Tag Archives: Redes

Top coisas que Windows System Administrators deve e não deve fazer!

Como um administrador de Redes em uma média empresa durante vários anos e, Administrador de diversas empresas durante outros, aqui estão algumas coisas que eu aprendi da maneira mais difícil quando se trata de administrar as operações de T.I, como o que se deve ou não fazer!

Como um administrador de Redes você …

1. NÃO DEVE JAMAIS realizar atualização em servidores em produção, a menos que você tenha testado tudo em um ambiente virtual em primeiro lugar. Isso vale para o óbvio patches, service packs, e drivers, e também para todos os softwares e aplicativos. Se você não pode testá-lo, então você não deve instalá-lo. Se é patch crítico de segurança e você não é capaz de testá-lo em um ambiente virtual ou de laboratório, então você deve ter a certeza absoluta de que você tem todos os apoios necessários para recuperar plenamente o servidor no caso de uma falha do sistema.

2. SEMPRE documente a atual configuração do ambiente de TI, incluindo configuração de rede, hierarquias de domínio, desktops e configurações de Servidores. Você deve ter a sua documentação para configurações DNS, DHCP e escopos, opções de configurações do IIS, banco de dados configurações, de Active Directory / Group Policy. Um ano depois de configurar servidores DNS, você pode não se lembrar exatamente o que você criou ou suas zonas, o que significa que quando surge um problema, você não precisa perder tempo tentando lembrar o que você fez.

3. SEMPRE Deve se certificar que todos os computadores na rede tem as últimas atualizações de segurança instaladas o mais rápido possível. Isto não significa que todos os computadores devem ser atualizados imediatamente, mas devem ser realizados um conjunto de testes em um pequeno ambiente, analisar as máquinas em produção e a rede computadores, certificando-se que está tudo OK, após isso, as atualizações devem ser liberados para o restante da rede.

4. NUNCA deve-se fazer alterações ON-LINE em uma rede em produção. Uma alteração na definição de política de grupo pode parecer trivial, mas existem muitos serviços e aplicações que podem ser afetados com a mais simples mudança. Você deve ter teste de todas as máquinas que têm na sua empresa, de todo software instalado e configurado, de modo que quando você altera uma definição de segurança ou de qualquer outra coisa no domínio, você pode testar para certificar-se de tudo continua funcionando perfeitamente, antes de liberar as alterações.

5. NUNCA deve alterar bruscamente os scripts de logon ou logoff que retardam o processo de logon significativamente. É sempre muito tentador usar logon e logoff scripts para fazer algo no computador de um usuário, uma vez que estes são construídos em pontos que você pode configurar o sistema de forma muito simples, mas muitos scripts podem alterar significamente o tempo que um usuário irá levar para fazer logon. Tente evitar scripts que transfiram dados do usuário para o servidor.

6. SEMPRE instalar um software antivírus em cada computador na rede. Ter um software anti-spyware, também seria uma boa idéia. Tornar a certeza de que o software antivírus está configurado corretamente também é importante. Muitos scanners de tempo real podem desacelerar significativamente suas aplicações personalizadas e, portanto, deveria ser excluído do sistema de varredura em tempo real. Como por exemplo, os arquivos .PST, pastas de Sistema de Gestão.

7. SEMPRE Deve ter o fluxo de tráfego de Internet, através de um servidor proxy que monitora o tráfego e bloqueia o acesso a sites de uma Black-List. Mesmo se um usuário acidentalmente navega em um site malicioso, ele pode ser bloqueado pelo servidor proxy.

8. SEMPRE Deve se certificar de que todos os usuários que possuem logins na rede têm apenas privilégios limitados em seus computadores. Eu nunca vi nenhum motivo para dar aos usuários acesso total aos seus computadores a menos que seja diretoria que faça questão de estragar o PC ou algo semelhante. Dar acesso total só permite que vírus e spyware se espalhem mais facilmente.

9. SEMPRE Deve-se criar uma imagem de uma nova máquina com todos os softwares importantes para a empresa, de forma que, em caso de uma falha do computador, o mesmo possa ser trazido de volta o ar, rapidamente. Passar horas re-instalando todo o sistema operacional e aplicativos é inaceitável nos dias de hoje. Além disso, este ponto me leva ao próximo.

10. SEMPRE Deve-se certificar-se de todos os perfis de usuários e meus documentos estejam redirecionados para um servidor de arquivos (Perfil Móvel ou Ambulante), de modo que, no caso de um usuário precisar trabalhar em outro computador devido a alguma falha do sistema, eles possam continuar o seu trabalho com todos os seus documentos e configurações, tal como antes.

11. SEMPRE renomear a conta de administrador em todos os servidores e estações de trabalho usando política de grupo (GPO). Esta é uma simples mas eficaz estratégia que tem ajudado a salvar o meu servidores de serem hackeados. Juntamente com a mudança do nome da conta, a senha deve ser complexa e maior tempo possível e, se possível também alterar portas padrão de Sistema RDP (Terminal Server).

12. SEMPRE Verificar se os servidores registram regularmente suas atividade críticas em log, para se certificar de que não existe uma atividade incomum acontecendo. Verificando os logs do sistema pode ajudar a expor alguns problemas que antes não tinham conhecimento, como problemas de sincronização e problemas de rede.

13. NUNCA deve-se fazer login nos servidores utilizando uma conta de Administrador. Todos os servidores devem ser conectados com credenciais de Usuário Regular e, se algum trabalho administrativo precisar ser feito, o comando RunAs deve ser utilizado. Isto pode ajudar a evitar um comprometimento do sistema e de todo o restante da rede.

14. SEMPRE Deve-se certificar de que a rede é separada da Internet através de um firewall robusto (Sempre sugiro o ÚnicoNet, por se tratar de um sistema muito confiável). Todas as portas devem ser bloqueados exceto aquelas necessárias pelos serviços, como FTP, e-mail, webmail, RDP, etc.

Estas definições não o tornam o administrador de Redes perfeito, mas se estiver seguindo estes passo, com certeza já esta quase apto a trabalhar conosco!

Caso haja mais alguma dica, estamos abertos à sugestões sempre!

Programas Essenciais para Rede

Resolvi coletar uma lista no portal G1, que une na opinião dos leitores os Softwares Essenciais para um bom controle de uma rede de computadores. Muitos deles já utilizados por nós, outros nem tanto assim.

Segue a lista:

WireShark

O Wireshark é tão popular que listá-lo é correr o risco de ser óbvio. Mas ele é tão bom que merece ser citado. Ele faz análise de protocolo de rede ou vasculha (sniffer) a rede vendo os pacotes trafegados. Bem posicionado, um bom sniffer pode dar dados importantes sobre monitoramento e resolução de problemas na rede.

Wireshark

Dude

Saber quais serviços rodam em sua rede é bom, mas descobrir quais deles caíram (assim que isso aconteceu) é essencial. O The Dude é um pacote de gestão de redes que faz isso e mais. O monitoramento inclui desde simples pings, a visão de serviços baseados no TCP ou no número da porta, probes SNMP e a capacidade de acessar máquinas para dados mais específicos.

Dude

Nmap

Disponível faz tempo, o Nmap é parte obrigatória do arsenal de programas do administrador de redes. Mas, ainda que o Nmap faça o tradicional bem, ele é mais do que uma linha de comando baseada em Linux. Ele mostra dados rapidamente via uma interface (GUI) chamada Zenmap para descobrir quais portas estão abertas em um PC.

Nmap

Ziptie

Admita. Você possui vários aparelhos ligados na rede, mas nenhum método fácil e automatizado para armazenar a configuração dos seus roteadores, switches e firewalls. OZipTie é um produto de código aberto que foi criado para fazer a gestão dos equipamentos de rede independente do fornecedor. Ele faz, ainda, backup e recuperação.

Ziptie

NetStumbler

Se você gerencia redes wireless e não usou oNetStumbler, você está perdendo tempo. Ele mostra todas as redes wireless encontradas em formatos diferentes, incluindo a força do sinal ou se a rede é segura. Existe uma razão para a perenidade do NetStumbler: ele funciona e é muito útil. Vale o teste.

NetStumbler

Nessus

O Nessus possui mais de 20 mil análises de vulnerabilidade (plug-ins) e, por isso, é uma aplicação que nenhuma rede pode ficar sem. Se antes ele era uma linha de comando exclusiva para servidores Linux, hoje possui boa interface e roda em Windows. Investigue os plug-ins disponíveis e encontre um que atenda as suas necessidades.

Nessus

Putty

Gerenciar dispositivos de rede via Telnet já foi comum. Mas a falta da criptografia colocava a aplicação em uma situação frágil. Neste momento surge o PuTTY, um cliente SSH gratuito para plataformas Windows. Ele fornece acesso via linha de comando para equipamentos de rede rodando num servidor SSH – tudo isso com criptografia. E ele é compatível com os aparelhos que só respondem ao Telnet.

Putty