Heinzi's questions

TL;DR : Veja o título.

Histórico : Antigamente, fazíamos muitas coisas ruins: usávamos o mesmo servidor para o Active Directory e outros serviços (alguém se lembra do Windows Small Business Server?), e não seguíamos as práticas recomendadas com relação às Diretivas de Grupo .

Felizmente, esses dias acabaram, mas ainda usamos o mesmo domínio do Active Directory de antigamente. Recentemente, notamos que a "Política padrão do controlador de domínio" contém entradas que obviamente não estão mais corretas (como o exemplo mais notável, usuários regulares e contas de serviço desatualizadas podem fazer logon localmente em nossos controladores de domínio). Gostaria de "limpar" a política e garantir que seguimos as recomendações de segurança atualizadas.

Sei que é possível redefinir essa política com dcgpofix.exe, mas tenho medo de quebrar alguma coisa fazendo isso. Em vez disso, eu gostaria de

• compare cada configuração atual da "Política padrão do controlador de domínio" com a configuração padrão ,
• certifique-se de que entendi o que essa configuração faz e
• em seguida, redefina-o para a configuração padrão se tiver certeza de que a modificação não é mais necessária.

Para fazer isso, no entanto, preciso ver a "Política de controlador de domínio padrão " padrão, e uma pesquisa no Google sobre isso me falha (provavelmente devido ao duplo significado de "padrão" neste contexto). Daí minha pergunta:

Quais são as configurações padrão para a "Política de controlador de domínio padrão" em um domínio do Active Directory recém-criado?

Agora são 19h01. Isto é o que a janela Tarefas agendadas no meu Windows Server 2016 mostra:

Como você pode ver, a tarefa destacada é:

• acionado para executar em xx:15 a cada hora,
• está programado para ser executado novamente às 19:15 e
• última corrida às 16:15.

Quando verifiquei cerca de uma hora atrás, o "Próximo tempo de execução" era "08.02.2017 18:15:00". No entanto, como você pode ver na captura de tela, ele não foi executado e o histórico de tarefas não me diz o motivo.

Para completar, as configurações restantes da tarefa são:

• Guia Geral : conta do SISTEMA, "executar com privilégios mais altos" .
• Aba Condições : nenhuma marcada.
• Guia Configurações : "Permitir que a tarefa seja executada sob demanda" , "Interromper a tarefa se ela for executada por mais de 3 dias" e "Se a tarefa em execução não terminar quando solicitada, forçar sua parada" estão marcadas. Se a tarefa já estiver em execução, a opção "Não iniciar uma nova instância" será selecionada.

Quais etapas posso seguir para descobrir por que a tarefa às vezes não inicia?

Como uma pequena loja (~ 10 PCs), temos apenas uma máquina de servidor físico. Esta máquina servidora física executa as duas máquinas virtuais a seguir:

• um controlador de domínio AD e
• um "servidor de produção" (servidor de arquivos, servidor de banco de dados, etc.).

Agora, todos os guias de melhores práticas disponíveis me dizem que ter um segundo controlador de domínio do AD (um "DC de backup") é altamente recomendado.

Colocá-lo na mesma máquina física que o controlador de domínio principal parece bastante inútil, então pensei em colocá-lo como uma VM em uma das estações de trabalho mais fortes, que geralmente funcionam 24 horas por dia, 7 dias por semana. Como é apenas um DC de backup, eu daria a ele muito poucos recursos de CPU/RAM, portanto não deveria afetar muito o usuário.

Isso soa como um bom plano ou há alguma armadilha que eu deveria estar ciente?

Eu tenho um servidor Windows (físico, não do Azure!) cujos arquivos são copiados automaticamente usando o backup do Azure .

Se o servidor for comprometido, quanto dano aos backups o invasor pode causar?

Antecedentes : as gerações mais recentes de ransomware têm a infeliz tendência de procurar e excluir ativamente backups (cópias de sombra de volume, discos rígidos externos, etc.). Acho que é apenas uma questão de tempo até que eles comecem a direcionar os backups em nuvem também.

Pesquisas que já fiz : acho que o pior dano que um invasor poderia causar seria diminuir o período de retenção para o mínimo de 7 dias, destruindo assim os backups com mais de uma semana. Examinei os cmdlets do Powershell de backup do Azure (que parecem ser a API oficial para a instrumentação do backup do Azure) e não encontrei nenhuma maneira de excluir ou substituir pontos de recuperação explicitamente.

Pergunta relacionada : Protegendo o backup do Azure contra exclusão maliciosa . Essa pergunta é sobre o caso em que as credenciais de gerenciamento do Azure são comprometidas. Minha pergunta é sobre o caso em que apenas um servidor registrado no cofre é comprometido, mas as credenciais de gerenciamento são seguras.

Temos a seguinte configuração:

• Um controlador de domínio ( DC , Server 2003 R2 Standard x64)
• Um SQL Server ( SQL , Server 2008 R2 Standard x64)
• alguns clientes.

Todas as máquinas estão no mesmo domínio. Todas as contas de usuário em uso são contas de domínio. O SQL executa uma instância de cada SQL Server 2005, 2008, 2008R2, 2012 e 2014.

Desde esta noite ( DC reiniciado para instalar atualizações automáticas de segurança do Windows), o acesso às instâncias SQL 2005, 2008 e 2008R2 por meio da autenticação do Windows não funciona mais corretamente:

Ao acessar uma dessas instâncias

• de um dos clientes
• usando a autenticação do Windows

ocorre o seguinte erro (é a mensagem 2008R2, as mensagens 2005/2008 são semelhantes):

Falha na autenticação. O login é de um domínio não confiável e não pode ser usado com a autenticação do Windows. (Microsoft SQL Server, erro: 18452)

Obviamente, o texto da mensagem não se aplica, pois existe apenas um domínio.

Agora o surpreendente é que assim que o usuário estiver logado no SQL (iniciando uma sessão RDP ou simplesmente executando runas /user:MYDOMAIN\someuser cmde mantendo a janela aberta), este usuário poderá acessar todas as instâncias do SQL Server de todos os clientes sem nenhum problema até o processo rodar com as credenciais desse usuário estão fechadas.

Isso significa que posso contornar esse problema executando o comando runas acima para todos os usuários no SQL uma vez (e mantendo as janelas abertas), mas, obviamente, algo está gravemente quebrado. Suspeito que as atualizações de segurança desta noite no DC tenham algo a ver com isso (já que foi a única coisa que mudou), mas prefiro evitar desinstalar e reiniciar cada um deles (12 atualizações foram instaladas e o DC é muito antigo e lento).

Alguém já encontrou esse problema antes e sabe como corrigi-lo permanentemente? Alguma outra ideia (além de passar os próximos dias se tornando um especialista em Kerberos)?