Projeto S2b2008 Infra-estrutura - Poa

Patrícia Matos, Maicon Pinto, Thiago Lemos

O projeto foi desenvolvido para aplicar os conhecimentos adquiridos durante treinamento sobre as ferramentas do Windows Server 2003. Utilizamos todas ferramentas que encontramos necessidade em nosso projeto, que teve como princípio a projeção de uma empresa fictícia. Este projeto, necessário como projeto de conclusão do programa S2B (Students To Bussiness), foi desenvolvido em um ambiente virtual. Neste ambiente, dispomos de apenas uma máquina cliente e uma máquina servidor, para nelas realizarmos configurações do aprendizado prático de conteúdo que foi ensinado durante o treinamento. Como parte obrigatória e fundamental deste projeto, foi criado o domínio Adna.mpt. A origem do nome adna é fictícia, porém o nome mpt vem dos integrantes participantes do projeto: Maicon, Patrícia e Thiago. É com toda base neste domínio que iremos configurar toda nossa estrutura para que seja capaz de rodar os serviços que serão descritos nos tópicos a seguir.

O projeto é baseado na seguinte topologia: Possui um servidor onde está ligado dois switches. Neles estão conectados todos os computadores, onde há uma divisão estrutural lógica, separando a administração (membros do Grupo Responsáveis) da sala dos funcionários (membros do Grupo Func). Utilizamos também como topologia de rede, a topologia em estrela. O servidor, possui conexões com a entrada de facilidades do prédio, onde supostamente vem a conexão WAN, e possui conexões a rede interna, oferecendo serviços. Utilizamos de switches não-gerenciáveis (por não haver necessidade). Cada máquina cliente, possui uma única placa de rede com o computador já configurado para acesso somente ao domínio Adna.mpt.

Para o serviço do Active Directory, foram criados 2 Grupos e 4 Unidades Organizacionais e 6 usuários. Os usuários criados são os seguintes, em suas respectivas Unidades Organizacionais:

Além destes usuários, foram criados mais 2 usuários para uso de Template com algumas configurações já pré-definidas. Estes usuários estão com algumas configurações como Grupos já configurados, também estão desativados para evitar que se façam uso deles no logon da rede. Estes usuários são:

Para todos estes usuários, foram criados 4 Unidades Organizacionais. Com estas unidades Organizacionais, foram criadas GPOs (Group Policy Objects, tendo como tradução "Objetos de Diretiva de Grupo") para aplicação de permissões de usuários, que serão explicadas no próximo tópico.

As Unidades Organizacionais tem os seguintes objetivos e foram criadas para conter membros específicos de cada setor da empresa. Eles estão descritos abaixo conforme a Unidade Organizacional respectiva. • Dono: Unidade Organizacional que possui como membros, os donos da empresa de uma forma geral. • Gerente: Têm como membros, usuários de alto nível da empresa que devem possuir um controle administrativo tão similar como os Donos da Empresa. • Funcionários: Possui todos os funcionários da empresa de um modo geral. • Estagiários: Uma Unidade Organizacional específica um setor da empresa específico de Estagiários. Contendo em suas GPOs permissões mais restritas, sendo filha da Unidade Organizacional Funcionários. Os grupos criados contém como membros, seus respectivos usuários para controle de permissão em pastas e acesso remoto a rede via VPN. Os grupos são:

Estes grupos agrupam de forma geral os usuários de acordo com seus níveis de permissões. Os usuários membros de cada grupo, estão descritos abaixo, de acordo com seu respectivo grupo. • Func: Possui como membros todos os usuários das Unidades Organizacionais Funcionários e Estagiário. É o grupo definido como padrão para os funcionários da rede. Todos com as mesmas permissões que são aplicadas sobre o grupo.

• Responsáveis: Este grupo tem como membros todos os usuários administrativos da empresa e suas respectivas permissões aplicadas sobre o grupo. Os usuários deste grupo pertencem as Unidades Organizacionais Dono e Gerente .

Para a organização das Unidades Organizacionais foram criadas 4 GPOs. As GPOs são aplicadas para diferentes Unidades Organizacionais, respeitando a hierarquia da empresa. Abaixo apresentamos as configurações de GPOs de forma geral. • WSUS: Esta diretiva é aplicada a todos os membros do domínio. Em suas configurações, foram aplicadas as seguintes diretivas: 1. Configuração do endereço IP padrão do servidor: Permite que todos os computadores ligados a rede recebam as atualizações do Windows através do endereço IP do servidor mencionado. • Restrição do gerente: Aplicada somente a Unidade Organizacional Gerente. Para membros desta Unidade Organizacional, foram aplicadas as seguintes medidas: 1. Bloqueada o rastreamento do usuário, para que haja maior privacidade dos usuários. 2. Bloqueada a opção Propriedades dos Meus Documentos, evitando qualquer tipo de erro relacionado a esta pasta. 3. Instalação automática do sistema de cópias de sombra, por ser a única Unidade Organizacional a utilizar o sistema, será a única que terá controle de versão. • Restrição funcionários: Aplicada somente a Unidade Organizacional Funcionários e seus filhos. As diretivas adotadas são: 1. Restringidos as opções de personalização da aba Internet Explorer, havendo assim uma padronização entre todos os computadores; 2. A execução do Windows Messeger foi bloqueada, assim o usuário mantem o foco no serviço. 3. Acesso ao Painel de Controle foi definido com o parâmetro restrito, para evitar que o funcionário desinstale ou instale programas no computador e/ou mude as configurações do mesmo. • Restrição estagiários: Aplicada à Unidade Organizacional Estagiários. 1. Restringindo as opções de personalizar pesquisa e autocompletar senha no Internet Explorer, para maior segurança dos usuários. 2. Bloqueando as configurações que permitem personalizar da Área de Trabalho, para manter o padrão e evitar possíveis erros. 3. Impossibilitando a exclusão de impressoras. A Unidade Organizacional Dono não possui restrições, pois mantêm a hierarquia da empresa, onde ocupa o topo, logo, não há restrições.

Foram definidas configurações de backup. Os backups foram definidos nos compartilhamentos do volume E. Três tipos de backups foram utilizados e distribuidos em dias alternados. Os backups foram organizados da seguinte forma para conseguir obter um melhor desempenho no servidor: Domingo

Segunda

Terça

Quarta Normal

Quinta

Sexta

07:00

Incremental Incremental

15:00

Diferencial Incremental Incremental Diferencial Incremental

Sábado

Incremental Incremental

Os tipos de backups utilizados são os seguintes: • Diferenciais: Estas são copiadas com todas as modificações a partir do último backup normal. Para melhor distribuição e garantir uma rápida restauração. É salvo num arquivo chamado backup-diferencial.bkf no volume E.

• Incrementais: São cumulativas em relação ao backup Normal. Também foram ajustadas para facilitar a restauração de backups. É salvo num arquivo chamado backup-incremental.bkf no volume E.

• Normais: São os backups completos. Utilizamos somente uma vez por semana, para não ficar com uma carga muito pesada. É salvo num arquivo chamado backupnormal.bkf no volume E.

Para trabalhar em conjunto com o WSUS, foi criado a GPO WSUS que atribuída a todo o domínio, permite que todos os computadores tenham as atualizações baixadas diretamente do servidor local, sem gastar tráfego WAN.

A diretiva de segurança foi definida em todo o domínio em conjunto com a diretiva padrão do domínio.

DFS baseia-se na agregação de compartilhamentos em uma única pasta. Para este projeto, instalamos e configuramos o serviço de DFS. Como não dispomos de dois servidores para nosso projeto, utilizamos de dois compartilhamentos criados no próprio servidor. Ambos compartilhamentos estão localizados na Raiz da unidade padrão do sistema operacional. A configuração do DFS se deu através da criação de uma pasta nomeada DFS na unidade Raiz. Ela está compartilhada na rede com o nome de Geral. E possui em seu interior, agregação dos outros dois compartilhamentos que o servidor faz, estes chamados de Gerente e Peao, e nomeados em uma pasta com os nomes, respectivamente, Gerente e Peão.

Os compartilhamentos tem as permissões de seus compartilhamentos definidas da seguinte maneira: • \\adna.mpt\pública: Este compartilhamento é o compartilhamento pertencente ao serviço de DFS que realiza a distribuição das pastas compartilhadas agregadas. Para esta pasta, todas as permissões estão padrão, tanto as permissões baseadas no próprio compartilhamento, como as de segurança do NTFS. Como as configurações do compartilhamento em si não foram alteradas, somente é possível a permissão de Leitura destas pastas, assim sendo, conseguimos evitar que usuários criem pastas alheias no compartilhamento principal, forçando-os a criarem estas pastas somente em seus respectivos compartilhamento de acesso.

• \\adna.mpt\peão: Está definido de maneira básica, permitindo somente que usuários do grupo Func consigam obter acesso ao compartilhamento. Como o acesso público a estas pastas será feita somente pela rede, não há porque alterar as permissões de segurança do NTFS da pasta, somente as permissões do compartilhamento já atendem nossas exigências.

• \\adna.mpt\gerente: Partindo do mesmo princípio do item anterior, definimos somente acesso aos usuários do grupo Responsáveis. As configurações de segurança do NTFS continuam as mesmas para o compartilhamento.

A opção de acessar arquivos off-line estando fora da rede, é um meio de acessibilidade muito bom tratando-se de pessoas que fiquem viajando e necessitam acessar seus dados sem estar no local. Pensando nesta possibilidade, a opção de permitir arquivos off-lines foi ativada no compartilhamento da pasta Gerente. Como nesta pasta somente terão acessos os usuários do grupo Responsáveis, o mais alto nível da hierarquia da empresa, então foi automatizado o processo para que eles tenham sempre acesso a seus conteúdos off-line sem nenhuma preocupação.

Foi executado a configuração do serviço de DNS através das ferramentas administrativas. Por já haver o endereço ip estático no servidor, foi seguido a configuração padrão: • Criar uma zona de pesquisa direta: Escolhemos esta opção por que não temos uma grande empresa e nem somos usuários avançados ainda para configurar as dicas de raiz. • Este servidor mantém a zona para o local do servidor primário. • Nome da zona: Nomeamos esta zona como Adna.mpt de origem fictícia. • Arquivo de zona: Utilizado nome padrão para o arquivo. • Atualizações dinâmicas: Preferimos em caso de atualização fazermos isto manualmente, impedindo que seja feito atualizações de origens não confiáveis, marcando então a opção "Não permitir atualizações dinâmicas".

A configuração do serviço de DHCP se dá através das principais configurações. O serviço foi instalado e foi configurado com as seguintes configurações abaixo, note que o endereço IP do servidor é fixo e se dá por 192.168.1.1. • Escopo dos endereços: Foi utilizado como escopo para nossa pequena empresa, a faixa de endereços IPs de 192.168.1.1 até 192.168.1.254. Com esta faixa,

•

• • • •

conseguimos atender a necessidade de 254 máquinas dentro de nosso domínio, considerando que nossa empresa, é uma empresa de pequeno porte. Endereços reservados para não-uso: Restringimos ao serviço DHCP de distribuir o endereço 192.168.1.1, pois este endereço IP é o endereço do servidor. Mesmo sabendo que o IP do servidor é definido estaticamente, abrangimos ele dentro do escopo para que fosse possível a demonstração da ferramenta. Máscara da rede: Foi utilizado uma máscara de Classe C, configurada como 255.255.255.0. Usamos justamente esta máscara de rede, por ser a mais apropriada para empresas de pequeno porte e redes onde não haverá muitos computadores. Gateway padrão: O gateway padrão definido foi o próprio servidor, pois nele há o serviço de roteamento ativado que será explicado num tópico mais a frente. Definido como 192.168.1.1. Servidor de DNS: Utilizamos somente de um servidor de DNS, que é o próprio servidor. Definido como 192.168.1.1. Servidor WINS: Não foi configurado pois não há necessidade de sua utilização na rede.

Nas configurações de diretivas de segurança do controlador de domínio foram deixadas as configurações padrões, já que este não exige maior segurança. armazenamento. • Configuração de Segurança do Controlador de domínio

Já nas configurações de segurança do domínio foram alteradas: aplicação de armazenamento de senhas usando criptografia reversível, comprimento mínimo de senha modificado para 8 e o tempo máximo de vida para 12 dias. • Configuração de Segurança do Domínio

Instalado e configurado o MBSA para corrigir possíveis erros de segurança, aplicativos e atualizações críticas dos sistemas utilizados na empresa. Em configuração avançada, foi alterado o arquivo NoExpireOk.txt (localizado na pasta do MBSA) para que os usuários Administrador, tfl e mal não sejam detectados ao ser feita a análise devido à configuração de suas senhas não expirarem.

Cópias de sombra são usadas para recuperar arquivos, rever versões anteriores. Isso permite que versões anteriores de arquivos sejam recuperadas. A cada horário prédeterminado ele cria a cópia das versões anteriores dos arquivos para que sejam feitas as restaurações caos necessárias. Foi instalado o serviço de controles de versão de arquivos para obter cópias de sombra do volume E. Configurado para todos os dias úteis, às 7:00 e às 12:00.

Para permitir acesso dos computadores clientes à internet, o servidor foi configurado como um roteador e gateway padrão da rede local. Foi ativado o serviço de roteamento entre a porta de conexão local e a porta com conexão externa (WAN).

Com esta configuração o servidor age como se fosse o roteador da rede, servindo como escape para pacotes que não sejam voltados a sua rede. Isso permite que clientes conectem a locais fora de sua rede. Também nestas mesmas configurações, foi permitido a configuração de conexões VPN a rede. Membros do grupo Responsáveis podem conectar remotamente a rede via VPN através do servidor, utilizando um link WAN.

Problemas na execução na área de proteção contra falhas. Raid, não pode ser executado devido a ausência de um segundo disco.