Documente Academic
Documente Profesional
Documente Cultură
Resumo necessrios dominar alguns conceitos para realizar a implantao de um Domnio Active
Directory com o Sistema Operacional Windows Server em regies distintas conectadas atravs de uma
VPN. Implantar a segurana da informao em uma rede fazendo o controle atravs de uma identidade
de acesso definindo previamente as permisses dos usurios a estratgia desta ferramenta da
Microsoft que o objeto de estudo desta pesquisa.
Palavras-chave: Domnio, Windows, VPN, Permisso, Acesso, Rede.
Abstract - It is necessary to master some concepts make the deployment of an Active Directory Domain
with Windows Server Operating System in different regions connected through a VPN. Deploy the security
of information in a network by using an identity control access by setting user permissions previously is
the strategy of this tool from Microsoft that is the object of this research.
Key-words: Domain, Windows, VPN, Permission, Access, Network.
Introduo
presentes no contexto de segurana da informao e que sero apresentadas de forma muito sucinta por
no fazer parte diretamente do objeto de estudo desta pesquisa.
Esta pesquisa ir focar em uma ferramenta que prov recursos de segurana lgica para o
acesso informao. Hoje existe inmeros recursos, um deles a utilizao de um domnio onde voc
pode garantir que todo o acesso informao supervisionada e que o seu contedo acessado
exclusivamente por usurios que se autenticam a partir de um nome e uma senha que possui um perfil
acesso que permite executar, visualizar, modificar e excluir os arquivos de forma previamente
parametrizada. Em outras palavras feito o controle de acesso, que garante que s pessoas autorizadas
ir ter acesso s informaes. Isso refora o um dos mais bsicos conceitos bsicos de segurana da
informao, o conceito de Confidencialidade: que garante que pessoas no autorizadas no tenha
acesso ao contedo da informao, na definio de MAIA.
A apresentaremos atravs do mtodo de pesquisa bibliogrfica a ferramenta desenvolvida pela
Microsoft que faz parte do sistema operacional de rede Windows Server conhecida pelo nome de Active
Directory que uma implementao de servio de diretrio, lanada em 1999 com o Windows 2000,
segundo a Wikipdia.
Vrios conceitos precisam ser esclarecidos de forma bsica, principalmente o conceito do que
uma Rede, quais seus servios providos pela mesma, quais so os seus componentes principais, etc.
Ser apresentado o conceito do que e do funcionamento de um Domnio e o prprio Servio de
Diretrio Active Directory que a ferramenta selecionada como objeto deste estudo que foi desenvolvida
pela Microsoft. Aps ser preciso conhecer as informaes bsicas que inclui uma linguagem um tanto
proprietria por parte do fabricante para se realizar a implantao desta soluo.
Este estudo facilitar a compreenso dos conceitos bsicos necessrios para se criar um
domnio utilizando o Active Directory para gerenci-lo e com isso agregar valor a qualquer empresa que
tem a informao de seu negcio como parte do patrimnio, o servio prov controle do acesso a toda
informao que est armazenadas em seus servidores de arquivos. O Active Directory facilita o processo
de gesto e compartilhamento de sistemas, servios, recursos e dispositivos atravs da rede para
nmeros um nmero infinito de usurios, mas ainda assim, consegue garantir diversos critrios de
segurana dos mais bsicos a alguns ainda mais extremos. Esta soluo garante a segurana
controlando a partir de uma identidade de acesso (Login) que fornecida a cada usurio da rede , e nela
so parametrizadas as permisses de acesso cada recurso e informao compartilhado. O controle de
um domnio pelo Active Directory muito intuitivo e fcil de administrar. O cenrio proposto que motivou a
necessidade de aplicao do modelo a ser estudado aponta a existncia de duas filias separadas
geograficamente, mas interligadas a partir de uma rede privada virtual (VPN). Cada filial possui conexo
a internet atravs de um link dedicado ou com banda suficiente para o trfego da informao necessria
para a ferramenta ser utilizada. No geral qualquer empresa hoje, mesmo com uma infraestrutura de rede
mnima, pode se utilizar desta ferramenta desde que se observem os critrios de latncia mnimo
exigidos para comunicao, o que facilmente alcanado quando se usa link dedicado para a conexo
internet.
1 Rede
2 - Componentes de uma rede
Dispositivos
Meio fsico
Regras
Mensagens
Software
3 - Tipos de Rede
4 - Seguranas de rede (ou da informao).
5 - Infraestrutura Lgica da rede: TCP/IP: DHCP, DNS.
6 - Apresentando o Active Directory do Windows 2008 Server;
7 - Servios bsicos oferecidos pelo Active Directory;
8 - Definies de conceitos bsicos utilizados dentro do Active Directory.
9 - Ferramentas do Active Directory
2.1.
DISPOSITIVOS
Os dispositivos so os recursos de hardware (peas de informtica) desenvolvidos para
2.1.1.
rede;
2.1.4.
2.2.
MEIO FSICO
Toda consumio precisa de um tipo um canal, uma forma pela qual a mensagem ir ser
transportada para a outra ponta da comunicao assim afirma o Cisco Systems. Segue abaixo os
dois meios fsicos que so:
2.2.1.
Redes com fio: So cabos feitos de fios de cobre que transmite sinais eltricos
para estabelecer a conexo. Outro exemplo a fibra tica que tica que usada para o
transporte de grande quantidade de informao e numa velocidade infinitamente maior que
os pares de obre
especfica (luz).
2.2.2.
Redes sem fio: Na conexo de rede sem fio, o meio fsico a atmosfera ou o
2.3.
REGRAS
A Cisco system denomina estas regras como Padres ou Protocolos: Que so padres
foram para que ocorresse a comunicao entre dispositivos atravs do meio fsico por meios de
sinais eltricos, luz ou microondas. Mas conhecido como protocolos os mais conhecidos e utilizados
na internet, apresentados por TANENBAUM e MINASI so: HTTP, TCP, IP, SMTP, UDP, ETC.
A ideia do uso de um protocolo de comunicao como a utilizao de um idioma que seja
reconhecido entre os interlocutores em um processo de comunicao, pois de fato como no adianta,
por exemplo, ter o nmero de telefone de algum que est na china e fala chins se eu no sei falar
chins e nem tenho um tradutor, ou seja, a conexo fsica que neste exemplo se refere linha
telefnica, central telefnica, operadora e os dois telefones envolvidos no seriam o suficiente para
que a comunicao fosse eficiente.
2.4.
MENSAGENS
Mensagens e informaes representam todo contedo que pode trafegar na rede de um
ponto a outro. Um e-mail o mais simples exemplo, mas hoje possvel arquivos vdeos, udio,
texto, etc.
2.5.
SOFTWARE
MINASI afirma que mais temos em termo software para rede so aplicaes de assumem o papel de
Cliente e o outro o de Servidor, o primeiro recebe as informaes e o segundo fornece. Para enviar e
receber emails, por exemplo, utilizamos um servidor de e-mail SMTP que responsvel pelo envio e
gerenciamento de e-mails, e utilizamos uma aplicao cliente, como um Outlook da Microsoft, para
receber estes emails.
3. TIPOS DE REDE
O tipo de rede se caracteriza, segundo a Cisco Systems, por trs aspectos principais:
1.1.
rede;
1.2.
rede;
1.3.
Com isto trs tipos principais foram elencados para essa abordagem:
Rede local Que esto em uma mesma rea geogrfica, tipo um prdio, ou mesmo
Rede De Longa Distancia So redes locais interligadas por uma VPN (conceito a ser
4.
Rede de Redes A Internet que representa a interligao das redes num mbito mundial.
Enfim, agora que j foi exposta uma viso simplificada de uma rede e pode-se comear a imaginar os
possveis problemas que esta interligao. As informaes e servios so disponibilizados e
compartilhados, mas para quem? Quem poder ter acesso a estas informaes? E como garantir a
integridade, disponibilidade, confidencialidade dessas informaes? A resposta se d atravs de outros
recursos criados para suprir esta necessidade.
TANEBAUN cita de forma genrica vrias solues de hardware e software, mas apenas
apresentaremos os mais conhecidos para uma compreenso geral:
4.1 FIREWALL: Pode se apresentar em forma de um dispositivo (pea) ou software
(programa) e foi desenvolvido para proteger uma rede de acessos no autorizados ou
de aplicativos e arquivos maliciosos.
4.2 ANTEVRUS: Software que tem como caracterstica principal analisar arquivos e
programas para avaliar se esto ou no infectados por qualquer vrus (programas
maliciosos) de computador. Hoje os antivrus abarcam muito mais funes que
maximiza absurdamente esta simples definio.
4.3 PROXY: Software que uma interface entre a rede LAN (Rede Local) e a rede WAN
(Rede Pblica) controlando todo o acesso e contedo que entra e sai da rede.
4.4 DOMNIOS: Domnios uma forma se administrar computadores em uma rede.
Quando afirmamos que existe um domnio estamos afirmando que existe um grupo de
computadores interligados e que um deles ou mais de um exerce o papel de servidor e
que todos esto compartilhando entre si arquivos e recursos obedecendo a polticas de
acesso que foram estabelecidas neste domnio atravs de um sistema de
gerenciamento. O usurio de um domnio necessita ter uma conta e informar uma
senha para ter acesso ao domnio e visualizar os recursos conforme o seu nvel de
permisso de acesso.
O controle de contas de usurios se d atravs de um servidor e com uma nica conta
de usurio voc, geralmente, pode ter acesso a qualquer computador ligado a este
domnio, ou seja, as contas so locais como o caso de grupos de rede domsticos.
Voc pode aplicar vrios nveis de permisses conforme a necessidade de cada
usurio preservando assim a integridade e a confiabilidade de acesso s informaes.
4.5 VPN (Virtual Private Network, Rede Virtual Privada) : A VPN um servio fornecido em
cima de uma rede pblica provendo sobre ela uma rede particular que prov segurana
atravs de criptografia dos dados e atravs de regras e recursos de software e/ou
hardware, permitindo assim que haja um haja circuito lgico virtual por onde ocorrer a
comunicao e a interligao de hosts e sites remotos a um custo mais baixo do que se
fosse utilizar links dedicados. Pode-se se ter filiais interligadas pertencentes
INFRAESTRUTURA LGICA
TANEMBAUM apresenta detalhadamente informaes de como as Regras (citada em
componentes de uma rede) precisam ser estabelecidas para que a comunicao seja eficiente em uma
rede e comparando a um sistema de telefonia existe a necessidade de identificao de cada computador
(host) em uma rede atravs de um numero a qual chamamos de nmero IP ( exemplo de regra). Atribuir
esta identificao em cada computador manualmente seria um trabalho absurdo se imaginarmos, por
exemplo, uma estrutura de rede de uma grande empresa com mais de 1000 computadores, ento se faz
necessrio mencionar aqui mencionar duas tecnologias imprescindveis que foram desenvolvidas e
precisam estar presente para facilitar a implantao de uma rede de grande quantidade de hosts: um
servidor DHCP (Dynamic Host Configuration Protocolo, Protocolo de Configurao de Host Dinmico)
que responsvel em atender a requisio de qualquer novo host inserido em uma rede atribuindo-lhe
um nmero IP nico. E um servidor DNS (Domain Nome System, Sistema de Nome de Domnio) que
desempenha o papel de traduzir o nmero IP dados ao host pelo nome (literalmente) atribudo ao
dispositivo, por exemplo, voc pode atribuir a seu computador, a partir do seu sistema operacional um
nome e este nome associado ao numero IP sendo que isso acontecendo seu computador pode ser
identificado tambm pelo nome em uma rede atravs deste servidor que gerencia e traduz essa
associao de nome versus numero IP.
Enfim, uma vez que est concluda a apresentao dos conceitos bsicos necessrios sobre
rede e domnio e da infraestrutura fsica e lgica necessria para uma implantao, pode-se imaginar que
uma estrutura como essa apresenta possveis problemas, uma vez que foi estabelecida esta interligao.
As informaes e servios so disponibilizados e compartilhados, mas para quem? Quem poder ter
acesso a estas informaes? E como garantir a integridade, disponibilidade, confidencialidade dessas
informaes? A resposta se d atravs de outros recursos de segurana alm dos j citados criados para
suprir esta necessidade, a utilizao de um domnio uma forma muito eficiente, pois praticamente todos
os objetos identificados por ele que faz parte da rede podem ser gerenciados. Pode-se tambm aplicar
polticas de segurana e permisses de acesso de forma bem especfica, como para um nico usurio,
por exemplo, ou para grupos de usurios, e numa viso ainda mais ampla, a segurana entre domnios
de uma mesma floresta que representa os domnios filhos ou regionais.
6.
organizar, gerenciar e compartilhar informaes e recursos comuns de rede, como: usurios, grupos,
computadores, impressoras, pastas compartilhadas, entre outros. E exatamente isto que o Active
Directory da Microsoft faz. Esta ferramenta a responsvel pelo gerenciamento de um domnio em um
servidor com Windows Server numa rede de computadores (hosts). A partir de agora tudo que vamos
falar sobre a implantao de um domnio estar diretamente ligado s particularidades oferecidas por
esta ferramenta.
MINASI (2003, p.381) amplia o conceito que passamos de domnio afirmando que ... um
domnio apenas um grupo de servidores e estao de trabalho (hosts) que concordam em centralizar os
nomes de conta de usurios e maquina em um banco de dados compartilhado e ainda afirma que isto
muito til pelo fato que permite que um usurio tenha apenas um nome de conta e senha que pode ser
utilizado em qualquer computador do domnio mesmo que este tenha milhares de estaes de trabalho.
MICROSOFT [1],[2].[3].
7.
respectivas senhas
7.1.2.
controlador de domnio;
7.1.3.
espcie de grupos departamentais, que podem ser gerenciados por contas que recebem o
controle atravs de permisses especiais para administrar este grupo. Isso tambm
chamado de subdomnio segundo MARK (2003, pag. 382)
7.1.5.
8.
8.2.
Domnio Raiz de Floresta - O primeiro domnio criado na floresta do Active Directory. Esse
domnio automaticamente designado como o domnio raiz da floresta. Ele fornece a base da
infraestrutura da floresta do Active Directory.(Microsoft[3])
8.3.
Domnio Regional - Um domnio filho criado em uma regio geogrfica para aperfeioar o
trfego de replicao quando o local onde ele est instalado est geograficamente distante.
9. FERRAMENTAS ADMINISTRATIVAS:
A Microsoft disponibiliza atravs do seu sistema operacional de redes o Windows Server a lista
do conjunto de ferramentas para gerenciamento de um domnio com p Active Directory, e as principais
so:
9.1.
9.2.
Gerenciador de Servidores;
9.3.
Servidor DHCP;
9.4.
Servidor DNS;
9.5.
9.6.
Gerenciamento do Servidor;
9.7.
9.8.
9.9.
9.10. Licenciamento;
9.11. Servios e sites do Active Directory;
9.12. Sistemas de arquivos distribudos;
9.13. Domnios e relao de confiana do Active Directory;
9.14. Administrador de cluster;
9.15. Licenciamento do Terminal Server.
10.
informao conseguiu inclusiva otimizar seus prprios conceitos maximizando o potencial de absoro da
informao por usurios que mesmo no tendo formao acadmica ou curso especializado consegue a
partir de uma pesquisa referenciada suprir todo conhecimento bsico necessrio para atender tal
demanda, mas no se dispensa e nem se despreza em momento algum a implantao deste servio por
pessoas tecnicamente formadas no sonos conceitos tericos mas tambm nas ferramentas
Referncias
Criptografia
Certificao
Digital,
1999.
Disponvel
em
Christiano.
Como
surgiu
Active
Directory?
Disponvel
em
<http://christianomendes.blogspot.com.br/2010/09/como-surgiu-o-active-directory.html> Acesso em 18
nov. 2012.
Microsoft [1], Kit de Treinamento. Administrao do Windows 2008 Server 70-646 2008.
Microsoft [2], Official Course. Windows 2008 Server, 2008
[Microsoft 3], Site TechNet. Implantando domnios regionais do Windows Server 2008. Disponvel em <
http://technet.microsoft.com/pt-br/library/cc755118(v=ws.10).aspx> Acessado em 08 de novembro de
2012.
MINASI, Mark. Dominando o Windows Server 2003 A bblia Ed. Pearson Makron Books, 2003.
TANENBAUM, Andrew S. Rede de Computadores 4 edio Elsevier 2003 15 Reimpresso.
WIKIPDIA,
Active
Directory,
Setembro,
2010.
Disponvel
em