Melhores pr\u00e1ticas<\/p>\n\n\n\n
Quando planejar construir uma infraestrutura do Active Directory, \u00e9 bom saber alguns truques para evitar problemas de seguran\u00e7a e configura\u00e7\u00e3o:<\/p>\n\n\n\n
Renomear Admin do dom\u00ednio \u2013 O primeiro usu\u00e1rio usado para iniciar um ataque \u00e9 o administrador, portanto, sua primeira etapa \u00e9 alterar o nome padr\u00e3o do administrador de dom\u00ednio. use uma nomenclatura completamente diferente dos padr\u00f5es, como AdminContosoAD.<\/p>\n\n\n\n
Senha forte para o administrador do dom\u00ednio \u2013 Seguran\u00e7a, seguran\u00e7a e seguran\u00e7a! O administrador do dom\u00ednio deve ter uma senha forte e as credenciais devem ser reservadas.<\/p>\n\n\n\n
Credenciais dedicadas para TI \u2013 Uma das primeiras regras \u00e9 separar credenciais padr\u00e3o do gerenciamento para evitar escalonamento de seguran\u00e7a em caso de ataque externo.<\/p>\n\n\n\n
Atribuir a Permiss\u00e3o Certa \u2013 Se voc\u00ea tem multi admins em sua infraestrutura \u00e9 fundamental atribuir a permiss\u00e3o certa e credenciais \u00fanicas para cada usu\u00e1rio. Ningu\u00e9m deve estar acima dos administradores de dom\u00ednio para evitar a possibilidade de alterar o esquema do AD ou modificar o modelo de floresta.<\/p>\n\n\n\n
Configurar GPO \u2013 Configurando a Diretiva de Grupo por Usu\u00e1rios e Computador, isso permite a granularidade perfeita. Lembre-se de evitar muitos GPOs, mas tamb\u00e9m de consolidar muitas configura\u00e7\u00f5es em um \u00fanico GPO. N\u00e3o use o GPO de Diretiva de Dom\u00ednio Padr\u00e3o!<\/p>\n\n\n\n
Senha forte para usu\u00e1rios \u2013 N\u00e3o apenas o administrador do dom\u00ednio, todos os usu\u00e1rios devem seguir a complexidade da senha. Se voc\u00ea usa o Windows 10, uma ideia \u00e9 configurar o Windows Hello for Business para simplificar o m\u00e9todo de autentica\u00e7\u00e3o, sem reduzir a seguran\u00e7a.<\/p>\n\n\n\n
Ativar Lixeira \u2013 A Lixeira foi introduzida no Windows Server 2008 R2 e \u00e9 a maneira perfeita de restaurar um item em poucos segundos, sem executar uma restaura\u00e7\u00e3o do AD.<\/p>\n\n\n\n
Pelo menos dois controladores de dom\u00ednio \u2013 N\u00e3o importa se sua infraestrutura n\u00e3o \u00e9 uma empresa, voc\u00ea deve ter dois controladores de dom\u00ednio para evitar falhas cr\u00edticas.<\/p>\n\n\n\n
Remover Itens Obsoletos \u2013 N\u00e3o se esque\u00e7a de limpar sua infraestrutura de usu\u00e1rios e computadores onde eles n\u00e3o est\u00e3o mais presentes ou s\u00e3o necess\u00e1rios. Isso evita problemas ou problemas de seguran\u00e7a.<\/p>\n\n\n\n
Um controlador de dom\u00ednio n\u00e3o \u00e9 um computador \u2013 n\u00e3o instale nada dentro de um controlador de dom\u00ednio! Nenhum software, nenhum aplicativo de terceiros, nenhuma fun\u00e7\u00e3o, nada! Um CD deve estar limpo!<\/p>\n\n\n\n
Regra de Conven\u00e7\u00e3o de Nomenclatura \u2013 Defina uma conven\u00e7\u00e3o de nomenclatura antes de criar sua infraestrutura, sobre usu\u00e1rios, clientes, servidores, dispositivos e recursos (grupos, compartilhamento, mais). Isso ajudar\u00e1 voc\u00ea a simplesmente gerenciamento e escalabilidade.<\/p>\n\n\n\n
Corrigir seus CDs \u2013 Os cybercriminosos s\u00e3o r\u00e1pidos em explorar vulnerabilidades conhecidas, isso significa que deve manter sempre atualizada sua m\u00e1quina. Planeje o hor\u00e1rio correto para instalar as atualiza\u00e7\u00f5es do Windows.<\/p>\n\n\n\n
Auditoria \u2013 implante uma solu\u00e7\u00e3o de auditoria para saber quem faz as altera\u00e7\u00f5es. Este n\u00e3o \u00e9 um requisito GDPR, mas tamb\u00e9m \u00e9 uma maneira de evitar problemas de seguran\u00e7a.<\/p>\n\n\n\n
M\u00e1quina Virtual \u2013 Melhores Pr\u00e1ticas
H\u00e1 algumas regras a serem consideradas quando ao criar um controlador de dom\u00ednio em uma m\u00e1quina virtual:<\/p>\n\n\n\n
O CD virtualizado \u00e9 suportado \u2013 iniciando no Windows Server 2012, quando um novo recurso chamado VM Generation-ID foi adicionado, passou a ser suportada a instala\u00e7\u00e3o de um controlador de dom\u00ednio como m\u00e1quina virtual. Deve ser usado um CD f\u00edsico? Depende da infra-estrutura, mas para a maioria das empresas a resposta \u00e9 n\u00e3o. O importante \u00e9 configurar a a\u00e7\u00e3o Iniciar como sempre iniciar em 0 segundos.<\/p>\n\n\n\n
N\u00e3o Checkpoint Virtualizados \u2013 Agora, os pontos de restaura\u00e7\u00e3o para CD s\u00e3o suportados, mas seria melhor evitar essa opera\u00e7\u00e3o.<\/p>\n\n\n\n
Desativar sincroniza\u00e7\u00e3o de hor\u00e1rio \u2013 os controladores de dom\u00ednio esperam que estejam na parte superior da hierarquia de hor\u00e1rio local e que o servi\u00e7o de sincroniza\u00e7\u00e3o de hor\u00e1rio do hospedeiro fa\u00e7a com que ele substitua qualquer outro conjunto de fontes para o servi\u00e7o de tempo do Windows e isso pode causar problemas.<\/p>\n\n\n\n
N\u00e3o coloque controladores de dom\u00ednio no estado de salvo \u2013 Quando uma m\u00e1quina virtual sai de um estado salvo ou \u00e9 revertida para um ponto de restaura\u00e7\u00e3o, a \u00fanica coisa que tem a garantia de corrigir seu rel\u00f3gio \u00e9 o Servi\u00e7o de Sincroniza\u00e7\u00e3o de Tempo. Mas, como informado antes, n\u00e3o deve ser habilitado em controladores de dom\u00ednio virtualizados. Se o rel\u00f3gio se alterar muito, ele pode nunca se corrigir automaticamente.<\/p>\n\n\n\n
N\u00e3o converter o controlador de dom\u00ednio \u2013 N\u00e3o importa se voc\u00ea tem um CD f\u00edsico ou virtual, o conversor est\u00e1 errado e n\u00e3o \u00e9 suportado. Se deseja migrar do VMware para o Hyper-V, o controlador de dom\u00ednio deve ser reinstalado do zero; mesmo caso ao quando tiver um DC f\u00edsico.<\/p>\n\n\n\n
Atualiza\u00e7\u00e3o no local \u2013 Como a convers\u00e3o, a atualiza\u00e7\u00e3o n\u00e3o \u00e9 suportada, portanto, se quiser instalar uma nova vers\u00e3o do Windows Server, planeje implantar uma nova m\u00e1quina, adicione \u00e0 floresta do AD, mova as fun\u00e7\u00f5es FSMO e rebaixe o controlador de dom\u00ednio mais antigo. N\u00e3o h\u00e1 outra maneira!<\/p>\n\n\n\n
R\u00e9plica \u2013 A r\u00e9plica n\u00e3o deve ser usada na maioria dos casos. Se voc\u00ea tiver um site remoto de recupera\u00e7\u00e3o de falhas, pode ser muito melhor configurar outro controlador de dom\u00ednio e usar o sistema de r\u00e9plica do AD porque \u00e9 melhor.<\/p>\n","protected":false},"excerpt":{"rendered":"
Melhores pr\u00e1ticas Quando planejar construir uma infraestrutura do Active Directory, \u00e9 bom saber alguns truques para evitar problemas de seguran\u00e7a e configura\u00e7\u00e3o: Renomear Admin do dom\u00ednio \u2013 O primeiro usu\u00e1rio usado para iniciar um ataque \u00e9 o administrador, portanto, sua<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-157","post","type-post","status-publish","format-standard","hentry","category-sem-categoria"],"_links":{"self":[{"href":"https:\/\/www.geovani.com.br\/index.php\/wp-json\/wp\/v2\/posts\/157","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.geovani.com.br\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.geovani.com.br\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.geovani.com.br\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.geovani.com.br\/index.php\/wp-json\/wp\/v2\/comments?post=157"}],"version-history":[{"count":1,"href":"https:\/\/www.geovani.com.br\/index.php\/wp-json\/wp\/v2\/posts\/157\/revisions"}],"predecessor-version":[{"id":158,"href":"https:\/\/www.geovani.com.br\/index.php\/wp-json\/wp\/v2\/posts\/157\/revisions\/158"}],"wp:attachment":[{"href":"https:\/\/www.geovani.com.br\/index.php\/wp-json\/wp\/v2\/media?parent=157"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.geovani.com.br\/index.php\/wp-json\/wp\/v2\/categories?post=157"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.geovani.com.br\/index.php\/wp-json\/wp\/v2\/tags?post=157"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}