Advanced Threat Protection (ATP) agora no Windows Server 2019

Não é de hoje que a Microsoft investe pesado em seu sistema operacional de borda (Windows10), e em sua plataforma de computação em nuvem (Azure). Eles estão ficando realmente bons nisso, mas não podemos esquecer da importância dos servidores (Windows Server).
A Microsoft não deixou seu sistema operacional para servidores em segundo plano. Na verdade a Microsoft tem investido pesado no aprimoramento relacionado a segurança de sua estrutura de servidores. Na primeira prévia oficial do Windows Server 2019 (build 17623), inclusive já disponível para empresas e profissionais de TI dispostos a testá-la (Insider Preview), podemos encontrar inovações interessantes sobre segurança, como por exemplo o ATP.
O Windows Server 2019 é um sistema operacional voltado a servidores ou gerenciamento de redes internas e para tanto, um dos recursos implementados é o Windows Defender Advanced Threat Protection (ATP). O ATP é um conjunto de mecanismos capaz de identificar e mitigar ações de malwares ou outras ameaças.
Dentro do ATP é possível encontrar, por exemplo, o Exploit Guard, que consiste em instruções em nível de kernel criadas para, entre outros perigos, evitar que o sistema operacional seja explorado por meio de vulnerabilidades.
O mais interessante é que a tecnologia base do ATP esta presente já em soluções como o Azure e até mesmo dentro de fabricantes de antivírus, como a Symantes. O Azure ATP (Proteção Avançada contra Ameaças) é um serviço de nuvem que ajuda a proteger seus ambientes híbridos corporativos de vários tipos de ameaças internas de ataques cibernéticos direcionados.
O conceito do ATP é relativamente simples, ele aproveita um mecanismo de análise de rede proprietário para capturar e analisar o tráfego de rede de vários protocolos (como Kerberos, DNS, RPC, NTLM entre outros) para autenticação, autorização e coleta de informações. É possível obter informações de várias fontes de dados, como eventos e logs dentro da rede, a fim de aprender o comportamento dos usuários e de outras entidades na organização e criar um perfil comportamental sobre eles. É algo realmente interessante que pode ajudar a conhecer melhor a cultura organizacional e com isso mitigar com mais facilidade certos tipos de ataques.
O Office 365 já utiliza a Proteção Avançada contra Ameaças (ATP) ajudando a proteger organizações contra ataques mal-intencionados verificando anexos de e-mail, efetuando a varredura de endereços de web (URLs) em mensagens de e-mail e documentos do Office com links seguros, identificando e bloqueando arquivos maliciosos em bibliotecas on-line com o ATP para SharePoint, OneDrive e Microsoft Teams, verificando mensagens de e-mail por falsificação não autorizada e detectando quando alguém tenta personificar seus usuários e os domínios personalizados com os recursos anti-phishing.
O ATP não é exatamente um recurso novo no mercado e isso é realmente bom, pois sua estrutura base esta bem forte e consolidada. Uma ótima novidade que agora fará parte do Windows Server de forma nativa (pelo menos esperamos que faça).
A proteção por meio do Office 365 ATP é determinada pelas políticas que a equipe de segurança da sua organização define para Links seguros, Anexos seguros e Anti-phishing. Relatórios estão disponíveis para mostrar como o ATP está trabalhando para sua organização. E você pode enviar arquivos suspeitos para a Microsoft para análise.
Importante: O ATP do Office 365 está incluído em assinaturas, como o Office 365 Enterprise E5 e o Office 365 Education A5 e, a partir de 30 de abril de 2018, também o Microsoft 365 Business. Se sua empresa tiver uma assinatura do Office 365 que não inclua o Office 365 ATP, você poderá comprar o ATP como um complemento. Para obter mais informações, consulte Descrição do Serviço de Proteção Avançada contra Ameaças do Office 365.
Para quem não esta acostumado com o termo, um exploit (em português explorar, significando “usar algo para sua própria vantagem”) é um pedaço de software, um pedaço de dados ou uma sequência de comandos que tomam vantagem de um defeito, falha ou vulnerabilidade a fim de causar um comportamento acidental ou imprevisto a ocorrer no software ou hardware. Ferramentas voltadas a aplicações em nuvens também fazem parte do pacote. O Windows Server 2019 permite que o servidor seja integrado a serviços como Azure Backup e Azure File Sync rapidamente, sem que as aplicações rodando no servidor tenham que ser interrompidas. A Microsoft também cita o suporte aos Cluster Sets, ferramentas que permitem escalar determinadas aplicações nas nuvens.
Outros recursos incluem o Storage Spaces Direct, que possibilita a um administrador gerenciar com relativa facilidade as unidades de armazenamento vinculadas ao servidor (é possível verificar o estado funcional de um HD, por exemplo), e, como não poderia deixar de ser, suporte a máquinas virtuais, incluindo aquelas baseadas em distribuições Linux. Para baixar a prévia do Windows Server 2019 é necessário ter cadastro no programa de testes do Windows Insider. A versão final do sistema operacional ainda não tem data definida de lançamento, mas, de acordo com a Microsoft, será disponibilizada no segundo semestre. Os detalhes estão no blog do Windows.

Script em Powershell para montar um ambiente de estudos para o MCSA

É sempre interessante trabalhar com automação quando falamos em TI, ainda mais em ambientes virtuais. Pois bem, nada mais justo que então criar um script de automação que pode ser utilizado por instrutores e alunos para criar seu próprio laboratório virtual.
Decidi criar e compartilhar um #OgroScript (script feio), que funciona muito bem com a base de comandos. O Script pode (com toda a certeza) receber um bom refinamento, mas atende bem a demanda. Espero que Gostem.
##########################################################
#                                                        #
# Script de criação de ambiente de laboratório – HTBRAZ  #
# Criador: Eduardo Popovici                              #
# F: 55+ (00) 0-0000-0000                                #
#                                                        #
##########################################################
# Obs. Os scripts de Powershell são bloqueados por padrão no Windows use o comando Set-ExecutionPolicy Unrestricted para desbloquear antes de executar este script
# Set-ExecutionPolicy Unrestricted
#Importar módulo Hyper-V
Import-Module Hyper-V
# Variaveis
# $vm = “NEWVMNAME”
# $SMBShare = “CSV share name”
$CPU1 = 1
$CPU2 = 2
$MEM1 = 1GB
$MEM2 = 2GB
$VlanID1 = 20
$VlanID2 = 30
$VMHD1 = 120GB
$VMHD2 = 80GB
$VMHD3 = 200GB
$Wifi = Get-NetAdapter -Name Wi-Fi
$eth0 = Get-NetAdapter -Name Ethernet
# Listar os comandos do Hyper-V pelo Powershell – Se sentir dúvidas com os comandos, verifique-os com o Get-Command
# Get-Command –Module Hyper-V
# Criar Virtual Switch
# New-VMSwitch -Name INTERNET -NetAdapterName $ethernet.Name -AllowManagementOS $true -Notes ‘Acesso real, internet e rede LAN usando o cabo’
# New-VMSwitch -Name INTERNET -NetAdapterName $wifi.Name -AllowManagementOS $true -Notes ‘Acesso real, internet e rede LAN usando o wifi’
New-VMSwitch -Name HTB01 -SwitchType Private -Notes ‘Interno, uso das máquinas do ambiente 01’
New-VMSwitch -Name CLUSTER -SwitchType Private -Notes ‘Interno, uso das máquinas do cluster’
New-VMSwitch -Name RELCONF -SwitchType Private -Notes ‘Por este Switch montaremos a relação de confiança entre domínios’
New-VMSwitch -Name VPN -SwitchType Private -Notes ‘Por este switch vamos montar as conexões de VPN do ambiente’
New-VMSwitch -Name SBRUBLES01 -SwitchType Private -Notes ‘Interno, uso das máquinas do ambiente 02’
# Cria diretório VM-LAB
mkdir c:\VM-LAB
# Cria diretório de imagens
mkdir c:\VM-LAB\ISO
# Criar diretório de discos de Dados
mkdir c:\VM-LAB\Dados
################################################
#                                              #
#         Ambiente 01 – MCSA S/A               #
#                                              #
################################################
# AD primário mcsa.local
New-VM –Name SRV01-MCSA -Generation 2 –MemoryStartupBytes $MEM2 -NewVHDPath c:\VM-LAB\SRV01-MCSA.vhdx -NewVHDSizeBytes $VMHD1 | Set-VMMemory -DynamicMemoryEnabled $false | Set-VMProcessor -count $CPU1
Add-VMDvdDrive -VMName SRV01-MCSA
Add-VMNetworkAdapter -VMName SRV01-MCSA
New-VHD -Path c:\VM-LAB\Dados\DADOS01.vhdx -SizeBytes $VMHD2
Add-VMHardDiskDrive -VMName SRV01-MCSA -path c:\VM-LAB\Dados\DADOS01.vhdx
New-VHD -Path c:\VM-LAB\Dados\DADOS02.vhdx -SizeBytes $VMHD2
Add-VMHardDiskDrive -VMName SRV01-MCSA -path c:\VM-LAB\Dados\DADOS02.vhdx
New-VHD -Path c:\VM-LAB\Dados\DADOS03.vhdx -SizeBytes $VMHD2
Add-VMHardDiskDrive -VMName SRV01-MCSA -path c:\VM-LAB\Dados\DADOS03.vhdx
New-VHD -Path c:\VM-LAB\Dados\DADOS04.vhdx -SizeBytes $VMHD2
Add-VMHardDiskDrive -VMName SRV01-MCSA -path c:\VM-LAB\Dados\DADOS04.vhdx
# AD réplica mcsa.local
New-VM –Name SRV02-MCSA -Generation 2 –MemoryStartupBytes $MEM2 -NewVHDPath c:\VM-LAB\SRV02-MCSA.vhdx -NewVHDSizeBytes $VMHD1 | Set-VMMemory -DynamicMemoryEnabled $false | Set-VMProcessor -count $CPU1
Add-VMDvdDrive -VMName SRV02-MCSA
Add-VMNetworkAdapter -VMName SRV02-MCSA
New-VHD -Path c:\VM-LAB\Dados\DADOS05.vhdx -SizeBytes $VMHD2
Add-VMHardDiskDrive -VMName SRV02-MCSA -path c:\VM-LAB\Dados\DADOS05.vhdx
New-VHD -Path c:\VM-LAB\Dados\DADOS06.vhdx -SizeBytes $VMHD2
Add-VMHardDiskDrive -VMName SRV02-MCSA -path c:\VM-LAB\Dados\DADOS06.vhdx
# Criação das estações clientes de MCSA
New-VM –Name CLI01-MCSA -Generation 2 –MemoryStartupBytes $MEM1 -NewVHDPath c:\VM-LAB\CLIB01.vhdx -NewVHDSizeBytes $VMHD1 | Set-VMMemory -DynamicMemoryEnabled $false | Set-VMProcessor -count $CPU1
Add-VMDvdDrive -VMName CLI01-MCSA
New-VM –Name CLI02-MCSA -Generation 2 –MemoryStartupBytes $MEM1 -NewVHDPath c:\VM-LAB\CLIB02.vhdx -NewVHDSizeBytes $VMHD1 | Set-VMMemory -DynamicMemoryEnabled $false | Set-VMProcessor -count $CPU1
Add-VMDvdDrive -VMName CLI02-MCSA
New-VM –Name CLI03-MCSA -Generation 2 –MemoryStartupBytes $MEM1 -NewVHDPath c:\VM-LAB\CLIB03.vhdx -NewVHDSizeBytes $VMHD1 | Set-VMMemory -DynamicMemoryEnabled $false | Set-VMProcessor -count $CPU1
Add-VMDvdDrive -VMName CLI03-MCSA
# AD filho – sucursal colatina | colatina.mcsa.local
New-VM –Name SRV03-COLATINA -Generation 2 –MemoryStartupBytes $MEM2 -NewVHDPath c:\VM-LAB\SRV03-COLATINA.vhdx -NewVHDSizeBytes $VMHD1 | Set-VMMemory -DynamicMemoryEnabled $false | Set-VMProcessor -count $CPU1
Add-VMNetworkAdapter -VMName SRV03-COLATINA
Add-VMDvdDrive -VMName SRV03-COLATINA
# RODC filial | colatina.mcsa.local
New-VM –Name SRV04-COLATINA -Generation 2 –MemoryStartupBytes $MEM2 -NewVHDPath c:\VM-LAB\SRV04-COLATINA.vhdx -NewVHDSizeBytes $VMHD1 | Set-VMMemory -DynamicMemoryEnabled $false | Set-VMProcessor -count $CPU1
Add-VMNetworkAdapter -VMName SRV04-COLATINA
Add-VMDvdDrive -VMName SRV04-COLATINA
################################################
#                                              #
#         Ambiente 02 – Sbrubles S/A           #
#                                              #
################################################
# AD primário | sbrubles.local
New-VM –Name SRV05-SBRUBLES -Generation 2 –MemoryStartupBytes $MEM2 -NewVHDPath c:\VM-LAB\SRV05-SBRUBLES.vhdx -NewVHDSizeBytes $VMHD1 | Set-VMMemory -DynamicMemoryEnabled $false | Set-VMProcessor -count $CPU1
Add-VMDvdDrive -VMName SRV05-SBRUBLES
Add-VMNetworkAdapter -VMName SRV05-SBRUBLES
# Ambiente geral
New-VM –Name SRV06-SBRUBLES -Generation 2 –MemoryStartupBytes $MEM2 -NewVHDPath c:\VM-LAB\SRV06-SBRUBLES.vhdx -NewVHDSizeBytes $VMHD1 | Set-VMMemory -DynamicMemoryEnabled $false | Set-VMProcessor -count $CPU1
Add-VMDvdDrive -VMName SRV06-SBRUBLES
Add-VMNetworkAdapter -VMName SRV06-SBRUBLES
New-VM –Name SRV07-SBRUBLES -Generation 2 –MemoryStartupBytes $MEM2 -NewVHDPath c:\VM-LAB\SRV07-SBRUBLES.vhdx -NewVHDSizeBytes $VMHD1 | Set-VMMemory -DynamicMemoryEnabled $false | Set-VMProcessor -count $CPU1
Add-VMDvdDrive -VMName SRV07-SBRUBLES
Add-VMNetworkAdapter -VMName SRV07-SBRUBLES
# Ambiente em Cluster
New-VM –Name SRV08-SBRUBLES -Generation 2 –MemoryStartupBytes $MEM2 -NewVHDPath c:\VM-LAB\SRV08-SBRUBLES-CLUSTER.vhdx -NewVHDSizeBytes $VMHD1 | Set-VMMemory -DynamicMemoryEnabled $false | Set-VMProcessor -count $CPU2
Add-VMDvdDrive -VMName SRV08-SBRUBLES-CLUSTER
Add-VMNetworkAdapter -VMName SRV08-SBRUBLES-CLUSTER
New-VM –Name SRV09-SBRUBLES-CLUSTER -Generation 2 –MemoryStartupBytes $MEM2 -NewVHDPath c:\VM-LAB\SRV09-SBRUBLES-CLUSTER.vhdx -NewVHDSizeBytes $VMHD1 | Set-VMMemory -DynamicMemoryEnabled $false | Set-VMProcessor -count $CPU2
Add-VMDvdDrive -VMName SRV09-SBRUBLES-CLUSTER
Add-VMNetworkAdapter -VMName SRV09-SBRUBLES-CLUSTER
# Criação das estações clientes de SBRUBLES
New-VM –Name CLI01-SBRUBLES -Generation 2 –MemoryStartupBytes $MEM1 -NewVHDPath c:\VM-LAB\CLI01-SBRUBLES.vhdx -NewVHDSizeBytes $VMHD1 | Set-VMMemory -DynamicMemoryEnabled $false | Set-VMProcessor -count $CPU1
Add-VMDvdDrive -VMName CLIB01-SBRUBLES
New-VM –Name CLI02-SBRUBLES -Generation 2 –MemoryStartupBytes $MEM1 -NewVHDPath c:\VM-LAB\CLI02-SBRUBLES.vhdx -NewVHDSizeBytes $VMHD1 | Set-VMMemory -DynamicMemoryEnabled $false | Set-VMProcessor -count $CPU1
Add-VMDvdDrive -VMName CLI02-SBRUBLES
New-VM –Name CLI03-SBRUBLES -Generation 2 –MemoryStartupBytes $MEM1 -NewVHDPath c:\VM-LAB\CLI03-SBRUBLES.vhdx -NewVHDSizeBytes $VMHD1 | Set-VMMemory -DynamicMemoryEnabled $false | Set-VMProcessor -count $CPU1
Add-VMDvdDrive -VMName CLI03-SBRUBLES
A propósito.
Gostaria de divulgar meu treinamento no Udemy. Acabei de lançar o treinamento chamado Manual de sobrevivência do Analista de Suporte.
Com inúmeras dicas e configurações úteis a qualquer um que queira dar suporte aos ambientes Microsoft.
https://www.udemy.com/manual-de-sobrevivencia-do-analista-de-suporte/learn/v4/overview

Serviço de DFS Namespace não inicia [RESOLVIDO]

A algum tempo já vejo que o problema acontece tanto no Windows Server 2008, quanto no 2012 e 2016. Pois bem… aqui vai como resolver esse erro. O DFS Namespace precisa de um serviço ativo para funcionar. Esse serviço é o Registro Remoto. Vá até o services.msc e suba o serviço Registro Remoto. Depois vá até o Server Manager (Gerenciador do Servidor) e suba o serviço do DFS Namespace.
Se tudo der certo, vai subir normalmente e ficar tudo verdinho. A tela abaixo é do Windows Server 2016 Standard.

Quebrando a senha de administrador do domínio

Acesso físico a um servidor é algo perigoso, e hoje farei uma demonstração do real perigo.

Obviamente esta técnica pode ser utilizada por exemplo, em ataques onde o usuário administrativo é comprometido. Existem duas boas vertentes para uso desta técnica, que apesar de simples servem tanto para recuperação de ambientes quanto para comprometimento de um ambiente.

São 8 passos simples que funcionam em versões diferentes do Windows Server. Testei tanto em laboratório quanto em clientes do mundo real em ambientes com Windows Server 2008, 2012 e 2016. Todos os ambientes em que restei apresentaram sucesso.
Esta técnica não exatamente nova e pode ser utilizada já a muito tempo. É comum encontrar alguns posts em outros idiomas falando sobre o assunto.
1. Efetue o boot do servidor com uma mídia de qualquer versão do Windows Server, do 2008 até o 2016. Vá até a tela inicial, conforme representado pela figura 01.
2. Pressione SHIFT + F10 para abrir o command prompt. Esta tecla de atalho abre o prompt de comando dentro do processo de instalação.
3. Digite o seguinte comando:
move d:\windows\system32\utilman.exe d:\windows\system32\utilman.exe.bak
Obs.: No Windows Server 2008 R2, você provavelmente precisará substituir a letra de unidade d: por c :. Se você não tiver certeza sobre a letra da unidade, procure a unidade que contém a pasta do Windows. A letra do driver da instância do Windows PE que iniciou a Instalação do Windows é x: (Atualização: Como mencionado por Chidi, você pode executar o comando diskpart e, em seguida, no prompt de deslocamento, você pode inserir o comando list vol para obter uma visão geral das unidades disponíveis. A unidade do sistema deve ser rotulada de acordo.)
Obs2.:  A ferramenta utilman.exe é o Gerenciador de Utilitários por funções de facilidade de uso, como o Narrator e a Lupa do Windows.
4. Substitua o utilman.exe;
copy d:\windows\system32\cmd.exe d:\windows\system32\utilman.exe
5. Remova a mídia do Windows server e faça o reboot. Inicie o Windows normalmente.
wpeutil reboot
6. Quando o controlador de domínio subir, clique no ícone chamado de Utility Manager.
7. No prompt de comando que (espero) estar aberto, redefina a senha de administrador do domínio com este comando:
net user administrator *
8. Pode fechar o prompt de comando e fazer logon com a nova senha. No entanto, principalmente por motivos de segurança, recomendo a restauração do original utilman.exe. Para isso, você precisa inicializar novamente a instalação do Windows Server, siga as etapas 1 a 2 e, em seguida, insira:
move /y d:\windows\system32\utilman.exe.bak d:\windows\system32\utilman.exe

WordPress como plataforma WEB no Azure

Tecnologia e Cloud é aqui

wordpress-logo

Olá pessoal

Novas matérias em 2017. E vamos mostrar como criar o WordPress na plataforma Azure.

O WordPress é um dos Frameworks mais populares da web por ser fácil de manusear e desenvolver Apps Webs com entrega rápida e rica.

Quer saber mais sobre WordPress: https://pt.wikipedia.org/wiki/WordPress

Além da fornecedora oficial WordPress tem também da fornecedora Bitnami, ou se você também quiser montar sua desenvolvedora pessoal de sites em WordPress tem versões para multi sites bem interessantes como WordPress Multi-Tier.

Abaixo um passo a passo básico de WordPress single.

Va em Serviços de aplicativos e escolha WEB. Vá na busca e escolha WORDPRESS. Iremos pelo fornecedor WordPress.

O Segundo passo já é criar o ambiente. Clique em CRIAR

Este passo é realizar as configurações de DNS para acesso e banco de dados do WORDPRESS. Eu escolhi o ClearDB. O Banco é Default Mysql. Deixei ativo o Aplications Insights para ter uma…

Ver o post original 384 mais palavras