MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Pageviews 2020: 2201166
Pageviews 2019: 4355776
Pageviews 2018: 4296564
Pageviews 2017: 4351543
Pageviews 2016: 3991973
Pageviews 2015: 2675433
Pageviews 2014: 2664208
Pageviews 2013: 2399409
Pageviews 2012: 3209633
Pageviews 2011: 2730038
Pageviews 2010: 1470924
Pageviews 2009: 64608

Últimos posts

Categorias

Arquivo

Tags

Possibilitando trabalho remoto em período de Corona Vírus

Nesse período em que muitos colaboradores estão sendo movidos para remote office, que soluções podem ser adotadas rapidamente para isso?

Cenário 1 – Uso de VPN

A primeira solução é o uso de VPNs, onde o colaborador irá acessar de sua casa o ambiente de rede da empresa via internet.

Quais as vantagens?
Esse método é bem interessante por ser rápido de implementar, em geral no firewall que a  empresa já utiliza. O usuário poderá acessar seus e-mails, servidores e aplicações como se estivesse fisicamente dentro da empresa, usando seu computador pessoal. Como utiliza um produto já existente na maioria dos ambiente, o custo é mínimo para habilitar no firewall e muitos fabricantes basta habilitar.

Quais as desvantagens?
O maior risco no uso de VPNs é a falta de segurança advindo de  conexões externas diretas, de equipamentos desconhecidos. Por exemplo, imagine que a maquina do colaborador é a mesma que ele baixa conteúdos da internet, joguinhos e outros. Que garantia eu tenho que não entrará um worm ou vírus por essa conexão? Nenhuma.

Quais soluções posso usar para complementar a segurança?
NAC
(Network Access Control) são protocolos e proteções instaladas no firewall que ao tentar se conectar um script é executado no equipamento remoto para validar se ele tem anti-virus valido, atualizações de sistema operacional, etc por meio de uma regra NPS (Network Policy Service/Server). Porem, os NPSs costumam ser limitados no que podem checar e ai é quando precisamos instalar um agente antecipadamente e só validam no momento de entrada na rede sem validar configurações que possam ser alteradas ou permitam que o equipamento fique desprotegido.
Já a solução de MDM no portfólio de Microsoft é o Microsoft Intune que agora se chama Microsoft Endpoint Management Service por ter se juntado ao SCCM (System Center Configuration Manager).
O Intune é uma solução em nuvem com funções similares ao SCCM, mas com módulos para dispositivos como telefone e tablets. Ele permite que o administrador crie regras de validação para serem aplicadas na máquina do usuário a partir do software de monitoramento e essas regras podem envolver:

• Atualizações de sistema operacional
• Instalação de aplicações corporativas automaticamente
• Regras de Compliance como obrigatoriedade e tipo de senha, uso de recursos compartilhados entre diferentes ambientes no mobile (KNOX e Apple Secure)

• Restrição a troca de informações entre aplicativos classificados como corporativos (copiar e colar)
• Diversas outras regras que variam entre Android, iOS, MAC e Windows
Se integram com vários modelos de NAC físicos

Cenário 2 – Uso de PaaS e SaaS para aplicações de trabalho

Muito conhecido como Modern Workplace essas soluções no portfolio de Microsoft estão no Microsoft Office 365.
Vendidos em pacotes individuais de serviços, pacote Business (até 300) e enterprise (Office 365 e Microsoft 365) possibilitam que um colaborador trabalhe remoto sem qualquer tipo de acesso a rede interna.

Quais as vantagens?
Por terem diferentes modelos de aquisição contratual (CSP por demanda, MPSA e EA com preços fixados) é acessível a todos os clientes.
A segurança dos dados é maior pois o usuário acessa arquivos e email diretamente da Microsoft por meio da internet comum e não tem acesso aos servidores internos da empresa. Por ser um modelo de serviços em nuvem, não precisa de instalações, servidores e infraestrutura local além do TCO de manutenção e operação desses serviços.
Bem, não precisamos falar muito porque hoje já é consolidado o modelo de PasS e SaaS com Exchange, Teams, SharePoint, OneDrive e outros produtos da suíte.

Quais as desvantagens?
Existem poucos pontos negativos, já que aqui estamos tratando de serviços essenciais (email, mensageria, áudio e vídeo conferencia, troca de arquivos). Mas o acesso irrestrito dos dados sem a facilidade de criar regras de segurança que temos com ACL em um servidor de arquivos físicos assusta muita gente... Uma vez que os arquivos estão na nuvem e acessíveis de qualquer lugar e dispositivo como evitar o acesso indevido?

Quais as soluções que protegem o meu conteúdo?
Nesse ponto é que as coisas ficam mais fáceis! No modelo de PaaS e SaaS do Office 365 temos pacotes de segurança disponíveis para qualquer uma das opções tanto contratuais como tipo de pacote:

• Criptografar, categorizar e identificar conteúdo protegido temos o AIP (Azure Information Protection) que é o antigo RMS do Windows, agora em nuvem, que pode identificar por exemplo que um usuários está passando CPFs e Passaportes para outras pessoas dentro ou fora da empresa
• Detectar atividades suspeitas temos o ATP (Azure Advanced Threat Protection) que analisa a atividade no AD local e em nuvem

• Com o CASB (Cloud App Security) Fazer detecções avançadas de uso, integrando aplicações de terceiros e identificando possíveis violações e problemas como logins em diferentes localidades simultâneas ou em deslocamentos impossíveis (chile e Australia em menos de 2 horas por exemplo)
Permitir a criação de regras de acesso e login (similar ao NAC) com o AD Premium, que também possibilita relatórios detalhados de atividades

Esses recursos citados são os que cobririam a segurança do acesso aos dados da empresa em qualquer dispositivo!

Cenário 3 – Virtual Desktop

Solução já muito conhecida, pode ser implementada em modelo de acesso direto a aplicativos a partir de servidores (RDS) ou maquinas virtuais independentes para os usuários (VDI).

Quais as vantagens?
Nada está fora da empresa, não existe troca de dados via internet.
Nesse modelo, os dados são acessados de dentro da empresa, uma vez que o usuário irá ver a tela do servidor ou de sua VM pessoal que está na infraestrutura e rede da corporação.
Então o acesso aos dados é muito controlado e 100% similar ao que o colaborador estaria vendo e fazendo sentado na sua mesa de escritório.

Quais as desvantagens?
Custo, tanto de equipamentos quanto licenciamento.
Para montar uma estrutura de RDS (Remote Desktop Service) é possível usar direto o Windows Server e ter um custo bem mais atrativo ou soluções como VMWare Horizon e Citrix.
Já para a solução de VDI (Virtual Desktop Infrastructure) temos um alto custo, já que para cada usuário logado é necessário ter uma VM Windows 10 ativada.
Sendo assim, se houver 200 usuários remotos será necessário ter 200 VMs ativas em servidores físicos, que acabando o surto deixariam de ser necessárias.

Quais alternativas para a falta de Hardware nesse momento de isolamento?
A Microsoft possui um serviço chamado WVD (Windows Virtual Desktop) que é um VDI hospedado, com a vantagem de ser escalável podendo ir de 1 a 25.000 VMs em minutos! Esse serviço é aberto a todos os clientes por meio de uma conta no Azure e o licenciamento de Windows Enterprise com SA ou Windows E3 que é subscrição.
Usuários que já tem o Microsoft 365 (exceto F1) já estão habilitados, uma vez que o M365 E3 e E5 incluem o licenciamento de Windows Enterprise.
E para os que não tem, pode fazer a subscrição de licenças Windows E3 no modelo CSP mensal, onde irá pagar apenas pelo que ativar de WVDs.

Vamos Falar do Projeto Microsoft Honolulu?

O projeto Honolulu foi muito comentado a algum tempo atrás e linkado a uma nova interface gráfica do Windows ou funcionalidade.

Agora em 01/Dezembro saiu uma nova versão Preview e documentação do Honolulu e já está bem maduro e com arquitetura final definida.

O que é o projeto Honolulu?

É uma nova interface de GERENCIAMENTO para Windows Server.

Não se trata de uma substituição do Server Manager do Windows 2012/2016 e sim uma interface baseada em novos protocolos para acesso e facilidade de uso, alem da capilaridade no gerenciamento.

Quais as vantagens do Honolulu sobre o Server Manager?

O Server Manager é uma ferramenta muito boa, mas é baseada em protocolos locais (RPC, WinRM e outros) alem de ser baseada em uma GUI que precisa ser instalada.

O Honolulu é 100% baseado em web para acesso aos dados e utiliza WinRM, WMI e PowerShell para administração dos servidores.

Com o Honolulu é possivel fazer coisas que o Server Manager não faz, como executar scripts, Windows Update, administrar e monitorar VMs, etc.

Por outro lado, o Honolulu não administra tantos serviços como o Server Manager, como por exemplo File Server, DHCP, DNS, etc que continuam a ser administrados pelas ferramentas MMC.

Como instalar o Honolulu?

A instalação é muito simples, mas é preciso definir a arquitetura.

Basicamente podemos utilizar instalado em um unico servidor e vincular os outros na administração como nós, ou então instalar um servidor como Gateway para acessar os outros e facilitar o trafego quando temos muitos servidores em um farm:

deployment

Em geral para estas ferramentas o ideal é criar um servidor com pouca memoria e poder de processamento (na figura o segundo modelo) para não onerar servidores com outras funções, já que ele cria um serviço para o Honolulu:

capture20180108110941303

Para baixar o Honolulu, como ainda é um Preview é necessário usar a página de avaliaçoes de produtos Windows Server em https://www.microsoft.com/en-us/evalcenter/evaluate-windows-server-honolulu

Como administrar um servidor com o Honolulu?

Vamos as telas básicas. Primeiro inserimos um servidor na lista e a partir dai é possivel por qualquer navegador ver os gráficos de uso, configurar itens, fazer conexão remota, executar comandos PowerShell, etc.

Primeiro, vamos adicionar novos servidores, clusters ou até Windows 10 Client:

capture20180108103235350

Na sequencia basta indicar o usuário e escolher o servidor/cluster que deseja visualizar:

capture20180108103532804

O nivel de detalhes aborda desde os itens de HW até gráficos detalhados para cada um dos itens vituais do servidor/cliente que está sendo monitorado:

capture20180108104007877

Mesmo alguns itens como discos fisicos, volumes e Storage Space já podem ser administrados no Honolulu:

capture20180108104156585

Uma feature interessante é poder administrar o Windows Update remotamente:

capture20180108104311080

O gerenciamento de VMs em um Hyper-V tambem é um dos destaques pelo nivel de detalhamento e a interface intuitiva:

capture20180108104402669

capture20180108104503812

Finalizando, segue o link da documentação técnica do Honolulu: https://docs.microsoft.com/en-us/windows-server/manage/honolulu/honolulu

Posted: jan 08 2018, 18:49 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

System Center Configuration Manager (SCCM)–Atualização 1706

Liberado a duas semana, a nova atualização tem muitos novos recursos: http://go.microsoft.com/fwlink/?LinkId=854075

Alguns são importantes pois resolvem problemas e demandas anteriores mas os novos recursos tambem são de interesse:

  • Suporte ao SQL Server Always ON (apenas no modo assincrono neste release)
  • Integração com Azure AD para autenticação que permite instalar o agente para quem não é usuário em rede local
  • Aprimoramento da integração com Intune tanto para Windows 10 quanto dispositivos móveis (iOS, Android)
  • Capacidade de importar scripts (!!!) https://docs.microsoft.com/pt-br/sccm/apps/deploy-use/create-deploy-scripts
  • Suporte ao novo Windows Update for Business 1703
  • Integração com o Operations Manager Suite (OMS)

Capture

Posted: set 11 2017, 14:56 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Windows 10 Creators Update–Informações para Administradores

Semana passada a Microsoft liberou a nova versão, ou build, do Windows 10.

Ano passado tivemos a Anniversary Update e continuando o ciclo de vida do Windows 10 este ano o Creators Update.

Algumas perguntas são interessantes considerarmos.

Como baixar o Windows 10 Creators Update

O método recomendado é esperar pelo Windows Update que está sendo liberado por regiões e no Brasil deve iniciar esta semana.

Mas tambem é possivel baixar um assistente em https://go.microsoft.com/fwlink/?linkid=846364

Outra opção para administradores que precisam criar uma imagem é utilizar a biblioteca do MSDN e baixar o ISO ou utilizar o link http://go.microsoft.com/fwlink/?LinkId=691209 e baixar a ferramenta de geração para pen drives.

Quais os novos recursos dessa versão para administradores

Muitas novidades!!! Veja no link https://blogs.technet.microsoft.com/windowsitpro/2017/04/05/whats-new-for-it-pros-in-the-windows-10-creators-update

Algumas se destacam como as novas opções no Hyper-V do Windows 10 como as novas opções de visualização que atrapalhavam bastante como DPI, zoom e resolução.

Mas uma das novidades que chamam a atenção é o Windows Configuration Designer (https://www.microsoft.com/pt-br/store/p/windows-configuration-designer/9nblggh4tx22#), ferramenta que permite customizar uma imagem ou criar um arquivo de padronização.

Antes do WCD precisavamos instalar todo o Windows ADK para utilizar o MDT ou outras funcionalidades, e agora podemos apenas utilizar o WCD em modo gráfico Windows 10:

image

Quem pode baixar o Windows 10 Creators Update

Por se tratar de um update, qualquer máquina que já tenha Windows 10, lembrando que a oferta de upgrade gratuito do Windows finalizou já a um bom tempo.

Para os administradores de TI é bom relembrar que agora temos o Windows Enterprise E3 e E5 com recursos especificos e entregues como serviço.

Quem utilizar o Windows Enterprise precisa recriar a imagem caso tenha utilizado o LTSB nos deployments controlados.

Para detalhes do Windows As Services: https://technet.microsoft.com/itpro/windows/update/waas-overview

Posted: abr 18 2017, 10:34 by msincic | Comentários (0) RSS comment feed |
  • Currently 4/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Windows Defender ATP–Entenda o Novo Produto

Parte dos novos recursos do Windows 10 é a capacidade de detalhamento na segurança e integração com recursos do Microsoft DCU (Digital Crime Unit), que é a unidade da Microsoft que trabalha com o departamento de defesa para gerar e identificar ataques ao redor do mundo (https://blogs.windows.com/windowsexperience/2016/03/01/announcing-windows-defender-advanced-threat-protection/).

Tipos de Proteção Disponiveis

Em geral os antivírus são baseados em DAT que são arquivos com assinaturas de vírus e conseguem identificar programas que tenham atividades ou parte destes códigos considerados perigosos. Nessa categoria estão todos os antivírus atuais, o que inclui o Windows Defender.

Já os sistemas de proteção avançados contem com análise comportamental interna e externa, ou seja, eles identificam potenciais ameaças por comportamentos como fazem alguns produtos da Symantec e McAfee, que identifica maquinas enviando pacotes para outras maquinas, logins com força bruta, etc.

Já os sistemas de proteção comportamental com análise externa são produtos bem diferentes. Eles analisam comportamentos de maquinas no ambiente e comunicações externas. Com isso é possível identificar:

  • Um grupo de maquinas recebendo pacotes de uma determinada maquina com conteúdo suspeito
  • Pacotes oriundos de países onde o ataque de phishing e similares são comuns
  • Pacotes oriundos de maquinas já identificadas como “zumbi”

Ou seja, com base na análise do próprio ambiente e de comportamento de hackers, é possível identificar que determinado hacker está tentando invadir uma empresa ao analisas que este hacker está enviando pacotes para a rede da empresa alvo.

 

O que é o ATA e o ATP

Nos produtos Microsoft esse produto é o ATA (Advanced Thread Analisys) que trabalha no Active Directory e logins, e o ATP (Advanced Thread Protection) que trabalha com Machine Learning (análise de dados) sobre os logs das maquinas individuais.

Na prática o Windows Defender ATP trabalha com o mesmo log que o Windows Defender, mas online e com base nas análises e dados do DCU. Com isso é possível identificar ameaças que não são encontradas nos tradicionais DAT ou com base apenas em uma única maquina que é a forma como os antivírus tradicionais trabalham.

O ATA é parte do EMS (Enterprise Mobility Suite), mas pode ser adquirido a parte: https://www.microsoft.com/pt-br/server-cloud/products/advanced-threat-analytics/overview.aspx

O ATP ainda está em preview com acesso por solicitação: https://www.microsoft.com/en-us/WindowsForBusiness/windows-atp

 

Overview do ATP

Como já possuo acesso ao ATP, vamos ver como ele funciona. Para pedir esse acesso, entre na página acima e complete com seus dados. É possível incluir maquinas de seu ambiente, mas o sistema gera algumas maquinas com vírus e problemas para testes automaticamente. Note nas telas abaixo que o usuário utilizado é gerado pela Microsoft para os testes.

Ao receber o acesso, o primeiro passo é indicar tempo de retenção e perfil da empresa que serve para elaborar threads por tipo de segmento:

capture20160724155740716

Na sequencia geramos o pacote ou o script para distribuição das configurações. Note que é possível criar os pacotes para distribuição por GPO, SCCM, Intune ou Local que é o que utilizarei nos meus testes:

capture20160724155906768

O passo seguinte é baixar o pacote, no meu caso o Local Script:

capture20160724155940968

O script contem um arquivo CMD para ser executado manualmente nas maquinas que desejo que o log do Defender seja enviado para o ATP. Esse script cria uma chave no registro para indicar o meu tenant e ativar o ATP:

Capturar

A partir de agora as suas maquinas passarão a enviar dados para o ATP em algumas horas.

No caso do meu teste, posso utilizar os dados da maquina que a Microsoft gera com testes e ver os alertas e o dashboard. A primeira tela é o Dashboard que indica o comportamento geral no ambiente monitorado:

capture20160724161031396

Neste caso não tenho alertas gerados nos últimos 30 dias, mas tenho os de criação do tenant para demonstrar como utilizar o gerenciamento de alertas:

capture20160724155810843

Cada alerta pode ser ignorado, marcado como resolvido ou suprimido em todo o tenant ou apenas para esta maquina específica:

capture20160724155833547

 

Conclusão

Este tipo de análise dos dados é essencial para a segurança da corporação. Em breve disponível como serviço no Azure, o ATP é uma nova forma de analisar e garantir seu ambiente.

Login