Microsoft

Script para alterar senha do Administrator Local

Diego PiffarettiDeixe um comentário

Dica do meu amigo gordinho Erick Albuerque

Pessoal, vejo que é uma grande necessidade dos profissionais de TI em redefinir a senha do Administrador local para um range de IP, com o script abaixo isto é possivel, basta definir o range e a senha! Salve o codigo abaixo com a extesão .vbs e sucesso! Lembre-se, se o Windows for em português é necessário mudar o nome do usuário!

———– CORTE AQUI

Dim i

for i= 1 to 254

strComputer = “10.0.0.” & i ‘Define seu range de IP ou hostname
Set colAccounts = GetObject(“WinNT://” & strComputer & “,computer”)
Set objUser = GetObject(“WinNT://” & strComputer & “/Administrator, user”) ‘Se caso o Windows for em pt-BR altere para Administrador
objUser.SetPassword “teste” ‘Defina a senha nesta linha
objUser.SetInfo
next

———– CORTE AQUI

[]s

Conheça as versões do Windows 8

Diego PiffarettiDeixe um comentário

logo2Foi confirmado no dia 16 de abril de 2012 as edições do Windows 8 x86/64 que serão lançadas no futuro.
Também foi confirmado que o nome oficial do produto será “Windows 8

Para PCs e tablets da família de processadores x86 (32 e 64bits) haverá duas edições:
Windows 8 e Windows 8 Pro e para a maioria dos consumidores a versão Windows 8 será a melhor escolha.

O Windows 8 Pro já é designado para os entusiastas e profissionais pois essa edição terá todos os recursos do Windows 8 mais recursos de criptografia, virtualização, gerenciamento de PC e conectividade com domínio. O Windows Media Center estará disponível como um “media pack” addon para o Windows 8 Pro.

Windows RT. Esse nome é bem diferente e o mais novo membro de edições da família Windows
Essa edição também era conhecida como Windows On ARM ou WOA. Essa versão estará disponível apenas pré-instalada em PCs e tablets com processadores ARM.
Se você tem interesse em saber mais sobre essa versão do Windows para processadores ARM recomendo a leitura desse artigo http://blogs.msdn.com/b/b8/archive/2012/02/09/building-windows-for-the-arm-processor-architecture.aspx

Veja a tabela abaixo a relação de recursos que estarão disponíveis para as versões determinadas do Windows.

Recursos

Windows 8

Windows 8 Pro

Windows RT
Upgrade do Windows 7 Starter, Home Basic, Home Premium

x

x
Upgrades do Windows 7 Professional, Ultimate

x
Start screen, Semantic Zoom, Live Tiles

x

x

x
Windows Store

x

x

x
Apps (Mail, Calendar, People, Messaging, Photos, SkyDrive, Reader, Music, Video)

x

x

x
Microsoft Office (Word, Excel, PowerPoint, OneNote)

x
Internet Explorer 10

x

x

x
Criptografia do dispositivo

x
Connected standby

x

x

x
Microsoft account

x

x

x
Desktop

x

x

x
Instalação de  x86/64 e software de desktop

x

x
Updated Windows Explorer

x

x

x
Windows Defender

x

x

x
SmartScreen

x

x

x
Windows Update

x

x

x
Enhanced Task Manager

x

x

x
Switch languages on the fly (Language Packs)

x

x

x
Suporte aprimorado para multiuplos monitores

x

x

x
Storage Spaces

x

x
Windows Media Player

x

x
Exchange ActiveSync

x

x

x
Historico de arquivos

x

x

x
ISO / VHD mount

x

x

x
Mobile broadband features

x

x

x
Picture password

x

x

x
Play To

x

x

x
Remote Desktop (client)

x

x

x
Reset e refresh your PC

x

x

x
Snap

x

x

x
Touch and Thumb keyboard

x

x

x
Trusted boot

x

x

x
VPN client

x

x

x
BitLocker e BitLocker To Go

x
Boot através de VHD

x
Cliente de  Hyper-V

x
Participação em rede de dominio

x
Encrypting File System

x
Group Policy

x
Remote Desktop (host)

x

 

Lançamento do System Center 2012 (EVENTO PRESENCIAL)

Diego PiffarettiDeixe um comentário
Gostaríamos de convidar você e seu time técnico para se juntar a nós para:
Entender como a Microsoft está entregando soluções de última geração em gerenciamento de datacenters, estações de trabalho, dispositivos móveis, governança e soluções de nuvem agora e no futuro;
Ter um profundo conhecimento sobre o que é e como implementar uma solução de Nuvem Privada Microsoft – e como você pode tirar proveito disto imediatamente;
Use as mais recentes soluções de gerenciamento Microsoft, incluindo Windows Server® e o novo Microsoft System Center® 2012 para endereçar pontos como consumerização de TI, governança, orquestração e gestão de datacenters, desktops e dispositivos móveis.
TÓPICOS
Computação em nuvem nos seus termos;
Gerenciando uma infraestrutura do desktop e dispositivos móveis até uma nuvem privada;
Melhoria na prestação de serviços através da automação;
Gestão/Monitoramento de Aplicações de negócio de modo fim-a-fim;
Consumerização de TI;
Gerenciamento integrado de ponta-a-ponta.
Veja o que o futuro reserva para você, agora. Participe!

Auditoria no Windows

Diego PiffarettiDeixe um comentário

Super dica do pessoal do Cooperati, escrito pelo Rafael Bernades

 

As informações, com certeza, são os bens mais valiosos que podemos ter no nosso mundo, pois é uma das poucas coisas que quando conseguimos não nos podem ser retiradas.

No mundo empresarial elas possuem um nível ainda maior, que podem determinar um caso de sucesso ou não, ou um diferencial entre as concorrentes, o chamado know-how. E protegê-las cada dia que passa é uma tarefa de suma importância.

 

Técnicas para isso é que não faltam, entre elas estão as mais simples como definir permissão de acessos através do sistema de arquivos ou por permissão de compartilhamentos, que de uma forma rápida define quem pode e quem não pode acessar os arquivos, ou definir os níveis de permissão de acesso a arquivos tais como leitura e escrita, mas também existem as técnicas mais avançadas como criptografia de dados usando chaves assimétricas, onde somente quem possui as chaves apropriadas podem acessar os dados.

Para a proteção dessas informações implementar essas técnicas é um dos princípios da segurança da informação, mas não é o suficiente, não adianta você implementá-las sem monitorar, pois quem pensa que uma vez que esteja executando e em produção o processo está perfeito, na verdade está é perfeitamente enganado. Após todo o processo de implementação é necessário verificar se tudo corre conforme o programado e uma técnica para ver se as tarefas estão sendo executadas da maneira como foram projetadas é realizar uma auditoria.

A auditoria de uma forma resumida é uma tarefa onde se realizam testes para verificar se tudo está sendo executado dá maneira correta, mas quando você fala em auditoria muitas pessoas pensam em alguma empresa indo a outra e realizando esses testes e no final gera um relatório sobre o que está certo e normalmente o que está errado, mas uma auditoria pode ser realizada internamente e como estamos falando de acesso a informações a família Windows Server fornece uma ferramenta embutida nela, para realizar essa função e de rápida implementação e isso é que será abordado nesse artigo.

A seguir será implementado uma auditoria de falha de acesso a arquivos e verificação de quem apagou um arquivo.

Configurando o seu servidor para realizar auditoria de arquivos

O primeiro passo para realizar uma auditoria em um Windows Server é habilitá-la e para isso crie uma GPO na OU do servidor em que ela será executada ou defina-a nas políticas locais.

Nota: Para um melhor gerenciamento é melhor criar uma GPO, pois assim você pode configurá-la sem ter que logar localmente além de poder ter um relatório do que está habilitado ou não.

Ao criar a GPO vá até a seguinte configuração: Computer Configuration (Configuração de Computador) > Policies (Politicas) > Windows Settings (Configurações do Windows) > Security Settings (Configuração de Segurança) > Local Policies (Politicas Locais) > Audit Policies (Politicas de Auditoria) e clique duas vezes em “Audit Object Access” (Auditoria de Acesso a Objetos).

Obs: A politica acima é para ser criada no Windows Server 2008 no 2003 o caminho é diferente:

Computer Configuration (Configuração de Computador) > Windows Settings (Configurações do Windows) > Security Settings (Configuração de Segurança) > Local Policies (Politicas Locais) > Audit Policies (Politicas de Auditoria) e clique duas vezes em “Audit Object Access” (Auditoria de Acesso a Objetos).

Na janela que aparecer marque as opções “Success” (Sucesso) e “Failure” (Falha), isso para poder termos a opção de selecionar as opções de falha e sucesso na auditoria, conforme a imagem abaixo:

clip_image002

Pronto já habilitamos o servidor para que ele possa realizar auditorias, mas ele não está auditando nada ainda, para isso precisamos definir o que será auditado no nosso caso queremos que ele audite os acessos indevidos a pastas e os arquivos apagados com sucesso.

Para isso logue com uma conta com direitos administrativos no servidor onde a auditoria foi habilitada, vá até a pasta onde ela será realizada e clique com o botão direito nela e depois em “Properties” (Propriedades) e após na aba “Security” (Segurança), em seguida em Advanced (Avançado).

clip_image004

Clique na aba “Auditing” (Auditoria), aparecerá uma tela perguntando se você está logado com um usuário com direitos administrativos e pergunta se quer continuar então clique em continue.

Obs: No Windows Server 2003, esse passo não existe.

clip_image006

Na tela seguinte clique em add (adicionar) para definir as regras da auditoria, ou seja o que deve ser auditado.

clip_image008

A seguir aparecerá uma tela pedindo qual usuário será auditado, no nosso caso queremos que ele faça uma auditoria de todos os usuários, então digite o nome “everyone” (todos) e clique em “Ckeck Names” (Checar nomes) e depois em OK

clip_image010

Após, aparecerá uma tela pedindo o que quer ser auditado, no nosso caso os arquivos que são deletados com sucesso e os arquivos com falha de leitura(sem acesso), então marque a opção “delete” na coluna “Successfull” (sucesso) e “List Folder/ Read Data” (Listar Pasta / Ler Dados) na coluna “Failed” (Falha).

clip_image012

Dica: Não marque todas as opções, pois a visualização da auditoria ficará comprometida, isso será explicado mais a frente.

Pronto agora a auditoria já está habilitada e configurada o próximo passo e visualizar.

Visualizando os logs de auditoria

 

Agora que o seu servidor está preparado para auditar, como podemos visualizar os dados que necessitamos? A ferramenta é simples de usar e todos nós conhecemos que o: Event Viewer ou Visualisador de Eventos, com ele basta ir nos logs de segurança (security) para verificar o que precisamos, porém é uma tarefa difícil verificar essas informações por ele, por um simples motivo que mostrarei na imagem abaixo:

clip_image014

Notaram que ele gera inúmeras informações e até você achar o que precisa, tendo que verificar entrada por entrada para descobrir o que quer é chato. Se você já sabe o que procura, você pode fazer um filtro e ele já te retorna os valores que quer, no nosso caso queremos descobrir quem deletou um arquivo e quem tentou acessar um arquivo não permitido.

Nota: Quando foi falado acima para não marcar todas as opções foi justamente por causa das inúmeras informações que são gravadas nos logs, se caso deixasse tudo habilitado seu log ia estourar rapidamente.

 

Para verificar o arquivo deletado basta filtrar pelo evento 4663 e ele te informará quem deletou o arquivo e que horas, conforme imagem abaixo:

clip_image016

Nota: No Windows Server 2003 o evento é o 560.

Neste caso o usuário suporte deletou o arquivo Documento Teste no dia 07/04 as 22:09

E para verificar acesso indevido, tem que filtrar dois eventos o de número 4656 e 5145, o primeiro fala de acesso indevido via acesso local e o segundo via rede, mas ambos dão os mesmos detalhes como mostra a imagem abaixo:

clip_image018

Neste caso o usuário Teste2 tentou acessar a pasta teste e não conseguiu por não ter acesso.

Informação contida onde está marcado de vermelho na imagem.

 

Nota: No Windows Server 2003 o evento é o numero 560.

 

Nota: Tanto no Windows Server 2008 quanto no 2003 a auditoria apresenta em falha..

 

Isso é uma forma de você visualizar, a outra é através do Powershell, é preferível usá-lo quando quer colocar em um relatório fica bem mais simples, pois você pode transformar a saída em um HTML.

Abaixo segue os dois scripts em powershell para os nossos dois casos:

Arquivos deletados

Windows Server 2008

$a = get-eventlog -logname security -instanceid 4663 |convertto-html -property timegenerated, message

$a = $a| foreach-object {$_ -replace “<table>”, “<table border 2>”}

$a|Out-File “local do arquivo HTML”

Na primeira linha do script ele coleta as informações dos eventos de segurança onde o eventID é 4663 e converte a saída para HTML armazenando somente a Hora Gerada e a Mensagem e coloca o resultado na variável $a.

Na segunda linha ele pega a variável $a e procura pela tag HTML <table> ao acha-la ele troca colocando uma borda nela. (Essa parte é importante pois ao converter a saída do comando para HTML ele vem sem borda e a visualização no arquivo fica ruim.)

Na terceira linha o resultado dentro de $a é gravado dentro de um arquivo. (Onde está escrito “local do arquivo HTML” coloque o local onde quer armazenar o arquivo, por exemplo ‘C:\resultado\auditoria.html”

 

Windows Server 2003

 

$a = get-eventlog -logname security -instanceid 560 –message “*Delete*” |convertto-html -property timegenerated, message

$a = $a| foreach-object {$_ -replace “<table>”, “<table border 2>”}

$a|Out-File “local do arquivo HTML”

 

Na primeira linha do script ele coleta as informações dos eventos de segurança onde o eventID é 56º e a mensagem do evento possui a palavra Delete e converte a saída para HTML armazenando somente a Hora Gerada e a Mensagem e coloca o resultado na variável $a.

Na segunda linha e terceira linha é a mesma coisa do script acima.

 

Acesso indevido

Windows Server 2008

$a = get-eventlog -logname security -entrytype failureaudit -message “*file*” |convertto-html -property timegenerated, message

$a = $a| foreach-object {$_ -replace “<table>”, “<table border 2>”}

$a|Out-File “local do arquivo HTML”

 

Na primeira linha do script ele coleta as informações dos eventos de segurança onde os tipos são Falhas de Auditoria e na mensagem existe a palavra “file” (comum em ambos os eventos falados acima) e converte a saída para HTML armazenando somente a Hora Gerada e a Mensagem e coloca o resultado na variável $a.

 

Windows Server 2003

 

$a = get-eventlog -logname security -entrytype failureaudit –instanceid 560 |convertto-html -property timegenerated, message

$a = $a| foreach-object {$_ -replace “<table>”, “<table border 2>”}

$a|Out-File “local do arquivo HTML”

 

Na primeira linha do script ele coleta as informações dos eventos de segurança onde os tipos são Falhas de Auditoria e o eventID é o 560 e converte a saída para HTML armazenando somente a Hora Gerada e a Mensagem e coloca o resultado na variável $a.

Na segunda linha e terceira linha de ambos é a mesma coisa do script de arquivo deletado.

Lembre-se: Para criar um script em Powershell você tem que salvar o arquivo com a extensão .ps1.

Nota: Geralmente os scripts de powershell não são habilitados para execução por padrão para isso antes de executar os scripts acima, rode o comando Set-ExecutionPolicy Unrestricted

 

Lembrete: O Powershell não vem instalado no Windows Server 2003, para isso tem que baixar e instalar o mesmo.

Com isso verificamos como habilitar, configurar uma auditoria no Windows Server 2003 e 2008 e verificarmos como anda o acesso a arquivos em nossa rede, porém a auditoria de arquivos é somente uma parte das ferramentas de auditoria no Windows, existem outras tais como a auditoria de logon em máquina, para mais informações acesso o link: http://technet.microsoft.com/pt-br/library/cc779526(v=ws.10).aspx

Consolidando arquivos PST

Diego Piffaretti1 comentário

Texto do meu amigo Johnatan

Como todos sabem, o time de produto de Exchange Server publicou um post a alguns meses sobre uma possível ferramenta de captura automática de PST chamada PST Capture Tool, essa ferramenta ainda não foi anunciada. Sendo  assim, o Jonas Andersson do Blog testlabs.se/blog publicou 2 scripts Powershell que são capazes de:

– Buscar arquivos PST.
– Copiar arquivos PST para rede
–  Importa arquivos PST em uma Mailbox Archive do Exchange 2010
–  Log de importação

O que me interessou bastante é a possibilidade de  importar automaticamente a PST para o Archive :) .

Segue o link para mais informações:
http://www.testlabs.se/blog/2012/01/25/consolidate-pst-files/

Voucher para Cloud Exams da Microsoft

Diego PiffarettiDeixe um comentário

Segue o link para obter o Voucher para exames de Cloud 71-246 e 71-247

Para mais informações e como obter seu Voucher visite
http://www.prometric.com/microsoft/mms2012

Aproveitem a dica e boa sorte

71-246 | Private Cloud Monitoring and Operations with System Center 2012
71-247 | Private Cloud Configuration and Deployment with System Center 2012

Ativação de produtos Microsoft de forma centralizada

Diego PiffarettiDeixe um comentário

O VAMT, Volume Activation Management Tool, permite que você faça a ativação de produtos Microsoft de maneira centralizada.

Ele trabalha com chaves de produto KMS e MAK, que são comuns em contratos OPEN. Segue um passo a passo de como trabalhar com a ferramenta, que é gratuita:

1 – Download e install (copie o endereço do link da imagem ou GOOGLE IT)

 

2 – Abra o VAMT  e inicie a busca de computadores no AD ou por outro método que preferir.

 

3 – Após detectar os computadores, será preciso atualizar as informações de licenciamento atuais. Selecione todos que desejar, clique com o botão direito e selecione Update Status.

 

4 – Se der algum erro na etapa anterior (no meu LAB deu erro em todos os Win 7) você precisará liberar a instrumentação WMI no Firewall. Eu criei a GPO acima para automatizar o processo.

 

5 – Agora insira as chaves de produto que você possui.

 

6 – Selecione os computadores que deseja implementar as chaves e clique com o botão direto, depois selecione Install Product Key.

 

7 – Pronto! Chaves instaladas, agora pode clicar com o botão direito nos computadores e selecionar Activate, para ativar, se necessário.

Fonte:CooperaTi

Microsoft USB Fix It

Diego Piffaretti1 comentário

O Microsoft Fix It é um programa desenvolvido em julho de 2009 para proteger quem usa o Office de ataques maliciosos. Rapidamente, o aplicativo se tornou uma central de correção para erros de todo o sistema operacional – passando pelo Internet Explorer, drivers de CD e DVD e até mesmo opções para impressão.

Recentemente, a empresa fundada por Bill Gates lançou mais uma ferramenta para a solução de falhas do Windows. O Microsoft USB Fix It diagnostica e repara automaticamente erros comuns relacionados com as portas USB do computador.

Este software consegue identificar e restaurar a configuração desejável para o correto funcionamento de dispositivos de armazenamento móvel, impressoras, players de músicas e qualquer outro equipamento que seja conectado ao PC via USB.

Fim dos problemas com as entradas USB

Quem utiliza dispositivos USB com muita frequência sabe que o Windows pode apresentar erros de comunicação com tais equipamentos. Entre as falhas mais comuns, estão o não reconhecimento dos gadgets, problemas no momento de ejetá-los e falhas no envio de dados para impressão.

Assim, o Microsoft USB Fix It é uma ferramenta essencial nessas situações. Ele realiza uma varredura em todo o sistema operacional atrás de possíveis problemas, efetua as medidas cabíveis para resolver tais erros e informa soluções adicionais.

Depois de executar o arquivo baixado, o aplicativo apresenta uma tela com um link para os seus termos de licença de uso. Clique em “Aceitar” para usufruir das suas funcionalidades. Feito isso, o programa automaticamente inicia o diagnóstico do sistema.

A tela seguinte apresenta duas opções de operação. Na primeira delas, o software aplica sozinho as correções pertinentes aos erros listados. Por sua vez, o segundo tópico permite que você selecione quais as ações devem ser efetuadas no SO.

Com o final de qualquer um desses procedimentos, é mostrado um link para soluções adicionais na página da Microsoft. Pressionando o item “Exibir detalhes do relatório”, você pode conferir informações detalhadas sobre todas as modificações feitas pelo Microsoft USB Fix It.

Recuperando senhas do Windows em texto plano

Diego PiffarettiDeixe um comentário

Trago aqui 2 ferramentas muito uteis para se ver o login e senha de usuarios que se autenticaram no Windows.

A primeira é a Mimikatz,ela se  aproveita dos prestadores de serviços TSPKG e WDigest , que usam credenciais armazenados na memória de todos os usuários que foram autenticados no sistema, tanto localmente quanto via desktop remoto. Sim, é verdade que não é armazenado escamcaradamente, mas de uma maneira reversível.

Para executar esta aplicação com permissões suficientes (no caso, não tenha) nada como puxar o nosso velho e bom LIVE CD do Linux.

Já com um usuário administrador pode prosseguir sem problemas na extração das credenciais da máquina.

Uma vez autenticado com um gerenciador de usuários, você irá copiar Mimikatz (não requer instalação). Quando aberta, você terá que executar o mimikatz.exe.

Uma vez lá dentro, ele abre um prompt onde você introduz as seguintes 3 comandos:

  • privilege::debug
  • inject::process lsass.exe sekurlsa.dll
  • @getLogonPasswords

A outra ferramenta é a Windows Credential Editor (WCE) que está na versão (versión 1.3) que inclui, entre suas muitas funções o mesmo como aqueles usados para recuperar as credenciais Mimikatz limpar um usuário do Windows que está autenticado no sistema.

A nova versão do WCE (disponível tanto para 32 bits para 64 bits), é caracterizada como nas versões anteriores por causa de sua simplicidade. Para executar o programa só tem que copiar o download para seu computador. Então, com um usuário com debug (igual na ferramenta anterior), execute o aplicativo adicionando o argumento “-w”:

wce.exe –w

Então, se não houve problema deve ver o nome de usuário e senha em claro

Más silenciosa impossivel :)