
endereço é composto por 8 grupos de 16 bits, separados por dois pontos.
Para configurar um endereço IPv6 estático, selecione Internet Protocol Version 6 (TCP/IPv6) e
clique em Properties. Por padrão, isso é definido como Obter um endereço IP automaticamente

e obter o endereço do servidor DNS automaticamente. Você pode selecionar Usar o seguinte
endereço IPv6 e preencher o endereço IP, a máscara de sub-rede e a porta padrão na metade
superior da caixa de diálogo. Em seguida, selecione Usar os seguintes endereços de servidor
DNS e preencha os servidores DNS preferenciais na parte inferior da caixa de diálogo e clique
em OK. Consulte a Figura 2-7 para obter um exemplo.
FIGURA 2-7:
As propriedades do
IPv6 são definidas por
meio da rede
caixa de
diálogo
Propriedades do adaptador.
Instalando recursos de rede

A instalação de novos recursos de rede não é feita com a frequência que costumava ser. A
opção ainda está disponível na caixa de diálogo Propriedades do adaptador de rede. Siga
esses passos:
1. Na caixa de diálogo Propriedades do adaptador de rede, clique em Instalar.
Você pode escolher entre Cliente, Serviço ou Protocolo.
2. Selecione Protocolo e clique em Adicionar.
3. Selecione Protocolo multicast confiável e clique em OK.
O novo protocolo agora aparece na lista de protocolos instalados, conforme mostrado na Figura
2-8.

FIGURA 2-8:
É simples
instalar clientes,
serviços e
protocolos como o
Multicast confiável
Protocolo.
Desinstalando recursos de rede

Desinstalar recursos de rede é semelhante a adicioná-los. Você simplesmente seleciona o
que deseja desinstalar e, em seguida, clica no botão Desinstalar.
Tenha cuidado ao desinstalar recursos de rede. Desinstalar a coisa errada, como Client for
Microsoft Networks, pode ter resultados muito ruins.
Desempenho
Básico Tarefas
rede
de
Você se lembra de como instalamos o Reliable Multicast Protocol na seção anterior? Vamos
desinstalar isso agora:
1. Selecione Protocolo Multicast Confiável.
2. Clique em Desinstalar.
Você obtém uma caixa de diálogo solicitando que você confirme se deseja desinstalá-lo.
3. Clique em Sim.
É realmente muito simples desinstalar um recurso de rede. Lembre-se sempre de que há

riscos ao remover recursos como esses em servidores de produção, portanto, você deve
sempre usar um ambiente de teste primeiro para garantir que a alteração que está fazendo
seja segura.

NESTE CAPÍTULO
» Obter acesso remoto com Remote

Serviços de área de trabalho
» Trabalhando com Política de Rede e

Acessar serviços no Windows
Servidor 2022
» Solução de problemas de rede em

a linha de comando
Capítulo 3
Realizando Avançado
Tarefas de rede
mas saber como configurar alguns dos serviços mais avançados pode ser
Saber muito
como importante
configurar o básico da
também. rede do
Embora Windows
a rede Server
forneça é uma
acesso obrigação,
aos recursos, às vezes
você precisa permitir o acesso remoto ou configurar o acesso para dispositivos de rede
para aproveitar sua infraestrutura do Active Directory (AD) para autenticação.
Neste capítulo, explico como configurar os Serviços de Área de Trabalho Remota (RDS) e
explico o que é necessário para configurá-los corretamente. Também discuto a instalação do
componente Network Policy Server (NPS) da função Remote Access Service (RAS), que
permite que os dispositivos de rede aproveitem um protocolo chamado RADIUS, que por sua
vez permite a autenticação no AD, mesmo que o próprio dispositivo não seja AD -consciente.
Trabalhando com Serviços de Área de Trabalho Remota

Os Serviços de Área de Trabalho Remota, anteriormente conhecidos como Serviços de Terminal,
permitem várias conexões RDP (Remote Desktop Protocol) ao mesmo servidor. Por padrão, o
Windows Server 2022 permite duas conexões remotas. RDP permite que você
CAPÍTULO 3 Realizando tarefas avançadas de rede 371

para se conectar a um sistema remoto e visualizar a área de trabalho, como se você tivesse o
console real do servidor ativado. Para permitir a Área de Trabalho Remota, você precisa ativá-la
no servidor e deve permitir TCP e UDP 3389 se houver um firewall entre você e o servidor para o
qual deseja fazer o RDP.
Usando o RDS, você pode fornecer aos seus usuários seus próprios desktops virtuais para
trabalhar. Isso é ótimo para aplicativos em que a instalação é complicada ou cara e simplifica as
atualizações porque você só precisa atualizar o aplicativo no servidor, não em vários PCs. Você
também pode usar o RDS for RemoteApps, que permite executar um aplicativo no servidor, mas
apresentar o aplicativo ao usuário como se estivesse instalado em sua área de trabalho.
Instalando serviços de área de trabalho remota

Os Serviços de Área de Trabalho Remota são uma função, mas a instalação é um pouco diferente
das funções anteriores que você pode ter instalado. Veja como instalar o RDS:
1. A partir do Gerenciador do servidor, clique em Gerenciar e, em seguida, clique em Adicionar funções e

Características.
O Assistente para Adicionar Funções e Recursos é aberto.
3. Na tela Select Installation Type, selecione Remote Desktop Services Installation, conforme
mostrado na Figura 3-1, e clique em Next.
4. Na tela Select Deployment Type, selecione Quick Start e clique em Next.
5. Na tela Select Deployment Scenario, escolha Session-Based

Implantação de desktop e clique em Avançar.
6. Na tela Select a Server, o servidor em que você está já está selecionado, então basta clicar
em Next.
7. Na tela Confirmar seleções, marque a caixa de seleção Reiniciar o servidor de destino

automaticamente se necessário e clique em Implantar.
Você vê uma tela de progresso à medida que a função é instalada (consulte a Figura 3-2). Quando a função é instalada,
o servidor é reinicializado.
8. Após a reinicialização do servidor, clique em Fechar.

FIGURA 3-1:
A seleção de Serviços
de Área de Trabalho
Remota é
diferente das
etapas
usuais para instalar uma função.
Tarefas
rede
de
Realizando
Avançado
FIGURA 3-2:
Instalando a
função RDS em
um único servidor
por meio da
instalação do Quick Start.

Definindo configurações específicas do usuário

Depois de instalar o RDS, você pode ficar tentado a permitir que as pessoas comecem a se
conectar e aproveitar o serviço, mas deve esperar porque pode querer fazer algumas
alterações primeiro. Se você usar perfis de roaming, convém configurar o servidor RDS
para usar perfis de roaming. Você também pode querer que o RDS mapeie a unidade inicial
do usuário. O objetivo geralmente é oferecer aos usuários finais a melhor experiência
possível, com coisas como acessar unidades e aplicativos mapeados da mesma forma que
fariam em uma área de trabalho física normal. Você pode fazer todas essas coisas no RDS
da mesma forma que faz com sessões de usuário regulares.
1. Faça logon em um sistema que tenha as ferramentas RSAT instaladas para o Active Directory.
2. Clique em Gerenciador do servidor e escolha Ferramentasÿ Usuários do Active Directory e

Computadores.
3. Expanda seu nome de domínio e selecione o contêiner Usuários.
4. Clique duas vezes em uma conta de usuário.
Neste exemplo, estou usando minha conta Karen Smith.
A caixa de diálogo Propriedades do usuário selecionado é exibida.
5. Clique na guia Perfil de Serviços de Área de Trabalho Remota (consulte a Figura 3-3).
FIGURA 3-3:
Configurando o
perfil de um
usuário para tirar total
vantagem do
A funcionalidade RDS
envolve um
perfil de roaming e
mapeando uma
unidade doméstica.

6. Preencha as informações conforme necessário.
Aqui estão suas opções:
• Caminho do perfil: preencha se estiver usando perfis de roaming.
• Pasta Inicial dos Serviços de Área de Trabalho Remota: define a unidade inicial do
usuário quando ele faz login em uma sessão no RDS.
• Negar permissões a este usuário para fazer logon na sessão de área de trabalho remota
Host Server: Marcar esta caixa bloqueia a conexão do usuário por meio do RDS,
independentemente de fazer parte de um grupo de segurança que permita isso.
Configurando aplicativos
Uma das coisas realmente úteis sobre o RDS é a capacidade de publicar aplicativos. Você
pode publicá-los na área de trabalho de um usuário ou pode querer disponibilizá-los por
meio do RD Web Access. Existem motivos comuns para compartilhar aplicativos por meio
do RDS. Aplicativos que dependem de versões antigas de Java ou Flash ou Internet
Explorer, por exemplo, são ótimos candidatos a esse serviço. Ao usar o RDS para oferecer
suporte a esse aplicativo legado, você só tem a versão antiga do software instalada em um
sistema, em vez de todos os sistemas nos quais os usuários precisam usar o aplicativo
legado. Isso reduz a quantidade de software vulnerável em sua rede. O Windows Server
2022 tem três aplicativos já compartilhados por padrão (supondo que você tenha implantado
com o método Quick Start — consulte “Instalando serviços de área de trabalho remota”,
anteriormente neste capítulo): Calculadora, Paint e WordPad. Digamos que a empresa não
queira que os usuários trabalhem com o WordPad por meio do RDS; em vez disso, deseja
que os usuários trabalhem com o Notepad++. Você pode instalar o Notepad++ no servidor
e configurá-lo para ser usado no RDS. Nesse caso, você seguiria estas etapas:
1. Baixe o executável do Notepad++ e instale-o no servidor Windows em que você instalou o

RDS anteriormente.
2. No Gerenciador do Servidor, clique no menu lateral onde diz Área de Trabalho Remota
Serviços.
3. Clique em QuickSessionCollection localizado em Coleções.
4. Na janela Programas RemoteApp, clique em Tarefas e, em seguida, clique em Publicar

Tarefas
rede
de
Realizando
Avançado
Programas RemoteApp.
5. Clique em Adicionar, localize o executável do Notepad++, verifique se está selecionado

(consulte a Figura 3-4) e clique em Avançar.
6. Na tela de confirmação, clique em Publicar.
7. Na tela Conclusão, clique em Fechar.
8. Clique com o botão direito do mouse no aplicativo recém-adicionado e escolha Editar propriedades.

FIGURA 3-4:
Adicionar
um programa
não Windows à
lista de programas
RemoteApp
disponíveis
é simples, desde
que você saiba
onde está o executável.
9. Clique em Atribuição de usuário.
Por padrão, todos têm acesso ao novo aplicativo. No entanto, você pode alterar isso
selecionando Somente usuários e grupos especificados.
10. Faça as alterações desejadas e clique em OK.
Isso é tudo para configurar um aplicativo e disponibilizá-lo para seus usuários com o RDS.
Usando o acesso à Web RD

O RDS possui um ótimo recurso conhecido como RD Web Access, que permite conectar-se a
aplicativos ou sessões de Área de Trabalho Remota por meio de um navegador da Web padrão.
Por padrão, quando você instala o RDS no modo Quick Start, isso é ativado e o endereço segue
este formato: https:// serveraddress/ RDWeb.
Você pode controlar quais aplicativos são visíveis no RD Web Access na mesma tela em que
publica novos aplicativos. Por padrão, eles são publicados no Acesso via Web RD quando você
os publica no Servidor RDS. Se não quiser que um aplicativo esteja no Acesso via Web RD,
você pode editar as propriedades do aplicativo. A guia Geral tem uma área intitulada Mostrar o
Programa RemoteApp no Acesso via Web RD. Basta alterar o botão para Não e clicar em OK
para removê-lo.

Antes de poder acessar a página RD Web Access, você precisa configurar um certificado
Secure Sockets Layer (SSL). Nas versões anteriores do Windows Server, um certificado
autoassinado era criado automaticamente e você podia simplesmente ignorar os avisos
de certificado. Um certificado autoassinado não é mais criado por padrão, portanto,
vamos criar um e anexá-lo ao serviço RDWeb. Siga esses passos:
1. Abra o Gerenciador do Servidor e selecione Serviços de Área de Trabalho Remota na

menu à esquerda.
2. Na tela Visão geral, clique no menu suspenso Tarefas ao lado de Implantação

Visão geral.
3. Selecione Editar Propriedades de Implementação.
4. Selecione Certificados para expandi-lo.
5. Clique em RD Web Access
6. Clique em Criar novo certificado
Como alternativa, você pode clicar em Selecionar certificado existente se tiver um certificado
emitido pelo sistema PKI (Public Key Infrastructure) corporativo.
7. Para o nome do certificado, você precisa inserir um nome de domínio totalmente qualificado
(FQDN).
Para o meu exemplo, digitei server2022-svr2.sometestorg.com.
8. Digite uma senha.
9. Marque a caixa de seleção Armazenar este certificado e escolha um local para salvar
o certificado.
10. Marque Permitir que o certificado seja adicionado à raiz confiável
Caixa de seleção Armazenamento de certificados de autoridades nos computadores de destino.

11. Clique em OK.
O estado dirá Pronto.
12. Clique em Aplicar.
Depois de clicar em Aplicar, o Estado dirá Bem-sucedido.

Tarefas
rede
de
Realizando
Avançado
Lembre-se de que você só precisa executar as etapas 6 a 11 se não tiver um certificado

já emitido por uma autoridade de certificação confiável. Se você quiser saber mais sobre
como implantar sua própria autoridade de certificação no Windows Server, confira o
Livro 5, Capítulo 6.
Suponho que, se você estiver lendo e tiver feito essa configuração, deseja jogar com o
RD Web Access. Abra seu navegador da web (em um sistema que não seja o servidor
da web RD) e digite o endereço do seu servidor da web RD. No meu caso, o endereço
é https:// server2022-svr2.sometestorg.com/RDWeb.

Você pode obter um erro devido a um certificado não confiável. Isso é esperado porque o certificado é
autoassinado se você escolheu criar um certificado nas instruções anteriores. Você pode desconsiderar esta
mensagem com segurança por enquanto. Depois de inserir o endereço, você deverá ver uma tela semelhante
à Figura 3-5.
FIGURA 3-5:
A tela de logon
do RD Web
Access é
simples e elegante.
Ao fazer login no RD Web Access, você vê todos os aplicativos publicados para os quais tem permissão. Se
você estava acompanhando a seção anterior e instalou o aplicativo Notepad++, verá o ícone do Notepad++ na
lista. Clique nesse ícone para iniciar o Notepad++.
Você pode receber uma mensagem informando que um site está tentando executar um programa RemoteApp.
Está reclamando porque a Microsoft não reconhece o editor. Como você sabe que o Notepad++ é seguro, vá
em frente e clique em Conectar. Você vê uma caixa de diálogo que diz Iniciando seu aplicativo (consulte a
Figura 3-6). Depois que a conexão remota com o servidor for estabelecida, o aplicativo será aberto como se
estivesse instalado em seu sistema.
Configurando e usando o licenciamento RDS

O licenciamento para RDS é feito com licenças de acesso para cliente (CALs). Uma CAL é essencialmente
uma licença comercial que permite consumir um serviço em um servidor. A RDS CAL especificamente é usada
para licenciar um usuário ou dispositivo que está se conectando ao servidor RDS.

FIGURA 3-6:
Quando você
seleciona um
aplicativo no
console do
Acesso
via Web RD,
uma conexão
remota é
estabelecida e o
aplicativo é
aberto como se
estivesse realmente instalado em seu sistema.
Existem dois tipos de licenciamento de Serviços de Área de Trabalho Remota (RDS):
» Licenciamento baseado em dispositivo: O licenciamento baseado em dispositivo tem as seguintes características:
• Está fisicamente atribuído a um dispositivo.
• Pode ser rastreado independentemente de um dispositivo estar no Active Directory ou não.
• As CALs temporárias são válidas por até 89 dias.
• As CALs não podem ser atribuídas em excesso.
» Licenciamento baseado no usuário:
• CALs são atribuídas a usuários no Active Directory.
• CALs não podem ser rastreadas via grupo de trabalho; eles só podem ser rastreados via Active
Diretório.
Tarefas
rede
de
Realizando
Avançado
• CALs temporários não estão disponíveis.
• As CALs podem ser atribuídas em excesso (o que permite que você repasse o que está
permitido em seu contrato de licenciamento).
Você precisa ter um servidor de licenciamento ativo para poder atribuir licenças. Acho estranho que esta
peça não seja instalada com os outros componentes para RDS. Veja como instalar a função de
licenciamento em seu servidor RDS:

1. No Gerenciador do Servidor, clique no lado esquerdo da tela onde diz Serviços de

Área de Trabalho Remota.
2. Na janela Visão geral da implantação, clique no sinal de adição verde denominado

Licenciamento RD para começar a adicionar a função de licenciamento RD.
3. Selecione seu servidor e clique na seta para movê-lo para a

caixa selecionada.
4. Clique em Avançar e, em seguida, clique em Adicionar.
Agora que o Licenciamento RD está instalado, o sinal de mais foi substituído por um ícone de faixa de
opções, conforme mostrado na Figura 3-7.
6. Clique no botão Tasks logo acima de RD Licensing e escolha Edit Deployment

Properties.
7. Clique em Licenciamento RD e selecione o modo de licenciamento que deseja usar.
Vou selecionar Por usuário.
8. Clique em OK.
FIGURA 3-7:
Clique no sinal de adição
para instalar a função
de licenciamento RD.

Agora que o servidor de licenciamento está instalado, veremos como adicionar uma licença ao
Servidor RDS:
1. No Gerenciador do Servidor, escolha Ferramentasÿ Serviços de Área de Trabalho Remotaÿ

Gerenciador de Licenciamento RD.
2. Clique com o botão direito do mouse no nome do servidor e escolha Ativar servidor.
3. Em Bem-vindo ao Assistente de Ativação do Servidor, clique em Avançar.
4. Em Método de conexão, deixe em Conexão automática e

clique em Avançar.
5. Insira as informações da sua empresa e clique em Avançar.
6. Ignore a próxima tela porque ela está solicitando informações opcionais adicionais
— basta clicar em Avançar.
Você vê uma mensagem que diz "Ativando o servidor de licenças".
Se a ativação for bem-sucedida, você verá a tela Concluindo o assistente de ativação do

servidor.
7. Clique em Concluir.
Agora que seu servidor RDS está ativado, você pode instalar suas CALs.
1. Clique com o botão direito do mouse no servidor e escolha Instalar licenças.
2. Na tela de boas-vindas, clique em Avançar.
3. Selecione o programa pelo qual você comprou suas licenças e

clique em Avançar.
4. Digite as informações do seu programa de licença (um código de licença, código de contrato/
autorização ou algo parecido) e clique em Avançar.
5. Selecione a versão do produto, o tipo de licença e o número de
licenças que deseja instalar e clique em Avançar.
Seu servidor entrará em contato com a Microsoft para recuperar as licenças.
6. Depois que as licenças forem recuperadas, clique em Concluir.
Seu servidor RDS agora está instalado e licenciado. Seus usuários podem se conectar a sessões de
Tarefas
rede
de
Realizando
Avançado
área de trabalho remota e fazer seu trabalho como se estivessem sentados em frente a uma área de
trabalho no escritório. Ou talvez eles possam acessar um aplicativo herdado que historicamente teve
dificuldade em executar em seus desktops normais. Configurar o RDS não é uma tarefa pequena ou
simples, mas é um serviço muito útil para atender às necessidades do seu negócio.

Trabalhando com política de

rede e serviços de acesso
É hora de mudar de marcha de Serviços de Área de Trabalho Remota para Política de Rede e
Serviços de Acesso (NPAS). Serviços de Acesso e Diretiva de Rede é uma função de servidor
que inclui Servidor de Diretivas de Rede (NPS).
Primeiro, você precisa instalar o NPAS. Então eu apresento o NPS e explico o que você pode
fazer com isso.

Características.
5. Na tela Selecionar funções do servidor, role para baixo e selecione Política de

rede e serviços de acesso, clique em Adicionar recursos e clique em Avançar.
6. Na tela Selecionar recursos, clique em Avançar.
7. Na tela Política de Rede e Serviços de Acesso, clique em Avançar.
8. Na tela Confirmar seleções de instalação, escolha Instalar.
9. Após a conclusão da instalação, clique em Fechar.
Servidor de políticas de rede

O Network Policy Server é um componente do NPAS que permite gerenciar centralmente a
autenticação, a autorização e a contabilidade de vários dispositivos na rede.
É muito comumente usado para dar suporte à autenticação em comutadores de rede e firewalls.
Depois de instalar o NPAS, você pode acessar o NPS no Gerenciador do Servidor escolhendo
Ferramentasÿ Servidor de Políticas de Rede.
Registrando seu servidor RADIUS

Um servidor RADIUS (Remote Authentication Dial-In User Service) é capaz de realizar
autenticação, autorização e contabilização. Esse é um dos motivos mais comuns pelos quais
você pode instalar o NPS. Ele foi originalmente usado para autenticar usuários remotos
conectados por meio de discagem, mas atualmente é mais comumente usado para autenticar
sistemas no Active Directory que normalmente não oferece suporte à autenticação do AD.
Freqüentemente, são switches de rede, roteadores, acesso sem fio

pontos e firewalls. Os servidores RADIUS permitem que os administradores façam login em

dispositivos que suportam o protocolo RADIUS com suas credenciais do Active Directory, em
vez de ter que se lembrar de um login local em cada dispositivo.
Antes de usar um servidor RADIUS totalmente novo para autenticação no Active Directory, você
precisa registrá-lo. Esta é uma etapa muito importante que muitas vezes é perdida ao configurar
um servidor RADIUS. Aqui estão as etapas para registrar seu servidor RADIUS:
1. No Gerenciador do servidor, escolha Ferramentasÿ Servidor de políticas de rede.
2. Clique com o botão direito do mouse em NPS (Local) e selecione Registrar Servidor no Active Directory.
Você é solicitado a permitir que o servidor leia as propriedades de discagem do usuário.
3. Clique em OK.
O NPS confirma que agora pode ler as propriedades de discagem.
4. Clique em OK.
Isso é tudo. É uma etapa muito simples, mas crucial que muitas vezes é perdida.
Compreendendo o proxy RADIUS

Um servidor RADIUS Proxy encaminha as mensagens de autenticação e contabilidade para um
servidor RADIUS. Isso pode ser útil para fornecer autenticação quando relações de confiança
de domínio são envolvidas.
Configurando um cliente RADIUS Para
este cenário, digamos que você tenha um switch Cisco. Você está se conectando ao switch
localmente, mas deseja configurar uma fonte central de autenticação para que não precise se
lembrar de um nome de usuário e senha para cada switch em seu ambiente. A configuração do
switch para apontar para o servidor RADIUS está fora do escopo deste livro, mas a configuração
do cliente não. Veja como configurar o cliente RADIUS para um switch Cisco:
Tarefas
rede
de
Realizando
Avançado
2. Expanda RADIUS Clients and Servers e selecione RADIUS Clients.
3. Clique com o botão direito do mouse em RADIUS Clients e escolha New.
A caixa de diálogo Novo cliente RADIUS é exibida.
4. Preencha o nome amigável, o endereço IP e o segredo compartilhado.
A caixa de diálogo deve ser semelhante à Figura 3-8.

5. Clique na guia Avançado.
6. Na lista suspensa Nome do fornecedor, selecione Cisco.
7. Clique em OK.
FIGURA 3-8:
A guia
Configurações
é onde a maior
parte da
configuração
ocorre para um cliente RADIUS.
Configurando uma política de rede

As políticas de rede controlam o que é permitido autenticar por meio do servidor
RADIUS. Veja como configurar uma política de rede básica:
2. Expanda Políticas.
3. Clique com o botão direito do mouse em Políticas de rede e selecione Novo.

4. Dê um nome à política e especifique o tipo de servidor de acesso à rede.
Nesse caso, nomeei a política Admins. de domínio para comutadores de rede e deixei o tipo de servidor de acesso à
rede como Não especificado.
6. Na tela Especificar condições, especifique quais condições devem ser atendidas

para que a política seja aplicada.
Eu segui estes passos:
(a) Selecione a condição Grupos de usuários.
(b) Clique em Adicionar.
(c) Clique em Adicionar grupos.
(d) Digite Domain Admins e clique em OK.
(e) Clique em OK mais uma vez.
(f) Clique em Adicionar.
(g) Selecione a condição Cliente Fornecedor.
(h) Clique em Adicionar.
(i) Escolha Cisco
(j) Clique em OK.
7. De volta à tela Especificar condições, você pode adicionar outra condição ou

clique em Avançar.
8. Na tela Especificar permissão de acesso, selecione Acesso concedido e

clique em Avançar.
9. Na tela Configurar métodos de autenticação, clique em Avançar.
10. Na tela Configurar restrições, clique em Avançar.
11. Na tela Definir configurações, clique em Avançar.
12. Na tela Concluindo nova política de rede, clique em Concluir.
Você pode ver na Figura 3-9 minha nova política de permissão sobre as políticas de negação. Se Realizando
Avançado
Tarefas
rede
de
uma conexão de entrada não corresponder à minha política, ela será negada automaticamente.

FIGURA 3-9:
Uma política de rede
que permite o
tráfego precisa ter o
número de
processamento mais
baixo para que seja
processada antes das
políticas de negação padrão.
Solução de problemas na linha de comando

O PowerShell é instalado em todos os Windows Server por padrão. Possui muitos módulos
diferentes para auxiliar em diferentes tarefas. Nesta seção, acompanho alguns dos módulos
que podem ajudá-lo a solucionar problemas de seus servidores e sua conectividade de rede.
O cmdlet Test-NetConnection é uma ferramenta poderosa em seu conjunto de solução de

problemas. Usado sozinho, o cmdlet Test-NetConnection mostra informações básicas sobre a
rede, além de um ping. Existem alguns outros parâmetros que realmente ajudam você a se
aprofundar em questões específicas, conforme mostrado na Tabela 3-1.
Existem várias combinações diferentes que você pode usar com os parâmetros.
Por exemplo, vejamos uma verificação básica para garantir que você consiga se conectar a
uma porta remota. Abra o PowerShell e digite o seguinte comando:
Test-NetConnection -Port 443 -InformationLevel "Detailed"
Este comando testa para ver se você pode fazer uma conexão pela porta 443 (HTTPS) e
fornece uma saída detalhada dos resultados, conforme mostrado na Figura 3-10.

TABELA 3-1 Parâmetros Test-NetConnection

Parâmetro Descrição
-Porta Usado para testar a conectividade remota com um servidor de destino. Você especifica um
número de porta TCP e ele testa a conexão.
-InformationLevel Existem dois valores que você pode usar com este parâmetro: Detailed retorna um pouco de
informação e Quiet retorna informações básicas.
-DiagnoseRouting Executa diagnósticos de rota.
-TraceRoute Executa o tracert no sistema de destino. O Tracert exibe cada salto até chegar ao seu destino.
FIGURA 3-10:
você pode testar
conectividade básica
com apenas alguns
parâmetros
adicionados ao
cmdlet
Test NetConnection .
O teste anterior verifica a conectividade básica. Imagine este cenário: seus usuários
reclamaram que, quando estão em suas sessões de área de trabalho remota, não
conseguem acessar um determinado site. Eles dizem que podem acessar o site quando
Tarefas
rede
de
Realizando
Avançado
usam seus sistemas regulares. no entanto. Você pode tentar o teste básico de conectividade
novamente, mas desta vez especifique um destino. Eu usei o endereço www.dummies.com
para o meu exemplo.
Test-NetConnection -ComputerName www.dummies.com -Port 443

Se esse comando for bem-sucedido, o campo TcpTestSucceeded dirá True. Se for esse o
caso, a conexão com o site é boa. Se o campo TcpTestSucceeded disser False, você pode ter
um problema de roteamento. Você pode confirmar se este é um problema de roteamento ou
não com o parâmetro -TraceRoute .
Test-NetConnection -ComputerName www.dummies.com -TraceRoute
O comando anterior executa um TraceRoute e mostra cada salto ao longo do caminho até o
destino. Se o TraceRoute não for bem-sucedido, provavelmente há um problema de
roteamento ou seu provedor de serviços de Internet (ISP) pode estar tendo problemas.
Como última etapa, você pode executar diagnósticos de roteamento para ver se há algum
problema com o roteamento para o site de destino. Você pode executar diagnósticos de
roteamento com o parâmetro -DiagnoseRouting . O comando se parece com isso:
Test-NetConnection -ComputerName www.dummies.com

-DiagnoseRouting -InformationLevel "Detailed"
Como você pode ver, esse comando pode fornecer muitas informações e ajudar em seus
esforços de solução de problemas. Você poderá encontrar a origem do problema e resolver os
problemas de conectividade de rede mais rapidamente.

NESTE CAPÍTULO
» Solução de problemas com o Windows

Diagnóstico de rede
» Reparando rede individual

conexões no Windows Server
» Identificar e corrigir erros comuns de

configuração de rede
» Solução de problemas com utilitários de

linha de comando
» Usando a solução de problemas de terceiros

ferramentas
Capítulo 4
Diagnosticando e
Reparando rede
Problemas de Conexão
Nunca falha:
saindo, vocêé recebe
sexta-feira
uma eligação
você está se preparando
informando para
que há um voltar para
problema casa.
de rede em Assim comode
um ou mais você
seusé
servidores. Talvez seus sistemas estejam inativos. Talvez eles estejam intermitentemente para
cima e para baixo. Sua missão, caso decida aceitá-la (você tem escolha?), é encontrar o problema e
corrigi-lo.
Este capítulo aborda alguns dos recursos integrados de solução de problemas do sistema operacional
e alguns dos problemas de configuração mais comuns que você pode enfrentar com sistemas novos
e antigos.
CAPÍTULO 4 Diagnosticando e reparando problemas de conexão de rede 389

Usando o Diagnóstico de Rede do Windows

Às vezes, o problema de rede é super óbvio e às vezes não. Por exemplo, seu servidor pode
indicar que o cabo de rede está desconectado, mas quando você olha, ainda há um cabo
conectado. Isso pode significar que você tem um cabo ruim. um switchport ruim ou uma placa
de interface de rede (NIC) ruim no servidor. Esses são problemas de hardware e, infelizmente,
você está sozinho quando está solucionando problemas de hardware. Problemas de software,
por outro lado, podem ser resolvidos com o Microsoft Windows Network Diagnostics. Siga esses
passos:
1. Clique no menu Iniciar e, em seguida, clique no ícone de engrenagem do menu Configurações.
3. Na página Status, role para baixo e selecione Solução de problemas de rede.
O assistente procura e tenta corrigir o problema. Se não encontrar nada de

errado, você verá uma tela semelhante à Figura 4-1.
4. Clique em Fechar para fechar a solução de problemas.
FIGURA 4-1:
As janelas
Rede
A tela de
diagnóstico é um
assistente que
ajuda a
diagnosticar e reparar problemas.

Existe um método adicional para iniciar uma ferramenta de solução de problemas específica da Internet.
Esta ferramenta não está focada em problemas de rede interna. Ele é focado especificamente em
problemas de conectividade com a Internet. Para acessar a ferramenta de solução de problemas de
conexões com a Internet, siga estas etapas:
Diagnosticando
Reparando
e Problemas
conexão
rede
de
2. Clique em Atualização e segurança.
3. Selecione Solução de problemas.
O utilitário Troubleshoot é executado e permite que você saiba se encontrar alguma coisa.
4. Se não encontrar nada de errado, você pode clicar no botão Adicional

Link de solução de problemas, onde você obtém acesso a uma ampla variedade de utilitários
de solução de problemas, mostrados na Figura 4-2.
5. Clique em Fechar para fechar a solução de problemas.
FIGURA 4-2:
O Adicional
O link de solução de
problemas contém
muitas
ferramentas de solução
de problemas,
incluindo uma que pode
ajudar com
problemas de
conectividade com a Internet.

Reparando Conexões Individuais

Você pode trabalhar diretamente com o adaptador de rede que está apresentando o problema.
Isso pode ser muito benéfico se um sistema tiver vários adaptadores de rede e você precisar
testá-los um de cada vez. O utilitário de software que a Microsoft fornece é muito bom para
encontrar problemas de software, como adaptadores desativados e configurações incorretas.
Siga esses passos:
3. Na página Status, role para baixo e selecione Alterar opções do adaptador.
4. Clique com o botão direito do mouse no adaptador de rede que deseja verificar e selecione Diagnosticar.
O assistente de diagnóstico de rede do Windows é iniciado e tenta encontrar um erro.

Se for bem-sucedido, ele informará qual problema foi encontrado. No meu
exemplo na Figura 4-3, descobri que o adaptador de rede está desativado e corrigiu
o problema reativando o adaptador.
FIGURA 4-3:
O
Diagnóstico
de Rede do
Windows pode
diagnosticar muitos
problemas, incluindo
adaptadores de rede desabilitados.
Obviamente, só porque um sistema está com problemas de rede, isso não significa que haja
um problema de software. Problemas de hardware podem ser mais difíceis de rastrear porque o

utilitário de solução de problemas não será realmente capaz de ajudar. Aqui estão alguns problemas
comuns que podem afetar as conexões de rede em um sistema:
» Cabo ruim: os cabos Ethernet têm um pedaço de cobre passando pelo meio do cabo. O
Diagnosticando
Reparando
e Problemas
conexão
rede
de
cabo de fibra ótica tem fibras de vidro ao longo do comprimento do cabo. Se o meio
usado para transmissão estiver danificado, você perderá suas conexões. Procure
dobras no cabo e dobras acentuadas. Procure áreas onde o cabo parece ter sido
esticado. A solução para esse problema é substituir o cabo danificado.
» Conectores de cabo danificados: Os conectores dos cabos também podem apresentar

problemas. Os conectores usados com Ethernet e com cabeamento de fibra óptica
geralmente são feitos de plástico. Eles podem rachar se muita pressão for colocada
sobre eles. O meio dentro do cabo pode ser desconectado se o cabo for puxado em vez
do conector. Corrigir esse problema é simples se você tiver as ferramentas certas.
Para substituir o conector em um cabo Ethernet, tudo o que você precisa fazer é retirar
o cabeamento UTP e inserir os oito fios em seus canais apropriados. Os fios internos são
codificados por cores; verifique se você está seguindo o padrão correto ou o
novo conector não funcionará. Substituir o conector em um cabo de fibra ótica é um
pouco mais complicado. Você tem que cortar o cabo de fibra ótica e polir a ponta de
vidro. A reparação da fibra é mais fácil de deixar para os profissionais quando você
pode.
» Switchport com defeito: O switchport ao qual o sistema está conectado pode estar com
problemas. Às vezes, as portas podem ficar com defeito ou um administrador de rede
pode ter desligado a porta por engano. Para verificar se esse é o problema, peça
ao administrador da rede para verificar se a porta está ativa. Se não estiver,
peça ao administrador da rede para reativá-lo. Se a porta estiver ativa, mas não estiver
funcionando, você pode mover o cabo para uma porta de rede diferente no switch
assim que o administrador da rede o configurar para você.
» NIC ruim: Se sua NIC apresentar problemas, você precisará substituí-la. Infelizmente,
isso significa que seu sistema precisará ser desligado para que você possa
substituir o cartão.
Solução de problemas de rede no

Linha de comando
Se o Assistente de Diagnóstico de Rede do Windows não encontrar nada de errado, há mais
algumas coisas que você pode tentar. Cada um dos comandos a seguir precisa ser executado no
prompt de comando. Siga esses passos:

1. Clique em Iniciar e role para baixo até Sistema Windows.
2. Clique em Prompt de comando e tente cada um dos seguintes comandos

(nesta ordem):
(a) Redefina a pilha do Protocolo de Controle de Transmissão/Protocolo de Internet (TCP/IP).
netsh winsock redefinir
netsh int ip redefinir
(b) Libere seu antigo endereço IP.
ipconfig /release
(c) Renove seu endereço IP.
ipconfig /renovar
(d) Limpe o cache do Sistema de Nomes de Domínio (DNS) em seu sistema.
ipconfig /flushdns
Existem alguns comandos adicionais que podem ser úteis ao solucionar

problemas no prompt de comando.
» ping: O comando ping fornece um feedback simples. Ele permite que você saiba como
quantos pacotes enviou, quantos pacotes recebeu e qual foi a latência entre o envio e o
recebimento. Por padrão, o ping enviará quatro pacotes, mas você pode ajustar o número
de pings ou torná-lo um ping contínuo, se necessário. (Consulte a Figura 4-4 para obter
um exemplo de ping.)
» tracert: O utilitário tracert (trace route) pode ajudá-lo a identificar onde um

problema existe. Ele reporta cada salto até chegar ao destino que você especificou. Por
padrão, ele irá para um máximo de 30 saltos.
» pathping: funciona de maneira muito semelhante ao comando tracert e pode fornecer

informações sobre latência de rede e perda de pacotes de rede.
» telnet: Pode ser usado para testar se uma determinada porta está aberta. Você precisa ter o
Cliente Telnet instalado para que isso funcione. Sua equipe de segurança pode não gostar de
encontrar o Telnet em um sistema, portanto, certifique-se de não violar a política da empresa ao
instalá-lo. Muitos sistemas foram configurados para não exibir banners — se você não receber
um erro, provavelmente conseguiu se conectar a qualquer recurso que deseja testar.

Diagnosticando
Reparando
e Problemas
conexão
rede
de
FIGURA 4-4:
O utilitário ping
fornece
uma leitura
simples e pode
apontar um
problema entre
uma origem e um destino.
Trabalhando com o Firewall do Windows

Problemas de rede podem ser muito frustrantes para solucionar problemas. Você pode achar
que tudo parece bem e não tem certeza do que está acontecendo. Se você suspeitar que o
problema é o Firewall do Windows, você pode usar o Visualizador de Eventos para ver se o
Firewall do Windows bloqueou o tráfego de ou para o seu servidor. Siga esses passos:
1. No Gerenciador do servidor, escolha Ferramentasÿ Visualizador de eventos.
2. Clique duas vezes em Registro de aplicativos e serviços para expandi-lo.
3. Clique em Microsoft, Windows e Firewall do Windows com Segurança Avançada.
4. Clique duas vezes em Firewall.
Quando o Firewall do Windows bloquear algo, você verá uma mensagem semelhante à Figura 4-5.

FIGURA 4-5:
O Visualizador de
Eventos pode
mostrar quando o
Firewall do
Windows bloqueou um pacote de entrada.
Se você não encontrar nada que tenha sido bloqueado, poderá desativar temporariamente
o Firewall do Windows para ver se isso resolve o problema. Apenas certifique-se de que
isso não seja contra a política organizacional antes de tentar.
Para desativar o firewall, siga estas etapas:
1. Clique no menu Iniciar, role para baixo até Sistema Windows e escolha
Prompt de comando.
2. Digite o seguinte comando e pressione Enter.
netsh advfirewall desativou o estado de todos os perfis
Para ativar o firewall novamente, siga estas etapas:
1. Clique no menu Iniciar, role para baixo até Sistema Windows e escolha
Prompt de comando.
2. Digite o seguinte comando e pressione Enter.
netsh advfirewall definir o estado de todos os perfis ativado

Fazendo Sentido do Comum

Erros de configuração
Diagnosticando
Reparando
e Problemas
conexão
rede
de
O hardware do servidor geralmente é bastante confiável. Alguns problemas podem ser causados
por hardware problemático, mas na maioria das vezes o problema decorre de algum tipo de
configuração incorreta.
Nas seções a seguir, oriento você sobre alguns problemas comuns com os quais os administradores
de sistema precisam lidar.
Endereços IP duplicados
Sintoma: Você recebe uma mensagem informando que há um endereço IP duplicado em sua
rede.
Solução: A melhor solução é usar o protocolo DHCP (Dynamic Host Configuration Protocol) para
que os endereços IP sejam atribuídos e rastreados automaticamente. Se você não tiver DHCP
em seu ambiente, tente usar outro endereço IP.
Nenhum endereço de gateway
Sintoma: seu sistema consegue se comunicar com outros sistemas na mesma sub-rede, mas não
consegue se comunicar com nada fora da sub-rede.
Solução: defina um endereço de gateway padrão. Isso informará ao sistema para onde enviar o
tráfego se o tráfego não for destinado a um sistema na rede local.
Nenhum servidor DNS definido
Sintoma: você não consegue resolver nomes como www.dummies.com ou, ao tentar ingressar
em um domínio do Active Directory, recebe uma mensagem informando que o nome de domínio
não pode ser encontrado.

Solução: defina os servidores DNS apropriados para sua rede. Isso permitirá que você faça a resolução
interna de nomes. Se o seu sistema for ingressar em um domínio do Active Directory, ele requer uma
entrada válida para um servidor DNS.
Um aplicativo está com

problemas de rede
Sintoma: o sistema está na rede e as funcionalidades básicas, como ping e compartilhamento de
arquivos, funcionam. O aplicativo no servidor não está respondendo às solicitações de rede.
Solução: Verifique se o Firewall do Windows Defender está habilitado. Verifique se existe uma regra
que permite o tráfego que deveria estar indo para o aplicativo. É incrível a frequência com que isso é
perdido ao provisionar aplicativos.
Tudo deveria estar funcionando, mas não está

Sintoma: o hardware parece bom, o utilitário de diagnóstico de rede do Windows informa que não
encontrou o problema, mas o sistema ainda não consegue se comunicar pela rede.
Solução: verifique suas configurações de IPv4. É muito fácil digitar incorretamente um endereço IP ou
uma máscara de sub-rede. Se algum deles estiver incorreto, seu sistema não funcionará corretamente.
Trabalhando com outras ferramentas de solução de problemas
Alguns utilitários de terceiros podem ser muito úteis para ajudá-lo a encontrar problemas de rede.
A Tabela 4-1 lista alguns dos meus favoritos. Alguns são gratuitos e alguns custam dinheiro. Em
geral, os produtos gratuitos podem não ter suporte ou ter suporte limitado, portanto, considere isso se
optar por procurar ferramentas de terceiros.

TABELA 4-1 Ferramentas de solução de problemas de rede

Nome da ferramenta Custo Descrição Local na rede Internet
cactos Livre Um utilitário de monitoramento de rede que www.cacti.net

pode ser usado para criar gráficos
altamente personalizáveis.
Diagnosticando
Reparando
e Problemas
conexão
rede
de
Núcleo Nagios Livre Monitoramento básico de rede com vários www.nagios.

plug-ins e complementos disponíveis org/downloads/nagios-
para expandir sua utilidade. core/
Nagios $ 1.995 Fornece análise de rede, www.nagios.com/

Analisador de rede monitoramento e relatórios sobre a products/nagios
utilização da largura de banda. network-analyzer/
Nagios XI A partir de US$ 1.995 Uma solução de monitoramento www.nagios.com/

para aplicativos, serviços e redes. products/nagios-xi/
SolarWinds ipMonitor A partir de US$ 1.570 Oferece um up/down simples e agradável www.solarwinds.com/ip-
console para redes, servidores e aplicativos. monitor
SolarWinds Netflow A partir de US$ 1.072 Analisa os fluxos de rede em busca de www.solarwinds. com/
Analisador de Tráfego problemas e monitora o uso da largura de banda. netflow analisador
de tráfego
Rede SolarWinds A partir de US$ 1.638 Monitora o desempenho da rede e alerta sobre www.solarwinds. com/
Monitor de desempenho problemas. network
performance-monitor
Wireshark Livre Um sniffer de pacotes que permite filtrar www.wireshark.org

os tipos de tráfego que você deseja ver
e reconstruir fluxos inteiros TCP/User
Datagram Protocol (UDP). Ele
também pode mostrar rapidamente se você
tem muitas retransmissões ocorrendo na
rede.

5 Gerenciando
Segurança com
janelas
Servidor 2022
Resumo do conteúdo
CAPÍTULO 1: Compreendendo a segurança do
Windows Server 2022 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .403
.....
CAPÍTULO 2: Configurando recursos compartilhados

. . . . . . . . . . . . . . . . . . . . 419
CAPÍTULO 3: Configurando a segurança do sistema operacional . . . . . . 439

...
CAPÍTULO 4: Trabalhando com a Internet . . . . . . . . . . . . . . . . . . . . . . . . 457
CAPÍTULO 5: Entendendo os Certificados Digitais . . . . . . . . . . . . . . . 471
CAPÍTULO 6: Instalando e configurando o AD CS . . . . . . . . . . . . . . . . . 479
CAPÍTULO 7: Protegendo sua infraestrutura de DNS . . . . . . . . . . . . . . . 499

NESTE CAPÍTULO
» Trabalhando com a segurança básica do

Windows Server
» Protegendo arquivos e pastas
» Trabalhando com a política de segurança local

no Windows Server
» Compreendendo a segurança do Windows
Capítulo 1
Compreendendo o Windows
Servidor 2022 Segurança
que a Microsoft investiu pesadamente na melhoria da segurança do Windows

Dado o número
Servidor.de violações
Mas antes de de segurança
entrar nas
nos novos notícias
recursos de hoje, não
de segurança é surpreendente
realmente interessantes do
Windows Server 2022, você precisa ter uma compreensão sólida dos conceitos básicos de segurança
em geral e um conhecimento prático da segurança do Windows em particular.
Neste capítulo, abordo os fundamentos da segurança. Pense neste capítulo como uma cartilha de
segurança, com tópicos gerais de segurança primeiro, seguidos por tópicos específicos do Windows
Server (como segurança .NET, segurança de arquivos e pastas e o Windows Security App).
Entendendo o Windows Básico

Segurança do servidor
Proteger seu servidor é sem dúvida uma das coisas mais importantes que você precisa
fazer em seu trabalho diário. Afinal, você não quer fazer todo o esforço para construir
e configurar um servidor apenas para ser atacado.
CAPÍTULO 1 Compreendendo a segurança do Windows Server 2022 403

Esta seção aborda os fundamentos da segurança para que você entenda a terminologia que
utilizo neste livro.
A tríade da CIA: confidencialidade,

integridade e disponibilidade
A tríade CIA (mostrada na Figura 1-1), que consiste em confidencialidade, integridade e
disponibilidade, é um dos conceitos mais básicos em segurança da informação. Quanto mais
perto você chegar de qualquer ponto do triângulo, mais longe você estará dos outros.
Por exemplo, se você tiver um sistema que mantém registros totalmente confidenciais, esse
sistema não estará disponível para seus usuários finais.
FIGURA 1-1:
A tríade CIA é
um dos conceitos
mais básicos
em segurança
da informação.
Veja o que cada um desses termos significa para você como administrador do sistema:
» Confidencialidade: Confidencialidade refere-se a manter o acesso aos dados fora do alcance

de quem não deveria ter acesso a eles. Por exemplo, quando você estiver usando um site
de banco on-line ou um site de comércio eletrônico, a conexão deve usar HTTPS, o que
significa que está criptografada. A criptografia protege informações confidenciais de serem
capturadas por alguém espionando a rede.
» Integridade: Integridade significa que os dados não foram alterados ou adulterados de forma
alguma. A integridade dos dados pode ser aplicada a dados em repouso ou dados em trânsito.
O controle de versão pode ser útil para reverter alterações acidentais. Alterações
potencialmente maliciosas podem ser detectadas pelo software de monitoramento de integridade
de arquivo, que cria um hash de um arquivo. Se o hash mudar, o arquivo também mudou.
Um hash é uma função matemática executada em um arquivo. Ele cria uma “impressão digital”
exclusiva que mudará se alguma modificação for feita no arquivo a partir do qual foi gerado.
Ao comparar as impressões digitais de dois arquivos (o original e uma cópia, por exemplo),
você pode saber se o arquivo foi modificado.
404 LIVRO 5 Gerenciando a segurança com o Windows Server 2022

» Disponibilidade: A disponibilidade é a parte da tríade com a qual a maioria das

pessoas está familiarizada. Como administrador do sistema, seu objetivo é garantir
que seus sistemas estejam ativos e disponíveis para seus usuários finais. Você
pode criar redundância e tolerância a falhas para reduzir a probabilidade de queda
do sistema ou pode ser responsável pelos backups que permitirão a restauração de
dados se algo acontecer.
Autenticação, autorização e
contabilidade
O próximo conjunto de termos que você precisa saber são autenticação, autorização e
contabilidade, coletivamente chamados de triplo A:
Compreendendo
Windows
o Segurança
Servidor
2022
» Autenticação: Autenticação é como você prova a um sistema quem você é.

Pode ser um nome de usuário e senha, ou nome de usuário e biometria ou um
número de identificação pessoal (PIN). Pense na autenticação como mostrar a um
guarda de segurança seu crachá e ter permissão para entrar no portão que o guarda
é responsável por proteger.
» Autorização: Depois de autenticado, sempre que você acessar um recurso, o

sistema verificará se você está autorizado a acessar aquele recurso.
A autorização é semelhante a passar seu crachá nas portas dentro de um prédio
seguro. Se você estiver autorizado a entrar em uma área, poderá passar. Se você
não estiver autorizado, não poderá passar.
» Contabilidade: Contabilidade, às vezes chamada de auditoria, é ter um registro de

quando ocorreram eventos de autenticação e autorização. Em um sistema
Windows, isso pode ser feito com algo tão simples quanto o Visualizador de Eventos.
Tokens de acesso
Os tokens de acesso são usados pelo sistema operacional Windows Server para
identificar um usuário que está interagindo com um objeto. O token geralmente contém
o identificador de segurança (SID) do usuário, SIDs para grupos dos quais o usuário é
membro e a origem do token de acesso. Um SID é um valor exclusivo atribuído a um
objeto para identificá-lo. Com usuários, o SID é o que permite alterar o nome do usuário
sem afetar o acesso do usuário. O nome do usuário pode mudar, mas o SID não.
Descritores de segurança
Os descritores de segurança contêm informações úteis relacionadas à segurança de
um objeto que é protegido ou pode ser protegido. Pode incluir o SID para o proprietário do

objeto, listas de controle de acesso que especificam quem tem permissão para acessar o objeto e
quais eventos de acesso devem gerar registros de auditoria.
Listas de controle de acesso

As listas de controle de acesso (ACLs) contêm entradas de controle de acesso (ACEs) que concedem
ou negam acesso específico a usuários ou grupos. O sistema operacional Windows Server tem dois
tipos de ACLs dos quais você precisa estar ciente:
» Listas de controle de acesso discricionário (DACLs): DACLs são o que a maioria dos
administradores pensam quando perguntados sobre ACLs no Windows Server. As DACLs são
usadas para conceder ou negar acesso com base em uma conta de usuário ou associação de grupo.
Negar entradas sempre tem precedência sobre permitir entradas. Consulte a Figura 1-2 para
obter um exemplo de DACL em uma pasta.
» Listas de controle de acesso do sistema (SACLs): as SACLs não são tão conhecidas quanto as
DACLs. Eles podem ser usados para determinar que tipo de evento deve ser auditado.
Eles podem auditar o acesso bem-sucedido, o acesso com falha ou ambos. No exemplo da
Figura 1-3, estou auditando os sucessos e as falhas de qualquer conta de administrador
de domínio, mas estou registrando apenas as falhas da minha conta ksmith.
FIGURA 1-2:
As listas de
controle de acesso
discricionário podem
ser usadas para
determinar quem deve
ter acesso a uma
pasta ou arquivo.

Compreendendo
Windows
o Segurança
Servidor
2022
FIGURA 1-3:
Usar uma SACL para
auditar o acesso
privilegiado a uma
pasta é simples.
As SACLs estão vazias por padrão, você deve configurar o que deseja auditar.
Se você tiver apenas um ou dois servidores, definir essa configuração manualmente não é tão
ruim. No entanto, se você tiver vários servidores, configurar SACLs rapidamente se tornará
incontrolável. Diretiva de grupo para o resgate!
A Diretiva de Grupo permite que você faça definições de configuração em um só lugar e, em

seguida, aplique essas alterações a vários sistemas. Veja como ativar o recurso por meio da
Política de Grupo.
1. No Gerenciador do Servidor, escolha Ferramentasÿ Gerenciamento de Diretiva de Grupo.
2. Expanda um domínio clicando duas vezes no domínio.
3. Escolha a política pela qual deseja definir isso.
No meu caso, vou criar um novo Objeto de Diretiva de Grupo (GPO) chamado Servidores de
Arquivos.
4. Clique com o botão direito do mouse no nome do domínio e selecione Criar um GPO neste domínio,
e vincule-o aqui.
Criar seu GPO dessa maneira significa que ele será aplicado a todos os sistemas de domínio.
Embora isso seja bom em um ambiente de demonstração, provavelmente você desejará vincular
o GPO a uma unidade organizacional (OU) que contém os servidores de arquivos.

5. Nomeie a política e clique em OK.
6. Clique com o botão direito na nova política e escolha Editar.
7. Em Configuração do computador, clique duas vezes em Políticas, Configurações do Windows,

Configurações de segurança e Configuração de política de auditoria avançada.
8. Clique duas vezes em Políticas de auditoria para expandi-lo e, em seguida, clique duas vezes em Objeto
Acesso.
9. Clique duas vezes em Audit File System.
10. Marque a caixa de seleção Configurar os seguintes eventos de auditoria e selecione
Sucesso, Falha ou ambos (consulte a Figura 1-4).
11. Clique em OK.
FIGURA 1-4:
Você pode usar
Política de Grupo
para definir
suas SACLs para
que você possa

aplicá-las em toda a
organização.
Isso é tudo para configurar a auditoria de arquivos na Diretiva de Grupo. Você também
precisa ativar a auditoria na pasta que deseja monitorar. No servidor de arquivos onde a
pasta está localizada, siga estas etapas:
1. Clique com o botão direito do mouse na pasta na qual deseja ativar a auditoria e escolha
Propriedades.
2. Clique na guia Segurança e, em seguida, clique no botão Avançado.

3. Clique na guia Auditoria e, em seguida, clique no botão Adicionar.
4. Clique no hyperlink Select a Principal, insira um nome de usuário ou grupo no

caixa de diálogo e clique em OK.
5. Altere a lista suspensa Tipo para Todos e clique em OK.
6. Clique em OK novamente para sair das Configurações de segurança avançadas para <folder_name>
caixa de diálogo.
7. Clique em OK mais uma vez para fechar a caixa de diálogo Propriedades.
Trabalhando com arquivos e pastas

Trabalhar com arquivos e pastas é praticamente o pão com manteiga do trabalho de um Compreendendo
Windows
o Segurança
Servidor
2022
administrador de sistema. Embora algumas pastas possam ser deixadas abertas para o mundo,
você provavelmente será solicitado a bloquear determinadas pastas ou compartilhamentos para
que apenas algumas pessoas possam acessá-los. No Windows Server, você pode ter um
Sistema de Arquivos NT (NTFS) conflitante e permissões de compartilhamento, o que pode tornar
a solução de problemas de acesso muito mais difícil. Vamos examinar os diferentes tipos de
permissões e como podemos verificar as permissões efetivas.
Versões modernas do Windows Server suportam NTFS, que é o sistema de arquivo padrão que
você vê na maioria dos servidores Windows atualmente. O NTFS fez melhorias significativas em
segurança e confiabilidade e adicionou suporte para volumes maiores.
Configurando a segurança de arquivos e pastas
Com o NTFS, ganhamos a capacidade de definir ACLs, uma grande melhoria em relação aos dias
FAT32. Embora os servidores de arquivos aproveitem as permissões NTFS, eles também podem
usar compartilhamentos. A ideia por trás dos compartilhamentos é fazer com que os usuários
possam acessar um diretório no servidor sem acesso direto ao servidor. Isso é uma grande vitória
para a segurança, mas as permissões efetivas (as permissões combinadas das permissões NTFS
e as permissões de compartilhamento) às vezes podem causar problemas de acesso inesperados.
As permissões de compartilhamento controlam o que um usuário pode acessar na rede. O NTFS

por missão controla o que um usuário pode fazer no servidor e na rede.
Permissões NTFS
Editar as permissões NTFS em um arquivo ou pasta é simples: basta clicar com o botão direito do
mouse na pasta ou arquivo cujas permissões você deseja alterar e clicar em Propriedades. Então

clique na guia Segurança (consulte a Figura 1-5). Existem vários níveis diferentes de permissões
em sistemas de arquivos NTFS:
» Controle total: O controle total oferece a capacidade de ler, gravar e executar arquivos em
uma pasta, bem como a capacidade de definir permissões. Ele também permite a
capacidade de excluir arquivos e pastas. Controle total é um nível de permissão
altamente privilegiado e só deve ser concedido àqueles que têm acesso
administrativo.
» Modificar: Permite alterar o conteúdo e/ou títulos de pastas e arquivos e permite deletar
arquivos e pastas.
» Ler e executar: permite abrir arquivos e pastas e iniciar programas, incluindo scripts.
» Listar Conteúdo da Pasta: Permite visualizar os títulos dos arquivos e pastas, mas
não permite abrir os arquivos.
» Ler: Permite abrir os arquivos para leitura, mas não permite

modificá-los.
» Gravar: permite adicionar um arquivo ou subpasta e fazer alterações em um arquivo.
» Permissões especiais: são conjuntos especiais de permissões que são definidos

por meio da caixa de diálogo Avançado.
FIGURA 1-5:
você pode definir
permissões de forma
muito granular com a
guia Segurança na
caixa de diálogo
Propriedades do arquivo.

Compartilhar permissões
As permissões de compartilhamento são definidas usando a guia Compartilhamento na caixa de diálogo
Propriedades do arquivo (consulte a Figura 1-5) — basta clicar no botão Compartilhamento avançado e, em
seguida, clicar em Per missões. As permissões de compartilhamento são muito mais simples do que as
permissões NTFS. Você vê algo semelhante à Figura 1-6.
Compreendendo
Windows
o Segurança
Servidor
2022
FIGURA 1-6:
As permissões de
compartilhamento
permitem que você conceda Controle total,
Alterar ou ler o
acesso aos usuários
ou grupos.
Você tem três níveis simples de permissões que podem ser definidos em um compartilhamento:
» Controle total: permite que você leia, modifique e exclua itens dentro do compartilhamento.
Você também pode alterar as permissões e assumir a propriedade dos arquivos.
» Alterar: permite que você faça tudo o que o Controle Total pode, exceto definir permissões.
» Ler: permite que você visualize arquivos e pastas, mas não edite de qualquer maneira.
Permissões efetivas
Permissões efetivas são aquelas que podem causar problemas. Você pode configurar suas permissões
corretamente, mas um usuário liga e diz que não pode acessar seus arquivos. No Windows Server 2016, a
Microsoft introduziu uma guia Permissões efetivas que permite verificar quais permissões um usuário realmente
terá com base na combinação de permissões NTFS e permissões de compartilhamento.

Para acessar a guia Permissões efetivas, siga estas etapas:
1. Clique com o botão direito do mouse na pasta que deseja verificar e selecione Propriedades.
2. Clique na guia Segurança.
3. Clique em Avançado.
4. Clique na guia Acesso Efetivo.
5. Clique em Selecionar um usuário e insira o nome de usuário da pessoa cuja permissão

sões que deseja verificar.
6. Clique em Exibir acesso efetivo.
Você verá uma tela semelhante à Figura 1-7. Isso mostra que minha usuária Karen
Smith não tem permissões para a pasta. Na realidade, ela não tem permissões
NTFS, embora tenha permissões de compartilhamento. Como ela não tem
permissões NTFS, ela foi negada.
FIGURA 1-7:
Verificar
as permissões
efetivas de uma
conta de usuário
é uma ótima
maneira de
validar se eles
têm as permissões
que você
espera que eles tenham.

Criando uma política de segurança local

As políticas de segurança local permitem definir algumas configurações relacionadas ao
computador em que você está. Eles podem ser muito úteis se você precisar que uma configuração
seja aplicada em um servidor específico que não esteja sendo aplicado no momento pela Diretiva
de Grupo. A política local se aplica primeiro ao servidor, seguida pela política de grupo do AD. Se
houver um conflito entre as configurações da Diretiva de Segurança Local e a Diretiva de Grupo
do AD, as configurações da Diretiva de Grupo do AD serão aplicadas porque são aplicadas ao
sistema após a Diretiva de Segurança Local. Para acessar a Política de segurança local, siga estas etapas:
1. Clique no menu Iniciar.
2. Digite secpol.msc e pressione Enter.
A janela Política de segurança local é aberta.

Compreendendo
Windows
o Segurança
Servidor
2022
A partir desta tela, você pode alterar algumas configurações relacionadas à segurança do seu
sistema. Se a auditoria do servidor de arquivos não estiver habilitada, por exemplo, você pode
ativá-la para este servidor individual. Veja um exemplo da Política de Segurança Local na Figura 1-8.
FIGURA 1-8:
A tela Política de
Segurança Local
permite que você
defina as configurações
de segurança local
em seu sistema.

A Diretiva de Grupo substituirá essas configurações. Se você definir uma Diretiva de Segurança
Local superestrita, mas tiver requisitos de senha negligentes sendo enviados por meio da Diretiva
de Grupo, seu sistema herdará os requisitos de senha negligentes. Algumas áreas-chave de
interesse para qualquer administrador de sistema seriam:
» Políticas de Conta: As Políticas de Conta contêm a Política de Senha, a Política de Bloqueio

de Conta e a Política Kerberos. A política de senha permite que você defina os requisitos de
senha. A política de bloqueio de conta define quando uma conta será bloqueada e por quanto
tempo. A Política Kerberos permite definir o tempo de vida para os diferentes tipos de ticket.
» Política de Auditoria: A Política de Auditoria está localizada em Políticas Locais. Ele permite que
você especifique quais tipos de eventos você deseja auditar. Eles podem ser definidos como
Sucesso, Falha ou ambos.
» Atribuição de direitos do usuário: Atribuição de direitos do usuário é a segunda seção

sob as Políticas Locais. Isso permite que você atribua contas a várias coisas no sistema. Por
exemplo, se você tiver uma conta de serviço usada para iniciar scripts não interativos, precisará
adicionar a conta de usuário à seção de logon como uma tarefa em lote.
» Opções de segurança: Opções de segurança também estão localizadas em Políticas locais. Esta é
uma longa lista de configurações de segurança que podem ser definidas para o seu sistema.
Eles são organizados em grupos semelhantes de opções de configuração, como contas,
auditoria, DCOM, dispositivos, controlador de domínio, logon interativo, Microsoft Network
Client, Microsoft Network Server, acesso à rede, segurança de rede, console de recuperação,
desligamento, criptografia do sistema, objetos do sistema, Configurações do Sistema e Controle
de Conta de Usuário.
» Definições avançadas de configuração da política de auditoria: esta área é sobre

auditoria e os tipos de coisas que você pode auditar. Ele permite que você configure a
auditoria para todas as diferentes categorias de eventos, incluindo: logon de conta,
gerenciamento de contas, rastreamento detalhado, acesso DS, logon/logoff, acesso a objetos,
alteração de política, uso de privilégios, sistema e auditoria de acesso a objetos globais.
Prestando atenção à segurança do Windows

O aplicativo Windows Security fornece um local central para visualizar a integridade da segurança
do seu sistema. Você pode visualizar o status do seu software antivírus em Proteção contra
vírus e ameaças, verificar as configurações do firewall em Firewall e proteção de rede, verificar
se um aplicativo é confiável com o Controle de aplicativos e navegadores e obter proteções
adicionais com o Device Security.

Proteção contra vírus e ameaças

O Microsoft Defender Antivirus é uma solução antimalware completa. Ele é capaz de
verificar se há atualizações regulares e faz varreduras agendadas e em tempo real. Ele
ainda fornece recursos de proteção contra ransomware. Confira a Figura 1-9 para ter
uma ideia de como é o painel de proteção contra vírus e ameaças. Nesse painel, você
pode acessar verificações anteriores e verificar as configurações do Microsoft Defender Antivirus.
Compreendendo
Windows
o Segurança
Servidor
2022
FIGURA 1-9:
O painel de
proteção contra vírus
e ameaças oferece
uma solução
antimalware
completa.
Você pode escolher as configurações da tela Proteção contra vírus e ameaças em toda
a organização usando a Diretiva de Grupo. Basta fazer as alterações que deseja enviar
para a organização abrindo o Editor de Gerenciamento de Diretiva de Grupo. Abra o GPO
que deseja editar e clique duas vezes em Configuração do Computador, seguido de
Políticas, Modelos Administrativos, Componentes do Windows e Microsoft Defender
Antivirus.
Firewall e proteção de rede

A área Firewall & Network Protection permite que você trabalhe com vários arquivos
profissionais no Firewall do Windows. Você tem um perfil privado e um perfil público e,
se seu sistema for ingressado no domínio, você também terá um perfil de domínio. A
partir daqui, você pode adicionar exceções para aplicativos para que sejam permitidos por meio do

firewall e você pode ajustar as configurações de notificação do Firewall do Windows. Consulte

a Figura 1-10 para ter uma ideia de como é a área de Firewall e proteção de rede.
FIGURA 1-10:
Alterar as
configurações
de firewall em
Firewall e
proteção de
rede é simples
com os links fornecidos.
Controle de aplicativo e navegador

A seção App & Browser Control é capaz de proteger seu sistema verificando aplicativos e
arquivos baixados da web em busca de ameaças. Você pode configurá-lo para bloquear ou
avisar quando encontrar esses arquivos ou pode desativá-lo. O padrão é definido para avisar.
Além disso, você pode ajustar as configurações de proteção contra exploração incorporadas
ao Windows Server 2022 clicando em Configurações de proteção contra exploração. O controle
de aplicativo e navegador é mostrado na Figura 1-11.
A tela Exploit Protection merece um pouco mais de atenção (consulte a Figura 1-12). Ele pode
protegê-lo contra vários tipos de exploits e está ativado por padrão. Possui Control Flow Guard,
que ajuda a garantir a integridade das chamadas indiretas feitas ao sistema, e Data Execution
Prevention, que impede a execução de código em páginas de memória reservadas para
dados. Além disso, oferece a randomização de layout de espaço de endereço (ASLR), que
fornece randomização para os locais onde os executáveis são armazenados na memória do
servidor. Isso fornece proteção contra ataques de estouro de buffer.

FIGURA 1-11:
O App & Browser
Control
oferece a
capacidade
Compreendendo
Windows
o Segurança
Servidor
2022
de se proteger
contra
executáveis e
arquivos
baixados, além
de configurar a Proteção contra Exploit.
FIGURA 1-12:
Exploit Protection
fornece vários
mecanismos
mais avançados
para proteger
seu sistema, já
ativado por
padrão.

Segurança do dispositivo
Por último, mas não menos importante, está a seção Segurança do dispositivo, que fornece
utilitários que permitem a interação com o chip TPM (Trusted Platform Module) (se houver) e
controles de virtualização. O TPM é um chip da sua placa-mãe que gera chaves criptográficas
e guarda metade da chave; a outra metade da chave é armazenada em disco. Isso evita que
um ladrão roube um disco rígido e o descriptografe em outro sistema. Há um botão para
limpar o TPM e os usuários podem receber recomendações para atualizar o firmware do
TPM quando houver uma atualização disponível. Há também uma configuração de Integridade
de controle do hipervisor que você pode usar para habilitar ou desabilitar essa funcionalidade.
É usado para determinar se o software executado no modo kernel, como drivers, é um
software seguro. Você pode ver na Figura 1-13 que a peça Hypervisor Control Integrity está
em execução na minha máquina virtual, mas não tem TPM exposto a ela (o TPM não passa
pelo VirtualBox v6.x), então as opções do TPM não existir.
FIGURA
1-13: O recurso
Hypervisor
Control Integrity
é mostrado
em Core
Isolation nesta máquina virtual.
Se você clicar em Core Isolation Details, poderá ajustar as configurações de Hypervisor

Control Integrity. Você é apresentado a um controle deslizante simples que permite habilitar
ou desabilitar a integridade da memória.

NESTE CAPÍTULO
» Entendendo as diferenças
entre permissões de pastas compartilhadas
com segurança do sistema de arquivos
» Compartilhamento de recursos no Windows

Servidor 2022
» Configurando o acesso federado com

Serviços de Federação do Active Directory
» Entendendo e implantando o Active

Gerenciamento de direitos de diretório
Serviços
Capítulo 2
Configurando Compartilhado
Recursos
colocar sistemas na rede é garantir que os recursos desses sistemas

Uma dasestejam
tarefas disponíveis.
mais comuns que um administrador de sistema enfrenta quando
Neste capítulo, explico as permissões de pasta compartilhada, compartilhamento de

impressora e como compartilhar outros itens de interesse do seu servidor. Também
explico como configurar o Active Directory Federation Services (AD FS), que permite usar
a mesma fonte de autenticação contra outras entidades e aplicativos, bem como
configurar o Active Directory Rights Management Services (AD RMS) para proteger os
documentos que você re compartilhando interna e externamente.
CAPÍTULO 2 Configurando Recursos Compartilhados 419

Comparando a Segurança Compartilhada com

Segurança do sistema de arquivos
Disponibilizar recursos para seus usuários finais sem dar a eles acesso aos servidores nos quais os
recursos estão é uma obrigação nas organizações. Ao compartilhar uma pasta, você pode mapear
uma unidade para a pasta compartilhada para seus usuários finais automaticamente. O usuário final
vê outra unidade (pense em unidades domésticas ou unidades de departamento), quando na
realidade é uma pasta que reside em um servidor. Uma das coisas mais confusas para novos
administradores de sistema é como compartilhar uma pasta. Existem duas guias: Segurança e
Compartilhamento. Para obter uma explicação sobre as listas de controle de acesso discricionário
(DACLs) e os diferentes níveis de permissão disponíveis na guia Segurança e na guia Compartilhar,
consulte o Livro 5, Capítulo 1.
Como prática recomendada, você normalmente definirá um acesso mais aberto aos compartilhamentos
e, em seguida, restringirá o acesso com as permissões do New Technology File System (NTFS) na
guia Segurança. Isso simplifica muito a administração e, com a guia Efetivo por missões, você pode
verificar se os usuários estão obtendo as permissões para o compartilhamento e seu conteúdo que
deveriam ter.
Você pode estar se perguntando: “Por que defini permissões em dois lugares? Isso é simplesmente
bobo!” Concordo. O motivo é anterior ao sistema de arquivos NTFS. Antes do NTFS, havia o FAT16
e o FAT32. Esses sistemas de arquivos não permitem que você defina o controle de acesso da
maneira que pode com o NTFS. Assim, para proteger adequadamente os compartilhamentos, foi
introduzida a guia Compartilhamento, que fornece as três configurações básicas: Ler, Alterar e Controle Total.
Quando o sistema de arquivos NTFS foi introduzido, de repente você tinha acesso a controles de
acesso muito mais granulares. E isso nos traz para onde estamos hoje. Muitos administradores de
sistema definem as mesmas permissões no NTFS e nos compartilhamentos.
Isso funciona, mas adiciona muita complexidade ao gerenciamento dos compartilhamentos. O que a
Microsoft e a maioria dos instrutores da Microsoft recomendam é definir permissões bastante abertas
no compartilhamento e, em seguida, restringir o acesso por meio do NTFS usando a guia Segurança.
Permissões de pasta compartilhada

Ao criar um compartilhamento, você cria um caminho UNC (Universal Naming Convention) (\
\servername\sharename) que seus usuários podem usar para se conectar a essa pasta.
O melhor de configurar compartilhamentos de pastas é que você pode usar compartilhamentos para
dar aos seus usuários acesso à pasta pretendida, sem precisar dar a eles nenhum acesso para fazer
login no servidor.
As configurações de segurança em compartilhamentos tendem a ter mais permissões abertas,

enquanto as restrições agora são feitas na guia Segurança e aplicadas pelo sistema de arquivos.

Na Figura 2-1, você pode ver as permissões de compartilhamento para a pasta Software.
Observe que todos têm controle total.
FIGURA 2-1: As
permissões de
compartilhamento
são bastante abertas neste exemplo.
Todo mundo tem
controle total.
Segurança do sistema de arquivos
O NTFS foi introduzido pela primeira vez em 1993, mas não ganhou popularidade até um
pouco mais tarde. O NTFS foi o primeiro sistema de arquivos suportado pelo Windows que
Compartilhado
Configurando Recursos
oferecia controle de acesso mais granular. Em vez das três permissões básicas fornecidas
pelos compartilhamentos, ele possui seis permissões que podem ser atribuídas: Controle total,
Modificar, Ler e executar, Listar conteúdo da pasta, Ler e Gravar.
A melhor prática atual é ter mais permissões abertas em compartilhamentos, enquanto usa o
sistema de arquivos NTFS para restringir o acesso à pasta. O raciocínio por trás dessa prática
recomendada é que seria difícil definir permissões de compartilhamento e NTFS e mantê-las
sincronizadas. Para evitar esse problema, você gostaria de usar um sobre o outro. Como as
permissões NTFS oferecem mais granularidade, elas são a melhor escolha lógica.
Na Figura 2-2, você pode ver que uma usuária chamada Karen Smith tem as permissões Read
& Execute, List Folder Contents e Read for. Na próxima seção, explico por que isso é
importante.

FIGURA 2-2:
Aqui, as
permissões NTFS
definidas na guia
Segurança são mais
restritivo
do que a parte
permissões.
Validação de permissões efetivas

As permissões efetivas referem-se às permissões que um usuário realmente recebeu como uma
combinação entre as permissões do sistema de arquivos e as permissões de compartilhamento.
Proteger seus compartilhamentos com NTFS é preferível devido à sua granularidade e ao fato
de se aplicar tanto ao acesso local quanto à rede. Em ambos os casos, será aplicada a missão
mais restritiva. Se um usuário não tiver acesso explicitamente concedido, ele terá o acesso
negado por padrão. Consulte a Tabela 2-1 para obter exemplos de permissões efetivas.
TABELA 2-1 Permissões efetivas

Compartilhar permissões Permissões NTFS Permissões efetivas
Ler Controlo total Ler
Controlo total Ler Ler
Agora que você tem uma ideia de como funcionam as permissões efetivas, vamos voltar ao
exemplo que mostrei nas seções anteriores. As permissões de compartilhamento no meu
servidor tinham todos definidos como Controle total. As permissões NTFS deram ao usuário
Karen Smith permissões muito mais limitadas. Verifique a guia Permissões efetivas para ver o
que ela realmente tem:

1. Clique com o botão direito do mouse na pasta cujas permissões deseja verificar e escolha
Propriedades.
2. Clique na guia Segurança.
3. Clique em Avançado.
4. Clique na guia Acesso Efetivo.
5. Preencha o usuário ou grupo que deseja verificar e clique em Visualizar efetivo

Acesso.
Você pode ver os resultados para o usuário Karen Smith na Figura 2-3.
Compartilhado
FIGURA 2-3:
O Efetivo
Aba de acesso
mostra o que um
usuário ou grupo
realmente tem
para permissões.
Os itens marcados são o acesso concedido ao usuário Karen Smith na guia Segurança.
Além disso, observe que cada um dos itens com um X vermelho diz Permissões de arquivo
na coluna Acesso limitado por.

Compartilhamento de recursos
Você pode querer compartilhar outros itens além dos arquivos e pastas típicos. Por exemplo, você pode
querer compartilhar unidades de dispositivo ou outro hardware. Nesta seção, oriento você sobre algumas
das coisas que você pode querer compartilhar e explico como fazê-lo.
Mídia de armazenamento
Pode ser necessário compartilhar o acesso a uma unidade de DVD ou a um dispositivo de armazenamento
externo conectado à sua máquina. Esta é uma coisa muito simples de fazer. Basta seguir estes passos:
1. Abra o Explorador de Arquivos e clique em Este PC.
2. Clique com o botão direito do mouse na mídia de armazenamento que deseja compartilhar e escolha Dar
Acesso aÿ Compartilhamento avançado (consulte a Figura 2-4).
FIGURA 2-4: O
compartilhamento de um
dispositivo de
armazenamento segue
etapas semelhantes ao compartilhamento de uma pasta.
3. Na guia Compartilhamento, clique no botão Compartilhamento Avançado.
4. Marque a caixa de seleção Compartilhar esta pasta.

5. Crie um nome de unidade mais descritivo.
Por padrão, o nome do compartilhamento é a letra da unidade do volume/mídia que você está
compartilhando.
6. Clique em Permissões, adicione quem você deseja que tenha acesso à unidade e
Clique OK.
7. Clique em OK novamente.
Sua unidade será compartilhada.
Você pode dizer que a unidade de armazenamento é compartilhada porque um ícone com duas pessoas aparecerá
embaixo dela depois que você a compartilhar.
impressoras
Compartilhar uma impressora também é relativamente simples, embora as etapas sejam um pouco diferentes do que
são para compartilhar dispositivos de armazenamento. Em mais de algumas organizações, vi uma impressora local
compartilhada onde havia um servidor de impressão em toda a empresa. Você pode perguntar por que eles estavam
compartilhando uma impressora de uma estação de trabalho em vez de usá-la por meio do servidor de impressão. A
resposta geralmente era semelhante a uma impressora única.
Siga estas etapas para compartilhar uma impressora:
1. Clique em Configurações e, em seguida, clique em Dispositivos.
2. Clique em Impressoras e Scanners.

Compartilhado
3. Selecione a impressora que deseja compartilhar e clique em Gerenciar.
4. Clique em Propriedades da impressora.
A caixa de diálogo Propriedades da impressora é exibida.
5. Clique na guia Compartilhamento.
6. Clique em Alterar opções de compartilhamento.
7. Marque a caixa de seleção Compartilhar esta impressora e escolha as outras opções desejadas.
Eu recomendo manter a opção Renderizar trabalhos de impressão em computadores clientes marcada

porque isso reduzirá a carga em seu sistema quando as pessoas imprimirem.
8. Clique em OK.

Outros recursos
A forma como você compartilha outros recursos dependerá do que você deseja compartilhar. Em
um ambiente Windows Server, as opções de compartilhamento devem ser muito semelhantes às
que já foram abordadas, portanto, se você entender como compartilhar pastas e impressoras,
deverá ser capaz de lidar com quaisquer solicitações de compartilhamento que surgirem.
Configurando o acesso com federado

Gerenciamento de direitos
O compartilhamento nem sempre se limita a coisas como pastas ou hardware. Às vezes, você pode
querer “compartilhar” credenciais com outra entidade, como usar seu Active Directory local para
autenticar no portal do Microsoft Azure. Este não é um verdadeiro compartilhamento, é claro. Ao
configurar os Serviços de Federação do Active Directory (AD FS), você não está fornecendo suas
credenciais à Microsoft; você está simplesmente federando um trust.
Você também pode achar que deseja ter maior controle sobre seus arquivos quando eles saem de
sua organização. Talvez você queira criptografá-los com senha ou forçá-los a expirar. Você pode
fazer isso com os serviços de gerenciamento de direitos do Active Directory (AD RMS).
Nesta seção, eu me aprofundo em AD FS e AD RMS, explicando o que cada um deles faz e como
configurá-los.
Trabalhando com Active Directory

Serviços da Federação
Se você já trabalhou com o Active Directory antes, provavelmente gostou do fato de que muitos de
seus aplicativos internos também podem aproveitar as vantagens do Active Directory. Seus usuários
puderam usar apenas um nome de usuário e senha para acessar todas as coisas de que precisavam
para realizar seus trabalhos. Mas e esses serviços de nuvem de terceiros que estão surgindo em
todos os lugares? Não seria ótimo se seus usuários pudessem usar os mesmos nomes de usuário
e senhas que eles conhecem para acessar essas soluções de terceiros? Boas notícias! Eles
podem usar seus nomes de usuário e senhas no AD FS com suporte de terceiros.
Então, como funciona o AD FS? Vejamos o processo de autenticação. Site 1 é sua rede local onde
residem seus controladores de domínio e seus servidores AD FS e AD FS Proxy. O Site 2 hospeda
o site de terceiros no qual você deseja autenticar usando suas credenciais do Active Directory. Há
uma relação de confiança estabelecida entre o Site 1 onde você

são e Site 2 onde você deseja acessar os recursos. O servidor AD FS no Site 1 é chamado de
provedor de identidade, porque é onde ocorre a autenticação. O Site 2 é referido como a parte
confiável; ele depende do token do AD FS para determinar se você é um usuário autenticado
ou não. Funciona assim:
1. Você abre seu navegador e digita a URL do Site 2.
2. O Site 2 redireciona a solicitação para o servidor AD FS Proxy do Site 1, que solicita seu
usuário e senha.
3. Depois que a solicitação é autenticada, o Proxy do Site 1 retorna para o Site 2 com um token que contém
as declarações sobre sua conta de usuário, incluindo sua identidade.
4. Você está conectado ao Site 2.
O AD FS foi projetado com um objetivo muito específico em mente: fornecer uma experiência
de logon único (SSO) para seus usuários finais em aplicativos Web. Funciona muito bem para
esse fim e é o que a Microsoft recomenda na maioria dos casos para autenticação com o
Office365. O AD FS não foi projetado para ajudar a autenticar outras coisas que exigem o token
Windows NT mais tradicional, como acesso a compartilhamentos de arquivos, Exchange Server
(e-mail), RDP ou aplicativos Web mais antigos que não entendem declarações.
Neste ponto, você pode estar se perguntando como o AD FS se encaixa em um capítulo sobre
compartilhamento de recursos. Afinal, você não está compartilhando o Active Directory. Ao
federar um trust com outra organização, você pode acessar os recursos dessa outra
organização. Em essência, a outra organização pode compartilhar seus recursos (como um
aplicativo da Web) com você sem precisar que você se autentique separadamente em seus sistemas. Compartilhado
Agora que você sabe o que é AD FS e o básico de como ele funciona, vamos configurá-lo.
Você precisa de um certificado Secure Sockets Layer (SSL) para concluir a configuração.
Para as finalidades destas instruções, criarei um certificado autoassinado, mas você desejará
um certificado de uma autoridade de certificação pública para um servidor AD FS de produção
real.
Não instale o AD FS em um controlador de domínio. Os servidores proxy do AD FS precisam

ser voltados para o público se você os estiver usando para autenticação em recursos externos,
como provedores de Software como Serviço (SaaS), e certamente não deseja que um
controlador de domínio seja exposto à Internet.
Para instalar, configurar e testar um servidor AD FS, siga estas etapas:
Características.

5. Na tela Selecionar funções do servidor, selecione Federação do Active Directory

Serviços e, em seguida, clique em Avançar.
7. Na tela Serviços de Federação do Active Directory (AD FS), clique em Avançar.
8. Na tela Confirmar Seleções de Instalação, clique em Instalar.
A primeira etapa está concluída: você instalou o AD FS. Para torná-lo útil, porém,
você precisa configurá-lo. Siga esses passos:
1. Clique no sinalizador no Gerenciador do Servidor e, em seguida, clique em Configurar a Federação

Serviço neste servidor (consulte a Figura 2-5).
FIGURA 2-5:
Configurando a
função AD FS
após a instalação.

2. Na tela de boas-vindas, selecione Criar o primeiro servidor de federação em um
Farm de Servidores de Federação e clique em Avançar.
3. Na tela Conectar aos serviços de domínio do Active Directory, digite o

nome de um administrador de domínio e clique em Avançar.
4. Na tela Especificar propriedades do serviço, selecione o certificado SSL que você

quer usar.
O Nome do Serviço de Federação será preenchido com base no nome comum no certificado.
5. Preencha o Nome de Exibição do Serviço de Federação e clique em Avançar.
Na próxima tela, você precisa criar uma conta de serviço gerenciada por grupo, mas essa opção
provavelmente ficará esmaecida porque a chave raiz KDS não foi criada.
6. Clique com o botão direito do mouse em Iniciar e selecione Windows PowerShell (Admin).
7. Digite o seguinte comando e pressione Enter:
Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
A chave raiz KDS é criada.
As chaves do serviço de distribuição de chaves (KDS) são necessárias para que você possa gerar
senhas para contas de serviço gerenciado de grupo (gMSAs). Um gMSA é um tipo de conta de
serviço gerenciado capaz de sincronizar sua senha com vários sistemas automaticamente. O serviço
que usa o gMSA precisa oferecer suporte a gMSAs para que isso funcione.
8. Retorne ao Assistente de Serviços de Federação do Active Directory e clique em OK em Compartilhado

a caixa de erro.
Pode ser necessário clicar em Anterior e, em seguida, clicar em Avançar para disponibilizar a opção
Criar uma conta de serviço gerenciada por grupo.
9. Selecione Criar uma conta de serviço gerenciada por grupo, digite o nome que deseja
usar e clique em Avançar.
Vou usar gmsa_adfs.
10. Na tela Especificar banco de dados de configuração, selecione Criar um banco de dados
neste servidor usando o banco de dados interno do Windows e clique em Avançar.
Em um ambiente de produção, você provavelmente desejará selecionar um SQL Server real para
hospedar o banco de dados do AD FS. O banco de dados interno do Windows é limitado e
pouco escalável.
11. Na tela Opções de revisão, clique em Avançar.
Sua tela de revisão deve ser semelhante à Figura 2-6.

FIGURA 2-6:
Revise suas
configurações de
AD FS antes de
concluir a configuração.
12. Na tela Verificações de pré-requisitos, clique em Configurar.
A tela de instalação mostrará o progresso e quaisquer erros encontrados.

Ao concluir, você verá a tela Resultados, com a mensagem “Este servidor
foi configurado com sucesso”.
14. Reinicie o servidor para a função AD FS para concluir sua configuração.
Para garantir que o AD FS esteja funcionando, você precisa habilitar a página

que usará para teste. A partir do Windows Server 2016, o idpinitiatedsignon. a
página aspx foi desativada por padrão. Siga esses passos:
1. Clique com o botão direito do mouse no Menu Iniciar e escolha Windows PowerShell (Admin).
2. Digite o seguinte comando e pressione Enter:
Set-AdfsProperties -EnableIdPInitiatedSignonPage $true
3. Abra o Internet Explorer e navegue até https://ADFS_FQDN/adfs/ls/

idpinitiatedSignOn.aspx.
4. Clique no botão Entrar.
5. Digite um nome de usuário e senha do Active Directory e clique em OK.
Você é apresentado a uma tela que diz "Você está conectado".

Depois de confirmar que o AD FS está funcionando, você pode desabilitar a página usada
para testá-lo digitando o seguinte comando:
Set-AdfsProperties -EnableIdPInitiatedSignonPage $false
Trabalhando com direitos do Active Directory

Serviços de gestão
O AD RMS permite que você forneça proteção de dados em documentos criados em
aplicativos compatíveis com RMS, como o Microsoft Office. Essa proteção pode acompanhar
o documento fora do local e pode ser aplicada mesmo quando não há conexão de rede.
Resumindo, os dados estão protegidos independentemente de para onde vão. Você pode
definir requisitos de expiração de criptografia e acesso. E você pode até impedir que e-mails
ou documentos sejam copiados, colados ou impressos.
O AD RMS é instalado por meio da já familiar interface do Gerenciador do Servidor. A

configuração também não é excepcionalmente complexa. Siga estas etapas para colocar o
AD RMS em funcionamento em seu ambiente:

Características.

Compartilhado
5. Na tela Selecionar funções do servidor, selecione Serviços de gerenciamento de

direitos do Active Directory, clique em Adicionar recursos e clique em Avançar.
7. Na tela Serviços de Gerenciamento de Direitos do Active Directory, clique em Avançar.
8. Na tela Select Role Services, aceite o padrão apenas com AD RMS

selecionado e clique em Avançar.
9. Na tela Função do Servidor Web (IIS), clique em Avançar.
10. Na tela Select Role Services, aceite os padrões e clique em Next.

Agora que você tem o AD RMS instalado, algumas configurações pós-instalação

precisam ser feitas. Siga esses passos:
1. Clique no sinalizador no Gerenciador do Servidor e clique no link Executar

Configuração Adicional mostrado na Figura 2-7.
FIGURA 2-7:
Depois que o AD RMS é
instalado,
você precisa
configurá-lo.
2. Na tela Serviços de gerenciamento de direitos do Active Directory, clique em Avançar.
3. Na tela Create or Join an AD RMS Cluster, escolha Create a New AD RMS Cluster e
clique em Next.
4. Na tela Selecionar banco de dados de configuração, digite o nome do seu banco de dados SQL
servidor e clique em Avançar.
Para ambientes de laboratório, não há problema em escolher Windows Internal Database.
5. Na tela Especificar conta de serviço, clique em Especificar, insira o nome de usuário e

a senha da conta de serviço do AD RMS, clique em OK e em Avançar.
Uma observação rápida aqui para preservar sua sanidade: em um ambiente de produção, a conta
de serviço do AD RMS deve ser membro de Usuários do domínio e não deve ter privilégios adicionais
atribuídos a ela. Se você estiver em seu ambiente de laboratório e tiver instalado o AD RMS em
um controlador de domínio, precisará colocar a conta de serviço no grupo Admins. do domínio.
Se não o fizer, receberá um erro

ao longo das linhas de credenciais inválidas foram apresentadas. Verifique a exatidão da

senha fornecida.
6. Na tela Especificar modo criptográfico, selecione Modo criptográfico 2

A menos que haja necessidade de suporte legado, você deve sempre escolher o
Modo criptográfico 2. Ele possui chaves privadas mais longas (2.048 bits) e usa um
algoritmo de hash mais forte. Isso torna mais difícil para um invasor violar sua criptografia
porque se torna mais demorado com tamanhos de chave maiores.
7. Na tela Especificar armazenamento de chave de cluster AD RMS, selecione Usar AD RMS

Armazenamento de chaves gerenciado centralmente e clique em Avançar.
8. Na próxima tela, defina uma senha para proteger a chave do cluster e, em seguida,
clique em Avançar.
9. Selecione o site que deseja usar para AD RMS e clique em Avançar.
Nesse caso, usarei apenas o site padrão.
10. Na tela Especificar endereço do cluster, defina o Tipo de conexão como Usar uma conexão
criptografada por SSL, dê um nome ao cluster (deve ser um nome de domínio
totalmente qualificado) e clique em Avançar.
11. Na tela Escolha um certificado de autenticação de servidor, escolha um

certificado existente e clique em Avançar.
Observe que você pode criar um certificado autoassinado ou escolher um certificado

posteriormente. Se você não tiver um certificado disponível, selecione Autoassinado por
enquanto e substitua-o por um certificado válido assim que possível. Compartilhado
12. Na tela Certificado de Licenciador de Servidor, clique em Avançar.
13. Na próxima tela, deixe o padrão Register the SCP Now selecionado e
clique em Avançar.
Você está finalmente na página de confirmação!
14. Se tudo estiver correto, clique em Instalar.
Agora você tem o AD RMS instalado e configurado. Tenho certeza que você quer
pular direto e começar a brincar. Se você tentar abrir o console do AD RMS agora,
receberá um erro que diz “Falha na solicitação com status HTTP 401: não
autorizado”. Isso acontece porque um grupo foi criado, chamado AD RMS Enter
prize Admins. Este grupo é criado localmente no servidor e, embora sua conta seja
adicionada a ele automaticamente, você não obtém os benefícios das novas
permissões até que saia e faça login novamente. Vá em frente e faça isso agora. Vou esperar.

Depois que você fizer logoff e logon novamente, o Gerenciador do Servidor será iniciado
automaticamente. Escolha Ferramentasÿ Serviços de Gerenciamento de Direitos do Active Directory.
Você vê um console semelhante à Figura 2-8.
FIGURA 2-8:
você pode gerenciar
AD RMS do console
disponível por meio do
servidor
ferramentas do gerente
cardápio.
Agora você precisa configurar um modelo de política de direitos, que é o que ajuda a definir quaisquer
regras e/ou condições que você deseja aplicar aos dados protegidos pelo modelo. Siga esses passos:
1. No console do Active Directory Rights Management Services, clique em Rights

Modelos de política no menu à esquerda.
2. Clique em Criar Modelo de Política de Direitos Distribuídos no menu à direita.
A tela mostrada na Figura 2-9 é exibida.
3. Clique em Adicionar.
4. Preencha as Informações de Identificação do Modelo: Idioma, Nome e Descrição,

clique em Adicionar e, em seguida, clique em Avançar.
5. Selecione os usuários que podem acessar os dados protegidos e quais direitos

eles terão.
No meu caso, dei à minha usuária Karen Smith apenas permissões de exibição, conforme mostrado
na Figura 2-10.

FIGURA 2-9:
A criação do
modelo de
política de direitos
define o que você
deseja
aplicar aos dados protegidos.
Compartilhado
FIGURA 2-10:
Garantir que um
usuário possa visualizar,
mas não fazer mais

nada, é simples
com o AD RMS.

Em um ambiente de produção, você deseja atribuir direitos por meio de grupos em vez de usuários
nomeados individualmente. O grupo deve ter um endereço de e-mail associado a ele.
7. Na seção Expiração do conteúdo, escolha Nunca expira e clique em Avançar.
8. Na tela Especificar política estendida, não faça alterações. Basta clicar

Próximo.
9. Na página Especificar política de revogação, não faça alterações. Basta clicar

Terminar.
Agora que o modelo de política de direitos foi criado, você precisa configurar a distribuição
real para o modelo. Você faz isso no PowerShell. Para abrir o PowerShell, clique com o
botão direito do mouse no menu Iniciar e clique em Windows PowerShell (Admin).
Primeiro, você criará um novo diretório em uma unidade de armazenamento. Você pode
colocar este novo diretório onde quiser. Estou colocando-o em C: para esta demonstração,
mas recomendo que você não o armazene na unidade do sistema para uma implantação
de produção. Em seguida, você precisa compartilhar o diretório com a conta de serviço AD
RMS. Você faz isso para os modelos AD RMS. Siga esses passos:
1. Abra o Windows PowerShell como Administrador.
2. Crie o diretório usando o seguinte código:
Novo-Item C:\ADRMS_Templates -Diretório ItemType
3. Compartilhe o diretório usando o seguinte código:
New-SmbShare -Name ADRMSTemplates -Path C:\ADRMS_Templates

-FullAccess sometestorg\ad_rms
Você pode ver todos os comandos do meu ambiente no PowerShell na Figura 2-11.
Agora volte para o AD RMS Management Console, onde você configurará o local do arquivo
para salvar os modelos:
1. Clique no link Alterar local do arquivo de modelos de política de direitos distribuídos em

na parte inferior da tela.
2. Clique em Ativar exportação e digite o caminho UNC para o compartilhamento de pasta,

3. Clique em Aplicar e em OK.

FIGURA 2-11:
Criar as pastas
e os compartilhamentos
é simples através do
Windows PowerShell.
Compartilhado
FIGURA 2-12:
Quando o
compartilhamento
é criado, você precisa apontar
AD RMS para
para onde você deseja

que os modelos
sejam exportados.

Para verificar se isso está funcionando, vá para o local do modelo. Você deve ver um
documento XML com o nome que lhe deu anteriormente.
Agora que o servidor está configurado, seus usuários poderão restringir o acesso a seus
documentos com os modelos aos quais você deu acesso. Quando seus usuários desejam
proteger um documento no Microsoft Word, por exemplo, eles podem selecionar a guia
Arquivo, clicar em Informações no menu à esquerda, clicar em Restringir acesso e, em seguida,
clicar em Conectar-se a servidores de gerenciamento de direitos e obter modelos, conforme
mostrado em Figura 2-13. Os modelos que você definiu no servidor RMS serão exibidos e seu
usuário poderá escolher o modelo apropriado com base no tipo de dados que está no documento.
FIGURA 2-13:
o protetor
O botão Documento
permite
selecionar um
modelo RMS
definido em seu
Servidor AD RMS.

NESTE CAPÍTULO
» Examinando o Controle de Conta de Usuário

e o que ele pode fazer por você
» Administração de senhas de usuários em

» Entendendo e configurando
Guarda de credenciais
» Configurando as opções de inicialização e

recuperação no Windows Server
» Protegendo seu servidor
Capítulo 3
Configurando o funcionamento
Sistema de segurança
que permitem que você proteja melhor seu sistema sem nenhum custo extra além da licença do
O Windows sistema
Serveroperacional
2022 fornece vários mecanismos de segurança integrados
do servidor.
Neste capítulo, você aprenderá sobre alguns desses mecanismos integrados —

como eles funcionam e como aproveitá-los.
Compreendendo e usando o usuário

Controle de conta
Você não pode ter uma discussão sobre segurança interna do Windows sem uma discussão
sobre Controle de Conta de Usuário (UAC). Ame ou odeie, serve a um propósito.
CAPÍTULO 3 Configurando a segurança do sistema operacional 439

Usando o Controle de Conta de

Usuário para proteger o servidor
Se você já trabalhou com sistemas operacionais Windows, sem dúvida foi avisado de que
algo está tentando ser instalado. Você provavelmente recebeu uma tela semelhante à Figura
3-1, revirou os olhos e permitiu. Essa interrupção é irritante quando você está tentando
instalar algo, mas imagine se ela solicitasse a instalação de algo quando você não estava
tentando uma instalação. É contra isso que o UAC foi projetado para proteger.
FIGURA 3-1:
O usuário familiar
A janela Controle
de conta protege
seu sistema contra
software não
autorizado
ou
Usuários.
No passado, se você acessasse acidentalmente um site ou abrisse um e-mail com malware,

esse malware poderia ser executado com permissões de administrador sem interferência e
você nem saberia que ele foi executado. O UAC reforçou essa fraqueza. Agora, se você
baixar um código malicioso e ele tentar elevar seus privilégios, será exibida uma caixa familiar
perguntando se você deseja permitir que ele seja executado como administrador. Isso lhe dá
a capacidade de impedi-lo de ter a chance de correr em primeiro lugar.
Não é uma boa ideia acessar a Internet em um servidor. Pode até ser contra as políticas da
sua organização. Se você precisar baixar o software para o seu servidor da Internet, baixe-o
primeiro para a sua estação de trabalho, verifique se ele foi verificado pelo seu software
antivírus e, em seguida, copie-o para o servidor.

Executando tarefas como administrador

Você pode estar se perguntando como saber se um aplicativo fornecerá um prompt do UAC ao
executá-lo. Se o ícone do aplicativo tiver um pequeno escudo no canto inferior direito, você
receberá uma resposta do UAC dele.
O UAC é ótimo para sessões interativas, mas e se você agendou tarefas que precisa executar?
Essas tarefas são executadas em uma sessão não interativa, então como você as executa
como administrador sem a interferência do UAC? Ao criar a tarefa no Agendador de Tarefas,
certifique-se de selecionar o botão de opção Executar se um usuário está conectado ou não e
marque a caixa de seleção Executar com privilégios mais altos. Com esses itens selecionados,
suas tarefas agendadas poderão ser executadas como administrador sem interferência do
UAC.
Cuidado com a elevação automática

de privilégios
Esse recurso permite que contas administrativas cuidem de seus negócios sem receber nenhum
dos prompts do UAC. Parece ótimo, certo? A desvantagem é que isso é muito semelhante ao
que você obteria se desligasse completamente o UAC.
Talvez você entenda os riscos inerentes a isso e ainda queira ter elevação automática de
privilégios. Em caso afirmativo, consulte "Usando a política de segurança local para controlar o
controle de contas de usuário", mais adiante neste capítulo. Lá, examino as etapas necessárias
para permitir a elevação automática de privilégios.
Substituindo configurações de controle de conta de usuário

Existem várias maneiras de substituir ou desabilitar permanentemente o UAC. Alguns métodos
fornecem mais granularidade do que outros. Eu nunca recomendo desabilitar permanentemente
o UAC. No entanto, recomendo ajustá-lo para que funcione de maneira mais integrada com
seus usuários e administradores. Afinal, o UAC está protegendo seu sistema, então é melhor
permitir que ele faça exatamente isso.
Trabalhando com contas de usuário no painel de controle funcionamento

Configurando
o segurança
Sistema
de
Um dos métodos comuns para lidar com o UAC é apenas desligá-lo quando ele o incomodar.
Não recomendo este curso de ação, mas pode ser feito facilmente com o miniaplicativo User
Accounts:
1. Abra o Painel de controle e clique em Contas de usuário.
2. Clique em Contas de usuário novamente.
3. Clique em Alterar configurações de controle de conta de usuário, conforme mostrado na Figura 3-2.

FIGURA 3-2:
Desativar o
Controle de Conta
de Usuário em
Contas de Usuário
é simples, mas
deve ser feito com cautela.
4. Na caixa Configurações de controle de conta de usuário, escolha Nunca notificar (consulte
Figura 3-3).
Suas quatro opções são as seguintes:
• Nunca notificar
• Notificar quando os aplicativos tentarem fazer alterações (não escurecer a área de trabalho)
• Notificar quando os aplicativos tentarem fazer alterações (padrão)
• Notifique sempre quando os aplicativos tentarem fazer alterações ou você tentar fazer
Mudanças
Usando a política de segurança local para controlar

Controle de conta de usuário
Na maioria dos casos, você desejará mais granularidade do que possui por meio de contas de
usuário no painel de controle. É aqui que a Diretiva de Segurança Local é realmente útil.

FIGURA 3-3:
Escolher Never
Notify desativa
o UAC para
o usuário conectado.
Para abrir a caixa Diretiva de segurança local, clique no menu Iniciar, digite secpol.msc e
pressione Enter. Selecione Políticas locais e, em seguida, Opções de segurança e role até o fim.
Você vê várias opções para configuração do UAC na parte inferior, todas classificadas por
Controle de Conta de Usuário, conforme mostrado na Figura 3-4. Se você quiser alterar essas
configurações em sua organização, faça as alterações discutidas aqui na Diretiva de Grupo em
vez da Diretiva de Segurança Local.
No início deste capítulo, prometi a você que mostraria como elevar automaticamente as
permissões administrativas sem os prompts do UAC. Veja como:
1. Clique duas vezes em Controle de conta de usuário: Comportamento do prompt de elevação para
Administradores no modo de aprovação do administrador.
2. Selecione Elevar sem solicitar e clique em OK.
Isso eleva automaticamente suas permissões conforme necessário.

funcionamento
Configurando
o segurança
Sistema
de
Várias outras configurações também são comportamentos que você pode escolher para aprovação do administrador
Modo:
» Elevar sem solicitar: permite que uma conta privilegiada execute executáveis e faça alterações no
sistema sem solicitar.

FIGURA 3-4:
A política de
segurança local
permite uma
configuração
mais granular do
controle de conta de usuário.
» Solicitar credenciais na área de trabalho segura: a tela do usuário será

esmaecido, e as credenciais do usuário serão solicitadas. O usuário não poderá interagir
com a área de trabalho até inserir as credenciais ou cancelar a operação que estava
tentando.
» Solicitar consentimento na área de trabalho segura: a tela do usuário será

esmaecido, e o usuário será solicitado a permitir ou negar a ação. O usuário não
poderá interagir com a área de trabalho até que faça uma escolha.
» Solicitar credenciais: quando algo requer privilégios administrativos,

o usuário é solicitado a fornecer credenciais administrativas.
» Solicitar consentimento: quando algo requer privilégios administrativos, o usuário é

solicitado a permitir ou negar a ação. Se o usuário permitir, ele será executado com o nível
mais alto de permissões do usuário. Se o usuário não tiver permissões altas o suficiente,
a ação não ocorrerá.
» Solicitar consentimento para binários não Windows (padrão): quando algo que não é
um programa do Windows requer privilégios administrativos, o usuário é solicitado a
permitir ou negar a ação. Se o usuário permitir, ele será executado com o nível mais alto
de permissões. Se o usuário não tiver permissões suficientes, a ação não ocorrerá.

Gerenciando Senhas de Usuário

Com a maioria dos sistemas atuais, as senhas são gerenciadas pelo Active Directory — com exceção
de um ambiente de grupo de trabalho, onde o gerenciamento de senhas é feito localmente em cada
sistema. Compreensivelmente, muitas pessoas não têm o melhor entendimento de como gerenciar
senhas locais. Felizmente, o Windows Server 2022 possui uma ferramenta que simplifica o trabalho
com senhas localmente e na rede.
Independentemente de você estar usando um logon local ou uma conta de domínio para fazer logon,
o Windows Server 2022 (e o Windows 10!) usa um produto chamado Credential Manager para salvar
suas credenciais da Web e do Windows. Você pode acessar o Gerenciador de Credenciais no Painel
de Controle clicando em Contas de Usuário e, em seguida, clicando em Gerenciador de Credenciais.
O melhor do Credential Manager é que ele oferece a capacidade de salvar credenciais para que você
possa ter uma experiência quase de logon único.
Você pode fazer backup e restaurar credenciais, bem como adicionar credenciais do Windows,
credenciais baseadas em certificado e credenciais genéricas, tudo no mesmo painel, mostrado na
Figura 3-5.
FIGURA 3-5:
Credencial funcionamento
Configurando
o segurança
Sistema
de
Manager permite
que você
gerencie suas
senhas de
rede a partir de
um único local.

Noções básicas sobre proteção de credenciais
O Credential Guard foi introduzido no Windows Server 2016 como uma forma de mitigar alguns dos
ataques de senha que estavam se tornando mais comuns. Ele protege praticamente qualquer coisa
que possa ser considerada uma credencial em um servidor Windows, incluindo hashes de senha
NT LAN Manager (NTLM), tíquetes de concessão de tíquete Kerberos (TGT) e credenciais
armazenadas por aplicativos como credenciais de domínio.
NTLM foi um protocolo desenvolvido pela Microsoft para facilitar a autenticação. Ele armazena
valores de senha com hash no servidor ou no controlador de domínio.
O Kerberos fornece recursos de criptografia mais fortes e usa autenticação baseada em tíquete.
O tíquete de concessão de tíquete (TGT) é usado para solicitar acesso a recursos.
O Credential Guard está disponível no Windows Server 2016/Windows 10 e mais recente.
Não ative o Credential Guard em controladores de domínio. Pode causar travamentos.
Como funciona o Credential Guard

Tradicionalmente, o Windows armazenava segredos na Autoridade de Segurança Local (LSA).
Esses segredos foram armazenados na memória, o que os tornou vulneráveis ao roubo de credenciais.
Com o Credential Guard ativado, o LSA se comunica com o processo LSA isolado mais recente
que protege segredos com segurança baseada em virtualização. Os segredos não são mais
armazenados na memória e são muito mais protegidos contra roubo de credenciais. Ferramentas
de hacking como Mimikatz não podem mais extrair credenciais da memória, o que fornece uma
camada de proteção para credenciais que não existiam antes do Credential Guard.
O Credential Guard não foi projetado para proteger credenciais armazenadas no Active Directory
ou no Security Accounts Manager (SAM). Ele foi projetado para proteger os segredos durante o
uso, para que não sejam armazenados na memória, onde podem ser roubados.
Requisitos de Hardware do Credential Guard

Para dar suporte ao Credential Guard, há alguns requisitos que precisam ser atendidos.
A maioria dos sistemas modernos deve ser capaz de atender a esses requisitos sem qualquer
dificuldade:
» O hardware deve oferecer suporte à segurança baseada em virtualização.
• Você precisa de uma CPU de 64 bits.
• Sua CPU deve suportar extensões de virtualização (Intel VT-x ou AMD-V) e

tabelas de páginas estendidas (SLAT).
• Seu sistema precisa ser capaz de executar o hypervisor do Windows, Hyper-V.

» O hardware deve suportar inicialização segura.
» Você deve ter o TPM versão 1.2 ou 2.0.
» Bloqueio UEFI é preferencial, embora não seja um requisito. Ele impede que um invasor
desative o Credential Guard com uma alteração no registro.
» O firmware UEFI em seu servidor deve suportar inicialização segura e estar na versão
de firmware 2.3.1.c ou superior.
Como habilitar o Credential Guard

Você tem algumas opções para habilitar o Credential Guard. Nesta seção, abordo os
métodos mais comuns que você usaria em um ambiente corporativo. A Diretiva de Grupo é
um dos métodos mais comuns porque se aplica a qualquer sistema associado a um
domínio. O registro também pode ser um método muito útil, especialmente se você tiver
sistemas que não tenham ingressado no domínio.
Política de grupo
Habilitar o Credential Guard pela Diretiva de Grupo é de longe o método mais simples porque
tem a menor quantidade de etapas e espaço para erros. Siga esses passos:
1. No Gerenciador do Servidor, clique em Ferramentas e, em seguida, clique em

Gerenciamento de Diretiva de Grupo.
2. Expanda Floresta e Domínios e, em seguida, expanda o domínio ao qual deseja aplicar o Credential
Guard.
3. Clique com o botão direito do mouse em Objetos de Diretiva de Grupo e selecione Novo.
4. Nomeie sua política e clique em OK.
Eu nomeei meu Guarda de Credencial.
5. Expanda Objetos de Diretiva de Grupo, caso ainda não o tenha feito, e clique em sua nova diretiva
para selecioná-la.
6. Clique com o botão direito do mouse em sua política e escolha Editar.
7. Navegue por Configuração do computador, Políticas e, em seguida, funcionamento

Configurando
o segurança
Sistema
de
Modelos administrativos, depois Sistema e, em seguida, Device Guard.
O Device Guard é usado para impedir a execução de códigos maliciosos, enquanto o

Credential Guard se concentra em proteger as credenciais contra comprometimento. São
características diferentes, mas se complementam muito bem.
8. Clique duas vezes em Ativar segurança baseada em virtualização e selecione Ativado.

9. Em Select Platform Security Level, escolha Secure Boot.
A inicialização segura impede que softwares e/ou drivers não autorizados sejam carregados durante a
inicialização do sistema.
10. Na caixa Credential Guard Configuration, selecione Enabled with UEFI Lock.
Suas configurações devem se parecer com a Figura 3-6.
11. Se suas configurações corresponderem à Figura 3-6, clique em OK.
FIGURA 3-6:
Habilitar
o Credential Guard
com a
Diretiva de
Grupo é o
método de
implantação mais simples e rápido.
Registro
Em alguns sistemas, você não pode aplicar a Diretiva de Grupo e precisa de outro meio de
habilitar o Credential Guard. Existem algumas etapas que você precisará executar para ativá-
lo por meio do registro. Esta seção orienta você em cada uma dessas etapas.
ATIVAR A SEGURANÇA BASEADA EM VIRTUALIZAÇÃO
Esta primeira etapa só precisa ser executada se o sistema no qual você deseja ativar o
Credential Guard for uma compilação do Windows 10 anterior à compilação número 1607. O
Windows Server 2016 e mais recente não requer esta etapa.

1. Abra o Editor do Registro clicando no Menu Iniciar e digitando regedit.exe

e, em seguida, pressionando Enter.
2. Navegue até HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\

DeviceGuard.
3. Adicione os seguintes DWORDs à chave DeviceGuard clicando com o botão direito

do mouse em DeviceGuard e escolhendo Novo e, em seguida, escolhendo DWORD (32 bits)
Valor.
• EnableVirtualizationBasedSecurity: defina o valor como 1 para habilitar.
• RequirePlatformSecurityFeatures: defina o valor como 1 para inicialização segura.
Você pode ver os DWORDs recém-criados na Figura 3-7. Quando esses DWORDs são
criados, você pode ativar o Credential Guard.
FIGURA 3-7:
Com as duas chaves
definidas que
habilitam a
segurança baseada
em virtualização,
você pode habilitar o Credential Guard.
funcionamento
Configurando
o segurança
Sistema
de
ATIVAR GUARDA DE CREDENCIAIS
A segunda etapa nesta aventura é realmente habilitar o Credential Guard. Se você estiver no
Windows Server 2016 ou mais recente, ou Windows 10 1607 ou mais recente, você pode ter

pulou direto para esta etapa. Se você não tiver certeza de como acessar o Editor do Registro,
verifique a Etapa 1 na seção anterior.
1. Com o Editor do Registro aberto, navegue até HKEY_LOCAL_MACHINE\System\

CurrentControlSet\Control\Lsa.
2. Adicione um novo DWORD chamado LsaCfgFlags e defina o valor como 1 para habilitar
Guarda de credenciais com bloqueio UEFI.
3. Feche o Editor do Registro.
Essas configurações entrarão em vigor após uma reinicialização, pois foram feitas na seção
HKEY_LOCAL_MACHINE (HKLM).
Configurando opções de inicialização e recuperação

Se você precisar definir as configurações de Inicialização e Recuperação do seu servidor, poderá
fazer isso por meio da caixa de diálogo Propriedades Avançadas do Sistema no Windows Server
2022.
A caixa de diálogo Inicialização e recuperação permite que você escolha coisas como com qual
sistema operacional deseja iniciar o sistema (se tiver vários sistemas operacionais instalados), o
tempo para mostrar a lista de sistemas operacionais e a quantidade de tempo para mostrar a
recuperação opções. Você também pode configurar a falha do sistema para reiniciar
automaticamente os sistemas e se deseja criar um despejo de memória ou não. Você pode ver
essas opções na Figura 3-8.
Você pode estar pensando: “Bem, isso é legal, mas como chego à caixa de diálogo Inicialização
e recuperação?” Estou feliz que você perguntou. Siga esses passos:
1. Clique em Iniciar e, em seguida, clique no ícone Configurações, que tem o formato de uma engrenagem.
2. Clique em Sistema e, em seguida, clique em Sobre.
3. Role para baixo até a parte inferior da tela.
4. Clique em Advanced System Settings, mostrado na Figura 3-9.
5. Clique na guia Avançado e, em seguida, clique no botão Configurações na inicialização
e seção de recuperação.

FIGURA 3-8:
A caixa de diálogo
Inicialização e
recuperação
permite definir a
funcionalidade
de inicialização e
recuperação que
você deseja que seu servidor use.
funcionamento
Configurando
o segurança
Sistema
de
FIGURA 3-9:
Para acessar
Inicialização e
recuperação,
você precisa
selecionar Configurações avançadas do sistema.

Na caixa de diálogo Inicialização e recuperação, você pode definir o sistema operacional padrão
no qual deseja inicializar, bem como por quanto tempo deseja que a lista de sistemas
operacionais disponíveis apareça. Essa configuração é útil se você tiver vários sistemas
operacionais instalados no mesmo servidor e quiser especificar qual sistema operacional deve
ser considerado o padrão. Você também pode configurar o que deseja que o sistema faça em
caso de falha e se deseja que ocorra um despejo de memória, bem como onde deseja armazená-
lo. Por padrão, se encontrar uma falha, o Windows Server 2022 reinicia automaticamente e cria
um despejo de memória. O despejo de memória é útil posteriormente para diagnosticar o
problema que causou a falha do sistema.
E aí está. É assim que você altera as opções de inicialização e recuperação no Windows Server
2022.
Fortalecendo seu Servidor

O Windows Server 2022 fez algumas melhorias com a força padrão dos protocolos criptográficos
e conjuntos de cifras disponíveis. O protocolo TLS (Transport Layer Security) mais recente, TLS
1.3, está disponível e habilitado por padrão.
Quando um sistema solicita uma conexão segura, a versão TLS com suporte mais alto será a
escolhida. Historicamente, isso tem sido o TLS 1.2, mas com a adição do TLS 1.3 na mistura,
acredito que isso mudará à medida que as organizações optarem por oferecer suporte ao TLS
1.3. Você pode visualizar a ordem de prioridade padrão para os protocolos e conjuntos de cifras
no site de documentação da Microsoft em: https://docs.microsoft.com/en-us/windows/win32/
secauthn/tls-cipher-suites-in-windows- servidor-2022.
Protocolos de cifra e conjuntos de cifras

Neste ponto, você pode estar se perguntando o que são protocolos de cifra e conjuntos de cifras.
Portanto, vamos mergulhar rapidamente nesses tópicos para que você possa sair desta seção
do livro com uma melhor compreensão do que são e como usá-los para tornar seu sistema mais
seguro.
protocolos de cifra
Um protocolo cifrado é o que usamos para garantir que tenhamos uma conexão segura para
nossos dados. O protocolo de cifra é o que define o que uma conexão segura deve ter.
Por exemplo, diferentes fornecedores devem ser capazes de se comunicar com segurança
usando conjuntos de cifras não proprietários. TLS é o mais comum hoje em dia; a sigla significa
Transport Layer Security.

Conjuntos de cifras
Um conjunto de cifras é um conjunto de instruções que definem como os dados transmitidos devem ser
criptografados. Os conjuntos de cifras modernos utilizam TLS, enquanto os conjuntos de cifras mais antigos
usavam Secure Socket Layer (SSL).
Os conjuntos de cifras aparecem assim:
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
Vamos examinar parte da string do conjunto de cifras.
» ECDHE: Esta é a troca de chaves usada para proteger as informações necessárias para
criar chaves compartilhadas.
As chaves compartilhadas são usadas na criptografia simétrica. A criptografia simétrica é muito

rápida, mas como as chaves são as mesmas para o remetente e o destinatário, elas precisam
ser protegidas. Na maioria das vezes, eles são protegidos com criptografia assimétrica, em que
o remetente usa uma chave privada para criptografar a chave compartilhada e o destinatário
usa uma chave pública para descriptografar a chave compartilhada.
» ECDSA: Esta é a assinatura e é usada para assinar digitalmente coisas como e-mail
mensagens.
» AES_128_GCM: Este é o algoritmo de criptografia em massa usado para criptografar/

descriptografar mensagens entre servidores e clientes.
» SHA256: Este é o algoritmo de hash usado para validar a integridade de um arquivo ou

mensagem.
Alterando a ordem de prioridade

padrão dos conjuntos de cifras
Pode chegar um momento em que você precise alterar a prioridade padrão dos conjuntos de cifras em seu
sistema. Eu tive que fazer isso no passado para garantir que os conjuntos de cifras mais antigos não fossem
listados ou, em alguns casos, para mover um conjunto de cifras menos favorável para o primeiro da fila
porque um aplicativo o exigia. Alterar a ordem padrão é relativamente simples:
funcionamento
Configurando
o segurança
Sistema
de
1. Abra o editor de Diretiva de Grupo Local clicando em Iniciar, digitando gpedit.msc e

pressionando Enter.
2. Navegue por Configuração do computador, Modelos administrativos e Rede e clique duas

vezes em Configurações de SSL.
Você deve ver uma tela semelhante à Figura 3-10.

FIGURA 3-10:
A modificação de
conjuntos de cifras é
relativamente simples
com o editor de
Diretiva de Grupo Local.
3. Clique com o botão direito do mouse na caixa Cipher Suites e escolha Select All.
4. Escolha Copiar.
5. Cole o texto no Bloco de Notas e faça as alterações.
Eu recomendo manter uma cópia do original para consultar.

6. Copie a lista atualizada do conjunto de cifras e cole-a no SSL Cipher Suites
janela na janela do editor de Diretiva de Grupo Local.
Desabilitando protocolos mais antigos

Por último, mas não menos importante, na agenda de proteção do sistema está a desativação de
protocolos mais antigos, como TLS 1.0 e TLS 1.1. Ao desabilitar esses protocolos, você também
desabilita alguns dos conjuntos de cifras mais antigos que os acompanham. Os protocolos de segurança
estão localizados no Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
Provedores de Segurança\SCHANNEL

Navegue até a pasta Protocolos e você verá os protocolos listados lá, caso uma alteração
tenha sido feita antes. Há uma pasta para o componente Servidor e uma pasta para o
componente Cliente de cada um. Se este for um sistema novo, nenhuma pasta aparecerá
em Protocolos e você precisará criá-los.
Eu uso o TLS 1.1 em meu exemplo (veja a Figura 3-11). Desativei o componente do
servidor TLS 1.1 adicionando o DWORD ativado e definindo-o como 0.
FIGURA 3-11:
Desativar o
TLS 1.1 no Registro
pode ser feito com
um novo valor
DWORD.
Os protocolos suportados são Ativado, Desativado por padrão ou Desativado. Cada um

desses estados tem um significado diferente:
» Habilitado: Este protocolo pode ser usado a menos que o outro sistema de negociação de
comunicações o tenha desabilitado.
funcionamento
Configurando
o segurança
Sistema
de
» Desabilitado por Padrão: Este protocolo não será usado a menos que seja especificamente
Requeridos.
» Desabilitado: Este protocolo não será utilizado.
Se um protocolo estiver habilitado, o DWORD habilitado terá um valor de 1 e o ByDefault

desabilitado será definido como 0. Se o protocolo estiver desabilitado, o DWORD habilitado
será definido como 0 e o DisabledbyDefault pode ser 1 ou 0 .

NESTE CAPÍTULO
» Compreendendo os fundamentos do
Firewall do Windows Defender
» Configurando e Gerenciando o
Firewall do Windows Defender em
Capítulo 4
Trabalhando com o
Internet
coisas e deixar as coisas boas entrarem. Você pode optar por bloquear ou restringir
Existemtráfego
poucasde
coisas mais
entrada debásicas para arriscados
protocolos a segurançaoudonúmeros
que o princípio de Você
de porta. manterpode
as más
até bloquear o tráfego de saída apenas para protocolos e números de porta aprovados.
A definição das formas aceitáveis de tráfego de entrada e saída geralmente é realizada
com o Windows Defender Firewall.
Neste capítulo, apresento a você o Windows Defender Firewall, incluindo as

tarefas de configuração e uso que todo administrador de sistema deve conhecer.
Noções básicas de firewall
O Firewall do Windows Defender é um firewall dinâmico. Isso significa que você pode
criar uma regra para permitir o tráfego de entrada e o tráfego estabelecido será
automaticamente liberado. Se você criar uma regra de saída, o tráfego que sai será
automaticamente permitido de volta. Ele pode inspecionar todo o tráfego que passa por ele
e rastrear o estado da conexão. Esta é uma grande melhoria em relação aos firewalls tradicionais mais ant
CAPÍTULO 4 Trabalhando com a Internet 457

chamados de firewalls sem estado, para os quais você teve que criar uma regra para permitir o tráfego
em ambas as direções em uma lista de controle de acesso. Os firewalls sem estado não inspecionam
o tráfego; eles apenas permitem ou bloqueiam com base nos endereços IP ou portas de origem e destino.
O Firewall do Windows Defender, como a maioria dos firewalls existentes, opera em uma negação
padrão para conexões de entrada. Essencialmente, se não houver uma regra que permita o tráfego, ele
será bloqueado. Conexões de saída normalmente são permitidas por padrão.
Você pode ver o firewall referido como Microsoft Defender Firewall em algumas documentações do
Micro soft e Windows Defender Firewall em outras documentações. O produto no sistema operacional
ainda é chamado Windows Defender Firewall, então esta é a terminologia que estou usando. Lembre-se
de que esses dois termos se aplicam ao mesmo produto para evitar confusão.
Conhecendo o Windows
Perfis do Defender Firewall
O Firewall do Windows Defender usa perfis para definir os níveis de confiança do tráfego de rede. Os
perfis podem ser atribuídos a adaptadores de rede específicos, embora, por padrão, todos os perfis
sejam ativados para cada adaptador de rede. Por exemplo, o perfil de domínio é usado quando um
sistema está conectado a um domínio e geralmente é mais permissivo do que o perfil público, que é
projetado para ser usado quando um adaptador de rede está conectado a uma rede não confiável como
a Internet.
O Firewall do Windows Defender possui três perfis:
» Domínio: Este perfil está disponível apenas se o sistema estiver associado a um

domínio. É o menos restritivo dos perfis.
» Privado: Este perfil é usado se o sistema estiver em uma rede com a qual não tenha
nenhuma associação; por exemplo, um sistema em uma rede que não possui um
domínio usaria o perfil Privado. O perfil privado deve ser mais restritivo do que o
perfil de domínio porque há menos confiança em uma rede privada do que em uma
rede de domínio.
» Público: Este perfil é usado quando é feita uma conexão com uma rede pública como um
hotel, restaurante ou cafeteria. Deve ser o perfil mais restritivo porque está se
conectando com o mínimo de confiança à rede.

Habilitando e desabilitando o Windows

Firewall de defesa
Quando você está solucionando problemas de conectividade, a solicitação típica é: “Podemos
desativar o firewall?” Não sei dizer quantas vezes um fornecedor me pediu para fazer isso ao
Internet
solucionar problemas de conectividade com seus aplicativos. Tecnicamente, é possível

Trabalhando
com
o
desabilitar o Firewall do Windows Defender, mas você deve verificar a política da sua
organização para saber se tem permissão para fazer isso.
Desativar o Firewall do Windows não é uma boa ideia. É uma camada de proteção para o seu
servidor.
Com esse aviso de isenção de responsabilidade, vamos ver como desabilitar e habilitar o
Windows Defender Firewall. Existem três maneiras de habilitar e desabilitar a parede de
fogo. Você pode fazer isso por meio da interface gráfica do usuário (GUI), do Power Shell ou
da linha de comando.
Desativar/ativar por meio da interface

gráfica do usuário
Desativar o firewall por meio da GUI é definitivamente o processo mais longo dos três. Você
não pode simplesmente desabilitar tudo de uma vez; em vez disso, você deve desativá-lo para
cada perfil individual.
Seguem os passos para desligar o firewall do perfil Domínio (os passos são os mesmos para
os perfis Público e Privado, basta substituir o perfil desejado no Passo 4):
» Clique com o botão direito do mouse no menu Iniciar e clique no ícone de engrenagem para entrar no
Menu de configurações.
» Clique em Atualização e segurança e selecione Segurança do Windows.
» Em Áreas de proteção, clique em Firewall e proteção de rede (mostrado na

Figura 4-1).
» Clique em Rede de Domínio (Ativa).
Se você não vir um perfil de domínio, é porque o sistema não está conectado a um
domínio. Este perfil não aparece, a menos que o sistema tenha ingressado no domínio.
» Para desabilitar o Firewall do Windows Defender, clique em cada perfil que deseja
desabilitar e, em seguida, clique na chave de alternância do Firewall do Windows
Defender, atualmente na posição ligada na Figura 4-2, para desligá-la.
» Para reativar o firewall, basta clicar no botão de alternância novamente para deslizá-lo
de volta à posição ligada.

FIGURA 4-1:
As
configurações do
Windows
Defender Firewall estão
disponíveis por
meio do aplicativo
Segurança do
Windows em Atualização e segurança.
FIGURA 4-2:
Cada perfil do
Windows
Defender Firewall
pode ser
desabilitado
individualmente com o botão de alternância.

Desativando/ativando por meio do PowerShell

Um dos métodos para desabilitar ou habilitar o firewall é com o PowerShell. É um comando
simples de uma linha para desativá-lo para todos os perfis do Windows Defender Firewall ou
desativá-lo para um perfil específico. Aqui está o comando para desabilitar o firewall para todos
os perfis: Trabalhando
com
o
Internet
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled

Falso
Para reativar o firewall para todos os perfis, use o seguinte:
Set-NetFirewallProfile -Profile Domain,Public,Private

-Ativado Verdadeiro
Se você quiser desabilitar/habilitar apenas um dos perfis, use apenas esse nome de perfil em
vez de Domínio,Público,Privado.
Desativar/ativar por meio do prompt de comando

Desativar e ativar por meio do prompt de comando é um comando de uma linha que pode ser
usado para desativar ou ativar todos ou perfis específicos. Veja como desabilitar o firewall para
todos os perfis:
netsh advfirewall desativou o estado de todos os perfis
Para reativar o firewall para todos os perfis, use o seguinte:
netsh advfirewall definir o estado de todos os perfis ativado
Se você quiser desabilitar/habilitar apenas um dos perfis, use apenas o nome do arquivo pro
(domínio, público ou privado) em vez de todos os perfis.
Configurando o Firewall do Windows

Defender com Segurança Avançada
Para configurar o Windows Defender Firewall, você precisa entrar nas configurações
avançadas. Siga esses passos:
1. Clique com o botão direito do mouse no menu Iniciar e clique no ícone de engrenagem para acessar as Configurações
cardápio.
2. Clique em Atualização e segurança e selecione Segurança do Windows.

3. Em Áreas de proteção, clique em Firewall e proteção de rede.
4. Role para baixo e clique em Configurações avançadas.
A tela Configurações avançadas parece familiar se você já trabalhou com o Windows

Defender Firewall no passado. Ele mostra rapidamente quais perfis estão ativados, bem
como uma visão geral básica de que tipo de estado de bloqueio o firewall está (consulte
a Figura 4-3).
FIGURA 4-3:
O Avançado
Tela de
configurações do Windows
Firewall de defesa
permite que
você faça
alterações
granulares na
maneira como o firewall se comporta.
O lado esquerdo da tela oferece várias opções:
» Regras de entrada: se uma conexão de entrada não corresponder a uma regra na

Área de regras, então, por padrão, ela será bloqueada. Clicar nessa área permite ativar
regras internas ou criar regras personalizadas.
» Regras de Saída: Se uma conexão de saída não corresponder a uma regra no

Área Outbound Rules, então por padrão será permitido. Clicar nessa área permite ativar
regras internas ou criar regras personalizadas.

» Regras de segurança de conexão: esta área permite que você configure seu sistema para usar
IPSec para proteger as comunicações entre os terminais.
» Monitoramento: Esta área permite que você veja rapidamente quais regras de perfil são
ativado e se há alguma regra de segurança de conexão configurada. Ele também permite que
você veja se há alguma associação de segurança configurada atualmente. Consulte a seção
Trabalhando
com
o
Internet
“Entendendo o IPSec”, mais adiante neste capítulo, se não tiver certeza do que é uma SA.
Trabalhando com configurações de perfil

Para a maioria das pessoas, as configurações de perfil padrão funcionam bem. Mas e se você trabalhar
para um empregador que deseja ser muito rigoroso sobre as conexões de saída, não permitindo o
tráfego, a menos que seja explicitamente permitido? Você pode alterar o comportamento do perfil.
Na tela Configurações avançadas, clique com o botão direito do mouse em Windows Defender Firewall
com segurança avançada e selecione Propriedades. Você vê guias para cada um dos perfis e uma guia
para IPSec. Comece com a guia para o perfil público, mostrado na Figura 4-4.
FIGURA 4-4:
Os perfis podem ser
alterado do
padrão
comportamento no
Tela de propriedades
do Windows
Defensor
Firewall.
Existem algumas configurações para as quais gostaria de chamar sua atenção:
» Estado do Firewall: Aqui você tem a opção de ligar ou desligar. Isso pode ser configurado
para desativar ou ativar o firewall para o perfil específico em que você está.

» Conexões de entrada: Você tem três opções aqui:
• Bloquear: bloqueia tudo o que não é permitido por uma regra.
• Bloquear tudo: bloqueia tudo, independentemente de haver uma regra que permita
isso ou não.
• Permitir: permite o tráfego independentemente de o tráfego ser permitido por uma regra.
A configuração padrão para isso é Bloquear.
» Conexões de Saída: Você tem duas opções:
• Bloquear: bloqueia tudo o que não é permitido por uma regra.
• Permitir: permite o tráfego independentemente de o tráfego ser permitido por uma regra.
A configuração padrão para isso é Permitir.
» Conexões de Rede Protegidas: Ao clicar neste botão, você poderá selecionar em quais adaptadores
de rede deseja que o perfil seja aplicado.
» Configurações: Clicar no botão Configurações permite personalizar as configurações do perfil

em que você está. Isso inclui as configurações relacionadas a notificações, permitindo
unicast (transmissão um para um) e se você deseja mesclar regras que são enviadas por meio
da Diretiva de Grupo.
» Logging: O botão Logging permite alterar a localização dos logs do firewall, definir o limite de
tamanho dos logs e escolher se deseja registrar pacotes descartados e/ou conexões
bem-sucedidas.
Como você provavelmente pode dizer, pode ser muito específico em termos de como deseja que um perfil se
comporte e onde deseja que esse perfil se aplique.
Trabalhando com regras de entrada/saída

O Windows Server 2022 tem algumas regras de firewall já criadas para você. Já estão habilitados aqueles que são
essenciais ao servidor para permitir seu bom funcionamento. Regras que suportam as principais funções de rede e
compartilhamento de arquivos e impressão são ótimos exemplos disso. Quando você instala novas funções e
recursos, as regras de firewall para essas funções e recursos também são habilitadas automaticamente.
Habilitando regras predefinidas

Habilitar as regras predefinidas é muito simples: basta clicar com o botão direito do mouse na regra que deseja
habilitar e escolher Enable Rule, conforme mostrado na Figura 4-5.
Para desativar a regra, basta clicar com o botão direito do mouse e escolher Desativar regra.

Trabalhando
com
o
Internet
FIGURA 4-5:
A habilitação de regras pré-
construídas pode ser feita a
partir do menu principal
tela.
Criando uma regra personalizada
As regras predefinidas são convenientes, mas tendem a ser muito específicas para os serviços da
Microsoft. E se você precisar instalar um produto de fornecedor com necessidades de porta específicas?
Vamos criar uma regra a partir de um caso de uso: você é um administrador de sistema e foi solicitado
a permitir conexões de entrada para um sistema conectado a um domínio que hospeda um banco de
dados MySQL. Você sabe que o MySQL precisa da porta TCP 3306, então vamos criar uma regra para
permitir esse tráfego:
1. Selecione Regras de entrada e clique em Nova regra (localizada

no menu à direita da tela).
2. Na tela Rule Type, selecione Port e clique em Next.
3. Na tela Protocolos e Portas, deixe o TCP selecionado e com
Portas locais específicas selecionadas, digite 3306 na caixa de texto e clique em Avançar.
4. Na tela Action, selecione Allow the Connection e clique em Next.

5. Na tela Perfil, deixe Domínio marcado, mas desmarque Privado
e Público e clique em Avançar.
Ao fazer isso, você está permitindo apenas que o tráfego de domínio alcance o banco de dados MySQL.
6. Na tela Nome, dê um nome significativo e clique em Concluir.

Se sua organização usa um sistema de tíquetes para rastrear alterações, colocar o número do
tíquete no campo Descrição da regra pode ser muito útil para documentar por que a alteração foi
feita.
Na Figura 4-6, você pode ver a regra que criei na parte superior. Você pode dizer que já está
ativado porque tem a marca de seleção verde ao lado.
FIGURA 4-6:
A regra
personalizada
criada para o
MySQL permitirá
o tráfego de
entrada TCP/3306
vindo do domínio.
Posso ouvir a voz dentro da sua cabeça dizendo: “Isso foi fácil, mas onde está a granularidade?”
Você pode obter excepcionalmente granular na regra. Vamos dar uma olhada nas configurações.
Clique duas vezes em uma regra. Usarei a regra MySQL que acabei de criar.
Existem oito guias no total. Cada guia permite que você faça uma alteração na regra.
Algumas das configurações são as coisas básicas que você definiu quando criou inicialmente a
regra; outros permitem mais granularidade do que o que estava dentro do assistente de regras:
» Geral: Esta aba permite ajustar o nome da regra, se ela está habilitada e se
deseja permitir ou bloquear o tráfego.
» Programas e Serviços: Esta aba permite que você especifique um aplicativo ou

serviço que deve ser permitido através do firewall.

» Computadores Remotos: Na guia Computadores Remotos, você pode optar por permitir
conexões apenas de computadores específicos ou ignorar a regra para
computadores específicos.
» Protocolos e Portas: A guia Protocolos e Portas permite mais profundidade do que o

assistente permite quando a Porta é selecionada. Quando criei a regra, tive que
Trabalhando
com
o
Internet
escolher entre TCP e UDP porque escolhi uma regra de porta. Nesta tela, no entanto,
tenho muito mais opções, mostradas na Figura 4-7. Eu poderia obtê-los através do
assistente se escolhesse Custom em vez de Port.
Também posso alterar as portas locais e remotas nesta guia. Atualmente, na minha
regra, tenho o TCP 3306 permitido.
FIGURA 4-7:
Há muito mais
protocolos
disponíveis nesta
guia do que
havia
através do
assistente porque
Eu o criei como um
Regra do porto.
» Escopo: A guia Escopo permite determinar quem deve ter permissão para se
conectar. O IP local, por exemplo, pode ser definido se o seu sistema tiver vários
endereços IP, mas você só deseja permitir a conexão da regra por meio de um dos
endereços IP. Ao usar o IP remoto, você está definindo quais IPs o aplicativo no
servidor pode acessar. Isso pode aumentar muito a postura de segurança; por exemplo,
com meu servidor MySQL, talvez eu só queira permitir que ele fale com o servidor de
aplicativos, mas não com o servidor web. Posso definir isso com Scope.

» Avançado: Avançado permite definir a quais perfis aplicar esta regra, a qual adaptador de
rede aplicá-la e se você deseja permitir passagem de borda. Normalmente, você deseja que
isso seja definido como Block Edge Traversal, que é a configuração padrão.
» Principals locais: A guia Principals locais permite definir usuários locais específicos que têm
permissão para se conectar por meio da regra ou especificar quais usuários devem poder ignorar
a regra.
» Usuários remotos: a guia Usuários remotos permite definir usuários remotos específicos que têm
permissão para se conectar por meio da regra ou quais usuários devem poder ignorar a regra.
Você poderia ter feito todas essas configurações por meio do assistente se tivesse
selecionado Personalizado em vez de Porta. Eu gosto de levá-lo através do exercício de
olhar para as guias individuais, porém, porque conheci alguns administradores de sistema
que não entendem o que as guias significam ou como editar a regra corretamente depois
que ela é criada.
Compreendendo o IPSec
O IP Security (IPSec) é usado para proteger as comunicações em uma rede baseada em IP.
Ele é normalmente configurado para oferecer suporte e proteger a comunicação rede-a-rede,
host-a-host ou host-a-rede. Para empresas que lidam com informações confidenciais, o
IPSec fornece um método para criptografar dados enquanto estão em trânsito. Existem
alguns termos que você deve entender ao falar sobre IPSec:
» Associação de Segurança (SA): A SA é a parte mais básica da conexão IPSec. É um acordo

entre endpoints sobre como eles estabelecerão uma comunicação segura - tudo, desde qual
algoritmo criptográfico usar, qual chave criptografar e outras informações de rede relevantes.
A troca de chaves usada para IPSec segue duas fases:
• Modo Principal ou Modo Agressivo: Também referido como IKE Fase 1. Este
fase cria com segurança o canal de comunicação e lida com a troca de chaves. Essa
negociação configura a SA.
• Modo rápido: também conhecido como IKE Fase 2. Todas as chaves subseqüentes
as trocas são feitas por meio do Modo rápido porque consome menos recursos do
sistema.
» Internet Key Exchange (IKE): IKE é usado para lidar com negociações e autenticação para a
criação de IPSec SAs.

Definindo as configurações de IPSec

O túnel IPSec pode ser configurado através da seção Connection Security Rules no
Windows Defender Firewall. Para esta seção, vou criar um túnel de servidor para servidor.
Trabalhando
com
o
Internet
1. Com a tela Configurações avançadas aberta, clique com o botão direito do mouse em Segurança de conexão
Regras e selecione Nova regra.
2. Na tela Tipo de regra, selecione Servidor para servidor e clique em Avançar.
3. Na tela Endpoints, defina quais endpoints atenderão aos critérios
para o túnel e clique em Avançar.
Vou deixar ambos em Qualquer endereço IP. Em um ambiente de produção, você

gostaria que isso fosse mais específico.
4. Na tela Requisitos, você pode selecionar se deseja solicitar ou exigir autenticação e

clicar em Avançar.
Vou deixá-lo em Solicitar autenticação para conexões de entrada e saída.
5. Na tela Método de autenticação, você pode selecionar Computador
Certificado se você tiver uma infraestrutura de chave pública (PKI) interna que possa
oferecer suporte a esse uso.
Clicarei em Avançado e em Personalizar.
6. Para esta demonstração, escolhi usar NTLMv2 como meu método de autenticação principal, com
Kerberosv5 como uma opção de autenticação secundária, mostrada na Figura 4-8.
7. Clique em OK.
9. Na guia Perfil, mantenha Domínio selecionado, mas desmarque Privado e Público,

e, em seguida, clique em Avançar.
10. Na página Nome, dê ao seu túnel IPSec um nome significativo e, em seguida,

clique em Concluir.
Agora você concluiu a regra de segurança de conexão. Isso precisa ser configurado em
qualquer sistema no qual você deseja usar IPSec. Por exemplo, eu o configurei em um
dos meus outros sistemas e o SA apareceu imediatamente, conforme mostrado na Figura 4-9.
Eu configurei as conexões usando NTLM e Kerberos principalmente porque era a maneira

mais simples de fazer isso para a demonstração do livro. Embora isso funcione, a
autenticação por certificado é preferida porque prova a identidade do remetente, uma vez
que o sistema/usuário remetente deve ser a única entidade com a chave privada.
Com o botão Personalizar, você pode adicionar uma chave pré-compartilhada, se desejar,
mas isso não é recomendado porque é armazenado em texto sem formatação.

FIGURA 4-8:
você pode definir
autenticação
primária e
secundária
opções para
computadores e
Usuários.
FIGURA 4-9:
A SA entre
meus dois sistemas se
conectaram
automaticamente
depois que
as regras de
segurança de
conexão foram
configuradas em ambos os sistemas.

NESTE CAPÍTULO
» Entendendo certificados em
» Examinando tipos de certificados no Active

Serviços de certificado de diretório
» Selecionando o certificado de
usuário apropriado
» Escolhendo o certificado de
computador certo
capítulo 5
Compreendendo o digital
certificados
Entenda sabe
Todo mundo o que que
é umos
certificado e como
certificados eleuma
são funciona.
coisa boa. Muito menos pessoas sob
Quando você acessa um site, pode verificar se o site está usando HTTPS. Mas o que o
HTTPS realmente significa? É a abreviação de HyperText Transfer Protocol over SSL (que
significa Secure Sockets Layer). Um certificado é usado para proteger o canal de
comunicação.
Neste capítulo, explico os certificados em geral e informo que tipo de certificado

pode ser emitido com o Active Directory Certificate Services (AD CS). Os
certificados que discuto neste capítulo definitivamente não são uma lista exaustiva,
mas são alguns dos certificados mais comumente usados.
CAPÍTULO 5 Compreendendo os Certificados Digitais 471

Certificados no Windows Server 2022

O Windows Server 2022 fornece o AD CS, que é o foco do próximo capítulo deste minilivro.
O AD CS permite que você crie sua própria infraestrutura de chave pública (PKI), que permite
emitir certificados para usuários e sistemas internos confiáveis.
Você ainda pode instalar certificados de autoridades de certificação de terceiros, como

GoDaddy e DigiCert; na verdade, isso é obrigatório se o certificado estiver protegendo um
recurso que será acessado por pessoas fora de sua organização. No entanto, se um recurso
for acessado apenas por pessoas dentro de sua organização, ele é um candidato ideal para
um certificado interno emitido pela PKI de sua organização. Isso também economiza o custo
do certificado externo.
Criptografia 101
A criptografia é usada para proteger os dados em trânsito e em repouso. A criptografia usa
algoritmos matemáticos para gerar “chaves”, que são usadas para criptografar dados. Uma
única chave pode ser usada para criptografar e descriptografar os dados (consulte
“Criptografia simétrica”), ou você pode ter uma chave privada e uma chave pública, que estão
ligadas matematicamente. Uma chave criptografa e a outra descriptografa (consulte
“Criptografia assimétrica”).
Uma chave é usada por um algoritmo criptográfico para transformar texto simples em texto
criptografado, que é conhecido como texto cifrado. Também é usado para alterar o texto
cifrado de volta para texto simples. A própria chave consiste em uma cadeia de bits, cujo
comprimento é determinado pelo que o algoritmo que você está usando suporta e o
comprimento que você especifica.
Existem dois tipos de criptografia: simétrica e assimétrica.
criptografia simétrica
Criptografia simétrica é a capacidade de criptografar e descriptografar com a mesma chave.
Quando estiver usando um segredo compartilhado ou uma senha, você pode pensar nisso
como criptografia simétrica. Como ele usa apenas uma chave, é mais rápido, mas também
menos seguro porque um invasor só precisaria descobrir qual é a chave para descriptografar
os dados. Você pode ver um diagrama de como a criptografia simétrica funciona na Figura 5-1.

FIGURA 5-1:
A criptografia
simétrica usa
uma chave para
criptografar e
descriptografar dados.
Uma cifra é o algoritmo que está sendo usado para executar a criptografia e a descriptografia.
Algumas cifras simétricas comuns incluem
» 3DES
» AES
» TwoFish Compreendendo
digital
o certificados
» BlowFish
» IDEIA
criptografia assimétrica
Criptografia assimétrica (ou criptografia de chave pública) é um esquema de criptografia em
que os dados são criptografados por uma chave e descriptografados por outra chave. As
teclas são vinculadas matematicamente e só funcionarão umas com as outras. A chave
privada é mantida em segurança e oferece não repúdio (o que significa que pode provar a
identidade) porque não é distribuída. A chave pública é fornecida a outras pessoas e é usada
para descriptografar os dados que foram criptografados pela chave privada. Criptografia
assimétrica é o que é usado na infraestrutura de chave pública (PKI). Um exemplo comum de
criptografia assimétrica é quando você usa HTTPS. Digamos que você acesse o site do seu
banco. Seu navegador recebe o certificado público, que ele usa para criptografar e
descriptografar o tráfego com os servidores da Web do banco. Os servidores da web do seu
banco têm a chave privada, o que prova que o banco é quem diz ser e permite que o banco
descriptografe seu tráfego. Você pode ver um diagrama de como a criptografia assimétrica funciona em alto ní
FIGURA 5-2:
A criptografia
assimétrica usa
duas
chaves vinculadas
matematicamente
para criptografar
e descriptografar dados.

Os certificados se enquadram na criptografia assimétrica. Quando você precisa criar um

certificado, você gera uma chave privada e, em seguida, uma solicitação de assinatura de
certificado (CSR), que é uma representação codificada de sua chave pública. O CSR é
dado a uma autoridade de certificação, interna ou externa, e o certificado é criado a partir
daí. A chave privada nunca sai de sua posse.
Cifras assimétricas comuns incluem
» Diffie-Hellman
» DSS\DSA
» RSA
» ECDH
» ECDSA
Conceitos específicos do certificado

Nenhuma introdução a certificados ou criptografia estaria completa sem esclarecer
alguns termos. Se você entender esses termos, então este capítulo e o próximo serão
muito mais simples:
» CRL: A Lista de Certificados Revogados rastreia os certificados que foram revogados, o que
os torna inválidos. Por padrão, a CRL base é atualizada a cada sete dias e a CRL
delta é atualizada uma vez por dia.
» OCSP: O Protocolo de status de certificado on-line fornece informações de revogação quase em

tempo real sobre certificados. Isso é uma melhoria em relação ao uso estritamente de CRLs
porque as CRLs não são atualizadas com tanta frequência.
» FQDN: Um nome de domínio totalmente qualificado é o nome do host e o nome do domínio.

Por exemplo, Server2.sometestorg.com seria um FQDN.
» CN: O nome comum no certificado normalmente será o mesmo que

o FQDN.
» SAN: Subject Alternative Names permite que você adicione mais nomes a um certificado do
que apenas o nome comum. Isso é útil quando você precisa oferecer suporte a nomes
curtos e endereços IP, especialmente para trabalhos de desenvolvimento. Você também
pode adicionar outros FQDNs, o que torna esses certificados muito úteis quando você
deseja evitar certificados curinga.
» Certificado curinga: Um certificado essencialmente válido para qualquer host

em seu domínio. Um curinga para sometestorg.com seria expresso como
*.sometestorg.com. Os certificados curinga podem ser usados para economizar
dinheiro para proteger vários sites e/ou servidores.

Tipos de certificados no Active Directory

Serviços de certificado
Existem muitos tipos de certificados no AD CS. O servidor padrão não ingressado no domínio tem
um conjunto de modelos de certificado prontos para uso, mas uma autoridade de certificação
(CA) do prêmio Enter ingressada no domínio tem ainda mais modelos de certificado para escolher.
Na seção a seguir, discuto os tipos mais comuns de certificados de usuário e computador que
você encontra e quais são seus usos.
Certificados de usuário
Os certificados de usuário são sobre — você adivinhou — os usuários. Esses certificados são
normalmente usados para estabelecer a identidade de um usuário. Aqui estão alguns dos tipos Compreendendo
digital
o certificados
de certificado de usuário mais comuns que você pode encontrar:
» Usuário: Este modelo de certificado é usado para o certificado de estilo de autenticação

tradicional. É mais comumente usado em soluções de autenticação de dois
fatores (2FA) como o segundo fator de autenticação, após nome de usuário e senha.
Isso é especialmente popular com soluções de rede privada virtual (VPN).
Você sempre pode consultar o modelo na CA emissora e ele informará para quais
finalidades foi aprovado. Na Figura 5-3, você pode ver as propriedades do modelo para
o modelo User.
FIGURA 5-3:
O usuário
certificado
modelo é bom
para EFS, email
seguro e
autenticação de cliente.

» Assinatura de código: quando você precisa executar scripts internos do PowerShell ou

bles e deseja garantir que eles não foram alterados ou alterados de alguma forma, você
deseja um certificado de assinatura de código. O certificado de assinatura de código valida
que o código não foi alterado ou alterado de qualquer forma desde que foi assinado pela
última vez. Se você deseja executar scripts remotos do PowerShell, essa é uma ótima
maneira de garantir que apenas scripts bons e testados sejam executados por usuários
autorizados, pois você pode definir as permissões de quem pode se inscrever com o
modelo, bem como a política de execução dos scripts do PowerShell em seu ambiente.
O Encrypting File System (EFS) pode ser usado para criptografar arquivos ou pastas e
só pode ser descriptografado pelo usuário que os criptografou ou por um agente de
recuperação autorizado (EFS Recovery Agent). Observe que isso é diferente do BitLocker,
que oferece criptografia de disco total, não criptografia em nível de arquivo/pasta.
» EFS básico: se você estiver usando o EFS, seus sistemas solicitarão automaticamente um
certificado EFS básico de uma de suas autoridades de certificação na primeira vez que
um de seus usuários tentar criptografar um arquivo, supondo que eles ainda não tenham
um certificado de usuário . O certificado EFS básico é usado exclusivamente para
operações EFS.
» EFS Recovery Agent: Este modelo de certificado também é usado em conjunto com o EFS,
mas é usado para descriptografar dados que foram criptografados pelo EFS. Isso pode ser
devido a alguém deixar a empresa ou ter sido rescindido. Pode até ser uma exclusão
acidental. Com o certificado EFS Recovery Agent, os dados podem ser descriptografados.
Por padrão, todos os membros dos grupos Domain Admins e Enterprise Admins
podem se inscrever neste certificado.
» Key Recovery Agent: O certificado do Key Recovery Agent é usado por um

administrador autorizado para descriptografar chaves privadas. Pode ser usado para
recuperar chaves privadas assumindo que a AC foi configurada para arquivar e permitir a
recuperação da chave privada que está associada à chave pública que lhe foi dada quando
um certificado foi solicitado. Este modelo deve ser usado com muita parcimônia porque dá ao
usuário com o certificado a capacidade de recuperar chaves privadas e, por extensão, a
capacidade de descriptografar os dados criptografados pelos certificados aos quais a chave
privada pertence.
É considerada uma prática recomendada pela Microsoft usar a separação de tarefas se

você quiser utilizar o modelo do Key Recovery Agent. A recomendação é permitir que
alguém na função de Gerenciador de Certificados recupere a chave privada, mas não a
descriptografe, e permitir que o Agente de Recuperação de Chaves descriptografe a chave
privada, mas não a recupere. Isso fornece melhores proteções aos dados
organizacionais porque nenhuma pessoa pode descriptografar todos os dados.

Computador
Os certificados de computador são semelhantes aos certificados de usuário, pois verificam
a identidade. A principal diferença é que eles estão verificando a identidade de uma
máquina em vez da identidade de um usuário. Aqui estão alguns dos modelos de
certificado de computador mais comuns e seus usos:
» Computador: O modelo Computador pode ser usado tanto para estações de trabalho
quanto para servidores. Isso geralmente é usado para VPNs para determinar se
um sistema está autorizado, mas também pode ser usado para criptografia. Por padrão, o
nome do sistema é extraído do Active Directory, embora possa ser feito um
processo manual. Você sempre pode consultar o modelo na CA emissora e ele informará
para quais finalidades foi aprovado. Na Figura 5-4, você pode ver as propriedades do
modelo para o modelo Computador.
» Domain Controller: O template Domain Controller é bom tanto para o cliente

e autenticação de servidor, bem como o uso de suporte de logon de cartão inteligente. A Compreendendo
digital
o certificados
maior diferença entre ele e o modelo Computador é que o modelo Controlador de

Domínio foi projetado para ajudar a facilitar a replicação segura entre controladores de
domínio. Eu sempre recomendo certificar-se de que seus controladores de domínio
tenham um certificado deste modelo porque permite que eles suportem Lightweight
Directory Access Protocol (LDAP) sobre SSL (LDAPS), que criptografa o tráfego de
autenticação através da rede. Por padrão, o nome do sistema é extraído do Active
Directory, embora possa ser feito um processo manual.
» Servidor Web: O modelo Servidor Web é usado para suportar HTTPS em

sites internos. Este modelo é normalmente aquele que você deseja configurar para
solicitar o nome comum e quaisquer redes de área de armazenamento (SANs) que
deseja usar para que os usuários não recebam mensagens de certificado não
confiáveis. Para certificados internos, geralmente uso o FQDN para o CN e adicionarei
o nome curto e o endereço IP como SANs.
» Autoridade de Certificação Subordinada: Este é o modelo usado por uma autoridade de

certificação raiz ou emissora para emitir certificados para autoridades de certificação
subordinadas. Isso lida um pouco mais com a hierarquia das autoridades certificadoras,
que será abordada no próximo capítulo. Simplificando, esse modelo é usado em qualquer
sistema que esteja na cadeia de emissão de certificados entre a CA raiz e o usuário
final ou o certificado do sistema. É um dos poucos modelos de certificado que não tem
uma finalidade específica adicionada à descrição do modelo. Na verdade, se
você olhar para o propósito pretendido, ele simplesmente diz: “Todos”.

FIGURA 5-4:
O modelo
Computador
fornece cliente e
servidor
autenticação.

NESTE CAPÍTULO
» Entendendo o Certificado
Autoridade (CA) Arquitetura e
Hierarquia
» Instalando uma autoridade de

certificação do Windows Server 2022
» Configurando certificado automático

inscrição no Active Directory
Serviços de certificado
Capítulo 6
Instalando e
Configurando AD CS
tificates. Se você estiver gerenciando sua própria Infraestrutura de Chave Pública
Em algum momento
(PKI) de suaprovavelmente
do Windows, carreira, vocêusará
provavelmente
os Serviçosprecisará trabalhar
de Certificados do com
Active
Directory (AD CS).
Se você não tem certeza do que é um certificado ou por que deseja um, verifique o Capítulo
5 deste minilivro. Lá, abordo o que são certificados e alguns dos modelos mais comuns
usados para emitir certificados. Como uma breve recapitulação, os certificados são usados
para provar a identidade e/ou criptografar dados. Os certificados são emitidos por servidores
em uma infraestrutura de chave pública (PKI). Como os certificados adquiridos de
autoridades de certificação terceirizadas podem ter custos proibitivos para as organizações,
muitas organizações instalam seus próprios PKIs internos para oferecer suporte a sistemas
ou aplicativos internos.
Neste capítulo, eu o informo especificamente sobre o AD CS. Explico a arquitetura da

autoridade de certificação (CA) e como instalar e configurar uma CA do Windows Server 2022.
CAPÍTULO 6 Instalação e configuração do AD CS 479

Apresentando a Autoridade Certificadora

Arquitetura
Antes de criar sua PKI, você precisa planejar como irá arquitetá-la. A PKI que você arquiteta
atenderá às necessidades de certificação de sua organização — tudo, desde permitir a
criptografia de credenciais até replicação segura, assinatura de código e muito mais. Há
decisões importantes que precisam ser tomadas, como se sua CA raiz será uma CA offline
ou uma CA corporativa e quantas CAs emissoras você precisa, bem como se você deve ter
uma CA de política separada. Não se preocupe se você não entendeu a última frase. Nas
seções a seguir, defino cada uma dessas funções de CA e por que você pode precisar delas
ou desejá-las.
Autoridades certificadoras raiz

A CA raiz é o primeiro nível de confiança para todos os certificados. Ele tem o nível mais alto
na cadeia de confiança do certificado quando se trata de validar se o certificado é bom. É a
única CA que terá um certificado autoassinado. Como tal, ele deve ser protegido
adequadamente, ou você pode ter um invasor emitindo certificados de sua autoridade de
certificação que são confiáveis para tudo em sua rede.
Uma CA raiz nunca deve ser usada para emitir certificados do dia-a-dia. A melhor prática é
ter no mínimo uma CA raiz e uma CA emissora. A CA raiz emite um certificado de CA
subordinado para a CA emissora, e deve ser isso. Tecnicamente, você pode combinar as
duas funções e fazer com que a CA raiz também seja uma CA emissora, mas essa abordagem
não é recomendada.
Se a CA raiz estiver offline, ela não poderá ser atacada. Este é o tipo mais seguro de CA raiz;
é conhecido como CA raiz offline. Com essa arquitetura, a CA raiz é colocada online para
emitir certificados com base no modelo de CA subordinada para as CAs emissoras. Depois
de emitir o certificado e atualizar as listas de certificados revogados (CRLs), ele é desativado
novamente.
Uma CRL é usada para identificar quais certificados foram revogados, o que significa que não
são mais certificados válidos.
As autoridades de certificação raiz offline são a opção mais segura e devem ser a escolha
preferida. A desvantagem das CAs raiz offline, no entanto, é que você precisa distribuir seu
certificado por meio da Política de Grupo e publicar manualmente as CRLs, o que pode ser
demorado. Para um pequeno departamento de TI, o conjunto de habilidades pode não existir
para dar suporte a esse tipo de manutenção. Se seu ambiente não tiver requisitos
regulamentares rígidos em relação à proteção de sua PKI, uma CA raiz corporativa é uma
boa solução. A CA raiz corporativa está anexada ao Active Directory,

para que possa publicar seu próprio certificado e CRLs automaticamente. Este também é o
método mais simples de implantação, porque há muito pouco trabalho manual. Se você optar por
seguir esse caminho, certifique-se de que o sistema operacional seja protegido, que o acesso
seja limitado aos usuários essenciais e que tenha um bom software anti-malware em execução.
Você precisa tomar algumas precauções extras com uma CA raiz corporativa porque ela está
online o tempo todo.
Autoridades emissoras de certificados

As CAs emissoras são os burros de carga do mundo PKI. Quando um usuário ou um sistema
solicita um certificado, essa solicitação é roteada para a CA emissora, que atenderá à solicitação
e devolverá o certificado a você. Você pode ter CAs emissoras independentes, mas a configuração
mais comum é uma CA emissora corporativa. Isso significa que há integração entre a autoridade
de certificação e o Active Directory. A CA emissora pode se comunicar com o Active Directory,
incluindo a publicação de CRLs.
Autoridades de certificação de política

A política CA é um caso de uso especial e é vista apenas tradicionalmente em empresas muito
grandes e fortemente protegidas. Se uma CA de política estiver em vigor, ela emitirá certificados
para uma CA emissora. As CAs de política são usadas para criar e aplicar as políticas e
procedimentos relativos à validação da identidade no que se refere aos detentores de certificados
e para proteger as CAs na arquitetura da CA.
Na maioria das organizações menores comuns, a CA emissora e a CA de política são a mesma Instalando
e Configurando
AD
CS
e a CA de política aplica suas próprias políticas e procedimentos que são definidos.
Instalando uma autoridade de certificação

Então, você chegou ao ponto em que descobriu como será sua arquitetura de PKI e está pronto
para desenvolvê-la. Vou assumir que seus servidores Windows Server 2022 já estão construídos
e que estão prontos para funcionar. Nas seções a seguir, abordo as etapas envolvidas.
Criando o arquivo CAPolicy.inf

Para qualquer autoridade de certificação que você criar, você deve usar um arquivo CAPolicy.inf .
Isso define muitos parâmetros básicos, incluindo a data de renovação e a duração da validade
da CRL, e pode especificar uma política se você estiver usando as políticas em Certificado
CAPÍTULO 6 Instalando e Configurando o AD CS 481

Serviços. Isso é usado apenas para controlar a renovação da CA, não a renovação de outros certificados.
Criar este arquivo é um processo simples. Há muitas configurações que podem ser feitas com o arquivo
CAPolicy.inf , então eu recomendo fazer sua pesquisa para determinar quais configurações você deseja
que sejam no arquivo. Preste muita atenção aos períodos de validade que você definir. Você não deseja
que seus certificados de autoridade de certificação tenham uma duração extremamente longa, mas uma
vida útil muito curta afetará os certificados emitidos e seus períodos de validade. Os certificados emitidos
não podem ter períodos de validade mais longos do que o CA em que foram emitidos.
[Versão]
Assinatura="$Windows NT$"
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod = Anos
RenewalValidityPeriodUnits=5
AlternateSignatureAlgorithm=0
Você pode digitar isso no Bloco de Notas e salvá-lo como CAPolicy.inf no diretório C:\Windows . O nome
e a localização são importantes. Se eles não estiverem corretos, as configurações não serão aplicadas. A
seção [Version] é a única seção obrigatória no arquivo e sempre deve estar no início.
Você pode estar se perguntando para que servem as outras configurações. Isto é o que cada um deles
está fazendo:
» RenewalKeyLength: Define o tamanho da chave quando um certificado é

renovado. Quando o certificado é criado pela primeira vez, ele usa o que a CA está definida
para usar para certificados.
» RenewalValidityPeriod: especifica para que tipo de período de tempo você deseja que
um certificado renovado seja válido. Você pode escolher entre horas, dias, semanas,
meses ou anos.
» RenewalValidityPeriodUnits: Aqui é onde você especifica o número real para o qual

deseja que o certificado seja válido. Por exemplo, no arquivo de exemplo acima,
selecionei 5 que acaba sendo um período de validade de 5 anos.
» AlternateSignatureAlgorithm: Quando definido como 0, é habilitado e

crie uma solicitação de certificado que inclua o formato de assinatura PKCS #1 (RSA).
Se você for instalar uma CA offline, é importante adicionar um Período CRL ao arquivo CAPolicy.inf . Se
você ativar a CA raiz apenas uma vez por ano, defina-a como uma vez por ano, como no exemplo a
seguir. Você precisa adicionar as duas linhas a seguir na seção [Certsrv_Server] :

CRLPeríodo=anos
CRLPeriodUnits=1
Depois de criar seu arquivo CAPolicy.inf e colocá-lo em C:\Windows, você estará

pronto para criar sua nova autoridade de certificação. Vejamos primeiro as CAs raiz.
Instalando a autoridade de certificação raiz

A instalação da CA raiz é uma das primeiras etapas que você deve executar para
estabelecer sua PKI. No Windows Server, a função Active Directory Certificate
Services (AD CS) permitirá que você faça isso. O processo de instalação entre as
CAs raiz offline e raiz corporativa é muito semelhante. Nas seções a seguir, oriento
você no processo de instalação de ambos.
Autoridade certificadora raiz offline

Vou começar sua jornada nas autoridades de certificação com a instalação de uma
CA raiz offline. Como você deve se lembrar do início deste capítulo, esta é a forma
mais segura de CA raiz, mas também requer algum trabalho manual. Siga esses passos:

Características.

Instalando
e Configurando
AD
CS
5. Na tela Selecionar funções do servidor, selecione Certificado do Active Directory

Serviços, clique em Adicionar recursos e, em seguida, clique em Avançar.
7. Na tela Active Directory Certificate Services, clique em Next.
8. Na tela Selecionar serviços de função, selecione Autoridade de certificação e deixe

tudo o mais desmarcado; em seguida, clique em Avançar.
11. Clique na bandeira na parte superior do Server Manager e clique em

Configure Active Directory Certificate Services no serviço de destino,
mostrado na Figura 6-1.

FIGURA 6-1:
Após a instalação
do AD CS, ele
precisa ser
configurado.
12. Na tela Credenciais, insira uma conta que esteja no grupo

Administradores locais no servidor e clique em Avançar.
13. Na tela Serviços de função, selecione Autoridade de certificação e clique em Avançar.
14. Na tela Setup Type, selecione Standalone CA (conforme mostrado na Figura 6-2),
15. Na tela CA Type, selecione Root CA e clique em Next.
16. Na tela Chave Privada, selecione Criar uma Nova Chave Privada e clique em
Próximo.
17. Na tela Cryptography for CA, certifique-se de que o comprimento da chave seja de no mínimo
2048 e selecione SHA256 para assinatura do certificado (consulte a Figura 6-3); em
seguida, clique em Avançar.
18. Na tela CA Name, altere o Common Name para o que quiser

Eu mudei o meu para ROOTCA.
19. Para a tela Vality Period, aceite o padrão de cinco anos e clique em
Próximo.
20. Na tela CA Database, clique em Next.

FIGURA 6-2:
Você não pode
alterar essa
seleção
posteriormente
sem reinstalar o AD CS.
Instalando
e Configurando
AD
CS
FIGURA 6-3:
A tela Criptografia para
CA permite
definir parâmetros
de segurança
importantes
para sua CA.

21. Na tela de confirmação, clique em Configurar.
Quando a configuração estiver concluída, você obterá a tela Resultados com uma mensagem de
Configuração bem-sucedida.
Em seguida, você precisa obter o certificado e a CRL da CA raiz para poder publicá-los no
Active Directory. Normalmente, você os copia para uma unidade flash porque a CA raiz não
deve estar na rede.
Os arquivos estão localizados em C:\Windows\System32\CertSrv\CertEnroll, que você pode

ver na Figura 6-4.
FIGURA
6-4: O
arquivo de
certificado raiz
recém-criado e
a CRL precisam
ser copiados da CA raiz.
Copie os arquivos para um sistema onde você possa fazer login com uma conta que seja
membro dos grupos de segurança Administradores de domínio ou Administradores
corporativos no Active Directory. Abra o PowerShell como administrador e execute estes comandos:
certutil.exe –dspublish –f "certificatename.crt" RootCA certutil –f –dspublish

"CRL_Name.crl" certutil.exe –addstore –f root
"certificatename.crt"

O primeiro comando publica o certificado no Active Directory, onde ele será replicado
para qualquer sistema ingressado no AD em aproximadamente oito horas. O segundo
comando publica a nova CRL e o terceiro comando garante que o certificado CA raiz seja
adicionado aos armazenamentos de certificados relevantes em quaisquer CAs subordinadas.
Autoridade de certificação raiz corporativa

A autoridade de certificação raiz corporativa é integrada ao domínio do Windows e
permanece ligada. Ele publica CRLs automaticamente por meio do Active Directory.
1. Siga as etapas 1 a 13 da seção anterior.
2. Na tela Setup Type, selecione Enterprise CA e clique em Next.
3. Na tela CA Type, selecione Root CA e clique em Next.
4. Na tela Chave Privada, selecione Criar uma Nova Chave Privada e clique em Avançar.
5. Na tela Criptografia para CA, certifique-se de que o tamanho da chave seja de no mínimo
2048 e selecione SHA256 para assinatura do certificado (consulte a Figura 6-3); em
seguida, clique em Avançar.
6. Na tela CA Name, altere o Common Name para o que quiser

Eu mudei o meu para ROOTCA.
7. Na tela Período de Validade, aceite o padrão de cinco anos e clique em Avançar.

Instalando
e Configurando
AD
CS
Quando a configuração estiver concluída, você obterá a tela Resultados com uma mensagem de Configuração bem-sucedida.
Depois que a configuração estiver concluída, você não terá nenhuma tarefa manual para
concluir, como fazia com a raiz offline. Os certificados e CRLs são publicados diretamente
no Active Directory.
Instalando a autoridade de certificação emissora

Quando você cria sua CA raiz, você tem uma ótima base. Agora você precisa de uma CA
emissora que realmente emita os certificados para você. As etapas a seguir são
construídas com base na suposição de que você criou uma CA raiz corporativa.
1. Siga as etapas de 1 a 13 da seção “Autoridade de certificação raiz offline”.
2. Na tela Setup Type, selecione Enterprise CA e clique em Next.

3. Na tela Tipo de AC, selecione AC Subordinada e clique em Avançar.
4. Na tela Chave Privada, selecione Criar uma Nova Chave Privada e clique em
Próximo.
5. Na tela Cryptography for CA, certifique-se de que o comprimento da chave seja de no

mínimo 2048, selecione SHA256 para assinatura de certificado (consulte a Figura
6-3) e clique em Next.
6. Na tela Nome da CA, selecione um nome comum para sua autoridade de

certificação e clique em Avançar.
Escolhi a ISSUECA.
7. Na tela Solicitação de certificado, selecione Enviar uma solicitação de certificado para um

CA pai e clique no botão Selecionar, clique na CA raiz e, em seguida, clique em OK.
Você deve ver a CA raiz corporativa criada anteriormente na lista, conforme mostrado na
Figura 6-5. Observe que, se você criou a CA raiz offline, pode selecionar o outro balão
nessa tela para gerar uma solicitação de assinatura de certificado (CSR).
FIGURA 6-5:
Selecionando a CA
raiz, assumindo
que a CA raiz é
uma CA corporativa,
para emitir o
certificado da CA emissora.
8. Na tela Solicitação de certificado, clique em Avançar.

Quando a configuração estiver concluída, você obterá a tela Resultados com uma mensagem de
Configuração bem-sucedida.
Inscrevendo-se para certificados

Agora você tem autoridades de certificação configuradas. O que você deve fazer primeiro? Eu
gosto de emitir certificados para meus controladores de domínio para que eu possa começar a
usar o LDAP sobre SSL (LDAPS). Isso criptografará o tráfego de replicação entre controladores
de domínio e consultas de diretório. Eu fiz logon no meu controlador de domínio. Aqui estão as
etapas para se inscrever em um certificado da máquina onde você deseja que o certificado esteja:
1. Clique em Iniciar, digite mmc.exe e pressione Enter.
2. Escolha Arquivoÿ Adicionar/Remover Snap-in.
3. Escolha Certificados e clique em Adicionar (conforme mostrado na Figura 6-6).
Instalando
e Configurando
AD
CS
FIGURA
6-6: O Microsoft
Management
Console (MMC)
oferece várias
opções de
configuração
para o seu sistema,
incluindo certificados.

4. Na tela Snap-in de certificados, escolha Conta de computador e clique em

Próximo.
5. Na tela Select Computer, deixe Local Computer selecionado e clique em

Terminar.
6. Clique em OK.
7. Expanda Certificados e expanda Pessoal.
8. Se houver uma subpasta de Certificados, selecione-a; se não houver,

faça a próxima etapa na pasta Pessoal.
9. Com a pasta Certificates selecionada, clique com o botão direito do mouse no espaço em
branco ao lado dela, escolha All Tasks e, em seguida, Request New Certificate (consulte a Figura 6-7).
FIGURA 6-7:
A solicitação
de um certificado
no MMC começa
quando você
seleciona o
armazenamento
de certificados e faz a solicitação.
10. Na tela Registro de certificado, clique em Avançar.
11. Na tela Select Certificate Enrollment Policy, selecione Active Directory

Enrollment Policy e clique em Next.
Você vê todos os modelos de certificado disponíveis.
12. Escolha Domain Controller, conforme mostrado na Figura 6-8, e clique em Enroll.
O servidor fará a solicitação e retornará com uma mensagem de sucesso após a emissão do certificado.

FIGURA 6-8:
Você é presenteado
com o cer
tifique os modelos
que você tem
permissão
para usar.
Isso é tudo o que você precisa fazer para se inscrever em um certificado de uma CA emissora corporativa em
um sistema ingressado em AD.
Configurando a inscrição na web Instalando

e Configurando
AD
CS
Com CAs empresariais, você pode se inscrever em certificados de qualquer máquina em que esteja. Você pode
ter alguns dispositivos que não estão conectados ao Active Directory. Esses sistemas estão apenas sem sorte?
Claro que não! A interface de inscrição na web permite que você emita certificados com uma solicitação de
assinatura de certificado (CSR) que você gerou de praticamente qualquer dispositivo.
Um CSR é gerado quando você deseja criar um certificado. Ele contém a chave pública que você deseja incluir
no certificado, bem como as informações que deseja incluir no certificado, como nome, organização e assim
por diante. O nome é referido como um nome comum e consiste no nome de domínio totalmente qualificado do
sistema (por exemplo, www.dummies.com).
Vamos retornar à CA de emissão corporativa que você instalou anteriormente e adicionar a parte de registro da
web:
1. No Gerenciador do servidor, clique em Gerenciar e, em seguida, clique em Adicionar funções e recursos.

5. Na tela Selecionar funções do servidor, expanda Certificado do Active Directory

Serviços.
6. Selecione Inscrição na Web da Autoridade de Certificação.
7. Clique em Adicionar recursos e, em seguida, clique em Avançar.
9. Na tela Função do Servidor Web (IIS), clique em Avançar.
10. Na tela Selecionar Serviços de Função, clique em Avançar.
12. Após a conclusão da instalação, clique no botão Configurar Active Directory

Serviços de certificados no link Servidor de destino.
13. Na tela Credenciais, verifique se você possui as credenciais de alguém no grupo

Enterprise Admin e clique em Avançar.
14. Marque a caixa de seleção para Inscrição na Web da Autoridade de Certificação e clique em
Próximo.
16. Na tela Resultados, clique em Fechar.
Você pode estar se perguntando para que serve todo esse trabalho. Você forneceu a seus
usuários uma página da Web onde eles podem solicitar e receber certificados por conta própria,
sem a necessidade de solicitá-los. Essa é uma maneira fantástica de permitir que seus usuários
protejam seus aplicativos internos sem precisar entrar em contato com outra pessoa para criar o
certificado para eles. Seus usuários podem acessar a interface da Web (mostrada na Figura 6-9)
em http:// servername/CertSrv/Default.asp.
Instalando o protocolo de status de certificado on-line

Historicamente, as informações de revogação de certificados eram recebidas por meio de listas
de revogação de certificados (CRLs). A CRL base pode ficar muito grande, então as CRLs delta
foram introduzidas para trabalhar com um período de tempo menor. Por padrão, a CRL base era
atualizada uma vez por semana, enquanto a CRL delta era atualizada uma vez por dia. Isso
significava que, se você revogasse um certificado, ele não permaneceria no delta por um dia. Era
necessária uma maneira melhor de obter informações de revogação mais oportunas. O Online
Certificate Status Pro tocol (OCSP) foi criado para esse fim. Ele fornece informações de
revogação quase em tempo real. Veja como instalar o OCSP:

FIGURA 6-9:
A teia
A página de
inscrição para
certificados é simples e fácil
usar.

Características.
3. Na tela Selecionar tipo de instalação, clique em Avançar. Instalando

e Configurando
AD
CS
5. Na tela Selecionar funções do servidor, expanda Serviços de certificado do

Active Directory, selecione Respondente Online, clique em Adicionar recursos
8. Após a conclusão da instalação, clique no botão Configurar Active Directory

Serviços de certificados no link Servidor de destino.
9. Na tela Credenciais, certifique-se de ter as credenciais de alguém no grupo

Enterprise Admin e clique em Avançar.
10. Marque a caixa de seleção Respondente Online e clique em Avançar.
12. Na tela Resultados, clique em Fechar.

Agora que o OCSP está instalado, você precisa habilitar seu modelo de certificado para quando for
configurá-lo. Siga esses passos:
1. No Gerenciador do Servidor, escolha Ferramentasÿ Autoridade de Certificação.
2. Expanda o nome da CA e selecione Modelos de certificado.
3. Clique com o botão direito do mouse em Modelos de certificado e escolha Novoÿ Modelo de certificado
para Emitir.
4. Role para baixo e selecione Assinatura de resposta OCSP e clique em OK.
Agora você deve ver o modelo de assinatura de resposta OCSP listado em Modelos de certificado,
FIGURA 6-10:
O OCSP
O modelo de
assinatura de
resposta é necessário
para definir as
informações de
revogação como
parte da configuração do OCSP.
Você instalou o Online Responder e ativou seu modelo de certificado.

Agora você está pronto para configurá-lo!
1. No Gerenciador do Servidor, escolha Ferramentasÿ Gerenciamento do Respondente Online.
2. Clique com o botão direito do mouse em Configuração de revogação e escolha Adicionar revogação
Configuração.
3. Na primeira tela do Assistente de configuração para adicionar revogação, clique em

Próximo.

4. Dê um nome à sua configuração e clique em Avançar.
O nome pode ser o que você quiser. Vou nomear o meu ISSUECAREV.
5. Na tela Select CA Certificate Location, deixe o padrão Select a Certificate for Existing
Enterprise CA selecionado e clique em Next.
6. Na tela Escolher certificado CA, clique no botão Procurar ao lado de
Procure certificados CA publicados no Active Directory.
7. Escolha o certificado que pertence à CA emissora e clique em OK.
9. Na tela Selecionar certificado de assinatura, selecione Selecionar automaticamente um

Certificado de assinatura e marque a caixa de seleção Inscrever-se automaticamente para um
certificado de assinatura OCSP. Em seguida, clique em Procurar.
10. Selecione sua CA emissora e clique em OK.
Ele selecionará automaticamente o modelo OCSP Response Signing, mostrado na

Figura 6-11.
Instalando
e Configurando
AD
CS
FIGURA 6-11:
Definir a
configuração
de revogação
OCSP requer
o modelo de
certificado de
assinatura de resposta OCSP.
O provedor de revogação é inicializado.

Seu respondedor OCSP agora está instalado e funcionando! Agora, quando um certificado é
apresentado, o serviço OCSP pode responder com uma resposta em tempo real que indica se o
certificado ainda é válido ou se foi revogado.
Configurando o Registro Automático de Certificado

Você pode querer que a inscrição automática ocorra em alguns certificados. Um caso de uso comum
seria para certificados de usuário se seus usuários precisarem deles para conexões de rede privada
virtual (VPN) ou para autenticação de dois fatores (2FA). Nesta seção, você configura o modelo de
certificado de usuário para registro automático.
Configurando o modelo
O primeiro passo para configurar a inscrição automática é configurá-la no próprio modelo de
certificado. Então, vamos configurar o modelo para registrar automaticamente o grupo de usuários do domínio.
1. No Gerenciador do Servidor, escolha Ferramentasÿ Autoridade de Certificação.
2. Clique duas vezes no nome da CA para expandi-lo.
3. Clique com o botão direito do mouse em Modelos de certificado e escolha Gerenciar.
4. Selecione o modelo de certificado do usuário, clique com o botão direito do mouse e escolha Duplicar
Modelo.
Sempre escolha Duplicar modelo ao modificar modelos de certificado.

Os modelos personalizados podem ser substituídos por atualizações ou upgrades se
você usar o modelo pronto para uso.
5. Na guia Compatibilidade, altere o menu suspenso Autoridade de Certificação para a versão mais baixa
da CA que você possui. Faça o mesmo para o menu suspenso Destinatário para a versão de
servidor/desktop mais baixa que você possui.
6. Selecione a guia Geral e dê um nome significativo ao modelo.
Vou ligar para o meu VPN User Cert.
7. Selecione a guia Segurança.
8. Selecione Usuários do domínio e marque Ler e registrar automaticamente.
A inscrição já estará selecionada.

9. Clique em OK.
10. Feche o console de modelos de certificado clicando no X no canto superior direito.
11. Clique com o botão direito do mouse em Modelos de certificado novamente, mas
desta vez escolha Novoÿ Modelo de certificado a ser emitido.
12. Selecione seu novo certificado de usuário VPN (ou o que você nomeou na etapa 6) e
Clique OK.
Agora a CA está configurada para emitir o novo certificado de usuário. Você está pronto para configurar a
Diretiva de Grupo para que os usuários ingressados no domínio obtenham automaticamente seus certificados
quando fizerem login.
Configurando a Política de Grupo

Você precisa mudar para um sistema que tenha as ferramentas de gerenciamento de
política de grupo instaladas. Voltei para o meu controlador de domínio. Siga esses passos:
2. Clique com o botão direito do mouse na Diretiva de domínio padrão (ou em qualquer diretiva em
que você deseja colocá-la) e escolha Editar.
3. Clique duas vezes em Configuração do usuário, Políticas, Configurações do Windows,

Configurações de segurança e Políticas de chave pública.
4. Clique duas vezes em Registro Automático de Cliente de Serviços de Certificado. Instalando

e Configurando
AD
CS
5. Altere o modelo de configuração para Ativado.
6. Marque ambas as caixas de seleção abaixo do Modelo de configuração, conforme mostrado em

Figura 6-12.
7. Clique em OK.
Seus usuários agora receberão o certificado registrado automaticamente que você

configurou na CA na próxima vez que fizerem login. certificado, ou você pode abrir o MMC
conforme discutido anteriormente e verificar o armazenamento de certificados pessoais
para garantir que o certificado esteja lá.

FIGURA 6-12: A
última parte da
configuração do
registro automático é
definir a Diretiva de
Grupo para
registrar automaticamente
certificados de usuário.

NESTE CAPÍTULO
» Entendendo como o DNSSEC pode

proteger seus serviços DNS
» Examinando o DANE e como ele

complementa o DNSSEC
» Protegendo o DNS com HTTPS
Capítulo 7
Protegendo seu DNS

A infraestrutura
torna as redes mais fáceis de trabalhar. Com o DNS, você não precisa se lembrar
Domainde
Name System
endereços IP (DNS)
— vocêépode
um requisito
apenas sedolembrar
Active de
Directory e é o que
nomes simples. Imagine,
porém, que um criminoso conseguiu fazer seus sistemas acreditarem que o servidor DNS
deles era o seu servidor DNS. Você e seus usuários podem ser redirecionados para um site
malicioso.
Neste capítulo, você aprenderá como proteger sua infraestrutura de DNS usando DNS
Security Extensions (DNSSEC) e Autenticação de Entidades Nomeadas (DANE) baseada
em DNS.
Compreendendo o DNSSEC
O DNSSEC foi projetado para impedir que invasores sequestrem o processo de pesquisa
de DNS e proteja os usuários de endereços para servidores mal-intencionados. DNSSEC
assina zonas e registros, o que permite que o endpoint que fez a consulta valide se um
registro DNS é um registro válido ou se está redirecionando para um local inválido e
potencialmente malicioso (envenenamento de cache de DNS).
CAPÍTULO 7 Protegendo sua infraestrutura de DNS 499

Ao assinar digitalmente a zona raiz em sua infraestrutura de DNS, você pode garantir aos usuários
que seus sistemas estão obtendo respostas de servidores DNS válidos.
As assinaturas digitais criam um hash – pense nisso como uma impressão digital única. Se algo
sobre um registro for alterado, o hash não corresponderá e o registro será inválido.
É importante lembrar que o DNSSEC não criptografa nenhum dado; está apenas validando a
identidade do servidor DNS que está fazendo a pesquisa de DNS.
Noções básicas de DNSSEC

Com DNSSEC, você tem duas chaves para estar ciente:
» Chave de Assinatura de Chave (KSK): A KSK é uma chave de longo prazo usada para assinar ZSKs e
validar registros DNSKEY.
» Chave de Assinatura de Zona (ZSK): A ZSK é uma chave de curto prazo usada para assinar o
registros DNS.
Para proteger uma zona com DNSSEC, uma das primeiras coisas que ocorre é o agrupamento de
tipos de registros semelhantes em um conjunto de registros de recursos (RRset). O RRset é então
assinado digitalmente, o que fornece proteção para todos os registros individuais dentro do conjunto
de registros de recursos.
A chave privada do ZSK é usada para assinar digitalmente cada RRset, e a chave pública do ZSK é
usada para verificar a assinatura. A assinatura digital de cada RRset é salva como um registro
RRSet Signature (RRSIG).
Registros usados para DNSSEC

O DNSSEC introduziu vários novos tipos de registro para trabalhar e contém os novos recursos
criptográficos que o DNSSEC adicionou. Aqui estão os tipos de registro que você precisa lembrar:
» RRSIG: Contém a assinatura digital de um RRset que foi assinado pelo ZSK, ou um registro DNSKEY que
foi assinado pelo KSK.
» DNSKEY: Os registros DNSKEY podem conter a chave pública do ZSK ou a chave pública do KSK.
» DS: O registro do Signatário de Delegação (DS) permite a transferência de confiança da zona pai para uma
zona filha, que por sua vez permite que a zona filha seja habilitada para DNSSEC. O registro DS contém
uma cópia com hash do DNSKEY da zona pai.

» NSEC: DNS tradicional retorna uma resposta vazia se não houver correspondência. O problema com isso
é que não está fornecendo uma resposta autenticada. Os registros NSEC retornam uma resposta
autenticada com o próximo registro seguro disponível. Por exemplo, digamos que você solicite
totalmentebogus.sometestorg.com.
Não há registro para totalmentebogus, então o servidor DNS pode apenas retornar o registro para
www.
» NSEC3: NSEC3 faz a mesma coisa que NSEC, mas o nome do proprietário no
registro é armazenado em um estado de hash. Ao armazenar o nome do proprietário em hash, você protege
contra a enumeração de zona, que é uma forma de reconhecimento que permite a um invasor construir a
zona DNS com base em redirecionamentos para outros registros.
» NSECPARAM/NSEC3PARAM: Os registros de recurso NSECPARAM e/ou NSEC3PARAM selecionam os
registros NSEC ou NSEC3 para incluir em uma resposta negativa.
Configurando DNSSEC
Agora você tem uma compreensão de como o DNSSEC funciona em alto nível. Vamos
realmente configurá-lo em nosso servidor Windows.
Habilitando DNSSEC
Quando você decidir que deseja usar o DNSSEC, a primeira coisa a fazer é entrar e assinar a
zona DNS. Você precisa de um sistema que tenha a ferramenta administrativa DNS Manager
instalada. Siga esses passos:
2. Expanda o servidor e as zonas de pesquisa direta e selecione o domínio no qual deseja habilitar
o DNSSEC.
3. Clique com o botão direito do mouse no domínio e escolha DNSSECÿ Assinar a zona, conforme mostrado na
Figura 7-1.
O Assistente de Extensões de Segurança DNS (DNSSEC) é exibido.
Protegendo
DNS
seu infraestrutura
A
5. Na tela Opções de assinatura, selecione Personalizar parâmetros de assinatura de zona

6. Na tela Key Master, selecione The DNS Server <yourservername> Is the Key Master e clique em Next.
7. Na tela Chave de Assinatura de Chave, clique em Avançar.

FIGURA 7-1:
você pode habilitar
DNSSEC em um
zona selecionando
Assine a Zona
localizada sob
DNSSEC no
cardápio.
8. Na segunda tela Chave de Assinatura de Chave, clique em Adicionar.
9. Aceite as configurações padrão de KSK, mostradas na Figura 7-2, e clique em OK.
11. Na tela Chave de assinatura de zona, clique em Avançar.
12. Na segunda tela Chave de assinatura de zona, clique em Adicionar.
13. Altere o campo de tamanho da chave para 2048 e clique em OK.
15. Na tela Next Secure (NSEC), escolha Use NSEC3 e clique em Next.
16. Na tela Trust Anchors, selecione a opção Enable the Distribution of Trust
Anchors for This Zone, deixe a outra caixa de seleção marcada e clique em
Next.
17. Na tela Signing and Polling Parameters, altere o algoritmo de geração de registro DS para apenas
SHA-256, conforme mostrado na Figura 7-3.
19. Na tela final, clique em Avançar.
A zona será assinada.
20. Depois de assinado, clique em Concluir.

FIGURA 7-2:
Criar o KSK é
simples — você
pode aceitar os
padrões com segurança.
FIGURA 7-3:
Considerando que
o registro DS é
responsável pela
transferência de
trust, você deseja
selecionar apenas
algoritmos seguros,
como SHA-256.
Se você quiser verificar se o DNSSEC está ativado, pode ser necessário atualizar, mas verá Protegendo
DNS
seu infraestrutura
A
todos os tipos de registro especiais que mencionei anteriormente. Meu exemplo é mostrado
na Figura 7-4.

FIGURA 7-4:
Depois que a
zona for
assinada, os tipos
de registro DNSSEC
especiais
aparecerão na zona assinada.
Configurando clientes para exigir DNSSEC

Você pode estar pensando que está tudo pronto, mas não está. Agora que sua zona DNS está
habilitada para DNSSEC, você deve informar seus sistemas para usar DNSSEC. Isso é melhor
realizado por meio da Diretiva de Grupo. Você precisa estar em um sistema que tenha as
ferramentas de gerenciamento de política de grupo instaladas. Siga esses passos:
2. Expanda seu domínio e clique com o botão direito do mouse em Política de domínio padrão.
3. Clique em Editar.
4. Navegue até Configuração do computador, Políticas e Windows

Configurações e, em seguida, Política de Resolução de Nomes.
5. Na seção Criar Regras, certifique-se de que Sufixo esteja selecionado no menu suspenso
caixa para baixo e, em seguida, preencha o nome de domínio.
6. Na guia DNSSEC, marque Ativar DNSSEC nesta regra e Exigir DNS

Os clientes devem verificar se os dados de nome e endereço foram validados pelo servidor DNS
(conforme mostrado na Figura 7-5).
7. Clique em Criar.
Isso é tudo. Com sua política de resolução de nomes em vigor, os sistemas ingressados no domínio
usarão o DNSSEC.

FIGURA 7-5:
Criando um nome
Resolução
Política de dentro
A Diretiva de Grupo
é a maneira mais
simples de garantir que
os sistemas
ingressados no domínio usarão
DNSSEC.
Entendendo o DANE
DANE é construído em DNSSEC. Embora o DNSSEC tente proteger contra envenenamento e
falsificação de cache de DNS, o DANE adiciona uma camada adicional de proteção ao permitir que o
administrador de um nome de domínio especifique qual autoridade de certificação tem permissão para
emitir certificados para o domínio de sua organização, bem como fornecer uma maneira de autenticar
certificados de cliente e servidor com uma autoridade de certificação. Isso impede que um invasor
emita um certificado de uma autoridade de certificação e tente passá-lo como seu. Requer DNSSEC
para fazer sua mágica.
O básico do DANE
A Autenticação de Entidades Nomeadas (DANE) baseada em DNS usa um tipo de registro mais
recente conhecido como registro TLSA (Transport Layer Security Authentication). O registro TLSA é Protegendo
DNS
seu infraestrutura
A
usado para associar um nome de domínio a um certificado TLS. Nem todos os provedores de
hospedagem DNS oferecem suporte ao DANE, mas se seus servidores DNS estiverem executando o
Windows Server 2016 ou mais recente, você poderá usar o DANE porque o Windows Server 2016
oferece suporte a tipos de registro desconhecidos.

O DANE permitirá que você vincule um certificado a um nome DNS específico usando DNSSEC.
Configurando o DANE
A configuração do DANE consiste em duas partes: primeiro, você deve gerar o registro TLSA e,
em seguida, instalar o registro TLSA com o PowerShell.
Gerando o registro TLSA Para gerar o registro
TLSA, você precisa de uma cópia do certificado que deseja proteger. Siga esses passos:
1. Abra um navegador e acesse o site que deseja proteger.
Estou usando meu próprio site https://www.sometestorg.com para esta

demonstração.
2. Clique no ícone de cadeado na barra de URL e clique em Exibir certificados.
Isso pode variar dependendo do navegador. Estou usando o navegador padrão, que é o
Edge.
3. Quando a tela de propriedades do certificado aparecer, clique na guia Detalhes.
4. Clique no botão Copiar para arquivo.
5. Na tela Bem-vindo ao Assistente para exportação de certificados, clique em Avançar.
6. Na tela Export File Format, selecione Base-64 coding e clique em Next.
7. Na tela Arquivo para exportação, selecione Procurar e escolha um nome e

localização do arquivo e clique em OK.
Estou salvando na minha área de trabalho por enquanto.
9. Na tela Concluindo o assistente de exportação de certificado, clique em Concluir.
10. Abra um navegador e acesse o seguinte endereço:
https://www.huque.com/bin/gen_tlsa
11. Aceite as seleções padrão nos três primeiros campos.
12. Clique no menu Iniciar, clique em Acessórios do Windows e clique em Bloco de Notas.
13. Abra o certificado que você exportou com o Bloco de Notas escolhendo Arquivo
ÿ Abrir e, em seguida, selecionando o arquivo de certificado exportado.

14. Copie o texto do arquivo que começa com:
-----INICIAR CERTIFICADO-----
e terminando com:
-----CERTIFICADO DE FIM-----
15. Volte para a página TLSA Generator e cole o texto no Enter/

Colar o certificado X.509 do formato PEM aqui.
16. Para o número da porta, coloque o que for aplicável.
No meu caso, 443 para tráfego HTTPS.
17. Insira o protocolo de transporte e o nome de domínio.
No meu exemplo, o protocolo de transporte é tcp e o nome de domínio é sometestorg.com.
Sua tela deve ser semelhante à Figura 7-6.
18. Clique em Gerar.
Você recebe uma saída semelhante à Figura 7-7. Com isso em mãos, você pode instalar o
registro TLSA no servidor.
Protegendo
DNS
seu infraestrutura
A
FIGURA 7-6:
você precisa gerar
rar o TLSA
gravar antes de
poder usá-lo.

FIGURA 7-7:
A página gerou
o registro
TLSA e agora
você pode instalá-lo.
Instalando o registro TLSA

Para instalar o registro TLSA, siga estas etapas:
1. Clique com o botão direito do mouse no menu Iniciar e selecione Windows PowerShell (Admin).
2. Digite o seguinte comando na janela do PowerShell:
Add-DnsServerResourceRecord -TLSA -CertificateAssociation

Dados "9933c1848f2f492f4715abff9e79f74025fdd219a2f77a
34d3cc9a00f36c8a0b" -CertificateUsage DomainIssued Certificate
-MatchingType Sha256Hash -Selector FullCertificate -ZoneName
sometestorg.com -name 443._tcp.www.sometestorg.com _
O registro TLSA agora está instalado. O parâmetro -CertificateAssociationData usa a

string numérica longa no final do registro gerado. Você pode verificar se o registro foi
criado com sucesso seguindo estas etapas:
2. Expanda o nome do servidor, expanda o nome do domínio e, no meu caso, expando

com, sometestorg , www e _tcp.
Você vê um registro que diz Desconhecido em Dados.

3. Clique duas vezes nesse registro Desconhecido.
Se você vir um tipo de 52, ele foi reconhecido como um registro TLSA válido. Um exemplo é
mostrado na Figura 7-8.
FIGURA 7-8:
É importante verificar
se o registro TLSA
foi criado
corretamente.
Protegendo o tráfego DNS com

DNS sobre HTTPS
Toda vez que leio sobre DNS sobre HTTPS (DoH), ouço “Doh!” na voz de Homer Simp filho. Nesse caso, no
entanto, em vez de uma expressão de frustração, o DoH é uma maneira incrível de proteger seu tráfego crítico de
DNS com um protocolo seguro comumente usado, o HTTPS. Também é muito simples de configurar.
O DNS sobre HTTPS permite que o tráfego DNS seja criptografado, o que fornece proteção e confidencialidade e
também mascara efetivamente o tráfego DNS à medida que ele trafega pela porta HTTPS 443, em vez da tradicional
porta DNS 53.
Protegendo
DNS
seu infraestrutura
A
Isso parece ótimo, não é? Você pode estar dizendo a si mesmo que isso é bom demais para ser verdade. Não
poderia haver muitos DNSs que suportam DoH, poderia? Na verdade, existem vários, e suspeito que mais serão
adicionados com o tempo. Se você quiser ver a lista atual de sistemas disponíveis, execute o seguinte comando:
Get-DNSClientDohServerAddress
Você verá uma lista de provedores conhecidos que oferecem suporte a DoH.

Habilitando DoH no Server 2022

Para habilitar o DoH no Windows Server 2022, siga estas etapas:
1. Clique no menu Iniciar e, em seguida, clique em Configurações.
2. Selecione Rede e Internet e selecione Ethernet.
3. Selecione o adaptador de rede no qual deseja ativar o DoH.
No meu caso, vou escolher meu único adaptador, que é a Rede 2.
4. Role para baixo até Configurações de DNS e clique em Editar.
5. Em Criptografia DNS, escolha uma das três opções mostradas em

Figura 7-9.
Vou escolher Preferencial criptografado, Permitido não criptografado porque este é o

meu ambiente de laboratório. Você pode optar por defini-lo como Unencrypted
Only, que é o padrão, ou Encrypted Only, que aplicará DoH.
6. Clique em Salvar.
FIGURA 7-9:
voce tem varios
opções de
criptografia para
tráfego DNS.

Usando a Política de Grupo para habilitar o DoH

Ser capaz de habilitar o DoH é ótimo, mas vamos ser sinceros: você não deseja habilitá-lo
individualmente em sistemas em toda a empresa. Não surpreendentemente, a Microsoft
oferece a capacidade de habilitar o DoH por meio da Diretiva de Grupo. Siga esses passos:
1. Abra o Gerenciador do Servidor.
2. Clique em Ferramentas e, em seguida, clique em Gerenciamento de Diretiva de Grupo.
3. Clique com o botão direito do mouse em Política de domínio padrão e escolha Editar.
4. Navegue até Computer Configuration\Policies\Administrative Templates\Network\DNS

Client e clique duas vezes em Configure DNS-over-HTTPS (DoH)
Name Resolution, conforme mostrado na Figura 7-10.
FIGURA 7-10:
O novo recurso
DoH pode ser
configurado por
meio da Diretiva de Grupo.
Protegendo
DNS
seu infraestrutura
A
5. Escolha Enabled e escolha qual opção você deseja usar para DoH.
Você tem a opção de proibir, permitir ou exigir DNS sobre HTTPS. Vou escolher
Permitir DoH por enquanto.
6. Clique em OK.
Isso é tudo! Se você acompanhou este capítulo, percorreu um longo caminho para melhorar a
segurança de sua infra-estrutura de DNS.

6 Trabalhando com
janelas
PowerShell
Resumo do conteúdo
CAPÍTULO 1: Apresentando o PowerShell
. . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
CAPÍTULO 2: Compreendendo o .NET Framework . . . . . . . . . . . . 547
CAPÍTULO 3: Trabalhando com scripts e cmdlets . . . . . . . . . . . . . . . 555
CAPÍTULO 4: Criando seus próprios scripts e avançado

Funções ............................................ 565
CAPÍTULO 5: Configuração do estado desejado do PowerShell . . . . . 581

...
NESTE CAPÍTULO
» Começando a usar o PowerShell,

componentes e conceitos
» Usando o PowerShell no dia a dia
» Usando o PowerShell para

administrar sistemas remotamente
» Obtendo ajuda no PowerShell
» Resolver problemas de segurança com

PowerShell
Capítulo 1
Apresentando o PowerShell
lugar comum, haverá uma demanda muito maior por um administrador de sistema
PowerShell é a onda
que tenha do futuro.
habilidades em ÀPowerShell.
medida queAlém
a automação do servidor se
disso, a administração torna com
remota maiso
PowerShell reduz a necessidade de interagir com a interface gráfica do usuário (GUI) e
pode permitir que você faça alterações em um ou mais sistemas de sua estação de trabalho.
Este capítulo aborda os fundamentos do PowerShell, desde a terminologia inicial até

o uso remoto do PowerShell.
Compreendendo os fundamentos do PowerShell

Antes de começar a usar uma linguagem de script, você precisa aprendê-la. Nesta seção,
apresentarei os fundamentos do PowerShell para que o restante deste capítulo faça sentido.
Objetos
No PowerShell, um objeto é uma única instância de algo, como um serviço ou um
processo. Se você executar Get-Process ou Get-Service dentro do PowerShell, cada linha
CAPÍTULO 1 Apresentando o PowerShell 515

é um objeto (supondo que você esteja usando a formatação padrão). Na Figura 1-1, há um
serviço em cada linha e cada serviço é um objeto.
FIGURA 1-1:
Cada
linha retornada no
O comando
Get-Service é
um objeto.
Oleoduto
O pipeline permite pegar a saída de um comando e enviá-la (transmitir) para o próximo
comando. Por exemplo, se estiver tentando descobrir quais métodos e propriedades estão
disponíveis para um cmdlet, você pode usar a saída do cmdlet e canalizá-la para Get-
Member. Na Figura 1-2, entrei em Get-Service sem filtros e adicionei Get-Member. Nesse
caso, como não há filtros, Get-Member pode retornar todos os métodos e propriedades
associados a Get-Service.
Você pode fazer muitas coisas depois do pipeline. Normalmente, você vê coisas como
formatação e filtros, às vezes até comandos de exportação.
516 LIVRO 6 Trabalhando com o Windows PowerShell

Apresentando
PowerShell
o
FIGURA 1-2:
Usar o pipeline
permite
enviar a saída
de um comando
para a entrada
de outro.
Provedores
Os provedores do PowerShell permitem que você acesse várias fontes de dados como se
fossem uma unidade de dados regular em seu sistema. Os provedores integrados ao
PowerShell estão listados na Tabela 1-1. Você pode visualizar uma lista dos provedores
integrados em seu sistema com o seguinte comando:
Get-PSProvider
TABELA 1-1 Provedores integrados do PowerShell

Fornecedor Exemplo de Unidade
Registro HKLM:
Pseudônimo Alias:
Ambiente Ambiente:
Sistema de arquivo C:
Função Função:
Variável Variável:

Os provedores do PowerShell permitem que você interaja com seu sistema de maneiras diferentes.
Por exemplo, o provedor FileSystem permite que você trabalhe com o sistema de arquivos em seu
servidor usando os cmdlets PSDrive. Get-PSDrive retornará uma lista de todas as unidades
disponíveis na sessão atual do PowerShell, incluindo as unidades do sistema, bem como as
unidades que podem ser usadas para trabalhar com outros provedores. Você também pode criar e
remover um PSDrive com os cmdlets New-PSDrive e Remove-PSDrive .
Variáveis
Pense em uma variável como um contêiner no qual você pode armazenar algo. Você pode criar
uma variável a qualquer momento. As variáveis não diferenciam maiúsculas de minúsculas e podem
usar espaços e caracteres especiais. Como prática recomendada, a Microsoft evita usar espaços e
caracteres especiais em nomes de variáveis. Ele recomenda usar caracteres alfanuméricos (A–Z,
0–9) e o caractere de sublinhado (_).
As variáveis são declaradas com o cifrão ($). Por exemplo, se eu quisesse criar uma variável para
armazenar meu primeiro nome, poderia digitar o seguinte:
$PrimeiroNome = "Sara"
As variáveis não diferenciam maiúsculas de minúsculas. Coloco em maiúscula a primeira letra de

cada palavra porque fica mais fácil para mim ler, mas você não precisa.
Quando você deseja exibir o valor de uma variável, tudo o que precisa fazer é digitá-lo com o cifrão
anterior. Na Figura 1-3, você pode ver que defini minha variável FirstName como meu primeiro
nome, Sara. Então eu digitei o nome da variável e ele me mostrou o valor da variável.
Sessões
As sessões são usadas para se conectar ao PowerShell em um sistema remoto. Isso pode ser feito
para executar comandos ou interagir diretamente com o PowerShell no sistema remoto.
Por exemplo, New-PSSession criará uma nova sessão do PowerShell. Isso pode ser feito em um
sistema local ou em um sistema remoto. Observe que New-PSSession cria uma conexão persistente,
enquanto Enter-PSSession se conecta a um sistema remoto, mas cria apenas uma conexão
temporária que existe enquanto o comando ou os comandos estiverem em execução.

Apresentando
PowerShell
o
FIGURA 1-3:
Usar o cifrão
informa ao
sistema que
você está
trabalhando
com uma
variável. Você
pode criar e
exibir
variáveis
adicionando o cifrão na frente do nome da variável.
Comentários
Sempre que você escrever scripts do PowerShell, você deve sempre adicionar comentários, que
ajudam outras pessoas a entender como o código funciona e o que ele está fazendo. Os comentários
também podem ajudá-lo se você precisar alterar o código ou se não o executar com muita frequência.
Os comentários começam com o símbolo de cerquilha (#). Tudo o que vem depois do símbolo de
hash nessa linha faz parte do comentário. Veja o seguinte exemplo:
#Isto é um comentário...
Write-Host "Isto não é um comentário"
Apelido
Aliases são atalhos para comandos completos. Há muitos para listar todos os aliases do PowerShell,
mas a Tabela 1-2 lista alguns dos mais comuns.
Cmdlets
Um cmdlet é um pedaço de código que consiste em um verbo e um substantivo. Verbos comuns
são Obter, Definir, Novo, Instalar e assim por diante. Com o cmdlet Get-Command, Get é o verbo
e Command é o substantivo.

TABELA 1-2 Aliases comuns do PowerShell

Pseudônimo Comando Completo
gcm Get-Command
organizar Classificar-objeto
kimono
Get-Item
cp Copiar item
em Lista de formatos
pés Tabela de formato
pwd Get-Location
cls Clear-Host
em Novo item
dormir Iniciar-Sleep
escrever Saída de gravação
onde Onde-objeto
A execução de Get-Command retorna todos os cmdlets, aliases e funções. Você pode

encontrar cmdlets, aliases e funções que procura com o cmdlet Get-Command . Veja o
seguinte:
Get-Command -Substantivo *rede*
Quando você executa esse comando, o PowerShell retorna uma lista de todos os comandos
em que o substantivo inclui rede. Os asteriscos são curingas e basicamente informam ao
PowerShell que você não se importa se há texto antes ou depois do substantivo que está
procurando. Um exemplo desse comando é mostrado na Figura 1-4.
Os parâmetros permitem refinar o que você está interessado em fazer o comando. Por
exemplo, usar o cmdlet Get-Command por padrão retornará cmdlets, aliases e funções.
Usando o parâmetro -All , você pode fazer com que o cmdlet Get-Command retorne cmdlets,
aliases, funções, filtros, scripts e aplicativos. Você pode descobrir quais parâmetros estão
disponíveis para um determinado comando verificando a documentação de ajuda do comando.
Abordei o uso da ajuda no PowerShell posteriormente neste capítulo.

Apresentando
PowerShell
o
FIGURA 1-4:
Você pode usar o
cmdlet
Get-Command
para encontrar
outros comandos,
mesmo que você não
conheça o substantivo inteiro
nome.
Usando o PowerShell
Nesta seção, mostro o uso diário típico do PowerShell e como realizar as coisas que tornarão
sua vida como administrador de sistema muito melhor.
Escrevendo comandos e scripts do PowerShell

Você pode acabar gastando uma quantidade significativa de tempo digitando one-liners no
PowerShell ou pode acabar escrevendo scripts inteiros. Várias ferramentas funcionam bem
para escrever PowerShell. Eu os abordo nas seções a seguir.
Ambiente de script integrado do PowerShell

Você sempre pode digitar diretamente no PowerShell, no entanto, se você for mais novo no
Power Shell, recomendo usar o PowerShell Integrated Scripting Environment (ISE).
Ele faz sugestões com base no que você está digitando e é muito útil se você não tiver
certeza. Como você pode ver na Figura 1-5, o PowerShell ISE está sugerindo corretamente
Obter membro com base no que comecei a digitar. Além disso, você pode procurar comandos
no painel do lado direito. O PowerShell ISE está sendo preterido; ele ainda existe no
PowerShell v5, mas será removido no PowerShell v6. No momento da redação deste artigo,
ele ainda estava incluído no Windows Server 2022.

FIGURA 1-5:
O PowerShell ISE é
uma ferramenta
muito poderosa para
escrever
scripts do
PowerShell.
Editores de texto
Para alguns administradores de sistema, a simplicidade de um simples editor de texto pode

ser realmente tentadora. O bloco de notas está disponível por padrão no sistema operacional
Windows Server. Pessoalmente, adoro o Notepad ++ porque é uma interface simples, mas
ainda fornece codificação de cores e, com a instalação de uma extensão, você pode verificar
as diferenças entre dois arquivos. O Notepad ++ é um projeto de código aberto e você
precisa baixá-lo e instalá-lo (acesse https://notepad-plus-plus.org).
Código do Visual Studio
O Visual Studio Code é um editor de código projetado para ser uma versão leve dos
produtos tradicionais e mais complexos. Ele é otimizado para desenvolvimento rápido de
código e está disponível gratuitamente para Windows, Linux e macOS. Ele apresenta muitos
dos recursos úteis aos quais você está acostumado se já usou o PowerShell ISE no passado,
mas adiciona alguns novos recursos que o tornam uma ferramenta organizacional melhor.
Ele pode concluir comandos com o IntelliSense e tem um método muito mais amigável de
navegar pelos comandos do PowerShell quando você instala a extensão do PowerShell.
Para administradores de sistema que tenham alguma familiaridade com o Visual Studio ou
que desejam integração com o GitHub ou outros repositórios de código, o Visual Studio
Code é uma ótima opção. Ele traz suporte para comandos Git prontos para uso e pode ser
personalizado com outras extensões além da extensão principal do PowerShell. Daqui para frente,

é o que a Microsoft recomenda usar para trabalhar no PowerShell, visto que o

PowerShell ISE está sendo preterido.
Você pode baixar o Visual Studio Code em https://code.visualstudio.com. Apresentando

PowerShell
o
A instalação e configuração são relativamente simples:
1. Baixe o instalador do Visual Studio Code em https://code.

visualstudio. com.
2. Navegue até a pasta Downloads e clique duas vezes no executável do VS Code

capaz de iniciar a instalação.
3. Na tela Configuração – Visual Studio Code, clique em Avançar.
4. Na tela Contrato de licença, selecione o botão de opção Aceito o contrato e clique

em Avançar.
5. Na tela Selecionar local de destino, selecione onde deseja que o

software para instalar e, em seguida, clique em Avançar.
6. Na tela Selecionar pasta do menu Iniciar, escolha uma pasta no menu Iniciar se desejar
que o aplicativo seja armazenado em algum lugar diferente do padrão e clique
em Avançar.
Você também pode optar por não criar uma pasta do menu Iniciar. Aceito os padrões.
7. Na tela Selecionar Tarefas Adicionais, marque a caixa de seleção Criar um Ícone na

Área de Trabalho, a caixa de seleção Adicionar Ação “Abrir com Código” ao Menu
de Contexto de Arquivo do Windows Explorer e a caixa de seleção Registrar
Código como um Editor para Tipos de Arquivos Suportados; deixe a caixa de
seleção Add to PATH marcada (consulte a Figura 1-6).
8. Na tela Pronto para instalar, clique em Instalar.
9. Na tela Completing the Visual Studio Code Setup Wizard, deixe

Caixa de seleção Iniciar Visual Studio Code marcada e clique em Concluir.
10. Após iniciar o VS Code, clique em Extensões no menu do lado esquerdo.
Parece uma pequena caixa sendo adicionada a três outras caixas.
11. Digite PowerShell na caixa de pesquisa e clique em Instalar na extensão do PowerShell,

Na figura, você pode ver que o PowerShell é o primeiro da lista. Certifique-se de selecionar o
desenvolvido pela Microsoft.

FIGURA 1-6:
A tela
Selecionar tarefas
adicionais permite
personalizar como
e quando você
interagirá com
o VS Code.
FIGURA 1-7:
Após a
instalação
do VS Code,
você pode
instalar a
extensão
PowerShell do Extension Marketplace.
Com a extensão do PowerShell instalada no VS Code, você pode abrir o PowerShell

Command Explorer (consulte a Figura 1-8). Isso é útil ao procurar comandos.
Para abri-lo, clique em Ajuda e em Mostrar todos os comandos. Digite PowerShell na
caixa de pesquisa e selecione PowerShell Command Explorer. Se você clicar na pergunta

marca ao lado de um cmdlet, seu navegador abre a página de ajuda online desse cmdlet.
Clicar no ícone de lápis insere o cmdlet na janela de codificação.
Apresentando
PowerShell
o
FIGURA 1-8:
As janelas
PowerShell
Command Explorer
mostram os
cmdlets do
PowerShell e
fornecem acesso
fácil aos arquivos de ajuda.
Trabalhando com objetos

Uma das coisas mais comuns que você faz no PowerShell é trabalhar com objetos. Na verdade,
seria extremamente difícil não fazê-lo! Nas seções a seguir, abordo alguns dos objetos mais
comuns que você usa no PowerShell e alguns exemplos de como trabalhar com eles.
Propriedades e métodos
Propriedades e métodos são usados junto com cmdlets para refinar o que você deseja que o
cmdlet faça. As propriedades são usadas para exibir os dados que se aplicam a um objeto,
como verificar se um objeto é somente leitura ou para verificar se existem dados relacionados a
um objeto. As propriedades são prefixadas com um traço como este:
» Get-Command -version: Retorna os números de versão de tudo

retornado pelo cmdlet Get-Command
» Get-Command -verb Get: Retorna aliases, cmdlets e funções que usam
o verbo obter

Métodos são diferentes de propriedades. Você os chama colocando um ponto (.) antes do nome
do método. Os métodos geralmente são usados para especificar algum tipo de ação que você
deseja executar em um objeto. Considere o método Replace no exemplo a seguir:
'Este é um ótimo livro Para Leigos!'.Replace('great','super')
Aqui, você está usando o método Replace para alterar a palavra great para a palavra super.
Variáveis
Como mencionei anteriormente, as variáveis são usadas para armazenar valores. Eles podem
armazenar comandos, valores e strings. Você usará variáveis extensivamente se fizer qualquer
quantidade de script porque elas tornam as coisas mais simples. Você pode chamar uma
variável em vez de digitar um comando longo, por exemplo.
Matrizes
Uma matriz é um tipo de variável. Ao criar a variável de matriz, você atribui vários valores à
mesma variável. Por exemplo:
$Alfabeto = "A,B,C,D,E,F"
Esse código cria uma variável de array chamada $alphabet, que contém as letras A, B, C, D, E
e F.
Para ler o conteúdo do array, você faz o mesmo que faria para exibir o conteúdo de uma
variável. Você chama a variável na janela do PowerShell — neste caso, $Alphabet. Você obtém
uma exibição semelhante à Figura 1-9 se usar meu exemplo.
Arrays são um tipo de variável muito útil para o trabalho de administração do sistema. Por
exemplo, quando você deseja armazenar uma lista de nomes de usuário ou nomes de
computador que você exportou do Active Directory para poder executar comandos em cada um
deles, uma matriz é um ajuste perfeito. Ainda não cobri loops, mas você pode executar um
comando em cada entrada em uma matriz com um loop, em vez de executar um comando em
um sistema individual.
Trabalhando com o pipeline

Um pipeline é essencialmente um grupo de comandos conectados a um canal para formar um
pipeline. O primeiro comando envia sua saída para a entrada do segundo comando e o segundo
comando envia sua saída para a entrada do terceiro comando.

Apresentando
PowerShell
o
FIGURA 1-9:
Criar uma variável
de array e
exibir uma
variável de array
são muito
semelhantes ao que
você usou
anteriormente para trabalhar com variáveis.
O pipeline pode ser muito útil para passar comandos e/ou dados para outro comando para
que você possa agir sobre ele. Digamos, por exemplo, que a calculadora esteja funcionando
e você odeie aquela calculadora irritante. Você pode executar o seguinte comando para finalizá-lo.
Get-Processo win32calc | Parar-Processo
Claro que você poderia ter acertado o X vermelho para fechar a calculadora, mas que graça
teria? No mundo real, você usaria esse comando para interromper um processo que não está
respondendo. Você pode usar uma versão semelhante com Start-Process ou outros cmdlets
úteis e executá-los em um ou mais servidores para simplificar as tarefas de administração
remota.
A variável $_ representa quaisquer objetos que estejam no pipeline naquele momento. Se

você precisar filtrar duas ou mais propriedades, isso representa um método abreviado muito
bom para fazer isso. Considere o seguinte exemplo:
Get-Processo | Onde {$_.CPU -gt 10}

Get-Processo | Onde {$_.CPU -gt 10 -AND $_.Handles -gt 700}
Nesse caso, o $_ está passando a saída do cmdlet Get-Process e permite que você acesse
as propriedades do comando Get-Process para executar os operadores de comparação.
Você pode ver a saída real desses dois comandos na Figura 1-10.

FIGURA 1-10:
Usando um
pipeline com $_
para passar a
saída do
primeiro cmdlet,
o que permite
usar as
propriedades
do cmdlet para
filtrar usando
os operadores de comparação.
Então, quando você deve usar o pipeline? Acredito que você deva usar o pipeline sempre
que precisar que a saída de um comando seja passada para o próximo comando.
Isso pode resultar em alguns pipelines muito longos, mas usar o pipeline é mais simples do
que dividir cada cmdlet por conta própria.
Trabalhando com módulos

O PowerShell é muito poderoso pronto para uso, mas você encontrará cenários em que ele
não conseguirá realizar o que deseja. Por exemplo, o PowerShell pronto para uso não sabe
como trabalhar com objetos do Active Directory. Para dizer a ele como interagir com o Active
Directory, importe o módulo ActiveDirectory. Em sua forma mais simples, um módulo é
apenas um pacote que contém cmdlets, provedores, variáveis e funções.
Navegando nos módulos disponíveis

Módulos são bem legais, né? Sua próxima pergunta pode ser: Como descubro quais módulos
estão disponíveis para mim? Estou feliz que você perguntou. O comando é simples:
Get-Module -ListAvailable

Se você executar o comando sozinho, obterá uma lista dos módulos que estão
disponíveis atualmente em sua sessão. Ao adicionar o parâmetro -ListAvailable , você
pode obter uma lista de módulos instalados em seu computador e disponíveis para uso.
Esse comando levará algum tempo para retornar resultados, mas quando retornar, você Apresentando
PowerShell
o
terá uma boa lista de todos os módulos do PowerShell disponíveis em seu sistema.
Incluí um exemplo da saída na Figura 1-11. Observe que sua saída pode parecer
diferente porque você terá módulos adicionais listados com base nas funções e recursos
instalados em seu sistema.
FIGURA 1-11:
A visualização
dos módulos
disponíveis no
PowerShell dá uma
ideia de quão
poderoso ele
pode ser e de
quantas ferramentas
você tem à sua disposição.
Navegando nas propriedades de um módulo

Get-Member é o método mais simples para descobrir quais propriedades estão disponíveis
para você com módulos. A linha de código a seguir fornecerá uma impressão de todas
as propriedades associadas a Get-Module. A última parte do comando reduz os resultados
apenas para a coluna de nome porque você não está interessado nas outras colunas para
essa finalidade.
Módulo Get | Propriedade Get-Member -MemberType | Nome da tabela de formato

Trabalhando com operadores de comparação

Os operadores de comparação são muito úteis quando você precisa ver se dois objetos combinam
ou não. Por exemplo, você pode usar um operador de comparação para encontrar todos os serviços
em seu sistema que estão desabilitados. Nesta seção, abordo os operadores de comparação
mais comuns.
-eq e -ne
Igual a (-eq) e diferente de (-ne) são usados quando você precisa encontrar uma correspondência
exata para algo ou quando deseja garantir que seus resultados não correspondam. A resposta que
você recebe é uma resposta verdadeiro/falso. Considere o seguinte exemplo de código:
$num = 2
$outros = 3 $num
-eq $outros
Quando a última linha for executada, ela retornará um falso porque 2 não é igual a 3. Vamos
executar diferente de (-ne) agora, que retorna um verdadeiro:
$num -ne $othernum
Você pode ver esses pequenos fragmentos na Figura 1-12 com suas saídas.
FIGURA 1-12:
Se você está
tentando
determinar se
um objeto
corresponde a
outro, um
simples igual
a (-eq) pode ser sua melhor aposta.

-gt e -lt
Maior que (-gt) e menor que (-lt) também são operadores de comparação que retornam uma resposta
verdadeiro/falso. Você pode brincar com uma versão realmente simples disso, definindo uma variável
com um valor e, em seguida, testando-a. Por exemplo:
Apresentando
PowerShell
o
$x=4
$ x -gt 8
O código anterior verificará se o valor de x (neste caso, 4) é maior que 8. Não é, então a resposta
será falsa.
-e e -ou
-and e -or também retornam respostas verdadeiro/falso com base nas condições fornecidas. -e, por
exemplo, retorna um verdadeiro se ambas as declarações que ele alimenta forem verdadeiras. -or
retorna verdadeiro se uma das declarações fornecidas for verdadeira.
Por exemplo, a seguinte afirmação será verdadeira se $a for menor que $b e $b for menor que 50:
($a -lt $b) -e ($b -lt 50)
Esta equação é semelhante, mas será verdadeira se $a for menor que $b ou se $b for menor que 50:
($a -lt $b) -ou ($b -lt 50)
Obtendo informações do PowerShell

É muito divertido escrever equações e fazer com que o PowerShell coloque a resposta na tela, mas
a verdade é que você geralmente vai querer que o PowerShell gere as informações em um formato
diferente. Um caso de uso comum é exportar informações sobre sistemas do Active Directory para
um CSV, para que você possa filtrar as propriedades de cada sistema, como a versão do sistema
operacional e se os service packs estão instalados. Ou você pode querer que ele escreva o resultado
na tela, mas com algum tipo de texto para dar o contexto da informação. Nas seções a seguir,
examino algumas das maneiras de fazer com que o PowerShell gere texto.
Host de gravação
Write-Host é usado para escrever coisas na tela. Este comando é muito útil quando você deseja dar
algum contexto ao resultado de algo.

Por exemplo, você pode definir o valor de uma variável, neste caso, $x para 2:
$x=2
Então você pode usar Write-Host para imprimir uma frase e a saída da variável:
Write-Host "O valor de x é:" $x
Isso acabará imprimindo: “O valor de x é: 2”.
Saída de gravação
Write-Output imprime o valor de uma variável em uma tela, assim como simplesmente digitar
a variável. O principal motivo para usar esse comando específico é que você pode dizer a
ele para não enumerar dados. Se você estiver trabalhando com arrays, isso pode ser útil
porque o array será passado pelo pipeline como um único objeto em vez de vários objetos.
Um exemplo da documentação da Web da Microsoft para o PowerShell mostra isso

perfeitamente. Em ambos os casos, você cria uma matriz com três valores dentro dela. Se
você medir a matriz, obterá uma contagem retornada de 3, o que faz sentido. Quando você
adiciona -NoEnumerate, obtém uma contagem de 1. Os três valores ainda estão lá, mas a
matriz está sendo tratada simplesmente como um objeto em vez de uma coleção de três,
mostrada na Figura 1.13.
FIGURA 1-13:
Adicionando -Não
Enumerar conta
PowerShell para
tratar arrays
de forma diferente
do normal.

Out-File
Out-File é outro método para exportar dados do PowerShell para um arquivo fora do PowerShell.
Isso é especialmente útil quando você precisa compilar os dados de um script, por exemplo, para
análise posterior.
Apresentando
PowerShell
o
Para obter uma lista de processos em execução em um sistema para que você possa despejá-los
em um arquivo, você pode fazer algo assim:
Get-Processo | Out-File -filepath C:\PSTemp\processes.txt
Lógica de script
Os loops podem tornar um script do PowerShell ainda mais poderoso. Por exemplo, digamos que
você queira executar um comando em uma lista exportada de computadores do Active Directory.
Você pode usar um loop para enumerar o arquivo CSV importado e executar o comando em cada
entrada individual.
Se
A instrução If testa uma condição para ver se ela é verdadeira. Se for verdadeiro, executará o código
do bloco. Se não for verdadeiro, verificará a próxima condição ou executará as instruções do bloco
final. Aqui está um exemplo bobo:
$servidor = 'Windows'
If ($servidor -eq 'Linux') {
Write-Host 'Este é um servidor Linux.'
}
ElseIf ($server -eq 'Solaris') { Write-Host
'Este é um sistema Solaris.' }
ElseIf ($server -eq 'Windows') { Write-Host

'Este é um sistema Windows.' }
Else
{ Write-Host "Não sei que tipo de sistema é esse." }
Nesse caso, como $server foi inicializado como Windows, os dois primeiros blocos serão ignorados,
mas o terceiro bloco será executado. O último bloco é ignorado porque não foi alcançado.
ParaCada-objeto
O uso de ForEach-Object permite enumerar vários objetos que foram passados pelo pipeline ou
mesmo importados de arrays e arquivos CSV, apenas para

cite alguns. Digamos que você queira reunir os nomes de todos os processos em execução
em seu sistema, mas não deseja nenhuma das outras informações que o acompanham.
Você poderia usar ForEach-Object para fazer isso:
Get-Processo | ForEach-Object {$_.ProcessName}
Enquanto
Os loops while são conhecidos como loops de pré-teste porque o código não é executado se
a condição definida para o loop não for verdadeira. Basicamente, o código será executado
até que a expressão que está avaliando se torne falsa. Isso pode ser muito útil quando você
precisa incrementar ou decrementar um contador. Observe o seguinte exemplo:
$meuint = 1
FAZER
{
"Número do loop inicial $ myint" $ myint
$ myint+
+
"Agora meu número inteiro é $ myint"
} Enquanto ($myint -le 5)
Você pode estar pensando: “Ok, vai contar de 1 a 5.” Mas isso não é bem verdade.
No quinto loop, o loop While vê que 5 é menor ou igual a 5, permitindo que ele continue.
Somente quando for apresentado com 6 ele interromperá a execução porque 6 não é menor
ou igual a 5. Portanto, ele contará de 1 a 6. Experimente!
Outros truques legais

Há algumas outras coisas legais que você pode fazer com o PowerShell, e eu seria negligente
em minhas obrigações como autor se não as adicionasse a este capítulo. Leia sobre
mais.
Exportando e importando arquivos CSV
A exportação de um CSV é muito útil quando você tem uma saída que contém várias
colunas. Este é o meu comando principal quando estou fazendo uma exportação do Active
Directory porque mantém tudo limpo e organizado.
Veja como exportar os processos em um sistema, semelhante ao que você fez com Out
Arquivo para obter um arquivo de texto:
Get-Processo | Export-Csv -Path C:\PSTemp\processes.csv

A importação de um CSV pode ser a resposta às orações de um administrador de sistema

quando você precisa trabalhar com muitos dados e não deseja digitá-los manualmente.
Expandindo o exemplo anterior, onde você exportou uma lista de processos, você pode importar
a mesma lista e formatá-la bem. A formatação é discutida em “Formatando sua saída” mais Apresentando
PowerShell
o
adiante neste capítulo.
$Procs = Import-Csv -Path c:\PSTemp\processes.csv
Você só precisa especificar -Path se quiser salvar a saída ou importar a saída de algum lugar
diferente do diretório em que você está atualmente.
Exportando HTML/XML
Este não é exatamente uma exportação verdadeira. Na verdade, você está convertendo a saída
de um comando em HTML e, em seguida, usando Out-File para gravá-lo nesse arquivo.
Considere o seguinte exemplo:
Get-Processo | ConvertTo-Html | Out-File c:\PSTemp\processes.html
Você pode ver este exemplo na Figura 1.14, onde usei o comando Invoke-Item para realmente
abrir meu arquivo HTML criado que contém a saída do comando Get Process .
FIGURA 1-14:
o convertido
O cmdlet To-Html
pode ser usado
para
converter a
saída de um
comando anterior
para um formato
HTML, que pode
ser gravado em
arquivo com Out-File.

Ordenando por objetos

Dizer ao PowerShell como você deseja que ele classifique os objetos pode ser muito útil. Por
exemplo, você pode querer classificar o uso de memória para poder ver quais processos
estão usando mais recursos. O cmdlet Sort-Object classificará os processos na ordem do
menos intensivo de CPU para o mais intensivo de CPU:
Get-Processo | Sort-Object -Property CPU
Filtrando por objetos

Exemplos como classificação podem ser muito úteis, mas é altamente improvável que você
queira examinar todos os resultados da CPU. Você provavelmente só quer saber quais são
os processos que consomem mais recursos. O cmdlet Select-Object retornará os últimos
cinco resultados dessa listagem de CPU, que é uma lista muito mais gerenciável e útil se
você estiver solucionando problemas.
Get-Processo | Sort-Object -Property CPU | Selecionar-objeto -últimos 5
Formatando sua saída

Você provavelmente notou ao jogar no PowerShell que às vezes a saída não é tão legível
quanto poderia ser. Então, vamos ver algumas das maneiras de formatar a saída para ficar
um pouco mais bonita.
Execute o cmdlet Get-Process para obter uma linha de base para aparência. A Figura 1-15
dá uma ideia da aparência da saída do cmdlet.
LISTA DE FORMATOS
Format-List pega a saída do cmdlet ou qualquer código que esteja antes dele e transforma
a saída em uma lista. A saída de Get-Process | Format-List se parecerá com a Figura 1-16.
FORMAT-TABLE
Format-Table pode pegar dados em um formato de lista e convertê-los em uma tabela. Com
o cmdlet Get-Process que estou usando neste capítulo, ele não alteraria a saída porque Get-
Process já está gerando uma tabela. Você pode adicionar o parâmetro -AutoSize para que
os tamanhos das colunas na tabela sejam ajustados automaticamente.

Apresentando
PowerShell
o
FIGURA 1-15:
A saída de
Get-Process
é normalmente em
formato de tabela.
FIGURA 1-16:
Get-Process
formatado em
uma lista em
vez do formato
de tabela usual.

EM TODO O FORMATO
Format-Wide exibirá dados em formato de tabela, mas mostrará apenas uma

propriedade dos dados que são apresentados. Você pode especificar quantas
colunas e pode especificar qual propriedade deseja exibir. O exemplo na Figura 1.17
é a saída de Get-Process dividida em três colunas. Não especifiquei um nome de
propriedade, mas você pode ver que está usando o nome do processo como propriedade.
FIGURA 1-17:
Você pode usar
Formato amplo para
formatar bem e
apresentar dados
em formatos de tabela.
Executando o PowerShell remotamente

Executar o PowerShell localmente pode ser ótimo para automatizar o trabalho e simplificar
o trabalho administrativo. Mas a verdadeira força do PowerShell vem do fato de que você
também pode executá-lo remotamente em outros sistemas da sua rede.
Chamar-Comando
Invoke-Command pode ser usado local ou remotamente. Como o foco desta seção
está no uso remoto do cmdlet, é aí que vou me concentrar. Diga que eu queria correr

meu Get-Process favorito em um sistema chamado Server3. A coisa toda ficaria

mais ou menos assim:
Invoke-Command -ComputerName Server3 -Credential domain\username Apresentando

PowerShell
o
-ScriptBlock {Get-Process}
Nova-PSSession
A execução de New-PSSession permite estabelecer uma conexão duradoura e
persistente com um sistema remoto em sua rede. Se você deseja executar o
comando por meio de sua PSSession, use o cmdlet Invoke-Command (consulte a
seção anterior). Para abrir a nova conexão, digite o seguinte:
New-PSSession -ComputerName Server3
Enter-PSSession
Enter-PSSession permite abrir uma sessão interativa em um computador remoto.
O prompt muda para indicar que você está conectado ao sistema remoto. Na Figura
1-18, você pode ver o prompt alterado, bem como os comandos que executei no
servidor remoto.
FIGURA
1-18:
Interagir com
um servidor
remoto é intuitivo
após conectar-
se a ele com Enter PSSession.

Isso é extremamente útil se você estiver executando sistemas headless como o Server Core em
seu ambiente. Para sair da sessão interativa, você pode digitar Exit-PSSession ou simplesmente
digitar exit.
Obtendo ajuda no PowerShell

Você pode fazer tantas coisas com o PowerShell que seria impossível memorizar todas elas.
É aqui que a ajuda integrada é muito útil. As páginas de ajuda fornecem uma descrição do que
um comando pode fazer, junto com exemplos e parâmetros adicionais que você pode usar com
o comando.
Atualizar-Ajuda
Uma das primeiras coisas que gosto de fazer com um novo sistema é executar o comando
Update-Help . Esse cmdlet baixa os artigos de ajuda disponíveis no momento em que você
emite o comando. Pode demorar um pouco, então execute-o quando não precisar usá-lo
imediatamente. Na Figura 1-19, você pode ver como é o processo de atualização. Cada módulo
exibe seu progresso. Este processo requer uma conexão com a Internet.
FIGURA 1-19:
Atualizando as
páginas de ajuda
para seus módulos
do PowerShell.

As versões mais recentes dos artigos de ajuda estarão nas páginas de referência do
PowerShell da Microsoft (https://docs.microsoft.com/en-us/powershell/ scripting), não por
download em seu sistema.
Apresentando
PowerShell
o
Obter ajuda
O cmdlet Get-Help é como o canivete suíço dos cmdlets. Se você não sabe o que está
procurando, pode ser muito útil. Aqui estão algumas opções:
» Get-Help Get-Process: A execução deste comando retornará informações

sobre o comando Get-Process . Isso é mais útil se você precisar aprender mais
sobre um cmdlet ou se precisar aprender mais sobre como interagir com um
cmdlet.
» Processo Get-Help: Este comando é bom quando você não sabe o nome exato
do cmdlet que está procurando. Ele procurará tópicos de ajuda que
contenham o processo de palavras e os exibirá para você posteriormente.
-Detalhado e -Completo
Os artigos de ajuda têm diferentes níveis de detalhes nos quais podem entrar. Normalmente,
o artigo de ajuda mostrará a sintaxe básica para dar uma ideia de como usar o cmdlet. Para
ver mais níveis de detalhe, você pode usar o seguinte:
» -Detailed: o parâmetro -Detailed exibirá descrições de parâmetros e exemplos de

como usá-los com o cmdlet.
» -Full: O parâmetro -Full realmente lhe dará todas as informações disponíveis

sobre um cmdlet, incluindo descrições de parâmetros, exemplos de como usar o
cmdlet, tipo de objetos de entrada/saída e quaisquer notas adicionais que estão no
arquivo de ajuda.
Por exemplo, você pode digitar Get-Help Get-Process -Full para obter todos os detalhes
disponíveis nos arquivos de ajuda do cmdlet Get-Process .
Identificando problemas de segurança com o PowerShell

Dado o poder do PowerShell, você precisa ser capaz de protegê-lo adequadamente. Há várias
coisas que você pode fazer para garantir que apenas scripts do PowerShell adequados e
autorizados possam ser executados em sua rede.

Política de Execução
A Política de Execução permite definir que tipo de scripts podem ser executados em sua rede. Você pode
definir a Política de Execução por meio da Política de Grupo ou do seguinte cmdlet do PowerShell:
Set-ExecutionPolicy -ExecutionPolicy <policy>
Existem vários tipos de política que podem ser colocados no lugar de <policy> no exemplo anterior:
» Restrito: Esta é a política padrão se nenhuma outra política for especificada. Ele impede a execução de
scripts do PowerShell e não carrega arquivos de configuração.
» AllSigned: Para que um script ou arquivo de configuração seja executado, ele deve ser assinado
por um certificado confiável. Eu abordo como fazer isso na próxima seção.
» RemoteSigned: Isso requer que qualquer script baixado do

Internet seja assinado por um certificado confiável. Os scripts criados localmente não precisam ser
assinados para serem executados.
» Irrestrito: Isso permite que você execute todos os scripts e carregue todos os arquivos de
configuração. Você é solicitado a fornecer permissão antes que um script seja executado. Eu
não recomendo usar esta configuração.
» Bypass: É muito semelhante ao Irrestrito, exceto que nem mesmo solicita permissão para executar
um script. Aconselho você a nunca usar essa configuração.
» Indefinido: remove qualquer Política de Execução definida no momento, a menos que essa Política
de Execução esteja sendo definida por meio da Política de Grupo.
Assinatura de código
Para usar uma Política de Execução mais segura, um script do PowerShell precisa ser assinado. Ao assinar
um script do PowerShell, você confirma que ele veio de uma fonte confiável e que não foi alterado desde
que foi lançado. Se estiver usando RemoteSigned, você só precisa se preocupar com assinaturas em
scripts baixados da Internet. No entanto, se o seu pessoal de segurança enlouqueceu e está definido como
AllSigned, você precisa assinar seus scripts do PowerShell antes de executá-los. Nas seções a seguir,
mostro as etapas envolvidas para fazer isso.
Criando um certificado de assinatura de código

Para poder assinar um script do PowerShell, você precisa de um certificado de assinatura de código (CSC).
Se você estiver publicando certificados para uso na Internet, poderá comprar CSCs de algumas das
grandes autoridades públicas de certificação, como GoDaddy e DigiCert.

Se você estiver criando certificados para uso interno, poderá criar um CSC usando sua
autoridade de certificação interna. Esse é o fluxo de trabalho que você pode percorrer aqui:
1. Clique em Iniciar, digite CertMgr.msc e pressione Enter. Apresentando

PowerShell
o
2. Clique com o botão direito do mouse em Pessoal, selecione Todas as tarefas e Solicitar novo certificado.
4. Na tela Select Certificate Enrollment Policy, escolha Active Directory Enrollment Policy
e clique em Next.
5. Selecione o modelo CSC e clique em Registrar.
Na tela Resultados da instalação do certificado, você deve ver Bem-sucedido.
Importando o certificado para o Trusted

Loja de certificados de editores
Se você for executar apenas scripts em seu sistema local, poderá exportar manualmente o
certificado de seu armazenamento pessoal e adicioná-lo ao armazenamento de certificados de
editores confiáveis. Em uma situação empresarial, você desejará usar a Diretiva de grupo para
enviar seu certificado para o Armazenamento de certificados de editores confiáveis em qualquer
sistema a partir do qual executará o script. Siga estas etapas para adicionar seu certificado de
assinatura de código ao armazenamento de certificados de editores confiáveis:
1. Clique em Iniciar, digite CertMgr.msc e pressione Enter.
2. Selecione Pessoal, clique com o botão direito do mouse em seu CSC e escolha Todas as tarefas ÿExportar.
3. Em Bem-vindo ao Assistente para exportação de certificados, clique em Avançar.
4. Na tela Export Private Key, deixe a seleção em No e clique

Próximo.
5. Deixe o formato do arquivo no padrão .DER e clique em Avançar.
6. Na tela Exportar arquivo, clique em Procurar.
7. Selecione um local, nomeie seu certificado e clique em Avançar.
Vou nomear meu Demo CSC e salvá-lo em minha área de trabalho.
8. Em Concluindo o Assistente para Exportação de Certificados, clique em Concluir.
Você recebe um pop-up que diz "A exportação foi bem-sucedida".
9. Clique em OK.
10. Navegue até onde você salvou o certificado e clique duas vezes nele.

11. Clique no botão Instalar certificado.
12. Na tela Welcome to the Certificate Import Wizard, selecione Local

Machine e clique em Avançar.
13. Na tela Armazenamento de certificados, selecione Colocar todos os certificados no
Seguindo Loja e clique em Procurar.
14. Escolha Editores confiáveis e clique em OK; em seguida, clique em Avançar.
15. Na tela Concluindo o assistente de importação de certificado, clique em Concluir.
Você receberá um pop-up que diz "A importação foi bem-sucedida".
16. Clique em OK.
Assinando seu roteiro

Depois de criar o certificado e importá-lo para o Armazenamento de certificados de editores
confiáveis, você pode assinar seu certificado e seu sistema confiará nele. Então, vamos
assinar o script Do While simples que criei anteriormente.
Set-AuthenticodeSignature c:\DoWhile.ps1 @(Get-ChildItem cert: \CurrentUser\My

-codesign)[0]
Isso assina o script com o certificado que está na minha Loja Pessoal. Depois que o script for
assinado, posso executá-lo. Não sou solicitado e ele é executado sem problemas. Se você
observar a Figura 1.20, poderá ver como o script se parece com a assinatura adicionada a
ele.
No exemplo da Figura 1.21, mostro tudo do início ao fim. Eu defino a Política de Execução
para AllSigned. Em seguida, tento executar um script não assinado. Você pode ver que
recebo uma mensagem de erro feia dizendo que o script não está assinado digitalmente. Eu
executo o cmdlet do PowerShell para assinar meu script e, em seguida, executo o script
novamente e ele é executado com êxito. Muito legal, certo?
Requisitos de firewall para comunicação

remota do PowerShell
A comunicação remota do PowerShell depende do serviço Windows Remote Management
(WinRM). O WinRM cria dois ouvintes, um para HTTP e outro para HTTPS. Para permitir que
os comandos remotos do PowerShell funcionem, você precisa ter as portas 5985 e 5986
abertas. A porta 5985 oferece suporte a HTTP e a porta 5986 oferece suporte a HTTPS.

Apresentando
PowerShell
o
FIGURA 1-20:
A assinatura de um
script permite
que ele seja
executado
mesmo em um ambiente
restritivo que
exija que todos
os scripts do
PowerShell sejam assinados.
FIGURA 1-21:
Uma demonstração do
que você vê ao
executar um script
não assinado,
assinar o script e,
finalmente, executar o
script assinado.

Em um sistema individual, executar o cmdlet Enable-PSRemoting faz todo o trabalho

necessário para permitir que o PowerShell remoto funcione, incluindo habilitar as regras
de firewall locais necessárias. Este cmdlet precisa ser emitido de uma janela elevada
(use Executar como administrador) do PowerShell.

NESTE CAPÍTULO
» Conhecendo as versões do .NET

Framework
» Prestando atenção nas novidades

do .NET 4.8
» Visualização do conteúdo do Global

Cache de Montagem
» Examinando o .NET Standard e

o .NET Core
Capítulo
2 Compreendendo o .NET
Framework
e, mais importante, por que ele vem junto com o PowerShell. Usando .NET, não
Muitas pessoas
você só sepode
perguntam por que
fazer coisas noprecisam entender
PowerShell o .NET
que não Framework
conseguiria fazer
nativamente, mas também pode criar funções e módulos com o código .NET que
pode ser reutilizado.
Neste capítulo, explico os fundamentos do .NET e como interagir com ele. Eu

não abordo a programação .NET — esse é o material de um outro livro inteiro.
Apresentando as várias versões

do .NET Framework
Antes de entrar nas versões do .NET, quero ter certeza de que você entende o que
realmente é a estrutura do .NET. Uma estrutura permite que um programador chame
o código em vez de ter que escrever o código toda vez que o programador quiser o código.
CAPÍTULO 2 Compreendendo o .NET Framework 547

funcionalidade. A estrutura .NET oferece aos desenvolvedores o código de que precisam para
escrever aplicativos .NET sem ter que desenvolver cada pedacinho de código de forma personalizada.
O .NET é integrado ao PowerShell, portanto, você pode chamar os mesmos trechos de código .NET
que os desenvolvedores podem fazer no PowerShell, no console ou em um script. Por exemplo, a
Figura 2-1 mostra um pedaço de código .NET chamado do PowerShell que exibe processos no
sistema. Este pedaço de código .NET é realmente usado para o cmdlet Get-Process do PowerShell.
FIGURA 2-1:
A rede
Estrutura
expande a
funcionalidade
do PowerShell
muito com código
que pode ser chamado
no console ou
por meio de roteiro.
Cada nova versão do .NET Framework adiciona novas funcionalidades e corrige problemas antigos.
O .NET Framework segue uma cadência semelhante à da maioria dos produtos, pois possui versões
principais e secundárias. As versões principais tendem a se concentrar fortemente em novos recursos,
enquanto as versões secundárias adicionam recursos e corrigem problemas encontrados nas
versões anteriores.
No momento da redação deste artigo, a versão 4.8 é a versão principal atual e a versão secundária
atual. A versão 4.8 é a instalada por padrão no Windows Server 2022. É muito comum ter várias
versões do .NET Framework instaladas no mesmo sistema; geralmente não há problema com a
coexistência deles.
A versão do .NET em que você está atualmente está armazenada no Registro do Windows. Para
localizar o número da versão, você pode usar o seguinte comando:

(Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\NET Framework Setup\

NDP\v4\Full' -Name Lançamento).Liberar
Este comando retorna um número. A Tabela 2-1 lista o número mínimo para cada versão principal.
Quando executo este comando em meu sistema, por exemplo, obtenho 528449. De acordo com a
Tabela 2-1, isso significa que tenho a versão 4.8, que está correta porque o valor mínimo para 4.8
é 528040.
TABELA 2-1 Versões .NET com valores de lançamento
Versão Valor Mínimo
.NET Framework 4.5 378389
.NET Framework 4.5.1 378675

Compreendendo
Estrutura
o .NET
Fonte: https://docs.microsoft.com/en-us/dotnet/framework/
migration-guide/how-to-determine which-versions-are-
installed#ps_a
Na maioria das vezes, você tem uma versão do .NET instalada e é isso. Às vezes, porém, você
pode ter um aplicativo herdado que precisa de uma versão mais antiga do .NET e um aplicativo
mais novo que requer uma versão mais recente do .NET. O melhor do .NET é que você pode
executar mais de uma versão lado a lado. Por exemplo, seu aplicativo herdado pode precisar
do .NET 3.5, mas seu aplicativo mais recente precisa do .NET 4.5. Você pode instalar ambas as
versões do .NET em seu sistema, e cada aplicativo poderá ser executado com a versão do .NET de
que necessita.
O .NET está disponível no sistema operacional do servidor como um recurso. Para instalar o .NET,
siga estas etapas:
1. No Gerenciador do servidor, escolha Gerenciar ÿ Adicionar funções e recursos.

3. Na tela Selecionar tipo de instalação, escolha Baseado em função ou Recurso

Instalação baseada e, em seguida, clique em Avançar.
5. Na tela Selecionar funções do servidor, clique em Avançar.
6. Na tela Selecionar recursos, selecione Recursos do .NET Framework 3.5 (que instala
o .NET Framework 2.0, 3.0 e 3.5) ou .NET Framework 4.8 e clique em Avançar.
7. Na tela Confirmar instalação, clique em Instalar.
Focando nos novos recursos do .NET 4.8

A versão 4.8 do .NET introduziu novos recursos em algumas áreas importantes:
» Classes Base: Melhorias na criptografia foram feitas ao usar o modo FIPS. Anteriormente, você
receberia um erro se usasse uma das versões gerenciadas de uma classe de provedor
criptográfico que não tivesse sido certificada para FIPS 140-2.
O Zlib, que é usado para compactação, também foi atualizado para incluir algumas correções de
problemas.
» Windows Communication Foundation (WCF): um endpoint de integridade pode ser

ativado para permitir o acesso às informações de saúde do serviço via WCF. Isso é conhecido como
ServiceHealthBehavior e pode ser habilitado por meio de código ou de um arquivo de configuração.
» Windows Presentation Foundation (WPF): WPF é uma estrutura baseada em interface do usuário
que auxilia na criação de aplicativos de desktop. Nesta versão atualizada do WPF, foi adicionado
suporte para configurações de pontos altos por polegada (DPI). Isso permite que os aplicativos que
precisam de alto DPI sejam dimensionados adequadamente para que sejam nítidos e claros para
o usuário final.
» Common Language Runtime: Foram feitas atualizações no compilador Just-In-Time (JIT). Agora é
baseado na versão .NET Core 2.1 do compilador JIT.
Se você está se perguntando por que eles estão usando algo tão antigo, bem, eles não estão. O .NET
tem sido historicamente específico para o Windows, e o .NET Core é uma estrutura de software
de código aberto que permite criar aplicativos .NET no Windows, Linux e macOS.
Algumas melhorias também foram feitas em como a memória é gerenciada com o Native Image
Generator (NGEN) e recursos de verificação de malware, que garantem que todos os conjuntos
sejam verificados, não apenas aqueles carregados do disco.

Visualizando o Cache de Montagem Global

Antes de mergulhar no Global Assembly Cache (GAC), você pode estar se perguntando o que
é. O GAC é responsável por armazenar assemblies que são compartilhados por vários
aplicativos em um computador. O assembly, em sua definição mais básica, é algum tipo de
executável. Ele contém todo o código que será executado e serve como limite para o aplicativo.
Muitos assemblies são instalados quando o .NET é instalado em seu sistema.
As versões 4 e superiores do .NET Framework armazenam seus assemblies em %windir%

\Micro soft.NET\assembly. O %windir% é um espaço reservado para o diretório do Windows,
que normalmente está localizado em C:\Windows.
A visualização dos assemblies no GAC é feita por meio de uma ferramenta chamada
gacutil.exe. Esta ferramenta faz parte do Prompt de Comando do Desenvolvedor para Visual Compreendendo
Estrutura
o .NET
Studio, então você precisa instalar o Visual Studio em seu sistema se quiser jogar com o
GAC em seu sistema. O Visual Studio IDE Community é a versão gratuita e inclui o Prompt
de comando do desenvolvedor. A Figura 2-2 dá uma ideia de como o GAC se parece quando
você visualiza as montagens. Eu digitei o seguinte comando:
gacutil.exe -l
Este comando lista todos os assemblies dentro do GAC.
FIGURA 2-2:
Você pode
exibir o conteúdo
do GAC com
o prompt de
comando
do desenvolvedor.

Noções básicas sobre segurança de montagem

Como o GAC reside na pasta Windows , ele herda as permissões da pasta Windows . Em muitos casos,
convém restringir as permissões nos diretórios GAC para que apenas os administradores possam excluir
os assemblies. Se alguém excluir um assembly do qual o sistema ou um aplicativo depende para
funcionar corretamente, esse aplicativo não funcionará mais.
Identificando os dois tipos de

privacidade de montagem
Dois tipos de assemblies compõem a presença do .NET em seu sistema:
» Privado: os assemblies privados são implantados com um aplicativo e só podem ser usados
por esse aplicativo. Pense neles como as crianças no parquinho que não compartilham.
» Compartilhado: os assemblies compartilhados estão disponíveis para serem usados por

vários aplicativos em seu sistema. Eles são armazenados na pasta WinSXS e são
instalados por meio dos pacotes Windows Update e Windows Installer.
Visualizando as propriedades da montagem

Em versões mais antigas do sistema operacional Windows Server, basta clicar com o botão direito do
mouse em um assembly para obter todas as propriedades do arquivo. Essa função foi removida várias
versões do sistema operacional atrás. Agora, se você precisar obter informações sobre o arquivo de
montagem, sua melhor aposta será usar o PowerShell. Digamos que eu queira ver as informações da
versão do access.dll que está em uso. Este é o comando que eu precisaria executar:
[Reflection.AssemblyName]::GetAssemblyName('C:\Windows\
Microsoft.NET\Framework\v4.0.30319\accessibility.dll').Versão
Depois de executar esse comando, sou apresentado aos números principais, secundários, de
compilação e de revisão, conforme mostrado na Figura 2-3.

FIGURA 2-3:
Você precisa
Compreendendo
Estrutura
o .NET
usar o PowerShell
para visualizar
as
propriedades do assembly em
janelas
Servidor 2022.
Compreendendo o .NET
Standard e o .NET Core
O .NET Framework tem sido um elemento básico por muitos anos, mas estruturas mais recentes
estão ganhando popularidade.
.NET Core
O .NET Core é um dos mais novos membros da família .NET Framework. É de código aberto e pode
ser executado no Windows, Linux e macOS. Com o .NET Core, você pode criar aplicativos
multiplataforma. Se seu aplicativo for desenvolvido com .NET Core, somente os aplicativos .NET
Core serão compatíveis — você não poderá dar suporte ao Xamarin ou ao .NET Framework clássico.
O .NET Core é uma implementação das especificações definidas no .NET Standard.

Você pode se perguntar por que usaria o .NET Core se ele não for compatível com os outros
tempos de execução. Existem alguns bons motivos:
» Você pode desenvolver .NET Core no Windows, Linux ou macOS.
» Se você estiver codificando para um aplicativo móvel, o .NET Core é otimizado para dispositivos móveis
trabalhar.
Padrão .NET
O .NET Standard é um conjunto de APIs que todos os frameworks .NET devem suportar. Isso
inclui .NET Core, Xamarin e o clássico .NET Framework. É importante observar que o .NET
Standard é uma especificação, não uma estrutura. Ele é usado para criar bibliotecas que podem
ser usadas em todas as suas implementações .NET, incluindo o .NET Framework tradicional,
o .NET Core mais recente e o Xamarin.
Juntando tudo: .NET e PowerShell

O PowerShell Core 6.0 usa o .NET Core mais recente como seu tempo de execução. Isso
significa que agora você pode executar o PowerShell no Windows, Linux e macOS. O PowerShell
Core também permite que você aproveite todas as incríveis APIs do .NET Core em seus
comandos e scripts, o que realmente amplia a utilidade e os recursos de seus scripts.
Você pode começar a trabalhar com o PowerShell Core sem afetar sua instalação atual do
PowerShell porque o PowerShell e o PowerShell Core podem ser executados lado a lado. O
PowerShell Core está disponível para download no repositório do PowerShell no GitHub em
https://github.com/PowerShell/PowerShell/releases.

NESTE CAPÍTULO
» Examinando scripts e cmdlets

comuns
» Executando scripts ou cmdlets do

PowerShell
» Trabalhando remotamente com PowerShell
» Realização de tarefas administrativas com

scripts do PowerShell
Capítulo 3
Trabalhando com
scripts e cmdlets
Nocom
Capítulo
isso.1,No
explico o que2,éfalo
Capítulo o PowerShell
um poucoesobre
dou informações
.NET e suabásicas sobre
interação como trabalhar
com
PowerShell. Este capítulo trata de colocar essas informações e suas habilidades
em uso, começando a criar os scripts que você usará diariamente como administrador
de sistema.
Apresentando scripts e cmdlets comuns

Escrever linhas únicas do PowerShell é bastante comum quando você tem tarefas
administrativas que está tentando executar, mas a maior parte do PowerShell
realmente útil e poderoso vem da capacidade de colocar vários cmdlets em um script.
O site da Microsoft tem um ótimo material de referência para o PowerShell. O que

considero mais benéfico é o link de referência do site principal do PowerShell (https://
docs.microsoft.com/en-us/powershell/scripting/). Ao clicar no link Referência, você
obtém todas as páginas de Ajuda que pode solicitar no console do PowerShell, mas
em uma interface gráfica agradável. Você pode encontrar ajuda de sintaxe
CAPÍTULO 3 Trabalhando com scripts e cmdlets 555

e exemplos de como usar os cmdlets. A seleção padrão é a versão estável mais recente
do PowerShell. No momento da redação deste artigo, essa é a versão 7.1. No entanto,
o Windows Server vem com uma versão mais antiga. Você pode atualizar para a nova
versão ou clicar na caixa suspensa Versão e escolher a versão mais antiga.
Cada cmdlet é agrupado por tipo e listado para você examinar ou selecionar.
A Figura 3-1 mostra um exemplo da aparência da página Connect-PSSession.
FIGURA 3-1:
A página
Referência
do site da
Microsoft contém
centenas
de cmdlets
com
descrições,
sintaxe e exemplos.
Se você deseja obter mais exemplos para trabalhar, a Galeria do PowerShell tem
milhares de scripts de exemplo que você pode baixar e começar a usar. O que adoro na
Galeria do PowerShell é que você pode pesquisar o que deseja baixar. Por exemplo,
baixei módulos do PowerShell escritos para firewalls de nível empresarial. Os
fornecedores publicaram apenas uma API; a comunidade se reuniu e escreveu um
módulo do PowerShell que me permite usar a sintaxe familiar do PowerShell em vez de
aprender a API do fornecedor.

Executando Scripts ou Cmdlets

Na maioria das vezes, executar um script do PowerShell não é muito diferente de usar um
prompt de comando. Você pode clicar com o botão direito do mouse e escolher Executar com
o PowerShell ou pode chamá-lo no console do PowerShell. Não se esqueça da política de
execução discutida nos capítulos anteriores. Se sua política de execução não estiver definida
para permitir a execução do script desejado, o PowerShell apresentará um erro ao tentar
executar o script.
Ao chamá-lo do console, você pode fornecer a localização para o script:
C:\PSTemp\dowhile.ps1
Ou você pode usar o .\ para indicar que já está no diretório correto:
.\dowhile.ps1
Trabalhando com objetos COM

Você trabalhará mais comumente com a estrutura .NET ao escrever scripts no PowerShell, mas
também pode trabalhar com objetos COM. Os comandos são muito semelhantes, mas há
diferenças de sintaxe em como você identifica os objetos COM. Este exemplo cria um objeto
COM que representa o Internet Explorer e define a propriedade visível como $True para que
você possa ver a janela do Internet Explorer. Ele define a URL para o site www.dummies.com .
Trabalhando
cmdlets
scripts
com
e
$IE = New-Object -COMObject InternetExplorer.Application

-Propriedade @{Navigate2="www.dummies.com"; Visível = $True}
Se você está se perguntando com quais propriedades você tem que trabalhar, você pode
encontrá-las como faria com um cmdlet normal. O exemplo anterior, por exemplo, poderia ser
digitado da seguinte forma, para saber as propriedades que estão disponíveis:
$IE = Novo-Objeto -COMObject InternetExplorer.Application $IE | Get-Member
A Figura 3-2 mostra um exemplo de como seria a exibição de Get-Member .

Você pode ver que Navigate2 aparece como um dos métodos e, se rolar para baixo, encontrará
Visível na parte inferior da lista de propriedades.

FIGURA 3-2:
Verificando as
propriedades de
objetos COM
é semelhante
a verificar as
propriedades
dos cmdlets, usando
Get-Member.
Combinando vários cmdlets

Usar um cmdlet por vez não é um uso eficiente do seu tempo e, convenhamos, todo
administrador de sistema deseja economizar algum tempo.
Você aprendeu sobre o pipeline e sobre variáveis. Todas essas coisas permitirão que você
seja um ninja do PowerShell, uma ideia de cada vez.
Por exemplo, você poderia escrever esta linha de código desta maneira:
$cmd = Get-Command
$cmd | Get-Member
Ou você pode simplesmente combinar os dois desde o início assim:
Get-Command | Obter membro
Combinar vários cmdlets em vez de executá-los um de cada vez e armazenar seus valores
em variáveis funciona muito melhor e com muito mais eficiência. No Capítulo 4 deste minilivro,
mostro como levar isso para o próximo nível e economizar

seus comandos em um arquivo que você pode gravar a qualquer momento. Os scripts do PowerShell são
absolutamente maravilhosos. Eles economizam muito tempo e, se projetados corretamente, você pode
usá-los por anos para automatizar processos e trabalhos em lote.
Trabalhando em outro local

Você pode precisar trabalhar com dados remotamente de tempos em tempos, sem a necessidade de
fazer login no sistema remoto para fazer isso. Existem vários métodos para realizar esta tarefa. Você
também pode obter informações por meio do console remoto.
Para listar os itens em um compartilhamento, semelhante à execução dos comandos dir ou ls :
Get-ChildItem \\servername\sharename
Para verificar a integridade de seus compartilhamentos de arquivos:
Get-FileShare -FileServer (Get-StorageFileServer -FriendlyName "nome do servidor")
Trabalhar com Server Message Block (SMB), que é um protocolo de compartilhamento de arquivos para
uso em uma rede, também é simples. Vejamos alguns comandos que permitirão trabalhar com
compartilhamentos SMB em servidores de arquivos Windows. Eles são executados localmente, portanto,
Trabalhando
cmdlets
scripts
com
e
você precisará criar uma sessão com o sistema no qual deseja executá-lo.
Get-SmbShare retorna uma lista de todos os compartilhamentos SMB no sistema local. Isso pode ser útil
quando você precisa ir além e listar as propriedades de um compartilhamento.
Por exemplo, digamos que eu queira ver as propriedades de um compartilhamento chamado MyData. Eu
posso digitar algo como o seguinte:
Get-SmbShare -Nome "Meus Dados" | Format-List -Property *
Como você pode ver na Figura 3-3, você pode obter algumas informações valiosas sobre seu
compartilhamento com esse simples comando. Você pode descobrir o caminho físico, se os dados estão
criptografados, se as cópias de sombra estão ativadas e assim por diante.

FIGURA 3-3:
Get-SmbShare
é um cmdlet muito
poderoso que
oferece a
capacidade de
coletar uma
grande quantidade de informações.
Executando tarefas administrativas

simples com scripts do PowerShell
Nesta seção, mostro algumas coisas legais que você pode fazer com scripts do PowerShell
que podem ajudá-lo agora.
Lembre-se de que, para alguns desses scripts, pode ser necessário instalar um módulo
para que funcione corretamente. Se você executar os scripts do Active Directory em seu
controlador de domínio, não precisará adicionar o módulo AD. Se você estiver executando
a partir de um sistema sem Active Directory (como seu desktop, por exemplo), você
precisa importar o módulo Active Directory com o comando Import-Module ActiveDirectory.
Se você tiver o Remote Server Administration Tools (RSAT) instalado em sua área de
trabalho, os módulos poderão ser carregados automaticamente quando necessário.
Adicionando usuários no Active Directory

Adicionar usuários no Active Directory é uma tarefa bastante comum. Você pode fazer
isso a partir da interface gráfica do usuário (GUI), mas esse método pode ser muito mais
rápido. Este exemplo cria um usuário chamado George Smith, adiciona-o à UO Sales,
solicita a senha (que é armazenada com segurança), habilita a conta e garante que o
usuário precisará alterar sua senha depois de fazer login.

New-ADUser -Nome " George Smith" -GivenName "George" -Sobrenome

"Smith" -SamAccountName "gsmith" -UserPrincipalName "gsmith@ sometestorg.com"
-Path "OU=Sales,DC=sometestorg,DC=com"
-AccountPassword(Read-Host -AsSecureString "Insira a senha")
-Enabled $true -ChangePasswordAtLogon $true
Como você pode ver na Figura 3-4, a conta de usuário é criada e colocada na OU que
eu especifiquei. A conta está habilitada e estará pronta para o usuário em seu primeiro
dia.
FIGURA 3-4:
A criação de um
usuário no
PowerShell é
rápida e o usuário
Trabalhando
cmdlets
scripts
com
e
aparece
quase
instantaneamente,
conforme mostrado
na janela Usuários e computadores do Active Directory.
Criando um arquivo CSV e preenchendo-

o com dados do Active Directory
Extrair dados do Active Directory é uma habilidade importante para um administrador
de sistema. O código a seguir consulta o Active Directory para sistemas operacionais
de servidor. Você também pode definir seu filtro para retornar versões específicas do
sistema operacional do servidor. Observe na Figura 3-5 que as informações da tela
aparecem no CSV. Ainda não há service packs, então o campo
OperatingSystemServicePack está vazio.

Get-ADComputer -Filter "OperatingSystem -like '*Server*'"

-Properties OperatingSystem, OperatingSystem ServicePack | Selecione
Nome,Op* | Exportar-CSV c:\PSTemp\ServerOSList.csv
FIGURA 3-5:
Executar sua
consulta e ter as
informações na tela
pode ser bom, mas é
ainda melhor
quando está em um
arquivo com o
qual você pode
trabalhar posteriormente.
Verificando se um patch está instalado

Nunca falha - quando uma grande vulnerabilidade é lançada e um patch é anunciado, seu
chefe quase sempre pergunta: “O patch está instalado?” Se você trabalha para uma
organização maior, pode ter adquirido uma ferramenta que pode gerenciar isso para você.
No entanto, se você trabalha para uma organização menor ou se deseja verificar a precisão
de suas ferramentas, o PowerShell oferece uma maneira simples de verificar se um patch
está instalado. Você pode usar isso com Invoke-Command, o que é ótimo se você quiser
verificá-lo em uma lista de todos os seus sistemas, por exemplo.
Get-Hotfix -Id "KBXXXXXX" -ComputerName <servername>
Substitua os Xs pelos números na base de conhecimento (KB) real e <servername> pelo

nome do host do servidor remoto. Se estiver executando este comando localmente, você
pode omitir o parâmetro -ComputerName completamente.

Verificando processos ou serviços em execução

Por último, mas não menos importante, estão os cmdlets administrativos para verificar a
execução de processos e serviços.
Get-Process retornará todos os processos ativos por padrão. Você pode executá-lo sozinho e
receber uma saída formatada em tabela com os processos ativos.
Get-Service é um pouco diferente, pois é totalmente normal ter serviços que não funcionam
durante o dia. Se você quiser ver apenas os processos em execução, digite um comando
semelhante ao seguinte:
Obter-Serviço | Where-Object {$_.Status -eq "Executando"}
O $_.Status é uma propriedade de Get-Service. Usar o Where-Object na frente dele filtrará sua
saída para que você veja apenas os serviços em execução.
O que você faz se quiser verificar os serviços em vários sistemas? Você seleciona vários nomes
de sistema como este:
Get-Service -Name "WinRM" -ComputerName Server2022-DC,

"Servidor2022-dc2", "Servidor2022-dc3" | Formato-Tabela -Propriedade
MachineName, Status, Nome, DisplayName -auto
Este comando verificará o WinRM especificamente nos três servidores que incluí após o
parâmetro -ComputerName . Trabalhando
cmdlets
scripts
com
e

NESTE CAPÍTULO
» Entendendo e Criando
scripts do PowerShell
» Definir uma política de execução para o seu

script do PowerShell
» Assinando um script do PowerShell com um

Certificado de Assinatura de Código
» Criando uma função avançada do

PowerShell com VS Code
Capítulo 4
Criando o seu próprio

Scripts e Avançado
Funções
ing é tão satisfatório quanto escrever seus próprios scripts e cmdlets. Esse sentimento
Toneladas de scriptsrealmente
de realização já foram não
criados
podeeser
prontos paraquando
superado download, mas
o script emnada
que você está
trabalhando é colocado em uso.
Com a popularidade da infraestrutura como código (IaC), a capacidade de escrever scripts

personalizados ajuda a torná-lo um funcionário mais comercializável, não apenas do ponto de vista
da administração do sistema, mas também do ponto de vista do DevOps. O IaC permite que você
crie um script para a implantação de um servidor para que possa responder à necessidade de
escalar muito mais rapidamente do que se tivesse que construir manualmente um servidor.
Neste capítulo, mostro como criar seus próprios componentes personalizados do

PowerShell. Você descobrirá como criar novas extensões de shell e seus próprios
scripts do PowerShell e descobrirá como criar seus próprios cmdlets.
CAPÍTULO 4 Criando seus próprios scripts e funções avançadas 565

Criando um script do PowerShell

Você tem essa tarefa monótona que precisa fazer todos os dias. Esta tarefa normalmente leva
uma hora para ser concluída. Você quer recuperar sua hora. O que você faz? Você cria um script
do PowerShell, é claro!
O PowerShell é provavelmente uma das minhas linguagens de script favoritas. A principal razão
é que quando você tem uma compreensão da sintaxe e como procurar as propriedades de vários
cmdlets, você está realmente limitado apenas pela sua imaginação.
Antes de passar a trabalhar com scripts e funções, vamos tirar algumas definições do caminho:
» Script: Um script é uma série de comandos que são executados em ordem, dependendo
se você tem operações condicionais ocorrendo em seu script. Os scripts geralmente
contêm cmdlets, loops e outros elementos que, quando executados juntos, realizam
alguma tarefa. Os scripts são o método mais fácil de automatizar o trabalho repetitivo.
» Função avançada: Uma função avançada permite criar e fazer

as mesmas coisas que você pode fazer com cmdlets, mas sem ter que aprender
linguagens .NET Framework como C# e sem ter que compilar seu código.
Você precisa seguir as regras de nomenclatura para os comandos do PowerShell
ao criar uma função — ela deve consistir na mesma sintaxe de verbo/substantivo que
os cmdlets usuais do PowerShell.
Criando um script simples

Ao criar seu primeiro script, comece com um pequeno objetivo em mente e desenvolva-o a partir
daí. Se você tentar fazer algo realmente grande e detalhado, poderá ter problemas e ficar
frustrado. Veja exemplos na Internet para ver como outras pessoas resolveram os mesmos
problemas e experimente.
Os scripts do PowerShell são sempre salvos com um tipo de arquivo PS1. Isso informa ao seu
sistema que o arquivo é um arquivo de script do PowerShell e sugerirá o PowerShell ou seu
editor de texto favorito para editá-lo ou abrirá o PowerShell para executá-lo.
Se você precisar de amostras ou quiser fazer o download de trechos de código para criá-lo do
zero, recomendo fortemente a PowerShell Gallery ( www.powershellgallery.com). Ele é mantido
pela Microsoft e possui módulos, scripts e até alguns exemplos de PowerShell DSC, sobre o
qual falo em

Capítulo 5 deste minilivro. A Figura 4-1 mostra a página inicial da PowerShell

Gallery. No momento da redação deste artigo, você pode ver que existem 4.260
scripts e módulos exclusivos disponíveis na PowerShell Gallery. O que eu realmente
gosto é que você pode ver quantos downloads de cada recurso foram feitos e
quaisquer perguntas ou comentários que foram feitos aos autores dos scripts ou módulos.
FIGURA 4-1:
PowerShell
Galeria é
uma excelente
recurso para
baixar ou ver
exemplos de vários
scripts ou
módulos.
Antes de entrar em um exemplo de script, quero acrescentar que você sempre deve
usar comentários ao escrever um script. Você pode denotar um comentário no
Power Shell iniciando a linha com um hash (#). Tudo depois do hash nessa linha é
ignorado e tratado como um comentário. Os comentários são úteis porque podem
formar um esboço do que você está tentando realizar. Eles podem servir como
documentação para você mais tarde e podem ajudar seus colegas de trabalho a
usar o roteiro ou ajudá-lo a escrevê-lo. avançadas
próprios
funções
Criando
scripts
seus
e
No Capítulo 3 deste minilivro, mostro um exemplo de como criar um novo usuário no

Active Directory usando o PowerShell em vez de usar o gráfico Active Directory
Users and Computers. O poder real desse pequeno código torna-se aparente quando
ele é colocado em um script que pode pegar um arquivo CSV (talvez do RH) e
importá-lo para o PowerShell e, em seguida, fazer o PowerShell percorrer cada linha
e criar cada usuário.

Nas seções a seguir, passo por esse script passo a passo. Então eu mostro a coisa
toda junto. Nunca tema! O script está no repositório do GitHub criado para este livro,
e você pode baixá-lo de lá, em vez de digitá-lo novamente. O repositório GitHub criado
para este livro está localizado em https://github.com/sara-perrott/Server2022PowerShell.
Criando o arquivo CSV

O arquivo CSV é a parte mais importante de todo este exercício porque fornece a
entrada para o script. Os nomes das colunas são atribuídos na primeira parte do script
a variáveis para que possam ser chamadas quando você chegar ao loop que
processa cada linha no CSV. A Figura 4-2 mostra uma amostra de como deve ser a
aparência do CSV. Após a conclusão do CSV, você pode prosseguir para o script.
FIGURA 4-2:
Usar arquivos CSV
para importar
conjuntos de dados
para scripts é uma
maneira simples de lidar
com várias entradas.
Como um profissional de segurança ativo, devo apontar que armazenar senhas em

arquivos CSV de texto simples não é uma boa coisa a se fazer. Sugiro definir senhas
temporárias complexas e destruir o CSV quando estiver completo. Você pode, é claro,
enviar as credenciais ao supervisor do novo funcionário por qualquer meio aprovado
em sua organização antes de destruí-lo. Porém, não deixe planilhas com senhas por
aí. Eles são um tesouro para os hackers.

Criando o roteiro
Este script importa usuários do arquivo CSV que você criou anteriormente e cria uma conta do
Active Directory para cada um deles.
Supondo que você não esteja trabalhando em um controlador de domínio, você precisa importar
o módulo do Active Directory para poder trabalhar com os cmdlets do AD. Esse processo
costumava ser manual, mas agora é importado automaticamente quando necessário.
Presumindo que você tenha as Ferramentas de Administração de Servidor Remoto (RSAT)
instaladas, o módulo para o Active Directory será carregado quando você usar um cmdlet que o exija.
A seguinte linha do PowerShell importará o arquivo CSV quando executado e armazenará o

conteúdo na variável $ImportADUsers .
$ImportADUsers = Import-Csv C:\PSTemp\UserImport.csv
A próxima linha inicia um loop foreach . Este loop irá linha por linha através do arquivo CSV.
Cada linha é armazenada na variável $User . Cada um dos nomes de coluna é chamado pela
seção $User.columnname e o valor é armazenado em cada uma das variáveis que correspondem
ao mesmo nome. (Observe a chave entre o foreach e o bloco variável.)
foreach ($User em $ImportADUsers) {
$FName = $User.FName
$LName = $User.LName
$Username = $User.username
$Email = $Usuário.Email
$Telefone = $Usuário.Telefone
$Dept = $User.Dept
$Password = $User.password $Title
= $User.Title
$OU = $Usuário.OU
Em seguida, você deseja verificar se o nome de usuário que está criando já existe no Active
Directory. A maneira mais simples de fazer isso é com uma instrução If...Else .
Então, aqui está a parte If , que verifica se a conta do usuário já existe e, se existir, imprime o avançadas
próprios
funções
Criando
scripts
seus
e
erro na tela:
if (Get-ADUser -Filter {SamAccountName -eq $Username}) {
Write-Warning "Esta conta de usuário já existe no Active

Diretório: $Username"}

Então você usa a parte Else para dizer que, se a conta ainda não foi encontrada,
vamos criá-la. Portanto, o cmdlet New-ADUser é chamado com os vários parâmetros
que foram capturados no arquivo CSV.
outro
{
`
Novo ADUser
-SamAccountName $Username `
-UserPrincipalName "$Username@sometestorg.com" ` -Name
"$FName $LName" `
-GivenName $FName `
-Surname $LName `
-Enabled $True `
-DisplayName "$LName, $FName" ` -Path
$OU `
-OfficePhone $Phone `
-EmailAddress $Email ` -Title
$Title ` -Department
$Dept ` -AccountPassword
(convertto-securestring $Password
-AsPlainText -Force) -ChangePasswordAtLogon $True
}
Essas são as partes separadas, então vamos ver o script em sua totalidade.
Observação: removi os comentários do exemplo para tornar a versão impressa mais
legível. A versão no GitHub tem todos os comentários:
Import-Module ActiveDirectory
$ImportADUsers = Import-Csv C:\PSTemp\UserImport.csv foreach ($User
in $ImportADUsers) { $FName = $User.FName
$LName = $User.LName
$Username =
$User.username $Email =
$User.Email $Phone =
$User.Phone $Dept =
$User.Dept $Password
= $User.password $Title = $User.Title
$OU = $User.OU
if (Get-ADUser -Filter {SamAccountName -eq $Username})

{
Write-Warning "Esta conta de usuário já existe no Active
Diretório: $Nome de usuário" }
outro
{
`
Novo ADUser
-SamAccountName $Username `
-UserPrincipalName "$Username@sometestorg.com" ` -Name
"$FName $LName" ` -GivenName
$FName ` -Surname
$LName ` -Enabled
$True ` -DisplayName
"$LName, $FName" ` -Path $OU `
-OfficePhone
$Phone ` -EmailAddress
$Email ` -Title $Title `
-Department $Dept
` -AccountPassword
(convertto-securestring $Password
-AsPlainText -Force) -ChangePasswordAtLogon $True }
Executando o script
Na primeira vez que você executar o script, é altamente recomendável executá-lo no Visual
Studio Code. O Visual Studio Code é útil para solucionar problemas com scripts porque
você pode depurar e executar uma linha de código por vez. Além disso, destaca os
problemas para você, o que pode torná-los mais fáceis de encontrar. Os culpados de
sempre são aquelas malditas chaves nos loops.
Para abrir e executar no PowerShell ISE, siga estas etapas:
1. Clique em Iniciar, role para baixo até Visual Studio Code, expanda a pasta e clique em
Visual Studio Code.
avançadas
próprios
funções
Criando
scripts
seus
e
2. Escolha Arquivo ÿ Abrir arquivo.
3. Navegue até seu script.
4. Selecione o script e clique em Abrir.
5. Para executar o script, escolha Terminal ÿ Executar arquivo ativo.

Quando tiver certeza de que seu script está funcionando, há dois métodos para executá-lo:
» Clique com o botão direito do mouse no script e selecione Executar com PowerShell. Não
gosto desse método porque a janela do PowerShell aparece, mas fecha imediatamente quando
você termina, então você não pode ver se encontrou algum erro.
» Abra uma janela do PowerShell e execute-a especificando o diretório

(Exemplo 1) ou executá-lo no mesmo diretório (Exemplo 2):
• Exemplo 1: C:\PSTemp\UserImport.ps1
• Exemplo 2: .\UserImport.ps1
Definindo uma política de script

Definir uma política de execução de script permite definir que tipo de scripts podem ser executados em sua
rede. Você pode definir a política de execução por meio da política de grupo em toda a organização ou por
meio do seguinte cmdlet do PowerShell.
A política de execução é definida como Restrita por padrão.
Set-ExecutionPolicy -ExecutionPolicy <policy>
Aqui estão os tipos de política que podem ser usados para definir a política de execução:
» Restrito: Impede a execução de scripts do PowerShell e não carrega arquivos de configuração.
» AllSigned: Para que um script seja executado, ele deve ser assinado por um certificado confiável.
» RemoteSigned: Requer que qualquer script baixado da Internet seja assinado por um certificado confiável.
Os scripts criados localmente não precisam ser assinados para serem executados.
» Irrestrito: Permite executar todos os scripts. Você é solicitado a fornecer permissão antes que um
script seja executado.
» Bypass: Semelhante ao Irrestrito, mas não solicita permissão para executar.
» Indefinido: remove qualquer política de execução definida no momento, a menos que

a política de execução está sendo definida por meio da Política de Grupo.

Assinando um script do PowerShell

Dependendo de como sua política de execução está definida, você pode executar scripts que criou
sem nenhum problema. No entanto, se você estiver em um ambiente mais seguro, pode ser
necessário assinar seu script para que ele seja confiável e tenha permissão para ser executado.
Confira o Capítulo 1 deste minilivro para saber mais sobre assinatura de código. Lá, oriento você
nas etapas de solicitação de um certificado de assinatura de código e na assinatura de um script
do Power Shell.
Criando um PowerShell Avançado

Função
Para a maioria dos administradores de sistema, a ideia de criar suas próprias ferramentas no
Power Shell pode ser um pouco intimidante. Com as funções avançadas do PowerShell, você pode
usar muito do que aprendeu sobre o PowerShell para criar seu próprio conjunto de ferramentas
que pode ser executado da mesma forma que os cmdlets do PowerShell. A maior diferença é que
os cmdlets do PowerShell são escritos em linguagens .NET Framework como C#, e você deve
compilá-los para usá-los. As funções avançadas são escritas usando a linguagem de script
PowerShell.
Existem alguns componentes que entram na criação de uma função avançada do PowerShell.
Abordarei esses componentes primeiro, antes de me aprofundar na criação de sua primeira função
avançada.
» [CmdletBinding()]: Isto é o que transforma uma função em uma função avançada.

Ele não apenas permite que a função opere como um cmdlet, mas também
permite que você use os recursos do cmdlet.
» param: Esta área é usada para definir os parâmetros que você deseja que sua função
avançada use.
avançadas
próprios
funções
Criando
scripts
seus
e
Você pode ver como esses componentes são dispostos na Figura 4-3.

FIGURA 4-3:
A
anatomia
básica de
uma função
avançada
inclui [Cmdlet
Binding()],
que permite
que a função
se comporte
como um cmdlet e use recursos de cmdlet.
Brincando com parâmetros

As funções avançadas oferecem muita granularidade quando se trata de trabalhar com
parâmetros que você simplesmente não tem com as funções básicas. Eles são colocados
no bloco de parâmetros onde você define os parâmetros para sua função. Aqui estão
alguns dos meus favoritos:
» Parâmetros obrigatórios: Ao especificar um parâmetro como obrigatório, a

função não poderá ser executada se esse parâmetro não for fornecido.
No exemplo a seguir, defini o parâmetro como obrigatório e indiquei que
o valor do parâmetro virá do pipeline.
[Parâmetro(Obrigatório,ValueFromPipeline)]
» Validação de parâmetro: A validação de parâmetro é muito útil quando você

deseja garantir que um parâmetro corresponda a alguma forma de entrada
esperada. Isso é feito digitando ValidateSet e especificando as strings que você
espera ver. Se a string do parâmetro não corresponder, a função não poderá ser executada.
Veja o seguinte exemplo:
[ValidateSet('String1','String2')]

Criando a função avançada

Agora que você conhece os blocos de construção básicos das funções avançadas, criarei
um exemplo de função avançada. Esta função avançada recuperará informações sobre um
sistema. Começarei com os componentes individuais da função e mostrarei a você tudo
depois de concluído. A função também está disponível para download no repositório GitHub
deste livro em https://github.com/sara-perrott/Server2022PowerShell.
Primeiro, para dizer ao PowerShell que você deseja criar uma função, você precisa iniciar o
texto no arquivo com function, seguido do nome que deseja para sua função.
Isso absolutamente precisa seguir a sintaxe do verbo-substantivo do PowerShell. Em
seguida, você adiciona [CmdletBinding()], que informa ao PowerShell que esta é uma função
avançada e deve ser tratada de forma semelhante a um cmdlet. No bloco Param , você
define quaisquer parâmetros que deseja usar. Nesse caso, você está definindo um
parâmetro, que é uma variável chamada computername.
função Get-ReconData
{
[CmdletBinding()]
Param
([string[]] $nomedocomputador
)
Em seguida, adicionarei algum texto em um bloco BEGIN . Eu gosto de usar isso para ver
em qual sistema está atualmente. Você provavelmente não vai querer fazer isso na produção,
especialmente se tiver vários sistemas nos quais está executando essa função. Mas é ótimo
para solucionar problemas em seu script.
COMEÇAR {
Write-Output "Reunindo reconhecimento em $computername"

}
Em seguida é onde a mágica acontece. O bloco PROCESS é onde estou dizendo à função
o que quero que ela faça. Neste exemplo, estou dizendo para executar o bloco de código
para cada objeto que é passado para ele por meio da variável $computername . Cada objeto
é atribuído à variável $computer .
avançadas
próprios
funções
Criando
scripts
seus
e
Agora você pode usar as classes WMI (Windows Management Instrumentation) para obter
as informações que deseja. Nesse caso, estou usando duas classes WMI para consultar os
dados que desejo. Estou usando a classe Win32_OperatingSystem e a classe
Win32_ComputerSystem . Você pode ver uma lista das propriedades com as quais pode
trabalhar nas páginas de documentação da Microsoft. Win32_OperatingSys tem pode ser
encontrado em https://docs.microsoft.com/en-us/windows/desktop/cimwin32prov/win32-
operatingsystem e Win32_ComputerSystem pode ser

encontrado em https://docs.microsoft.com/en-us/windows/desktop/cimwin32prov/win32-
computersystem.
Para informar ao PowerShell que desejo usar as duas classes WMI, uso o cmdlet Get-
WmiObject do PowerShell para atribuir a classe WMI desejada a uma variável. Em seguida,
escolhi algumas das propriedades que considerei mais úteis para coletar algumas informações
sobre o sistema. Criei nomes para eles e, em seguida, mapeei o nome para a variável WMI
que criei anteriormente e a propriedade na qual estou interessado. Finalmente, estou dizendo
para gravar a saída da função na tela. Em um ambiente de produção, se você estiver
executando isso em vários sistemas, poderá exportar os dados para um arquivo.
PROCESSO {
foreach ($computer in $computername) { $os =
Get-WmiObject -class Win32_OperatingSystem
-computerName $computador
$comp = Get-WmiObject -class Win32_ComputerSystem
-computerName $computer
$prop = @{'ComputerName'=$computador;
'OSVersion'=$os.version;
'SPVersion'=$os.servicepackmajorversion;
'FreeMem'=$os.FreePhysicalMemory;
'OSType'=$os.OSType;
'Domínio'=$comp.domínio;
'Status'=$comp.Status}
$sysinfo = New-Object -TypeName PSObject -Property $prop Write-Output
$sysinfo}
}
O último bloco é simplesmente o bloco End{} . Nesse caso, você não precisa executar nada
após a execução da função, portanto, é deixado em branco.
Aqui está a função final em toda a sua glória!
função Get-ReconData
{
[CmdletBinding()]
Param
([string[]] $nomedocomputador
)
COMEÇAR {
Write-Output "Reunindo reconhecimento em $computername"

}
PROCESSO {

foreach ($computer in $computername) { $os = Get-

WmiObject -class Win32_OperatingSystem
-computerName $computador
$comp = Get-WmiObject -class Win32_ComputerSystem
-computerName $computer
$prop = @{'ComputerName'=$computador;
'OSVersion'=$os.version;
'SPVersion'=$os.servicepackmajorversion;
'FreeMem'=$os.FreePhysicalMemory;
'OSType'=$os.OSType;
'Domínio'=$comp.domínio;
'Status'=$comp.Status}
$sysinfo = New-Object -TypeName PSObject -Property
$ prop
Saída de gravação $sysinfo}
}
FIM {}
}
Salve sua função como um arquivo .ps1 da mesma forma que faria com um script normal do PowerShell.
Agora vamos tentar e ver como fica quando é executado.
Usando a função avançada

Você pode executar funções do editor de código de sua escolha ou do PowerShell. Eles são todos um
pouco diferentes de como você deve executar o código. Nesta seção, abordo a execução da função
avançada no VS Code, que você provavelmente fará durante o teste, e a execução no PowerShell, que
é o método de produção mais realista.
Executando uma função avançada no VS Code

Agora que você escreveu a função avançada, deseja experimentá-la e ver se funciona. Vou usar o VS
Code para testar. Isso é muito comum quando se deseja validar se sua função está funcionando
corretamente. Usarei os nomes e parâmetros do meu exemplo anterior.
avançadas
próprios
funções
Criando
scripts
seus
e
1. Clique no menu Iniciar e role para baixo até a pasta Visual Studio Code.
2. Expanda a pasta e clique em Visual Studio Code para iniciá-la.
3. Escolha Arquivo ÿAbrir arquivo.
4. Navegue até onde seu script está armazenado, selecione o arquivo e clique em Abrir.
5. No Terminal, navegue até onde você salvou sua função.
No meu caso, este é o meu diretório PSTemp, então digitei cd C:\PSTemp.

6. Digite um ponto, seguido de um espaço e, em seguida , .\Get-ReconData.ps1.
Isso informa que você deseja executar o script do diretório atual. Deve ficar assim: . .\Get-
ReconData.ps1.
7. Digite Get-ReconData -nomedocomputador <nomedocomputador>.
A saída que você recebe conterá todas as informações que você pediu para a função
recuperar. Nesse caso, server2022-svr3 é uma máquina virtual do Windows Server 2022,
mas você pode ver que ainda consigo obter informações valiosas, mostradas na Figura 4-4.
FIGURA 4-4:
É
importante testar
sua função
e é simples no
VS Code.
Executando uma função avançada no PowerShell

Em um ambiente de produção, é muito mais provável que você opte por executar a
função avançada do PowerShell em vez de um editor de código. Veja como fazer isso:
1. Clique com o botão direito do mouse no menu Iniciar e escolha Windows PowerShell (Admin).
2. Navegue até o local onde sua função foi salva.
No meu caso, está na minha pasta PSTemp, então digitei cd C:\PSTemp para acessá-la.

Windows Server 2022 - 2

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Windows Server 2022 - 2

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

» Ativando o Windows Server 2022

» Adicionar e remover aplicativos

» Protegendo os dados do sistema contra

» Trabalhando com Servidor Remoto

» Gerenciando servidores com Admin Center

esperava saber fazer. Desde tarefas simples como ativar a licença

CAPÍTULO 5 Executando a Manutenção Padrão 279

Através da interface gráfica do usuário

1. Iniciando no Gerenciador do Servidor, clique em Servidor Local no lado esquerdo de

2. Para iniciar o processo de ativação, clique no hiperlink Não ativado ao lado de

Uma caixa de diálogo será iniciada automaticamente solicitando a chave do produto.

3. Insira a chave do produto e clique em Avançar.

Você será solicitado a ativar o Windows.

Você obtém uma confirmação de que o Windows foi ativado.

Através da linha de comando

slmgr.vbs -ipk <chave do produto>

280 LIVRO 3 Administrando o Windows Server 2022

CAPÍTULO 5 Executando a Manutenção Padrão 281

Configurando a interface do usuário

Trabalhando com a caixa de diálogo Opções de pasta

282 LIVRO 3 Administrando o Windows Server 2022

CAPÍTULO 5 Executando Manutenção Padrão 283

Configurando suas opções de Internet

284 LIVRO 3 Administrando o Windows Server 2022

Vou começar com o método do Painel de Controle. Siga esses passos:

1. Clique em Iniciar, em Sistema Windows e em Painel de controle.

A caixa de diálogo Propriedades da Internet, mostrada na Figura 5-7, é exibida.

Há sete guias na caixa de diálogo Propriedades da Internet:

» Conteúdo: A guia Conteúdo concentra-se em vários recursos relacionados ao conteúdo. Você

CAPÍTULO 5 Executando a Manutenção Padrão 285

rede local (LAN).

que deseja que o Internet Explorer abra.

deseja usar e muito mais.

Concentrando-se em suas configurações de personalização

Existem vários locais diferentes que você pode personalizar:

escolher entre as fotos do banco de imagens ou escolher as suas próprias.

o plano de fundo, as cores, os sons e a aparência do cursor.

286 LIVRO 3 Administrando o Windows Server 2022

» Fontes: A seção Fontes permite pesquisar, visualizar e instalar novas fontes.

» Barra de Tarefas: A seção Barra de Tarefas permite alterar o comportamento do

CAPÍTULO 5 Executando a Manutenção Padrão 287

Definindo sua regional e

Trabalhando com o desempenho

Existem duas maneiras de chegar lá:

» Clique em Iniciar, em Sistema Windows e em Painel de Controle. A partir daí,

288 LIVRO 3 Administrando o Windows Server 2022

De qualquer maneira, você obtém uma tela semelhante à Figura 5-10.

Existem três guias na caixa de diálogo Opções de desempenho:

» Avançado: Permite definir se o desempenho deve ser melhor direcionado

» Prevenção de Execução de Dados: Prevenção de Execução de Dados (DEP) é uma ótima

CAPÍTULO 5 Executando a Manutenção Padrão 289

Entendendo como o controle de acesso do usuário

» Never Notify: Isso é basicamente desligar o UAC. Não faça isso.

» Notificar-me apenas quando os aplicativos tentarem fazer alterações em meu

» Avise-me apenas quando aplicativos tentarem fazer alterações em meu computador

Para obter mais informações sobre o UAC, consulte o Livro 5, Capítulo 3.

290 LIVRO 3 Administrando o Windows Server 2022

Adicionando e removendo padrão

CAPÍTULO 5 Executando a Manutenção Padrão 291

Medindo a confiabilidade e o desempenho

292 LIVRO 3 Administrando o Windows Server 2022

Na Figura 5-13, iniciei o Monitor de Desempenho com o % Tempo do Processador padrão e

Uma das desvantagens do Performance Monitor é como os contadores são granulares.