PDF

MANUAL DE NOES DE ADMINISTRAO DE REDES DE DADOS
Qualidade
Nome do documento: Noes de Administrao de Redes de Dados Verso: 1.00 Nome do ficheiro: Manual AGR.doc Responsvel pelo documento: Lus Manuel da Silva Barrona Revisor: Jos Manuel Castro Ribeiro Autor: Lus Manuel da Silva Barrona Copyright: Comentrios:
Historial de documento
Verso 1.00 Data Responsvel 28.08.2007 Lus Barrona Principais alteraes Criao do documento verso 1.00
Manual de Noes de Administrao de Redes de Dados CINEL Centro de Formao Profissional da Indstria Electrnica
pg. N 2
ndice
Introduo ......................................................................................................................... 6 1. Definio de polticas e requisitos da organizao ....................................................... 7 1.1. O Modelo da organizao .............................................................................. 8 1.3. Bases de dados ................................................................................................. 13 1.4. A implementao digital do Sistema de Informao ....................................... 15 1.5. Questionrio final do captulo 1 ...................................................................... 16 2. Planeamento, instalao e manuteno de uma intranet............................................. 17 2.1. O que uma INTRANET? .............................................................................. 18 2.2. Planeamento de uma Intranet .......................................................................... 20 2.3. Instalao e manuteno de uma Intranet. ....................................................... 22 2.4. Questionrio final do captulo 2 ...................................................................... 23 3. Definio de perfis de utilizao e nveis de segurana ............................................. 24 3.1. Caracterizao dos servios comuns ao domnio ............................................ 25 3.1.1. Domnio ........................................................................................................ 26 3.1.2. Organizational Units, (OUs) .......................................................................... 28 3.1.3. Utilizadores .................................................................................................... 29 3.1.4. Pastas partilhadas (Shared Folders) ................................................................. 31 3.1.5. Grupos ........................................................................................................... 31 3.1.6. Computadores ................................................................................................ 32 3.2. Definio da poltica de acesso informao ................................................. 33 3.2.1. Atribuio de User Login Names .................................................................... 33 3.3. Criao de Roaming Profiles ........................................................................... 34 3.4. Questionrio final do captulo 3 ......................................................................... 45 4. Planificao e Gesto de Domnios. Servios fundamentais. ..................................... 46 4.1. O Conceito de DNS (Domain Name System) .............................................. 47 4.2. DHCP - Dinamic Host Configuration Protocol ............................................... 50 4.2.1. O RARP ........................................................................................................ 50 4.2.2. O BOOTP ..................................................................................................... 52 4.2.3. DHCP ........................................................................................................... 52 4.3. Gesto de Acessos a recursos da Active Directory ............................................. 60 4.4. Questionrio final do captulo 4. ..................................................................... 64 5. Monitorizao da rede. ............................................................................................... 65 5.1. A monitorizao de uma rede. ......................................................................... 66 5.2. O protocolo SNMP como standard na Monitorizao de redes ...................... 66 5.2.1 Funcionamento bsico ..................................................................................... 67 5.2.2 O Agente SNMP ............................................................................................ 68 5.2.3. Gestores SNMP .............................................................................................. 69 5.2.4. Operaes do Protocolo .................................................................................. 69 5.2.5. Management Information Base (MIB)............................................................. 70 5.2.6. Segurana no Protocolo SNMP ....................................................................... 71 5.2.7. Limitaes do SNMP ................................................................................... 72
Manual de Noes de Administrao de Redes de Dados CINEL Centro de Formao Profissional da Indstria Electrnica pg. N 3
5.3. Questionrio de final do Captulo 5 ................................................................. 74 6. Polticas de backup, redundncia e fiabilidade ........................................................... 75 6.1 A segurana da informao. ............................................................................. 76 6.2. O Backup e o Restore ...................................................................................... 77 6.3. Tipos de Backups ............................................................................................ 78 6.4. Suportes de backup .......................................................................................... 79 6.5. Servios de backup e recuperao de dados .................................................... 81 6.6. Questionrio final do captulo 6 ...................................................................... 82 7. Gesto de redes com ferramentas centralizadas ......................................................... 83 7.1. O problema da gesto de uma rede .................................................................. 84 7.2. O GFI Languard-NSS ...................................................................................... 85 7.2.1. Requisitos do sistema ................................................................................... 85 7.2.2. Preparao dos postos remotos na rede ............................................................ 86 7.2.3. A Instalao do GFI LANGUARD NSS ......................................................... 88 7.2.4. Utilizao do GFI LANGUARD..................................................................... 91 7.2.5. Vulnerabilidades ........................................................................................... 96 7.2.6. Password POLICY SETTINGS ...................................................................... 99 7.2.7. REGISTRY SETTINGS ............................................................................... 100 7.2.8. OPEN PORTS ............................................................................................ 102 7.2.9. Configurao do GFI LANGUARD ............................................................. 112 7.2.10. Instalao remota de software ..................................................................... 117 7.3. Questionrio de final do Captulo 7 ............................................................... 126 8. Gesto remota de Sistemas e Aplicaes ................................................................. 127 8.1. O Epolice Orchestrator .................................................................................. 128 8.1.1. Conceitos e Instalao do EPO ................................................................... 129 8.1.2. Operao e Gesto do EPO ........................................................................... 130 8.2. O Windows Server Update Services (Wsus) ................................................. 138 8.2.1. Conceitos e instalao do WSUS .................................................................. 138 8.2.2. Configurao e Gesto do WSUS .............................................................. 144 8.3. Questionrio final do captulo 8 .................................................................... 145 9. Polticas de licenciamento, suporte e manuteno ................................................... 146 9.1. A questo do licenciamento de software ....................................................... 147 9.1.1. Software Freeware ........................................................................................ 147 9.1.2. Software com Licenciamento Shareware ....................................................... 147 9.1.3. Software com Licenciamento genrico .......................................................... 148 9.1.4. Software pr-instalado em computadores novos (software OEM) ............. 149 9.1.5. Licenciamento em grandes volumes para organizaes ................................. 149 9.2. Outros tipos de licenciamento ....................................................................... 151 9.3. Questionrio de final de Captulo 9 ............................................................... 153 10. Estruturas de Apoio aos Utilizadores (Help-Desk) ................................................ 154 10.1. O Help-desk (Apoio aos utilizadores) ......................................................... 155 10.1.1. O Conceito de Help-desk .......................................................................... 155 10.1.2. Actividades de Help-desk............................................................................ 155 10.1.3. Nveis de Help-desk .................................................................................... 155
10.1.4. Escalonamento de incidentes....................................................................... 158 10.2. Questionrio final do captulo 10 ................................................................ 160 Bibliografia ................................................................................................................... 161
pg. N 5
Introduo
A Informao transformou a nossa Sociedade. A necessidade de deter e partilhar informao, transformou-se na principal actividade nos tempos que correm. A informao est em todo o lado e facilmente se recolhe, trata e organiza. Filtra-se e cruza-se informao para os mais variados fins. por isso, bastante importante recolher e gerir dados, para que se possa produzir informao crtica para decises que podem mudar a forma de estar do Estado, das empresas e dos particulares. A gesto da informao numa organizao passou por ser primeiramente uma tarefa da rea financeira, resumindo-se inicialmente a processamento de salrios e contabilidade empresarial. S mais recentemente se passou a encarar a informao como um todo, que articuladamente interage com todas as reas da empresa ou organizao, Nesta altura a gesto da informao passou a ser uma preocupao da Administrao de topo das organizaes, sendo fundamental para as suas decises estratgicas. As matrias abordadas neste manual destinam-se a fornecer aos leitores, os conceitos bsicos que permitam o planeamento e instalao de uma rede informtica, bem como a sua gesto e monitorizao, quer da rede propriamente dita, quer dos vrios sistemas que ela suporta. A utilizao deste tipo de sistemas extremamente importante nos dias que correm pois s uma gesto e manuteno cuidada e atenta permitir o funcionamento seguro, fivel e eficiente de todo o sistema de informao da organizao em que se insere. Pretende-se ainda, atravs de um mtodo de instalao e configurao passo a passo, familiarizar o leitor para a execuo das tarefas mais usuais com o software de gesto de redes, dos servios mais generalizados e das aplicaes mais comercializadas.
pg. N 6
1. Definio de polticas e requisitos da organizao
Objectivos do Capitulo:
No final do captulo o leitor dever ser capaz de explicar o que um sistema de informao e os mtodos para desenhar um sistema informtico, baseado no levantamento das suas componentes de processos e tecnologias.
pg. N 7
1.1. O Modelo da organizao Definio do Sistema de Informao (SI)

Um sistema de informao pode ser definido como um conjunto interrelacionado de componentes capazes de recolher, armazenar, processar e disponibilizar informao, com o propsito de apoiar o planeamento, a coordenao, a anlise e a tomada de deciso. Os Sistemas de informao para a Gesto baseiam-se no estudo, desenvolvimento e uso de sistemas de informao efectivos nas organizaes que conduzam ao normalizar (standardizar) de processos e fluxos de informao. Embora em termos tericos um sistema de informao possa ser implementado de um modo puramente manual, esta possibilidade torna-se cada vez menos praticvel tendo em conta o aumento da concorrncia entre empresas num mercado cada vez mais global, mesmo para organizaes de dimenses relativamente reduzidas. Nesta abordagem, o conceito de sistema de informao ser sinnimo de Sistema de Informao Automatizado, baseado ou suportado por Tecnologias de Informao e Comunicao, ou seja um sistema informtico, no sentido de que j possui as componentes de processos, e tecnologias interligados. Os sistemas de informao podem ser subdivididos, tendo em conta a sua perspectiva: Individuais: Facilitam e aumentam a produtividade de um indivduo. De grupos de trabalho: Facilitam e aumentam a produtividade de um grupo de trabalho com a mesma perspectiva. Empresariais: Facilitam e aumentam a produtividade dos vrios grupos de trabalho. Integram as actividades dos vrios departamentos.
Os equipamentos informticos e o uso das tecnologias de informao e comunicao so as ferramentas para implementar os sistemas de informao. Mas, antes da sua implementao, normalmente necessrio traduzir o modo como o fluxo da informao e os processos funcionam. Para essa finalidade so chamados os analistas, que executam a anlise funcional e orgnica do sistema de informao tal como existe (manual), ou seja fazem o levantamento dos processos. Com o auxlio de ferramentas de software especficas vo fazendo o levantamento desse sistema de informao, apoiando-se em entrevistas com as pessoas chave de cada sector de actividade da empresa e na leitura de todos os documentos, normas de funcionamento, modos de comunicao dentro da empresa, etc. O resultado do trabalho desta equipe de analistas ento entregue aos programadores que se encarregam de desenhar a interface, aplicaes informticas que iro fazer a gesto do sistema de informao. ainda a equipe de analistas que deve definir os requisitos da infra-
pg. N 8
estrutura tecnolgica, (equipamentos e comunicaes) que suportaro todo o sistema de informao automatizado. Este conjunto completo designa-se por sistema informtico. Os sistemas informticos ajudam a resolver alguns problemas de recolha, do processamento, do armazenamento, da disponibilizao e consulta da informao. Por isso os sistemas de informao automatizados conjugam a tecnologia e os procedimentos organizacionais, as prticas e as polticas, manipulando, gerando e gerindo informao. Um sistema informtico sem pessoas e sem procedimentos no traduz um sistema de informao na realidade. O enfoque deve passar pela anlise dos problemas da organizao (aprendizagem organizacional), considerando a forma mais eficaz de melhorar as organizaes em funo dos seus objectivos, usando as tecnologias de informao. Como elementos fundamentais dum sistema informtico, podemos considerar desde logo a tecnologia associada a esse sistema, Hardware, Software, Telecomunicaes, bem como os dados e a informao que esse sistema pode guardar e produzir.
pg. N 9
Elementos chave para o desenho de um sistema de informao: Factos/Observaes em bruto e tratados da realidade da Organizao. Objectivos estratgicos da Organizao. Evoluo da organizao ao longo dos anos. Os recursos Humanos da Organizao. As suas funes. O Organograma. Estruturas de colaboradores/Operadores e utilizadores internos e externos organizao. Procedimentos. Estudo do fluxo da informao na Organizao. Instrues para a transformao dos dados em informao e sua utilizao. Instrues de operao para os operadores. Instrues para os utilizadores. Os sistemas de informao proporcionam: Informaes para a tomada de decises; Informaes que ajudam as actividades vulgares, dirias; Informaes pertinentes para o funcionamento da organizao.
Podemos sintetizar o trabalho de um analista nos seguintes pontos: Define que tipo de informao necessrio; Participa no projecto da arquitectura de informao (sistemas de informao); Sabe como e onde obter essa informao. (acesso s fontes de informao); Sabe como usar a tecnologia da informao para conseguir organizaes competitivas e eficientes; Sugere novos usos para os sistemas de informao; Administra os recursos de informao; Considera as responsabilidades ticas do trabalho com Informao (princpios legais e sociais); Gere e controla a influncia dos sistemas de informao nas pessoas (empregados, clientes, fornecedores);
Factores determinantes para o aparecimento de um Sistema de Informao: Automatizao - complexidade das tarefas Necessidade do aumento da capacidade de conhecimento Globalizao da economia Tecnologias de informao
pg. N 10
Infra-estrutura Tecnolgica A infra-estrutura tecnolgica define-se como sendo o suporte fsico de todo o sistema de informao da Organizao. constituda pela cablagem que interliga os equipamentos que constituem o Hardware de rede, pelos equipamentos de routeamento e comutao da rede e por todos os equipamentos servidores, estaes de trabalho, impressoras, etc.
pg. N 11
1.2. Os processos e os fluxos de informao na organizao

O modo como se recolhe, gere e utiliza a informao ir determinar se se ganha ou perde. H cada vez mais concorrncia. H cada vez mais informao acessvel a respeito do negcio, dos parceiros e do mercado. O que hoje em dia a maior parte das empresas est a fazer em matria de gesto da informao era extremamente dispendiosa se o pensasse h duas ou trs dcadas atrs. As ferramentas e os meios necessrios para colectar, armazenar e processar a informao, e principalmente para a difundir ou disponibilizar, ainda no se encontravam acessveis tal como as temos agora. No incio do sculo XXI, as tecnologias existentes fornecem-nos mtodos simples para a obteno e partilha de informaes, sejam sob a forma de nmeros, texto, som e/ou imagem, pois facilmente os podemos armazenar, digitalizar e manusear. Para alem da disponibilizao da tecnologia, temos tambm a sua standardizao, que permite a ligao e o correcto funcionamento de sistemas com hardware e software de vrias origens. Mas, at se chegar implementao de processos digitais que possam resolver problemas das organizaes, h que fazer previamente uma anlise detalhada de todos os processos da organizao e dos fluxos da informao nesses processos. Durante esta anlise funcional, so medidos todos esses processos e eventualmente corrigidos, para que melhor se execute a circulao da informao na organizao. Esse trabalho d origem a um documento final que constitui o projecto de Sistema de Informao dessa organizao. Este documento final pode ser implementado de uma forma manual, sem recurso a Tecnologias de Informao e Comunicao, ou, na grande maioria dos casos, na sua implementao fazendo apelo s Tecnologias de Informao e Comunicao (TIC), ou seja, passando esses processos forma digital. Passado o trabalho dos analistas funcionais para os analistas orgnicos, estes ltimos vo traduzir para uma arquitectura de dados em forma de bases de dados digitais, todas as entidades, (objectos identificados como fazendo parte do sistema de informao), as suas relaes e as caractersticas de cada entidade que so relevantes para a descrio completa dessa entidade ou objecto.
pg. N 12
1.3. Bases de dados

Uma base de dados um conjunto estruturado de dados relacionados sobre um ou mais temas. No dia-a-dia, utilizam-se com frequncia bases de dados sem que por vezes associemos tal facto ao conceito. Como exemplos simples de bases de dados temos a: Lista telefnica; Um horrio de Comboios; Um livro de endereos; Um ficheiro com informaes sobre clientes.
As bases de dados so compostas por tabelas, em que cada tabela corresponde a um objecto ou a uma relao entre objectos. Uma tabela constituda por linhas que se designam por registos e que correspondem a dados de um elemento, por exemplo, numa tabela de clientes em cada linha da tabela existem dados de um nico cliente. Uma tabela est tambm dividida por colunas (corte vertical), em que cada coluna guarda uma caracterstica ou atributo dessa entidade. A ttulo de exemplo, imagine que num determinado contexto foi definido como entidade o objecto artigo, que se trata de um produto produzido ou comercializado por essa organizao. Esta entidade, artigo possui uma srie de caractersticas ou atributos que o descrevem. Faz parte da funo do analista, traduzir para o sistema de informao essas caractersticas. Deste modo, o analista passa a descrever os principais atributos do artigo, no contexto do sistema de informao especfico em que se insere. No caso especfico da tabela artigo, podem definir-se os seguintes atributos: Cdigo. Campo que identifica esse artigo, obrigando a que no haja repetio no seu valor em toda a base de dados. Famlia. Campo que identifica a que grupo de artigos com as mesmas caractersticas. Preo de Custo. Valor do artigo. Quantidade em Stock. Quantidade do artigo existente em armazm.
pg. N 13
O exemplo acima no pretende ser exaustivo no modo de descrever a entidade artigo. Cada atributo d origem a um campo na tabela. Isto permitir por exemplo mais tarde obter informao do tipo: Quantos artigos existem em stock com quantidades superiores a 200.
Noo de chave No caso acima escolher-se-ia o campo Cdigo como campo chave, ou seja o campo que vai receber contedos no repetidos (no podem existir dois artigos com o mesmo cdigo). O campo chave ento um campo que permite procuras rpidas a uma base de dados. As bases de dados, em formato digital, permitem a execuo das mesmas tarefas que aquelas que so criadas sem recurso ao computador, e apresentam entre outras as seguintes vantagens: 1. Maior velocidade; 2. Fcil utilizao; 3. Capacidade de armazenamento de uma grande quantidade de dados; 4. Fcil introduo, modificao e edio de dados; 5. Fcil procura e seleco dos dados; 6. Possibilidade de obteno fcil de informao; 7. Possibilidade de partilha, importao e exportao de informao; 8. A reduo do nmero de cpias da mesma informao elimina o problema de manter vrias cpias da mesma base de dados actualizadas e em conformidade umas com as outras.
pg. N 14
1.4. A implementao digital do Sistema de Informao Passada a fase de elaborao da anlise orgnica, vem a fase de implementao, em que se escolhem as ferramentas de gesto das bases de dados (SGBD), automatizao de processos, como por exemplo a implementao de servios de correio electrnico, entre outros. De uma forma sinttica, podemos resumir alguns passos para a implementao digital de um SI: 1. Insistncia no fluxo de comunicao atravs de toda a organizao por intermdio de E-mail. 2. Estudo dos dados de produo e produtividade, de forma a encontrar meios para melhorar processos e fluxos. 3. Converso gradual de todos os procedimentos manuais utilizando o papel, para procedimentos utilizando TIC, diminuindo a burocracia e os engarrafamentos administrativos. 4. Utilizao da comunicao para redefinir a natureza do negcio, chegar mais longe e de uma forma mais clara. As empresas de xito no futuro sero as que utilizarem ferramentas digitais para reinventarem o seu modo de actuar no mercado em que se inserem. Essas empresas tomaro decises rapidamente, actuaro de uma maneira eficiente e contactaro directamente com os seus parceiros de negcio. A passagem para o ambiente digital ir coloc-los na vanguarda na forma de fazer negcio. Por fim, escolhem-se as plataformas de hardware que suportaro todo este sistema. De facto, ao contrrio do que normalmente acontece, a escolha dos servidores, estaes de trabalho e demais equipamento devero ser o ltimo dos passos na construo de um sistema de informao. Esta escolha s deve ser feita quando se tiver uma ideia precisa do espao ocupado pela informao, a taxa de crescimento desta e o peso do processamento local e central.
pg. N 15
1.5. Questionrio final do captulo 1

1. Comente a seguinte frase: O sistema de informao de uma organizao depende da vontade da administrao de topo 2. Qual o papel dos analistas no desenho do Sistema de Informao? 3. Em sua opinio, em que fase devem ser propostas as plataformas tecnolgicas para implementar o Sistema de Informao? 4. Imagine-se no papel de um analista, ao qual foi dada a responsabilidade de fazer o levantamento do sistema de informao de uma empresa embaladora de leite. Quais seriam as abordagens que faria ao problema? 5. Considere o seguinte cenrio. Uma empresa pretende construir uma base de dados que relacione clientes, fornecedores, produtos, e encomendas. Tente fazer o levantamento e identificar tabelas, e atributos para a construo da base de dados.
pg. N 16
2. Planeamento, instalao e manuteno de uma intranet Objectivos do Capitulo:

No final do capitulo o leitor dever ser capaz de efectuar um planeamento dos servios de rede necessrios numa dada realidade empresarial e implementar a instalao de uma Intranet nesse ambiente, criando os vrios perfis necessrios ao normal fluir da informao na Organizao.
pg. N 17
Conceito de rede de computadores

Uma rede um conjunto de sistemas ou objectos ligados entre si. O exemplo mais comum de uma rede um sistema de ligao telefnica. Uma rede permite que um computador possa comunicar com outros computadores que a ele estejam ligados fsica ou logicamente. Esta ligao permite a partilha de recursos, dados ou aplicaes. Uma rede em que todas as mquinas esto situadas dentro do mesmo espao fsico, mesmo que esse espao extravase as fronteiras de uma sala ou edifcio, denomina-se de rede de rea local ou LAN. Caso a rede se encontre dispersa por um espao geogrfico mais vasto, como por exemplo uma cidade designa-se por Metropolitan rea Network ou MAN. Se esta rea geogrfica se alarga de forma a abranger toda uma dada regio ento o termo que a caracteriza muda para Wide rea Network WAN. De uma forma geral todos somos utilizadores de uma WAN que a Internet.
2.1. O que uma INTRANET?

Uma INTRANET uma rede privada de computadores construda sobre tecnologias Internet, que usa protocolos de comunicaes abertos que permitem que todos os computadores e sistemas operativos de vrios fabricantes possam funcionar perfeitamente adaptados a outros computadores e sistemas operativos. Enquanto que a Internet uma rede abrangente, fornecendo um manancial de informao a nvel mundial, uma intranet uma rede que faculta informao mas apenas num determinado contexto (normalmente duma empresa ou organizao). S devem ter acesso Intranet os membros dessa organizao. Hoje em dia o conceito alargou-se com a definio de Extranet, que pode estender privilgios da intranet a parceiros seleccionados, dando-lhes acesso a certas reas dentro da sua prpria intranet, criando deste modo, uma rede segura alargada a membros que no so directamente membros da Organizao, (por ex: fornecedores ou clientes). As primeiras organizaes a construrem uma intranet no o fizeram para seguir uma estratgia de empresa no sentido estrito da inovao e desenvolvimento, mas sim para resolver problemas e automatizar processos de maneira criativa e sectorial. Claro que, em alguns casos, este movimento em direco s Intranets aconteceu porque algumas pessoas do departamento de Tecnologias de Informao pesquisavam as ferramentas e descobriram que poderiam fornecer acesso rpido a servios, aplicaes e
informao de um modo fcil (conjunto til de informaes comuns Organizao). Alm disso, se os utilizadores internos da rede j eram utilizadores da Internet, portanto j tinham assimilado como usar algumas funes bsicas do browser, como por exemplo digitar um endereo (escrever um URL). Uma intranet idntica a um Website, utiliza protocolos da Internet, mas nem por isso deixa de ser uma rede interna exclusiva da empresa ou organizao. A maioria das grandes empresas utiliza intranets. A distribuio da informao uma tarefa rdua para qualquer empresa com muitos funcionrios. As intranets podem facilitar esta tarefa. Mesmo as pequenas empresas possuem problemas de comunicao. A maioria dos funcionrios descobre o que se passa na empresa atravs de conversas informais. No entanto, estas conversas so extremamente importantes no levantamento do sistema de informao, cabendo ao analista perceber o que se deve aproveitar das vrias opinies dos funcionrios. Para que uma empresa seja bem sucedida, os seus funcionrios devem compreender claramente os objectivos da empresa e o seu papel para atingir esse fim. As discusses relativas aos objectivos a curto prazo e a longo prazo no devem ser limitadas s reunies entre directores. Todos devem trabalhar para atingir objectivos comuns. Uma intranet o local ideal para publicar relatrios, memorandos e objectivos. Desta forma, todos possuem as mesmas informaes. Uma pequena empresa com poucos funcionrios beneficia com uma intranet. Utilizando uma intranet, as pessoas podem trabalhar num ficheiro partilhado, guardar o ficheiro mais recente numa localizao central ou trocar um documento para que cada um possa registar um comentrio. O mesmo se aplica utilizao de bases de dados. Desta forma, tambm pouparo espao no servidor. Pode parecer irrelevante, mas o facto de se possuir diversas verses de vrios ficheiros em todos os computadores ocupa um espao significativo e, pior do que isso, pode degenerar em desorganizao pois poderemos perder a noo de qual a verso do documento mais recente. Antes de instalar a intranet, deve-se ter uma ideia clara sobre os objectivos da sua utilizao. Compreender a forma como os funcionrios a utilizaro. Por fim, utilize bons princpios de concepo. Antes que seja possvel utilizar a intranet, ter-se- necessidade de dispor de uma equipe para desenvolver e manter os contedos. O objectivo o de fornecer aos funcionrios informaes continuamente actualizadas.
pg. N 19
Se a empresa for grande, talvez seja prefervel optar por actualizaes de contedos separadas, por departamentos. Independentemente da sua dimenso, dever existir uma ideia dos custos associados tarefa de manter a intranet. Uma intranet pode ser construda para maximizar todas as vantagens e minimizar todas as desvantagens de uma lan ou wan de uma grande Organizao. Ela pode combinar o melhor do paradigma de desenvolvimento client/server com o melhor das tecnologias Internet para criar um ambiente computacional fcil de construir, manter, alterar, aprender e utilizar. As organizaes adoptam uma INTRANET porque ela uma ferramenta gil e competitiva: poderosa o suficiente para economizar tempo, diminuir as desvantagens da distncia e melhorar os conhecimentos dos funcionrios com conhecimento das operaes e produtos da empresa. Uma Intranet necessita de alguns servidores, para organizar e armazenar informao. Dependendo do tamanho da INTRANET e do nmero de computadores que ela precisa atender, os servidores podem ser dedicados a um nico servio, como mail server, servidor de aplicaes, etc; ou estas funes podem ser aglutinadas num nico servidor. Sero necessrias algumas ligaes de rede (como routers e switches) para ligar os computadores e os vrios servidores. A Intranet precisa de alguns softwares alojados na Internet para executar servios especiais, tais como indexao de informao, pesquisa de bases de dados ou segurana. Esta ser uma das reas de software com maior crescimento, dado que os profissionais de TI concebem todos os dias, maneiras mais rpidas e inteligentes de acesso aos dados. O resultado final da implementao de uma intranet muito mais do que a melhoria da comunicao dentro da organizao, do acesso rpido a informao, utilizao de poderosas ferramentas multimdia de aprendizagem online, mais do que produtividade aumentada, ciclos de tempo reduzidos ou escritrios sem papel.
2.2. Planeamento de uma Intranet

De seguida indicam-se alguns tpicos a ter em conta na construo de uma Intranet. 1. Aplicaes intranet devem ser constitudas em ambiente piloto com um pequeno grupo de teste antes de disponibiliz-las a um pblico mais amplo, (ambiente de produo). Isto permite testar as tecnologias, identificar os verdadeiros custos de manuteno e obter uma viso realista do perodo necessrio para o retorno do investimento.
pg. N 20
2. Devem ser determinados os custos envolvidos em comunicaes internas e tempo gasto para o fazer, para quantificar a economia de mover estas comunicaes para uma intranet. Por exemplo, identifique o custo por cpia, incluindo a distribuio de um documento que facilmente executado por um servidor interno. 3. Estimule o uso de aplicaes intranet com potencial de gerao de receita assim como benefcios de economia de custo. Em termos de retorno total sobre o investimento, uma intranet direccionada para melhorar a produtividade e efectividade das vendas de uma empresa um bom exemplo do bom uso da tecnologia.
pg. N 21
2.3. Instalao e manuteno de uma Intranet.

Na fase de instalao e manuteno de uma intranet, devemos atender a alguns aspectos: Testar a tecnologia inicialmente sem que tal seja do conhecimento generalizado da populao alvo. O uso dos servios disponibilizados deve ser progressivo e adoptado do topo para a base da organizao. Tal vai fazer com que o exemplo seja seguido por todos os colaboradores e mais facilmente assimilado; Para o sucesso e viabilidade de implementao, dever ter muita afinidade com a organizao e para isso acontecer, as pginas deveriam ser desenvolvidas e mantidas pela prpria organizao;
Toda a organizao deve participar no uso da INTRANET para que ela no venha a ter uma viso parcial da organizao; Permitir a utilizao de ferramentas conhecidas mesmo para comunicao interna, para toda a instituio demonstrar interesse, Ex.: CHAT; Disponibilizar programas de ajuda ao trabalho do dia-a-dia para instalao da equipe tcnica e de utilizadores da rede. Ex. Actualizao de antivrus; Publicitar oficialmente a sua utilizao crescente bem como todos os novos servios disponveis; Criar um ambiente de desenvolvimento e um de produo.
pg. N 22

1. Diga o que entende por Intranet? 2. E Extranet? 3. Que tipo de servios devem, em sua opinio ser implementados numa Intranet? 4. Aconselha-se a utilizao de dois ambientes, um de produo e outro de teste para a implementao de uma Intranet. D algumas razes para se proceder dessa forma? 5. Em que medida pode o correio (e-mail) ser uma ferramenta de estmulo para captar os utilizadores para o uso da Intranet?
pg. N 23
3. Definio de perfis de utilizao e nveis de segurana Objectivos do Captulo:

No final do capitulo o leitor dever ser capaz de explicar o conceito de site, domnio e de uma forma geral os nveis de segurana implementveis nestas estruturas. Dominar a instalao, configurao e gesto dos servios mais importantes numa rede cliente-servidor, que comunica com outras redes.
pg. N 24
3.1. Caracterizao dos servios comuns ao domnio
No estudo dos servios de gesto de perfis e da segurana associada, utilizar-se- como referncia o sistema operativo Windows Server 2003, para uma mais fcil compreenso e adaptao de conceitos.
A Estrutura de uma rede baseada em Windows Server 2003 A Active Directory ou servio de directrio do Windows Server 2003, um servio de rede. Este servio identifica todos os recursos disponveis numa rede, mantendo informaes sobre eles (contas de utilizadores, grupos, computadores, recursos, polticas de segurana etc.) numa base de dados e torna estes recursos disponveis para utilizadores e aplicaes. Um servio de directrio no mais do que uma base de dados com informaes sobre utilizadores, palavras passe (passwords) e outros elementos necessrios ao funcionamento de um sistema, quer seja um conjunto de aplicaes num Mainframe (computador de grande porte), um grupo de servidores da rede local, o sistema de e-mail ou um outro sistema qualquer. Imagine uma empresa onde o utilizador, para realizar o seu trabalho dirio, tem que aceder a aplicaes e servios em diferentes plataformas, aplicaes cliente/servidor, sistemas de e-mail, intranet da empresa, alm duma grande variedade de aplicaes. O utilizador tambm precisa de acesso aos recursos bsicos da rede, tais como pastas e impressoras partilhadas. Estas aplicaes e servios devem ser integradas num servio de directrios. Isto significa que uma aplicao, ao invs de ter o seu prprio registo de utilizadores, passwords e grupos (o seu prprio directrio), deve ser capaz de aceder s contas e grupos da Active Directory (AD) e atribuir as permisses de acesso directamente s contas e grupos da AD. Vamos supor, por exemplo, que a rede utiliza o Exchange 2003 como servidor de e-mail, esta aplicao j integrada com a AD. Ao instalar o Exchange 2003, este capaz de aceder base de utilizadores e criar contas de e-mail para os utilizadores da Active Directory.
pg. N 25
3.1.1. Domnio O conjunto de servidores, estaes de trabalho, bem como as informaes do directrio, formam uma unidade conhecida como Domnio como por exemplo cinel.pt ou xpto.local. Todos os servidores que contm uma cpia da base de dados da Active Directory fazem parte do domnio. Um domnio pode tambm ser definido como um limite administrativo e de segurana. um limite administrativo, pois as contas de Administrador tm permisses de acesso em todos os recursos do domnio, mas no em recursos de outros domnios. um limite de segurana porque cada domnio tem definies de polticas de segurana que se aplicam s contas de utilizadores e demais recursos dentro do domnio e no a outros domnios. Num domnio baseado na Active Directory e no Windows Server 2003 possvel ter dois tipos de servidores Windows Server 2003: Controladores de Domnio (DC Domain Controlers) Member Servers
Um Domnio portanto, um agrupamento lgico de contas e recursos, os quais partilham polticas de segurana. A criao de conta de utilizadores, grupos de utilizadores e outros elementos da Active Directory, bem como alteraes nas contas de utilizadores, nas polticas de segurana e em outros elementos da AD, podem ser feitas em qualquer um dos Controladores de Domnio (DC). Uma alterao feita num DC ser automaticamente copiada (o termo tcnico replicada) para os demais Controladores de Domnio. por isso que o Domnio transmite a ideia de um agrupamento lgico de contas de utilizadores e grupos, bem como de polticas de segurana, uma vez que todo o Domnio partilha a mesma lista de utilizadores, grupos e polticas de segurana. Nos Member Servers podem ser criadas contas de utilizadores e grupos, as quais s sero validadas no Member Server onde foram criadas. Embora isso seja tecnicamente possvel, constitui no entanto uma prtica no recomendada, pois aumenta a complexidade da administrao do Domnio. Os Domain Controlers partilham uma lista de utilizadores, grupos e polticas de segurana e tambm so responsveis por fazer a autenticao dos utilizadores na rede. J os Member Servers no possuem uma cpia da lista de utilizadores e grupos. Estes no efectuam a autenticao dos clientes e tambm no armazenam informaes sobre as polticas de segurana para o Domnio as quais tambm so conhecidas por GPO Group Policies Objects.
pg. N 26
Os recursos de segurana so integrados na a Active Directory atravs do mecanismo de login e autenticao. Todos os utilizadores tm que fazer o login (processo de identificao e autenticao, atravs da utilizao de um nome de utilizador e password associada), para ter acesso aos recursos da rede. Durante o login, a Active Directory verifica se as informaes fornecidas pelo utilizador esto correctas e ento permite o acesso aos recursos para os quais o utilizador tem permisso. Os recursos disponveis atravs da Active Directory so organizados de uma maneira hierrquica, atravs do uso de Domnios. Uma rede na qual a Active Directory est instalada pode ser formada por um ou mais domnios. Com a utilizao da Active Directory, um utilizador precisa apenas de estar criado num nico Domnio, sendo que este utilizador pode receber permisses para aceder a recursos de qualquer um dos Domnios. A utilizao da Active Directory simplifica bastante a administrao, pois fornece um local centralizado, atravs do qual os recursos da rede podem ser administrados. A Active Directory utiliza o DNS (Domain Name System) como servio de resoluo de servidores e recursos e de resoluo de nomes. Por isso, um dos pr-requisitos para que a Active Directory possa ser instalada e funcionar perfeitamente que o DNS deve estar instalado e correctamente configurado. O Windows Server 2003 cria e mantm uma relao de confiana entre os diversos Domnios. As relaes de confiana so bidireccionais e transitivas. Todos os Objectos duma rede (contas de utilizadores, grupos, impressoras, polticas de segurana, etc) fazem parte de um nico domnio. Cada domnio s guarda informaes sobre os objectos do seu prprio domnio. Cada domnio possui as suas prprias polticas de segurana.
pg. N 27
Arvore de Domnios Uma rvore nada mais do que um agrupamento ou arranjo hierrquico de um ou mais domnios do Windows Server 2003, os quais partilham um space name.
3.1.2. Organizational Units, (OUs) Uma Organizational Unit uma diviso que pode ser utilizada para organizar os objectos de um determinado domnio num agrupamento lgico para efeitos de administrao. Isto resolve uma srie de problemas que existiam em redes baseadas no NT Server 4.0. Com a utilizao de Organizational Units, possvel restringir os direitos administrativos apenas ao nvel dessa OU, sem que, com isso, o utilizador tenha poderes sobre todos os outros objectos do Domnio. Devem ser utilizadas Organizational Units quando se quiser delegar tarefas administrativas sem que, para isso tenhamos que dar poderes administrativos em todo o Domnio, ou para melhorar alteraes na estrutura da empresa. A infra-estrutura das OUs no se deve basear na estrutura organizacional da companhia, mas sim na infraestrutura da poltica da rede.
pg. N 28
Objectos da Active Directory Os tipos de objectos existentes na AD so os: Utilizadores; Pasta partilhadas; Grupos; Computadores; Impressoras;
Entre os mais importantes de referenciar. 3.1.3. Utilizadores Contas de utilizador. (User accounts) Uma conta de utilizador um objecto da AD, que contm diversas informaes sobre o utilizador. Para ter acesso aos recursos dos computadores do domnio, deve ser criado na AD. A conta de utilizador um objecto utilizado com frequncia na gesto da Active Directory. Guarda todas as informaes que definem um utilizador, informaes que so classificadas como atributos. Os atributos so os nmeros de telefone, email, endereo, nome, entre outros. Ao criar um utilizador, so definidos seis atributos, alguns so configurados pelo administrador, como o cn, onde cn o nome completo do utilizador, e SamAccountName o UserPrincipalName, (login Name) e os outros quatros so configurados pelo servio de directrio, Instance Typ, objectCategory, objectClalss, objectSid. Podemos visualizar e modificar qualquer atributo utilizando a ferramenta Adsiedit.msc presente no CD do Sistema Operativo na pasta Support, instale o pacote de ferramentas. Este recurso s est disponvel para Windows 2000 e Windows Server 2003. Utilizamos diariamente a ferramenta Active Directory Users and Computers para gesto de utilizadores, criao, mover, excluir, alterar atributos e localizar. Cada conta de utilizador possvel tem quatro tipos de nomes associados, um nome de login de utilizador, um nome de login do utilizador anterior ao Microsoft Windows
pg. N 29
2000, um nome de login principal do utilizador e um nome distinto do LDAP (Lightweight directory Access Protocol).
Nome de login de utilizador: Deve ser exclusivo na floresta na qual a conta de utilizador foi criada. utilizado durante o processo de logon. Ex: jpinto
Nome de login anterior ao Windows 2000: Utilizado para fazer logon num domnio do Windows onde os computadores que executam sistemas operativos anteriores ao Windows 2000, usando um nome com o formato Nome do Domnio\Nome do Utilizador. Tambm possvel utilizar este nome para fazer logon em domnios a partir de computadores que executam o Windows 2000, Windows XP ou Windows Server 2003. Ex: cinelmail\jpinto. User principal Name: Consiste no nome de login do utilizador e do sufixo do nome principal do utilizador, unidos pelo smbolo de arroba @. O (UPN User Principal Name) deve ser exclusivo na floresta. Ex: jpinto@cinel.pt
Nome distinto relativo do LDAP: Este nome utilizado para adicionar utilizadores rede a partir de um script ou linha de comando. Identifica de forma exclusiva o objecto no seu recipiente principal. Ex: CN=jpinto,CN=users,DC=cinel,DC=pt O User login Name deve ser nico na rea, pasta ou contentor onde se encontrar e usado durante o procedimento de Login (autenticao na rede). Pode conter at 20 caracteres, devendo ser composto por letras, maisculas e minsculas (pois este campo Case Sensitive que significa que uma letra escrita em minsculas no idntica a uma letra escrita em maisculas), nmeros e caracteres especiais com excepo dos seguintes: /\[]:;|=,+*?<>. User principal login name O UPN consiste na justaposio do User login name e o do sufixo, concatenados pelo simbolo @. O UPN deve ser um nome nico em toda a floresta (conjunto dos domnios).
pg. N 30
Um exemplo de um UPN carlos.silva@redes.pt 3.1.4. Pastas partilhadas (Shared Folders) O objectivo do uso de pastas partilhadas consiste na possibilidade de facilmente poder mapear essa pasta para uma aplicao, um utilizador ou um grupo. Com a pasta partilhada na Active Directory, a sua localizao na rede facilitada. 3.1.5. Grupos Utilizamos grupos para simplificar a administrao, permitindo conceder permisses para acesso a recursos, uma vez por grupo em vez de se concederem conta de utilizador individualmente. Um grupo uma associao de contas de utilizador e de computadores. Podemos utilizar os grupos separadamente ou podemos colocar um grupo dentro de outro, para simplificar ainda mais a administrao. Existem dois tipos de grupos:
Grupos de segurana: So utilizados para atribuir direitos e permisses de utilizador a grupos, onde os direitos determinam o que os membros do grupo de segurana podem fazer num domnio ou floresta. J as permisses determinam quais os recursos a que um membro de um grupo pode aceder na rede. Grupos de distribuio: Utilizados em aplicaes de email, como o Microsoft Exchange, para enviar e-mail para um conjunto de utilizadores. Este grupo no tem recursos de segurana, pelo que no possvel conceder permisses. Os grupos esto divididos em:
Grupo Global (Global group): um grupo de segurana ou de distribuio que pode conter utilizadores, grupos e computadores do mesmo domnio que o grupo global. Podemos utilizar grupos de segurana nas situaes em que os membros podem aceder a recursos de qualquer domnio da floresta. Grupo Universal (Universal Group): um grupo de segurana ou de distribuio que pode conter utilizadores, grupos e computadores de qualquer domnio da floresta. Domain Local Group (Grupo de Domnio Local): um grupo de segurana ou de distribuio que pode conter grupos universais, grupos globais, outros grupos de domnio local do seu prprio domnio e contas de qualquer domnio da floresta. Podemos utilizar Domain local groups quando os membros podem aceder a recursos somente no mesmo domnio em que se encontra o domain local group.
pg. N 31
Grupo Locais: um conjunto de contas de utilizadores ou grupos de domnio, criados num Member server. Podemos utilizar grupos locais onde os membros podem aceder a recursos no computador local. 3.1.6. Computadores Qualquer computador que faz parte do domnio, seja uma estao de trabalho, Member Server, ou mesmo Domain Controler, deve ter uma conta de computador registada na Active Directory. criado para facilitar a administrao e a atribuio de permisses para acesso a recursos, tais como: pastas partilhadas, impressoras remotas, servios diversos etc. A Conta de computador ajuda os administradores a gerir a estrutura de rede. Quando uma conta de computador criada, o computador pode usar os processos de autenticao avanados para determinar como a auditoria deve ser aplicada e registada. Todos os computadores que correm o Windows NT, Windows 2000, Windows XP ou Windows Server 2003 e se registam num domnio, possuem uma conta de computador. No possvel criar contas para computadores que correm windows 95, Windows 98, Windows Millennium e Windows XP Home Edition. Impressoras Uma conta de impressora consiste na publicao ou registo de uma impressora partilhada na rede. Com a impressora publicada na Active Directory a sua localizao e a verificao do seu estado extremamente facilitada na rede.
pg. N 32
3.2. Definio da poltica de acesso informao

3.2.1. Atribuio de User Login Names Os nomes a atribuir s contas de utilizador devem obedecer a regras para que facilmente se possam atribuir novas contas. Assim, pode escolher os nomes de utilizadores de acordo com as suas funes ou pode em organizaes pequenas, escolher o primeiro nome. Em grandes organizaes este mtodo no exequvel face grande probabilidade de existirem vrias pessoas com o mesmo nome prprio. Opes de Password De modo a assegurar nveis de segurana adequados para o acesso rede o administrador deve usar as vrias opes de password disponveis: User must change password at next logon Activar esta opo sempre que se cria uma nova conta de utilizador ou fizer RESET password de uma dada conta. Esta activao obriga o utilizador a modificar a sua password logo que execute o primeiro logon depois da conta ter sido criada ou a password tenha sido alterada pelo administrador. User cannot change password deve usar esta opo quando o administrador no quiser que o utilizador tenha autonomia para mudar a sua prpria password. Password never expires A opo da password no deixar de ter validade, no uma boa prtica em termos de segurana. Utilizar esta opo apenas nos casos em que o utilizador no tenha privilgios de acesso importantes. Account is disabled Desabilitar temporariamente uma conta de utilizador uma pratica de administrao que melhora significativamente o nvel de segurana de uma rede. Esta opo deve ser usada sempre que uma conta pertencente a um utilizador com privilgios importantes na rede esteja temporariamente ausente. Por exemplo, quando um administrador da rede vai estar de frias, ou em formao fora da empresa, a sua conta deve ser inibida.
pg. N 33
3.3. Criao de Roaming Profiles

O roaming profile ou perfil mvel utilizado nos casos em que um determinado utilizador use mquinas diferentes em locais diferentes da rede, para realizar o seu trabalho. A utilizao desta ferramenta permite recriar em qualquer estao de trabalho da rede sempre o mesmo ambiente de trabalho desde o fundo do desktop s aplicaes disponveis e drives mapeadas. No Servidor de Domnio deve ser criada uma drive partilhada acessvel a todos os utilizadores da rede onde foram criadas pastas pessoais e s acessveis a esses utilizadores, onde ficaram guardadas todas as definies dos Roaming Profile. Entende-se por profile todo o ambiente grfico e configurao duma determinada sesso Windows. "Roaming Profile" significa que o profile do utilizador guardado num servidor remoto. No funcionamento do Roaming Profile, o profile guardado num dos servidores Windows do domnio e quando existe um evento de Login, o sistema copia-o para a mquina que o originou. Esta cpia colocada em "C:\Documents and Settings\<username>". No final, (Evento: Logoff) o profile copiado para o servidor, garantindo assim que no prximo login o utilizador possui as ltimas alteraes / configuraes efectuadas. A vantagem fundamental dos "Roaming Profiles" o facto de ser possvel utilizar o mesmo desktop (ambiente de trabalho) e conta de correio electrnico independentemente da mquina onde feito o Login.
Como configurar os Roaming Profiles

Seleco das propriedades do disco rgido para se efectuar a partilha para ficar acessvel a todos os utilizadores do domnio.
pg. N 34
Seleco da opo de partilha do disco rgido.
pg. N 35
Seleco da opo de permisses a dar aos utilizadores no acesso pasta criada e partilhada RoamingProfiles.
pg. N 36
Seleco de permisses a dar aos utilizadores: Total controlo da pasta partilhada RoamingProfiles.
pg. N 37
Politica de segurana criada para acesso aos utilizadores.
Criao de novas polticas de acesso pasta RoamingProfiles.
pg. N 38
Em cada pasta de utilizador criada foram dadas permisses de partilha da mesma.
pg. N 39
Em cada pasta de utilizador foi dada permisso total de controlo da mesma.
pg. N 40
Pastas de todos os utilizadores partilhadas com assinaturas personalizadas para o Microsoft Outlook.
pg. N 41
Pasta de um utilizador que contem a sua assinatura personalizada para posteriormente ser usada no Microsoft Outlook.
pg. N 42
Para concluir a configurao dos Roaming Profile necessrio aceder ao menu start e escolher o cone Active Directory.
pg. N 43
Escolha de um utilizador a quem se ir configurar o seu profile.
pg. N 44
3.4. Questionrio final do captulo 3 1. Explique as diferenas entre um Member Server e um Domain Controler. 2. Enumere os tipos de grupos existentes e explique as suas caractersticas 3. Qual a diferena entre User login name e User principal Name 4. Em que consiste uma OU (Organizational Unit)? 5. Explique o que so Roaming Profiles.
pg. N 45
4. Planificao e Gesto de Domnios. Servios fundamentais. Objectivos do Capitulo:

No final do captulo o leitor dever ser capaz de fazer uma planificao dos objectos a criar de forma a projectar o ambiente de rede numa dada organizao.
pg. N 46
4.1. O Conceito de DNS (Domain Name System)

A Internet possui uma infinidade de sites e, para aceder a esses sites, necessrio digitar um endereo no campo correspondente do browser, por exemplo, www.cinel.pt, www.google.pt, www.sapo.pt. No entanto, como actua o computador para encontrar esses sites quando os solicitamos? DNS a sigla para Domain Name System (Sistema de Resoluo de Nomes). Trata-se de um recurso usado em redes TCP/IP, que permite aceder a computadores sem que o utilizador ou sem que o prprio computador tenha conhecimento de seu endereo IP. Cada site da Internet pode ser acedido atravs do seu endereo IP. O problema que existem tantos que praticamente impossvel decorar o IP de cada um. Imagine que ao invs de digitar www.cinel.pt para aceder a este site, o utilizador tivesse que fornecer o endereo 194.178.123.25. Imagine ento que este procedimento tivesse que ser repetido para cada site a visitar, como o Google, o Yahoo, etc. Como j se deve ter percebido, ia ser trabalhoso aceder a cada um desses sites atravs do endereo IP, pois alm de decor-los, teria que se consultar uma relao de IPs de cada vez que quisesse aceder a um site novo. Para lidar com esse problema usado o DNS. ele que permite o uso de nomes, em vez dos IPs no acesso aos sites. Basicamente, na Internet, o DNS um conjunto de grandes bancos de dados distribudos em servidores por todo o mundo que indicam qual o IP que est associado a um nome (ou seja, um endereo do tipo www.nomedosite.com). Funcionamento do DNS Como j foi dito, os servios de DNS da Internet so um conjunto de bases de dados espalhados por muitos servidores em todo o mundo. Essas bases de dados tm a funo de indicar qual o IP que est associado a um nome de um site. Quando se digita um endereo, o seu computador solcita aos servidores de DNS do seu fornecedor de Internet que encontre o endereo IP associado ao nome do site. Se os servidores no tiverem essa informao, ele pede ajuda a outros que a possam ter.
pg. N 47
Para facilitar esse processo, os nomes dos sites so divididos hierarquicamente, como mostra a imagem abaixo:
Dentro de cada domnio (.com, .net, .gov) existem outras subdivises. Por exemplo, .com.br, .com.fr, .com.eu, etc so sub-domnios de .com. Com essas divises, possvel atribuir cada uma das terminaes a uma entidade que as possa gerir. Assim, para que se possa registar um domnio.pt, necessrio fazer uma solicitao ao rgo que no Pas controla essa terminao. O servidor raiz - que pode ser entendido como o servidor principal no controle do DNS representado por um ponto e, seguindo a ordem de pesquisa, a sua insero feita no final do nome. Assim, www.sapo.pt deveria ficar como: www.sapo.pt. Se digitar o endereo exactamente como est acima, o browser entrar no site normalmente. No entanto, no necessrio incluir o ponto no final, pois os servios envolvidos, assim como os browsers, sabem da sua existncia e acrescentam-no automaticamente. Para melhor entender o DNS, vamos ao seguinte exemplo: suponha que queria visitar o site www.nomedosite.com.pt. Para isso, primeiramente o servidor raiz verificado e este indica o servidor de terminao .pt, que por sua vez, indica o servidor que gere o domnio nomedosite.com.pt que informa qual o seu IP, ou seja, qual o servidor onde o site em questo est localizado.
pg. N 48
Cache de DNS Suponha que visitou um site que nunca tenha sido resolvido pelo servio de DNS do seu fornecedor, de forma que este tenha que fazer uma pesquisa noutros servidores de DNS (atravs da pesquisa hierrquica). Para evitar que essa pesquisa tenha que ser feita novamente quando outro utilizador tentar aceder ao mesmo site, o servio de DNS guarda a informao da primeira consulta. Assim, noutra solicitao, ele j saber qual o IP associado ao site em questo. Esse procedimento conhecido como "cache de DNS". As informaes da cache de DNS so armazenadas por um determinado perodo de tempo atravs de um parmetro conhecido por TTL (Time-to-Live). Este utilizado para evitar que as informaes gravadas se tornem desactualizadas. O perodo de tempo do TTL varia conforme o servidor e o seu administrador. Quando a Internet ainda era uma ferramenta de uso militar e no possua muitos computadores, o acesso aos nomes era possvel graas a um ficheiro de nome hosts.txt. Este ficheiro continha os endereos de cada nome existente. Com o crescimento da Internet, esse ficheiro passou a crescer de igual forma e chegou ao ponto de ser to grande que provocava morosidade nas actualizaes. Por volta de 1983, o esquema hoje conhecido como DNS tomou forma para resolver este problema. A utilizao do DNS no se limita Internet. Este recurso pode ser utilizado em redes locais, extranets, etc. A sua implementao pode ser feita em praticamente qualquer sistema operativo, sendo muito usual nos sistemas baseados em Windows, Linux e Unix.
pg. N 49
4.2. DHCP - Dinamic Host Configuration Protocol

Inicialmente, a necessidade de automatizar a requisio e distribuio do endereo IP deu-se em funo da existncia de estaes de trabalho sem disco (diskless). Esta pesquisa provocou o uso do protocolo da camada de ligao de dados RARP (Reverse Address Resolution Protocol). Com o aumento do nmero de mquinas nas redes e tambm a crescente necessidade de maiores informaes de configurao para comunicao numa rede, o RARP mostrou-se ineficiente, o que levou a criao do protocolo BOOTP. O advento da computao mvel trouxe uma grande limitao ao BOOTP. Foi criado, o DHCP, uma verso estendida do BOOTP, que permite a atribuio dinmica de endereos IP. O DHCP foi designado para resolver esse problema enquanto simplifica a administrao da rede TCP/IP. DHCP vem do Ingls Dynamic Host Configuration Protocol que significa Protocolo de Configurao de Host Dinmico. O DHCP especificado pela IETF - Internet Engineering Task Force por meio dos RFCs (Requests For Comments) 1533, 1534, 1541 e 1542.
4.2.1. O RARP
O funcionamento do DHCP, assenta no funcionamento de dois outros programas: O BOOTP, que, por sua vez, exige conhecimento prvio em relao ao funcionamento e problemas do RARP (Reverse Address Resolution Protocol). Para que um sistema computacional possa enviar e receber datagramas preciso que este possua um endereo de rede IP de 32 bits que o identifique (verso IV). Em condies normais, o endereo IP fica armazenado na memria da mquina, carregado aps o boot. Quando a mquina no possui um disco para inicializao do sistema (estao diskless) para carregar o seu endereo IP, a imagem de memria daquela estao fica armazenada no servidor. Como possvel a mquina cliente obter o seu endereo IP para envio da imagem de memria pelo servidor? Cada mquina com uma placa de rede possui uma identificao nica e que no se repete. Esta identificao uma sequncia de bits, gravada no crcuito integrado da placa, que utilizada como endereo fsico na rede (MAC address). A estao diskless utiliza um protocolo que permite a obteno do endereo IP fazendo uso do endereo fsico da placa. Este protocolo o RARP.
pg. N 50
O RARP uma adaptao do protocolo ARP [RFC826] e apresenta o seguinte formato de mensagem:
A exemplo do ARP, a mensagem RARP navega na rede encapsulada na parte de dados de uma frame. A identificao da frame feita com o preenchimento de valores diferentes no campo operao. A comunicao RARP feita a partir da difuso da solicitao de uma estao na rede local para aquisio de um endereo IP. A estao solicitante remete, na sua mensagem, o seu endereo MAC no campo target HA. S os servidores RARP iro process-la. Os servidores respondem s solicitaes preenchendo o campo tipo de protocolo, mudando o campo operao de solicitao para resposta e enviando a mensagem diretamente a mquina solicitante. Ela recebe as respostas de todos os servidores RARP, mesmo tendo aceito a primeira. A partir deste momento a mquina s utilizar o RARP novamente se for feita uma reinicializao do sistema. Sintetizam-se de seguida, algumas desvantagens deste protocolo: Como o RARP opera num nvel mais baixo, utiliza um acesso directo ao hardware de rede, com isso torna-se muito complicado para um programador de aplicaes construir um servidor; Ele subutiliza o quadro, pois poderia carregar mais informaes teis para a configurao do cliente sem "custo adicional"; Pelo facto do RARP utilizar um endereo de hardware para identificar o equipamento, ele no pode ser aplicado em redes que atribuem esses endereos dinamicamente.
pg. N 51
4.2.2. O BOOTP
As deficincias encontradas no RARP foram solucionadas com a criao do BOOTP (BOOTstrap Protocol). Ao contrrio da comunicao RARP, a comunicao BOOTP processa-se na camada de rede. A estao cliente lana a sua solicitao na rede utilizando um endereo IP de broadcast. Os servidores BOOTP sero os nicos a reconhecer e responder tambm por broadcast. Esta forma de resposta utilizada pelo facto do cliente no possuir ainda, o seu endereo IP para confirmar a recepo. O BOOTP delega ao cliente toda a responsabilidade por uma comunicao segura pois os protocolos utilizados so passveis de corrupo ou perda de dados. O BOOTP solicita ao UDP - User Datagram Protocol - que faa uma verificao (checksum) e ainda especifica que solicitaes e respostas tenham o seu campo DONT FRAGMENT activo para suportar clientes com pouca memria. O BOOTP permite vrias respostas e processa sempre a primeira. Caso haja perda de datagrama, utiliza-se uma tcnica de TIMEOUT para retransmisso.
4.2.3. DHCP
Criado para substituir o BOOTP na tarefa de automatizar o fornecimento de endereos IP a equipamentos numa rede, o DHCP um servio que permite atribuio de endereos lgicos numa rede. Dois factores contriburam para que este novo protocolo de configurao fosse criado. O BOOTP resolveu parte do problema de subutilizao do quadro a quando do envio de um endereo IP. Com o DHCP, numa nica mensagem so enviadas para o equipamento todas as informaes de inicializao necessrias. Outro factor importantssimo e que pode ser considerado como o principal a alocao rpida e dinmica de um endereo IP para um equipamento conectado rede. ATRIBUIO DE ENDEREO O DHCP pode atribuir um endereo a um equipamento de rede de trs formas: Configurao manual; Configurao automtica; Configurao dinmica.
Configurao Manual Neste caso, possvel ligar um endereo IP a uma determinada mquina na rede. Para isso, necessria a associao de um endereo existente na base de dados do servidor DHCP ao
endereo MAC do adaptador de rede da mquina. Configurado desta forma, o DHCP ir trabalhar de maneira semelhante ao BOOTP. Esse endereo "amarrado" ao equipamento no poder ser utilizado por outro, a no ser que eles utilizem a mesma placa de rede. Configurao Automtica Nesta forma, o servidor DHCP configurado para atribuir um endereo IP a um equipamento por tempo indeterminado. Quando este se liga pela primeira vez na rede, -lhe atribudo um endereo. A diferena existente entre esta e a primeira configurao (BOOTP) que nesta no necessria uma especificao do equipamento que utilizar determinado endereo. atribudo de forma automtica. Configurao Dinmica Neste tipo de configurao, que reside a caracterstica principal do DHCP, que o diferencia do BOOTP. Desta forma o endereo IP alocado temporariamente a um equipamento e periodicamente, necessria a actualizao desse aluguer. Com essa configurao, possvel ser utilizado por diferentes equipamentos, em momentos diferentes, o mesmo endereo IP. Basta, para isso, que o primeiro a alugar o endereo, deixe de utiliz-lo. Quando o outro equipamento solicitar ao servidor DHCP um endereo IP poder ser fornecido ao mesmo o endereo deixado pelo primeiro. O Servidor DHCP O servidor DHCP deve ser configurado pelo administrador da rede para disponibilizar aos seus clientes, endereos IP numa das trs formas de fornecimento descritas acima. Para tal, ele alimenta uma base de dados com os endereos da sua sub-rede que sero fornecidos de forma automtica. importante deixar claro que, numa rede, o administrador dever deixar fixo em algumas mquinas os seus endereos IP. Tais mquinas so os servidores e as impressoras, por exemplo. Nas configuraes, ser estabelecido o prazo de aluguer de um endereo. Esse prazo pode variar de horas a dias ou simplesmente ser ilimitado. Essa deciso ir depender da rede em que o DHCP est instalado e das necessidades de um determinado equipamento. O Cliente DHCP Um cliente DHCP um equipamento que est configurado para solicitar a um servidor DHCP um endereo IP. Como j foi dito anteriormente, alguns equipamentos na rede devem possuir endereos IP fixos, j configurados na prpria mquina, em funo dos servios que eles disponibilizam na rede. Essas mquinas no so consideradas como clientes DHCP.
pg. N 53
Um cliente DHCP pode passar por seis estados de aquisio: 1. 2. 3. 4. 5. 6. INICIALIZA SELECCIONA SOLICITA LIMITE RENOVA VINCULA NOVAMENTE
O que define em que estado se encontra o cliente a mensagem que ele envia para um dos servidores DHCP da sua rede. Inicializa Quando um cliente inicializa pela primeira vez, ele difunde uma mensagem para todos os servidores DHCP da rede local a fim de adquirir as configuraes de inicializao na rede. Para tal, ele manda uma mensagem DHCPDISCOVER. O DHCPDISCOVER enviado num datagrama UDP da mesma forma que no BOOTP. Aps o envio dessa mensagem, o cliente passa para o estado SELECCIONA. Selecciona Neste estado, o cliente permanece aguardando a resposta dos servidores DHCP que receberam o DHCPDISCOVER. Aqueles servidores que estiverem configurados para responder, enviam ao cliente uma mensagem DHCPOFFER. Nesta mensagem, esto incluidas as informaes necessrias para a configurao do cliente juntamente com um endereo IP que o servidor lhe oferece como emprstimo. Aps a recepo de todas as mensagens enviadas pelos servidores, o cliente ir optar por uma e entrar em negociao de aluguer (leasing) com o servidor que est a oferecer o IP. Para iniciar a negociao, o cliente envia a mensagem DHCPREQUEST. Neste momento, ele entra no estado SOLICITA. Solicita Aqui, o cliente aguarda uma resposta de confirmao do servidor DHCP com quem ele entrou em negociao. Essa confirmao remetida atravs da mensagem DHCPACK. Com a recepo da confirmao, o cliente passa a ter um endereo IP e utiliza-o, bem como todas as outras informaes de configurao que foram enviadas pelo servidor e entra no estado LIMITE. Limite Este o estado em que permanece o cliente durante a utilizao do endereo IP at que atinja o perodo de renovao ou ele decida no utilizar mais o endereo alugado. Para este ltimo
caso, onde o cliente no espera o fim do prazo do aluguer, envia uma mensagem DHCPRELEASE para o servidor, a fim de provocar a libertao do endereo IP alugado. Desta forma, o cliente no poder mais enviar datagramas IP utilizando o endereo que possua e passa para o estado INICIALIZA. Renova Ao receber um DHCPACK, o cliente adquire a informao do perodo de aluguer do endereo. De posse dessa informao, ele inicializa trs temporizadores. Eles so utilizados para controlar os perodos de renovao, revinculao e do fim do leasing. O servidor pode especificar o valor de cada temporizador. No havendo essa especificao o cliente utiliza os valores padro, que so de 50%, 85% e 100%, respectivamente. Quando o temporizador ultrapassa o valor da renovao, o cliente tentar renovar o aluguer. Para isso, ele faz uso novamente do DHCREQUEST ao servidor. Assim, ele passa para o estado RENOVA e aguarda a resposta. Na mensagem, segue incluido o endereo IP actual do cliente e uma solicitao de extenso do leasing do mesmo. O servidor poder responder a autorizar a renovao do aluguer que necessariamente no possuir o perodo anteriormente destinado ou poder responder de forma negativa. No primeiro caso, o servidor envia um DHCPACK ao cliente. O recebimento dessa mensagem faz com que o cliente retorne ao estado limite. No segundo caso, o servidor envia um DHCPNACK, que faz com que o cliente interrompa o uso do endereo IP e passe para o estado INICIALIZA. Vincula Novamente Ao entrar no estado RENOVA, um cliente fica a aguardar a resposta do servidor. Caso essa resposta no chegue ( possvel que o servidor tenha sido desligado, ou tenha sido desconectado da rede), o cliente permanece nesse estado e comunica normalmente at que seja ultrapassado o limite do segundo temporizador. Nesse ponto, o cliente passa do estado RENOVA para o estado vincula novamente. A partir da, o cliente pressupe que o servidor que lhe locou o endereo IP no estar mais disponvel e tenta obter a renovao com qualquer outro servidor DHCP da sua rede local atravs do broadcast de DHCPREQUEST. Caso receba um DHCPACK de algum servidor habilitado para tal, o cliente retornar para o estado LIMITE. Recebendo um DHCPNACK, ele passar para o estado INICIALIZA. No caso do cliente no receber qualquer resposta, ele continuar a utilizar o endereo IP inicialmente alugado at que seja atingido o valor limite do terceiro temporizador, o que far com que ele passe para o estado INICIALIZA. Formato da mensagem DHCP O servidor DHCP poder responder tanto s solicitaes BOOTP, quanto s DHCP, pois ambas possuem o mesmo formato. A figura a seguir mostra o formato da mensagem DHCP.
OP
HTYPE
HLEN
HOPS
ID DE TRANSAES SEGUNDOS FLAGS
ENDEREO IP DO CLIENTE O SEU ENDEREO IP ENDEREO IP DO SERVIDOR ENDEREO IP DO ROUTER ENDEREO OCTETOS) DE HARDWARE DO CLIENTE (16
NOME DO HOST DO SERVIDOR (64 OCTETOS) NOME DO FICHEIRO DE PARTIDA (128 OCTETOS) OPES (VARIVEL)
pg. N 56
Os campos da mensagem DHCP: CAMPO OP INFORMAES Numa mensagem DHCP, uma solicitao e uma resposta possuem os mesmos campos. O que as diferenciam o contedo deste campo. O valor UM indica uma solicitao, o valor DOIS indica uma resposta Informa o padro de rede utilizado pelo adaptador de rede Informa o tamanho do Header do adaptador de rede Quantidade de routers pelos quais a mensagem dever passar Nmero de identificao da mensagem
Quantidade de tempo em segundos desde que o cliente fez a inicializao Utilizado para "reset" a opes especiais de resposta s solicitaes
HTYPE HLEN HOPS ID DE TRANSAES SEGUNDOS FLAGS ENDEREO CLIENTE IP
DO Numa solicitao o cliente informa o seu endereo IP (possvel quando o cliente conhece o seu endereo) Utilizado pelo servidor para enviar informao do endereo IP disponvel para o cliente que solicitou. DO Preenchido pelo cliente quando quer obter uma informao de um servidor especfico. DO Preenchido pelo servidor para informar o cliente do endereo IP do router da rede local
O SEU ENDEREO IP ENDEREO SERVIDOR ENDEREO ROUTER IP IP
END. DE HARDWARE Informao do endereo MAC do cliente DO CLIENTE NOME DO HOST DO Quando estes campos no so utilizados para enviar as informaes pertinentes a cada um (nome do servidor e informao do sistema SERVIDOR
operativo que ser inicializado no cliente) o DHCP utiliza-o remetendo informaes adicionais transformando-os em campo de OPES, optimizando assim a utilizao da mensagem.
NOME DO FICHEIRO DE Nome do ficheiro que contm a imagem de memria da(s) estao PARTIDA (es) correspondente(s) OPES
Este campo utilizado para informar que tipo de resposta ou solicitao DHCP (DHCPDISCOVER, DHCPOFFER etc.) est a ser enviada
para o cliente ou para o servidor.
pg. N 57
4.2.4. Utilizao do servio de DHCP Um servidor DHCP faz com que o endereamento de mquinas seja um processo mais dinmico do que esttico. Normalmente, um novo utilizador da rede solicita ao gestor um endereo IP vlido. O gestor executa uma entrada nas tabelas HOSTS ou na base de dados DNS. Esse utilizador pode precisar desse endereo apenas esporadicamente ou at temporariamente. Contudo, enquanto o endereo est atribudo a uma mquina, ningum mais pode us-lo. Outro problema surge quando os utilizadores se tornam mveis e levam as suas mquinas com eles. Se algum move o seu computador pessoal de uma rede para outra, o endereo antigo poder no funcionar na nova rede local. Solicitar ao gestor de rede local um endereo para usar apenas temporariamente no faz sentido. Com o DHCP, os endereos IPs so atribudos automaticamente conforme a necessidade e depois libertados quando j no so necessrios. O processo simples. Um servidor DHCP possui um grupo de endereos vlidos que pode atribuir aos clientes. Quando o sistema de um cliente inicializa, ele envia uma mensagem para a rede solicitando um endereo. Cada servidor DHCP (podem existir vrios) responde com um endereo IP e informaes de configurao. O cliente recolhe as ofertas e selecciona um endereo vlido, enviando de volta a confirmao para o servidor. Todos os servidores DHCP recebem a confirmao do cliente. O servidor DHCP cujo endereo foi selecionado pelo cliente, envia de volta uma mensagem de reconhecimento, enquanto os demais servidores DHCP cancelam as ofertas anteriores de seus grupos. Aps o recebimento da mensagem de reconhecimento do servidor DHCP, o cliente pode entrar na rede TCP/IP. O servidor DHCP, essencialmente, reserva o endereo para o cliente. Esta pode ter um tempo determinado de modo que as reservas sem uso sejam retornadas de forma automtica ao grupo de endereos. Se a reserva expirar, mas a mquina ainda estiver a usar o endereo, o servidor DHCP poder renov-la, a fim de que o cliente possa continuar com o mesmo endereo.
pg. N 58
Instalao e configurao do DHCP no Windows A primeira coisa que se deve fazer criar um scope administrativo do DHCP. Destaque a entrada Local Machine abaixo da lista DHCP Servers. Em seguida, deve-se seleccionar o Scope Create no menu, quando a caixa de dilogo Create Scope aparecer. Nessa caixa de dilogo, estabelece-se o grupo de endereos que o DHCP disponibiliza dinamicamente para os clientes do DHCP. Digitam-se os endereos inicial e final para definir a gama. Caso se queira excluir alguns endereos do grupo, pode-se digitar uma gama a ser excluda ou um endereo. Para inserir uma gama de endereos a ser excluda, digitamse valores nos campos Start Address e End Address. Para excluir um nico endereo, este deve ser inserido no campo Start Address. As gamas e endereos excludos devem incluir outros servidores DHCP, clientes que no so do DHCP, estaes de trabalho sem disco ou clientes RAS. Ao inserir gamas de endereos ou endereos excludos, deve dar-se um "clique" sobre o boto Add para os acrescentar lista da direita. Se for cometido um erro ou se se muda de ideia quanto a excluir um endereo, este deve ser destacado e um d-se um clique sobre o boto Remove. A prxima parte da caixa de dilogo Create Scope, intitulada Lease Duration, determina o tempo durante o qual os clientes do DHCP podem manter os seus endereos. Deve-se ter em mente que uma das razes principais para instalar um servidor DHCP a atribuio e libertao dos endereos dinamicamente (renew e release, respectivamente). Se for necessrio que o servidor DHCP atribua endereos quando forem solicitados, mas nunca os liberte, deve-se dar um "clique' sobre o boto Unlimited Lease Duration. mais provvel que se queira definir a durao para alguns dias ou horas. Se especificar uma durao de trs dias (o valor padro), o servidor DHCP verificar se o cliente ainda est a usar aquele endereo quando a reserva expirar. Se o cliente ainda estiver a usar o endereo, a reserva poder ser renovada. Se existir escassez de endereos vlidos na rede e as mquinas ficarem fora da rede com frequncia, trs dias poder ser muito tempo para uma reserva. Neste caso, pode-se querer especificar poucas horas. O nico problema o aumento de trfego da negociao de endereos entre os servidores e clientes do DHCP. Se existirem endereos suficientes para a rede, mas ainda quiser endereos livres e sem uso depois de pouco tempo, poderia ser apropriado atribuir uma reserva de durao mais longa (como 30 dias). A nica coisa que necessrio inserir na caixa de dilogo Create Scope um nome de scope e um comentrio opcional. O nome pode ter at 128 caracteres e pode ser qualquer nome que se queira dar sub-rede. Pode-se usar letras, nmeros e hfens. Qualquer outra informao que se queira incluir sobre o scope poder ser inserida no campo Comment.
Quando acabar de inserir todos os valores na caixa de dilogo, deve-se dar um "clique" sobre o OK. O Windows NT informar que o scope foi criado, mas que o mesmo ainda no est activo. Para activ-lo, deve-se dar um "clique" sobre o Yes. Querendo alterar as propriedades do scope, basta destacar o scope no lado esquerdo do utilitrio DHCP Manager e selecionar Scope, Properties. Tambm a partir do menu Scope, pode-se selecionar Active Leases para ver quais os computadores que esto a usar o servidor DHCP. A caixa de dilogo Active Leases aparecer. Pode-se destacar um cliente e dar um "clique" sobre o boto Properties. Ser ento, exibida a informao do endereo IP, quando a reserva vai expirar, o nome do cliente e o Identificador do Cliente que normalmente o endereo MAC do adaptador da rede nessa mquina. A opo Add Reservations pode ser escolhida para fazer aparecer a caixa de dilogo Add Reserved Clients. Essa opo permite que se reserve um endereo especfico para um cliente pre-estabelecido. Pode-se, portanto, especificar qualquer endereo IP que no esteja a ser usado pelo grupo de endereos. No campo Unique Identifier, deve-se digitar o endereo MAC do adaptador da rede no computador do cliente. A seguir, o nome do computador do cliente deve ser preenchido como uma ajuda, a fim de se lembrar para qual cliente o endereo foi reservado. preciso digitar o nome exacto do computador para o cliente. Qualquer outra informao que queira digitar sobre o cliente poder ser colocada no campo Client Comment. O utilitrio DHCP Manager permite que se alterem os parmetros de configurao que o servidor atribui aos clientes. As opes fornecem valores padres baseados nos parmetros padres definidos pelo Internet Networking Group no RFC 1542. Pode-se alterar esses parmetros para influenciar cada cliente ao qual o servidor DHCP presta servios ou clientes de um determinado scope.
4.3. Gesto de Acessos a recursos da Active Directory

A instalao de uma rede cliente-servidor num ambiente Windows 2003 obriga instalao de pelo menos um servidor, que assumir o papel de controlador de domnio ou domain controler, (DC). Nessa mquina ser tambm instalada a base de dados com as caractersticas dos objectos da rede (Active Directory). Aps a instalao do sistema operativo Windows 2003 Server na mquina eleita para controlador de domnio ter que ser feita a sua promoo a controlador de domnio.
pg. N 60
A promoo de um Servidor com Windows 2003 SRV a Domain Controler DC um processo que se inicia com execuo do comando Dcpromo na janela de execuo (run) do SO,
Na janela seguinte o utilizador decide qual a instalao que vai fazer, de acordo com os Sistemas Operativos das estaes de trabalho que se vo ligar na rede. Caso o servidor seja o primeiro servidor no domnio, com a promoo a Domain Controler tambm instalada a Active Directory AD e o Global Catalog.
pg. N 61
De seguida deve(m) ser fornecido(s) o(s) endereo(s) lgico(s) da(s) placa(s) de rede instalada(s) no servidor, ou seja o ou os endereos TCP-IP das placas de rede, visto podermos ter mais de uma placa de rede para aumentar a velocidade de comunicao entre o servidor e as estaes de trabalho.
pg. N 62
pg. N 63
4.4. Questionrio final do captulo 4.

1. O que o DNS? Explique resumidamente o processo de resoluo de nomes. 2. O servio de DHCP faz atribuio de endereos aos computadores de uma rede. Como funciona? 3. O que acontece quando uma estao no obtm resposta ao seu pedido de atribuio de endereo IP?
pg. N 64
5. Monitorizao da rede. Objectivos do Capitulo:

No final do captulo o leitor dever ser capaz de fazer uma planificao dos objectos a criar de forma a projectar o ambiente de uma dada organizao.
pg. N 65
5.1. A monitorizao de uma rede.

Em redes de mdia e grande dimenso, algumas delas constitudas em troos que ligam locais afastados, o problema do controlo da rede, na sua componente de equipamentos de interligao de rede tem de ser executado, recorrendo a software especializado, de forma a minimizar as intervenes que obrigam a deslocao do tcnico ao local onde se encontra o equipamento. Para que se possa executar uma monitorizao contnua, mas centralizada, necessrio dotar cada ponto gervel da rede, com software apropriado, e que possa no s traduzir o estado do equipamento, mas que tambm permita a interveno correctiva nesse n de rede. Os programas disponveis no mercado para este fim usam todos um protocolo que um standard para este tipo de actividade de rede. O SNMP (Simple Network Management Protocol). Foi este o protocolo escolhido para ser estudado ao longo deste captulo.
5.2. O protocolo SNMP como standard na Monitorizao de redes

A gesto e monitorizao de equipamentos de rede local constitui uma tarefa de grande importncia, uma vez que ela obriga a alocao de grande quantidade de recursos humanos, ocupando, por vezes, grande parte do seu tempo disponvel. Alm disso, a quantidade de equipamentos que podem ser geridos e monitorizados tende a aumentar continuamente e, aliado a este facto, est a necessidade de simplificar o processo de gesto. Assim, o protocolo SNMP (Simple Network Management Protocol) pode ser usado para a gesto dos dispositivos ligados a uma rede local de forma simples e directa. Por sua vez, os equipamentos tendem a oferecer cada vez mais possibilidades de gesto, de modo a facilitar tarefas como a deteco de falhas, a visualizao de grandezas, as notificaes de condies de erro, ou qualquer outro tipo de eventos. Portanto, cada vez mais equipamentos oferecem funcionalidades de gesto por SNMP, o que os torna compatveis com as redes locais e mais facilmente gerveis. O SNMP o protocolo de gesto de redes padro do IETF (Internet Engineering Task Force) e tornou-se um standard de facto para a gesto de redes que usem o protocolo TCP/IP. Utiliza na camada de transporte os servios do protocolo UDP para enviar as suas mensagens atravs da rede IP. Cada dispositivo gerido chamado n.
pg. N 66
Nos ltimos anos o SNMP tem dominado o mercado de sistemas de gesto de redes devido, principalmente, sua simplicidade de implementao, pois consome poucos recursos de rede e de processamento, o que permite a sua incluso em equipamentos bastante simples. O SNMP ajuda o administrador a localizar e corrigir erros ou problemas duma rede. Atravs de agentes SNMP, o administrador da rede consegue visualizar, por exemplo, estatsticas de trfego da rede e aps analisar esses dados o administrador pode actuar na rede, alterando a sua configurao. O SNMP foi desenvolvido no final dos anos 80 por um grupo da Internet Engineering Task Force (IETF) e teve a sua origem num protocolo para monitorizao de gateways IP, o Simple Gateway Management Protocol (SGMP). O modelo SNMP possui uma abordagem genrica, podendo ser utilizado para gerir diferentes tipos de sistemas. A sua especificao est contida no RFC 1157. A evoluo do protocolo SNMP est descrita de seguida: 1989 - SNMP verso 1 1992 - Remote Monitoring RMON 1993 - SNMP verso 2 1996 - SNMP v2c (Community Security) 1996 - MIB RMON v2 1998 - SNMP v3 (User Security Model)
5.2.1 Funcionamento bsico O protocolo SNMP define duas entidades para a gesto, as quais trocam informaes entre si atravs de requisies do tipo cliente-servidor. O agente SNMP cliente realiza basicamente duas operaes: a leitura de valores (GET) para a monitorizao do dispositivo gerido e a escrita (SET) onde for possvel efectuar a alterao de valores deste dispositivo. O agente SNMP servidor fica ento responsvel por responder s solicitaes do gestor e alterar as informaes quando solicitada tal operao, alm de notificar o agente (TRAP) no caso de ocorrer alguma excepo. Toda a inteligncia do processo fica na estao de gesto permitindo que o agente seja uma aplicao muito simples e com o mnimo de interferncia no dispositivo em que est a ser executado. As decises tomadas na ocorrncia de problemas e as funes de relatrios ficam sob responsabilidade do agente de gesto.
pg. N 67
5.2.2 O Agente SNMP O agente um processo executado no n que estiver a ser gerido ou prximo dele, responsvel pela manuteno de uma base de dados local com as informaes de gesto desse n. Cada n gerido pelo SNMP deve possuir um agente e uma base de informaes de gesto. Sendo assim, o n gerido visto como um conjunto de variveis que representam informaes referentes ao seu estado actual. Essas variveis ficam disponveis para gesto atravs de consultas e podem ser alteradas por ele. Ao disponibilizar essas variveis para leitura, o n permite a sua monitorizao e, ao receber novos valores do gestor, o n estar a ser controlado. Os ns geridos podem apresentar falhas ou comportamentos inadequados e quando o agente identifica que ocorreu um evento significativo, envia pacotes informativos sobre o ocorrido a todas as estaes de gesto da sua lista de distribuio de alarmes. Esta operao efectuada atravs de interrupes (traps) e esses traps podem ou no informar exactamente quais so os detalhes sobre o que ocorreu inesperadamente, podendo ser necessrio que a estao de gesto realize consultas para essa investigao e obtenha mais detalhes. Tipos de Agentes SNMP Os agentes SNMP podem ser classificados em dois tipos distintos, que diferem entre si pela forma como so implementadas as funcionalidades do protocolo SNMP e pelo modo como so feitas as interaces com os dispositivos geridos. O primeiro tipo de agente SNMP o agente extensvel. Este tipo de agente em geral oferece suporte MIB-II, e utiliza o SNMP directamente (explicaremos mais frente o conceito de MIB). Isto significa que possui a implementao de todas as funcionalidades do protocolo SNMP. Para que ele comunique com o dispositivo gerido, necessria a implementao de agentes extensveis. Um exemplo de agente extensvel o agente SNMP do sistema operativo Microsoft Windows. No possui suporte a nenhuma MIB, e para que ele responda s requisies de objectos de uma determinada MIB deve haver uma biblioteca adicional que implemente o suporte de MIB. Para a plataforma Linux/Unix pode-se citar o agente Net-SNMP (anteriormente chamado UCD-SNMP). Este agente usado como base para a implementao de uma grande variedade de agentes estendidos e um dos mais difundidos para o ambiente. Por sua vez, o agente estendido possui somente funes bsicas de comunicao com o dispositivo gerido para busca de informaes. Este tipo de agente baseado em um agente principal (extensvel), o qual implementa as funes do protocolo SNMP. Dessa
forma, o trabalho de resposta s requisies do protocolo SNMP feito somente pelo agente extensvel, ficando para o agente SNMP estendido o trabalho de comunicao com o dispositivo gerido e disponibilizao das informaes de monitorizao ao agente extensvel. 5.2.3. Gestores SNMP O gestor uma aplicao em execuo numa estao de gesto. possvel que existam um ou mais gestores em execuo numa mesma estao colaborando entre si para a gesto e todos eles utilizam o protocolo de gesto disponibilizado por essa estao. Estas aplicaes so capazes de monitorizar os agentes atravs de requisies de informaes contidas na base de informaes de gesto e de alterar as caractersticas dos ns geridos, informando quais os novos valores ao agente. Os gestores so os responsveis pela implementao da poltica que ser adoptada na gesto e eles so acessveis pessoa ou entidade responsvel pela gesto do n. O envio de alarmes por e-mail, chamadas telefnicas, mensagens para telefones mveis ou outras formas de comunicao com o administrador, so comuns nestes programas de aplicao. Alm disso, a visualizao das grandezas e estados dos equipamentos fundamental neste tipo de aplicao. Outra forma de visualizao interessante a apresentao de grficos que mostrem a evoluo de valores ou condies do equipamento ao longo do tempo, fornecendo informaes sobre a tendncia do comportamento dos equipamentos. 5.2.4. Operaes do Protocolo O protocolo SNMP define as operaes de leitura de valores, escrita de valores e notificao de condies de excepo (traps). Para que ocorra a troca de mensagens no protocolo SNMP so utilizadas cinco PDUs (Protocol Data Unit): GetRequest; GetNextRequest; GetResponse; SetRequest e Trap
Cada PDU corresponde definio dos formatos empregues pelas entidades do protocolo na troca de informaes.
pg. N 69
As PDUs GetRequest e GetNextRequest sero utilizadas pelo gestor quando este desejar realizar uma leitura de dados, enquanto que a PDU SetRequest utilizada pelo gestor para solicitar uma alterao do dado referente a algum objecto. Por sua vez, o agente responder a uma solicitao do gestor utilizando a PDU GetResponse e tomar a iniciativa de enviar interrupes ao gestor atravs da PDU Trap, quando ocorrer uma condio de excepo que justifique essa notificao. A definio do SNMP prev uma autenticao que deve ser feita ao trocar informaes utilizando o protocolo. Essa autenticao realizada atravs da string de comunidade (Community String) (informada por quem est tomando a iniciativa no envio de informaes). A comunidade pode ser diferente para leitura (RO), escrita (RW) e envio de traps. Se a comunidade for informada incorrectamente, o agente no responder solicitao do gestor. Com a definio da verso 2 do SNMP (SNMPv2) surgiram duas novas PDUs (InformRequest e GetBulkRequest) e a possibilidade de se realizar uma gesto distribuda, atravs da comunicao gestor a gestor. No SNMPv3, um dos objectivos na definio foi de aumentar a segurana j que a forma como feita a autenticao pela comunidade nas verses anteriores sempre foi considerada muito fraca para garantir alguma forma de segurana. 5.2.5. Management Information Base (MIB) A MIB (Management Information Base) a base de informaes de gesto. O agente capaz de responder ao gestor de consultas SNMP sobre o conjunto de informaes contido na MIB. De facto, em geral codificado um ficheiro chamado ficheiro de MIB no qual so relacionadas essas informaes para que o gestor saiba quais so as informaes que podem ser solicitadas a um agente e tambm as informaes de alerta (traps) que podero ser enviadas do agente para o gestor. Constituda por uma estrutura em rvore contendo as variveis de gesto de um determinado equipamento, a MIB define para cada varivel um identificador nico, denominado OID (Object Identifier), formado por um inteiro no negativo. Em princpio, todos os objectos definidos em todos os padres oficiais podem ser exclusivamente identificados. Para localizar uma determinada informao, o identificador da varivel que ser acedida pelo SNMP representado com o IP do equipamento em conjunto com o identificador do objecto na rvore MIB (OID).
pg. N 70
A MIB pode ter 3 classificaes possveis: - MIB Padro: Possui um conjunto de objectos bem definidos, conhecidos e aceites pelos grupos e padres Internet; - MIB Experimental: Estas MIBs podem conter informaes especficas sobre outros elementos da rede e gesto de dispositivos que so considerados importantes. Este termo experimental como se fosse um ensaio para a MIB se tornar padro; - MIB Privada: So projectadas por empresas individuais exclusivamente para uso nos seus dispositivos de rede. Formato SNMP No SNMP, as informaes so trocadas entre uma estao de gesto e um agente na forma de uma mensagem SNMP. Cada mensagem inclui o nmero da verso SNMP, o nome da comunidade a ser usado para esta troca e um de cinco tipos do Protocolo de Unidade de Dados (PDUs). 5.2.6. Segurana no Protocolo SNMP O protocolo SNMP pode realizar operaes de reconfigurao na rede alterando caractersticas de equipamentos ou at desligando mquinas, sendo que no existe qualquer mecanismo de segurana aplicado ao contedo das mensagens. O controle feito atravs da verificao do contedo de um campo especial no pacote do SNMP
denominada comunidade. A comunidade definida como sendo a relao entre duas entidades do SNMP. Ela definida como um conjunto de bytes formando caracteres ASCII que sero utilizados para efectuar este relacionamento. Desta forma, quando realizada a comunicao entre duas entidades do SNMP, a entidade destinatria da mensagem realiza a verificao do contedo da comunidade para averiguar se esta informao proveniente do remetente indicado. Atravs da comunidade possvel que o agente realize uma verificao da integridade do agente realizando autenticao e polticas de acesso (agente controla que diferentes gerentes podem obter diferentes variveis da MIB) atravs deste campo. O mais importante no entendimento de comunidade, que sem o conhecimento prvio da comunidade de um determinado equipamento gestionvel, ser impossvel a qualquer aplicao de gesto, aceder s informaes da MIB. Outra considerao importante que um equipamento pode ter mais do que uma comunidade configurada, com direitos de leitura, escrita e trap. Portanto, um mesmo equipamento poder contar com trs strings de comunidade diferentes. Isto tem o objectivo de se aumentar a segurana no acesso aos equipamentos. O ficheiro snmpd.conf o ficheiro onde se pode configurar o acesso que se quer fornecer s estaes gestoras quando realizam a requisio SNMP. Pode-se limitar o acesso com read-only e read-write. Com este tipo de autenticao, o acesso MIB torna-se pouco seguro, devido principalmente a: - Identificao da origem: a comunidade transmitida sem qualquer proteco; - Integridade da mensagem: ao ser interceptada a mensagem no garante qualquer proteco referente ao contedo; - Tempo-limite: perodo de tempo que a mensagem pode ficar presa por algum servio; - Privacidade: qualquer servio pode monitorar uma comunicao entre entidades SNMP; - Autorizao: no h controle de autorizao de acesso aos dados da MIB;
5.2.7. Limitaes do SNMP SNMP verso 2 e SNMP verso 3 Visando obter melhorias em relao aos aspectos de segurana foram desenvolvidas novas verses do SNMP. A segunda verso, o SNMPv2 contm mecanismos adicionais
pg. N 72
para resolver os problemas relativos segurana como: privacidade de dados, autenticao e controle de acesso. A terceira verso, o SNMPv3 tem como objectivo principal alcanar a segurana, sem esquecer-se da simplicidade do protocolo, atravs de novas funcionalidades como: Autenticao de privacidade Autorizao e controle de acesso Nomes de entidades Pessoas e polticas Usernames e gesto de chaves Destinos de notificaes Relacionamentos proxy Configurao remota
O protocolo SNMP um modelo simples de gesto de rede de fcil implementao, pois gera pouco trfego de informaes. Alm disso, o seu design simples facilita ao utilizador programar as variveis que ele gostaria de monitorizar. Porm, por ser to simples, a informao que o SNMP manipula atravs das variveis no nem detalhada nem suficientemente organizada para as necessidades das redes a partir de 1990 e, alm disso, no garante muita segurana para a rede. Com o aparecimento das novas verses o SNMPv2 e SNMPv3, foram realizadas alteraes na especificao do protocolo, tais como a forma de representao das variveis, o retorno dos tipos de erros, que acabaram por tirar a simplicidade ao protocolo. Entretanto, o SNMP amplamente usado uma vez que a maioria dos fabricantes de hardware para internet (como bridges e routers) projectam os seus produtos para suportar o SNMP.
pg. N 73
5.3. Questionrio de final do Captulo 5
1. Quais as principais vantagens de monitorizar redes? 2. Em que consiste o protocolo SNMP? 3. Quais so os elementos bsicos deste protocolo, e como funcionam? 4. Quais as principais vantagens e desvantagens do uso deste tipo de protocolo?
pg. N 74
6. Polticas de backup, redundncia e fiabilidade Objectivos do Capitulo:

No final do captulo o leitor dever ser capaz de definir um projecto de segurana peridica de dados, bem como a possibilidade de recuperao de informao em caso de acidente.
pg. N 75
6.1 A segurana da informao.

A salvaguarda da informao deve constituir a principal preocupao da equipe de gesto de Tecnologias de Informao e Comunicao de uma organizao. Essa salvaguarda deve ser vista nas suas principais vertentes: Segurana dos dados Segurana das infra-estruturas Segurana das aplicaes Iremos abordar neste captulo a vertente da segurana dos dados.
Segurana dos dados Um dos pontos mais importantes nos sistemas baseados em redes de computadores a salvaguarda e a possibilidade de recuperao da informao de modo a garantir a disponibilidade de servios no caso de falhas dos componentes de hardware e ou software. De uma forma geral a segurana das bases de dados e de toda a documentao de uma organizao muitssimo importante para garantir a continuidade do negcio. As aplicaes de gesto nas empresas podem gerar grandes quantidades de informao e a cpia e guarda de uma quantidade significativa dessas informaes no formato de ficheiros normalmente designado backup, ou cpia de segurana. A importncia crescente da disponibilizao dos dados acentua a tendncia actual de um crescimento contnuo das necessidades de armazenamento dos dados. Normalmente o backup, (tambm conhecido como cpia de segurana ou reserva) uma tarefa administrativa de responsabilidade do administrador do sistema. Simplificadamente trata-se de uma cpia da informao contida numa base de dados local ou remota, sendo, na prtica, uma rplica dos dados originais actuais, guardados noutro local e noutro suporte. As cpias de segurana so fundamentais em qualquer sistema. No caso de um acidente mais srio no sistema, s as cpias de segurana podem possibilitar a reposio da informao do utilizador. Podemos dividir em dois grandes tipos principais de dados que necessitam de uma poltica de backups peridicos: os dados do utilizador, como informaes de textos, folhas de clculo, e-mails, imagens, bases de dados ou qualquer outro item criado pelo utilizador e os registos do sistema, com os dados criados ou alterados pelo sistema (informaes sobre instalao de programas ou alterao destes) ou, ainda, armazenados por ele (log de segurana, registo de eventos). Por esse motivo importante saber o que
pg. N 76
um backup e no que consiste a tarefa simtrica a recuperao (Restore ou data recovery). A tarefa de criao de backups muito importante. Os backups so cpias de segurana que permitem organizao, empresa ou utilizador estar seguro de que, se uma falha grave ocorrer nos computadores assim como nos servidores, esta no implicar a perda total da informao contida no sistema que, ao contrrio do que acontece com o hardware, no substituvel. Uma boa arquitectura de backup e recuperao deve incluir um plano de preveno de desastres, procedimentos e ferramentas que ajudem na recuperao de um desastre ou falha de energia ou mesmo catstrofe natural, alm de procedimentos e normas para realizar a recuperao dos dados. Os suportes de armazenamento de backups, so os dispositivos fsicos onde esto guardadas todas as informaes das bases de dados e outros formatos de dados. Geralmente essas unidades so chamadas de "tapes de backup", pois so o meio preferencial de suporte porque apresentam uma grande capacidade de armazenamento fsico, podendo ser reposto a qualquer momento.
6.2. O Backup e o Restore

O backup a aco de cpia dos dados dos ficheiros ou bases de dados, para os suportes definidos anteriormente. O Restore (recuperao), pode ser definida como a operao inversa ao backup e consiste na recuperao dos ficheiros seguros pelo processo anterior. Ao fazer um backup dispomos de uma cpia dos dados noutro local, e noutro suporte. Atravs do Restore os dados so recuperados e repostos no sistema no formato anterior ao problema. Armazenamento de Dados O backup de dados pode ter a sua segurana comprometida se os dispositivos de armazenamento estiverem no mesmo local fsico. O ideal que os suportes e demais dispositivos estejam localizados em local que obedea s condies de segurana de acesso e de armazenamento e que permita, em caso de emergncia, que esses recursos possam ser utilizados para recuperao num outro dispositivo, preparado num segundo local da empresa ou disponibilizado por um fornecedor desse tipo de servios de contingncia. Existem no mercado tcnicas diferentes de apoio nos processos de backup e recuperao. Entre elas podemos destacar:
pg. N 77
Clustering - Um cluster pode ser definido como uma configurao ou um grupo de servidores independentes que aparecem na rede como uma simples mquina. So desenhados de tal forma que uma falha num dos componentes seja transparente aos utilizadores; As mquinas em cluster funcionam de modo a que se uma falhar a outra assume o fornecimento do servio sem que haja o mnimo de impacto na rede. Mirroring (espelho) - a tcnica onde os discos so espelhados, ou seja, feita uma cpia exacta de cada um em servidores diferentes. uma tcnica parecida com o clustering mas, em que em vez de termos duas mquinas completas a espelharem-se apenas temos os discos. Em caso de falhas ou perda de um disco, o outro assume inteiramente o papel at substituio do disco com problemas. Device Parity Protection - O device parity tem a tecnologia similar ao do RAID-5 (redundant array of independent disks) e permite a manuteno concorrente quando houver falha num dos discos; Contingncia - Em caso de necessidade, todo o sistema pode ser transferido para uma instalao contratada a terceiros (data center).
6.3. Tipos de Backups

Cpia simples - o backup chamado de simples quando no envolve compresso de dados ou um registo de identificao do ficheiro para um backup subsequente; Normal - consiste em armazenar tudo que foi solicitado, podendo ainda ser feita a compresso dos dados ou no. Este mtodo tambm chamado de backup completo ou global, quando so gravados todas as informaes e programas existentes no computador. A desvantagem deste mtodo que se gasta muito tempo e espao no suporte de armazenamento; Dirio a cpia dos ficheiros feita verificando-se os dados, ou seja, armazenam-se todos os ficheiros que foram criados ou alterados na mesma data em que se faz o backup. gasto menos tempo e espao de armazenamento, mas so armazenados apenas os ficheiros criados ou alterados no dia; Diferencial - s pode ser realizado aps um backup normal, pois, como o prprio nome diz, gravam-se as diferenas entre os dados gravados no ltimo backup normal e a data de gravao do backup diferencial. Exemplos: um backup normal ocorreu na segundafeira; um backup diferencial realizado na tera-feira s constar os dados alterados ou criados na tera; se na quarta-feira for gravado outro backup diferencial, ele novamente vai gravar os arquivos alterados ou criados, desde que se gravou o backup normal, isto , os arquivos de tera e de quarta. Apresenta como vantagem menos tempo e espao de armazenamento, mas necessita do backup normal inicial;
pg. N 78
Incremental - tambm necessita do backup normal e visa o incremento da informao aps a criao do backup normal. Ao contrrio do diferencial, se for feito um backup incremental aps outro incremental, o segundo backup no ir conter os dados do primeiro. Caso seja preciso restaurar o backup, ser necessrio restaurar o backup normal e todos os incrementais pela ordem em que foram gravados, isto , uma vez feito o backup normal, o incremental s ir gravar os dados alterados ou criados aps o backup anterior, seja ele normal ou incremental. Apresenta como vantagem menor gasto de tempo no backup e espao de armazenamento, mas necessita do backup normal inicial e de todos os backups incrementais feitos aps o normal;
6.4. Suportes de backup

Fitas Magnticas ou Tapes A fita o mais tradicional meio de cpia de dados. Pode ser armazenada na prpria empresa ou fora dela. Tambm pode ser descarregada numa mquina de contingncia (instalada por exemplo num plo tcnico de emergncia), da empresa ou numa mquina contratada de algum prestador de servios de contingncia. De entre os modelos de fitas de backup, pode-se destacar a fita DAT (Digital Audio Tape). Considerada como um suporte eficiente para backup, a fita DAT teve o seu aprimoramento com o passar do tempo. Os primeiros modelos atingiam no mximo 5Gb de armazenamento nominal. Hoje so encontradas fitas de 60m, 90m e 120m. O tamanho de cada fita est relacionado com a sua capacidade, ou seja, quanto maior o comprimento da fita, mais dados ela poder armazenar. A leitura e gravao dos dados sero feitos de acordo com a capacidade da fita. Para definir as diferentes capacidades magnticas das fitas DAT, foram criados padres de gravao denominados DDS (Digital Data Storage). Estas unidades de DDS so diferenciadas por nmeros sequenciais (DDS1, DDS2, DDS3 e DDS4). Por exemplo, essas capacidades podem variar desde 2Gb (DDS1) at 20Gb (DDS4) em fitas DAT de 90m. Uma caracterstica das fitas DAT, tanto nos modelos antigos como nos novos, que possui uma compresso de hardware nativa opcional que dobra a sua capacidade nominal de armazenamento. As unidades de backup tipo DAT/DDS so recomendadas para servidores de rede ou estaes com necessidade de armazenar grandes volumes de dados. A opo de contar apenas com a fita para o backup e restauro (restore) de um sistema levanta vrios problemas em termos de nveis de servio. O backup e a recuperao tradicionais, baseados em fita no conseguem atender aos objectivos de tempo de recuperao crticos de hoje, pois no oferecem nenhuma garantia de que possvel
pg. N 79
fazer um backup completo dos dados ou recuper-los totalmente, exigindo tambm perodos de backup longos que afectam directamente a disponibilidade das aplicaes em rede. Discos So os Zip Disks, Jazz Disks, as disquetes e os HDs. Os discos apresentam vantagem sobre as fitas em relao velocidade e ao modo de acesso; so rpidos na busca da informao e tm boa taxa de transferncia de dados, mas perdem em espao. Suportes pticos So todos os suportes que armazenam os dados por reflexo ou marcao. Entram nessa categoria as fitas perfuradas, que usam leitura ptica como meio de marcao e os DVDs (Digital Verstile Disc) e CDs, como suportes de reflexo. Os suportes que usam reflexo (CD-R, CD-RW e DVD-R), so classificados em duas categorias diferentes: regravveis e de gravao nica. As principais vantagens de um suporte ptico so durabilidade e imunidade a campos magnticos. A desvantagem est no pouco espao de armazenamento. Suportes Magneto-pticos Ainda pouco utilizadas, podem ser discos ou tapes. Os discos possuem uma capacidade um pouco superior aos discos convencionais e taxas de transferncia semelhantes. Podese usar qualquer tipo de suporte para fazer backup. CD-R, DVD-R e tapes so ideais para gravar dados que se tm de manter por longos perodos de tempo. To importante quanto fazer o backup saber onde ele ser armazenado. O ideal que o backup esteja suficientemente distante dos servidores para no ser atingido no caso de uma calamidade (incndio, desabamento, atentado terrorista, guerra, entre outras). J o ideal para o Restauro (restore) que este esteja o mais acessvel e prximo possvel de onde desejamos efectu-lo. Logo, a disponibilidade de um sistema em rede est directamente associada ao projecto de backup e recuperao adoptado pela empresa como poltica de contingncia. Uma soluo confivel de backup e recuperao necessita de um planeamento detalhado e de um processo de criao eficaz. As solues de backup e recuperao adoptadas devem igualmente considerar os requisitos de negcios da organizao e do seu ambiente operacional. As solues implantadas tambm devem ser previsveis, confiveis e capazes de processar dados com a maior rapidez possvel.
pg. N 80
6.5. Servios de backup e recuperao de dados

Estratgias de backup Devem ser considerados vrios factores ao planear uma soluo de backup, como fazer o backup apenas do que necessrio, agendar cuidadosamente os backups e escolher o tipo adequado de backup a ser executado.
pg. N 81

1. O planeamento de um backup ou cpia de segurana deve ter em linha de conta alguns aspectos fundamentais. Indique alguns dos mais importantes. 2. Qual a principal diferena entre um backup diferencial e um incremental? 3. Ao executar um seguro completo e integral a uma base de dados pesada (centenas de Gbytes), qual o tipo de suporte mais adequado? E qual o melhor perodo para o executar partindo do pressuposto que tem de ser executado diariamente? 4. Qual a principal desvantagem do CD como suporte de armazenamento de seguros? 5. O disco rgido pode constituir um bom suporte para armazenamento de backups. Indique algumas vantagens e desvantagens deste tipo de suporte de armazenamento de backups?
pg. N 82
7. Gesto de redes com ferramentas centralizadas Objectivos do Capitulo:

No final do captulo o leitor dever ser capaz de explicar o princpio bsico de funcionamento de dois programas de gesto, e instalao de software centralizado numa rede de computadores de mdia e grande dimenso. Dever ser capaz de explorar as potencialidades do GFI-Languard.
pg. N 83
7.1. O problema da gesto de uma rede

Hoje em dia, as redes locais de computadores espalham-se para alem dos espaos de umas quantas salas ou pisos de um edifcio, dificultando a mobilidade dos tcnicos para atender a todas as solicitaes de reparao e manuteno de rede. Por outro lado, tambm os servios que correm nas redes tornaram a sua gesto mais complexa. Por isso tm aparecido no mercado, solues de aplicaes informticas especialmente habilitadas para a gesto das redes. Um desses produtos o GFILanguard. Escolhemos o GFI-Languard para ilustrar o comportamento de uma ferramenta de gesto de rede, com preocupaes focadas na segurana e no deployment de actualizaes e aplicao de servio a software.
pg. N 84
7.2. O GFI Languard-NSS

O GFI Languard-NSS um software de monitorizao de rede que permite recolher vrias informaes sobre a mquina que est a ser analisada, nomeadamente ao nvel das caractersticas do software instalado, como por exemplo, actualizaes de segurana (patches) em falta, pastas partilhadas abertas, portas abertas, servios e aplicaes activos no computador, entradas-chave no registry do sistema operativo, palavras-passe fracas (que no obedecem a nveis de dificuldade de captao, utilizadores e grupos. Estes resultados podem ser analisados atravs de registos e com o recurso a filtros, que permitem tomar medidas de gesto e assim reforar a segurana da rede, por exemplo fechando portas, instalando service packs e hotfixes etc. O GFI LANGuard Network Security Scanner (N.S.S.) verifica a rede analisando todos os potenciais mtodos que um hacker poder usar para a atacar. Ao analisar o sistema operativo e as aplicaes que correm na rede, o GFI LANguard N.S.S. identifica possveis falhas na segurana. O GFI LANguard N.S.S. tambm uma soluo completa de gesto de patches. Depois de verificar a rede e determinar os patches e service packs em falta quer no sistema operativo, quer nas aplicaes pode-se usar o GFI LANguard N.S.S. para instalar os ficheiros em falta nos computadores. Tambm pode instalar aplicaes personalizadas em toda a rede. Em resumo enumeram-se algumas das caractersticas mais importantes que podero ser decisivas para a instalao do GFI Languard NSS: Verificao de contas de utilizadores no utilizadas; Analise de rede no que respeita a vulnerabilidades de segurana; Deteco de pastas partilhadas desnecessrias e portas abertas do protocolo de rede; Verificao e instalao de patches de segurana em falta no sistema operativo e software de aplicao; Scanner de segurana Windows
7.2.1. Requisitos do sistema

O GFI LANGUARD Network security Scanner , necessita para a sua instalao dos seguintes requisitos mnimos: Windows 2000 com SP4, Windows XP com SP2, ou Windows 2003.
pg. N 85
Internet Explorer 5.1 ou verso superior. Cerca de 40 Mb de espao livre em disco.
Cliente para Microsoft Networks component ( Includo por defeito em qualquer verso de Windows 95 ou superior), ou no caso de instalao em LINUX, o Secure Shell (SSH), includa por defeito em qualquer distribuio de LINUX. As firewalls instaladas tanto nos computadores de domnio como nos computadores cliente, podero interferir com as operaes do GFI Languard NSS. Assim dever-se- desligar as firewalls nos computadores cliente e servidor ou em alternativa dever usar-se o Windows Internet Connection Firewall domain Policies, para configurar os servios e as portas necessrias requeridos pelo GFI Languard, para operar correctamente.
7.2.2. Preparao dos postos remotos na rede Para o correcto funcionamento do GFI LanGuard NSS, necessrio activar o servio NetBIOS nos computadores remotos. Para o fazer executar o seguinte: 1. Autenticar-se no computador remoto com privilgios de administrao. 2. Navegar atravs do Windows Control Panel (start > Control Panel), e clicar duas vezes em Network Connections icon.
Clicar com o lado direito em local rea connection e seleccionar Properties Clicar no protocolo TCP-IP e seleccionar Properties Clicar em Advanced e escolher o separador Wins.
pg. N 86
Seleccionar opo Default na opo NetBIOS. INSTALAO DO CLIENTE PARA REDES MICROSOFT O cliente para redes Microsoft um software essencial para a famlia de sistemas operativos Microsoft. Os computadores devem executar este cliente para poderem ter acesso remoto a ficheiros, impressoras e outros recursos de rede. Para verificar se o cliente est presente e activado fazer o seguinte: 1. Navegar at ao Windows control Panel (Start>Settings>Control Panel) 2. Em Start Menu> My Network Places, escolher Properties. 3. Clicar com o lado direito do rato em Local area Connection e clicar em Properties 4. Na opo General seleccionar a Checkbox prxima a Client for Microsoft windows e clicar em Install. Nota: se a mesma check box j estiver seleccionada, isso indica que o mesmo cliente j est instalado e em funcionamento.
pg. N 87
INSTALAO DO PROTOCOLO SNMP
1-Abra o Assistente de Componentes do Windows. 2-Em Componentes, clique em Ferramentas de Gesto e Monitorizao (mas no seleccione nem desmarque a respectiva caixa de verificao) e, em seguida, clique em Detalhes. 3-Seleccione a caixa de verificao Protocolo SNMP (Simple Network Management Protocol) e, em seguida, clique em OK. 4-Clique em Seguinte. 7.2.3. A Instalao do GFI LANGUARD NSS Lanar o GFI LANGUARD NSS, executando o ficheiro languardnss7.exe. Assim que o display de dilogo surgir clicar em next. Especificar o nome completo, a organizao, e a chave da Licena.
Especificar o domnio onde o GFI vai trabalhar.
pg. N 88
De notar que o GFI Languard tem de ter privilgios administrativos, como tal ter de adoptar-se preferencialmente o Domain Administrator. No entanto no obrigatrio que se providencie um Profile de administrador para cada computador cliente.
Escolher o local de backup onde o GFI ir guardar os resultados dos scans (auditorias) e outras informaes. Relativamente ao tipo de estrutura de base de dados, pode-se escolher por exemplo entre o Microsoft Acess , Microsoft SQL Server 7/2000 ou MSDN. De notar que o MSDN s pode suportar at 2GB de informao enquanto o Microsoft SQL server poder gerir volumes bem superiores, eficientemente e sem limitaes.
pg. N 89
Se optar pelo Microsoft SQL Server , como base de dados poder gerir a informao mais convenientemente e sem limitaes.
Na hiptese de escolha do SQL server ter de colocar as credenciais de Autenticao, para o login na base de dados
pg. N 90
De seguida ter de especificar os detalhes de SMTP/Mail , tais como o nome de cliente e IP, tal como o endereo de Email quando se pretender receber avisos ou notificaes administrativas. Por ltimo e ainda no mbito da instalao, necessrio introduzir o caminho para a instalao do programa. De notar que so necessrios cerca de 40Mb de espao livre no disco para instalar esta aplicao. A introduo da licena depois da instalao no node feita em: general>licensing. A licena do GFI Languard baseada principalmente no nmero de computadores que esto a correr o GFI Languard, e por outro lado no nmero de IPs e computadores a gerir ou monitorizar na rede. No se deve confundir a licena com o processo de registo do software junto do site do fabricante que muito til na medida em que nos permite receber um suporte permanente, bem como notificaes e updates crticos. O registo poder ser efectuado no seguinte site: .
7.2.4. Utilizao do GFI LANGUARD
O GFI Languard inclu uma configurao por defeito, para uma imediata pesquisa assim que a instalao tenha sido finalizada. Para essa pesquisa tipo Default, s necessrio especificar quais os computadores pretendidos para auditar.
O Languard, ir assim por defeito, autenticar-se nos computadores seleccionados usando as credenciais estipuladas na instalao (Normalmente as de administrador de rede). Para este efeito usada uma lista genrica de vulnerabilidades a verificar, que est pr configurada no Default Scanning Profile. Este o perfil que vem pr configurado com o Languard. Para executar o primeiro scan ou varrimento deve fazer: FILE > NEW>
SCAN SINGLE COMPUTER: S para fazer scan a um computador SCAN RANGE OF COMPUTERS: Para fazer scan a uma gama de computadores SCAN LIST OF COMPUTERS: Para fazer scan a uma lista configurvel de computadores SCAN A DOMAIN : Para fazer scan a um domnio inteiro De notar que todos estes scans podem ser calendarizados no Schedule.
pg. N 92
O GFI, comea ento o scan, verificando na rede quais os computadores que esto ligados, autenticados e possam ser alcanveis na rede. Isso feito enviando do servidor de NSS, requests, usando NETBIOS queries, ICMP ping e SNMP queries. Se algum computador no responder a qualquer destes queries, o GFI assume que est desligado ou no existe na rede, e por defeito o Languard no faz scan a computadores que no respondam a queries. Logo de seguida ento executada a pesquisa de vulnerabilidades. A informao retirada tipicamente a seguinte: Nvel de Service packs do computador Falta de Patches de segurana Wireless acess points Dispositivos USB Open shares Portas abertas Servios e aplicaes activas nos computadores investigados Chaves e entradas de Registry Passwords de fraca segurana Utilizadores e grupos.
Logo aps o Scan o Languard, gera uma janela com os resultados desse scan, dentro da interface de configurao. Esses resultados esto dispostos e organizados por tipo e diferentes categorias. A quantidade e tipo de resultados obtidos so inteiramente dependentes dos computadores a pesquisar e da configurao colocada para pesquisa. Para condensar os resultados possvel aplicar a estes resultados um filtro, usando o comando scan filters.
Desta forma possvel navegar nos resultados com o fim de investigar e identificar os assuntos de segurana relativos aos objectos includos. Os resultados so apresentados numa rvore com vrias categorias simbolizadas com cones, cuja legenda apresentada abaixo.
pg. N 94
Categorias de pesquisa
Para ver os resultados do scan, deve seleccionar na categoria pretendida, e a informao mostrada na janela do lado direito.
pg. N 95
7.2.5. Vulnerabilidades
Seleccionar vulnerabilidades no lado direito, para verificar o relatrio de vulnerabilidades encontradas, no objecto de destino. Podero ser encontradas cinco categorias de vulnerabilidades:
Em Missing service Packs o GFI verifica e compara os service packs instalados, com os disponibilizados pela Microsoft Updates.
Para obter mais informaes clicar com o lado direito do rato no respectivo service pack e seleccionar: MORE DETAILS.
pg. N 96
POTENCIAL VULNERABILITIES
Ao seleccionar este campo na rvore de pesquisa, verificamos as potenciais fraquezas que embora no sejam consideradas vulnerabilidades, requerem especial ateno, visto que podem ser aproveitadas por potenciais atacantes.
pg. N 97
OPEN SHARES
Clicar em shares para verificar todas as partilhas nos computadores de destino. Assim j que existe uma larga quantidade de cdigos maliciosos que se propagam em partilha efectiva de aplicaes nas ligaes de rede, esta verificao e o seu controle traduzemse numa mais valia para o bom funcionamento da rede de comunicaes. O GFI mostra tambm as partilhas administrativas, tais como, C$, D$, E$ etc., e visto que tal informao poder no ser relevante para o relatrio de vulnerabilidades , ser til nesse sentido configurar o GFI para no mostrar essa informao.
pg. N 98
7.2.6. Password POLICY SETTINGS
A fim de prevenir ataques s passwords na organizao tipo fora bruta, ou outros, a Microsoft tem polticas de implementao de passwords no domnio, com um conjunto de regras e graus de complexidade, seja no nmero de caracteres ou na sua diversidade, bem como a sua gesto. Neste Campo de resultados o Languard regista estas vulnerabilidades.
pg. N 99
7.2.7. REGISTRY SETTINGS
Este campo de resultados serve para listar as entradas importantes no registo do computador em anlise, e serve por exemplo para ver as aplicaes que esto no arranque de um determinado computador. SECURITY AUDIT POLICY SETTINGS Este campo serve para auditar as polticas de segurana, configuradas no computador em anlise. Uma importante aco na segurana de uma rede a monitorizao dos eventos ocorridos na mesma, o que serve para identificar buracos de segurana ou brechas. Assim, por exemplo, as tentativas falhadas de Autenticao podero prevenir tentativas bem sucedidas de ataques. Assim as polticas de pesquisa do Languard recomendadas so listadas na seguinte tabela:
pg. N 100
Poder ser configurada remotamente a poltica de auditoria de segurana, directamente no GFI Languard interface. Poder ser feito da seguinte forma: Na listagem de computadores auditados, clicar com o lado direito do rato e seleccionar: ENABLE AUDIT ON > THIS COMPUTER. Ir aparecer a janela Audit Policy Administration Wizard, clicar em NEXT
Seleccionar os campos a auditar com a seleco das check boxes respectivas.
pg. N 101
7.2.8. OPEN PORTS
Clicar em open ports, para verificar as portas que se encontram abertas nos computadores auditados
Open ports representa servios e veculos activos que podem permitir a explorao por parte de utilizadores para ganhar acesso a um determinado computador. importante deixar abertas apenas as portas que se julgue ser necessrias para as principais funes e servios de rede. LOGGED ON USERS Usando esta informao ficamos a saber a listagem dos utilizadores que se encontram em comunicao com o computador monitorizado, seja localmente ou atravs da rede.
pg. N 102
Para qualquer utilizador disponibilizada a seguinte informao: Username; ( Time and date of the Logon) Data e hora a que fez o LOGON; ( Time elapsed Since their logon ) A durao da ligao; ( Number of programs Running ) o nmero de programas que o utilizador usou durante a sua ligao; ( Idle Time ) A durao da inactividade durante essa ligao; ( Client type) O sistema operativo usado pelo utilizador para essa ligao; (Transport) O tipo de servio usado para a ligao entre o utilizador e o computador de destino;
pg. N 103
REMOTE RUNNING PROCESSES
Nestes campos so listados todos os processos que estavam a correr no computador auditado, durante a pesquisa do LAN guard. Ainda sobre estes processos apresentada a seguinte informao adicional: O Seu nome O Process ID O caminho ( Path) O utilizador O PPID O domnio A linha de comandos Handle Count Thread Count A prioridade (Priority)
pg. N 104
INSTALLED APLICATIONS
Neste campo so listadas as aplicaes instaladas que so agrupadas em trs grupos bsicos: -Aplicaes de Antivrus -Aplicaes AntiSpyware -Aplicaes Gerais Nos respectivos campos destas aplicaes podemos Consultar o estado dos servios do Antivrus e Anti spyware, seus updates, e datas dos mesmos. Todos os programas que no so considerados, software de Anti-vrus ou Anti-Spyware, so listados como Aplicaes gerais, e referenciada a sua verso e Distribuidor.
pg. N 105
NETWORK DEVICES
Nesta listagem so descritos todos os dispositivos na rede, sejam eles fsicos, (utilizando cabo) ou wireless. Na descrio so utilizados os seguintes cones:
Cada Grupo inclui vrios detalhes do dispositivo detectado, incluindo:
pg. N 106
USB DEVICES
Neste campo so listados todos os dispositivos USB. Esta informao extremamente til para distinguir entre dispositivos USB autorizados e no autorizados.
SYSTEM HOT FIXES PATCHING STATUS
pg. N 107
Clicar em para verificar o estado dos patches do sistema, em cada um dos computadores seleccionados. Ao clicar ainda em , obtemos uma lista dos nomes NETBIOS das mquinas enumeradas. Cada computador na rede tem um nome NETBIOS nico de 16 bytes, que permite que os recursos baseados sejam identificados na rede. Durante a pesquisa usando NETBIOS, se o servio estiver activado, o computador solicitado ir responder enviando o seu respectivo NETBIOS NAME . SCANNED TARGET COMPUTER DETAILS
Nesta descrio podemos obter informao de alguns detalhes relacionados com o computador identificado. Para aceder a esta informao fazer ( ) - Mostra o Mac Address da carta de rede atravs da qual o computador est ligado rede. Identifica o nmero de saltos permitidos at um pacote de dados expirar. Baseado neste valor poder identificar-se a distncia entre o computador que est a correr o GFI, e o computador de destino. Alguns valores tpicos, rondam valores de cerca de 32, 64, 128, e 255. Mostra quanto tempo um determinado computador um posto de trabalho na rede ou um determinado servidor. Mostra dados relativos identificao do/s domnio/s ou workgroups existentes na rede. : mostra o tipo de software de gesto de rede bem como sistema operativo relacionado. Mostra o idioma seleccionado no computador de destino.
pg. N 108
ACTIVE SESSIONS
Ao clicar em temos acesso aos postos que estiveram ou esto remotamente ligados rede. A informao reunida para cada caso estende-se ao seguinte: O endereo IP do posto que esteve ligado remotamente ao posto seleccionado. : O username do computador que esteve autenticado e ligado. : O nmero de ficheiros acedidos durante a sesso. : A durao da sesso em segundos em que os utilizadores estiveram remotamente ligados ao computador monitorizado. : O tempo total durante o qual a conexo com o computador seleccionado pelo acesso remoto esteve inactiva. : mostra o sistema operativo usado pelo acesso remoto. : O nome do servio que foi usado para iniciar a conexo remota entre o computador monitorizado, (cliente) e o remoto. Por exemplo, NetBIOS, Smb.
pg. N 109
GUARDAR E RECUPERAR OS RESULTADOS DA PESQUISA. Por defeito o Languard, guarda os resultados do scan , numa base de dados Microsoft Access ou Microsoft SQL Server database backend. No entanto poder ser guardada num ficheiro tipo xml externo. Os resultados guardados podem ento ser extrados quando necessrio para por exemplo comparar com outras configuraes ou efectuar o reenvio de patches perdidos. Para gravar os resultados do scan num ficheiro xml proceder de forma seguinte: No menu FILE, escolher: Save scan results... Escolher um nome para o ficheiro xml e clicar em SAVE.
RESTAURO DE UM RESULTADO DE SCAN Por defeito o Languard guarda o scan do ltimos dez logs ( poder -se- aumentar este backup em Database Maintenance, e a escolhendo Manage Saved Scan results. Para carregar da base de dados estes logs, fazer: Com o lado direito do rato clicar em Load Saved Scan results from... > Database Surge o quadro abaixo:
Seleccionar o scan que queremos recuperar Clicar em OK
FILTRAR RESULTADOS DE UM SCAN Os resultados de um scan podero ser filtrados, de forma a mostrar apenas a informao que se julga relevante. Temos um exemplo dessa opo no quadro abaixo.
Para obter um resultado filtrado do scan, proceder da forma seguinte: - Lanar um novo scan, ou utilizar um anterior guardado em backup. - Na janela de resultados, expandir o campo, Security Scanner > Scan filter - A seleccionar o campo que se pretende ver listado na amostragem.
pg. N 111
7.2.9. Configurao do GFI LANGUARD Uma das funes de muita utilidade do GFI Languard a calendarizao automtica, das monitorizaes. Para aceder a esta funcionalidade proceder da seguinte forma: No menu escolher , para configurar scans que sero periodicamente executados, ou numa data e hora especfica. Assim podemos usar os recursos de uma rede disponveis em perodos de menos trfego, (ex. Madrugada, perodos de descanso, ou fins de semana.) Este recurso est organizado em dois quadros, o Result Saving Tab e o Results Notification Tab. Para aceder a estes quadros fazer: Lado direito do quadro clicar em e seleccionar Aparece o Scheduled Scans configuration dialog.
O GFI permite que sejam enviados reports de scan, para uma determinada caixa de correio de Email a configurar. Essa informao poder incluir Full scan results report e o Results comparation report. No primeiro resultado so includos os resultados do scan realizado pelo Schedule. No segundo so registadas as diferenas ou mudanas entre esse scan e o imediatamente anterior. (de notar que o GFI no envia o Comparison report, caso no haja diferenas entre reports, ou caso seja o primeiro log executado.)
pg. N 112
Para especificar que reports iro ser enviados por e-mail depois de um Scan , fazer: Com o lado direito do rato clicar em Configuration>Scheduled Scans,e seleccionar Properties.No qudro que se abre, clicar em Results Notification Tab, e seleccionar os reports que sero enviados, mal o scan esteja terminado. Clicar em OK para salvar as configuraes. SCANNING PROFILES Os Scanning Profiles so modelos configurveis, que determinam que testes de vulnerabilidade iro ser efectuados aos computadores de destino, bem como qual a informao que ir ser retirada durante a auditoria rede. Desta forma o GFI vem por defeito com uma listagem de perfis de monitorizao, para efectuar determinados scans de acordo com as caractersticas da rede. Essa listagem est acessvel expandindo o menu, Configuration>Scanning Profiles. Eis alguns exemplos destes perfis: Default: scan destinado a retirar informaes vrias bem como verificar uma variedade de testes balanceados, como por exemplo aplicaes instaladas, portas abertas, aplicaes de segurana instaladas etc. Cgi Scanning: retira informaes acerca do sistema operativo e retira informao relevante acerca dos servidores web. Full TCP and UDP port Scan: Efectua uma verificao recorrendo a TCP e UDP, a todas as portas desde 0 a 65535. Missing Patches: efectua uma verificao relacionada com patches de segurana em falta, bem como de service packs. Ping them ALL: Verifica quais os computadores de uma determinada rede esto ligados. Share Finder: verifica que partilhas esto activas na rede e retira informaes acerca dessas partilhas. Removable media protection: verifica quais os dispositivos amovveis que esto conectados na rede. Applications: verifica que aplicaes esto instaladas nos computadores a monitorizar.
pg. N 113
De notar que quanto maior for o campo de pesquisa e os itens a pesquisar Maior ser o tempo de pesquisa. GFI LANguard N.S.S. UPDATES O GFI usa diversos parmetros, requeridos por diferentes processos de Scan rede. Estes parmetros que no so mais do que bases de dados, so actualizados periodicamente pela GFI, que oferece desta forma as ltimas verses de Updates da Microsoft, testes de vulnerabilidade bem como informao de identificao de dispositivos, actualizada. Por outro lado atravs dos Updates recolhe-se melhoramentos de pesquisa do prprio GFI bem como possveis correces s ferramentas de aplicao. Por defeito o GFI est programado para efectuar updates sempre que se inicia o seu funcionamento, mas tambm existe a possibilidade de os fazer manualmente, actuando no menu, em Help>Check for Updates. Para verificar qual o estado dos Updates do GFI NSS, clicar em General>Program Updates .
pg. N 114
Na eventualidade de no se pretender os Updates automticos ao iniciar, fazer: General>Program Updates e Propertties
PATCH MANAGEMENT: INSTALAO DE MICROSOFT UPDATES
Ao usar este servio garantimos que os produtos Microsoft instalados na rede esto actualizados com as ltimas actualizaes de segurana. Os produtos Microsoft suportados pelo GFI Languard em questes de monitorizao encontram-se no seguinte endereo de Internet: Para enviar os patches e uptades para os computadores de destino com sucesso, dever ter-se em ateno o seguinte: 1. O GFI ter de estar a correr numa conta com direitos administrativos, relativamente aos computadores sob os quais iro ser instalados os Updates. 2. O servio NetBIOS ter de estar activado nos computadores remotos. O GFI faz uso de um agente de distribuio de patches para enviar patches e service packs. Esse agente no mais do que um servio, que subtilmente enviado e instalado no computador remoto durante o Deployment, o que torna este processo muito mais eficiente e fivel.
pg. N 115
Para seleccionar os computadores de destino para onde os patches iro ser enviados actuar de forma seguinte: Para enviar patches a um s computador: Na janela de computadores monitorizados, seleccionar com o lado direito do rato no computador sobre o qual desejamos efectuar o update e seleccionar: Para enviar patches para uma gama de computadores: Na janela da gama computadores monitorizados, seleccionar a check box dos computadores sobre os quais desejamos efectuar o update e seleccionar escolhendo qualquer um deles:
Para enviar patches para todos os computadores: Na janela da gama computadores monitorizados, seleccionar qualquer um dos computadores e fazer:
Depois de especificados em quais os computadores a aplicar os patches , o GFI mostra automaticamente a tabela de opes de Deployiment onde se poder escolher quais os patches a enviar.
pg. N 116
7.2.10. Instalao remota de software As ferramentas de deployment , esto acessveis em Tools>Deploy Custom Software , e o procedimento similar distribuio de patches e updates da Microsoft, e resumese ao seguinte: 1. seleccionar qual ou quais os computadores onde o software ir ser instalado 2. Seleccionar qual o software a instalar 3. Iniciar o processo de deployment
pg. N 117
a) Clicar me Tools>deploy Custom software b) Em Computers to deploy Software, e a meio da janela, clicar em add ou em Select para seleccionar uma gama de computadores para onde ir ser enviado o software a instalar. NOTA: A lista de computadores tambm poder ser importada de um ficheiro de texto, clicando no comando button.
pg. N 118
DEPLOYMENT DE SOFTWARE Atravs da software rea no meio da interface de configurao clicar em add.
Especificar o caminho do ficheiro de instalao
Na eventualidade de ser requerido algum comando ou script de instalao poder inscrever-se nesse mesmo quadro.
pg. N 119
Finalmente poder dar incio ao deployment carregando em start.
O GFI permite efectuar a instalao remota de software de forma automtica , usando o scheduling patch deployment. Para tal actuar da seguinte forma: 1. Na janela de deployment, seleccionar Deploy on option 2. Especificar a data escolhida e a hora nos campos previstos para tal. 3. Clicar em start para activar o deployment calendarizado. Podero ser activadas algumas opes de Deployment como por exemplo o envio de uma mensagem durante a instalao no computador remoto, requerer uma permisso de instalao, ou parar todos os servios antes de enviar o software. Poder ainda opcionalmente escolher logo aps o deployment, no reiniciar o computador remoto, ou pelo contrrio permitir esse reboot, ou ainda deixar ao critrio do utilizador remoto o momento desse reboot.
pg. N 120
TOOLS
O GFI N.S.S, distribudo com algumas ferramentas de rede que permitem ajudar a reparar problemas na rede, e assistir nas tarefas de administrao. Para aceder a estas ferramentas usar: , para aceder s seguintes ferramentas:
DNS LOOKUP Acedendo a Tools>DNS Lookup, resolvemos os nomes atravs dos endereos IP, obtendo ainda informaes particulares do computador alvo como por exemplo o MX record etc. Escolher o nome do computador de destino e as informaes a recolher do menu proposto.
pg. N 121
TRACE ROUTE
Escolher no menu Tools>Traceroute ,para identificar o caminho que o GFI LANguard NSS percorreu para atingir o computador de destino. WHOIS CLIENT
pg. N 122
Escolhendo no menu Tools>Whois Client, podemos obter informao num domnio em particular ou num particular endereo IP. SNMP WALK
Ao seleccionar no menu Tools>SNMP Walk , testamos a rede em todos os seus ns e podemos retirar informao SNMP como por exemplo OIDs. Para Efectuar um SNMP Scan num determinado posto remoto fazer: 1. Clicar em Tools>SNMP Walk 2. Especificar o endereo IP de destino 3. Clicar em Retrieve para dar incio ao processo de recolha De notar que por vezes as firewalls impedem este servio de realizar-se. Por outro lado visto que nestes queries so frequentemente usados em ataques informticos, a menos que seja mesmo requerido deixar o servio SNMP desligado.
pg. N 123
SNMP AUDITING TOOL
Usar tools>SNMP Audit Tool, para executar Verificaes SNMP nos postos remotos da rede e identificar ligaes deficientes ou fracas relativamente a dados identificativos ou relacionais, executando um dictionary attack usando valores guardados no seu ficheiro pr definido ( snmp-pass.txt), que no entanto poder ser actualizado recorrendo a um editor tipo note-pad. Para efectuar, clicar em Tools>SNMP Audit node , escolher o endereo IP do computador de destino, e por fim clicar em Retrieve.
ENUMERATE COMPUTERS
pg. N 124
Ao usar no menu Tools>Enumerate Computers , podemos identificar os domnios e Workgroups na rede de Computadores. De entre a informao enumerada por esta ferramenta, podemos referir o nome do domnio ou workgroup, e suas respectivas listas de computadores, os sistemas operativos instalados nos computadores encontrados, e ainda alguns dados que podero ser recolhidos atravs do NetBIOS. De referir que esta enumerao pode ser efectuada recorrendo a dois mtodos: Atravs da Active Directory: o mais rpido e ainda permite enumerar os computadores que estejam desligados no momento da sesso de recolha de informao. Usando o Windows Explorer Interface: Este mtodo enumera os computadores em tempo real, no entanto mais lento que o anterior e no enumera os computadores que nesse momento estejam desligados. ENUMERATE USERS
Com esta ferramenta podemos enumerar todos os utilizadores registados na Active directory. Clicar em Tools>Enumerate Users para aceder a esta funcionalidade. Podemos filtrar a informao a extrair e mostrar apenas detalhes dos utilizadores. Opcionalmente possvel que sejam realadas as contas desactivadas ou bloqueadas. Pode-se assim obter esta funcionalidade recorrendo s opes de configurao, no lado direito do quadro Enumerate Users Tool. O GFI permite ainda activar ou desactivar qualquer uma das contas enumeradas, recorrendo ao clique com o lado direito em cima da Account e seleccionando .
pg. N 125
7.3. Questionrio de final do Captulo 7

1. Em traos gerais d uma ideia das principais caractersticas que uma ferramenta de gesto e monitorizao de redes deve possuir? 2. O GFI-Languard pode realizar processos de inventariao? De qu em concreto? 3. O que entende por deployment de software? 4. Que ferramentas de diagnstico de redes possui o GFI-Languard?
pg. N 126
8. Gesto remota de Sistemas e Aplicaes Objectivos do Capitulo:

No final do captulo o leitor dever ser capaz de descrever as principais caractersticas do software Epolice Orchestrator e do Windows Server Update Services, bem como proceder sua instalao, configurao e operao.
pg. N 127
8.1. O Epolice Orchestrator

A actualizao remota de antivrus. O ePolicy Orchestrator uma ferramenta que permite gerir polticas de segurana, avaliar e fiscalizar polticas, identificar e tomar medidas em relao a sistemas fora da nossa rede, alm de notificar sobre determinados eventos que podero ocorrer em toda a rede.
O ePolicy Orchestrator constitudo por vrios componentes que podem ser instalados em sub-sistemas de toda a rede:
pg. N 128
8.1.1. Conceitos e Instalao do EPO Servidor EPolicy Orchestrator O servidor ePolicy Orchestrator deve ser instalado numa mquina dedicada. Normalmente, ele acedido por meio de consolas remotas do ePolicy Orchestrator (instalados noutros computadores). Servidor de base de dados O ePolicy Orchestrator utiliza uma base de dados back-end, para armazenar os dados, os quais so representados na rvore de consolas da interface do utilizador. A base de dados contm informaes sobre cada computador gerido. Consolas do ePolicy Orchestrator Podemos ter vrias consolas instaladas na nossa rede. Uma delas fica instalada no prprio servidor de ePolicy Orchestrator como consola local, mas podemos tambm instalar consolas noutras estaes de trabalho de forma a aumentar a segurana global na rede. Agente ePolicy Orchestrator O agente um meio de informao e fiscalizao entre o ePolicy Orchestrator e cada sistema gerido. Para cada um dos sistemas geridos, o agente: Envia actualizaes. Executa tarefas agendadas. Fiscaliza polticas. Encaminha propriedades e eventos para o servidor.
Cada computador que se pretender gerir precisa de ter este agente instalado. Sensor Rogue System Detection (RSD) Os sensores podem ser instalados num ou mais sistemas por sub-rede. O sensor activo notifica-nos quando um sistema fora da rede (um sistema que no possui um agente ePolicy Orchestrator) entra no domnio, podemos, ento, iniciar uma ligao automtica personalizada a esse sistema; por exemplo, enviando um agente para ser instalado remotamente nesse sistema.
pg. N 129
Master repository O Master repository faz parte do servidor ePolicy Orchestrator, sendo o ponto central de todas as actualizaes de produtos da McAfee. O Master repository conecta-se ao Site de Downloads da McAfee em intervalos definidos pelo administrador, para averiguar novas actualizaes e patchs disponveis. O master repository contm uma cpia do contedo do Site de Downloads da McAfee. Locais de actualizao Os locais de actualizao so distribudos em todo o ambiente, permitindo que os sistemas geridos possam ir buscar arquivos DAT, actualizaes e instalaes de produtos. Dependendo de como a rede esteja configurada, convm ter diferentes tipos de locais de actualizao. Podemos criar locais de actualizao HTTP, FTP e de partilha UNC distribudos em qualquer lugar da rede, ou podemos criar um local de actualizao por subrede, transformando um agente de cada uma delas num SuperAgent. Primeiro h que preparar o ambiente instalando o Sistema Operativo Windows 2003 Server, num computador pertencente ao domnio. Na zona de Informao de conta, especifica-se o domnio onde vai ser inserido o computador com o EPO, nome de utilizador e a Password que foi utilizada na autenticao do servidor Epolicy Orchestrator, de seguida guardam-se as informaes da conta. Na janela seguinte selecciona-se o servidor de base de dados, escolhendo-se instalar o servidor nesta mquina, visto que esta opo instala a base de dados gratuita MSDE includa no pacote Epolicy Orchestrator. Atravs da janela de instalao configura-se a porta 82 HTTP para o agente e a porta 83 HTTP para a consola. Algumas portas HTTP, em particular as portas 80 e 81, so utilizadas habitualmente por muitas aplicaes e servios HTTP. Por esta razo, possvel que a porta 80 j esteja em uso e portanto no esteja disponvel. A McAfee recomenda mudar o nmero desta porta para evitar conflitos. Se por acaso aparecer uma mensagem de advertncia que indique que estejam em uso uma ou vrias portas HTTP, ento deveria ser seleccionado aceitar, repete-se o passo anterior e especificam-se as portas HTTP que estejam disponveis. 8.1.2. Operao e Gesto do EPO Incio da consola de ePolicy Orchestrator Aps a instalao anteriormente referida, pode-se abrir a consola do Epolicy Orchestrator de forma a difundir os agentes e produtos antivrus nas mquinas clientes da rede, encontrandose nesta fase o servidor em pleno funcionamento, permitindo comear a gerir directivas a partir da consola.
Para abrir a consola carrega-se no boto Iniciar, selecciona-se Programas, Network Associates e Consola de ePolicy Orchestrator 3.5.0. Ao aparecer a janela de instalao iniciar sesso no servidor, confirma-se que o nome do servidor o nome correcto do servidor Epolicy Orchestrator e que o nome do utilizador administrador e atribui-se a Password que se escolheu durante a instalao. Agregar automaticamente contas da Active Directory no seu Directrio O EPolicy Orchestrator permite importar todos os dados de uma Conta da Active Directory e as suas contas secundrias para o seu Directrio, para as mquinas clientes locais que estejam colocadas na Active Directory da rede. Enviar agentes para clientes da rede Antes de continuar com a configurao das mquinas clientes do Domnio, deve-se instalar um agente do ePolicy Orchestrator nas respectivas mquinas clientes. O agente uma pequena aplicao que reside na mquina cliente e que averigua periodicamente as actualizaes e novas instrues do servidor de Epolicy Orchestrator. Para enviar os agentes do servidor de EPolicy Orchestrator so necessrias as seguintes aces prvias: 1. Uma conta com privilgios de administrador com as seguintes caractersticas: Se especificarmos privilgios de administrador ao instalarmos o servio de servidor de ePolicy Orchestrator, poderemos enviar agentes automaticamente, de outra forma temos que especificar os privilgios apropriados para realizar o envio do mesmo. Atravs do Directrio da consola do Epolicy Orchestrator, podemos instalar simultaneamente o agente em todas as mquinas da rede. Para isso, basta enviarmos um ficheiro de instalao para toda a rede. 2. Iniciar a instalao dos agentes nas mquinas a partir do servidor Utiliza-se a funo Instalar agente para que o Epolicy Orchestrator envie os agentes para todas as mquinas da rede. Ao enviar os agentes a instalao feita de forma imediata sem que o utilizador se aperceba ou intervenha.
pg. N 131
Definir directrios do VirusScan Enterprise 8.0i antes do envio Aps criados os directrios, o VirusScan est pronto para ser enviado para as mquinas cliente, mas, antes de ser enviado, vamos submete-lo a algumas modificaes. Atravs do arquivo NAP podemos configurar e aprender como funciona o VirusScan Enterprise, uma vez que est instalado na mquina cliente. Para isso utilizamos o seguinte exemplo: Modificamos os directrios das estaes de trabalho para a instalao do VirusScan Enterprise 8.0i com um requisito mnimo de utilizador. Esta implementao poder ser til numa rede real, para ocultar a janela do sistema nas estaes de trabalho, com o fim de impedir que os utilizadores finais possam mudar os directrios e desactivar funes.
Para mudar os directrios do VirusScan Enterprise para as estaes de trabalho Na consola, selecciona-se o grupo Estaes de trabalho. No painel de configuraes, carrega-se na ficha Directrios e, para continuar, selecciona-se VirusScan Enterprise 8.0i. Selecciona-se Directrios da rea de utilizador.
Desactiva-se a opo Herdar para activar as opes de Domnio da rea de utilizador. Selecciona-se Mostrar o cone da janela do sistema com as opes de menu mnimas.
Estes passos so repetidos para a instalao do VirusScan nas outras estaes de trabalho do nosso Domnio. Enviar VirusScan Enterprise para os clientes Para enviar o VirusScan Enterprise 8.0i para todas as mquinas do Domnio Na consola de configurao, selecciona-se o Domnio. Abre-se a consola de planificao do Epolicy Orchestrator, carregando na ficha Tarefas e anula-se a seleco de Herdar a Configurao de planificao. Na rea de Configurao da planificao, selecciona-se Habilitar (a tarefa planificada executa-se na hora especificada). Guardam-se as opes de envio de produto e volta-se janela de dilogo Planificada do ePolicy Orchestrator. Na janela de dilogo Planificada do ePolicy Orchestrator, carrega-se na ficha Planificao e anula-se a seleco Herdar para poder activar as opes de planificao. No Tipo de planificao, selecciona-se Executar imediatamente. Configura-se o envio predeterminado para instalar o VirusScan Enterprise em todas as mquinas cliente da rede. O envio executar-se- da prxima vez que os agentes solicitarem novas instrues ao servidor de Epolicy Orchestrator. Tambm possvel iniciar uma chamada de activao do agente para que ele envie imediatamente. Actualizar ficheiros DAT mediante uma tarefa de actualizao do cliente Uma das tarefas mais habituais que se realiza com o ePolicy Orchestrator a actualizao dos ficheiros de definio de vrus (DAT). O VirusScan Enterprise realiza de forma predeterminada una tarefa de actualizao imediatamente depois da instalao. Uma vez que o VirusScan Enterprise est instalado, devem ser actualizados os ficheiros DAT com frequncia. O software de antivrus s ser eficaz se estiver actualizado com os ltimos ficheiros DAT, pelo que o melhor mant-los actualizados diariamente. Provavelmente ir-lhe-o pedir para fazer este tipo de actualizao; por exemplo, se a McAfee publica ficheiros DAT actualizados, em resposta a novas descobertas de vrus, deseja que os seus clientes actualizem os antivrus sem terem de esperar pelas tarefas de planificao que tm programadas de forma regular. Para isso, pode ser criada e executada uma tarefa de actualizao da mquina cliente, atravs da consola do Epolicy Orchestrator. Esta tarefa obrigou a que todo o software de antivrus da mquina cliente realizasse uma tarefa de actualizao. Para criar e executar uma tarefa de actualizao da mquina cliente:
Na consola, carregue na tecla do lado direito do rato no Directrio e seleccione Planificar tarefa. Na Planificao da tarefa, escreve-se um nome no campo Nome da nova tarefa, para Actualizaes DAT das mquinas cliente. Na lista do software, seleccione Agente de Epolicy Orchestrator e depois Actualizar para o tipo de tarefa pretendida. Carregue em F5 para actualizar a consola e para que a nova tarefa aparea na lista de Tarefas. Verifique que est agendada para que se executem todos os dias, o dia e a hora actual. Assim pode-se observar que o valor da etiqueta Habilitada Falso; agora necessitamos mudar o valor para Verdadeiro e execut-la imediatamente. Faz-se a Anulao da seleco de Herdar na janela de Configurao do Epolicy Orchestrator. Em Patchs e Service Packs, seleccione VirusScan Enterprise 8.0 e carregue em Aceitar. Carrega-se na ficha agendada e, para continuar, anula-se a seleco de Herdar. Agenda-se uma tarefa para Executar imediatamente e carrega-se em Aceitar. Inicia-se uma chamada de activao do agente para todos os locais do Domnio, para que os agentes se conectem imediatamente para a respectiva actualizao. Agendar sincronizao automtica dos Directrios Podem ser agendadas tarefas regulares de extraco e rplica para sincronizar os Directrios de origem, para que sejam todos actualizados. A partir desse momento, cria-se uma tarefa agendada de actualizaes de clientes para assegurar que o software cliente (VirusScan Enterprise), actualizado de uma forma regular, caso existam ficheiros DAT actualizados. Agendar uma tarefa de extraco para actualizar o Directrio principal diariamente As tarefas de extraco, actualizam o directrio do software principal com os ltimos ficheiros DAT desde o directrio de origem. De uma forma pr determinada, o directrio de origem o Local Web da McAfee. Cria-se uma tarefa agendada para extrair as ltimas actualizaes do local Web da McAfee por exemplo, uma vez por dia. Como planificar uma tarefa de extraco: Na Consola, seleccionamos Directrio. Na pgina Directrio, seleccionamos agendar tarefas de extraco para abrir a pgina de tarefas de Configurao do servidor.
pg. N 134
Carregamos em Criar tarefa para abrir a pgina de Configurao da nova tarefa.
Especificamos um nome no campo Nome, como Tarefa diria de extraco do directrio. Seleccionamos Extraco do directrio no menu alterar Tipo de tarefa. Examinamos as Opes avanadas de agendamento e inserimos o dia e a hora de execuo da tarefa. Seleccionamos NAI http para que a busca das actualizaes ao Directrio de origem seja mais fcil. Se existirem produtos antigos da McAfee, como VirusScan 4.5.1 na rede, seleccionamos Admitir actualizao de produtos antigos. Notificaes do Epolicy Orchestrator A informao em tempo real acerca da actividade de armazenamento e conformidade na nossa rede essencial. Nesse contexto, podemos configurar regras no Epolicy Orchestrator para que o avisem quando o servidor receber e processar eventos de armazenamento e conformidade especificados pelo utilizador. A possibilidade de estabelecer controlos de agregao e regulao para cada regra, permite definir quando que sero enviadas as mensagens de notificao. Configurar directrios do agente para carregar eventos de forma imediata O agente envia os eventos das mquinas para o servidor de EPO, desde que as mquinas estejam ligadas ao Domnio ProjectoRedes, caso contrrio, o servidor de ePolicy Orchestrator no recebe eventos.
pg. N 135
Seleccionamos Agente de Epolicy Orchestrator e Configurao no painel de detalhes superior. Seleccionamos Activar a carga imediata de eventos e carregamos em Aplicar todos. Acabamos de configurar os agentes para receber os eventos no servidor de Epolicy Orchestrator imediatamente, e est pronto para configurarmos as Notificaes. Configurar as notificaes Antes de estabelecermos regras, devemos definir quem vai receber as mensagens de notificao:
No Servidor de correio electrnico, escreve-se o nome do servidor a quem o servidor de Epolicy Orchestrator se poder dirigir, e a direco de correio que deve aparecer na linha de mensagem. Carregamos em Aplicar e de seguida, em Contactos de correio electrnico na parte superior da ficha. Esta pgina permite especificar todas as direces que vo incluir no ficheiro desde a que seleccionar os destinatrios durante a criao das regras. Agora que especificamos o servidor de correio electrnico, que vamos utilizar para enviar a mensagem numa direco, est pronto para criar uma regra que activa um evento de VirusScan Enterprise.
pg. N 136
Configurar uma resposta automtica Podemos configurar respostas automticas para que o EPO as execute nos sistemas no fiveis. Existem muitas situaes em que possvel que no deixem aplicar uma resposta automtica. Tambm se podem definir condies para os tipos de sistemas no fiveis. Seleccionamos a Deteco de sistemas no fiveis na consola central e na ficha de respostas no painel de configurao. Selecciona-se a janela de verificao, situada junto ao Consultar agente EPO, de seguida selecciona-se Desactivar na lista de respostas marcadas e carrega-se em Aplicar. Esta resposta vai comprovar se o sistema detectado tem algum agente de outro servidor EPO ou no.
Selecciona-se aceitar resposta automtica. Escolhe-se um nome para a resposta. Por exemplo, Insero do agente.
pg. N 137
8.2. O Windows Server Update Services (Wsus)

8.2.1. Conceitos e instalao do WSUS O Windows Server Update Services (WSUS) a verso que substitui o Software Update Services (SUS). Esta aplicao permite a actualizao remota de aplicao de servio s vrias verses de sistemas operativos Windows que estejam instalados na rede que vai ser servida. Requisitos mnimos de Instalao do WSUS O que vamos ver a seguir so os requisitos bsicos de instalao do WSUS que utiliza opes padro. Podemos encontrar os requisitos de hardware e software para outras instalaes em Implantar o Microsoft Windows Server Update Services. As recomendaes de hardware para um servidor at 500 computadores clientes so as seguintes: Processador de 1 GHz 1 GB de Memria RAM Requisitos de Software Antes de se iniciar a configurao do WSUS, devemos certificarmo-nos de que o computador que ir utilizar para o servidor WSUS tem pelo menos os requisitos listados abaixo. Se alguma dessas actualizaes exigir que o computador seja reiniciado assim que a instalao estiver concluda, isso dever ser feito antes de instalar o WSUS. Windows Server 2003 Caso opte por instalar o WSUS em ambiente Windows Server 2003, dever ter instalados os seguintes programas de aplicao: Microsoft Internet Information Services (IIS) 6.0. Background Intelligent Transfer Service (BITS) 2.0 Microsoft .NET Framework 1.1 Service Pack 1 for Windows Server 2003 Windows Server 2000 Caso opte por instalar o WSUS em ambiente Windows Server 2000, dever ter instalados os seguintes programas de aplicao: Microsoft Internet Information Services (IIS) 5.0. Background Intelligent Transfer Service (BITS) 2.0;
Software de banco de dados que seja 100% compatvel com o Microsoft SQL. Microsoft Internet Explorer 6.0 Service Pack 1; Microsoft .NET Framework Version 1.1 Redistributable Package; Microsoft .NET Framework 1.1 Service Pack 1;
Requisitos e Recomendaes para o Disco rgido de suporte Para instalar o WSUS, o sistema de ficheiros do servidor deve preencher os seguintes requisitos: Tanto a partio do sistema como a partio em que se instala o WSUS devem ser formatadas com o sistema de arquivo NTFS necessrio um espao livre mnimo de 1 GB para a partio do sistema. necessrio um espao livre mnimo de 6 GB para o volume em que o WSUS armazena o contedo; recomendado 30 GB. necessrio um espao livre mnimo de 2 GB para o volume em que o WSUS Setup instala o Windows SQL Server 2000 Desktop Engine (WMSDE). Instalar o MSDE no seu Servidor (Somente para Windows 2000) Se estiverem a usar o WSUS com o Windows 2000 Server e no possurem acesso ao Microsoft SQL Server 2000, devem ento instalar o Microsoft SQL Server 2000 Desktop Engine (MSDE) antes de executar o WSUS Setup. Caso no acontece se escolherem o Windows 2003 server, visto este j trazer includo no pacote o Microsoft SQL Server. Instale o WSUS no Servidor SUS Aps ter visto os requisitos de instalao e, opcionalmente, ter instalado o MSDE, j estaremos prontos para instalar o WSUS. O procedimento que se segue utiliza as opes padro de instalao do WSUS no Windows 2000 Server com o SUS instalado. Isso requer que se fornea um software de base de dados, armazene localmente as actualizaes e utilize o site na porta 8530. Se se est a usar o Windows Server 2003, no precisa fornecer este software de base de dados. Devemos efectuar login ao servidor em que planeia instalar o WSUS usando uma conta membro do grupo local Administrators. S os membros desse grupo podem instalar o WSUS. Seleccionar Origem da Actualizao (Select Update Source) Faa duplo clique no ficheiro de instalao WSUSSetup.exe. Na pgina Welcome do assistente, clique em Next. Leia atentamente os termos do acordo de licena, clique em I accept the terms of the License Agreement, e depois clique em Next. Na pgina Select Update Source, podemos especificar o local a partir do qual os clientes obtm actualizaes. Se seleccionar caixa de seleco Store updates locally, as actualizaes
pg. N 139
sero armazenadas no servidor WSUS e deveremos seleccionar um local, no sistema de ficheiros, para armazen-las. Se no armazenarmos as actualizaes localmente, os computadores clientes ligam-se Microsoft Update para obter actualizaes aprovadas. Mantenha as opes padro e clique em Next. Seleccionar Origem da Actualizao (Select Update Source)
Na pgina Database Options, Para o Windows Server 2003, clique em Install SQL Server desktop engine (Windows) on this computer. Para o Windows 2000 Server, clique em Use an existing database server on this computer, seleccione o nome de instncia da caixa SQL instance name, e depois clique em Next. Opes de Base de Dados (Database Options)
pg. N 140
Na pgina Web Site Selection, clique em Create a Microsoft Windows Server Update Services Web site. Esta pgina lista tambm duas URLs importantes, baseadas nesta seleco: a URL qual iremos apontar como o local em que os computadores clientes do WSUS iro obter actualizaes, e a URL para a consola do WSUS, em que iremos configurar o WSUS. Na pgina Mirror Update Settings, podemos especificar o papel do gestor para este servidor WSUS. Se este for o primeiro servidor WSUS. Na rede rede, ou se queremos uma topologia de gesto distribuda, passe este menu. Caso queiramos uma topologia de gesto central e este no o primeiro WSUS na rede, seleccione a caixa de seleco, e digite o nome do servidor WSUS adicional na caixa Server name. Mantenha a opo padro e clique em Next. Configuraes de Actualizao de Espelho (Mirror Update Settings)
pg. N 141
Na pgina Ready to Install Windows Server Update Services, verifique as Seleces e clique em Next. Instalar o Windows Server Update Services (Install Windows Server Update Services)
pg. N 142
Se a pgina final do assistente confirmar que a instalao do WSUS foi concluda com sucesso, clique em Finish.
pg. N 143
8.2.2. Configurao e Gesto do WSUS Configurao do WSUS Aps instalar o WSUS, j est pronto para aceder a consola WSUS a fim de configurar o WSUS e comear a utilizao do mesmo. Por padro, o WSUS est configurado para usar a Microsoft Update como o local para se obter actualizaes. Se possuir um servidor proxy na rede, use a consola do WSUS para configurao do WSUS para uso no servidor. Aps configurar a ligao de rede, podemos obter as actualizaes. Utilize uma opo de sincronizao do WSUS para downloads agendados, que esto habilitados por padro. Configure tambm o WSUS para fazer o download de actualizaes para o mesmo nmero de idiomas para o qual o SUS foi configurado. Por padro, o WSUS est configurado para fazer o download de todos os idiomas. Essas configuraes garantem que no precisamos necessariamente fazer download de actualizaes directo na sua ou em idiomas que no solicitou. Para obter actualizaes, voc deve sincronizar o servidor WSUS. A sincronizao envolve o contacto do WSUS com a Microsoft Update. Aps fazer o contacto, o WSUS determina se h alguma actualizao disponvel desde a ltima vez em que sincronizou. Como esta a primeira vez que voc est a sincronizar o servidor WSUS, todas as actualizaes esto disponveis e prontas para sua aprovao e instalao. Este passo contm os seguintes procedimentos: Abertura do console WSUS. Configurao das definies do servidor proxy para que o WSUS possa obter as actualizaes. Configurao das definies de idiomas do WSUS. Sincronizao do seu servidor WSUS. Como abrir a consola do WSUS No servidor WSUS, clique em Start, aponte para All Programs, depois Administrative Tools, e depois clique em Microsoft Windows Server Update Services. Deve ser membro tanto do grupo Administradores do WSUS como do grupo de segurana local, no servidor em que o WSUS est instalado, a fim de usar a consola do WSUS. Se no adicionarmos o http:// <servidor> do site lista de sites na zona de Intranet Local, no Internet Explorer no Windows Server 2003, poderemos receber credenciais de todas as vezes em que abrirmos a consola do WSUS. Se mudarmos a atribuio da porta, no IIS, aps instalar o WSUS, deveremos actualizar manualmente o atalho pelo menu Start.
pg. N 144

1. Em que consiste o programa Epolice Orchestrator? 2. O Windows Server Update services permite a execuo descentralizada de algumas tarefas fundamentais na gesto de redes baseadas em Windows. Quais so essas tarefas? 3. Quais so, em seu entender as principais vantagens no uso destes programas? 4. De que forma se pode poupar em recursos humanos usando este tipo de programas?
pg. N 145
9. Polticas de licenciamento, suporte e manuteno Objectivos do Capitulo:

No final do capitulo o leitor dever ser capaz de descrever quais as polticas de licenciamento de software mais vulgarmente praticadas no mercado e adequar os vrios tipos de licenciamento s realidades de cada organizao.
pg. N 146
9.1. A questo do licenciamento de software

A propriedade intelectual, ou mais concretamente a sua proteco, constitui uma preocupao muito grande nos nossos dias e nas mais variadas reas de actividade. Na rea das Tecnologias de Informao e Comunicao, esta questo assume particular relevo, uma vez que de extrema simplicidade a contrafaco do software e a sua consequente utilizao fraudulenta. Apesar de no terem suporte tcnico, ou apoio ps-venda, quando contrafeito, o software continua a ser copiado e usado de uma forma abusiva contribuindo esta prtica, tambm para o custo elevado de um original, (paga o justo pelo pecador). O "software pirata" uma realidade nas empresas e nos particulares e a sua deteco por parte das entidades legais gera problemas muito graves para as empresas: multas, equipamento apreendido, impacto meditico e perda de clientes. Alguns fabricantes de software permitem licenciar por equipamento, o que, neste caso poder ter a vantagem de poderem vrios colaboradores usar o mesmo equipamento e software, mas outros fabricantes exigem que o licenciamento seja efectuado pelo n de utilizadores. Se os utilizadores estiverem a usar funes especificas, como por exemplo, autenticao, utilizao de e-mail acesso a ficheiros partilhados, impresso, num dado servidor, ter que fazer o licenciamento de todos os utilizadores ou mquinas que tem autorizao de acesso ao software, mas dependendo das politicas de licenciamento dos fabricantes. Mas vejamos que tipos de software esto disponveis no mercado. 9.1.1. Software Freeware So os programas gratuitos, exactamente como os programas Shareware que veremos j a seguir, mas no exigem registo e no tm qualquer exigncia de pagamento pelo seu uso. Contudo no permitida a sua alterao, ou seja no est disponvel o cdigo fonte que permite alterar ou adaptar o software. 9.1.2. Software com Licenciamento Shareware um tipo de licenciamento que permite que o software seja usado durante um perodo de tempo, free-trial , pelo que aps esse perodo expirar ter que desinstalar o software e/ou adquirir uma licena definitiva. Para muito software shareware, s possvel o seu uso sem licenciamento por entidades no comerciais.
pg. N 147
Inclusivamente o tipo de licenciamento pode ser alterado caso a verso de software mude. Acontece por vezes que ao mudar de verso de software tenha que se reger pelas novas polticas de licenciamento do fabricante. 9.1.3. Software com Licenciamento genrico Um acordo de Licena de Software um memorando de contrato entre o produtor e um utilizador do software de computador que concede ao utilizador uma licena de uso. Um utilizador pode ser qualquer entidade juridicamente legal ou um utilizador-final, que no caso do acordo de licena de software chamado s vezes de End User License Agreement. O acordo especifica as condies em que o produto concedido pelo proprietrio ao utilizador. Ao adquirir uma licena, o utilizador adquire o direito de uso do software com base em regras estabelecidas pelo detentor dos direitos de autor. O mesmo produto ou software pode ser vendido de vrios modos, funo do volume de licenas a adquirir ou do tipo de utilizao a que se destina o software (por exemplo existem fabricantes que praticam preos especiais para o ensino). Cada instalao de software requer uma licena que o acompanha. Se uma empresa adquire um software, o acordo de licena determina tambm o nmero de computadores em que pode ser instalado o software. Por exemplo, a Microsoft oferece diferentes opes e acordos de licena para atender a necessidades variadas. Essas opes incluem desde licenas para uma nica instalao at programas de licena em grandes volumes, que proporcionam uma economia significativa aos clientes que precisam de muitas instalaes do mesmo programa (por exemplo, que precisam instalar o Microsoft Office em vrias centenas de computadores). Conhecendo as opes de licenciamento de um determinado software, pode-se avaliar qual a melhor maneira, de adquirir o software e as respectivas licenas para as suas prprias necessidades. O licenciamento serve como uma valiosa proteco: proteco para os clientes, pois eles sabem que recebem o software genuno (incluindo acesso a suporte tcnico e actualizaes), e proteco para a propriedade intelectual, investida na criao desse software.
pg. N 148
A Microsoft por exemplo disponibiliza vrios tipos de licenas de software, donde descrevemos alguns de seguida: 9.1.4. Software pr-instalado em computadores novos (software OEM) Este o software que vem instalado quando o cliente adquire um computador novo (por exemplo: sistema operativo Windows XP Professional). Clientes que adquirem software pr-instalado podem beneficiar das opes disponveis de licenciamento em grandes volumes para manter o seu software actualizado. FPP (Full Packaged Product) - Retalho O FPP refere-se s caixas embaladas de produtos licenciados que podem ser adquiridos numa loja de venda directa ao cliente em qualquer local. No possvel combinar opes de actualizao de licena em volume com o produto de retalho. Para os clientes que possuem cinco computadores ou mais, a migrao para uma soluo de licenciamento em volume provavelmente proporcionar uma economia de tempo e dinheiro. 9.1.5. Licenciamento em grandes volumes para organizaes Determinados clientes podem fazer uma economia significativa com a aquisio de vrias licenas de software. Vejamos a oferta da Microsoft nesta rea, dependendo do tamanho e tipo da organizao, as seguintes opes de licenciamento em grandes volumes podem ser oferecidas:
O OPEN LICENSE recomendado para organizaes que vo adquirir no mnimo cinco licenas. Existem trs tipos de Open License que a Microsoft pode oferecer ao seu cliente: Open Volume Licenses, Open Business Licenses e Open License Value. Microsoft Open License Value um plano de aquisio de licenas que proporciona aos clientes descontos. O programa oferece vrias vantagens s empresas que possuem no mnimo cinco computadores, incluindo economia com licenciamento em volume e a capacidade de parcelar o pagamento das licenas por um perodo de at trs anos. Alm disso, o Open License Value inclui Software Assurance, que possibilita que os seus clientes se mantenham actualizados com as tecnologias necessrias. Proporciona um melhor acesso a ferramentas avanadas de gesto de software.
pg. N 149
A modalidade SELECT LICENSE destina-se s organizaes com no mnimo 250 computadores que conseguem prever as suas aquisies de licenas de software num perodo de trs anos. Embora este tipo de licena s esteja disponvel atravs dos revendedores que atendem a grandes contas (LARs). Uma Select License cria uma necessidade significativa de implementao e infra-estrutura para o cliente. ENTERPRISE AGREEMENT talvez a melhor opo para clientes com vrias centenas de computadores que pretendam standardizar a sua empresa com um ou mais dos produtos empresariais Microsoft (Office Professional, actualizao para Windows Professional e Core CAL), com preos e descontos baseados em acordos com durao de trs anos.
ENTERPRISE SUBSCRIPTION AGREEMENT o programa para clientes grandes com centenas ou milhares de computadores que preferem licenciar produtos de software Microsoft atravs do sistema de assinatura. O Enterprise Subscription Agreement possibilita ao seu cliente padronizar-se com um ou mais dos produtos empresariais Microsoft, com preos e com descontos baseados num acordo com durao de trs anos.
ACADEMIC VOLUME LICENSING a soluo de licenciamento em volume para atender s necessidades especficas das instituies de ensino.
pg. N 150
9.2. Outros tipos de licenciamento

Outro fabricante de software, A McAfee, tem outra poltica para a comercializao dos seus produtos da rea do Antivrus. As suas modalidades de licenciamento, disponibilizam duas possibilidades de adquirir os produtos dos seguintes modos: Licenas Perptuas (independentemente da data de aquisio) e licenas por Assinatura. Licenas por Assinatura: O actual modelo de licenciamento por assinatura 2.1 foi introduzido em Janeiro de 2001. Isto separou o direito manuteno de software do direito ao uso do software. O cliente deve ter um contrato de Suporte Tcnico em vigor para ter direito manuteno do software. O primeiro ano do prazo de 2 anos da licena do produto inclui o Suporte Tcnico. O direito manuteno de software durante o segundo ano do prazo da licena do produto obtido com a aquisio de um outro contrato de Suporte Tcnico de um ano. Licenas Perptuas: Para os clientes que preferem um prazo indefinido de licena de software, apoiado por contratos de Suporte Tcnico renovveis anualmente. As licenas perptuas da McAfee exigem que o cliente opte por um dos contratos de Suporte Tcnico para ter direito manuteno de software. importante observar que um contrato de licena NO confere ao cliente o direito actualizao para novas verses ou actualizao do produto. Especificamente, o direito actualizao para novas verses ou ao acesso a novos ficheiros de assinatura de vrus est disponvel apenas por meio de um contrato de Suporte Tcnico, o qual inclui a manuteno de software Todos os clientes recebem uma cpia do Contrato de Licena para Utilizadores Finais, da McAfee. O texto que se segue um extracto da licena: Actualizaes. A licena limita-se verso do Software fornecido pela McAfee, no incluindo verses, actualizaes, modificaes ou revises subsequentes, a menos que um contrato separado de manuteno seja adquirido. Se tal contrato for adquirido, ento, pelo prazo especificado na tabela de preos pertinente ao Software, voc ter direito ao download de revises ou actualizaes do Software quando e se a McAfee as disponibilizar, por exemplo atravs do seu site ou por outros servios on-line. Aps o
pg. N 151
prazo especificado, o utilizador no ter mais direito a receber nenhuma reviso ou actualizao se no adquirir uma nova licena do Software.
pg. N 152
9.3. Questionrio de final de Captulo 9
1. Qual , no seu entender, o melhor mtodo de licenciamento para uma empresa com 250 computadores, 6 servidores com sistema operativo Windows 2003 SRV, com necessidade de distribuio de antivrus centralizada. 2. O que significa CAL (Client Access license)? 3. Qual a diferena entre suporte tcnico e actualizaes de produto?
pg. N 153
10. Estruturas de Apoio aos Utilizadores (Help-Desk) Objectivos do Capitulo:

No final do captulo o leitor dever ser capaz de desenhar uma estrutura de Help-desk adequada a um dado cenrio de Organizao. Essa estrutura dever contemplar a infraestrutura de apoio, os recursos humanos envolvidos e sua organizao e planos de actuao.
pg. N 154
10.1. O Help-desk (Apoio aos utilizadores)

10.1.1. O Conceito de Help-desk A abordagem que faremos neste captulo ao tema Help-desk, tem como objectivo o apoio a utilizadores internos organizao, que necessitam de usar Tecnologias de Informao e Comunicao para executarem as suas tarefas dirias. Num Help-desk, raramente o planeamento prevalece sobre o inesperado. Todos os dias e a qualquer hora podem surgir incidentes que tm de ser imediatamente resolvidos tendo, para tal que serem deslocados das suas actividades agendadas, recursos humanos e por vezes materiais para reverter a situao. Para que tudo funcione, devemos inicialmente definir claramente as principais actividades do Help-desk e responsabilizar os tcnicos que colaboram nessa estrutura para as vrias actividades decorrentes do apoio aos utilizadores. 10.1.2. Actividades de Help-desk Poderemos sintetizar algumas das actividades que podem ser definidas como principais numa estrutura de Help-desk: 1. Receber as solicitaes dos colaboradores e outros utilizadores relativamente resoluo de incidentes e pedidos de esclarecimento ao nvel dos sistemas e tecnologias de informao e comunicao; 2. Corrigir anomalias e/ou promover a resoluo de problemas na utilizao das solues instaladas; 3. Garantir a informao adequada e atempada aos utilizadores sobre as situaes reportadas, de forma articulada com as outras reas da Direco de Sistemas e Tecnologias de Informao ou outros departamentos da organizao; 4. Propor a aquisio de equipamentos, tecnologias e aplicaes no sentido de garantir atempadamente a operacionalidade dos postos de trabalho; 5. Produzir e manter, em colaborao com o Servio de Organizao, manuais e outra documentao que possa apoiar a explorao das solues e equipamentos instalados; 6. Produzir e controlar o inventrio de Hardware e software, bem como a sua localizao ou deslocao dentro da empresa. 10.1.3. Nveis de Help-desk Em organizaes com um nmero significativo de utilizadores e consequentemente com um nmero muito elevado de estaes de trabalho, servidores e com aplicaes e bases de dados complexas, a estrutura de Help-desk que ter de ser criada completamente
diferente da que se implementar numa pequena ou mdia empresa. Vejamos ento os dois extremos. Num primeiro cenrio consideramos uma pequena empresa com um nmero de mquinas instaladas inferior a 30. Neste cenrio existem dois servidores, um para suporte aos servios de rede bsicos como o DNS, o DHCP e a gesto do domnio. Para este ambiente, no necessitaremos de dividir a estrutura de Help-desk em sub nveis, ficando a tarefa do apoio aos utilizadores a cargo de um ou dois tcnicos, que, nalguns casos prticos nem sequer esto acometidos a estas tarefas em regime de exclusividade. Um deles, poder mesmo no ser um especialista, mas sim uma pessoa com prtica no uso de TICs, que resolver a maior parte dos problemas de erros de configurao ou m operao das estaes de trabalho. Poder ainda executar algumas tarefas no acometidas directamente ao apoio a utilizadores, como por exemplo a execuo de backups, ou apenas a troca de tapes.
pg. N 156
No cenrio de maior complexidade, j existe a necessidade de possuir uma estrutura de Help-desk organizada, em que deve haver um atendimento a dois ou trs nveis.
pg. N 157
10.1.4. Escalonamento de incidentes 1. Nvel No primeiro nvel (de triagem), o tcnico de Help-desk deve identificar claramente o tipo de incidente que lhe est a ser reportado, deve perceber se ele pode ou no resolvlo ao seu nvel e com os meios de que dispe. Nesta altura deve tambm ser feito o registo em base de dados do incidente. Este nvel de Help-desk deve receber os incidentes via telefone, E-mail, ou, nalguns casos via plataforma disponvel ao utilizador para reporte. Entre outros deve ter em ateno aos seguintes pormenores de relacionamento com o utilizador: 1. Manter a postura e falar calma e pausadamente; 2. Identificar claramente o utilizador que est a reportar o incidente; 3. Sempre que possvel enquadrar o incidente por rea e grau ou nvel de complexidade; 4. Iniciar o registo do incidente e fech-lo com um pequeno relatrio que possa constituir uma base de conhecimento para futuros incidentes com a mesma tipologia. 2. Nvel No segundo nvel, o incidente vai ser analisado por um tcnico especialista da rea especfica do incidente, que dever ter capacidade tcnica para o resolver. Neste nvel o tcnico poder utilizar recursos (pessoas, ferramentas e/ou processos) que permitam resolver o incidente de forma rpida e definitiva. Deve produzir normas e procedimentos precisos e concisos para fornecer ao primeiro nvel. Caso o incidente seja demasiado complexo ou abranja vrias reas de conhecimento, a sua resoluo dever ser coordenada por um especialista que superintenda uma equipe de tcnicos das vrias reas de conhecimento necessrias para a resoluo do incidente.
pg. N 158
3. Nvel
Neste nvel, o suporte aos utilizadores deve estar para alm da resoluo de incidentes, mas mais com a investigao de estrangulamentos na performance dos sistemas, bem como vulnerabilidades, ou falhas de funcionamento que precisem ser corrigidas. Para isso os tcnicos deste nvel devem possuir um conhecimento profundo dos sistemas em explorao, mas tambm dos fluxos dos processos na organizao de modo a articular solues. De uma forma resumida: 1. Crie procedimentos claros para abertura de incidentes e divulgue-os amplamente junto aos utilizadores; 2. Tenha um software para abertura e controle dos incidentes, desenvolvido especificamente para este fim e com capacidade para gerar relatrios de gesto e acumular base de conhecimento para despiste precoce de situaes idnticas; 3. Disponibilize aos utilizadores, acesso ao andamento do incidente de forma transparente e simples; 4. Trabalhe preventivamente: melhor do que oferecer bom atendimento os utilizadores no precisarem de usar o Help-desk, porque tudo corre bem. Uniformizao do parque informtico, restries na configurao das estaes, esclarecimentos aos utilizadores sobre os temas que mais geram chamadas so algumas medidas preventivas; 5. Defina regras para a prioritizao de incidentes e registe-os no software de Help-desk; 6. Devero ser feitas anlises ao registo de incidentes, produzir relatrios estatsticos, de modo que se tenha uma ideia clara se a qualidade do servio prestado boa; 7. Adquira ferramentas que permitam realizar procedimentos directamente na estao de trabalho do utilizador de forma remota para agilizar o atendimento; 8. Tenha a quem recorrer (necessidade de um escalonamento): suporte de 2 e 3 nveis especializado; 9. Conte com recursos humanos para backup treinados para a funo no caso de ausncia temporria ou definitiva de algum especialista do Help-desk; 10. A questo da formao da equipe de Help-desk deve constituir uma preocupao contnua.
pg. N 159

1. Quais so as vantagens, de uma estrutura de Help-desk de mais do que um nvel? 2. Explique em detalhe quais devero ser as actividades de um terceiro nvel de Help-desk? 3. Comente a seguinte frase: Uma boa triagem meio caminho para um Helpdesk a funcionar em boas condies
pg. N 160
Bibliografia
Planning, Implementing, and Maintaining a Microsoft Windows Server 2003 Active Directory Infrastructure. (MCSE) Designing a Microsoft Windows Server 2003 Active Directory and Network Infrastucture. (MCSE) Managing a Microsoft Windows Server 2003 Environment. (MCSE) Implementing, Managing, and Mantaining a Microsoft Windows Server 2003 Network Infraestructure: Network Services
http:// http://www.projetoderedes.com.br/artigos www.computacao.unitri.edu.br/downloads/ http://www.microsoft.com/brasil/security/guidance/prodtech/backup/ http://download.microsoft.com/download/c/7/9/c7948d6f-727b-41a7-aa032f3e6959eb0a/WSUStoSUS.doc http://www.rnp.br/newsgen/9911/dhcp.html www.cp.com.br/upl/

www.malima.com.br
pg. N 161

PDF

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

PDF

Caricato da

Copyright:

Formati disponibili

MANUAL DE NOES DE ADMINISTRAO DE REDES DE DADOS

1. Definio de polticas e requisitos da organizao

1.1. O Modelo da organizao Definio do Sistema de Informao (SI)

1.2. Os processos e os fluxos de informao na organizao

1.3. Bases de dados

1.5. Questionrio final do captulo 1

2. Planeamento, instalao e manuteno de uma intranet Objectivos do Capitulo:

Conceito de rede de computadores

2.1. O que uma INTRANET?

2.2. Planeamento de uma Intranet

2.3. Instalao e manuteno de uma Intranet.

2.4. Questionrio final do captulo 2

3. Definio de perfis de utilizao e nveis de segurana Objectivos do Captulo:

3.1. Caracterizao dos servios comuns ao domnio

3.2. Definio da poltica de acesso informao

3.3. Criao de Roaming Profiles

Como configurar os Roaming Profiles

Seleco da opo de partilha do disco rgido.

Politica de segurana criada para acesso aos utilizadores.

Criao de novas polticas de acesso pasta RoamingProfiles.

Em cada pasta de utilizador criada foram dadas permisses de partilha da mesma.

Em cada pasta de utilizador foi dada permisso total de controlo da mesma.

Escolha de um utilizador a quem se ir configurar o seu profile.

4. Planificao e Gesto de Domnios. Servios fundamentais. Objectivos do Capitulo:

4.1. O Conceito de DNS (Domain Name System)

4.2. DHCP - Dinamic Host Configuration Protocol

ID DE TRANSAES SEGUNDOS FLAGS

HTYPE HLEN HOPS ID DE TRANSAES SEGUNDOS FLAGS ENDEREO CLIENTE IP

O SEU ENDEREO IP ENDEREO SERVIDOR ENDEREO ROUTER IP IP

para o cliente ou para o servidor.

4.3. Gesto de Acessos a recursos da Active Directory

4.4. Questionrio final do captulo 4.

5. Monitorizao da rede. Objectivos do Capitulo:

5.1. A monitorizao de uma rede.

5.2. O protocolo SNMP como standard na Monitorizao de redes

5.3. Questionrio de final do Captulo 5

6. Polticas de backup, redundncia e fiabilidade Objectivos do Capitulo:

6.1 A segurana da informao.

6.2. O Backup e o Restore

6.3. Tipos de Backups

6.4. Suportes de backup

6.5. Servios de backup e recuperao de dados

6.6. Questionrio final do captulo 6

7. Gesto de redes com ferramentas centralizadas Objectivos do Capitulo:

7.1. O problema da gesto de uma rede

7.2. O GFI Languard-NSS

7.2.1. Requisitos do sistema

Internet Explorer 5.1 ou verso superior. Cerca de 40 Mb de espao livre em disco.

INSTALAO DO PROTOCOLO SNMP

Especificar o domnio onde o GFI vai trabalhar.

7.2.4. Utilizao do GFI LANGUARD

7.2.6. Password POLICY SETTINGS

7.2.7. REGISTRY SETTINGS

Seleccionar os campos a auditar com a seleco das check boxes respectivas.

7.2.8. OPEN PORTS

REMOTE RUNNING PROCESSES

Cada Grupo inclui vrios detalhes do dispositivo detectado, incluindo:

SYSTEM HOT FIXES PATCHING STATUS

Seleccionar o scan que queremos recuperar Clicar em OK

Na eventualidade de no se pretender os Updates automticos ao iniciar, fazer: General>Program Updates e Propertties

PATCH MANAGEMENT: INSTALAO DE MICROSOFT UPDATES

Especificar o caminho do ficheiro de instalao

Finalmente poder dar incio ao deployment carregando em start.