Migrando o Active Directory para uma nova versão do Windows Server

  1. INTRODUÇÃO
  2. MIGRANDO O ACTIVE DIRECTORY
    1. ADPREP
    2. PREPARANDO A FLORESTA
    3. PREPARANDO O DOMÍNIO
    4. ADICIONANDO O NOVO DC
    5. SUBSTITUINDO O MESTRE DE OPERAÇÕES (FSMO)
      1. Mestre de Esquema
      2. Mestre de Nomeação de Domínios
      3. Mestre RID, PDC e Infra-estrutura
    6. SUBSTITUINDO O SERVIDOR DE TEMPO
    7. MIGRANDO O SERVIÇO DE CERTIFICADOS
    8. REPLICAÇÃO DOS DIRETÓRIOS SYSVOL E NETLOGON
      1. FRS
      2. DFS
    9. DESPROMOVENDO O ANTIGO CONTROLADOR DE DOMÍNIO (OPCIONAL)
  3. MIGRANDO O SERVIÇO DHCP
  4. CONCLUSÃO

Introdução

Em um ataque recente a uma vulnerabilidade ao protocolo RDP, os servidores de área de trabalho remota de uma das empresas na qual prestava suporte foram infectados com um ransomware. O antivírus Sophos não detectou a ameaça, possibilitando a criptografia dos arquivos do sistema. Tivemos de restaurar o sistema de um backup anterior.

Porém, aproveitando o tempo inesperado de manutenção, decidimos migrar a estrutura Active Directory do Server 2003 para Server 2008 R2, aumentando a segurança da rede (O Server 2003 não possuí suporte e atualizações da Microsoft desde Julho de 2015).

Continuar lendo “Migrando o Active Directory para uma nova versão do Windows Server”

Como definir opções de compatibilidade para executáveis através do Registro do Windows

Existem programas que requerem permissões administrativas para serem executadas. Caso a instalação ocorra somente em um computador, tudo que precisamos fazer é marcar a caixa Executar este programa como administrador na aba Compatibilidade nas Propriedades do arquivo executável (botão direito).

Mas em um ambiente onde o mesmo programa precisa ser instalado em 30 máquinas, realizar este processo em cada uma pode ser cansativo e demorado. Podemos automatizar este processo tanto para o usuário atual quanto a nível de sistema (para todos os usuários).

Ao marcarmos Executar este programa como administrador, o Windows define uma simples chave de registro para informar ao sistema que o programa deve ser executado em:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers

Podemos defini-la a nível de sistema em:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers

O nome da chave é o caminho completo do executável (C:\Program Files\MyApp\Test.exe) e o valor da chave pode conter tanto o Modo de compatibilidade quanto o Nível de Privilégio.

Modos de Compatibilidade

Modo Descrição
WIN95 Windows 95
WIN98 Windows 98
WIN4SP5 Windows NT 4.0 SP5
WIN2000 Windows 2000
WINXPSP2 Windows XP SP2
WINXPSP3 Windows XP SP3
VISTARTM Vista
VISTASP1 Vista SP1
VISTASP2 Vista SP2
WIN7RTM Windows 7
WINSRV03SP1 Windows Server 2003 SP1
WINSRV08SP1 Windows Server 2008 SP1

Nível de privilégio

RUNASADMIN Executar este programa como administrador

Exemplo

Para definirmos modo de compatibilidade para Windows XP SP3 e nível de privilégio administrativo, podemos gravar a seguinte chave no registro:

REG ADD “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers” /v “C:\temp\compatmodel\iconsext.exe” /t REG_SZ /d “WINXPSP3 RUNASADMIN” /f

Lembrando que tanto o modo de compatibilidade (WINXPSP3) e nível de privilégio (RUNASADMIN) não dependem um do outro. Por exemplo: É possível executar um programa somente no modo Windows XP SP3 no contexto do usuário atual ou apenas executar um programa com privilégios administrativos. Não precisamos necessariamente definir o modo de compatibilidade e nível de privilégio juntos. Podemos usar um ou outro separadamente ou juntos.

Referências

Windows – How to set “Run this program as an administrator” programatically – http://stackoverflow.com/questions/2313045/how-to-set-run-this-program-as-an-administrator-programatically

Zonas de Segurança do Internet Explorer

Um arquivo em disco consiste de três coisas: um nome/caminho, os dados do arquivo, e alternate data streams.

A aba Sumário, exibida na imagem abaixo, mostra o que Windows Explorer do Windows 2000 exibe quando você edita as propriedades de um arquivo que permite a associação de informações arbitrárias como título e palavras-cache. O Windows Explorer armazena esta informação como um alternate data stream.

figure_06

A Microsoft originalmente incluiu a funcionalidade alternate-stream no sistema de arquivos NTFS para suportar arquivos do Apple Macintosh (Mac). Muitos arquivos usam Sistema de arquivos hierárquico (HFS) do Mac para armazenar ícones e outras informações em um alternate data stream. Devido ao Windows NT Server acompanhar o Serviços para Macintosh (SFM — um serviço que permite ao NT compartilhar arquivos com clientes Mac), o Windows NT deveria suportar alternate streams para que clientes Mac pudessem armazenar arquivos em servidores NT sem perderem informações.

Para a maioria das  pessoas o Internet Explorer é o meio no qual elas usam para acessar a Internet. Com o Windows XP SP2 sua própria Área de trabalho foi colocada na Zona Restrita do Internet Explorer e o Internet Explorer tornou-se um recurso essencial do Windows. Quando baixamos arquivos usando o Internet Explorer com a nova Zona de segurança na Área de trabalho os arquivos são marcados com sua URL de origem (Quando possível. Esta função requer a instalação do Windows XP em um sistema de arquivos NTFS por usar alternate data streams).

Depois de marcados, estes arquivos baixados são permanentemente tratados como riscos a segurança, não importa quantas vezes você os abra! Quando estes arquivos são abertos, eles são abertos de acordo com a classificação de segurança da URL de origem, mesmo após anos abrindo eles.

Identificador Valor
URLZONE_LOCAL_MACHINE 0
URLZONE_INTRANET 1
URLZONE_TRUSTED 2
URLZONE_INTERNET 3
URLZONE_UNTRUSTED 4

Redefinir a Área de trabalho como uma Zona de alto risco da Internet, e redefinir o Internet Explorer não apenas como um navegador de internet mas como um sistema de segurança que monitora o uso de arquivos tanto on quanto off-line, a Microsoft alcançou um novo tipo de ilusão de integração Web. Desta vez, ao invés da Web vir até a Área de trabalho (Active Desktop), a Área de trabalho foi jogada na Web.

No Windows Server, a verificação de zona é mais rígida com arquivos baixados da internet e documentos acabam sendo bloqueados por padrão.

erro-no-word-ao-tentar-abrir-o-arquivo

Erro no Word ao tentar abrir o arquivo.

Para resolvermos este impasse, precisamos desabilitar a verificação de zona.

“Mas isso não é um risco de segurança?”

Não. Tudo que a verificação de zona faz é mostrar um aviso de segurança no qual é preciso confirmar a execução do arquivo antes de executá-lo.

UAC-unknown-publisher

(Reprodução)

Para mim, este recurso é redundante. Se você possui uma proteção antivírus ativa ou é um usuário avançado, dificilmente executará um arquivo que não conhece.

O usuário padrão geralmente clica em “Executar” sem nem ao menos ler a mensagem (hábito, talvez?) ou, quando a lê, simplesmente não a entende e confirma a execução mesmo assim.

Diretiva de Grupo é um recurso que acompanha o Windows 2000 que permite a Administradores de rede configurarem acesso a permissões e recursos na rede. Os Administradores podem configurar o acesso a alguns recursos de forma a preservar o estado do computador. Ao usar um computador da Universidade ou trabalho, por exemplo, você deve ter notado a falta de acesso a alguns recursos (como desinstalar programas, por exemplo).

Mas a Diretiva de Grupo pode muito mais do que limitar acesso a recursos: Ela pode mudar comportamentos padrões do Windows.

Para desabilitarmos a verificação de zona, abra o Menu Iniciar e, na barra de pesquisa, digite gpedit.msc (No Windows Server 2003/XP, é necessário selecionar Executar no Menu Iniciar. No Windows Server 2012/Windows 8+, pressione a combinação de teclas Windows + R para exibir o Executar).

Expanda Configurações do Usuário > Modelos Administrativos > Gerenciador de Anexos. Na lista, procure por Não preservar informações de zona em anexos de arquivo e habilite-a.

desabilitando-verificacao-zona-gpo

Após a alteração, abra novamente o Executar e digite o comando gpupdate /force para realizar a atualização da Política de grupo sem precisar reiniciar o computador.

Lembrando que esta alteração valerá apenas para arquivos baixados da internet de hoje em diante.

Arquivos baixados anteriormente ainda estarão bloqueados. Para desbloqueá-los, dê botão direito e selecione Propriedades.

Abrirá uma nova janela. Nela, clique no botão Desbloquear.

desbloquear-arquivo

Se você possuí um número de documentos relativamente grande, este pode ser um processo demorado e cansativo. Recomendo usar um script para automatizar este trabalho. Pude encontrar alguns nesta página, mas não testei nenhum deles.


Vista Blocked File Protection Control – Petri IT Knowledgebase – www.petri.co.il/unblock-files-windows-vista.htm

The Wacky World of Windows Internet Security Settings – JSWare – http://www.jsware.net/jsware/iewacky.php5

Stream Viewer – JSWare – http://www.jsware.net/jsware/sviewer.php5