terça-feira, 13 de novembro de 2018

Linux - Verificar se o arquivo existe e é diferente de zero.

Code:

if [ ! -s $FILE ];

then

     echo "Error $FILE does not exists!"

else

     echo "$FILE found!"

fi

 

OR

Code:

#!/usr/bin/expect -f

 

set filename "/tmp/file"

set file_status [file exists $filename]

if { $file_status > 0 } {

     set retcode [file size $filename]

     puts "$filename exists and is $retcode bytes."

} else {

     puts "$filename not found!"

}

 

Linux - redirecionamento padrão de E / S


Este é o redirecionamento padrão de E / S.

Há sempre três arquivos padrão abertos.

·         stdin (0)

·         stdout (1)

·         Stderr (2)

Ex. >/dev/null 2>&1


Portanto, neste exemplo, o stdout ( 1) está sendo redirecionado para /dev/null.

O nulldispositivo é um arquivo de dispositivo que descarta todos os dados gravados nele.

Então stderr está sendo redirecionado para stdout ( 2>&1), portanto stdout e stderr irão para/dev/null

 

> é para redirecionar

/dev/null é um buraco negro onde qualquer dado enviado será descartado

2 é o descritor de arquivo para o erro padrão

> é para redirecionar

&é o símbolo para o descritor de arquivo (sem ele, o seguinte 1seria considerado um nome de arquivo)

1 é o descritor de arquivo para Standard Out

Portanto, >/dev/null 2>&1 redirecione a saída do seu programa para /dev/null. Inclua o Standard Errore Standard Out.

Muito mais informações estão disponíveis na página de redirecionamento de E / S do Projeto de Documentação do Linux .

cronsó lhe enviará um email se houver alguma saída do seu trabalho. Com tudo redirecionado para null, não há saída e, portanto cron, não enviaremos um e-mail para você.

 

quarta-feira, 7 de novembro de 2018

Criptografia EFS e Agente de Recuperação

O objetivo deste artigo é tentar explicar de uma maneira clara e concisa como funciona a criptografia de arquivos nativo do sistema de arquivos NTFS da Microsoft.
Resumidamente, criptografar o arquivo é uma forma de garantir que apenas você poderá ter acesso às informações contidas nele. Ao criptografar um arquivo, ele pode ser aberto apenas por você e, se definido anteriormente, um agente de recuperação do seu computador ou do seu domínio. O agente de recuperação é uma conta de utilizador que também consegue abrir algum arquivo criptografado.

Como criptografar?
Criptografar um arquivo ou pasta é tão simples quanto alterar qualquer outro atributo e o utilizador normalmente não precisa entender este processo a fundo. Basta seguir os seguintes passos:
1 - Botão da direita em cima do arquivo ou pasta
2 - Propriedades
3 - Avançado
4 - Selecionar a opção de criptografar conteúdo para proteger dados
Aconselho sempre evitar criptografar apenas um arquivo. O processo de criptografia de um arquivo individual não faz com que novos arquivos sejam criptografados. Ao abrir um arquivo criptogrado em algum programa que gera um arquivo temporário para salvar as alterações, no momento que você clicar em salvar, ele vai excluir o arquivo original, salvando em definitivo o arquivo temporário. Neste momento o arquivo deixará de ser criptografado. Para evitar isso, marque a criptografia na pasta, selecionando para criptografar todos os arquivos contidos nesta pasta.

Como funciona?
Dentro do perfil do utilizador ele tem um par de chaves de certificado específico para manipular arquivos criptografados. Com uma chave pública ele criptografa o arquivo e com a chave privada ele abre o arquivo criptogrado. Atenção, o certificado está dentro do perfil do utilizador. Caso você tenha algum problam com este perfil, caso ele seja corrompido, se você não tiver um backup deste certificado, não será mais possível abrir algum arquivo criptogrado. Então certifique-se de fazer uma cópia deste certificado e guardá-lo em local seguro.
Para visualizar este certificado:

  1. Execute o MMC
  2. Clique em "Adicionar remover Snap-in"
  3. Selecione Certificado
  4. Selecione "Utilizador Atual"
  5. Em Pessoal, clique em Certificados

Você verá um certificado com o objetivo de "Sistema de Arquivo Criptofado" ou "Encripting File System", com o nome do utilizador logado.
Este é o certificado que você deve copiar em backup para não correr o risco de perder os arquivos criptogrados.  Antes tarde do que nunca, se você trabalha com arquivo criptogrado e não tem backup disso, corra.

O que é o agente de recuperação EFS?
Em um computador, ou no domínio é possível ter um agente de recuperação para arquivos criptogrados. Se isso estiver definido na sua máquina ou na sua rede corretamente, existe uma conta que, se tiver um certificado correto, pode abrir qualquer arquivo criptografado por qualquer pessoa. Você pode até não gostar disso, mas é a única forma que foi pensada para que uma empresa não perca informações críticas em sua rede ou nos seus computadores com a perda de um perfil de utilizador.
Atenção, você precisa definir o agente de recuperação ANTES de criptografar qualquer dado. Se o agente de recuperação for definido corretamente, sua chave pública também é usada no algorítmo de criptografia do arquivo ou pasta, logo, sua chave privada também pode ser usada para descriptofar o arquivo, entendeu?

Para definir um agente de recuperação EFS, faça o seguinte:

  1. Faça logon como um Administrador.
  2. execute o seguinte comando um prompt de comando "cipher /r: certificado" onde certificado é o nome do arquivo do certificado do agente de recuperação.
  3. Quando solicitado, digite uma senha que será usada para proteger esse certificado.

Pronto, você gerou um par de chaves para atribuir a uma conta. Este procedimento acima vai gerar um arquivo .cer (chave pública) e um arquivo .pfx (chave privada).

Agora vamos designar a conta para ser o agente de recuperação propriamente dito.

  1. Crie uma conta para este fim
  2. Faça logon na conta que deseja designar como agente de recuperação
  3. Em certificados, selecione a pasta Certificados - Utilizador Atual\Pessoal\Certificados
  4. No menu Ação, todas as tarefas, clique em Importar
  5. Na página Arquivo a ser importado, digite o caminho e o nome do arquivo do certificado (.pfx)
  6. Digite a senha que você definiu anteriormente
  7. Marque para Selecionar automaticamente o armazenamento de certificados conforme o tipo de certificado
  8. Clique em Concluir
  9. Agora que certificado foi importado com sucesso, vamos atribuí-lo para ser usado como agente de recuperação.  Execute o aplicativo secpol.msc
  10. Em configurações locais, Configurações de Segurança, Diretivas de Chave Públicas, Sistema de arquivos Criptografados, no menu Ação, clique em Adicionar agente de recuperação de dados
  11. Na página Selecionar agentes de recuperação, clique em Procurar nas pastas, e vá para a pasta que contém o arquivo .cer criado anteriormente (chave pública);
  12. Selecionar o arquivo e clique em Abrir
  13. A página selecionar agentes de recuperação, mostra um agente chamado "USER_UNKOWN", ou utilizador desconhecido, Não se preocupe com isso, é normal, não existe a informação do nome do utilizador dentro do arquivo
  14. Clique em Avançar e Concluir

Agora este utilizador pode ser usado para abrir qualquer arquivo criptografado a partir de agora neste computador. Se você administra um domínio, poderá usar uma group policy para poder distribuir esta chave pública do agente de recuperação para todas as máquinas. Assim a conta designada como agente de recuperação é atribuída a todas as máquinas.
Um procedimento de segurança é você fazer um backup da chave privada deste agente em uma ou mais mídias, excluí-la de qualquer computador e deixar a mídia armazenada em cofre. Lembre-se que esta conta tem acesso a todo arquivo dentro da corporação que esteja criptografado.

segunda-feira, 15 de outubro de 2018

Como configurar o log de eventos de diagnóstico do Active Directory e do LDS


Resumo

Este artigo passo a passo descreve como configurar o log de eventos de diagnóstico do Active Directory nos sistemas operacionais Microsoft Windows Server.
O Active Directory registra eventos no log de Serviços de Diretório ou Instância LDS no Visualizador de Eventos. Você pode usar as informações coletadas no log para ajudar a diagnosticar e resolver possíveis problemas ou monitorar a atividade de eventos relacionados ao Active Directory em seu servidor.
Por padrão, o Active Directory registra apenas eventos críticos e eventos de erro no log do serviço de diretório. Para configurar o Active Directory para registrar outros eventos, você deve aumentar o nível de log editando o registro.

Log de eventos de diagnóstico do Active Directory

As entradas do Registro que gerenciam o log de diagnóstico do Active Directory são armazenadas nas seguintes subchaves do Registro: 
Controlador de domínio : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
LDS: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics
Cada um dos seguintes valores REG_DWORD na  subchave Diagnostics representa um tipo de evento que pode ser gravado para o log de eventos:

1 KCC (Knowledge Consistency Checker)
2 Eventos de segurança
3 Eventos da interface ExDS
4 Eventos da interface MAPI
5 Eventos de replicação
6 Coleta de lixo
7 Configuração interna
8 Acesso ao diretório
9 Processamento interno
10 Contadores de desempenho
11 Inicialização / término
12 Controle de serviço
13 Resolução de nomes
14 Backup
15 Campo Engenharia
16 Eventos da interface LDAP
17 Configuração
18 Catálogo global
19 Mensagens entre sites
Novo no Windows Server 2003:
20 Cache de grupo
21 Replicação de valor vinculado
22 Cliente
DS RPC 23 Servidor DS RPC
24 Esquema DS
Novo no Windows Server 2012 e no Windows 8:
25 Mecanismo de Transformação
26 Controle de Acesso Baseado em Declarações

1 Knowledge Consistency Checker (KCC)
2 Security Events
3 ExDS Interface Events
4 MAPI Interface Events
5 Replication Events
6 Garbage Collection
7 Internal Configuration
8 Directory Access
9 Internal Processing
10 Performance Counters
11 Initialization/Termination
12 Service Control
13 Name Resolution
14 Backup
15 Field Engineering
16 LDAP Interface Events
17 Setup
18 Global Catalog
19 Inter-site Messaging
New to Windows Server 2003:
20 Group Caching
21 Linked-Value Replication
22 DS RPC Client
23 DS RPC Server
24 DS Schema
New to Windows Server 2012 and Windows 8:
25 Transformation Engine
26 Claims-Based Access Control

Níveis de registro

Cada entrada pode receber um valor de 0 a 5 e esse valor determina o nível de detalhes dos eventos registrados. Os níveis de registro são descritos como:

  • 0 (nenhum): somente eventos críticos e eventos de erro são registrados nesse nível. Esta é a configuração padrão para todas as entradas, e deve ser modificada somente se ocorrer um problema que você queira investigar.
  • 1 (Mínimo): Eventos de muito alto nível são registrados no log de eventos nessa configuração. Os eventos podem incluir uma mensagem para cada tarefa principal executada pelo serviço. Use essa configuração para iniciar uma investigação quando você não souber a localização do problema.
  • 2 (Básico)
  • 3 (Extensivo): esse nível registra informações mais detalhadas do que os níveis inferiores, como as etapas executadas para concluir uma tarefa. Use essa configuração quando você tiver reduzido o problema a um serviço ou a um grupo de categorias.
  • 4 (verboso)
  • 5  (Interno): este nível registra todos os eventos, incluindo sequências de depuração e alterações de configuração. Um registro completo do serviço é registrado. Use essa configuração quando você rastrear o problema para uma categoria específica de um pequeno conjunto de categorias.

Como configurar o log de eventos de diagnóstico do Active Directory

Para configurar o log de eventos de diagnóstico do Active Directory, siga estas etapas.
Importante: Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, podem ocorrer sérios problemas se você modificar o registro incorretamente. Portanto, certifique-se de seguir estas etapas cuidadosamente. Para proteção adicional, faça o backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema.

  1. Clique em Iniciar e, em seguida, clique em Executar .
  2. Na caixa Abrir , digite regedit e, em seguida, clique em OK .
  3. Localize e clique nas seguintes chaves do Registro. 

Controlador de domínio : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
LDS: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics

Cada entrada que é exibida no painel direito da janela do Editor do Registro representa um tipo de evento que o Active Directory pode registrar. Todas as entradas são configuradas para o valor padrão de 0 (Nenhum).

  1. Configure o log de eventos para o componente apropriado:
    1. No painel direito do Editor do Registro, clique duas vezes na entrada que representa o tipo de evento para o qual você deseja fazer logon. Por exemplo, eventos de segurança .
    2. Digite o nível de log desejado (por exemplo, 2 ) na caixa Dados do valor e clique em OK .
  2. Repita a etapa 4 para cada componente que você deseja registrar.
  3. No menu Registro , clique em Sair para fechar o Editor do Registro.

Notas

  • Os níveis de log devem ser definidos para o valor padrão de 0 (Nenhum), a menos que você esteja investigando um problema.
  • Quando você aumenta o nível de log, o detalhe de cada mensagem e o número de mensagens que são gravadas no log de eventos também aumentam. Um nível de diagnóstico de 3 ou superior não é recomendado, porque o registro nesses níveis requer mais recursos do sistema e pode degradar o desempenho do seu servidor. Certifique-se de redefinir as entradas para 0 depois de concluir a investigação do problema.

quarta-feira, 25 de abril de 2018

Como criar e gerenciar backups de configuração no Internet Information Services 7.0

No IIS 7.0, você pode criar e gerenciar backups de configuração usando a ferramenta Appcmd.exe.

Por padrão, os backups de configuração que você cria usando a ferramenta Appcmd.exe estão localizados em subpastas no diretório:

%SystemDrive%\Inetpub\History

No prompt de comando, digite os seguintes comandos e pressione ENTER:

Como criar um backup de configuração:

cd %Windir%\system32\inetsrv

appcmd add backup backupName

backup especificado é criado no diretório:

%Windir%\system32\inetsrv\backup.

Como listar os backups de configuração existentes

cd %Windir%\system32\inetsrv

appcmd list backup

Como restaurar um backup de configuração

cd% Windir%\ system32\inetsrv

appcmd restore backup backupName

Como excluir um backup de configuração

cd% Windir% \ system32 \ inetsrv

appcmd delete backup backupName

Nota: Os recursos de backup de configuração fazem backup apenas das informações contidas no arquivo raiz ApplicationHost.config. Os recursos de backup de configuração não fazem backup das informações contidas nos arquivos Web.config distribuídos que existem nas pastas de conteúdo dos sites.

domingo, 11 de março de 2018

Adicionando um Grupo do Domínio como Administradores Locais


Duvida:
“Olá Douglas, sou administrador de uma rede com um domínio do AD servidores  e 500 estações windows xp portugues, a equipe de TI é formada por mais 8 técnicos que devem ter direito de administradores nas estações, não queria ter que colocar esse grupo de técnicos como Administradores do Dominio e acho inviável ter que adicionar esse grupo nos Administradores Locais estação por estação. Tem alguma solução mais pratica?”

Resposta:
“Sim, você pode usar os Grupos Restritos do Active Directory para fazer essa tarefa, você cria um grupo que representa os técnicos de suporte, cria ou edita uma GPO que afeta as estações do seu domínio e pronto a questão estará resolvida.” Faça da seguinte maneira:

Abra o Active Directory Users And Computers navegue até a OU em que você armazena os grupos da sua equipe de TI e crie um Grupo de Segurança que representa os técnicos. Nesse artigo criei um grupo de segurança “Administradores Locais” e adicionei as contas de usuários como membros desse grupo. Não vou explicar como criar um grupo no AD, pois todos sabem como fazê-lo.

Vamos a GPO:

Abra o Group Policy Management (GPMC) navegue até a OU que armazena as contas de computadores do domínio clique com o botão direito e selecione “Create a GPO in this domain and Link it here…”


clip_image002[6]
Na tela New GPO forneça um nome amigável para sua política e clique em OK.
clip_image003[6]


Agora clique com o botão direito na GPO criada e selecione Edit.

clip_image005[6]

Na tela Group Policy Management Editor, expanda Computer Configuration / Policies / Windows Settings / Security Settings em Restricted Groups clique com o botão direito e selecione Add Group…
clip_image007[6]

Na tela Add Group adicione o grupo que você criou e clique em OK.
clip_image008[6]


Na tela das propriedades do grupo em “This group is a member of” adicione o grupo “Administrators” e clique em OK.


clip_image009[6]


Feche o Group Policy Management Editor e o Active Directory Users And Computers, espere até que a politica seja aplicada as estações e o grupo já será membro do grupo local “Administradores


clip_image010[6]

 

Uma GPO de configuração aparentemente simples, mas que ajuda muito na administração de um domínio do Active Directory.


 

quinta-feira, 22 de fevereiro de 2018

Como ativar e desativar replicação do Active Directory

A replicação é bidirecional, ocorrendo tanto de entrada e saída. Cada uma dessas instruções pode ser desabilitada / habilitada indepedentemente da outra usando o comando repadmin. O comando repadmin faz parte das ferramentas de suporte, incluídas no Windows por padrão.

Quando você está fazendo grandes mudanças no Active Directory, é recomendável que você desative a replicação de saída no DC que você está modificando. Isso permitirá que você possa testar todas as mudanças que você fez em um único DC sem propagar essas alterações para o restante de seu diretório. Se você cometer um erro ou achar que as alterações feitas não foram bem sucedidas, você pode restaurar um único DC ao invés de ter que realizar uma operação de recuperação de desastre em todo o seu domínio.

Para desativar a replicação de saída em um controlador de domínio, digite o seguinte:

Comando: repadmin /options <DC_NAME> +DISABLE_OUTBOUND_REPL

Para reativar a replicação de saída, digite o seguinte:

Comando: repadmin /options <DC_NAME> -DISABLE_OUTBOUND_REPL

Para desativar a replicação de entrada, digite o seguinte:

Comando: repadmin /options <DC_NAME> +DISABLE_INBOUND_REPL

Para reativar a replicação de entrada, digite o seguinte:

Comando: repadmin /options <DC_NAME> -DISABLE_INBOUND_REPL

É importante notar que a desativação de replicação de saída em um controlador de domínio não terá qualquer efeito sobre a replicação de entrada. O DC ainda receberá atualização de seus outros parceiros de replicação, a menos que você desative a replicação de entrada sobre eles também.

Fazendo uso deste procedimento podemos garantir manutenções e mudanças no DC com mais segurança, evitando a propagação de possiveis erro para o diretório.

Como remover do AD um DC que não pode ser despromovido pelo dcpromo



Algumas vezes encontramos Domain Controllers (DC’s) no Active Directory (AD) pore os mesmos não mais existem em nosso ambiente, mas porque isto acontece?

Não é incomun precisarmos remover um DC da rede, porem nem sempre o processo é realizado da forma correta (pela ferramenta dcpromo), algumas vezes o servidor simplesmente é desligado da rede e ai ficamos com “lixo” do mesmo no AD.

Quando por qualquer motivo enfrentamos este tipo de problema, precisamos realizar o que chamamos de “Metadata Cleanup”, que consiste basicamente em remover o lixo deixado pelo servidor da metabase do AD.

Mas antes disso, vá até o servidor com o Windows Server 2003 e use o dcpromo /forceremoval e assim que o processo finalizar, desligue o servidor.

Para realizarmos esta limpeza, precisamos apenas iniciar a ferramenta “ntdsutil” (atraves de uma console MS-DOS ou do menu iniciar/executar/ntdsutil), em seguida devemos executar os seguintes comandos (todo comentario se encontra entre parenteses):

·          metadata cleanup

·          connections

·          connect to server nome-do-servidor (onde o nome-do-servidor não deve ser o nome do servidor a ser removido e sim o nome de um DC funcional da floresta)

·          quit

·          select operation target

·          list domains

·          select domain X (onde X é o numero do dominio que contem o servidor a ser removido)

·          list sites

·          select site X (onde X é o numero do site que contem o servidor a ser removido)

·          list servers in site

·          select server X (onde X é o servidor a ser removido)

·          list current selections (para que seja exibida uma lista com as seleções realizadas – dominio, site e servidor)

·          quit

·          remove selected server

·          quit

·          quit

Se estiver utilizando o SP1 (ou superior) do Windows 2003 server, fica mais simples a remoção, basta utilizar o ntdsutil da seguinte forma:

    • ntdsutil "Metadata Cleanup" "Remove selected server CN=DC-01,CN=Servers,CN=Site-01,CN=Sites,CN=Configuration,DC=jsathler,DC=spaces,DC=live,DC=com" Quit Quit

Caso este seja um dominio filho ou um dominio em outra arvore, sera necessario remover tambem atraves do Ntdsutil o dominio:

·          metadata cleanup

·          connections

·          connect to server nome-do-servidor (onde o nome-do-servidor pode ser qualquer DC funcional na floresta)

·          quit

·          select operation target

·          list domains

·          select domain X (onde x é o numero do dominio a ser removido)

·          remove selected domain

·          quit

·          quit

Caso o servidor removido tenha sido o proprietario de alguma das regras FSMO, sera necessario fazer a transferencia das mesmas para outro servidor, para esta operacao tambem é utilizado o Ntdsutil (so utilize a opcao “Seize” se realmente o servidor for removido da floresta, caso contrario utilize “transfer”):

·          roles

·          connections

·          connect to server nome-do-servidor (onde o nome-do-servidor é o servidor que recebera as regras FSMO)

·          quit

·          seize domain naming master  (uma janela aparecera pedindo a confirmação)

·          seize infrastructure master

·          seize PDC

·          seize rid master

·          seize schema master

·          quit

·          quit

No servidor DNS remova todas as entradas referentes ao servidor removido, para esta operação garanta que os seguintes registros sejam removidos:

·          Alias existente na zona _msdcs.dominio-root.com.br (procure pelo ID que aponte para o servidor removido)

·          Caso o mesmo tenha desempenhado a funcao de DNS server , nas propriedades da zona remova o servidor da guia “Name Servers”

·          Expanda a zona _tcp.nome-site._sites.dc._msdcs.dominio-root.com.br e exclua os registros referente ao servidor removido

·          Expanda a zona _tcp.dc._msdcs.dominio-root.com.br e exclua os registros referente ao servidor removido

·          Expanda a zona _tcp.id-dominio.domains._msdcs.dominio-root.com.br e exclua os registros referente ao servidor removido

·          Caso o servidor removido fosse um GC sera necessario remover as entradas sob a zona _tcp.nome-site._sites.gc._msdcs.dominio-root.com.br, _tcp.gc._msdcs.dominio-root.com.br e gc._msdcs.dominio-root.com.br

Através da ferramenta Active Directory Sites and Services expanda o site onde se encontrava o servidor e exclua o objeto com o nome do mesmo.

Fonte:https://jsathler.wordpress.com/2008/09/06/como-remover-do-ad-um-dc-que-nao-pode-ser-despromovido-pelo-dcpromo/