Windows Server Admin Ferramentas

INSTITUTO DE TECNOLOGIAS AVANÇADAS PARA A FORMAÇÃO LDA.
ADMINISTRAÇÃO DE REDES I
Pedro Ramos Brandão
João Carriço
3-1
Administração de Redes I
Indíce:
Unidade 1 – Ferramentas de administração no Windows Server 2000 e 2003.

Unidade 2 - Gestão de Discos.
Unidade 3 – O Serviço Active Directory.
Unidade 4 – Administração de Direitos e Perfis de Utilizadores.
Unidade 5 - Gestão de Contas de Utilizadores.
Unidade 6 – Redes TCP/IP em Windows.
Unidade 7 – Implementação do DNS.
Unidade 8 – DHCP.
Unidade 9 - Conectividade de redes locais à Internet.
Unidade 10 - Encaminhamento e acesso remoto.
Unidade 11 - Segurança em redes Windows.
Unidade 12 – Auditoria.
Unidade 13 - Segurança do Protocolo IP.
Unidade 14 – Instalação e configuração do Sistema Operativo Windows Server 2003.
3-2
Unidade 1
Ferramentas de administração do Windows Server
Objectivos pedagógicos da unidade:
Conhecer e saber utilizar a MMC- Microsoft Managment Console.

Adicionar e remover snap-ins de uma consola.
Agendar e gerir tarefas com o Task Scheduler.
Saber definir as configurações do sistema.
Saber configurar opções de desempenho do sistema.
Saber definir as opções de arranque do sistema.
Saber trabalhar com o Event Viewer (Visualizador de eventos) e com os diferentes tipos de registos
Adicionar, remover e gerir dispositivos de hardware com o Gestor de dispositivos.
Sumário:
A unidade tem por objectivo apresentar as principais ferramentas de administração do sistema operativo
Windows Server. Após a conclusão desta unidade deverá conhecer o funcionamento da principal interface
de configuração do sistema designada por MMC-Microsoft Managment Console.
Serão igualmente abordadas algumas configurações fundamentais do sistema como a configuração da placa
gráfica e visualização do ecrã, opções de optimização e arranque do sistema, agendamento automático de
tarefas e gestão de registos de eventos.
Finalmente, é apresentado o Gestor de dispositivos, uma ferramenta importante baseada na MMC, para a
configuração e gestão de todos os dispositivos de hardware existentes no sistema.
1-1
A - Utilização da MMC – Microsoft Management Console
Microsoft Management Console
O que é a MMC
A sigla MMC deriva de Microsoft Management Console. Trata-se de um utilitário que pode ser usado como
um dos principais instrumentos de administração do Windows.
Esse utilitário pode ser utilizado para criar e manter colecções de ferramentas de administração
(administrative tools). Essas colecções de ferramentas de administração do sistema operativo são
designadas por consoles.
O que são consoles
As consoles são conjuntos de itens tais como snap-ins, monitor controls, tasks, wizards e documentação
necessária para administrar o hardware, o software e os componentes de rede do Windows.
O sistema MMC permite que o administrador do sistema crie novas consoles e adicione itens a consoles
existentes. As consoles podem ser configuradas para executar tarefas específicas.
A figura seguinte apresenta a imagem de uma console.
1-2
O que são snap-ins
Os snap-ins são aplicações cuja finalidade é a de executar funções de administração. Os snap-ins podem
ser integrados em consoles criadas com a MMC.
Tipos de snap-ins:
Stand-Alone Snap-ins
Os stand-alone snap-ins também designados simplesmente por snap-ins são utilizados para executar
diversas tarefas administrativas no Windows, sendo cada tipo de snap-in desenhado para executar uma ou
um conjunto de tarefas relacionadas.
O sistema operativo Windows XP Professional contém um conjunto de snap-ins standard. O Windows

Server contem um conjunto mais vasto de snap-ins.
Extension Snap-ins
Os extension snap-ins são igualmente designados simplesmente por extensions. As extensions têm por
finalidade proporcionar funcionalidades adicionais a determinado snap-in.
Em síntese, pode dizer-se que os snap-ins são ferramentas de administração e que as extensions são
utilitários que proporcionam funcionalidades acrescidas aos snap-ins.
Nota
A distinção entre snap-ins e extensions nem sempre é rigorosa. Existem utilitários que podem
funcionar quer como stand-alone snap-ins quer como extensions (é, por exemplo, o caso do utilitário
Event Viewer).
Adicionar um snap-in
Para adicionar um snap-in, pode utilizar os seguintes procedimentos:
1.Clique no botão Start e escolha Run;
2.Na caixa de diálogo Run, escreva mmc na caixa de texto Open e, em seguida, clique OK;
3.O MMC apresenta a janela de uma console vazia.
1-3
4.No menu Console escolha Add/Remove snap-in;
A caixa Add/Remove snap-in é apresentada.
Na caixa Add/Remove snap-in, clique no botão Add;
A caixa Add Standalone snap-in é apresentada.
1-4
5. Na caixa Add Standalone snap-in escolha, por exemplo, Computer Management; Clique no botão Add;
A caixa Computer Management é apresentada.
6. Na caixa Computer Management marque a opção Local computer e clique no botãoFinish;
1-5
7. Clique no botão Close da caixa Add Standalone snap-in;
8. Clique no botão OK da caixa Add/Remove snap-in;
Na janela da Console surge o snap-in Computer Managment (Local).
Modo de Autor
O que são as Console Options
Como a designação indica, as console options são opções ao dispor de quem cria a console. Essas opções
são definidas quando a console é criada e determinam as funcionalidades acessíveis ao utilizador dessa
console.
Existem duas opções ou Console options: Author mode e User mode. Na opção User mode existem ainda
três tipos diferentes.
Quando uma console é criada e gravada em Author mode o utilizador tem acesso a todas as funcionalidades
da console podendo, designadamente: acrescentar e remover snap-ins, criar novas windows, observar todas
as partes da árvore de itens da console e gravar.
Como aceder às Options da Console
Para definir o modo de criação e gravação das console, pode aceder à caixa Options através da opção
Options... do menu Console, como é apresentado na seguintes sequência de imagens.
1-6
Modos de utilização
Quando a console é criada e gravada em modo de utilização, o utilizador pode ficar limitado na sua
capacidade de alterar a console.
Existem três tipos de User mode: Full access, Multiple Windows e Single Window.
User mode: Full access
O User mode: Full Access concede ao utilizador acesso completo ao comandos da janela e aos snap-ins da
consola. No entanto impede o utilizador de adicionar ou remover snap-ins e alterar as propriedades da
consola.
User mode:Multiple Windows
O User mode: Multiple Windows concede acesso às janelas que estão visíveis quando a consola foi
guardada. Permite aos utilizadores abrir novas janelas mas impede de fechar as existentes.
User mode:Single Window
1-7
O User mode: Single Window concede o acesso às janelas visíveis quando a consola foi guardada mas
impede o utilizar de abrir novas janelas.
1-8
Guardar uma consola
Para guardar a console criada, clique no menu Console e escolha Save as...
A caixa Save as é apresentada. A pasta para gravação é a pasta Administrative Tools. No caso de o
Windows ter sido instalado na drive C: , a pasta Administrative Tools encontra-se em C:\Documents and
Settings\Administrator\Start Menu\Programas\Administrative Tools.
Na caixa de texto File Name, escreva Primeira Consola, e clique no botão Save;
Observe que o nome Primeira Consola aparece na barra de título da janela.
Encerre a janela Primeira Consola;
Através do Windows Explorer pode observar que o ficheiro foi guardado na pasta Administrative Tools.
1-9
B - Utilização do Task Scheduler
O Task Scheduler
O que é o Task Scheduler
O Windows 2000 disponibiliza um utilitário, designado por Task Scheduler, que permite executar
programas, scripts, ou abrir documentos em determinado momento.
Tarefas que podem ser executadas com o Task Scheduler
Apresentam-se exemplos de algumas tarefas que podem ser executadas com o Task Scheduler.
• Programar a execução de uma tarefa para que seja executada com uma determinada frequência ou
num determinado momento no tempo. Por exemplo, uma tarefa pode ser programada para ser
executada diariamente, ou semanalmente, por exemplo. Pode igualmente programar-se uma tarefa
par que ela seja executada em determinado momento (um exemplo típico é o que consiste em usar o
task scheduler para que determinada tarefa seja executada no arranque do sistema.
• Estabelecer especificações sobre o modo como uma tarefa será executada pelo Task Scheduler.
• Alterar as especificações de programação de execução de uma tarefa.
• Interromper a execução de uma tarefa iniciada pelo Task Scheduler.
1-10
Como iniciar o Task Scheduler
Os procedimentos para iniciar o Task Scheduler podem ser descritos do seguinte modo:
Activar o menu Start, escolher Settings e, em seguida, Control Panel.
Na janela Control Panel, executar um duplo clique em Scheduled Tasks.
1-11
A janela Scheduled Tasks é apresentada.
Nesta janela podem ser criadas novas Scheduled Tasks e alterar as propriedades de Scheduled Tasks
existentes.
1-12
Criar uma Scheduled Task
Vamos descrever os procedimentos para criar uma scheduled task que inicie o Outlook todos os dias, às 9
horas da manhã. Os procedimentos a executar podem ser descritos do seguinte modo:
Na janela Scheduled Tasks, execute um duplo clique no ícone Add Scheduled Task.
É apresentada a caixa Scheduled Task Wizard que guia o utilizador na criação da Scheduled Task.
Nesta caixa, clique em Next.
Na caixa seguinte seleccione o programa Microsoft Outlook e, em seguida, clique no botão Next.
1-13
Nesta caixa, pode escolher um nome para a tarefa (neste caso o nome escolhido por defeito é
Microsoft Outlook. Para que o programa seja executado diariamente, seleccione a opção Daily. Clique
Next.
Na caixa seguinte, em Start time, seleccione ou escreva 9:00 para a tarefa ser executada às 9 horas.
1-14
Nesta caixa poderá escrever o user name e a password. Em seguida, clique Next.
Na caixa seguinte, execute um clique em Finish.
1-15
Se observar a caixa Scheduled Tasks, verificará que foi criada uma nova scheduled task, com o nome
Microsoft Outlook.
Remover uma Scheduled Task
1-16
Vamos descrever os procedimentos para remover uma scheduled task.
Na janela Scheduled Tasks, execute um duplo clique com o botão direito no ícone da scheduled task
que pretende eliminar e, no menu de contexto, escolha Delete.
Na caixa Confirm File Delete, clique no botão Yes.
Poderá observar que a task é removida da janela Scheduled Tasks.
1-17
Tarefas que podem ser executadas com o Task Scheduler
Apresentam-se exemplos de algumas tarefas que podem ser executadas com o Task Scheduler.
• Programar a execução de uma tarefa para que seja executada com uma determinada frequência ou
num determinado momento no tempo. Por exemplo, uma tarefa pode ser programada para ser
executada diariamente, ou semanalmente, por exemplo. Pode igualmente programar-se uma tarefa
par que ela seja executada em determinado momento (um exemplo típico é o que consiste em usar o
task scheduler para que determinada tarefa seja executada no arranque do sistema.
• Estabelecer especificações sobre o modo como uma tarefa será executada pelo Task Scheduler.
• Alterar as especificações de programação de execução de uma tarefa.
• Interromper a execução de uma tarefa iniciada pelo Task Scheduler.
1-18
C – Definir configurações de sistema
Configurar o display
A caixa Display Properties
Através da caixa Display Properties é possível definir vários aspectos de configuração do monitor.
Na figura seguinte é apresentada a caixa Display Properties com o separador Settings seleccionado.
1-19
Como aceder à caixa Display Properties
Para aceder ao separador Settings da caixa Display Properties, pode executar os seguintes procedimentos:
1. Execute um clique com o botão direito numa área livre no Desktop e, no menu de contexto,
escolha Properties.
2. Na caixa Display Properties, seleccione o separador Settings.
1-20
Opções de configuração no separador Settings
Colors
Em Colors é possível definir a profundidade de cores do monitor. Na imagem seguinte podem observar-se
várias opções.
Screen area
Em Screen area é definida a resolução utilizada pelo adaptador do monitor.
Performance options
O separador Advanced da caixa System Properties
No separador Advanced da caixa System Properties podem ser definidas várias configurações de
propriedades do sistema operativo. A imagem seguinte mostra esse separador.
1-21
Através de um clique no botão Performance Options... acede à caixa Performance Options. A imagem
seguinte mostra a caixa Performance Options.
Na caixa Performance Options pode definir opções sobre a utilização do processador e da memória. Essas
opções podem afectar a performance do computador.
Em Application response pode definir critérios de optimização da utilização dos recursos do processador.
1-22
Se seleccionar Applications são atribuídos maiores recursos de processador às aplicações em execução,

que recebem inputs do utilizador.
Se seleccionar Background services, os recursos do processador são equitativamente repartidos pelas

aplicações com as quais o utilizador interage e as aplicações que são executadas em background.
Memória virtual
O conceito de memória virtual
No Windows podem considerar-se dois conceitos de memória:
Memória física
A memória física é constituída pelos dispositivos físicos da RAM instalados no computador. Cada byte
de memória física é identificado por um endereço.
Memória virtual
A memória virtual é o processo através do qual o sistema operativo disponibiliza a memória física às
aplicações. Cada byte de memória virtual é igualmente identificado por um endereço. Para gerir a
memória virtual, o Windows utiliza um sistema designado por Virtual Memory Manager (VMM).
Descrição genérica do funcionamento do VMM (Virtual Memory Manager)
O VMM mantém e gere uma tabela (memory-mapping table) que contém a informação sobre os endereços
virtuais de cada processo e a correspondente localização na memória física.
Assim, quando um processo requisita o acesso a um endereço, fornecendo o endereço virtual, o VMM usa
esse endereço virtual para localizar o endereço físico onde os dados ou as instruções estão efectivamente
armazenadas e retorna a informação requisitada.
Designa-se por paging o processo implementado pelo VMM para mover páginas da memória para o disco e
vice-versa, quando necessário. Uma página tem um tamanho de 4 KB.
1-23
Quando a capacidade da memória física se esgota, e um determinado processo necessita de aceder a

código ou dados que não se encontram na memória física, o VMM retira páginas da memória física e coloca-
as numa área do disco designada por pagefile.
O código e os dados requisitados são transferidos do disco para a área libertada na memória física, por
forma a que o pedido do processo possa ser atendido.
O virtual address space atribuído a um processo é em cada momento constituído por valid pages (as que
estão disponíveis na memória física) e invalid pages (as que não estão disponíveis na memória física).
1-24
Quando uma invalid page é requisitada, o processador gera uma page fault. Esse sinal do processador é
interceptado pelo VMM que se encarrega dos procedimentos necessários para recolher do disco e transferir
para a memória física essa página.
Para cada processo em execução, o VMM mantém o registo das páginas que em cada momento se
encontram em memória. Esse conjunto é designado por working set do processo.
Para movimentar as páginas de um working set, o VMM utiliza um processo do tipo first-in first-out. As
páginas que há mais tempo se encontram na memória física são as primeiras a ser removidas para o disco,
se necessário.
Fetching é o nome que se dá ao processo que consiste em transferir páginas do disco para a memória. O
VMM usa um processo designado por demand paging with clustering. Isto significa que o VMM transfere
para a memória não apenas a página requisitada mas mais algumas páginas contíguas. Este procedimento
reduz provavelmente o número de page faults.
A memória virtual
Quando o Windows é instalado, o programa de Setup cria um ficheiro para a memória virtual na partição
onde o sistema operativo é instalado.
O tamanho mínimo desse ficheiro é de 2 MB. O tamanho recomendado corresponde sensivelmente a uma
vez e meia a capacidade de memória RAM.
1-25
Na imagem podemos observar que a capacidade total actualmente afecta a paging files é de 288 MB.
Para alterar as configurações da memória virtual, clique em Change... para aceder à caixa Virtual Memory,
como pode observar nas imagens seguintes.
1-26
Para cada drive, na caixa Initial size pode escrever o tamanho inicial para a memória virtual. Depois de
escrever o valor deverá clicar no botão Set.
Se o valor fixado for muito inferior ao mínimo recomendado, tal facto pode originar uma perda de
performance quando várias aplicações são executadas.
O Windows pode emitir a mensagem Virtual Memory Minimum Too Low e aumentar automaticamente o
espaço reservado para paging.
Na caixa Maximum size deverá escrever o valor máximo que deverá ser reservado para paging. Depois de
alterar o valor, deverá clicar no botão Set.
É necessário possuir privilégios de administrador para poder alterar as especificações de memória virtual.
Environment variables
O que são as environment variables
As environment variables são variáveis cujo conteúdo pode ser utilizado pelo Windows para executar
determinadas tarefas como, por exemplo, a definição do caminho (path) a utilizar para localizar ficheiros.
Existem dois tipos fundamentais de environment variables:
System environment variables

São variáveis de sistema que se aplicam a todos os utilizadores do computador. As variáveis
fundamentais de sistema são criadas pelo Windows, através do programa de Setup, durante a fase de
instalação. Apenas os administradores podem criar, modificar ou remover as variáveis de sistema.
User environment variables

São variáveis cujo conteúdo se aplica apenas a cada utilizador do computador. As user environment
variables podem conter informação sobre a costumização do Windows executada por determinado
utilizador. Cada utilizador pode criar, modificar e remover as suas user environment variables.
1-27
Como aceder às user e system environment variables
Em seguida é descrito o processo para aceder às user e system environment variables:
Na caixa System Properties, executar um clique no botão Environment variables.
1-28
Na caixa Environment variables pode, consoante os privilégios que possuir, criar, alterar ou remover
variáveis.
Opções sobre o sistema operativo de arranque
1-29
A caixa Startup and Recovery
Quando existe mais do que um sistema operativo instalado no computador, na caixa Startup and Recovery
podem definir-se especificações sobre o sistema operativo com que o computador é inicializado no arranque
.
1-30
Como aceder à caixa Startup and Recovery
Para aceder à caixa Startup and Recovery, basta executar um clique no botão Startup and Recovery na
caixa System Properties.
Especificar o sistema operativo de arranque
Em Default Operating System, pode escolher o sistema operativo que, por defeito, será o sistema operativo
de arranque.
1-31
Especificar o tempo durante o qual a lista de sistemas operativos é apresentada
Quando existe mais do que um sistema operativo que pode arrancar num computador, é apresentada uma
lista desses sistemas operativos, com o sistema operativo definido como default assinalado.
Pode marcar a caixa Display list of operating systems for e, na caixa seconds, indicar o tempo, em segundos
que a lista ficará disponível para que o utilizador possa fazer outra opção. Findo esse período, o sistema
operativo default é iniciado.
Relatório sobre falhas de sistema
Na caixa Startup and Recovery, em System Failure, pode definir várias opções sobre as acções que o
Windows deve executar no caso de se verificar uma falha de sistema.
Apresentam-se algumas dessas opções nas imagens seguintes.
Marque esta opção para que o Windows crie um ficheiro com informação sobre o acontecimento, quando,
eventualmente, se verificar uma falha do sistema.
Marque esta opção para que o Windows envie um Administrative Alert sempre que se verifique uma falha de
sistema.
1-32
Marque a opção Automatically reboot se pretender que o Windows arranque automaticamente após o crash.
Em Write Debugging Information poderá escolher o tipo de informação que será registado no ficheiro
Memory.dump.
1-33
D - O Visualizador de eventos
Visualizador de eventos
A utilização do registo de eventos no Visualizador de eventos permite a reunião de informações sobre os

problemas de hardware, de software e do sistema e é possível controlar os eventos de segurança do
Windows 2000.
O Windows regista os eventos em três tipos de registos predefinidos:
Registo de aplicações
Registo de segurança
Registo de sistema
Os registos de aplicações e sistema podem ser visionados por todos os utilizadores, no entanto apenas os
administradores podem ler o registo de segurança.
O visualizador de eventos apresenta os seguintes tipos de eventos:
Erro
Um problema significativo, tal como a perda de dados ou a perda de funcionalidades. Por exemplo, se um
serviço tem uma falha ao carregar durante o arranque, será registado um erro.
Aviso
Um evento que não seja necessariamente significativo, mas que possa indicar um possível problema futuro.
Por exemplo, quando existe pouco espaço no disco, será registado um aviso.
1-34
Informações
Um evento que descreve uma operação de uma aplicação, de um controlador ou de um serviço bem
sucedida. Por exemplo, quando um controlador da rede efectua o carregamento com êxito, será registado
um evento de informação.
Auditoria com êxito

Uma tentativa de acesso de segurança auditada foi bem sucedida. Por exemplo, a tentativa bem sucedida
de um utilizador iniciar a sessão no sistema vai ser registada como uma Auditoria a eventos efectuada com
êxito.
Auditoria sem êxito

Uma tentativa de acesso de segurança auditada que não teve êxito. Por exemplo, se um utilizador tentar
aceder a uma unidade de rede e falha, a tentativa será registada como uma Auditoria a eventos sem êxito.
O Serviço de registo de eventos inicia automaticamente quando inicia o Windows 2000. Todos os
utilizadores podem visualizar uma aplicação e registos do sistema. Apenas os administradores podem obter
acesso aos registos de segurança.
Por predefinição, o registo de segurança é desligado. Pode utilizar a política de grupo para activar o registo
de segurança. O administrador também pode definir as políticas de auditoria no registo que provocam a
paragem do sistema quando o registo de segurança está completo.
O Serviço de registo de eventos inicia automaticamente quando inicia o Windows 2000. Todos os
utilizadores podem visualizar uma aplicação e registos do sistema. Apenas os administradores podem obter
acesso aos registos de segurança.
Por predefinição, o registo de segurança é desligado. Pode utilizar a política de grupo para activar o registo
de segurança. O administrador também pode definir as políticas de auditoria no registo que provocam a
paragem do sistema quando o registo de segurança está completo.
Registo de Aplicações
O registo de aplicações contém eventos registados por aplicações ou programas. Por exemplo, um
programa de base de dados pode registar um erro do sistema no registo de aplicações. O programador
decide os eventos a registar.
1-35
Registo de Sistema
O registo do sistema contém eventos registados por componentes do sistema do Windows 2000. Por
exemplo, a falha de um controlador ou de outro componente do sistema ao carregar durante o arranque é
registada no registo do sistema. Os tipos de eventos registados por componentes do sistema estão
predeterminados pelo Windows .
Registo de Segurança
O registo de segurança pode registar eventos de segurança, tais como, tentativas de início de sessão
válidas e inválidas, bem como eventos relacionados com a utilização de recursos como, por exemplo, criar,
abrir ou eliminar ficheiros. Um administrador pode especificar os eventos registados no registo de
segurança. Por exemplo, se tiver activado a auditoria a inícios de sessão, as tentativas de iniciar sessão no
sistema são registados no registo de segurança.
1-36
1-37
Configurar o registo de segurança
Para definir parâmetros de registo para cada tipo de registo, na árvore da consola Visualizador eventos,
clique com o botão direito do rato o tipo de registo e, em seguida, clique em Propriedades. No separador
Geral, é possível definir o tamanho máximo do registo e especificar se os eventos são substituídos ou
armazenados durante um determinado período de tempo.
A política de registos predefinida é a de substituição de registos de acordo com as necessidades, desde que
os eventos tenham pelo menos 7 dias. É possível personalizar esta política para eventos diferentes.
1-38
As opções de Manutenção do registo de eventos são as seguintes:
Substituir eventos, de Os novos eventos continuarão a ser escritos quando o registo estiver completo.
acordo com as Cada novo evento substitui o evento mais antigo do registo. Esta opção é uma boa
necessidades escolha para os sistemas de baixa manutenção.
Retém o registo pelo número de dias especificado antes de substituir eventos. A
Substituir ficheiros
predefinição é de 7 dias. Esta é a melhor opção se pretender arquivar ficheiros de
mais antigos do que
registo semanalmente. Esta estratégia minimiza a probabilidade de perder entradas
[x] dias
de registo importantes e ao mesmo tempo mantém o tamanho do registo razoável.
Limpe a opção registar manualmente em vez de automaticamente. Seleccione esta
Não substituir
opção apenas se não puder perder um evento (por exemplo, para o registo de
eventos
segurança no local onde a segurança é extremamente importante).
Quando um registo está completo e não é possível registar mais eventos, é possível libertar o evento
limpando-o. A redução do montante de tempo que mantém um evento também liberta o registo se permitir
que o próximo registo seja substituído.
Cada ficheiro de registo tem um tamanho máximo inicial de 512 KB. É possível aumentar o tamanho máximo
do registo para a capacidade do disco e memória ou pode diminuir o tamanho máximo do registo. Antes de
diminuir o tamanho de um registo, tem de limpar o registo.
Filtrar eventos
O Visualizador de eventos possuí uma funcionalidade que permite filtrar os eventos existentes no registo de
segurança.
No menu Ver escolha a opção Filtro.
1-39
A janela de propriedades do Registo de Segurança apresenta várias opções que permitem filtras as entradas
do Registo de Segurança.
1-40
A filtragem não tem efeito no conteúdo real do registo, apenas altera a visualização. Todos os eventos são
registados de forma contínua, independentemente do filtro estar activo. Se arquivar um registo de uma vista
filtrada, todos os registos são guardados, mesmo que seleccione um ficheiro em formato de texto ou em
formato de texto delimitado por vírgulas.
A seguinte tabela descreve as opções disponíveis na caixa de diálogo Propriedades do registo do

sistema.
Utilizar Para filtrar

Visualizar Eventos depois de uma data e hora específicas. Por predefinição, é a data do evento mais
eventos de antigo do ficheiro de registo.
Visualizar Eventos até e incluindo uma data e hora específicas. Por predefinição, é a data do evento
eventos para mais recente do ficheiro de registo.
Eventos significativos esporádicos que descrevem operações com êxito de serviços
Informações
principais. Por exemplo, quando uma base de dados carrega com êxito, é possível que
1-41
registe um Evento de informações.

Eventos que não são necessariamente significativos, mas que indicam possíveis
Aviso problemas futuros. Por exemplo, um Evento de aviso pode ser registado quando existe
pouco espaço no disco.
Problemas significativos como, por exemplo, a perda de dados ou a perda de funções. Por
Erro exemplo, um Evento de erro pode ser registado se um serviço não estava carregado
durante o arranque do Windows 2000.
Tentativas de acesso de segurança efectuadas com êxito auditadas. Por exemplo, a
Auditoria com
tentativa bem sucedida de um utilizador iniciar a sessão no sistema pode ser registada
êxito
como uma Auditoria a eventos efectuada com êxito.
Tentativas de acesso de segurança efectuadas sem êxito auditadas. Por exemplo, se um
Auditoria sem
utilizador tentou aceder a uma unidade de rede e falhou, a tentativa poderá ser registada
êxito
como uma Auditoria a eventos sem êxito.
Uma origem para registar eventos, como uma aplicação, um componente do sistema ou
Origem
uma unidade.
Classificação de eventos definida pela origem. Por exemplo, as categorias de eventos de
segurança são Iniciar sessão e Terminar sessão, Alteração de política, Utilização de
Categoria
privilégios, Eventos do sistema, Acesso a objectos, Rastreio detalhado e Gestão de
contas.
Um utilizador específico que corresponde a um nome de utilizador real. Este campo não é
Utilizador3
sensível a maiúsculas e minúsculas.
Um computador específico que corresponde a um nome de computador real. Este campo
Computador3
não é sensível a maiúsculas e minúsculas.
ID do evento2 Um número específico que corresponde a um evento real.
1-42
E - O Gestor de dispositivos
O Gestor de dispositivos
O Gestor de dispositivos é um snap-in da consola Gestão de computadores disponível na pasta

Ferramentas Administrativas. Através do Gestor de dispositivos, é possível alterar a configuração do
hardware e a forma como o hardware interage com o microprocessador do computador.
O Gestor de dispositivos fornece uma visualização gráfica do hardware instalado no computador. Com este
snap-in é possível efectuar as seguintes tarefas:
Determinar se o hardware do computador está a funcionar correctamente.

Alterar as definições da configuração do hardware.
Identificar os controladores de dispositivos carregados para cada dispositivo e obter informações
sobre cada controlador de dispositivo.
Alterar as definições e propriedades avançadas dos dispositivos.
Instalar controladores de dispositivo actualizados.
Desactivar, activar e desinstalar dispositivos.
Identificar conflitos entre dispositivos e configurar manualmente as definições do recurso.
Imprimir um resumo dos dispositivos instalados no computador.
O objectivo do Gestor de dispositivos é auxiliar os utilizadores a detectarem erros de configuração de
hardware e permitir a actualização dos controladores dos dispositivos instalados no sistemas.
1-43
Adicionar um dispositivo de hardware
O Windows utiliza o assistente Adicionar e remover hardware para configurar os novos dispositivos de
hardware. Ao instalar um novo componente no sistema o assistente é carregado para proceder à instalação
do controlador apropriado para o dispositivo. O assistente Adicionar e remover hardware permite também
solucionar problemas de configuração de hardware.
Para instalar um novo dispositivo execute os seguintes passos:
Instale o novo hardware seguindo as instruções do fabricante.

Ligue o computador e espere que o Windows inicie
Após o início de sessão o assistente Adicionar e remover hardware e carregado. Se o assistente não for
iniciado escolha a opção Adicionar/remover hardware do Painel de controlo.
Seleccione a opção adicionar dispositivo e execute um clique no botão Seguinte.
1-44
O Assistente irá agora procurar novos dispositivos conectados ao computador.
Se novo hardware for encontrado e já existir um controlador para esse dispositivo no sistema, o
componente é instalado automaticamente, passando a figurar no Gestor de dispositivos. Se o
controlador não estiver instalado o Windows dá a possibilidade de copiar os ficheiros necessários de
um CD-ROM ou de uma disquete fornecida pelo fabricante de hardware.
EO gestor de dispositivos possui uma opção para verificar se existe novo hardware instalado no
computador. Para isso escolha a opção Verificar se há alterações de hardware no menu Acção.
Os dispositivos que utilizam ligações USB (Universal Serial Bus) podem ser conectados ao computador
quando este se encontra ligado. O Windows procura automaticamente um controlador para o novo
dispositivo, configurando se for encontrado o software necessário.
1-45
Visualizar as propriedades de um dispositivo de hardware
O Gestor de dispositivos contém uma opção que permite visualizar as propriedades de determinado
hardware. Através da janela de propriedades é possível alterar as configurações do hardware, modificar os
recursos de sistema utilizados e actualizar o controlador.
Para visualizar as propriedades de um dispositivo escolha a opção Propriedades, do menu Acção.
De seguida é apresentada a caixa de propriedades do dispositivo. Os separadores e opções de configuração

variam mediante o tipo de dispositivo. A figura seguinte mostra as propriedades de uma placa de rede
instalada no computador.
1-46
Alterar o controlador de um dispositivo de hardware
Um controlador de dispositivo (driver) é um programa que permite a comunicação entre o sistema operativo
e um dispositivo de hardware. Todos os componentes de hardware necessitam de um controlador adequado
ao sistema operativo do computador para puderem funcionar correctamente.
A danificação dos ficheiros ou a disponibilização de um novo controlador pelo fabricante de hardware

conduzem, por vezes, à necessidade de actualização do controlador de determinado dispositivo. A alteração
do controlador pode ser efectuada na janela das propriedades do dispositivo. Para isso:
No separador Controlador, da janela Propriedades, seleccione a opção Actualizar controlador.
1-47
1-48
É apresentada a janela Assistente para actualizar controlador.
1-49
Escolha a opção procurar um controlador adequado para o dispositivo.

Introduza a disquete ou CD-ROM com o controlador.
Conforme a localização do controlador marque a opção desejada e execute um clique no botão

Seguinte. No caso do controlador ser um ficheiro existente no disco escolha a opção Especificar uma
localização. Na janela seguinte introduza o caminho da directoria do ficheiro e clique em OK para
continuar.

1-50
Após este procedimento, o assistente procura os ficheiros necessários e procede à actualização do

controlador.
Clique em Seguinte para finalizar a actualização.
1-51
Desactivar um dispositivo de hardware
Os dispositivos podem ser apenas desactivados, tal como modems ou dispositivos USB, para serem
posteriormente utilizados. Quando um dispositivo é desactivado, este permanece fisicamente ligado ao
computador, mas o Windows 2000 actualiza o registo do sistema de modo a que os controladores não sejam
carregados quando iniciar o computador. Os controladores estarão de novo disponíveis quando activar o
dispositivo. A desactivação de controladores é útil quando pretende ter mais que uma configuração de
hardware no computador.
Para desactivar um dispositivo:
Seleccione o dispositivo
Escolha a opção Desactivar, do menu Acção.
O Gestor de dispositivos apresenta uma caixa de diálogo avisando-o que o dispositivo irá ser desactivado.
Execute um clique no botão Sim.
1-52
Para proceder a activação de um dispositivo seleccione-o e escolha a opção Activar, do menu Acção.
1-53
Remover dispositivos
Os dispositivos de hardware pode ser removidos dos computador. Antes de serem removidos
há que proceder à sua desinstalação no sistema operativo. Quando desinstala um dispositivo, é removida
a referencia ao dispositivo do registo do Windows. Existem dois processos para remover um dispositivo do
sistema: utilizando o Gestor de dispositivos ou o Assistente para adicionar/remover hardware.
Para desinstalar um dispositivo através do Gestor de dispositivos:
Seleccione o dispositivo
Escolha a opção Desinstalar, do menu Acção

Em seguida, desligue o computador e remova fisicamente o hardware do computador.
O Gestor de dispositivos e o Assistente para adicionar e remover hardware não removem os controladores
do disco rígido. Para efectuar este procedimento, terá que consultar a documentação do fabricante de
hardware para determinar quais os ficheiros a remover do sistema.
1-54
Unidade 2
Gestão de discos
Conhecer as tarefas básicas de preparação de discos.

Conhecer os diferentes tipos de armazenamento e partições.
Distinguir entre primary, active e extended partitions.
Saber trabalhar com vários tipos de volumes.
Utilizar o utilitário Gestão de discos (Disk Managment) na gestão dos diferentes discos existentes no
sistema.
Saber identificar e resolver problemas relacionados com a instalação
Sumário:
Nesta unidade serão apresentados conceitos teóricos fundamentais para a gestão de unidades de
armazenamento do sistema. No final desta unidade deverá conhecer os diferentes tipos de partições e de
volumes e as características de cada um deles.
Finalmente, será utilizado o utilitário Gestão de discos, baseado na MMC, para a realização das tarefas mais
comuns na gestão e manutenção de unidades de armazenamento.
2-1
A - Introdução à Gestão de discos

Tarefas básicas de preparação de discos
Definir um tipo de armazenamento
A inicialização de um disco para determinado tipo de armazenamento define a estrutura fundamental do

disco. No Windows 2000 é possível optar por dois tipos de armazenamento:
Basic storage
O tipo de armazenamento designado por basic storage é o tipo tradicional de armazenamento. Os
discos são designados por basic discs.
Dynamic storage
O tipo de armazenamento designado por dynamic storage permite criar dynamic discs que podem ser
divididos em volumes.
Formatar o disco
Após a criação de uma partição ou de um volume, é necessário formatar essa partição ou esse volume com
um determinado sistema de ficheiros (file system).
O sistema de ficheiros que for escolhido para formatar a partição ou o volume determina o modo como os
ficheiros são armazenados, as funcionalidades disponibilizadas e o tipo de sistemas operativos que podem
aceder aos dados armazenados.
2-2
Tipos de armazenamento
O Windows 2000 permite optar por dois tipos de armazenamento. Esses tipos são designados por basic
storage e dynamic storage.
Um disco físico pode possuir o tipo de armazenamento basic storage ou dynamic storage, mas não é
possível utilizar ambos os tipos de armazenamento no mesmo disco físico.
Todavia, num sistema com múltiplos discos, é possível utilizar diferentes tipos de armazenamento em
diferentes discos.
Basic storage
O tipo basic storage é o tipo de armazenamento assumido por defeito no Windows 2000. Todos os discos
são basic discs até que sejam eventualmente convertidos para dynamic discs.
2-3
O tipo basic storage permite a divisão de um disco em partições. Uma partição é uma parte de um disco que,
perante o sistema operativo funciona como uma unidade de armazenamento autónoma.
As partições podem classificar-se em dois tipos: primary partitions e extended partitions. Um disco pode
conter um máximo de quatro primary partitions. A imagem seguinte sugere um basic disc com quatro
partições primárias.
Em alternativa, o disco pode conter até três primary partitions e uma extended partition, como é
sugerido na imagem seguinte.
2-4
Numa extended partition podem ser criadas logical drives. A imagem seguinte sugere a criação de três
logical drives numa extended partition.
Dynamic storage
O tipo dynamic storage apenas é suportado pelo sistema operativo Windows 2000. Um disco com dynamic
storage é designado por dynamic disc.
Os dynamic discs podem ser divididos em volumes. Um volume pode ser constituído por uma parte ou
partes de um disco ou de vários discos.
Uma das características dos dynamic discs (e que os distingue dos basic discs) é o facto de um dynamic
disc poder ser redimensionado sem necessidade de reinicializar o Windows.
2-5
Tipos de partições
Diferentes tipos e esquemas de partições em basic disks
Um disco físico (um basic disc ) pode ser dividido num máximo de quatro partições.
Essas partições podem ser de dois tipos: primary partitions e extended partitions. As primary partitions
podem ser utilizadas para iniciar o computador. As extended partitions podem ser criadas com o restante
espaço livre. Em cada disco só pode existir uma extended partition.
As opções de partição de um basic disc são apresentadas nas imagens seguintes.
2-6
Criação de quatro primary partitions
Criação de três primary partitions e uma extended partition
Criação de duas primary partitions e uma extended partition
2-7
Criação de uma primary partition e uma extended partition
Em discos amovíveis, apenas podem ser criadas primary partitions. Não podem ser criadas extended
partitions nem logical drives.
Primary partitions e active partition
A partição designada como active partition é a partição onde o firmware do computador procura os ficheiros
de arranque (boot files) para iniciar o sistema operativo.
Uma primary partition criada num sistema de disco amovível não pode ser designada como active partition.
Num disco físico com várias primary partitions, qualquer primary partition pode ser designada como active
partition.
2-8
No entanto, em cada momento, só uma das primary partitions pode funcionar como active partition.
Para que seja possível o dual boot com Windows 2000 e os sistemas operativos do MS-DOS ao Windows
95, a active partition tem de ser formatada em FAT porque esses sistemas operativos não podem ler
partições com FAT32 ou NTFS.
2-9
Para fazer o dual boot com o Windows 95 (com OSR2 – uma release que permite a leitura de partições com
FAT32) ou com o Windows 98, a active partition pode ser formatada com FAT ou FAT32.
Extended partitions
Num basic disc apenas pode existir uma extended partition. Uma extended partition pode ser dividida em
segmentos e cada segmento constitui uma drive lógica. Pode atribuir-se uma letra a cada drive lógica. Cada
drive lógica pode ser formatada com um file system.
2-10
Windows Server system partition e boot partition
A partição Windows system partition é a active partition que contém os ficheiros necessários para o arranque
do sistema operativo.
A Windows 2000 boot partition é a partição onde estão instalados os ficheiros do sistema operativo. A
Windows 2000 boot partition pode ser uma primary partition ou uma logical drive.
A Windows system partition e a boot partition, podem ser a mesma partição, desde que essa seja a partição
activa, porque o Windows 2000 system partition tem de ser a partição activa.
2-11
Tipos de volumes
Conversão de basic storage para dynamic storage
O tipo de armazenamento default do Windows é basic storage. Para criar dynamic discs é necessário
converter um basic disc para dynamic disc.
Após a conversão, podem ser criados volumes Windows em dynamic discs.
O Disc Management snap-in pode ser utilizado para converter um basic disc para um dynamic disc. A
imagem seguinte mostra o Disk Management na secção Storage da janela Computer Management. Pode
observar o Disk 0 e o Disk 1 ambos do tipo Basic.
2-12
Pode observar na imagem seguinte, a opção Upgrade to Dynamic Disk... no menu de contexto activado no
Disk 0. Na prática, este é um processo para fazer o upgrade para dynamic storage.
2-13
Os vários tipos de volumes em dynamic disks
Tolerância a falhas
Os vários tipos de volumes que podem ser implementados com o Windows 2000 Professional não são fault
tolerant ( fault tolerant ou tolerância a falhas é uma característica do sistema operativo que permite recuperar
informação em caso de falha do sistema).
O Windows 2000 Server permite implementar sistemas de volumes em dynamic storage que podem ser
qualificados como fault tolerant.
Simple volume
Um simple volume contém o espaço de um só disco.
Spanned volume
Um spanned volume pode conter o espaço de vários discos (até um máximo de 32).
No tipo spanned volume, a informação é distribuída pelos discos, um após outro. No caso de se verificar
uma falha num dos discos do volume, toda a informação do volume será perdida. Este tipo de volume não é
fault tolerant.
2-14
Mirrored volume
Um mirrored volume consiste em criar duas cópias idênticas do mesmo volume, uma em cada disco. Um
disco é o “espelho” do outro.
O tipo mirrored volume é fault tolerant proporcionando cópia de segurança no caso de falha de um dos
discos. Este tipo de volume só pode ser implementado em sistemas Windows 2000 Server.
Striped volume
Um striped volume implementa a técnica RAID-0 e consiste em utilizar vários discos nos quais o sistema
operativo utiliza a técnica de escrever em paralelo, aumentando a performance das operações de acesso ao
disco. No entanto, este modelo não pode ser considerado fault tolerant uma vez que a falha num dos discos
compromete toda a informação do volume.
RAID-5 volume
Um RAID-5 volume é um volume que utiliza a técnica de striped volume conjugada com uma técnica que
permite a reconstrução dos dados no caso de falha de um dos discos. Para implementar volumes RAID-5
são necessários pelo menos três discos físicos.
O tipo RAID-5 volume é fault tolerant na medida em que permite a recuperação de dados em caso de
falha de um dos discos. Este tipo de armazenamento só pode ser implementado em sistemas Windows 2000
Server.
2-15
B - O snap-in Gestão de discos

Aceder ao Disk Management snap-in
O Disk Management snap-in é o utilitário fundamental para as operações de gestão dos sistemas de
armazenamento.
Para aceder ao Disk Management snap-in pode executar os passos descritos em seguida.
Activar o menu Start, escolher Programs, Administrative Tools e Computer Management.
Na caixa Computer Management, escolha Disk Management para aceder ao utilitário que lhe permite
executar todas as tarefas relacionadas com os sistemas de armazenamento.
Modos de visualização dos sistemas de armazenamento
Através do menu View pode personalizar-se o modo de visualização das unidades de armazenamento.
Apresentam-se visualmente algumas das opções de configuração através do menu View.
O conteúdo da parte superior, pode ser configurado através da opção Top do menu View. As opções
disponíveis são Disk list, Volume list e Graphical View.
2-16
A parte inferior pode ser configurada através da opção Bottom do menu View. As opções disponíveis são
Disk list, Volume list, Graphical View ou Hidden.
2-17
Unidade 3
O serviço Active Directory
Saber o que é e para que serve o serviço Active Directory (AD)

Conhecer os diferentes objectos do serviço AD.
Conhecer a estrutura básica do serviço AD.
Saber quais os factores a considerar para o desenho da estrutura de domínios.
Conhecer os conceitos de Árvores e Florestas.
Saber em que consiste e como é estruturado o Domain Name System utilizado nas redes Windows e
na Internet.
Sumário:
O objectivo desta unidade é dar a conhecer o serviço de directório do Windows Server designado por Active
Directory. Este serviço tem como objectivo estruturar lógica e fisicamente os recursos existentes numa rede
informática baseada em servidores Windows.
Serão analisados alguns factores importantes no planeamento da estrutura lógica e física do Active
Directory, bem como apresentados conceitos fundamentais como Árvores, Florestas e Unidades
Organizacionais.
No final desta unidade deverá ter um conhecimento geral sobre o modo de estruturação e funcionamento do
serviço Active Directory.
3-1
A - Visão Geral do Active Directory

O que é e para que serve um Directory Service
Numa rede de computadores, independentemente da sua dimensão, existe um conjunto de elementos, printers,
computadores, utilizadores e outros recursos, que designaremos genericamente como objectos, e que
necessitam de ser geridos.
Para este efeito podemos utilizar uma base de dados designada por Directory. Esta base de dados
armazena informação sobre todos os recursos de uma rede de computadores. Por vezes, o Directory é
também identificado como data store.
Num Directory, o tipo de informação que pode ser guardada pode ser classificada numa das seguintes
categorias: Resources (Recursos), Services (Serviços) e Accounts (Contas).
Os Recursos os são elementos ligados à rede e disponíveis para utilização. Um recurso pode ser o disco de
um server, um endereço IP, uma aplicação, um fax/modem, um scanner, uma impressora, ...
Os serviços são funções existentes na rede que tornam os recursos disponíveis para serem partilhados.
Existe quase sempre uma relação entre serviços e recursos. Por exemplo, o serviço Printing Services
disponibiliza o recurso Printer.
Uma conta é normalmente um Id de logon e uma password usada para aceder à rede. Esta password é
usada para garantir o direito a usar um serviço ou um recurso
Os métodos quer para armazenar dados no Directory quer para tornar esses dados disponíveis, tanto a
utilizadores como a administradores de rede, são designados por Directory Services.
Os Directory Services garantem funções que são fundamentais para o sistema operativo, uma vez que
permitem gerir os recursos da rede e manter as relações existentes entre esses recursos. Por isso, estão
profundamente integrados com os mecanismos de segurança e têm um papel fundamental na definição e
manutenção da infra-estrutura de rede da organização.
Genericamente, as funções associadas a um Directory Service são:
Permitir aceder a recursos através do respectivo nome ou por intermédio de qualquer um dos seus
atributos. Por exemplo, é possível interrogar a base de dados para obter a seguinte informação:
“Quais as impressoras laser e a cores que existem no edifício”;
Reforçar a segurança de forma a proteger a informação existente no Directory do acesso exterior e

de utilizadores internos que não tenham permissões para isso;
Replicar o conteúdo do Directory de forma a facilitar o acesso e a torná-lo mais resistente a falhas;
Dividir o Directory em múltiplos data store e colocá-los em computadores diferentes na rede. Esta
acção disponibiliza globalmente mais espaço e permite armazenar um maior número de
objectos.
3-2
Duma forma mais geral, um Directory Service é o centro de operações de rede para:
• Todos os Servers – disponibilizando serviços e recursos;
• Todos os Clients - requisitando acesso a serviços e recursos;
No Windows 2000 Server os Directory Services são designados por Active Directory.
O Active Directory inclui o data store. Todos os recursos e serviços armazenados no Directory, como dados
de utilizadores, printers, servers, bases de dados, grupos, computadores e definições de segurança, são
designados por objectos.
Os objectos Active Directory
Em Active Directory um objecto é um recurso da rede com um nome e com um conjunto de atributos
associados. Estes atributos são características do objecto que o descrevem e o tornam único. Por exemplo,
os atributos de um Server podem incluir o nome, o Sistema operativo instalado, o tipo de server e a
localização (figura 1).
3-3
Os objectos, dentro do Active Directory, são organizados de forma hierárquica. A figura seguinte
representa visualmente essa organização.
Em termos práticos, este modelo de organização, coincide com a organização dos objectos em classes.
Estas classes são, naturalmente, agrupamentos lógicos de objectos. Exemplos de object classes são contas
de utilizadores, computadores, grupos ou domínios.
Nota
Alguns objectos podem conter outros objectos. Por esse facto são designados como containers. Por
exemplo, um domínio é um container que pode conter computadores, contas de utilizadores e outros
objectos.
Active Directory Schema
O schema do Active Directory contém a definição de todos os tipos de objectos e respectivos atributos que
podem ser guardados.
No schema existem dois tipos de definições possíveis: object classes e atributos. Por vezes, os atributos e
as classes são referidos genericamente como schema objects ou metadata.
Os object classes definem os tipos de objectos que podem ser guardados no Active Directory. Cada classe
consiste de um class name e de um conjunto de atributos associados. Estes atributos permitem caracterizar
os objectos criados a partir dessa classe. Cada objecto em Active Directory é sempre criado a partir de uma
classe e constitui uma instância dessa classe. Por exemplo, a classe Users (Utilizadores) é composta de
muitos atributos. Destes, podemos destacar o Nome, o Endereço de Rede, o Nome de Login, e por aí
adiante.
Os atributos são definidos independentemente das classes. Quer dizer, cada atributo é definido uma única
vez e é utilizável em qualquer classe. Por exemplo, o atributo Descrição é usado em muitas classes. No
entanto, no schema, só foi definido uma vez. Esta forma de organização da informação garante a
consistência da mesma.
3-4
Com a instalação do Windows Server e do Active Directory é instalado um schema contendo um conjunto
básico de classes e atributos. É, no entanto, possível criar novas classes e atributos e associar estes novos
atributos a classes existentes. Estas operações são operações avançadas e com possíveis consequências
sérias. Devem apenas ser executadas por pessoas com formação específica.
Para prevenir qualquer tentativa de alteração do schema por utilizadores sem permissão para o efeito, cada
objecto está seguro através de listas de controlo de acesso designadas por ACLs (Access Control Lists)
A instalação do serviço poderá ser efectuada executando o seguinte procedimento:
No menu Iniciar escolher a opção Executar…

Na caixa de diálogo escrever a expressão dcpromo.
Este procedimento activa o assistente de configuração de um novo controlador de domínio baseado no

serviço Active Directory.
A estrutura do Active Directory
O Active Directory é constituído por duas estruturas distintas: a estrutura lógica e a estrutura física. Os
aspectos relativos à estrutura lógica são tratados quando se desenha a implementação do Active Directory.
Os aspectos relativos à estrutura física estão relacionados com a colocação física dos vários componentes
na rede.
A estrutura lógica é representada pelos seguintes componentes Active Directory: Domains, Organizational
Units (OUs), Trees e Forests.
A estrutura física é representada pelos componentes: Sites e Domain Controllers (DCs).
Estrutura Lógica
Em Active Directory, os recursos da rede devem ser organizados de forma a que reflictam tanto quanto
possível a estrutura lógica da própria organização. Este agrupamento lógico torna a estrutura física
transparente para o utilizador, o que permite que um recurso possa ser encontrado a partir do respectivo
nome e não da sua localização física.
A figura seguinte ilustra as relações entre os vários componentes Active Directory.
3-5
Domains
O Domain é um dos elementos fundamentais da estrutura lógica do Active Directory. Qualquer objecto da
rede está sempre associado a um Domain. Cada Domain guarda informação apenas sobre os objectos que
lhe estão atribuídos.
O Active Directory é composto por um ou mais Domains, podendo um Domain ocupar mais que uma
localização física.
Um Domain é uma zona de segurança de alguma forma isolada. Todas as definições de segurança existem
dentro do Domain onde foram criadas. Os administradores de Domain têm controlo total sobre essas
definições, dentro do Domain considerado.
Para controlar o acesso aos objectos existentes num Domain existem as Access Control Lists (ACLs). Estas
listas contêm as permissões de acesso associadas a cada objecto. Nelas estão definidos que utilizadores
têm acesso e qual o tipo de acesso que cada um tem.
Organizational Units
As Organizational Units (OU) são objectos do tipo container usados para organizar objectos dentro de um
Domain.
Normalmente, a estrutura das OUs é criada com base no modelo administrativo da organização. Esta forma
de organização tem sentido porque, criar novos utilizadores ou definir pontualmente privilégios pode ser feito
ao nível local. Duma maneira geral, objectos que sejam administrados por um administrador de rede, ou por
um grupo de administradores, ou objectos que tenham permissões de acesso e definição de privilégios de
administração atribuídos de uma forma uniforme, devem ser agrupados em OUs.
Também é possível organizar as OUs por departamento ou por localização geográfica. Este tipo de
organização, no entanto, não é tão vulgar como o baseado no modelo administrativo.
As OUs contêm normalmente objectos do tipo Utilizadores, Grupos, Computadores, Impressoras e,

eventualmente, outras OUs. A estrutura organizacional das OUs dentro de um Domain é independente da
estrutura adoptada para organizar as OUs noutros Domains.
3-6
A administração de objectos dentro das OUs pode ser delegada. Na realidade, as OUs são a unidade de
organização mais pequena, dentro do Active Directory, a que se pode delegar poderes de administração.
Isto significa que, uma vez definidos os objectos pertencentes a determinada OU é possível atribuir
permissões para gerir esses objectos a grupos que não os domain administrators.
Trees
Uma Tree é um grupo de um ou mais domains organizados de forma hierárquica. O primeiro Domain
instalado numa rede Windows 2000 corresponde ao root domain. Todos os Domains subsequentes são
instalados abaixo deste root domain, estabelecendo uma relação child-parent.
Quando existem vários Domains organizados em Trees, diz-se que eles partilham um contiguous
namespace e uma estrutura hierárquica de nomes. Por exemplo, na implementação de um Active Directory é
instalado um root domain chamado “winsoft.com”. Vamos supor que, em seguida, é instalado um segundo
Domain, como child domain do primeiro. O nome atribuído a este segundo Domain é, por hipótese, “lisboa”.
O nome completo deste último Domain é lisboa.winsoft.com. Como podemos observar, o Domain herda
parte do seu nome do root domain. Este comportamento mantém a natureza hierárquica do Active Directory.
A figura seguinte ilustra este processo de herança de nomes. winsoft.com é o parent domain e
lisboa.winsoft.com e faro.winsoft.com são os seus child domains. O prod.lisboa.winsoft.com é child domain
do lisboa.winsoft.com:
Este esquema de nomes reflecte o esquema usado no DNS (Domain Name System). O DNS é uma parte
chave das redes Windows 2000. O nome dos Domains são baseados nos standards DNS: o nome de
Domain de um child domain é o nome desse chid domain seguido do nome do parent domain.
Todos os Domains dentro de uma Tree partilham um schema comum. Recordemos que o schema contém a
definição de todos os tipos de objectos que podem ser guardados num Active Directory.
Também todos os Domains dentro de uma Tree partilham um global catalog comum. Veremos, mais adiante,
que o global catalogue é um repositório central de informações sobre os objectos numa Tree.
3-7
Forests
Uma Forest é uma colecção de Trees. As Trees numa Forest não têm de partilhar um contiguous
namespace. Contudo têm de partilhar um schema e um global catalog comuns. Por exemplo, vamos supor
que existem duas Trees, uma chamada winsoft.com e outra chamada winhard.com. Estas duas Trees
podem ser juntas, criando uma Forest, através da criação implícita de uma relação de confiança
bidireccional (two-way trust relationship), ou seja, utilizadores registados em winsoft.com podem aceder a
recursos existentes em winhard.com e vice-versa.
Na figura seguinte, as Trees winsoft.com e winhard.com formam uma Forest. O namespace é contíguo
apenas dentro de cada Tree.
Estrutura Física
A estrutura física do Active Directory é usada para gerir o tráfego na rede. É constituída por dois
componentes: Domain Controllers e Sites.
O desenho físico da rede está separado e é distinto do desenho da camada lógica. No entanto, combinando
ambos os elementos físicos e lógicos da rede, é possível optimizar a performance das redes Windows 2000.
Domain Controllers
Um domain controller é um computador com Windows 2000 Server instalado, que contém uma réplica da
base de dados Active Directory. Tem como função gerir o acesso aos dados existentes nessa base de dados
assim como permitir a respectiva alteração sempre que necessário.
Cada domain pode conter um ou mais domain controllers. Uma rede pequena pode conter apenas dois
domain controllers, mas, por razões de tolerância a falhas, nunca menos do que dois, enquanto que uma
rede grande pode conter centenas de domain controllers.
Todos os domain controllers num domain contêm uma réplica da base de dados Active Directory. Quando
um destes domain controllers aceita qualquer alteração à base de dados, ele tem de replicar essas
alterações para todos os outros domain controllers existentes no domain.
Em Active Directory todos os domain controller são iguais. Não existe um master domain controller. Cada
domain controller tem a capacidade de aceitar alterações à base de dados. O processo de replicação no
Active Directory garante que todos os domain controllers recebem cópias destas alterações. Como,
obviamente, isto não pode suceder em tempo real, podem existir curtos períodos de tempo em que o
conteúdo de uma réplica não coincide com o conteúdo de outras réplicas.
3-8
É possível controlar a frequência das replicações assim como a quantidade de dados replicados de cada
vez. No entanto, existem determinadas alterações, como, por exemplo, o desactivar de uma conta de
utilizador que é imediatamente replicada.
Para além das tarefas referidas, os domain controllers também gerem todos os aspectos relacionados com
as acções dos utilizadores, como, por exemplo, a respectiva validação quando do logon.
Sites
Um Site pode ser definido como um grupo de um ou mais Internet Protocol (IP) subnets conectadas por
linhas de alta velocidade. Os sites são usados numa rede para optimizar o tráfego das acções de replicação
assim como a autenticação de utilizadores.
As IP subnets colocadas dentro de um site são consideradas como tendo conexões rápidas. Ou seja, ao
criar um site contendo um grupo de IP subnets está-se implicitamente a indicar ao Windows 2000 que as
comunicações entre as subnets consideradas são rápidas e eficientes. A inversa também é verdadeira:
colocando duas IP subnets em diferentes sites, está-se implicitamente a indicar ao Windows 2000 que essas
IP subnets estão separadas por linhas lentas e ineficientes. Esta informação é usada pelo Active Directory
nas acções de replicação.
3-9
B - Planeamento do Active Directory

Factores a considerar para o desenho da estrutura de domínios
A estrutura geográfica e funcional da organização
Um dos primeiros factores a ter em consideração no desenho da estrutura de domínios para implementação
dos serviços de Active Directory é a estrutura da própria organização.
As imagens seguintes apresentam exemplos esquemáticos de organizações com diferentes estruturas

funcionais e diferente dimensão geográfica.
3-10
A análise da infra-estrutura física em termos de postos de trabalho, de fluxo de tráfego e do tipo de ligações
existentes, são factores importantes no desenho lógico da arquitectura de Active Directory para a
organização.
Administração dos recursos de rede
A administração dos recursos de rede depende da dimensão, estrutura e necessidades de cada

organização. Vários modelos e combinações de modelos de administração são possíveis.
Administração centralizada
Neste modelo existe um único grupo que se encarrega das tarefas de administração de toda a rede da
organização.
3-11
Administração descentralizada
Neste modelo, o sistema de administração de recursos de rede é descentralizado, quer por áreas
geográficas quer por áreas funcionais.
Modelos mistos
Num modelo misto, podem coexistir sistemas de administração centralizada com sistemas de administração
descentralizada
3-12
A estrutura de domínios
Domínio único
Um simples domínio pode abranger múltiplos sites (mesmo sites geograficamente dispersos) e conter
milhões de objectos. Por seu lado, cada site pode conter utilizadores e computadores pertencentes a
múltiplos domínios.
Um domínio único pode, por sua vez, criar sistemas de delegação e descentralização através da criação de
OU (organizational units).
3-13
Árvores
Tendo em conta os factores organizacionais, a criação de uma árvore de domínios pode ser a solução mais
adequada para a implementação dos serviços de Active Directory numa organização.
Florestas
Em determinadas circunstâncias, a organização lógica mais adequada é a criação de múltiplos domínios
organizados numa floresta. Este tipo de organização pode justificar-se quando o sistema é um conjunto de
organizações em parceria com modelos organizacionais diferentes.
3-14
Factores que justificam a criação de vários domínios
Administração descentralizada
A necessidade de uma administração descentralizada, pode ser um dos factores que justifiquem a criação
de múltiplos domínios.
Controlo de replicação
A necessidade de controlar a replicação entre vários estabelecimentos pode ser um dos factores que podem
justificar a criação de diferentes domínios.
Diferentes requisitos de passwords
A existência de diferentes requisitos de passwords entre as unidades da organização, podem ser um dos
factores que podem justificar a criação de diferentes domínios.
Diferentes nomes de domínios
A existência de diferentes Internet domain names pode ser um factor que justifique a criação de múltiplos
domínios, incluindo a criação de árvores e florestas.
Requisitos de internacionalização
Em organizações internacionais, podem existir requisitos que impliquem a criação de múltiplos domínios,
incluindo a sua organização em floresta.
3-15
Árvores, florestas e DNS
Os diferentes conceitos de domínio
A palavra domínio pode ser utilizada com dois sentidos diferentes:
• Um domínio no contexto do sistema operativo Windows e Active Directory e que constitui um

grupo de computadores e outros dispositivos centralmente administrados como uma unidade;
• Um domínio no contexto do DNS (Domain Name System) que representa um nó na hierarquia

do domain name space da estrutura hierárquica da base de dados DNS.
Domínios em Windows e Active Directory
Na Active Directory do Windows, um domínio é um agrupamento lógico de computadores e outros

dispositivos definido por um administrador de uma rede baseada em Windows Server.
Num domínio, os computadores participantes partilham uma base de dados de directório central.
Um domínio possui um nome único e proporciona o acesso a contas de utilizadores e grupos

centralizados e que são mantidos pelo administrador do domínio.
3-16
A Active Directory é constituída por um ou mais domínios. Cada domínio pode ser constituído por
várias OU (organizational units) e abranger mais do que uma localização física.
Domínios do DNS (Domain Name System)
DNS (Domain Name System)
O domain name system (DNS) é um sistema hierárquico utilizado para identificar hosts na Internet e
em internets privadas. As principais funcionalidades disponibilizadas pelo sistema DNS são as seguintes:
• O DNS proporciona um sistema que permite identificar os hosts de uma internet através de
nomes simbólicos (como, por exemplo, abc.com) em vez do seu endereço IP.
• Uma base de dados distribuída implementada em name servers localizados em vários pontos
da internet e destinada a manter listas de nomes simbólicos e dos respectivos endereços IP
• Um método de localização de hosts, através do processo de resolução (tradução) dos seus
nomes simbólicos em endereços IP, por forma a que eles possam ser localizados na internet.
3-17
DNS Namespace
O domain name system (DNS) é constituído por uma hierarquia de domínios, tendo, no topo, o domínio
designado por root domain (representado por um ponto). Abaixo do root domain surgem os top level
domains e, abaixo, dos top level domains, os second level domains e assim sucessivamente até aos hosts.
Esta estrutura hierárquica de nomes de domínios é designada por DNS namespace.
FQDN (Fully Qualified Domain Name)
FQDN - Fully Qualified Domain Name é o método de referenciar domínios e hosts na hierarquia do
domain name space. Na imagem, podemos observar que o domínio abc é um subdomínio do domínio com.
Para representar esse domínio através de um FQDN, utiliza-se a separação dos domínios e subdomínios
através de pontos (.). No caso do subdomínio abc, o seu FQDN será abc.com.
3-18
Namespaces contíguos e não contíguos
Num namespace contíguo, qualquer subdomínio contém sempre a referência ao domínio de nível mais
elevado.
3-19
Árvores e florestas
Domain tree
Uma árvore ou domain tree é um agrupamento de domínios Windows 2000 que são criados quando existe
uma hierarquia de namespaces contíguos, através da criação de um ou mais domínios child (filhos) a partir
de um domínio parent (pai).
A organização dos domínios Windows 2000 em árvore, justifica-se quando é possível criar um conjunto de
domínios com namespaces contíguos.
3-20
Floresta
Justifica-se a estruturação de domínios Windows 2000 em floresta, quando os domínios não partilham
um namespace contíguo.
3-21
A estrutura de namespaces para domínios
Planeamento do DNS namespace para Active Directory
Os domínios em Active Directory utilizam o esquema de nomes DNS. O planeamento da

implementação de um sistema de Active Directory torna necessário que se considerem os seguintes
factores.
3-22
Namespace interno igual ao namespace externo
A imagem seguinte sugere a utilização do mesmo nome de domínio abc.com quer para a componente
externa de exposição pública na Internet, quer para a rede interna privada.
Na configuração da imagem seguinte deve existir uma zona DNS da parte de fora do firewall, destinada à
resolução de nomes para os recursos publicamente expostos na Internet. Esta DNS zone não está
configurada para a resolução dos endereços da rede privada interna, protegendo assim os recursos internos
dos acessos exteriores.
3-23
Namespace interno diferente do namespace externo
Neste caso, o namespace externo fora do firewall e em contacto com a Internet é abc.com. Internamente, o
namespace do domínio tem como domínio principal xyz.com. Observe a figura seguinte.
3-24
A estruturação de OU-Organizational Units
Dentro de um domínio pode ser criada uma estrutura hierárquica de OUs-Organizational Units.
A hierarquia das OUs pode ser criada de acordo com a estrutura funcional ou geográfica da
organização.
3-25
Unidade 4
Administração de direitos e perfis de utilizadores
Saber o que são perfis de utilizador.

Distinguir entre perfis locais e perfis remotos.
Saber criar perfis locais e perfis remotos.
Saber criar um perfil obrigatório.
Conhecer os direitos de utilizador existentes no sistema operativo.
Identificar os privilégios associados a grupos de utilizador.
Saber atribuir direitos de utilizador.
Sumário:
Os perfis de utilizador são um mecanismo importante para associar um conjunto de preferências e

configurações de um utilizador à sua conta. Nesta unidade, será apresentada a forma de criação destes
perfis e o seu armazenamento no computador local ou num servidor na rede. Será também efectuada a
criação de um perfil de utilizador obrigatório.
Finalmente, os conceitos de direitos de utilizador e privilégios de utilizador serão apresentados bem como as
tarefas de gestão e atribuição de direitos de utilizador e privilégios.
4-1
A - Perfis de utilizador
Perfis de utilizador
Em computadores onde esteja a ser executado o Windows 2000, os perfis do utilizador são criados automaticamente e
mantêm as definições do ambiente de trabalho para o ambiente de trabalho de cada um dos utilizadores no
computador local.
Um perfil de utilizador é criado sempre que este ou esta inicia a sessão num computador pela primeira vez.
Os perfis de utilizador fornecem diversas vantagens aos utilizadores:
O mesmo computador pode ser acedido por um ou mais utilizadores de cada vez e cada um deles recebe
definições do ambiente de trabalho quando inicia a sessão.
Quando os utilizadores iniciam a sessão na sua estação de trabalho, recebem as definições do ambiente de
trabalho tal como estas existiam antes de terminarem a sessão anterior.
A personalização do ambiente de trabalho efectuada por um dos utilizadores não afecta as definições de outro
utilizador.
Os perfis de utilizador podem ser guardados um servidor por forma a estarem disponíveis para os utilizadores
em qualquer computador da rede que execute o Windows NT 4.0 ou Windows 2000. Estes são os chamados
perfis de utilizador guardados no servidor.
Como uma ferramenta administrativa, os perfis de utilizador fornecem estas opções:
Pode criar um perfil de utilizador predefinido apropriado às tarefas do utilizador.

Pode definir um perfil de utilizador obrigatório que não guarde as alterações do ambiente de trabalho efectuadas pelo
utilizador. Os utilizadores podem modificar as definições do ambiente de trabalho do computador enquanto quando a
sessão é iniciada, mas nenhuma destas alterações é guardada uma vez terminada a sessão. As definições do perfil
obrigatório são partilhadas com o computador local de cada vez que o utilizador inicia a sessão.
Pode especificar as definições do utilizador predefinidas a ser incluídas em cada perfil de utilizador individual.
Os perfis de utilizador inicialmente são uma cópia do Utilizador predefinido, que é um perfil de utilizador predefinido e
armazenado em todos os computadores com o Windows 2000.
O ficheiro NTuser.dat, localizado no Utilizador predefinido, mostra as definições de configuração do registo do

Windows 2000. Os perfis de utilizador utilizam igualmente grupos de programas comuns, localizados na pasta Todos os
utilizadores.
Os perfis de utilizador contêm a seguinte informação:
Dados específicos de programas—por exemplo, um dicionário personalizado.
Informações e preferências do utilizador.
Itens do ambiente de trabalho, incluindo ficheiros, atalhos e pastas.
Atalhos para as localizações preferidas na Internet.
O histórico e ficheiros temporários. documentos do utilizador.
4-2
Itens de imagem do utilizador.
Atalhos para itens de Os meus locais na rede.
Atalhos para os itens da pasta da impressora.
Atalhos para os documentos utilizados e as pastas acedidas mais recentemente.
Entre outras...
Perfis locais
Os perfis de utilizador locais são armazenados no computador onde o utilizador inicia a sessão. A
informação sobre o perfil de utilizador local é armazenada na directoria \Documentos e
definições\Nome_do_utilizador.
Da primeira vez que inicia a sessão num computador, é criado um perfil de utilizador local que é armazenado
no disco rígido do computador. Quaisquer alterações efectuadas no seu perfil de utilizador local são
específicas do computador onde efectuou essas alterações.
4-3
Perfis remotos
Os perfis de utilizador remoto são armazenados no servidor. Quando o utilizador inicia uma sessão em
qualquer computador pertencente ao domínio em que se encontra o servidor com o seu perfil, visualiza as
configurações que fazem parte do seu perfil de utilizador.
O administrador de sistema cria um perfil de utilizador que é armazenado no servidor. Este perfil está
disponível de cada vez que inicia a sessão em qualquer computador da rede. As alterações ao perfil de
utilizador guardado no servidor são actualizadas no servidor.
4-4
Criar um perfil de utilizador remoto
Para criar um perfil remoto é necessário em primeiro lugar criar uma pasta no servidor que contenha as
pastas e ficheiros de perfil do utilizador.
Em seguida, no utilitário Computadores e utilizadores do Active Directory, seleccione a conta de utilizador

para a qual deseja criar um perfil remoto e aceda às suas propriedades.
O separador Perfil, da janela Propriedades, permite configurar os perfis de utilizador remotos.
4-5
Escolha o caminho onde devem ser guardadas as informações de perfil do utilizador.

Da próxima vez que o utilizador iniciar uma sessão em qualquer computador pertencente ao domínio, o
Windows irá à procura das informações do perfil no caminho especificado nas propriedades da conta.
Como, no entanto se trata da primeira vez que o utilizador inicia uma sessão com o novo perfil, a directoria
no servidor encontra-se vazia, pelo que o Windows copia para o servidor o perfil de Utilizador pré-definido.
O perfil de Utilizador pré-definido serve de base para todos novos perfis de utilizador. Todos os perfis de
utilizador começam como uma cópia do perfil de utilizador predefinido.
4-6
Criar um perfil de utilizador pré - definido
É possível criar um perfil num computador e depois utilizá-lo em várias contas existentes no domínio. Para
isso é necessário fazer as configurações desejadas num posto de trabalho e posteriormente copiar o perfil
para o servidor.
O separador Perfis de utilizador contém os perfis existentes no sistema.
O botão Copiar para permite copiar o perfil criado no sistema local para o servidor.
4-7
Criar um Perfil obrigatório
O ficheiro NTUser.dat contêm as definições dos perfis do utilizador e encontra-se na directoria principal do
perfil no servidor.
Para tornar o perfil obrigatório, a extensão do ficheiro deve ser alterada para .man (mandatory)
4-8
B - Direitos de utilizador
Direitos de utilizador
Os direitos de utilizador autorizam os utilizadores a desempenhar acções específicas, tais como iniciar
sessão num sistema interactivamente ou efectuar cópias de segurança de ficheiros e directórios.
Os administradores podem atribuir direitos específicos a contas de grupos ou de utilizadores individuais.

Estes direitos autorizam os utilizadores a desempenhar acções específicas, tais como iniciar sessão num
sistema interactivamente ou efectuar cópias de segurança de ficheiros e directórios. Os direitos de utilizador
são diferentes das permissões porque os direitos aplicam-se a contas de utilizador e as permissões estão
ligadas a objectos.
Os direitos de utilizador definem as capacidades ao nível local. Apesar dos direitos de utilizador poderem ser
aplicados a contas de utilizador individual, estes são melhor administrados com base em contas de grupo.
Isto garante que um utilizador que inicie sessão como membro de um grupo herde automaticamente os
direitos associados a esse grupo. A atribuição de direitos de utilizador a grupos, em vez de utilizadores
individuais, simplifica a tarefa de administrar contas de utilizador. Quando todos os utilizadores de um grupo
requererem os mesmos direitos de utilizador, pode atribuir o conjunto de direitos de utilizador ao grupo de
uma só vez, em vez de atribuir repetidamente o mesmo conjunto de direitos a cada conta de utilizador
individual.
Os direitos de utilizador atribuídos a um grupo são aplicados a todos os membros do grupo enquanto estes
forem membros. Se um utilizador for membro de vários grupos, os direitos de utilizador são cumulativos, o
que significa que o utilizador tem mais do que um conjunto de direitos. A única situação em que os direitos
atribuídos a um grupo poderão entrar em conflito com aqueles atribuídos a outro grupo será no caso de
determinados direitos de início de sessão. No entanto, geralmente, os direitos de utilizador atribuídos a um
grupo não entram em conflito os direitos atribuídos a outro grupo. Para remover os direitos a um utilizador, o
administrador simplesmente remove o utilizador do grupo. Neste caso, o utilizador deixa de ter os direitos
atribuídos a esse grupo.
4-9
O utilitário Definições de segurança permite-lhe visualizar os direitos de utilizador existentes.
Privilégios
Os privilégios são acções que os utilizadores podem executar na rede.
4-10
EXEMPLOS DE PRIVILÉGIOS:
Privilégio Descrição
Este privilégio permite que um processo seja autenticado como qualquer

utilizador e, portanto, aceder aos mesmos recursos como qualquer
utilizador. Apenas os serviços de autenticação de baixo nível deverão
requerer este privilégio.
O acesso potencial não se limita ao que estiver associado ao utilizador
por predefinição, dado que o processo de chamada pode requerer que acessos
Actuar como parte do
adicionais arbitrários sejam colocados no token de acesso. Um facto que
sistema operativo
requer maior atenção será o do processo de chamada poder criar um token
anónimo que fornece todos os tipos de acesso. Além disso, este token não
fornece uma identidade primária para localizar eventos no registo de auditoria.
Os processos que requerem este privilégio devem utilizar a conta
LocalSystem, que já inclui este privilégio, em vez de utilizar uma conta de
utilizador separada com este privilégio especialmente atribuído.
Permite ao utilizador adicionar um computador a um domínio específico. O
utilizdor especifica o domínio através de uma interface de utilizador
administrativa no computador a ser adicionado, criando um objecto no
Adicionar estações de
contentor Computador do Active Directory. O comportamento deste privilégio
trabalho ao domínio
é duplicado no Windows 2000 através de outro mecanismo de controlo de
acesso (permissões anexas ao contentor Computador ou unidade
organizacional).
Permite ao utilizador evitar permissões de ficheiros e directórios para que estes
Efectuar cópias de efectuem cópias de segurança. Especificamente, este privilégio equivale a
segurança de ficheiros e conceder as seguintes permissões a todos os ficheiros e pastas no computador
directórios local: Atravessar pasta/Executar ficheiro, Listar pasta/Ler dados, Ler atributos,
Ler atributos expandidos e Ler permissões.
Permite ao utilizador atravessar directórios a que de outra forma não teria
Ignorar verificação de acesso, enquanto navega num caminho de objecto em qualquer sistema de
percurso ficheiros Windows ou no registo. Este privilégio não permite ao utilizador listar o
conteúdo de um directório, mas apenas atravessar directórios.
Alterar a hora do sistema Permite ao utilizador definir a hora do relógio interno do computador.
Permite que um processo crie um token que pode ser utilizado para aceder a
quaisquer recursos locais, quando o processo utiliza NtCreateToken() ou
outras APIs de criação de tokens.
Criar um objecto token
Recomenda-se que os processos que requeiram este privilégio utilizem a
conta LocalSystem, que já inclui este privilégio, em vez de utilizarem uma conta
de utilizador separada com este privilégio especialmente atribuído.
Permite que um processo crie um objecto de directório no gestor de objectos
do Windows 2000. Este privilégio é útil para componentes de modo de kernel
Criar objectos partilhados
que planeiem expandir o espaço de nomes de objectos no Windows 2000.
permanentes
Dado que os componentes a executarem em modo de kernel já têm este
privilégio atribuído, não é necessário atribuí-lo especificamente.
Permite ao utilizador criar e alterar o tamanho de um ficheiro de página. Isto é
efectuado especificando o tamanho do ficheiro de página para uma
Criar um ficheiro de página
determinada unidade nas Opções de desempenho das Propriedades do
sistema.
4-11
Permite ao utilizador anexar um depurador a qualquer processo. Este privilégio

Programas de depuração permite um poderoso acesso a componentes sensíveis e críticos do sistema
operativo.
Permite ao utilizador configurar a definição Fidedigno para delegação num
objecto de utilizador ou computador. O utilizador ou objecto a quem é
concedido este privilégio tem de ter acesso de escrita aos sinalizadores de
controlo de conta no objecto de utilizador ou computador. Um processo de
servidor a ser executado num computador fidedigno para delegação ou por um
Activar a propriedade
utilizador fidedigno para delegação pode aceder a recursos noutro computador.
Fidedigno para delegação
Isto utiliza as credenciais delegadas de um cliente, desde que a conta de
nas contas de utilizador e
cliente não tenha o sinalizador de controlo de conta A conta não pode ser
computador
delegada esteja definido. A má utilização deste privilégio ou das definições
Fidedigno para delegação poderá tornar a rede vulnerável a ataques
sofisticados utilizando programas de Cavalo de Tróia que assumem a
identidade de clientes de entrada e utilizam as suas credenciais para acederem
aos recursos da rede.
Forçar o encerramento de Permite ao utilizador encerrar um computador a partir de uma localização
um sistema remoto remota na rede.
Permite que um processo efectue entradas no registo de segurança para
Gerar auditorias de auditar o acesso a objectos. O processo também pode gerar outras auditorias
segurança de segurança. O registo de segurança é utilizado para analisar o acesso não
autorizado ao sistema.
Permite que um processo com propriedade de escrita tenha acesso a outro
processo para aumentar a quota de processador atribuída a este. Este
Aumentar quotas
privilégio é útil para optimizar o sistema, mas é susceptível a abusos, como,
por exemplo, num ataque de recusa de serviços.
Permite que um processo com propriedade de escrita tenha acesso a outro
Aumentar prioridade de processo para aumentar a prioridade de execução deste. Um utilizador com
programação este privilégio pode alterar a prioridade de programação de um processo
através da interface de utilizador Gestor de tarefas.
Permite a um utilizador instalar e desinstalar controladores de dispositivos Plug
and Play. Os controladores de dispositivos que não sejam Plug and Play não
são afectados por este privilégio e só pode ser instalado pelos administradores.
Carregar e descarregar
Dado que os controladores de dispositivo são executados como programas
controladores de dispositivo
fidedignos (altamente privilegiados), este privilégio pode ser utilizado de forma
ilícita para instalar programas hostis e conceder a estes programas acesso
destrutivo aos recursos.
Permite que um processo mantenha os dados na memória física, evitando que
Bloquear páginas na o sistema pagine os dados para a memória virtual no disco. O exercício deste
memória privilégio pode afectar de forma significativa o desempenho do sistema. Este
privilégio é obsoleto e, por conseguinte, nunca é seleccionado.
Permite a um utilizador especificar as opções de auditoria ao acesso a objectos
para recursos individuais, tais como ficheiros, objectos do Active Directory e
chaves de registo. A auditoria ao acesso a objectos não é efectuada, de facto,
a menos que a tenha activado nas definições de política de auditoria do
Gerir auditorias e registos
computador da Política de grupo ou política de grupo definida no Active
de segurança
Directory. Este privilégio não concede acesso à política de auditoria do
computador.
Um utilizador com este privilégio também pode visualizar e limpar o
registo de segurança do visualizador de eventos.
Modificar valores de Permite a alteração das variáveis de ambiente do sistema, quer por um
4-12
ambiente firmware utilizador através das Propriedades do sistema ou de um processo.

Permite a utilização das ferramentas de monitorização do desempenho do
Traçar perfil de um único
Windows NT e Windows 2000 para que o utilizador monitorize o desempenho
processo
de processos que não pertençam ao sistema.
Permite a utilização das ferramentas de monitorização do desempenho do
Traçar perfil do desempenho
Windows NT e Windows 2000 para que o utilizador monitorize o desempenho
do sistema
de processos do sistema.
Substituir um token de nível Permite que um processo substitua o token predefinido associado a um sub-
de processo processo que tenha sido iniciado.
Permite ao utilizador evitar permissões de ficheiros e directórios quando
restaurar ficheiros e directórios com cópias de segurança e definir qualquer
Restaurar ficheiros e
membro de segurança principal válido como proprietário de um objecto.
directórios
Consulte também o privilégio Efectuar cópias de segurança de ficheiros e
directórios.
Encerrar o sistema Permite ao utilizador encerrar o computador local.
Permite ao utilizador obter propriedade de qualquer objecto passível de ser
Obter propriedade de
protegido no sistema, incluindo os objectos, ficheiros e pastas do Active
ficheiros ou outros objectos
Directory, impressoras, chaves de registo, processos e threads.
Desbloquear um Permite ao utilizador desancorar um computador portátil com a interface de
computador portátil utilizador do Windows 2000.
Direitos de início de sessão
4-13
Os direitos de início de sessão determinam a forma como um utilizador pode iniciar uma sessão.
EXEMPLOS DE DIREITOS DE SESSÃO:
Direito de início de
Descrição
sessão
Aceder a este
Permite que um utilizador se ligue ao computador através da rede. Por predefinição,
computador a partir
este privilégio é concedido a Administradores, Todos e Utilizadores avançados.
de uma rede
Iniciar a sessão Permite ao utilizador iniciar a sessão utilizando uma funcionalidade batch-queue. Por
como tarefa batch predefinição este privilégio é concedido aos Administradores.
permite ao gestor de segurança iniciar a sessão como serviço, como forma de
estabelecer o contexto de segurança. A conta de Sistema local retém sempre o início
Iniciar sessão como
correcto como serviço. Este direito deve ser concedido a qualquer serviço que seja
serviço
executado numa conta separada. Por predefinição, este direito não é concedido a
ninguém.
Permite ao utilizador o início de sessão num teclado de computador. Por predefinição,
Iniciar sessão
este direito é concedido a Administradores, Operadores de contas, Operadores de
localmente
cópias de segurança, Operadores de impressão e Operadores de serviço.
Atribuir direitos de utilizador
O utilitário Políticas de segurança de domínio permite atribuir direitos de utilizador a grupos e utilizadores.
4-14
Para atribuir um direito a um utilizador ou a um grupo seleccione o direito a atribuir e escolha a opção
Segurança do menu Acção.
Na janela Definição de política de segurança, seleccione Adicionar.
Na caixa Adicionar utilizador ou grupo execute um clique em Procurar para obter a lista de utilizadores e
grupos disponíveis.
A janela Seleccionar utilizadores e grupos permite-lhe adicionar grupos e utilizadores aos quais irão ser
atribuídos os direitos.
4-15
4-16
Unidade 5
Gestão de contas de utilizador
Distinguir entre contas de utilizador local e contas de utilizador de domínio.

Conhecer as contas incorporadas do Windows.
Saber criar contas de utilizador e definir as suas propriedades.
Saber efectuar as tarefas básicas de gestão de contas de utlizador.
Utilizar a ferramenta Executar como para a realização de tarefas administrativas.
Sumário:
A unidade Gestão de contas de utilizador tem por objectivo demonstrar as tarefas básicas da gestão de
contas de utilizador do Windows Server. Nesta unidade serão apresentadas as principais configurações e
propriedades de uma conta de utilizador.
Quando trabalhamos com contas de utilizador de domínio, estas são um objecto muito importante do serviço
Active Directory. São elas que identificam os utilizadores na rede e permitem ao sistema de segurança do
Windows registar a sua actividade. As contas de utilizador podem também ser utilizadas como um registo na
base central do directório para armazenar informações sobre os colaboradores de uma empresa podendo
ser posteriormente integradas em sistemas de informação como o Microsoft Exchange.
Finalmente, será utilizada a ferramenta Executar como… para demonstrar que as contas de administração
de um computador ou de um domínio apenas deve ser utilizadas para realizar as tarefas que requerem o
tipo de privilégios associados a essas contas..
5-1
A - Tipos de contas de utilizador

Contas de utilizador locais
As contas de utilizador permitem a um utilizador iniciar uma sessão num domínio para aceder a recursos
de rede ou num computador para aceder a recursos locais.
Cada pessoa que utiliza regularmente um computador ou uma rede local deve possuir a sua própria conta
de utilizador.
As contas de utilizador locais permitem a apenas iniciar uma sessão no computador onde é feita a
autenticação e aceder aos recursos locais.
A conta de utilizador reside na base de dados de segurança local, que contem as contas de utilizadores
para esse computador.
Com uma conta de utilizador local não é possível aceder a recursos existentes num domínio.
Os administradores de domínio não podem administrar de uma forma centralizada as contas de utilizador
locais
5-2
Contas de utilizador de domínio
As contas de utilizador de domínio permitem ao utilizador iniciar uma sessão no domínio e aceder aos
recursos existentes numa rede Windows 2000.
As contas de domínio fazem parte da base de dados da Active Directory.No caso de existir mais que um
controlador de domínio as contas são actualizadas em todos os controladores.
Quando o utilizador inicia a sessão e é autenticado pelo controlador de domínio é criado um bilhete de
acesso (access token), que é utilizado até ao final da sessão.
O bilhete de acesso consiste num conjunto de dados de identificação emitido por um controlador de domínio
para fins de autenticação do utilizador no acesso aos recursos de rede.
5-3
Contas incorporadas
Quando o Windows é instalado num computador são criadas automaticamente contas incorporadas
(Built-in accounts).
Administrador (Administrator)
A conta de administração é utilizada para gerir as configurações do computador ou do domínio como

por exemplo a criação de contas de utilizadores e grupos, criação e implementação de políticas de
segurança.
Convidado (Guest)
A conta de convidado possuí privilégios limitados. É utilizada por utilizadores que apenas pretendam
iniciar uma sessão e aceder a recursos de rede.
A conta de Convidado encontra-se desactivada por defeito.
5-4
B - Administração de contas de utilizador

Criar uma conta de utilizador local
As contas de utilizador local são criadas através do utilitário Gestão de computadores, na pasta
Ferramentas administrativas.
O utilitário Gestão de computadores efectuar alterações à configuração do computador. É possível criar,

alterar ou eliminar grupos e utilizadores locais através deste utilitário.
Para criar um novo utilizador escolha a pasta Grupos e utilizadores locais, no utilitário Gestão de
computadores.
De seguida escolha a pasta Utilizadores e efectue um clique no botão direito do rato para accionar o menu
de contexto.Escolha finalmente a opção Novo Utilizador para criar uma nova conta de utilizador local.
5-5
Na caixa Novo utilizador, é possível escolher as várias opções para a nova conta criada.
5-6
Criar uma conta de utilizador de domínio
As contas de utilizador de domínio são criadas no utilitário Computadores e utilizadores do Active

Directory, situado nas Ferramentas administrativas.
O utilitário Computadores e utilizadores do Active Directory permite criar, alterar e apagar contas de
utilizador no controlador de domínio do Active Directory ou contas de utilizadores locais em qualquer
computador do domínio.
Para criar uma conta de domínio execute um clique no botão direito do rato, na pasta Users, para aceder ao
menu de contexto.
5-7
Na caixa Novo Objecto – User é possível definir as propriedades da conta.
No ecrã seguinte é possível definir as opções da palavra passe.
5-8
Alterar as propriedades pessoais de uma conta
Uma conta de utilizador corresponde normalmente a um utilizador do domínio. Como tal, é possível
guardar na conta informações pessoais sobre os utilizadores.
As informações sobre os utilizadores ficam guardadas no Active Directory e podem ser consultadas pelos
utilizadores do directório. As informações pessoais são as seguintes:
• Informações gerais (Nome do Utilizador, endereço de correio electrónico, etc...)
• Endereços
• Telefones
• Informação sobre o utilizador na organização
Para aceder às propriedades de um conta, seleccione o utilizador e escolha a opção Properties do menu
Acção.A janela Propriedades, apresenta separadores com todas as propriedades e opções da conta de
utilizador.
• No separador Geral é possível visualizar informações gerais sobre o utilizador.

• No separador Endereço é apresentada informação sobre a morada, localidade e país do utilizadorNo
separador Telefones são visualizados os contactos do utilizador
• No separador Empresa reside informação sobre o utilizador na organização
5-9
Alterar as propriedades de uma conta
As propriedades de uma conta definem o comportamento da conta de utilizador no domínio.
O separador Conta, detêm as opções da conta que determinam a sua utilização no domínio.
5-10
Definir horas de utilização de contas
As horas e dias da semana nos quais uma conta pode ser utilizada podem ser definidas na caixa de
propriedades de uma conta.
A caixa Horas de início de sessão apresenta opções que permitem definir se o início de uma sessão é ou
não permitido a uma determinada hora.
5-11
Definir os computadores de início de sessão
A utilização de uma conta pode ser limitada a alguns computadores apenas. O utilizador dessa conta
apenas poderá iniciar uma sessão nos computadores pré definidos.
5-12
Alterar a palavra-passe
Associada ao nome da conta a palavra passe, permite ao utilizador iniciar a sessão com uma conta de
utilização. Este processo é designado por Autenticação.
Para alterar a palavra-passe de uma conta já existente seleccione a conta e escolha Repor palavra-passe
no menu Acção.
Desactivar contas
Uma conta de utilizador contêm informações sobre um utilizador. Em certas circunstâncias é

preferível desactivar a conta sem a eliminar do Active Directory. Enquanto a conta se encontrar
desactivada, ela não poderá ser utilizada para iniciar uma sessão.
5-13
Eliminar contas
Para eliminar uma conta seleccione a conta e escolha Eliminar no menu Acção.
Nota: Ao eliminar um conta todas as informações e propriedades armazenadas dentro deste objecto do
Active Directory serão perdidas.
5-14
Utilizar a ferramenta Executar como
As contas de administrador possuem privilégios que permite ao utilizador efectuar todas as operações de
configuração e manutenção de um domínio ou de um computador.
Estas contas devem ser utilizadas só para executar tarefas de administração que necessitam de privilégios
de administração.
Uma boa política de segurança será os administradores de domínio criarem para as suas tarefas de
utilizador uma conta de utilizador normal e apenas utilizarem a conta de administrador através da ferramenta
Executar como...
Para utilizar a ferramenta Executar como inicie a sessão como um utilizador normal. Seleccione o programa
ou tarefa que pretende executar, pressione na tecla Shift e no botão direito do rato.
Finalmente escolha Executar como..
Na caixa Executar como outro utilizador, escolha o nome do utilizador e a respectiva palavra-passe.
5-15
Unidade 6
Redes TCP/IP em ambiente Windows
Conhecer a arquitectura geral dos protocolos TCP/IP.

Saber instalar e configurar os protocolos TCP/IP.
Conhecer a estrutura e representação binária dos endereços IP.
Saber identificar as diferentes classes de endereços IP.
Conhecer o funcionamento dos protocolos ARP e ICMP.
Entender o conceito de IP Multicast
Saber definir várias subnets numa rede TCP/IP
Compreender os conceitos de direct delivery e inderect delivery no contexto dos serviços de routing.
Saber o que são as tabelas de routing
Sumário:
Um protocolo de rede é o software que torna possível a comunicação entre computadores. Os protocolos
TCP/IP são o software de rede mais utilizado nas redes locais. Este conjunto de protocolos é igualmente o
standard de protocolos utilizados na Internet. Esta unidade dá a conhecer os conceitos básicos sobre as
redes TCP/IP e a forma como este protocolo é implementado em redes Windows.
São igualmente apresentados alguns conceitos sobre endereços IP e routing fundamentais para a
configuração de uma infra-estrutura de rede em ambiente Windows.
6-1
A - Arquitectura dos protocolos TCP/IP em Windows

Os standards TCP/IP
Os RFC – Request for Comments
O funcionamento da Internet, incluindo o funcionamento dos seus protocolos, é definido em documentos

designados por RFC – Request for Comments.
Cada documento RFC recebe um número. Depois de publicado, um documento já não é mais actualizado.
No caso de revisões, é criado um outro documento, com outro número, destinado a substituir o anterior.
Os status dos RFC
Os documentos RFC são classificados em cinco diferentes status, tal como é ilustrado nas figuras seguintes.
6-2
6-3
Os standards
Os RFCs que constituem standards evoluem através de diversos estágios que são designados por maturity
levels. Esse processo evolutivo é designado por Internet Standards Process.
As imagens seguintes ilustram os vários estágios de evolução dos standards.
6-4
6-5
Visão geral da arquitectura TCP/IP
A arquitectura TCP/IP e o modelo OSI
Os protocolos TCP/IP consistem numa arquitectura composta por quatro camadas: Application,
Transport, Internet e Network Interface. A figura seguinte mostra a comparação entre as camadas do modelo
TCP/IP e as camadas do modelo OSI.
Application layer
A camada Application é a camada que proporciona às aplicações os meios de comunicação com as

restantes camadas e define os protocolos que as aplicações usam para comunicar entre si.
Ao nível desta camada existe um grande número de protocolos e, pela sua própria natureza, existe sempre
um grande número de outros protocolos em desenvolvimento.
Actualmente, os protocolos mais conhecidos e utilizados ao nível desta camada são: HTTP (Hypertext
Transfer Protocol), FTP (File Transfer Protocol), SMTP (Simple Mail Transfer Protocol) e Telnet (usado como
protocolo para emulação de terminais e para logon em computadores remotos).
Ao nível desta camada, podem ainda considerar-se ao nível desta camada protocolos como DNS (Domain
Name System), utilizado para traduzir nomes em endereços IP, protocolos de routing e outros protocolos de
gestão de redes e internet.
Os principais interfaces de comunicação ao nível desta camada são Windows Sockets e NetBIOS.
6-6
Transport layer
A camada Transport é responsável pela prestação de serviços de transporte de dois tipos: connection-
oriented (orientado à ligação) e connectionless (não orientado à ligação.
Os protocolos desta camada são: TCP (Transmission Control Protocol) e UDP (User Datagram Protocol).
Internet layer
As funções de endereçamento e routing de packets são da responsabilidade da camada Internet que,

no modelo TCP/IP é correspondente à camada designada por Network no modelo OSI.
Ao nível desta camada, existem vários protocolos: IP( Internet Protocolo), ARP (Address Resolution
Protocol), ICMP (Internet Control Message Protocol) e IGMP (Internet Group Management Protocol).
Network Interface layer
Esta camada é responsável por colocar os frames no meio de transmissão e por receber os frames desse
meio de transmissão. A camada Network Interface do modelo TCP/IP corresponde às camadas Data Link e
Physical do modelo OSI.
Ao nível desta camada podem ser usadas várias tecnologias e protocolos quer para a comunicação em
redes locais (por exemplo, Ethernet ou Token RIng) quer para ligações WAN (por exemplo Frame Relay ou
ATM).
Interfaces para aplicações
O que são as interfaces para as aplicações
Designam-se por Application Interfaces os conjuntos de funções e comandos que as aplicações devem
invocar para aceder aos protocolos de rede. Por exemplo, quando um browser acede a um site necessita de
usar os interfaces para estabelecer a comunicação com o protocolo TCP para a criação de uma conexão
TCP.
O Windows 2000 disponibiliza dois tipos de Application Interfaces (API), para que as aplicações
comuniquem com os protocolos: Windows Sockets (WinSock) e NetBIOS. Observe a figura seguinte.
6-7
Windows sockets interface
O Windows Sockets Interface é uma API (Application Programming Interface) que pode ser utilizada pelas
aplicações para aceder aos serviços dos protocolos TCP e UDP. Muitas aplicações e serviços são criadas
com aplicações Windows Sockets, isto é, contêm o código necessário para aceder às funções e comandos
disponibilizados pelo interface Windows Sockets.
Muitos utilitários que vêm com o Windows 2000 (como Ping, Tracert, FTP e Telnet) utilizam o Windows
Sockets. Existem igualmente APIs de mais alto nível que utilizam o interface Winsock como é o caso da API
Windows Internet API (WININET) utilizada pelo browser Internet Explorer.
6-8
A API Windows Sockets proporciona serviços que permitem ligar uma aplicação ligar-se a um determinado
port e endereço IP num host, iniciar, aceitar e encerrar uma conexão, receber e enviar dados.
Existem dois tipos de sockets: stream sockets (utilizando o protocolo TCP) e datagram sockets
(utilizando o protocolo UDP).
NetBIOS interface
O interface NetBIOS, complementado com o NetBIOS over TCP/IP (também designado por NetBT) é uma
outra interface que permite igualmente que aplicações sejam criadas usando esse interface para aceder aos
serviços dos protocolos TCP e UDP.
6-9
B - Instalação e configuração dos protocolos TCP/IP

Instalação dos protocolos TCP/IP
A instalação dos protocolos TCP/IP no Windows 2000 é necessária para que fiquem disponibilizados alguns
dos serviços de rede, assim como os serviços de IIS (Internet Information Services) e Active Directory.
O processo de instalação dos protocolos TCP/IP
A suite de protocolos TCP/IP é automaticamente instalada durante a fase de instalação do sistema

operativo. Todavia, a instalação e desinstalação podem ser feitas posteriormente, podendo para tal utilizar
os procedimentos descritos em seguida.
Active o menu Start, escolha Settings e, em seguida, Network and Dial-up Connections.
Na caixa Dial-up and Network Connections, execute um clique com o botão direito em Local Area
Connection. No menu de contexto, escolha Properties.
6-10
Na caixa Local Area Connection Properties, pode instalar e desinstalar protocolos de comunicações.
6-11
Configuração dos protocolos TCP/IP
Depois de instalada a suite de protocolos TCP/IP, é possível aceder à respectiva caixa de propriedades para
efectuar a configuração desses protocolos.
Para configurar os protocolos TCP/IP pode executar os seguintes procedimentos.
Na caixa Local Area Connection Properties, seleccione Internet Protocol (TCP/IP) e, em seguida, clique no
botão Properties, para aceder à caixa Internet Protocol (TCP/IP) Properties que é mostrada na imagem
seguinte.
6-12
Endereços IP obtidos automaticamente. Numa internetwork, cada computador tem de possuir um

endereço IP. Esse endereço IP pode ser obtido automaticamente a partir de um servidor na rede com a
função de atribuir dinamicamente endereços IP (designado por DHCP Server-Dynamic Host Configuration
Protocol Server) ou através de um Internet Service Provider, no caso de uma ligação à Internet. Para obter
automaticamente um endereço IP deve marcar o botão Obtain an IP address automatically.
1. Endereços IP configurados manualmente. Na caixa Internet Protocol (TCP/IP) Properties

pode optar por escolher o endereço IP e a correspondente Subnet mask. Desta forma o
computador figurará na rede com um endereço IP fixo e não com um endereço que é
automática e dinamicamente atribuído de cada vez que o computador se conecta à rede.
2. Default gateway. O nome gateway é, na terminologia da Internet, muitas vezes utilizado como
sinónimo de router. Na caixa Internet Protocol (TCP/IP) Properties pode escrever o endereço IP
do router default para o qual serão enviados os packets que não se destinem à rede em que
determinado computador está inserido.
3. DNS servers. Para efectuar a tradução dos nomes simbólicos em endereços IP é necessário
utilizar os serviços de um DNS (Domain Name System) server. Pode marcar o botão Use the
following DNS server addresses para especificar o endereço de um Preferred DNS server e de
um Alternate DNS Server.
6-13
Utilização do comando IPConfig
O comando ipconfig é um comando que pode ser utilizado no Command prompt de uma janela de DOS. A
finalidade desse comando é a de proporcionar informação sobre a configuração do TCP/IP no computador.
Se apenas for digitado o comando, é apresentada a informação sobre o endereço IP, a Subnet mask e o
default gateway para cada adaptador ligado ao sistema de protocolos TCP/IP.
A imagem seguinte mostra, um ecrã com a execução simples desse comando.
O comando pode ser usado com várias opções complementares. A título informativo apresentam-se
algumas dessas opções:
6-14
ipconfig /?
Apresenta um help com as várias opções disponíveis. A imagem serguinte mostra o
resultado da execução do comando com essa opção.
ipconfig /all
Se o comando for usado com a opção /all é apresentada toda a informação sobre a configuração.
6-15
Utilização do comando ping
O comando ping pode ser utilizado no Comand para testar a conectividade com um determinado host.
A título de ilustração, apresenta-se uma utilização do comando ping com o endereço do próprio computador
em que é usado.
6-16
C - Estrutura e representação dos endereços IP
Prefixo e sufixo
Numa rede que funciona através do stack de protocolos TCP/IP, o sistema de endereçamento é definido
pelo protocolo IP (Internet Protocol). De acordo com as especificações do protocolo IP, a cada host da rede
deverá ser atribuído um endereço único formado por um número de 32 bits. Esse endereço é designado por
endereço IP.
Os endereços IP são constituídos por duas partes: o prefixo e o sufixo. O prefixo identifica a rede física a
que o computador pertence. O sufixo identifica cada um dos computadores dentro de uma rede física. Numa
internet não pode haver dois computadores ou dois routers com o mesmo endereço IP. Os endereços IP têm
ser únicos.
Note-se todavia que os routers possuem em regra vários endereços IP. Inclusivamente, um computador,
ligado a várias redes (um multihomed computer) pode possuir mais do que um endereço IP. O ponto a
salientar, no entanto, é o seguinte: todos os endereços IP são diferentes. Isto todavia não significa
necessariamente que a cada host ou router corresponda um só endereço IP.
Na versão actual do protocolo IP, um endereço IP é constituído por um número de 32 bits. Com 32 bits pode
ser criado o seguinte número máximo de endereços diferentes
32
2 =4 294 967 296
Em teoria, este é o número máximo de endereços que podem ser criados numa internet.
Na versão futura do protocolo IP (designada por IPv6) serão reservados 128 bits para cada endereço IP.
Com 128 bits será possível criar o seguinte número de endereços diferentes:
128
2 = 3,4028236692093846346337460743177e+38
O facto de um endereço IP ser constituído por um prefixo (que identifica a rede) e por um sufixo (que
identifica o computador dentro da rede) garante a unicidade na atribuição dos endereços aos vários
computadores que participam numa internet, pelas seguintes razões:
1. Os números que identificam cada uma das redes físicas são atribuídos por uma autoridade de
supervisão global, garantindo que não existem duas redes com o mesmo número;
2. Dentro de cada rede física, a atribuição de números aos computadores deverá igualmente ser feita
por forma a que, dentro de uma mesma rede física, não existam dois computadores com o mesmo
número.
6-17
A representação de um endereço IP
Um endereço IP pode ser representado através de uma sequência de 32 bits em notação binária. Todavia, a
forma mais prática de representar numericamente um endereço IP é através da representação designada
por dotted decimal notation. Esse processo consiste em dividir o endereço em 4 grupos de 8 bits. Cada um
desses grupos de 8 bits é representado em decimal. Os grupos são separados por um ponto (dot).
Exemplos
Nos exemplos seguintes são apresentados endereços IP através da sua representação binária e da sua representação
dotted decimal
Representação binária Dotted decimal

01111101 00100110 0011000 00001010 125.38.24.10
10000010 00101111 00001111 00000000 130.47.15.0
11000110 11111111 01001101 00001110 198.255.77.14
Tipos especiais de endereços
Endereços com significado especial
No esquema de endereçamento IP existem endereços que têm um significado especial e que são utilizados
para finalidades específicas. Adiante são apresentados alguns desses endereços especiais. Nos pontos
seguintes serão apresentados os seguintes tipos especiais de endereços: endereço da própria rede,
endereços directed broadcast, endereços limited broadcast, endereço 0.0.0.0 e loopback address.
Endereço da própria rede
Cada uma das redes físicas que integram uma internet deve ter associado um endereço próprio. Este
endereço é um endereço formado pelo prefixo da rede e por um sufixo com todos os bits a zero.
Este endereço é reservado, serve para identificar a rede, e não deve ser atribuído a nenhum dos hosts
dessa rede.
Exemplo
Considere o endereço 129.230.0.0. Admita que 129.230 é o prefixo e que o sufixo é 0.0. O facto de o sufixo ter
todos os bits a zero indica que esse é o endereço da rede. Esse endereço não deve ser atribuído a nenhum dos hosts
da rede. A imagem seguinte apresenta o esquema dessa rede, com três hosts.
6-18
Endereços directed boadcast
No sistema de endereçamento IP, um endereço directed broadcast é um endereço que contém todos os bits
do sufixo com o valor 1. Trata-se de um endereço reservado, pelo que os administradores das redes físicas
de uma internet não devem atribuir este endereço a nenhum dos hosts da rede.
Este tipo de endereço é utilizado quando se pretende enviar um packet para todos os hosts da rede. Quando
um packet com este endereço chega a uma rede física, o sistema de broadcast da rede encarrega-se de
enviar uma cópia do packet a todos os hosts da rede.
Endereço limited broadcast
Um endereço limited broadcast é um endereço IP em que todos os bits do endereço (quer no prefixo quer no
sufixo) são colocados a 1. Este tipo de endereço é apenas utilizado dentro de cada uma das redes físicas.
Quando um computador arranca e ainda não conhece o endereço da rede, pode necessitar de enviar
mensagens broadcast a todos os computadores da sua rede física, utilizando esse tipo de endereço.
Endereço 0.0.0.0
Os datagramas IP possuem o endereço do emitente e o endereço do destinatário. Pode acontecer que, no

arranque, um computador não conheça o seu endereço IP. Isso, todavia, não impede a comunicação. O
sistema de endereçamento IP reserva o endereço especial que consiste em colocar todos os bits do
endereço a 0 para indicar "este computador".
6-19
Loopback address
O endereço que começa com o prefixo 127 é designado por loopback address. Os packets que levam este
prefixo no endereço IP (independentemente do valor do sufixo) nunca chegam a ser enviados através da
rede. Este tipo de endereço é fundamentalmente utilizado para a realização de testes.
Exemplo
Imagine, por exemplo, que um programador pretende testar duas aplicações desenhadas para comunicar numa rede
através do conjunto de protocolos TCP/IP. Uma das possibilidades consiste em correr essas aplicações em dois
computadores distintos numa rede.
Todavia, usando o endereço especial designado por loopback address, o programador pode testar as duas aplicações
na mesma máquina, simulando uma comunicação através da rede.
O loopback address envia os packets através da hierarquia dos protocolos TCP/IP e reenvia-os para a aplicação de
destino, na mesma máquina, utilizando o mesmo conjunto de protocolos.
Endereços IP dos routers
No esquema de endereçamento IP, cada router terá associado um endereço IP por cada uma das redes a
que está conectado. Um endereço IP, através do seu prefixo e do seu sufixo, estabelece a relação entre
uma rede e um computador. Nesta perspectiva, um router funciona como um computador ligado a várias
redes.
Computadores multi-homed
Um computador pode ter ligação a várias redes e, por esse facto, poderá ter mais do que um endereço IP,
um por cada uma das redes a que se encontrar ligado. Um computador que possua várias ligações de rede
é designado por multi-homed.
6-20
As classes de endereços IP
As várias classes de endereços
Como um endereço IP é composto por 32 bits, quanto maior for o número de bits reservado para o prefixo
menor será evidentemente o número de bits disponíveis para o sufixo. Um maior número de bits destinado a
ser usado como prefixo, permite criar um maior número de redes distintas numa internet, mas limita, por
outro lado, o número de computadores que cada uma das redes pode conter.
Para fazer face à necessidade de criar um esquema de endereçamento que contemplasse internets
formadas através de uma combinação de grandes e de pequenas redes, o esquema de endereçamento do
protocolo IP começou inicialmente por dividir os endereços IP em classes.
As classes de endereços IP distinguem-se pelo número máximo de redes distintas e pelo número máximo de
hosts que podem existir em cada rede de determinada classe.
São definidas cinco classes, designadas pelas letras A, B, C, D e E. As classes A, B e C são designadas por
classes primárias e destinam-se a ser utilizadas para atribuição de endereços a hosts. A classe D é usada
para multicasting. A classe E é não é actualmente utilizada, sendo reservada para uso futuro.
Classe A
Estrutura dos endereços
Nos endereços da classe A, são reservados 8 bits para o prefixo e 24 bits para o sufixo. O primeiro bit é
sempre 0. Assim, qualquer endereço cujo primeiro bit seja igual a 0 é identificado como um endereço da
classe A.
O software que analisa o endereço pode utilizar essa informação para ficar a saber que os primeiros oito bits
desse endereço representam a classe, e que os 24 bit s restantes constituem o sufixo.
Número máximo de redes
Em teoria, o valor decimal do primeiro byte de um endereço da classe A poderia variar entre 0 e 127. Isto
deve-se ao facto de, os endereços da classe A começarem sempre pelo bit 0 e de existirem 7 bits
7
disponíveis para o prefixo e consequentemente um máximo de 128 (2 = 128) valores distintos,
precisamente os valores compreendidos entre 0 e 127.
Na prática, os valores do primeiro byte do endereço variam entre 1 e 126, pelas seguintes razões:
1. Os endereços em que todos os bits são zero devem ser excluídos por terem uma utilização especial;
2. O endereço em que todos os 7 bits disponíveis do prefixo estão a 1, corresponde ao valor 127
(1111111 em binário corresponde a 127) e este endereço é reservado para loopback address.
6-21
Número máximo de hosts
Nos endereços da classe A, o sufixo utiliza 24 bits, pelo que, em teoria, o número máximo de hosts nas
24
redes desta classe é de 16777216 (2 = 16777216). Mas a este número há que retirar os dois casos
seguintes: o caso em que todos os bits do sufixo são 0 e o caso em que todos os bits do sufixo são 1 pois,
como se referiu, estes endereços têm um significado especial e não devem ser atribuídos a nenhum host.
Assim, na prática, o número total de hosts é de 16777214.
Identificação da classe a partir do primeiro byte do endereço
A identificação da classe a que um endereço pertence pode ser feita a partir do valor decimal do primeiro
byte desse endereço. No caso das redes da classe A, o primeiro byte varia entre 1 e 126.
Na notação dotted decimal, os endereços que começam com números entre 1 e 126 pertencem à classe A.
Classe B
Nos endereços da classe B, são reservados 16 bits para o prefixo e 16 bits para o sufixo. Os dois primeiros
bits do prefixo são sempre formados pela sequência 10.
Ao analisar um endereço em que os dois primeiros bits são 10, o software identifica imediatamente esse
endereço como um endereço da classe B. Fica a saber, desse modo, que os primeiros 16 bits constituem o
prefixo de que os 16 bits restantes constituem o sufixo.
Para as redes da classe B, o prefixo utiliza 14 bits. Dessa forma, o número máximo de redes da classe B é
14
de 16384 (=2 ).
Número máximo hosts
Para o sufixo são destinados 16 bits, pelo que o número máximo de hosts nas redes da classe B é de 65536
(=216). Excluindo os casos de todos os bits do sufixo a 0 e a 1, ficam 65534 hosts.
6-22
A identificação da classe pode igualmente ser feita a partir do valor decimal do primeiro byte do endereço.
Para a classe B, o prefixo começa sempre pela sequência 10. Assim os valores possíveis do primeiro byte
de um endereço da classe B vão de 10000000 (o equivalente ao número decimal 128) até 10111111 (o
equivalente ao número decimal 191).
Na notação dotted decimal, os endereços que começam com os números entre 128 e 191 pertencem à
classe B.
Classe C
Nos endereços da classe C, os primeiros 24 bits são reservados para prefixo e os 8 bits seguintes para
sufixo. Um endereço da classe C é identificado pela seguinte sequência dos seus primeiros três bits: 110.
Quando esta sequência é encontrada num endereço, o software identifica os primeiros 24 bits como
constituindo o prefixo do endereço e os restantes 8 bits como constituindo o sufixo.
Nas redes da classe C, o prefixo utiliza 21 bits, pelo que o número máximo de redes da classe C é de
21
2097152 (2 ).
Número máximo de hosts
O sufixo dos endereços desta classe utiliza 8 bits, pelo que o número máximo de hosts em redes da classe
C é de 256 (=28). Excluindo os dois casos, correspondentes aos bits do sufixo todos a zero ou a um, ficam
254 hosts.
6-23
Na classe C existem 24 bits para o prefixo. Desses 24 bits, três são reservados para a sequência inicial 110.
Temos assim que os valores possíveis para o primeiro byte de um endereço da classe C vão de 11000000
(o equivalente ao número decimal 192) até 11011111 (o equivalente ao número decimal 223)
Na notação dotted decimal, os endereços que começam com os números entre 192 e 223 pertencem à
classe B.
Síntese para as classes A, B e C
A tabela seguinte apresenta um sumário dos valores acima referidos, mostrando, para cada classe, o
número máximo de redes, o número máximo de hosts e os limites dos valores do primeiro byte do endereço
quando representado em dotted decimal.
Identificação a partir do
Número máximo de Número máximo de
Classe primeiro byte do
redes hosts
endereço
Classe A 126 16777214 1-126
Classe B 16384 65534 128-191
Classe C 2097152 254 192-223
Endereços da classe D
A classe D é utilizada para multicasting. Um endereço da classe D é identificado pela seguinte sequência
dos seus quatro primeiros bits: 1110. Nos endereços da classe D, o prefixo começa pela sequência 1110.
Nesta classe, o primeiro byte do endereço pode ir de 11100000 (o equivalente ao número decimal 224) até
11101111 (o equivalente ao número decimal 239).
Endereços da classe E
Um endereço da classe E é identificado pela seguinte sequência dos seus quatro primeiros bits: 1111. Os
valores do primeiro byte dos endereços desta classe podem ir de 11110000 (o equivalente ao número
decimal 240) até 11111111 (o equivalente ao número decimal 255). A classe E não é actualmente utilizada.
6-24
Resolução de endereços
O que é a resolução de endereços
A tradução de um endereço IP num endereço de hardware é designada por resolução de endereços

(address resolution). A resolução de endereços é um processo executado apenas dentro de uma mesma
rede física.
Por exemplo, se um host ou um router precisam de enviar um packet para um computador dentro da mesma
rede física, utilizam técnicas de resolução de endereços, para identificar o endereço de hardware do destino.
No entanto, para enviar um packet para uma rede remota, utilizam os endereços IP.
Técnicas de resolução de endereços
Existem três técnicas básicas para executar o processo de resolução de endereços:
Tabelas em memória
Utilização de tabelas em memória que relacionam os endereços de protocolo com os endereços de hardware. Esta
técnica é fundamentalmente utilizada em redes WAN.
Utilização de algoritmos
Utilização de um algoritmo que transforma endereços de software em endereços de hardware. Esta técnica é
utilizada em redes em que os endereços de hardware são configuráveis.
Troca de mensagens entre os computadores da rede

Troca de mensagens entre os computadores da rede. Esta técnica é usada fundamentalmente em LANs com
endereçamento estático.
Resolução de endereços através de tabelas
Esta técnica de resolução de endereços consiste na criação de uma tabela em memória para cada rede
física. Essa tabela relaciona cada endereço IP com o correspondente endereço de hardware.
A utilização desta tabela é evidente. Admita que é necessário determinar o endereço de hardware de um
determinado endereço IP. Uma simples consulta à tabela permite determinar o endereço de hardware
correspondente a esse endereço IP.
Resolução de endereços através de algoritmos
Nalgumas redes, o endereço de hardware de cada computador pode ser configurado. Em redes deste tipo, é
possível atribuir endereços de hardware que possam ser derivados do endereço IP através de simples
operações matemáticas.
6-25
Resolução de endereços através de troca de mensagens
Esta técnica pode ser sumariamente descrita do seguinte modo: quando um computador necessita de
conhecer o endereço de hardware correspondente a um determinado endereço IP, envia uma mensagem
aos computadores da rede e aguarda uma resposta.
A mensagem contém, no essencial, a seguinte pergunta: qual é o endereço de hardware deste endereço IP?
A implementação desta técnica pode ser feita de duas formas:
• Na rede existe um ou mais servidores dedicados para a resolução de endereços. Quando um

computador necessita de resolver um endereço, envia uma mensagem a um dos servidores
que se encarrega de enviar a resposta;
• Na rede não existem servidores dedicados para a resolução de endereços. Cada computador
pode aceitar pedidos de resolução de endereços. O computador que necessita de obter o
endereço de hardware correspondente a um determinado endereço IP envia uma mensagem
broadcast a todos os computadores da rede. Essa mensagem contém, no essencial, a
seguinte pergunta. "Agradecia que aquele que tem este endereço IP me enviasse o seu
endereço de hardware". Todos recebem a mensagem, mas só o computador visado envia a
resposta.
O protocolo ARP
O funcionamento do protocolo ARP
O protocolo ARP (Address Resolution Protocol) é um protocolo incluído na suite TCP/IP. Este protocolo
pode ser usado para transformar endereços de protocolo em endereços de hardware, com grande
generalidade. Todavia, ele é fundamentalmente utilizado para efectuar a resolução de endereços IP de 32
bits em endereços de hardware Ethernet de 48 bits.
O funcionamento deste protocolo pode ser descrito da seguinte forma:
• O computador que necessita de conhecer o endereço de hardware correspondente a um

determinado endereço IP, faz o broadcast de uma mensagem para todos os computadores da
rede;
• Apenas o computador a que o mencionado endereço IP corresponde, envia uma mensagem

directa ao computador que efectua o pedido, indicando o valor do seu endereço de hardware.
6-26
Encapsulamento de mensagens ARP
As mensagens ARP são encapsuladas em frames de hardware, como a imagem seguinte sugere.
Para indicar aos computadores que esta frame contém uma mensagem ARP, utiliza-se o campo frame type
do HEADER. Nas frames Ethernet utiliza-se o valor hexadecimal 806 para indicar que a frame transporta
uma mensagem ARP. Observe a imagem seguinte.
Formato das mensagens ARP em frames Ethernet
As mensagens ARP em frames de hardware contêm os campos descritos na tabela seguinte.
Segue-se uma explicação dos vários campos da figura.
Hardware Adress Type

Este campo contém a identificação do tipo de endereço de hardware. Quando o tipo de endereço de hardware é o de
um endereço de uma rede Ethernet, o valor deste campo é 1.
6-27
Protocolo Address Type

Este campo contém a identificação do tipo de endereço de protocolo. Quando a mensagem ARP é utilizada com
endereços de protocolo IP, o valor deste campo é 800 (hexadecimal).
Haddr Len
Especifica o número de bytes usado em endereços de hardware.
Paddr Len
Especifica o número de bytes usado em endereços de protocolo.
Operation
Este campo é utilizado para indicar se a mensagem contém um pedido (valor 1) ou a resposta a um pedido (valor 2).
Sender Haddr
Este campo ocupa 6 bytes, pelo que, na figura, corresponde a três linhas. Contém o endereço de hardware do
computador que envia a mensagem (sender). Se a mensagem contém um pedido (valor 1 no campo OPERATION), o
endereço de hardware é o endereço do computador que faz o pedido. Se a mensagem é uma resposta, este campo
contém o endereço de hardware previamente solicitado.
Sender Paddr
Este campo ocupa 4 bytes e corresponde a duas linhas contíguas na figura. Contém o endereço de protocolo do
computador que envia a mensagem.
Target Haddr
Este campo ocupa 6 bytes e está representado por três linhas contíguas na figura. Contém o endereço de hardware
do computador de destino (target) da mensagem. Quando a mensagem é um pedido, o valor deste campo é
evidentemente desconhecido e vai preenchido a zeros.
Target Paddr
Este campo ocupa 4 bytes e é representado pelas duas últimas linhas no esquema da figura. É utilizado para
armazenar o endereço de protocolo do computador de destino da mensagem.
A cache ARP
O software ARP mantém uma tabela em memória, designada por cache, que associa endereços de
protocolo a endereços de hardware. Um pedido só é enviado à rede quando a informação não existe nessa
cache.
6-28
O protocolo ICMP
O que é o protocolo ICMP
O protocolo ICMP (Internet Control Message Protocol) tem por finalidade reportar erros que possam ocorrer
durante o percurso que um packet percorre da origem até ao destino. Esse protocolo define o formato das
mensagens que os routers enviam ao host de origem quando ocorre uma circunstância que impede o envio
do packet para o destino.
As mensagens do protocolo ICMP são incorporadas na parte relativa a dados dos datagramas IP. Por outras
palavras, uma mensagem do protocolo ICMP é um datagrama IP em que a área de dados contém o header e
os dados do protocolo ICMP.
Fig. X.1. Encapsulamento dos packets do protocolo ICMP. A área de dados e o header do protocolo ICMP são incluídos
na área de dados de um datagrama IP, sendo, posteriormente encapsulado numa frame de hardware.
Nota
O facto de o protocolo ICMP proporcionar um sistema de report de erros de transmissão, não significa que a sua
actuação conjugada com o protocolo IP faça deste protocolo um protocolo fiável. De facto, as mensagens do
protocolo ICMP são transportadas sob a forma de datagramas IP, ou seja, são, elas próprias, transportadas através
de um serviço não fiável.
Estrutura das mensagens ICMP
O formato das mensagens ICMP
Existem vários tipos de mensagens ICMP e cada uma dessas mensagens possui o seu próprio formato. No
entanto, todas possuem uma característica comum: todas elas começam com os três campos seguintes:
• Um campo de 8 bits que identifica o tipo de mensagem (o campo type);
• Um campo de 8 bits que contém informação adicional sobre o tipo de mensagem (o campo
code);
• Um campo de 16 bits usado para checksum.
Fig. 6.5. Campos iniciais das mensagens ICMP. Os campos iniciais das mensagens ICMP identificam o tipo de
mensagem, o código complementar e a área de checksum.
6-29
Tipos de mensagens. O campo TYPE
O protocolo ICMP utiliza vários tipos de mensagens. Cada mensagem é identificada por um número
correspondente ao campo TYPE. Os números do campo TYPE e o tipo de mensagem correspondente
podem ser observados na tabela seguinte.
Fig. 6.6. Códigos do campo Type. Esta tabela mostra os valores que o campo Type pode assumir, bem como o tipo de
mensagem que lhe corresponde.
Echo Request e Echo Reply
A finalidade destas mensagens
As mensagens do tipo Echo Request e Echo Reply são frequentemente utilizadas para testar a
operacionalidade de uma ligação através da Internet. O programa ping é utilizado para enviar mensagens
ICMP do tipo Echo Request tendo em vista testar se determinado destino na Internet pode ser acedido.
Uma vez que a mensagem circula na Internet sob a forma de um datagrama IP, o sistema permite verificar a
operacionalidade da ligação, proporcionando, ao mesmo tempo, indicações estatísticas importantes sobre a
própria ligação.
Quando uma máquina recebe um Echo Request, responde enviando um Echo Reply para o emissor.
Quando o emissor recebe o Echo Reply adquire a garantia de que a máquina de destino se encontra em
operação e que os routers ao longo do percurso permitem estabelecer a ligação.
A estrutura das mensagens do tipo Echo Request e Echo Reply
A estrutura das mensagens Echo Request e Echo Reply é apresentada na figura. A distinção entre uma
mensagem Echo Request e uma mensagem Echo Reply é definida pelo valor do campo Type, que será 8
no primeiro caso e 0 no segundo. O campo Code terá o valor 0. Os campos Identifier e Sequence Number
são utilizados pelo emissor para poderem associar cada reply a cada request. O campo Dados Opcionais é
de tamanho variável e conterá informação a ser enviada para o emissor.
6-30
Fig. 6.7. Estrutura das mensagens Echo Request e Echo Reply. A imagem mostra o formato genérico das mensagens
Echo Request e Echo Reply. No caso de se tratar de uma mensagem Echo Request, o campo Type possuirá o valor 8. Se for
uma mensagem Echo Reply, conterá o valor 0.
Destination Unreachable
Uma mensagem do tipo Destination Unreachable é enviada ao emissor quando um router não consegue
fazer o envio de um datagrama. Esta mensagem é enviada antes de o router se descartar do datagrama.
O campo code utiliza um número que especifica o tipo de problema encontrado. Esse número pode variar de
0 a 12. A figura mostra os números de código e o correspondente significado.
Fig. 6.8. Código das mensagens Destination Unreachable. Como se pode observar existe uma variedade de causas
que podem originar a necessidade de um router enviar uma mensagem indicando a causa pela qual determinado datagrama
teve de ser descartado.
Apresenta-se em seguida uma breve explicação do significado de alguns dos códigos utilizados nas
mensagens Destination Unreachable.
Network unreachable
Quando um router não consegue encontrar um caminho para o destino do packet, envia uma mensagem do tipo
NETWORK UNREACHABLE para o host de origem.
Host unreachable
6-31
Quando um host de destino não pode ser localizado na rede de destino do packet, o router pode enviar uma
mensagem host unreachable, para informar desse facto o host de origem. Esta técnica é apenas utilizada pelos
routers em comunicações orientadas à ligação.
Protocol unreachable
Este tipo de mensagem é enviado pelo host de destino quando não existe nenhum protocolo em execução que
coincida com o protocolo indicado no header de um packet IP.
Port unreachable
Mensagem enviada pelo host de destino quando não existe um processo associado ao port indicado no header de um
datagrama UDP.
Fragmentation needed and DF set

Um router detecta a necessidade de fragmentar um packet mas depara com a indicação DF (Don´t fragment) no
cabeçalho do datagrama IP.
Source Quench
O problema do congestionamento dos routers
Os routers podem ficar congestionados e incapacitados de fazer o delivery de todos os datagramas que
recebem quando o fluxo de chegada de datagramas é superior à capacidade de processamento do próprio
router.
Nessas circunstâncias, os routers usam o protocolo ICMP para enviar mensagens Source Quench (Type=4)
reportando a ocorrência do congestionamento antes de começarem a descartar os datagramas.
A origem dos datagramas levará em consideração estas mensagens reduzindo a velocidade do fluxo de
envio de datagramas.
A estrutura das mensagens Source Quench
Como se mostra na figura, a estrutura de uma mensagem Source Quench contém a indicação do tipo de
mensagem no campo Type e inclui igualmente a informação que indica qual o datagrama que foi
descartado.
Fig. 6.9. Formato genérico das mensagens Source Quench. A figura mostra alguns dos campos utilizados nas
mensagens do tipo Source Quench.
6-32
Redirect
A finalidade das mensagens Redirect
As mensagens do tipo Redirect são trocadas entre um router e um host numa rede directamente
conectada. A finalidade dessas mensagens é a de informar o host de que existe um melhor caminho para o
encaminhamento do packet para um determinado endereço.
Apesar do envio da mensagem ICMP, o router envia o packet para o destino. A mensagem tem por
finalidade informar o host no sentido de escolher um melhor caminho para enviar futuras mensagens.
A estrutura das mensagens Redirect
A estrutura das mensagens Redirect contém um campo com a indicação do endereço do router que o host
deve utilizar para enviar esses packets.
Fig. 6.10. Formato genérico das mensagens Redirect. A figura mostra alguns dos campos utilizados nas mensagens do
tipo Redirect.
Time Exceeded for a Datagram
A finalidade das mensagens Time Exceeded
Numa internet com uma topologia dinâmica pode acontecer que, em certas circunstâncias, as tabelas de
routing não reflictam correctamente a topologia da internet, gerando situações de loop.
Em termos simples, gera-se um loop quando, por exemplo, o router A envia um packet para o router B e,
devido a uma deficiente configuração das tabelas, o router B reenvia o packet para o router A que, por sua
vez o envia de novo para o router B. O packet entra assim num ciclo de onde não sai.
O ciclo não se prolonga indefinidamente visto que o campo Time-to-Live é decrementado de uma unidade
de cada vez que o packet passa por um dos routers. Quando o valor do campo Time-to-Live atinge o valor 0
o packet é descartado.
Quando um router descarta um datagrama pelo facto de o campo Time-to-Live ter atingido o valor 0, envia
uma mensagem Redirect com um código indicando o motivo pelo qual o packet foi descartado.
6-33
Uma outra situação pode ocorrer e dar origem à emissão de uma mensagem do mesmo tipo. Tal acontece
quando um datagrama tem de ser fragmentado. Quando o primeiro fragmento de um datagrama chega, o
host receptor inicia um contador de tempo. Se, ao fim de um intervalo de tempo previamente fixado, o último
fragmento não chegar, isso é considerado um erro e dá origem ao envio de uma mensagem reportando o
erro.
Na mensagem, o campo Code pode conter o valor 0 ou o valor 1. O valor 0 indica que o erro se deve ao
facto de o campo Time-to-Live ter atingido o valor 0; o valor 1 indica que foi excedido o tempo fixado para
reagrupar os fragmentos.
A estrutura das mensagens Time Exceeded for a Datagram
A figura mostra a estrutura de uma mensagem Time Exceeded for a Datagram.
Fig. 6.11. Formato genérico das mensagens Time Exceeded for a Datagram. Pode observar alguns dos campos
utilizados nas mensagens do tipo Redirect.
Parameter Problem for a Datagram
A finalidade das mensagens Parameter Problem for a Datagram
As mensagens ICMP do tipo Parameter Problem for a Datagram, podem ser originadas quando é
detectada uma situação anómala ao nível do conteúdo do próprio datagrama. Esta mensagem só é enviada
nas situações mais severas que impliquem que o packet tenha de ser descartado.
A estrutura das mensagens Parameter Problem for a Datagram
A estrutura deste tipo de mensagens é apresentada na figura. O campo Pointer pode ser utilizado para
indicar o byte onde é detectada a anomalia.
6-34
Fig. 6.12. Formato genérico das mensagens Parameter Problem for a Datagram. Pode observar alguns dos campos
utilizados nas mensagens do tipo Parameter Problem for a Datagram. O campo pointer pode ser utilizado para indicar o byte
onde se detectou a anomalia.
Timestamp Request e Timestamp Reply
A finalidade das mensagens
As mensagens Timestamp Request e Timestamp Reply são usadas para efeitos de sincronização dos
relógios internos. Através da troca de mensagens ICMP do tipo Timestamp Request e Timestamp Reply é
possível (em termos de estimativa mais ou menos aproximada) estabelecer um certo grau de sincronismo
entre duas máquinas que comunicam através da Internet.
O emissor envia uma mensagem com o valor 13 no campo Type e o receptor envia a resposta com o valor
14 no campo Type.
A estrutura das mensagens
A figura mostra o esquema das mensagens Timestamp Request e Timestamp Reply. O código no campo
Type indica de que tipo de mensagem se trata. Os campos Identifier e Sequence Number são utilizados
para identificar cada pedido e cada resposta.
Fig. 6.13. Formato genérico das mensagens Timestamp Request e Timestamp Reply. Pode observar alguns dos
campos utilizados nas mensagens do tipo Timestamp Request e Timestamp Reply. O campo pointer pode ser utilizado para
indicar o byte onde se detectou a anomalia.
O sincronismo dos relógios entre os dois extremos da comunicação é feito num base de estimativa tendo em
conta o tempo (contado em milisegundos desde a meia-noite Universal time). O campo Originate
Timestamp é criado pelo emissor imediatamente antes de o packet ser transmitido. O campo Receive
Timestamp é criado imediatamente após a recepção. O campo Transmit Timestamp é criado
imediatamente antes de a resposta ser transmitida. O emissor original pode, com base nestes valores
efectuar uma estimativa da deriva dos relógios internos dos dois hosts. Deve notar-se, no entanto, que a
6-35
utilidade prática desta estimativa é severamente afectada pelas circunstâncias que ditam a comunicação de
dados através da Internet, o que limita a utilidade prática deste mecanismo em termos de sincronização.
Address Mask Request e Address Mask Reply
A finalidade das mensagens
As mensagens do tipo Address Mask Request e Address Mask Reply têm origem no facto de nalgumas
redes ser utilizada uma técnica designada por subnet. Nesses casos, o endereço IP têm de ser interpretado
com o auxílio de uma subnet mask que identifica os bits do endereço que identificam a rede.
Quando for o caso, os hosts necessitam de conhecer a subnet mask da rede local e, para esse efeito,
podem utilizar mensagens do protocolo ICMP do tipo Address Mask Request dirigidas a um router,
recebendo como resposta uma mensagem do tipo Address Mask Reply.
O host que necessita de conhecer a subnet mask pode enviar uma mensagem broadcast ou dirigir
directamente a mensagem a um router.
A estrutura das mensagens
A figura seguinte mostra a estrutura das mensagens Address Mask Request e Address Mask Reply. O
campo Type permite identificar se se trata de um Request (17) ou de um Reply (18).
Fig. 6.13. Formato genérico das mensagens Address Mask Request e Address Mask Reply. Os campos Identifier e
Sequence Number servem para associar os pedidos às respostas. O campo Address Mask contém a subnet mask requerida.
6-36
IP Multicast
Em que consiste a técnica de multicasting
A técnica de multicasting difere do normal processo de unicasting no seguinte sentido: enquanto as

mensagens unicast são enviadas de host para host, as mensagens multicast são enviadas de um host para
um seleccionado grupo de hosts. Estabelecendo uma analogia: o sistema unicast é comparável a uma
conversa entre duas pessoas enquanto o sistema multicast é comparável a uma conferência.
Fig. 6.14. Unicast. No sistema unicast existe a comunicação entre dois hosts. A imagem sugere que diferentes datagramas
enviados a partir de um host devem ter, cada um, como destino, um host diferente.
O sistema multicasting é especialmente adequado para a transmissão de áudio, vídeo e outro tipo de
apresentações para determinados públicos na Internet ou mesmo em redes locais. A vantagem do modelo
multicasting é a de que basta transmitir uma simples mensagem e ela será distribuída por todos os
participantes no grupo, enquanto, para atingir o mesmo objectivo no sistema unicasting seria necessário
enviar uma mensagem para cada um dos receptores.
6-37
Fig. 6.15. Multicast. No sistema multicast um só datagrama originado de um host pode ser replicado para vários hosts na
rede.
A classe D (Multicasting)
No sistema de endereçamento IP, a classe D é reservada para multicasting. Os primeiros 4 bits dessa classe
são constituídos pela sequência 1110. Os restantes 28 são utilizados para identificar o grupo multicast.
6-38
A estrutura da classe D permite concluir que os endereços expressos em dotted decimal notation podem
variar entre
224.0.0.0 e 239.255.255.255
A razão para estes limites é a seguinte:

• O número inicial dos endereços da classe D, em binário é
11100000.00000000.00000000.00000000, traduzindo para dotted decimal, vem 224.0.0.0;
• Em binário, o último dos endereços da classe D é

11101111.11111111.11111111.11111111 o que, traduzindo para dotted decimal dá
239.255.255.255
Deve ter-se em conta que existem alguns limites à utilização destes endereços.
• O endereço 224.0.0.0 é reservado e não pode ser atribuído a nenhum grupo multicast;
• O endereço 224.0.0.1 (designada por all hosts) é reservado para utilização multicast em
redes locais e encontra-se permanentemente atribuído a todos os hosts do grupo:
• Os endereços multicast apenas podem ser utilizados como endereços de destino;
• Para os endereços multicast não são geradas mensagens de erro do protocolo ICMP.
O protocolo IGMP
O protocolo IGMP (Internet Group Management Protocol) é utilizado para estabelecer numa internet as
relações de pertença de hosts a um determinado grupo multicast. Este protocolo é considerado como um
componente do próprio protocolo IP.
Existem duas fases na execução do protocolo IGMP.
1. Quando um host decide participar num grupo multicast envia uma mensagem IGMP com o endereço
all hosts para declarar a sua pertença ao grupo. Os routers locais recebem essa informação e
encarregam-se de a propagar a todos os restantes routers multicast na internet;
2. Os routers locais enviam periodicamente mensagens para confirmar quantos hosts permanecem
ligados a que grupo multicast.
Um host pode ser membro de mais do que um grupo multicast. Em rigor, os únicos limites são ditados pelos
limites dos endereços da classe D e pela capacidade da placa de rede NIC para a recepção de datagramas
multicast.
6-39
D- Subnetting e supernetting
O que é uma subnet
Redes físicas e internets
Uma internet é uma rede lógica criada através da interligação de diferentes redes físicas através,
fundamentalmente, dos routers e do software do protocolo TCP/IP.
Fig.7-1-Redes físicas e internets. A figura mostra em esquema a rede da classe B 143.15.0.0 e, dentro dessa rede, duas
das redes físicas que eventualmente fazem parte dessa internet. A figura sugere ainda que as duas redes físicas possuem
tecnologias diferentes.
A comunicação entre hosts numa rede física
A comunicação de dados entre computadores localizados dentro de uma rede física é comparável à
comunicação verbal ou escrita que é possível estabelecer entre pessoas que residam na mesma casa ou
que trabalhem no mesmo local. A mensagem (verbal ou escrita) pode ser entregue directamente.
Fig.7.2-Comunicação directa numa mesma rede física. Nesta rede física, o compu-tador B pode comunicar
directamente com o computador D. Trata-se de uma rede de tipo broadcast pelo que as mensagens trocadas entre os dois
6-40
computadores são “ouvidas” por todos os outros. Mas o ponto importante a enfatizar é que se trata de uma comunicação
directa através do meio de comunicação partilhado por todos os computadores da rede.
O objectivo das subnets
A comunicação entre hosts de uma internet, pertencentes a redes físicas distintas é possível, através da
utilização dos routers. No entanto, quando um host de uma rede física pretende comunicar com outro host
pertencente a uma outra rede física na mesma internet, a questão que se pode colocar é a seguinte: como é
que o protocolo IP sabe que os dois hosts se encontram em redes físicas distintas e que, portanto, os
packets têm de ser enviados através dos routers na internet?
Exemplo
Para concretizar através de um exemplo, vamos admitir que o host B (pertencente à rede física X) pretende
comunicar com o host E (pertencente à rede física Y).
Embora se trate de redes físicas distintas, porventura situadas em diferentes cidades, vamos admitir que pertencem
a uma mesma internet, com o endereço de rede 143.15.0.0.
Para que essas diferentes redes possam ser identificadas no protocolo IP, o administrador da internet tem de dividir
o endereço da rede (vamos supor que se trata do endereço de rede 143.15.0.0) em dois blocos distintos, atribuindo
cada um desses blocos a cada uma das duas hipotéticas redes que fazem parte desta internet.
Cada um desses blocos correspondente a cada uma das redes físicas, constitui uma subnet. Uma hipótese possível
seria atribuir à rede física X a subnet 143.15.20.0 e à rede física Y a subnet 143.15.30.0. Note-se que, em ambos os
casos, o terceiro byte a contar da esquerda passaria a identificar a subnet e que apenas o último byte serviria para
identificar cada host dentro de cada subnet.
Fig.7.3-Criação de subnets. A figura sugere a divisão do endereço IP 143.15.0.0 em duas subnets: a subnet 143.15.20.0
e a subnet 143.15.30.0.
6-41
A hierarquia criada pelas subnets
As classes de endereços A, B e C criam uma hierarquia composta por duas partes: o endereço da rede e o
endereço de um host dentro da rede. O endereço da rede é atribuído por uma autoridade de supervisão
externa à organização que utiliza a rede. A criação das subnets é da responsabilidade dos administradores
da rede e é, portanto, localmente administrada.
Exemplo
Imagine-se a situação seguinte. A uma determinada organização foi atribuída a rede da classe B 130.48.0.0.
A estrutura original da rede, antes de se criar qualquer subnet é a seguinte:
Mantendo esta estrutura, o administrador pode criar numa única rede um máximo de 65534 hosts (excluindo os dois
extremos em que os bits são todos colocados a 0s ou a 1s).
Admita, no entanto, que o administrador desta rede decide criar 2 subnets, utilizando para isso 2 bits da parte
localmente administrável do endereço.
Nesse caso, passaríamos a ter a seguinte hierarquia:
Convém chamar a atenção para o facto de teoricamente, com dois subnet bits, ser possível criar quatro
subnets, pois, como se sabe, com dois bits, é possível criar quatro sequências diferentes de bits (00, 01, 10,
11). Excluindo, no entanto, os extremos 00 e 11, na prática, utilizando dois subnet bits na parte localmente
administrável, podem ser criadas duas subnets.
6-42
Um exemplo
Imagine um sistema composto por várias redes físicas. Admita que esse sistema dispõe apenas de um
endereço de rede da classe B , por exemplo, o endereço 134.14.0.0.
O administrador do sistema pode criar uma nova estrutura hierárquica, dividindo a parte do endereço
reservada a hosts, em duas novas partes: uma parte destinada a identificar cada uma das redes físicas do
sistema, e a outra destinada a identificar cada um dos hosts dessa rede física.
Admitindo, por exemplo, que o sistema é composto por três redes físicas, poderia fazer-se a seguinte
atribuição:
1. A uma das redes seria atribuído o endereço 134.14.1.0;
2. A outra, o endereço 134.14.2.0;
3. Finalmente, à terceira rede, o endereço 134.14.3.0.
O último byte do endereço de cada uma das redes físicas, seria então utilizado para identificar os hosts
dessa rede. Com esta partição da parte do endereço IP, seria possível criar 256 subnets e atribuir 256 hosts
a cada subnet (em rigor não são 256, uma vez que determinados endereços não podem ser atribuídos).
O princípio é o seguinte: quanto maior for o número de bits reservado para identificar subnets, maior é o
número de subnets que podem ser criadas e, consequentemente, menor o número de hosts em cada
subnet.
Se for atribuído um menor número de bits para identificar subnets, será menor o número máximo de subnets
que podem ser criadas e maior o número de hosts em cada subnet.
Subnet masks
O que é uma subnet mask
A implementação de uma estrutura de subnets torna necessária a utilização de um novo valor que permita,
face a um endereço IP, determinar qual a porção do endereço que identifica uma rede e qual a parte que é
utilizada para identificar hosts. Esse valor é designado por subnet mask.
Uma subnet mask é um valor de 32 bits definido em correspondência com o endereço IP. Os bits da subnet
mask são atribuídos da seguinte forma. Os bits correspondentes à parte do endereço que identifica a rede
são colocados a "1". Os bits que identificam hosts são colocados a "0". Desta forma, cada endereço IP
passa a ter associada uma subnet mask.
Naturalmente, cada uma das classes de endereços IP possui uma máscara natural ou máscara default.
Nessa máscara natural, os bits correspondentes à parte do endereço que identifica a rede são colocados a
“1” e os bits correspondentes à parte que identifica os hosts, são colocados a “0”. Neste caso, não existe
subnetting e a existência da máscara apenas confirma aquilo que está definido em termos de número de bits
para o prefixo e o sufixo de cada uma das classes de redes A, B e C.
A tabela seguinte mostra as subnet masks naturais para cada uma das classes A, B e C.
6-43
Classe Subnet mask

Classe A 255.0.0.0
Classe B 255.255.0.0
Classe C 255.255.255.0
Quando se criam subnets, a subnet mask tem de ser costumizada servindo para distinguir os bits que são
usados para identificar redes, dos bits que são utilizados para indicar hosts.
Representação de subnet masks
Representação dotted decimal e binário
Tal como os endereços IP, as subnet masks podem ser representadas sob a forma dotted decimal ou em
binário. No entanto, é preciso ter presente que uma subnet mask não é um endereço IP, mas sim um valor
que serve para interpretar o significado da estrutura de um endereço IP.
Representação com indicação do comprimento do prefixo
Uma representação abreviada da subnet mask consiste em indicar o número de bits destinados ao prefixo
sob a forma seguinte
<endereço IP>/<# bits>.

Neste sistema de representação, a seguir ao endereço IP é colocado o símbolo / seguido do número de bits
utilizado para indicar quantos bits do endereço são utilizados para identificar a rede.
Exemplos
1. Por exemplo, a subnet mask default para o endereço 143.48.0.0 da classe B pode ser representada,
conjuntamente com o endereço da seguinte forma
143.48.0.0/16
indicando, assim, que os primeiros 16 bits do endereço identificam a rede.
2. Para o caso de uma subnet mask costumizada, considere-se, por exemplo, o endereço da classe B
135.16.10.0
em que os primeiros 8 bits do sufixo são utilizados para definir uma subnet. Neste caso, o endereço e a subnet mask
podem ser representados da seguinte forma:
135.16.10.0/24
indicando que os primeiros 24 bits de endereço são utilizados para representar a rede.
Nota
6-44
Este tipo de representação assume que quando se estabelece um sistema de subnetting, os bits do sufixo são
sempre utilizados em sequência.
Identificação da rede a partir do endereço IP
Dado um endereço IP e uma subnet mask, utiliza-se a operação lógica AND (bitwise logical AND) entre o
endereço IP e a subnet mask obtendo-se como resultado o endereço da rede. Desta forma, um router pode
determinar o endereço da rede a que um packet se destina pela análise do seu endereço IP e da sua subnet
mask.
A operação lógica AND

Para que se possa compreender o modo como um router utiliza os endereços IP de destino contidos nos datagramas
para consultar a routing table e fazer o forward dos datagramas, é necessário compreender o modo como funciona a
operação AND entre os bits de dois números.
O modo como essa operação funciona vai ser apresentado através de dois exemplos.
Exemplo 1
Admita que se pretende efectuar a operação AND entre os bits correspondentes aos números 5 e 7. Essa
operação efectua-se do seguinte modo:
1. Começa-se por escrever em binário os números 5 e 7:
Decimal Binário
5 = 101
5 (decimal) = 101 (binário)

7 (decimal) = 111 (binário)
b. Os números binários são colocados um sobre o outro e o resultado da operação obtém-se do seguinte
modo: se na mesma posição figurarem dois “1”, o resultado é “1”; de contrário, o resultado é “0”. Aplicando
esta regra aos dois números acima, temos:
101
111
101
Exemplo 2
Considere-se o endereço IP 35.50.10.12 na representação dotted decimal. A este endereço corresponde a
seguinte representação binária:
00100011 00110010 00001010 00001100
Considere-se agora o valor 255.0.0.0 com a representação decimal seguinte
11111111 00000000 00000000 00000000
Efectuando a operação AND entre estas duas sequências de bits, obtém-se:
00100011 00110010 00001010 00001100

11111111 00000000 00000000 00000000
00100011 00000000 00000000 00000000
6-45
O resultado 00100011 00000000 00000000 00000000 corresponde ao valor 35.0.0.0 expresso na notação
dotted decimal.
Quando se utilizam valores como 255 (correspondente a oito bits 1), pode seguir-se a seguinte regra prática:
os valores correspondentes do outro operando permanencem inalterados.
Voltando de novo aos dados do exemplo anterior, mas agora utilizando notação dotted decimal:
35. 50. 10. 12

255. 0. 0. 0
35. 0. 0. 0
Exemplo 3
Considere-se por exemplo o endereço 130.48.125.12 com a subnet mask 255.255.140.0. A operação AND
entre o endereço e a máscara permite determinar o endereço da rede:
Subnets em redes das várias classes
Subnets em rede da classe A
O estabelecimento de subnets numa rede da classe A pode ser feita através da utilização dos 24 bits do
endereço reservados para hosts.
Quanto maior for o número desses bits utilizados para definir subredes, maior é o número de subredes que
podem ser formadas, mas menor o número de hosts em cada uma das subredes. As possibilidades que se
podem explorar são apresentadas na tabela seguinte:
6-46
Subnets da classe A
Subnet mask Bits Número de Número de

usados subnets hosts
11111111.10000000.0000000.0000000
1 2 8388606
255.128.0.0
11111111.11000000.00000000.00000000
2 4 4194302
255.192.0.0
11111111.11100000.00000000.00000000
3 8 2097150
255.224.0.0
11111111.11110000.00000000.00000000
4 16 1048574
255.240.0.0
11111111.11111000.00000000.00000000
5 32 524286
255. 248.0.0
11111111.11111100.00000000.00000000
6 64 262142
255. 252.0.0
11111111.11111110.00000000.00000000
7 128 131070
255. 254.0.0
11111111.11111111.00000000.00000000
8 256 65534
255. 255.0.0
11111111.11111111.10000000.00000000
9 512 32766
255. 255.128.0
11111111.11111111.11000000.00000000
10 1024 16382
255. 255.192.0
11111111.11111111.11100000.00000000
11 2048 8190
255. 255.224.0
11111111.11111111.11110000.00000000
12 4096 4094
255. 255.240.0
11111111.11111111.11111000.00000000
13 8192 2046
255. 255.248.0
11111111.11111111.11111100.00000000
14 16384 1022
255. 255.252.0
11111111.11111111.11111110.00000000
15 32768 510
255. 255.254.0
11111111.11111111.11111111.00000000
16 65536 254
255. 255.255.0
11111111.11111111.11111111.10000000
17 131072 126
255. 255.255.128
11111111.11111111.11111111.11000000
18 262144 62
255. 255.255.192
11111111.11111111.11111111.11100000
19 524288 30
255. 255.255.224
11111111.11111111.11111111.11110000
20 1048576 14
255. 255.255.240
11111111.11111111.11111111.11111000
21 2097152 6
255. 255.255.248
11111111.11111111.11111111.11111100
22 4194304 2
255. 255.255.252
6-47
Subnets em redes da classe B
Numa rede da classe B, existem 16 bits destinados aos hosts. Um sistema de subnetting pode utilizar uma
parte desses bits para criar subnets.
O quadro seguinte mostra as combinações possíveis desde que os bits dos hosts sejam utilizados
sequencialmente para a criação de subnets.
Subnets da classe B

11111111.11111111.1000000.0000000 1 2 32766
255.255.128.0
11111111.11111111.11000000.00000000 2 4 16382
255.255.192.0
11111111.11111111.11100000.00000000 3 8 8190
255.255.224.0
11111111.11111111.11110000.00000000 4 16 4094
255.255.240.0
11111111.11111111.11111000.00000000 5 32 2046
255.255.248.0
11111111.11111111.11111100.00000000 6 64 1022
255.255.252.0
11111111.11111111.11111110.00000000 7 128 510

255.255.254.0
11111111.11111111.11111111.00000000 8 256 254

255. 255.255.0
11111111.11111111.11111111.10000000 9 512 126

255.255.255.128
11111111.11111111.11111111.11000000 10 1024 62
255.255.255.192
11111111.11111111.11111111.11100000 11 2048 30
255.255.255.224
11111111.11111111.11111111.11110000 12 4096 14
255.255.255.240
11111111.11111111.11111111.11111000 13 8192 6
255.255.255.248
11111111.11111111.11111111.11111100 14 16384 2
255.255.255.252
6-48
Subnets em redes de classe C
Nas redes da classe C existem 8 bits destinados a hosts. Esses 8 bits podem igualmente ser utilizados para
a criação de subnets. A tabela seguinte mostra as subnets que podem ser criadas numa rede de classe C.
Subnets da classe C

11111111.11111111.11111111.10000000 1 2 126
255.255.255.128
11111111.11111111.11111111.11000000 2 4 62
255.255.255.192
11111111.11111111.11111111.11100000 3 8 30
255.255.255.224
11111111.11111111.11111111.11110000 4 16 14
255.255.255.240
11111111.11111111.11111111.11111000 5 32 6
255.255.255.248
11111111.11111111.11111111.11111100 6 64 2
255.255.255.252
Determinar o endereço das subnets
Considere-se uma rede da classe B com o endereço 189.18.0.0 e admita-se que nesta rede foi criado um
conjunto de quatro subnets através da utilização de dois bits dos hosts da rede.
A máscara da subnet é
255.255.192.0
(em binário: 11111111.11111111.11000000.00000000).
Os endereços de cada uma das subnets resultam das possíveis combinações dos dois bits de hosts que
foram utilizados para definir as subnets.
As combinações possíveis desses dois bits são as seguintes: 00, 01, 10, 11. A identificação de cada uma
das subnets pode ser feita com base nas várias combinações de endereços e na correspondente máscara
de subnet.
Cada subnet poderá conter 16382 hosts. Não se torna prático listar os endereços possíveis dos hosts de
cada subnet, mas pode definir-se o intervalo de endereços em cada uma.
Para definir os endereços de cada subnet podem considerar-se como extremos o endereço em que todos os
bits destinados a hosts são colocados a “0” (com excepção do último) e o endereço correspondentes a todos
os bits colocados a “1”, também com excepção do último. (Excluem-se assim os endereços de hosts em que
todos os bits são colocados a “0” ou a “1”).
6-49
A tabela seguinte mostra os extremos dos endereços IP de hosts para cada subnet. A tabela seguinte
mostra como são formados os endereços das quatro subnets.
Endereços de
Subnet Identificação Endereços de hosts em representação
hosts em
subnet binária
representação
decimal
10111101.00010010.00000000.00000001 189.18.0.1
1 189.18.0.0/18
- -
10111101.00010010.00111111.11111110 189.18.63.254
10111101.00010010.01000000.00000001 189.18. 64.1

2 189.18.64.0/18
- -
10111101.00010010.01111111.11111110 189.18. 127.254
10111101.00010010.10000000.00000001 189.18.128.1
3 189.18.128.0/18
- -
10111101.00010010.10111111.11111110 189.18. 191.254
10111101.00010010.11000000.00000001 189.18.192.1
4 189.18.192.0/18
- -
10111101.00010010.11111111.11111110 189.18.255.254
6-50
E - Conceitos fundamentais sobre routing

Direct delivery e indirect delivery
Direct delivery
Designa-se por direct delivery a situação em que um datagrama IP é enviado directamente para o host de
destino.
Na situação evidenciada na figura seguinte, o envio do packet é feito de host para host, sem
intervenção de um router, uma vez que o endereço de destino se encontra na mesma rede física do host de
origem.
Uma outra situação de direct delivery é ilustrada na imagem seguinte. Um router faz o direct delivery de um
packet que recebeu, e que é destinado a um host de uma rede física à qual se encontra directamente ligado.
Indirect delivery
O indirect delivery ocorre quando um nó da rede (quer se trate do host que envia quer se trate de um
router) tem de enviar o packet para um nó intermédio (um router), porque o host de destino não se encontra
na mesma rede física.
6-51
Routing ao nível de hosts
Resolução de nomes em endereços
Para que, numa internet, um host possa comunicar com outro host, necessita de conhecer o endereço IP
desse host na internet. Quando o endereço IP não é conhecido, o host necessita de obter esse endereço.
Nas redes TCP/IP é utilizado o DNS (Domain Name System). Tipicamente o host contacta um DNS Server
para obter o endereço IP do host de destino.
A imagem seguinte sugere um host cliente que necessita de obter o endereço IP do host abc.com. O
sistema de bases de dados DNS está organizado de forma a poder fornecer o endereço IP do host (caso o
host com esse nome exista).
Direct ou indirect routing
Quando o endereço IP é obtido, o host que pretende enviar dados confronta o endereço de rede de
origem com o endereço de rede de destino.
6-52
Se o host de destino pertence à mesma rede, é executado o processo designado por direct delivery: o
host de origem envia directamente a informação para o host de destino.
Se o host de destino não pertence à mesma rede, é executado o processo designado por indirect
delivery: o host de origem envia a informação para um router para que essa informação possa chegar à rede
e ao host de destino.
6-53
Default gateway
Uma rede pode estar ligada a vários routers. Uma das opções de configuração dos hosts consiste em definir
um default gateway com a indicação do endereço do router para o qual devem ser dirigidos os packets que
não se destinam a essa rede física.
Na imagem seguinte pode observar-se a caixa de configuração de propriedades dos protocolos TCP/IP.
Nessa imagem encontra-se assinalada a área onde deve ser colocado o endereço do default gateway.
6-54
Routing ao nível dos routers
Análise de packets ao nível dos routers
Quando um router recebe um packet, podem dar-se, pelo menos, três casos: o packet é destinado ao
próprio router, o packet é destinado a um host de uma rede a que o router se encontra fisicamente ligado, o
packet é destinado a uma rede a que o router não se encontra fisicamente ligado.
Packets destinados ao próprio router
Os routers trocam entre si mensagens para implementar os protocolos de routing e para manterem
actualizadas as suas tabelas de routing. Alguns packets recebidos pelos routers não se destinam a ser
enviados para outro destino: têm como destino o próprio router. O router processa o conteúdo desse
package.
Packets para redes físicas a que o router está ligado
Quando recebe um packet, o router verifica se o endereço de destino pertence a uma rede física a que o
router se encontra ligado. Nesse caso, o router encaminha o packet para o host de destino. O router executa
um direct delivery do packet.
6-55
Packets para redes físicas a que o router não está ligado
Quando o packet se destina a uma rede à qual o router não se encontra directamente ligado, este consulta a
sua tabela de routing para determinar o router para o qual o packet deverá ser enviado. O router executa
um indirect delivery do packet.
Tabelas de routing
O que são as routing tables
Uma routing table é um conjunto de registos utilizados pelos routers (e, eventualmente, pelos hosts)
para as decisões de encaminhamento de packets. Uma tabela de routing possui uma entrada para cada
rede que pode constituir o destino de uma datagrama. Uma tabela de routing pode possuir uma default route
para onde são enviados todos os packets para os quais não foi encontrado nenhum caminho específico.
6-56
Estrutura básica de uma tabela de routing
De forma muito simplificada, a estrutura de uma tabela de routing pode ser considerada como sendo
formada por três campos fundamentais: Destino, Máscara e Próximo hop.
Nesta tabela hipotética e simplificada, o significado dos campos seria aquele que é evidenciado através das
imagens seguintes.
6-57
6-58
Um exemplo simplificado
Na imagem seguinte podemos observar a estrutura de uma internet. Essa internet é composta por 4
redes A, B, C e D.
As redes A e B são redes da classe A.
6-59
A rede C é uma rede da classe B.
A rede D é uma rede da classe C.
6-60
Para compreender o exemplo simplificado, vamos observar as imagens seguintes e as caixas de texto que
acompanham cada imagem.
6-61
6-62
6-63
Unidade 7
Implementação do DNS
Saber instalar o serviço DNS.

Saber utilizar o comando NSLOOKUP para operações de teste.
Saber adicionar zonas e domínios.
Saber criar zonas delegadas.
Saber configurar uma zona para actualização dinâmica.
Saber implementar um servidor DNS caching-only.
Sumário:
Nesta unidade será implementado um servidor DNS instalando o correspondente serviço no Windows
Server. Após a instalação do servidor DNS é necessário configurar zonas e domínios bem como outras
opções relevantes para o bom funcionamento deste sistema.
Finalmente, será apresentado o procedimento necessário à criação de servidores caching-only.
7-1
A - Instalação e configuração do serviço DNS

Instalar o serviço DNS
Para instalar um servidor DNS, no Windows Server:
Abra o Assistente de componentes do Windows.
Em Componentes, clique em Serviços de rede e, em seguida, clique em

Detalhes.
Em Subcomponentes dos serviços de rede, seleccione a caixa de verificação Sistema de nomes de

domínio (DNS), clique em OK e, em seguida, clique em Seguinte.
Em Copiar ficheiros de, indique o caminho completo para os ficheiros de distribuição do Windows 2000 e,
em seguida, clique em OK.
7-2
Os ficheiros pedidos são copiados para o disco rígido e o software do servidor pode ser utilizado depois de
reiniciar o sistema.
Utilizar o comando NSLOOKUP
O comando NSLOOkUP é um utilitário da linha de comandos que pode ser utilizado para testar o correcto
funcionamento do serviço DNS.
Na linha de comandos, escreva:
nslookup endereço_ip_do_servidor 127.0.0.1
onde o endereço_ip_do_servidor é o endereço IP do servidor DNS no qual está a verificar a capacidade de

resposta.
Por exemplo, se o endereço IP para o servidor DNS é 10.0.0.1, escreveria:

nslookup 10.0.0.1 127.0.0.1
Se o servidor responder, o nome do host é devolvido. Se não for obtida resposta será necessário verificar as
opções de configuração do servidor DNS.
7-3
Adicionar Zonas
Para adicionar uma zona de pesquisa directa:

Abra a consola de DNS
Abra o servidor DNS
Na árvore da consola, clique em Zonas de Pesquisa directa.
7-4
No menu Acção clique em Nova zona.

No Assistente para nova zona, siga as instruções para criar a nova zona de forward lookup.
7-5
7-6
Com este procedimento uma nova zona é criada no servidor DNS.
7-7
Adicionar domínios
Na árvore da consola, clique na zona aplicável.
No menu Acção clique em Novo domínio.
Em Novo domínio, escreva o nome do novo domínio sem utilizar pontos finais.
Clique em OK para adicionar o novo domínio à zona.
Adicionar hosts
Na árvore da consola, clique na zona de forward lookup aplicável.

No menu Acção clique em Novo anfitrião.
7-8
Na caixa de texto Nome, escreva o nome DNS de computador para o novo anfitrião.
Na caixa de texto Endereço IP, escreva o endereço IP para o novo anfitrião.
7-9
Como opção, seleccione a caixa de verificação Criar registo PTR associado para criar um registo PTR
adicional numa zona de reverse para este anfitrião, baseado na informação que introduziu em Nome e
Endereço IP.
Clique em Adicionar anfitrião para adicionar o registo do novo anfitrião à zona.
Configurar uma zona de Reverse lookup
Na árvore da consola, clique em Zonas de pesquisa inversa

No menu Acção, clique em Nova zona.
No Assistente para nova zona, siga as instruções para criar a nova zona de reverse lookup.
7-10
B-Trabalhar com servidores DNS e zonas
Criar zonas delegadas
O DNS fornece a opção de dividir os espaços do nome em uma ou mais zonas, que podem depois ser
armazenadas, distribuídas e replicadas para outros servidores DNS. Ao decidir a divisão dos espaços do
nome DNS para ter zonas adicionais, considere as seguintes razões para utilizar zonas adicionais:
A necessidade de delegar a gestão de parte do espaço do nome DNS para outras localizações ou
departamentos dentro da organização.
A necessidade de dividir uma zona grande em pequenas zonas para distribuir as cargas de tráfego entre
vários servidores, melhorar o desempenho da resolução de nomes DNS ou criar um ambiente DNS mais
tolerante a falhas.
A necessidade de estender o espaço do nome ao adicionar vários subdomínios de uma única vez, tal como
para receber a abertura de um novo ramo ou site.
Se, por algum destes motivos, pudesse beneficiar da delegação de zonas, faria sentido reestruturar o
espaço do nome ao adicionar zonas adicionais. Quando escolher como estruturar as zonas, deve utilizar um
plano que reflicta a estrutura da organização.
Quando delegar zonas dentro do espaço do nome, esteja atento a cada zona nova que criar, irá precisar de
registos de delegação noutras zonas que apontem para os servidores DNS autoritários para a nova zona.
Isto é necessário para transferir autoridade e para fornecer a referência correcta para outros servidores e
clientes DNS dos novos servidores tornados autoritários para a nova zona.
Quando é criada primeiro uma zona primária padrão, esta é armazenada como um ficheiro de texto que
contem todas as informações do registo de recursos num único servidor DNS. Este servidor funciona como o
mestre primário para a zona. As informações da zona podem ser replicadas para outros servidores DNS
para melhorar a tolerância a falhas e o desempenho do servidor.
7-11
Para delegar uma zona:

Na árvore da consola, clique no subdomínio.
No menu Acção, clique em Nova delegação.
Siga as instruções fornecidas no Assistente de nova delegação para acabar de criar o domínio delegado.
Configurar uma zona para actualização dinâmica
A actualização dinâmica activa os computadores cliente DNS para registar e actualizar dinamicamente os
respectivos registos de recursos com um servidor DNS sempre que se verificarem alterações. Isto reduz a
necessidade de administração manual de registos de zona, principalmente para clientes que se movem ou
alteram as localizações e utilizam o DHCP para obter endereços IP.
O Windows 2000 fornece suporte de cliente e servidor para a utilização de actualizações dinâmicas, tal
como se descreve no RFC 2136. Para servidores DNS, o serviço DNS permite que a actualização dinâmica
seja activada ou desactivada numa base por zona em cada servidor configurado para carregar uma zona
primária padrão ou integrada num directório. Por predefinição, os computadores cliente a executar com
qualquer versão do Windows 2000 actualizam dinamicamente os registos de recursos (RR) do host (A) no
DNS, quando configurados para TCP/IP.
Para activar a actualização dinâmica:

Na árvore da consola, clique na zona aplicável.
7-12
No menu Acção, clique em Propriedades.
No separador de propriedades Geral, verifique se o tipo de zona é Primário ou Integrado no Active

Directory.
Na lista Permitir actualizações dinâmicas?, clique em Sim.
Servidores DNS caching-only
Apesar de todos os servidores de nomes de DNS coloquem em cache as consultas que resolveram, os
servidores apenas de colocação em cache são servidores de nomes de DNS que apenas efectuam
consultas, colocam em cache as respostas e devolvem os resultados. Não são autoritários para nenhuns
domínios e as informações que contêm são limitadas àquilo que foi colocado em cache enquanto estão a
resolver consultas.
Para determinar quando utilizar este tipo de servidor, note que quando este servidor foi iniciado pela primeira
vez, ela não possui informações guardadas na cache. Estas informações são obtidas com o tempo à medida
que os pedidos dos clientes são respondidos. No entanto, se estiver a lidar com uma ligação de rede
alargada de baixa velocidade entre sites, esta opção pode ser ideal porque, após a cache estar constituída,
o tráfego diminui. Além disso, os servidores apenas de colocação em cache não efectuam transferências de
zonas, o que pode intensificar as redes num ambiente de rede alargada.
7-13
Implementar um servidor DNS caching-only
Um servidor DNS caching-only pode ser muito útil numa localização onde a funcionalidade DNS seja
localmente necessária, mas que não seja desejada administrativamente para criar um domínio separado ou
zona para essa localização.
Ao implementar um computador como servidor DNS, configure manualmente o TCP/IP e utilize um endereço
IP estático.
Para instalar um servidor DNS caching-only, instale um servidor DNS com computador servidor.
Verifique se as sugestões raiz do servidor estão correctamente configuradas ou actualizadas.
Os servidores DNS Caching-only não hospedam zonas e não são autoritários para um determinado domínio.
São servidores DNS que criam uma cache do servidor local de nomes obtidos durante a execução de
consultas repetitivas em nome dos respectivos clientes. Esta informação fica, então, disponível na cache ao
responder às subsequentes consultas dos clientes.
7-14
Unidade 8
Dynamic Host Configuration Protocol
Conhecer o funcionamento do protocolo DHCP-Dynamic Host Configuration Protocol.

Saber instalar o serviço DHCP.
Configurar âmbitos DHCP num servidor
Saber identificar e resolver problemas de configuração do servidor DHCP..
Sumário:
O DHCP-Dynamic Host Configuration Protocol é um serviço de atribuição automática de configurações IP

numa rede TCP/IP. Este serviço pode ser instalado num servidor Windows e configurado para atribuir
endereços IP a computadores. Nesta unidade irá aprender a configurar um servidor desta natureza bem
como activar as configurações automáticas TCP/IP dos computadores de uma rede.
Finalmente, serão apresentadas algumas configurações específicas do serviço DHCP.
8-1
A - Introdução ao DHCP
O que é o DHCP
O Protocolo dinâmico de configuração de host (DHCP) é um padrão TCP/IP concebido para simplificar a
gestão da configuração IP do host. O DHCP padrão permite a utilização de servidores DHCP como forma de
gerir a atribuição dinâmica de endereços IP e outros detalhes relacionados com a configuração a clientes
que utilizam o DHCP na rede.
Adicionalmente a um endereço IP, os servidores DHCP podem ser configurados para fornecer dados
opcionais de modo a configurar TCP/IP totalmente aos clientes. Alguns dos tipos de opções DHCP mais
frequentemente configuradas e distribuídas pelo servidor DHCP durante uma concessão são os seguintes:
Gateways (routers) predefinidos, utilizados para ligar um segmento de uma rede a outros segmentos
de rede.
Outros parâmetros opcionais de configuração para atribuir clientes DHCP, tais como endereços IP
para os servidores DNS ou servidores WINS que os clientes possam utilizar na resolução de nomes
de host de rede.
Cada computador numa rede TCP/IP tem de ter um único nome e endereço IP de computador. O endereço
IP (em conjunto com a máscara de rede) identifica o computador anfitrião e a sub-rede aos quais está ligado.
Quando move um computador para uma sub-rede diferente, o endereço IP tem de ser alterado. O DHCP
permite-lhe atribuir dinamicamente um endereço IP a um cliente da base de dados de endereços IP do
servidor DHCP na rede local.
8-2
Configuração dinâmica dos protocolos TCP/IP
O protocolo TCP/IP pode ser configurado para obter as definições de forma dinâmica utilizando o protocolo
DHCP. Com a configuração dinâmica activada os computadores procuram as definições do protocolo
TCP/IP num servidor DHCP existente na rede, quando o computador é iniciado.
Para implementar a configuração dinâmica do TCP/IP, efectue os seguintes passos:
1. Seleccione a opção Ligações de acesso telefónico e de rede, da pasta Definições, no menu Iniciar.
2. Execute um clique no botão direito do rato sobre o ícone Ligações de área local e escolha a opção
Propriedades.
3. No separador Geral, escolha o protocolo TCP/IP e execute um clique em Propriedades.
4. Escolha as opções Obter automaticamente um endereço IP e Obter automaticamente o endereço do

servidor DNS.
8-3
Esquema de funcionamento do DHCP
O processo de atribuição das configurações IP através da utilização do serviço DHCP começa quando um
cliente é iniciado. O host efectua os seguintes passos para tentar obter o endereço IP do servidor DHCP:
O cliente DHCP difunde uma mensagem de identificação DHCP para a sub-rede local.
Um servidor DHCP pode responder com uma mensagem de oferta DHCP (DHCPOFFER) que
contém um endereço IP para conceder ao cliente.
Logo que uma mensagem de oferta DHCP seja recebida, o cliente selecciona o endereço oferecido
respondendo ao servidor com um pedido DHCP.
Normalmente, o servidor que oferece o endereço envia uma mensagem de confirmação DHCP
(DHCPACK), aprovando a concessão.
Para além do endereço e máscara de subrede, são enviadas também as restantes configurações IP
definidas no servidor DHCP.
Uma vez recebida a confirmação, o cliente configura as propriedades TCP/IP utilizando as informações
fornecidas na resposta e adere à rede.
8-4
B - Instalar e configurar um servidor DHCP

Instalar o serviço DHCP
A instalação do serviço DHCP num servidor Windows 2000 configura esse computador para actuar como
servidor DHCP
Para instalar o serviço de DHCP:
Aceda ao utilitário Adicionar e remover programas, do Painel de controlo e escolha a opção Componentes.
Na janela Componentes do Windows, seleccione Serviços de funcionamento em rede e execute um

clique em Detalhes...
8-5
Seleccione a opção Protocolo de configuração dinâmica de anfitrião(DHCP) e execute um clique em OK.
Finalmente execute um clique em Seguinte para instalar o serviço.
Se o servidor onde foi instalado o DHCP, não for um controlador de domínio é necessário autoriza-lo para
funcionar na rede como servidor DHCP.
8-6
Para autorizar um servidor DHCP:
Na árvore da consola, clique em DHCP.
8-7
No menu Acção, clique em Gerir servidores autorizados.
Aparece a caixa de diálogo Gerir servidores autorizados.
Clique em Autorizar.
8-8
Quando lhe for pedido, escreva o nome ou o endereço IP do servidor DHCP a ser autorizado e, em seguida,
clique em OK.
Utilizar o comando IPConfig
Ao nível dos clientes DHCP o utilitário IPConfig pode ser utilizado para verificar a configuração IP do cliente
e efectuar tarefas relacionadas com a concessão de endereços e informações IP.
Para verificar, libertar ou renovar a concessão de endereço de um cliente:
Num computador cliente com o DHCP activado a executar o Windows, abra uma linha de comandos.
Utilize o utilitário de linha de comandos Ipconfig para verificar, libertar ou renovar a concessão do cliente
com um servidor DHCP, da seguinte maneira:
Para verificar uma concessão de cliente DHCP, escreva ipconfig para visualizar as informações de estado
da concessão, ou ipconfig /all para que sejam apresentadas todas as configurações IP do computador.
8-9
Para libertar uma concessão de cliente, escreva ipconfig /release.
Para renovar uma concessão de cliente, escreva ipconfig /renew.
Criar um novo âmbito
Um âmbito é o intervalo completo de endereços IP consecutivos de uma rede. Normalmente, os âmbitos

definem uma única sub-rede física na rede, à qual são fornecidos serviços DHCP. Os âmbitos constituem
também a forma principal de gerir a distribuição e atribuição de endereços IP e quaisquer parâmetros de
configuração relacionados com clientes na rede.
8-10
Para criar um novo âmbito de atribuição de configurações TCP/IP, abra a consola DHCP das Ferramentas
administrativas.
Seleccione o servidor DHCP, e no menu de contexto escolha a opção Novo âmbito.
Na caixa de Assistente para um novo âmbito comece por atribuir um nome para o âmbito e uma
descrição.
8-11
No ecrã seguinte defina o Endereço IP Inicial e Final do âmbito a atribuir e a respectiva máscara de rede.
8-12
A utilização deste assistente permite-lhe ainda determinar qual o conjunto de endereços IP a excluir da
concessão.
A apresentada a janela que permite definir o tempo de concessão dos endereços.
8-13
Na janela seguinte escolha a opção Definir configurações mais tarde. As opções de configuração de
servidores DNS e router poderão ser configuradas posteriormente na consola DNS.
8-14
Depois deste processo é criado um novo âmbito que permite ao servidor DHCP atribuir endereços IP aos
clientes que efectuarem pedidos de concessão.
Excluir um conjunto de endereços IP de um âmbito
Em determinadas situações pode ser necessário excluir um endereço ou conjunto de endereços IP de um

âmbito. A exclusão pode ser justificada pelo facto de ser necessário reservar endereços IP fixos para
determinados hosts da rede (tais como routers ou servidores DNS), ou pela existência de vários servidores
DHCP. No caso de existi mais do que um servidor DHCP, na mesma subrede, cada servidor deve possuir
um intervalo distinto de endereços que pode atribuir.
Ao criar um novo âmbito, o Assistente para um novo âmbito dá-lhe a possibilidade de escolher qual o
conjunto de endereços que são excluídos da concessão . No entanto esta configuração pode ser efectuada
e alterada posteriormente.
8-15
Para excluir um conjunto de endereços IP:
Na consola administrativa do DHCP seleccione o âmbito e Conjunto de endereços.
No menu Acção, clique em Novo intervalo de exclusão.
Na caixa de diálogo Adicionar exclusão, escreva o Endereço IP inicial que pretende excluir deste âmbito.
8-16
Para excluir um intervalo de mais do que um endereço IP, escreva um Endereço IP final.
Clique em Adicionar.
A figura anterior revela a lista de endereços para distribuição e os intervalos de exclusão de endereços.
Determinar o tempo de concessão
Os endereços IP são concedidos pelo servidor DHCP aos seus clientes. Cada concessão tem uma data de
validade, que o cliente tem de renovar se for continuar a utilizar esse endereço.
Para determinar o tempo de concessão de endereços:
Na consola administrativa do DHCP seleccione o âmbito
No menu Acção, clique em Propriedades
Na secção Duração da concessão para clientes DHCP, determine o tempo de concessão de endereços.
8-17
As definições determinadas por este processo aplicam-se apenas ao âmbito seleccionado.
8-18
Determinar o endereço de routers
Numa rede local podem existir routers que estabelecem a conectividade com outras redes. Para que os
postos de trabalho possam comunicar com outras redes é necessário que na sua configuração IP figure o
endereço IP dos routers existentes na rede e quais as redes que estes interligam. O servidor DHCP contém ,
na sua base de dados essa informação que pode ser transmitida aos clientes quando estes iniciam o
processo de pedido de concessão.
Para determinar o endereço de routers:
Seleccione Opções de servidor
No menu Acção, escolha a opção Configurar opções
8-19
Na caixa Opções disponíveis marque a opção 003 Router
Na caixa Endereço IP introduza o endereço do router.
Utilizando este processo pode configurar mais do que um router. Pode também estabelecer uma hierarquia,
utilizando os botões Para cima e Para baixo, ao seleccionar um dos endereços.
Para servidores que funcionem como router (Multihomed computer), pode introduzir o nome do computar e
executar um clique em Resolver, para obter o endereço IP do computador. No entanto, esta opção apenas
funciona se existir um servidor de nomes configurado na rede.
8-20
Determinar o endereço de servidores DNS
Os servidores de nome DNS devem conter um endereço fico num rede IP. O servidor DHCP pode ser
configurado para enviar a informação sobre os servidores DNS existes na rede, juntamente com a
configuração IP. O processo é semelhante ao utilizado para a determinação de routers.
Para determinar o endereço de servidores DNS:
Seleccione Opções de servidor
No menu Acção, escolha a opção Configurar opções
Na caixa Opções disponíveis marque a opção 006 Servidor DNS
Na caixa Endereço IP introduza o endereço do servidor DNS.
Após este procedimento, a localização dos servidores de nomes DNS é enviada para os clientes DHCP.
8-21
Eliminar um âmbito
Para eliminar um âmbito de concessão de endereços IP, execute os seguintes procedimentos:
Na consola administrativa do DHCP seleccione o âmbito a eliminar
No menu Acção, clique em Eliminar
8-22
Unidade 9
Conectividade de redes locais à Internet
Compreender o conceito de private addressing.

Descrever o funcionamento do protocolo NAT-Network Address Translation.
Conhecer o funcionamento da técnica Port Address Translation.
Configurar um router e clientes para o acesso à Internet por encaminhamento.
Configurar o router e clientes para o acesso à Internet por conversão de endereços NAT
Sumário:
A conectividade das redes locais à Internet pode ser assegurada de várias formas. A forma mais comum é a
utilização de um servidor proxy que encaminha os pedidos feitos pelos clientes para os servidores existentes
na Internet. Nesta unidade será apresentada a tecnologia NAT-Network Address Translationque permite
fazer face à possível escassez de endereços IP na Internet.
Serão explicadas duas formas de configuração de um servidor Windows para o acesso à Internet. A primeira
é o acesso por encaminhamento, onde o sistema actua como um router encaminhando tráfico entre a rede
local e a Internet. A segunda recorre à tecnologia NAT para estabelecer o acesso à Internet.
9-1
A- Conceitos básicos sobre o estabelecimento da conectividade de redes

locais à Internet
O problema da possível “escassez” de endereços
É um facto que o número de computadores ligados à Internet tem crescido exponencialmente nos últimos
anos e, como tudo indica, essa evolução terá tendência a prosseguir. Daí que se comece a colocar o
problema da possível exaustão do número de endereços disponíveis.
No entanto, é preciso ter em consideração o seguinte: cada endereço IP (na sua versão actual, a versão 4)
32
possui 32 bits. Ora bem, com 32 bits é possível em teoria criar 2 endereços diferentes, ou seja 4 294 967
296, isto é, muito mais do que 4 biliões de endereços. Ainda é cedo para que existam mais de 4 biliões de
máquinas ligadas directamente à Internet e com necessidade de um endereço IP que seja único em toda a
Internet.
O problema reside na forma como a estrutura de endereços foi inicialmente criada, particularmente, a divisão
do espaço de endereços nas classes A, B e C. Evidentemente, na altura em que o esquema foi criado,
pensava-se, talvez, em dezenas ou centenas de redes, e talvez nalguns milhares de hosts. Talvez ninguém
estivesse em condições de prever o crescimento exponencial que a Internet viria a ter.
O problema está no facto de que, através da atribuição de classes de endereços A e B a algumas

organizações, existe um efectivo desperdício de endereços.
Tornou-se, assim, necessário, encontrar estratégias alternativas para evitar o possível colapso do
crescimento da Internet. Dentre essas estratégias, há três que importa compreender e estudar:
CIDR (Classless Interdomain Routing) – Breve apresentação

A técnica designada pela sigla CIDR (Classless Interdomain Routing) foi introduzida em 1993. Trata-se de uma
estratégia para eliminar progressivamente a técnica original de atribuição de classes de endereços (designada por
classfull).
As necessidades de endereços das várias organizações são muito diversificadas, muito para além das três classes
inicialmente definidas. Por exemplo, se uma organização necessita de 1000 endereços, uma classe C é insuficiente,
mas uma classe B levaria ao desperdício de mais de 64000 endereços.
A técnica CIDR, aqui sumariamente apresentada e posteriormente desenvolvida, consiste em atribuir blocos de
endereços que permitam cobrir as necessidades actuais e futuras da organização, sem se incorrer em desperdício
excessivo de endereços.
VLSM (Variable-Lenght Subnet Mask) – Breve apresentação

A técnica designada pela sigla VLSM (Variable Lenght Subnet Mask) consiste em dividir a área localmente
administrável em subnets de comprimento variável. Dessa forma, uma organização pode atribuir um maior ou menor
número de subnet bits, criando, dentro da mesma rede, subnets com diferentes capacidades em termos de número
de hosts que podem ser suportados.
PV (Private Addressing) – Breve apresentação

A solução designada por PV (Private Addresing) leva em consideração o facto de os endereços IP terem de ser únicos
dentro de cada internet. Por esse motivo, nada impede que uma organização utilize endereços IP privados dentro da
9-2
sua própria rede ou internet. Esses endereços privados não utilizam directamente os endereços publicamente
disponíveis para a Internet global.
Para que os hosts possam comunicar através da Internet, utiliza-se uma técnica designada por NAT (Network
Address Translation). Esta técnica, para além de permitir implementar mecanismos de segurança, permite
igualmente traduzir endereços IP internos em endereços IP públicos.
Private addressing
Proxy servers
O que é um proxy server
Um proxy server é essencialmente um computador que actua em nome de outros computadores (em
português, poderia dizer-se que é uma espécie de “procurador”) numa rede. Para além dos aspectos ligados
ao significado das palavras e à sua possível tradução para a língua portuguesa, o que realmente importa é
compreender as funções que geralmente são atribuídas aos proxy servers.
Fig.7.4-Proxy servers. Um proxy server pode ser configurado para aceder à Internet a “pedido” de outros computadores
da rede.
Para além de representar outros computadores, um proxy pode igualmente ser configurado com funções de
segurança e controle de acesso quer de acessos provenientes do exterior de uma rede quer do acesso dos
computadores da rede interna ao exterior.
Acesso a servidores Web
O papel dos proxies
Um proxy pode ser utilizado por qualquer dos computadores da rede interna para aceder a serviços na
Internet. Por exemplo, um proxy pode ser configurado para aceder a servidores Web, a pedido de um dos
computadores da rede interna.
Numa primeira fase, um computador da rede interna requisita o acesso, por exemplo, a uma página HTML
localizada num determinado servidor Web na Internet. O pedido não é directamente dirigido ao servidor Web
através da Internet. Em vez disso, o pedido é direccionado para o proxy da rede.
9-3
Fig.7.5-Pedido de acesso a um web server através de um proxy. Esta figura sugere que os host A requisita a página
a.htm ao servidor abc.com na Internet, através do servidor proxy.
Em princípio, o proxy dirige o pedido ao servidor Web através da Internet. Quando se diz que em princípio o
proxy dirige o pedido ao servidor Web, pretende chamar-se a atenção para o facto de, por vezes, os proxies
poderem ser configurados para manter numa cache interna páginas HTML frequentemente requisitadas
pelos computadores da rede.
Nesses casos, se a página ainda mantiver a sua validade, o proxy satisfaz imediatamente o pedido do
cliente interno, sem necessidade de aceder à Internet.
Caching
Os proxy servers são frequentemente configurados para criar uma cache interna que permita minimizar o
tráfego na Internet.
Imagine-se que os utilizadores de uma determinada rede acedem com frequência à página
www.abc.com/frequent.htm.
Dependendo das características das próprias páginas, incluídas em parâmetros fixados pelo Web server,
que podem determinar um determinado prazo de validade para a página, o proxy poderá criar uma cache
interna mantendo nessa cache uma cópia das páginas mais solicitadas.
Assim, quando um computador cliente requisitar uma página que ainda esteja validamente na cache, o proxy
satisfaz directamente o pedido do cliente, sem aceder ao servidor Web na Internet.
9-4
Em condições normais, o Web server envia ao proxy a página solicitada. Note-se que, o Web server não tem
qualquer conhecimento sobre qual foi o computador que originalmente solicitou a página. Para o Web server
a página é requisitada pelo computador que funciona como proxy. Esta é uma das formas de esconder a
estrutura interna da rede a partir da visão que se tem do exterior.
A Internet apenas “vê” o endereço IP do proxy. Mesmo que na rede interna seja utilizado um sistema privado
de endereçamento IP, esses endereços são invisíveis fora da rede interna e, por esse motivo, não podem
ser directamente acedidos do exterior.
Depois de obter a página, o proxy satisfaz o pedido original do cliente A, enviando-lhe a página (ou,
eventualmente, qualquer outro tipo de recurso) solicitado. Para o computador cliente A, tudo se passou de
forma relativamente transparente, como se o pedido tivesse sido dirigido directamente ao Web server.
9-5
A arquitectura proxy e a economia de endereços
As organizações que utilizam uma arquitectura baseada em proxies, necessitam de relativamente poucos
endereços. Esses endereços podem ser facilmente obtidos através dos ISP (Internet Service Providers).
Aliás, nos últimos anos, a maior parte dos endereços públicos da Internet têm sido atribuídos às
organizações através dos ISP.
NAT – Network Address Translation
As finalidades da técnica NAT
A principal finalidade da técnica designada por NAT (Network Address Translation) é a de conseguir utilizar
de forma relativamente eficiente um pequeno número de endereços públicos IP (no limite apenas um) para
um número relativamente elevado número de máquinas de uma rede.
Uma outra finalidade é a de utilizar técnicas de segurança que permitam evitar a intrusão numa rede a partir
do exterior, escondendo os endereços internos privados de cada uma das máquinas da rede.
9-6
Em que consiste a técnica NAT
No essencialmente, a técnica NAT consiste em alterar alguns elementos dos headers dos packets da rede
interna para o exterior e do exterior para a rede interna. Essas funções são em regra desempenhadas por
routers (ou, nalguns casos, por firewalls).
As transformações operadas nos headers dos packets estão em regra relacionadas com a alteração do
source address, do destination address ou de ambos os endereços.
Exemplo
O exemplo que vamos apresentar em seguida é muito simples e pode ser descrito sumariamente da seguinte forma:
• Um host de um determinada rede possui um endereço IP privado, por exemplo, o endereço 20.0.0.1. Esse
endereço é um endereço interno privado, conhecido apenas no interior da rede.

• Esse host pretende comunicar (estabelecendo, por exemplo, uma conexão TCP) com um Web server na
Internet.
• A comunicação é feita através de um router com funcionalidades NAT. Ao enviar o primeiro packet, o
router transforma o endereço IP interno num endereço IP externo e público.
O endereço interno 20.0.0.1 é transformado pelo router no endereço público 192.125.137.5, como se pode observar
na figura seguinte, através da modificação do conteúdo do campo source address do header do packet.
9-7
Na imagem seguinte pode observar o envio do pedido através do proxy para o web server.
Ao enviar a resposta, o web server envia a resposta para o endereço público 192.125.137.5, como se pode observar
no campo DESTINATION ADDRESS. Observe a imagem seguinte.
Finalmente, o router executa a transformação do endereço público 192.125.137.5 no endereço privado 20.0.0.1,
através da modificação do valor do campo DESTINATION ADDRESS. Observe o processo na imagem seguinte.
O exemplo que se acabou de apresentar é um exemplo muito simples, servindo apenas para ilustrar a
técnica básica utilizada pelos sistemas NAT. Todavia, como facilmente se compreende, este simples
esquema não permite realizar qualquer economia de endereços, pois, para cada endereço interno, será
necessário utilizar um endereço externo. O tipo de situação apresentada no exemplo, é referida como 1-to-1
porque não é realizada qualquer economia de endereços.
O exemplo seguinte, mostra como uma técnica idêntica (mas designada por Double NAT) que permite
transformar simultaneamente os endereços source e destination de um packet.
Esta técnica pode revelar-se de interesse em várias circunstâncias e, uma delas, é a seguinte. Imaginemos
que duas redes utilizam internamente endereços IP privados. Assim sendo, pode ocorrer um conflito
resultante do facto de em cada uma das redes haver máquinas com o mesmo endereço IP. A técnica
9-8
designada por Double NAT consiste em modificar quer o endereço de origem quer o endereço de destino de
um packet.
Exemplo
A técnica Double NAT consiste no fundo na utilização da técnica de 1-to-1 só que executada duas vezes, através da
utilização de dois routers NAT.
Vamos admitir que, em duas redes distintas existe um sistema de endereçamento privado e que, por coincidência,
existem duas máquinas, a máquina X e a máquina Y, que têm precisamente o mesmo endereço. Vamos admitir que
esse endereço é o endereço 192.201.123.5.
A técnica consiste em fazer com que os routers A e B efectuam a tradução de endereços, fazendo com que a
máquina X julgue que está a comunicar com a máquina Y com endereço 192.201.98.8 e que a máquina Y julgue que
está a comunicar com a máquina X com endereço 192.201.135.16. Os routers devem possuir tabelas internas que
lhes permitam efectuar essas conversões;
1. Admita-se que a máquina X envia um packet para o router A, com destino à máquina Y. O endereço de origem é o
verdadeiro endereço da máquina X, mas o endereço de destino é o endereço fictício da máquina Y (192.201.98.8).
Observe a imagem seguinte.
2. O router A executa a transformação do endereço de origem para o endereço fictício da máquina X

(192.201.135.16) e mantém o endereço fictício de destino da máquina Y (192.201.98.8) enviando em seguida o
packet para o router B. Esse processo pode ser observado na imagem seguinte.
9-9
3. O router B executa em seguida a transformação do endereço fictício 192.201.98.8 no endereço real

192.201.123.5 da máquina Y. Observe a próxima imagem.
O ponto que importa salientar depois da apresentação destes exemplos é o de que, as técnicas NAT que
forma apresentadas, permitem utilizar endereços privados e podem inclusivamente lidar com situações em
que haja endereços privados iguais. Mas o facto é que não reduzem o número de endereços IP necessários.
Estas técnicas são designadas por STATIC NAT. A técnica que vai ser apresentada em seguida é designada
por DYNAMIC NAT.
Dynamic NAT
A técnica DYNAMIC NAT tem por objectivo traduzir um grande número de endereços IP internos, num número
menor de endereços IP públicos.
Um problema típico que a técnica de DYNAMIC NAT permite resolver é o seguinte: admita que possui uma
rede com cerca de 100 hosts mas que dispõe apenas de 16 endereços IP fornecidos pelo seu ISP.
Uma das formas de resolver este problema seria o de criar um servidor proxy e utilizar apenas um endereço
IP. Mas a técnica DYNAMIC NAT poderá ser útil em determinadas circunstâncias. Para concretizar, vamos
apresentar um exemplo.
9-10
Exemplo
Vamos admitir o seguinte cenário. Uma rede interna possui cerca de 100 hosts. O ISP disponibilizou um bloco de 16
endereços IP. Vamos admitir que esse bloco de endereços IP é o seguinte:
192.125.143.0/28
isto significa que o bloco de endereços vai de 192.125.143.0 a 192.125.143.15. A explicação é a seguinte:
O endereço
192.125.143.0/28
corresponde a uma máscara de 28 bits. Escrevendo o bloco de endereços em binário teremos:
11000000.01111101.10001111.00000000
11111111.11111111.11111111.11110000 - Prefixo
Os endereços disponíveis são os seguintes:
Dotted decimal: 192.125.143.0

Binário: 11000000.01111101.10001111.00000000

Binário: 11000000.01111101.10001111.00000001

Binário: 11000000.01111101.10001111.00000010

Binário: 11000000.01111101.10001111.00000011

Binário: 11000000.01111101.10001111.00000100

Binário: 11000000.01111101.10001111.00000101

Binário: 11000000.01111101.10001111.00000110

Binário: 11000000.01111101.10001111.00000111

Binário: 11000000.01111101.10001111.00001000

Binário: 11000000.01111101.10001111.00001001

Binário: 11000000.01111101.10001111.00001010
9-11

Binário: 11000000.01111101.10001111.00001011

Binário: 11000000.01111101.10001111.00001100

Binário: 11000000.01111101.10001111.00001101

Binário: 11000000.01111101.10001111.00001110

Binário: 11000000.01111101.10001111.00001111
Na prática, porém, o bloco de endereços
192.125.143.0/28
restringe-se a apenas 12 endereços utilizáveis, uma vez que:
• Os endereços 0 e 15 não podem ser utilizados;
• O endereços 1 e 2 podem, por exemplo, ser atribuídos ao router do ISP e ao router da rede;
• Restam portanto 12 endereços utilizáveis.
Os routers devem possuir tabelas dinâmicas que lhes permitem efectuar a tradução de endereços. O
processo desenrola-se como adiante esquematicamente se descreve:
• Se uma máquina interna pretende contactar com a Internet, o router procura uma endereço
externo disponível e associa na sua tabela o endereço privado interno com o endereço
público. Ao criar essa associação, o router inicia um timer para essa ligação;
• Quando uma ligação termina, o router elimina a associação estabelecida na tabela;
• Se entretanto outras máquinas internas pretenderem estabelecer conexões externas, o router

irá criando associações na sua tabela interna dinâmica entre os endereços internos privados
e os endereços públicos disponíveis.
Evidentemente que se pode colocar um problema: que acontece quando existem mais máquinas do que o
número de endereços públicos disponíveis existem para comunicar ao mesmo tempo com a Internet?
A solução consiste em encontrar uma técnica que permita várias máquinas internas possam partilhar o
mesmo endereço público externo. Essa técnica é designada por PAT (Port Address Translation).
9-12
PAT – Port Address Translation
A questão de utilizar o mesmo endereço IP para pedidos feitos por duas máquinas diferentes é a seguinte:
como é que, quando chegasse a resposta (vindo ela para o mesmo endereço IP externo) poderia o router
decidir a qual das máquinas essa resposta era dirigida.
A sigla PAT deriva de Port Address Translation. Isto significa que, ao traduzir os endereços IP, o router
efectua igualmente a tradução dos port numbers de cada packet. Esta técnica permite que uma grande
número de máquinas internas partilhem o mesmo endereço IP externo. Esta técnica funcionará bem pelo
menos para os packets que utilizam os protocolos TCP e UDP.
Exemplo
1. Vamos considerar o seguinte cenário. Uma aplicação numa máquina cliente, com o endereço privado 20.0.0.1 e
com o port number 1250 contacta o web server com endereço 205.134.98.123 para o port number 80, através
de um router NAT. Observe a imagem seguinte.
2. O router efectua a tradução do endereço interno (20.0.0.1) para o endereço externo 192.125.137.5, e efectua
também a tradução do port number 1250 para 5128.
3. Na resposta, o web server envia o packet para o endereço IP (192.125.137.5) e para o port number fictício
(5128).
9-13
4. Antes de enviar a resposta para a máquina interna, o router usa as suas tabelas internas para efectuar as
conversões necessárias.
9-14
B – Acesso à Internet por encaminhamento (routing)

O que é o Acesso por encaminhamento
Existem duas opções quando é necessário ligar uma rede local à Internet: o acesso encaminhado e o
acesso por conversão de endereços. O acesso encaminhado exige que um ISP (Internet Service Provider)
fornece um intervalo de endereços IP para utilizar em hosts da rede local e o endereço IP de um servidor
DNS para a resolução de nomes de host.
O router do Windows tem de ser configurado manualmente com uma configuração de endereços IP e, se o
DHCP não estiver a ser utilizado, todos os hostd da rede local têm igualmente de ser configurados com uma
configuração de endereços IP. Se o DHCP estiver a ser utilizado, tem de ser configurado um servidor DHCP
da rede com um âmbito e opções de âmbito atribuídos pelo ISP . Os protocolos de encaminhamento não são
necessários para propagar informações de encaminhamento IP na rede local. Os computadores na rede são
configurados manualmente com o endereço IP do gateway predefinido do router do Windows 2000 ou
recebem um endereço IP do gateway predefinido através do DHCP. O router do Windows não é configurado
com o gateway predefinido, mas sim com uma rota predefinida.
Uma ligação encaminhada para a Internet significa que a comunicação pode ocorrer com qualquer host na
Internet. Também significa que os host da rede localestão expostos a possíveis utilizadores de má fé na
Internet. Para maior segurança, são configurados filtros de pacotes no router do Windows para prevenir
tráfego da Internet indesejado na rede local.
Configuração do router
Para configurar uma ligação encaminhada para a Internet numa rede local é necessário efectuar duas
operações:
A configuração do router do Windows
A configuração do computadores da rede local.
Para configurar o router do Windows , efectue os seguintes passos:
O protocolo TCP/IP no router do Windows para a interface da rede, é configurado com:
Endereço IP (do intervalo de endereços obtido através do ISP).

Máscara da sub-rede (do intervalo de endereços obtido através do ISP).
Servidor DNS (do endereço IP recebido do ISP).
O TCP/IP é configurado através das propriedades do protocolo TCP/IP para a ligação de área local em
Ligações de acesso telefónico e de rede.
O serviço de encaminhamento e acesso remoto é instalado e activado.
Se a ligação à Internet for uma ligação permanente, que aparece no Windows como uma interface de rede
local (tais como DDS, T-Carrier, Frame Relay, RDIS permanente, xDSL ou modem por cabo) ou se o
computador com o Windows 2000 estiver ligado a outro router com ligação à Internet, é apenas necessário
configurar uma rota estática predefinida.
9-15
No caso de se tratar de uma ligação de marcação a pedido efectue a seguinte operação.
Crie uma interface de marcação a pedido activada para o encaminhamento IP e utilizada o equipamento de
acesso telefónico e as credenciais utilizadas para ligar ao ISP.
Se a ligação à Internet for uma ligação permanente, que aparece no Windows 2000 como uma interface de
rede local (tais como DDS, T-Carrier, Frame Relay, RDIS permanente, xDSL ou modem por cabo) ou se o
computador com o Windows 2000 estiver ligado a outro router antes da ligação à Internet tem apenas que
configurar uma rota estática prédefinida no router.
Estabeleça uma rota estática predefinida no router
Para uma rota estática predefinida, é seleccionada a interface de marcação a pedido (para ligações de
acesso telefónico) ou a interface de rede local (para ligações de router permanentes ou temporárias)
utilizada para ligação à Internet. O destino é 0.0.0.0 e a máscara de rede é 0.0.0.0. Para uma interface de
marcação a pedido, o endereço IP do gateway não é configurável. Para uma interface de rede local que seja
uma ligação ponto-a-ponto ao ISP, o endereço IP do gateway é 0.0.0.0.
Configuração dos clientes
A configuração dos computadore s clientes numa rede local com acesso à Internet só é necessária se não
existir um serviço de DHCP instalado na rede local com as informações obtidas pelo ISP.
Para configurar manualmente cada posto de trabalho da rede para o acesso à

Internet através da rede local:
Aceda à propriedades da rede de área local em Ligações de acesso telefónico e de rede.
Visualize a janela das propriedades do protocolo TCP/IP e efectue a seguinte configuração:

Endereço IP (do intervalo de endereços obtido através do ISP).
Máscara de sub-rede (do intervalo de endereços obtido através do ISP).
Gateway predefinido (o endereço IP atribuído à placa de rede local do router do Windows Server).
Servidor DNS (do endereço IP recebido do ISP).
9-16
C - Acesso por conversão de endereços NAT

O que é o acesso por conversão de endereços
O acesso à Internet por conversão de endereços é outra forma possivel de estabelecer a conectividade de
uma rede local à Internet. Este cenário necessita que apenas um endereço IP seja atribuído à empresa pelo
ISP.
O processo consiste em configurar um computador que possua dois interfaces: um para a rede local (placa
de rede) e outro dispositivo de conectividade para a Internet (modem, adaptador RDIS, etc...). Este tipo de
acesso pode ser implementado com ligações dedicadas ou marcações a pedido.
O componente de endereçamento da conversão de endereços da rede no computador onde se encontra

implementado o NAT, atribui automaticamente endereços únicos a todos os outros computadores da rede
local, a partir do IP da rede privada InterNIC de 192.168.0.0 com uma máscara de sub-rede de
255.255.255.0.
No Windows Server, é possível configurar um ligação convertida para a Internet, através da utilização da
partilha da funcionalidade da ligação à Internet das Ligações de acesso telefónico e de rede ou do
protocolo de encaminhamento Conversão de endereços de rede (NAT) fornecidos com o serviço de
Encaminhamento e acesso remoto. Quer a partilha da ligação à Internet, quer a conversão de endereços
da rede fornecem serviços de conversão, endereçamento e resolução de nomes para hosts de uma rede
local.
Implementar a conversão de endereços de rede para o acesso à Internet
Para implementar a conversão de endereços de rede para a conectividade à Internet numa rede local, é
necessário configurar:
O computador de conversão de endereços de rede.

Outros computadores na rede do pequeno escritório ou na rede doméstica.
O primeiro passo será configurar o computador que irá estabelecer a conversão de endereços privados no
endereço IP público para a Internet. Este computador deverá possuir dois dispositivos: um de ligação à rede
local e outro de ligação à Internet, através do ISP.
No caso de o serviço de Encaminhamento e acesso remoto ainda não se encontrar instalado e activado, é
apenas necessário recorrer ao Assistente de configuração do servidor de encaminhamento e acesso remoto.
No Assistente de configuração do servidor de encaminhamento e acesso remoto, escolha as opções

para o servidor de ligação à Internet e para configurar um router com o protocolo de encaminhamento NAT
(Conversão de endereços de rede). Após concluído o assistente, estará completa toda a configuração para
NAT.
9-17
Configurar o computador de conectividade à Internet
Para configurar o computador de conectividade à Internet, onde é efectuada a conversão de endereços,

efectue o seguinte procedimento:
Configure os endereços IP da interface da rede doméstica.

Para os endereços IP da placa de rede local, necessita de configurar os seguintes elementos:
Endereço IP: 192.168.0.1
Máscara de sub-rede: 255.255.255.0
Nenhum gateway predefinido
O endereço IP na configuração anterior para a interface da rede local baseia-se no intervalo de endereços
predefinido de 192.168.0.0 com uma máscara de sub-rede de 255.255.255.0, configurado para o
componente de endereçamento da conversão de endereços de rede. Se o intervalo de endereços
predefinido for alterado, deve alterar o endereço IP da interface privada para que o computador de
conversão de endereços de rede seja o primeiro endereço IP do intervalo configurado. A utilização do
primeiro endereço IP no intervalo é uma prática recomendada e não um requisito dos componentes de
conversão de endereços de rede.
Active o encaminhamento na porta de acesso telefónico
Nesta fase do processo varia conforme o tipo de ligação à Internet. Se a ligação à Internet utilizada for uma
ligação permanente, que aparece no Windows 2000 como uma interface de rede local (tal como DDS, T-
Carrier, Frame Relay, RDIS permanente, xDSL ou modem de cabo), ou se o computador com o
Windows estiver ligado a outro router antes da ligação à Internet e a interface de rede local estiver
configurada com um endereço IP, máscara de sub-rede e gateway predefinido estaticamente ou através do
DHCP, proceda imediatamente à configuração do protocolo de encaminhamento NAT.
Crie uma interface de marcação a pedido para ligar ao fornecedor de serviços Internet.
É necessário criar uma interface de marcação a pedido que esteja activada para o encaminhamento IP e
utilize o equipamento de acesso telefónico e as credenciais utilizadas para ligar ao fornecedor de serviços
Internet.
Crie uma rota estática que utilize uma interface da Internet.
Para uma rota estática predefinida, necessita de seleccionar a interface de marcação a pedido (para
ligações de acesso telefónico) ou a interface de rede local (para ligações de router permanentes ou
temporárias) utilizada para ligar à Internet. O destino é 0.0.0.0 e a máscara de rede é 0.0.0.0. Para uma
interface de marcação a pedido, o endereço IP do gateway não é configurável.
Adicione o protocolo de encaminhamento NAT.
Adicione as interfaces da Internet e da rede local ao protocolo de encaminhamento NAT.
Active o endereçamento e a resolução de nomes da conversão de endereços de rede.
9-18
Configurar os computadores clientes
É necessário configurar o protocolo TCP/IP em outros computadores na rede local para obter um endereço
IP automaticamente e, em seguida, reiniciá-los. Quando os computadores na rede doméstica recebem a
configuração do endereço IP do computador de conversão de endereços de rede, são configurados com:
Endereço IP (do intervalo de endereços de 192.168.0.0 com uma máscara de sub-rede de 255.255.255.0).
Máscara de sub-rede (255.255.255.0).
Gateway predefinido (o endereço IP da interface para o computador de conversão de endereços de rede do
pequeno escritório ou da rede doméstica).
Servidor DNS (o endereço IP da interface para o computador de conversão de endereços de rede do
pequeno escritório ou da rede doméstica).
Partilha da ligação à Internet
A partilha de ligação à Internet é concebida para fornecer um único passo de configuração (uma única caixa
de verificação) no computador a executar o Windows para fornecer uma ligação convertida à Internet para
todos os hosts na rede local. No entanto, depois de activada, a partilha de ligação à Internet não permite
configuração adicional para além da configuração de aplicações e serviços na rede local. Por exemplo, a
partilha de ligação à Internet é concebida para um único endereço IP obtido de um fornecedor de serviços
Internet (ISP) e não permite a alteração do intervalo de endereços IP atribuídos a hosts da rede local.
Com a funcionalidade de partilha da ligação à Internet das Ligações de acesso telefónico e de rede, pode
utilizar o Windows 2000 para ligar a rede doméstica ou a rede de um pequeno escritório à Internet. Por
exemplo, pode ter uma rede doméstica que efectua uma ligação à Internet através de uma ligação de
acesso telefónico. Ao activar a partilha de ligação à Internet no computador que utiliza a ligação de acesso
telefónico, fornece a tradução de endereços de rede, o endereçamento e os serviços de resolução de nomes
a todos os computadores na rede doméstica.
Depois de activada a partilha de ligação à Internet e de os utilizadores terem verificado as opções de Internet
e de funcionamento em rede, os utilizadores de redes domésticas ou redes para pequenos escritórios
podem utilizar aplicações, tais como o Internet Explorer e o Outlook Express, como se estivessem ligados ao
fornecedor de serviços Internet. O computador de partilha de ligação à Internet estabelece a ligação ao
fornecedor de serviços Internet e cria a ligação para que o utilizador possa utilizar o recurso ou endereço na
Web especificado. Para utilizar a funcionalidade de partilha de ligação à Internet, os utilizadores da rede de
escritório doméstico ou da rede de um pequeno escritório têm que configurar o TCP/IP na ligação de rede
local para obter automaticamente um endereço IP.
A funcionalidade de partilha de ligação à Internet destina-se às redes locais cuja a configuração de rede e a
ligação à Internet são geridas pelo computador com o Windows onde reside a ligação partilhada. Pressupõe-
se que nesta rede, este computador seja a única ligação à Internet, o único gateway para a Internet e que
configura todos os endereços de rede internos.
9-19
Unidade 10
Encaminhamento e acesso remoto
Saber trabalhar com tabelas de routing.

Identificar os problemas associados ao prcesso de routing.
Saber o que são sistemas autónomos.
Conhecer e descrever o funcionamento dos protocolos RIP, OSPF e BGP.
Saber instalar e configurar o serviço de encaminhamento e acesso remoto num servidor Windows.
Saber instalar e configurar interfaces e protocolos de encaminhamento.
Sumário:
O encaminhamento IP(routing) é um tecnologia fundamental para o funcionamento de redes locais

complexas e para o funcionamento da Internet. Os mecanismos implementados pelo protcolo IP bem como
pelos protocolosde routing tornam possível o encaminhamento da informação divida em pacotes entre várias
redes distintas.
Nesta unidade serão desenvolvidos os conceitos básicos sobre encaminhamento e ensinados os

procedimentos para a instalação do servido de encaminhamento e acesso remoto do Windows.
10-1
A - Routers e internetworking
O processo de routing
Routing é o processo através do qual um packet é enviado de um host de origem para um host de destino
através de uma internet. O processo de routing pode ser analisado ao nível do host de origem e ao nível dos
routers que encaminham os packets através da internet.
O processo de routing ao nível de um host
Direct delivery ou direct routing
Quando um host necessita comunicar com outro host tem de conhecer o endereço IP desse host. Antes de
enviar a informação, o host verifica se o endereço de rede do host de destino pertence ou não à mesma rede
física em que o host está integrado.
Se o host de destino pertence à mesma rede, a informação pode ser enviada directamente para esse host.
Este processo designa-se por direct delivery ou direct routing.
Contacto com um router
Quando o host de origem verifica através do endereço IP que o host de destino é um host remoto, envia a
informação para um router que, por sua vez, se encarregará de encaminhar a informação para o destino. O
processo executado ao nível do host para enviar a informação para um router, depende da configuração do
host e da rede em que esse host está integrado. Várias hipóteses podem ser consideradas:
Router default
Um host pode ser configurado para canalizar toda a informação destinada a hosts remotos para um router default.
Tabela de routing no host

O host pode possuir uma tabela de routing que lhe permite seleccionar o router para o qual uma mensagem deve ser
enviada, tendo em conta o endereço do host de destino.
As tabelas de routing nos hosts podem ser dinamicamente actualizadas. Por exemplo, as mensagens emitidas pelos
routers através do protocolo ICMP podem ser usadas para informar um host de que existe um melhor caminho para
atingir determinado destino.
Contacto com os routers na rede

Antes de enviar informação, o host pode efectuar uma consulta aos routers da rede no sentido de obter informação
sobre o melhor caminho para enviar uma mensagem. Isso pode ser feito através de uma mensagem broadcast ou
multicast aos routers da rede. As respostas são analisadas e o melhor caminho é escolhido.
10-2
Source routing
O processo designado por source routing pode descrever-se do seguinte modo: o host de origem determina
todo o caminho até ao host de destino. A decisão sobre o caminho é tomada antecipadamente e não é
decidida com base nas tabelas dos routers do percurso.
O processo de routing ao nível de um router
Quando um router recebe um packet, podem dar-se duas situações:
O packet destina-se a uma rede à qual o router está directamente ligado

Neste caso, o router envia directamente o packet para o host depois de obter o seu endereço físico, eventualmente
utilizando o protocolos ARP.
O packet destina-se a uma rede à qual o router não está directamente ligado
Neste caso, o router terá de consultar uma tabela interna para decidir qual o router para onde o packet deve ser
remetido.
Tabelas de routing (routing tables)
O que são as routing tables
Uma routing table é um conjunto de registos utilizados pelos routers (e, eventualmente, pelos hosts) para as
decisões de encaminhamento de packets. Uma tabela de routing possui uma entrada para cada rede que
pode constituir o destino de uma datagrama.
Associado a cada rede, está o endereço IP do próximo hop (numa internet, a palavra hop pode ser utilizada
para designar o caminho que um packet percorre entre dois routers, na sua viagem da origem para o
destino, mas pode igualmente ser utilizada para designar os próprios routers ou outros sistemas intermédios
utilizados para o encaminhamento dos packets) para o qual o datagrama deverá ser enviado. Cada linha da
tabela de routing é constituída por três campos.
1. O primeiro campo contém o endereço de destino da rede;
2. O segundo campo, contém uma máscara de endereço, utilizada para indicar quais os bits do
endereço de destino que correspondem ao prefixo da rede;
3. O terceiro campo contém o próximo hop. Se o próximo hop for um router, esse campo contém o
correspondente endereço IP.
Exemplo
A figura seguinte mostra uma internet constituída por quatro redes distintas A, B, C e D. Essas redes estão ligadas
através de três routers R1, R2 e R3. As redes A e B são redes da classe A. A rede C é uma rede da classe B e a rede
D é uma rede da classe C.
10-3
Em cada router deverá existir uma tabela de routing, utilizada para encaminhar os datagramas.
Vamos considerar a título de exemplo, a hipotética e simplificada tabela de routing existente no router R2.
Encaminhamento de datagramas através de routing tables
Quando um router recebe um datagrama com determinado endereço no campo IP de destino, executa uma
operação lógica AND entre os bits desse endereço e os bits da máscara. Se o resultado for igual a um dos
valores do campo destino, o datagrama é enviado para o correspondente próximo hop.
10-4
Exemplo
Considere-se de novo a routing table do router R2.
A esse router chega o datagrama com o seguinte endereço IP de destino:
193.10.8.15
Admita que o router investiga sequencialmente cada uma das linhas da tabela para encontrar o próximo hop para o
datagrama.
Relativamente a cada linha, executa a operação AND entre o endereço IP de destino e a máscara correspondente a
cada uma das linhas da tabela.
Ao consultar a primeira linha, executa a operação AND entre o valor do endereço de destino e a máscara 255.0.0.0.
193 10 8 15
255 0 0 0
193 0 0 0
O resultado obtido é comparado com o valor do endereço destino correspondente a essa linha da tabela. Uma vez
que os valores não são coincidentes, o software do router investiga as linhas seguintes na tabela.
Quando chega à quarta linha da tabela, é executado o seguinte cálculo:
193 10 8 15
255 255 255 0
193 10 8 0
Neste caso, o resultado do cálculo corresponde exactamente ao valor do campo destino na routing table, ou seja
193.10.8.0
e, de acordo com a tabela, o próximo hop para onde o datagrama deve ser enviado é
134.4.0.9
Nestas condições, o datagrama é enviado para o próximo hop inscrito nessa linha da tabela, ou seja, 134.4.0.9.
10-5
Routers
Routers estáticos e dinâmicos
No que diz respeito ao modo como as respectivas tabelas são criadas e actualizadas, os routers podem ser
classificados em duas grandes categorias: os routers estáticos e os routers dinâmicos.
Routers estáticos
Um router estático é um router cuja tabela de routing é criada e mantida manualmente pelo administrador da
rede.
Esta solução pode ser a solução adequada para internets de dimensão relativamente reduzida e estáveis no
que diz respeito à topologia.
Routers dinâmicos
Os routers podem ser configurados para trocar mensagens entre si e, através dessas mensagens
actualizarem dinamicamente as suas tabelas de routing.
A periódica troca de mensagens entre routers permite que, de forma automática, as tabelas sejam
actualizadas e reflictam as alterações que eventualmente se verifiquem na topologia da internet.
A utilização destes routers dinâmicos é a solução adequada para internets de grande dimensão.
Problemas de routing
Loops
Um loop é uma situação em que se forma um círculo fechado entre routers para o encaminhamento de
packets. Esta situação pode verificar-se devido a erros nas tabelas de routing.
Esquematicamente, o problema pode descrever-se através do seguinte exemplo:
Exemplo
A tabela do router A indica que os packets para a rede X devem ser encaminhados para o router B.
A tabela do router B indica que o melhor caminho para os packets destinados à rede X é através do router C.
A tabela do router C, indica que o caminho a seguir para a rede X é através do router A. Fecha-se um círculo. Um
packet com destino à rede X que chegue ao router A, entra nesse círculo, de onde não sai.
Nota
10-6
Um loop não se prolonga indefinidamente porque, à medida que se vão sucedendo as várias passagens de
router para router, o campo que estabelece o tempo de vida do packet acaba por chegar ao limite e o packet
é descartado.
“Buracos negros”
Verifica-se uma situação designada por “buraco negro” quando um determinado router ou uma ligação falha,
sem que os routers que têm esse router como destino de packets detectem essa situação.
Enquanto a situação não for detectada e as tabelas não forem actualizadas, esse router funciona como um
“buraco negro”: os packets são enviados para lá, mas de lá não saem para lado nenhum.
10-7
B - Algoritmos e protocolos de routing

O que são os protocolos de routing
Os protocolos de routing são utilizados pelos routers dinâmicos para trocar mensagens que permitam
actualizar as suas tabelas de routing.
Esses protocolos definem as regras que permitem a detecção de falhas nos routers ou nas linhas de
comunicação e adaptar as tabelas de routing por forma a que elas possam reflectir a nova topologia.
Quando se verifica uma falha, ou outro factor que determine a alteração da topologia, e enquanto essa
situação não for adequadamente reflectida nas tabelas dos routers, a internet permanece instável, podendo
ocorrer loops e buracos negros. A recuperação dessa instabilidade é designada por convergência e o tempo
necessário para a obtenção da convergência é designado por convergence time.
Algoritmos vector distance
Os algoritmos vector distance baseiam-se num procedimento que é implementado da seguinte forma.
Cada router possui uma tabela. Nessa tabela começa por existir uma entrada para cada rede com a qual o
router se encontra directamente ligado. Cada registo da tabela contém igualmente a distância medida em
hops para a rede de destino.
A distância para destinos pertencentes a uma rede com a qual o router esteja directamente ligado é zero (ou
1, dependendo do protocolo utilizado).
O princípio fundamental subjacente a este algoritmo é o seguinte. Cada router deve contactar
periodicamente com os routers com os quais possui um ligação directa, enviando uma cópia da sua tabela
de routing. Esta troca de tabelas, permite que cada router possa actualizar a sua tabela, criando registos
para novas redes ou substituindo registos existentes, quando verificar que existe um caminho melhor para
atingir determinada rede.
Se todos os routers participarem nesta troca de mensagens, a informação sobre o melhor caminho para
cada rede é completamente disseminado na internet.
Devido à grande quantidade de informação que tem de ser trocada entre os routers, este algoritmo não é o
mais adequado para redes de grande dimensão.
Exemplo
Admita que o router R1 possui em determinado momento os seguintes registos na sua tabela de routing
Destino Distância Caminho

Rede 1 0 Direct delivery
Rede 4 8 Router R2
Rede 5 10 Router R3
Rede 6 9 Router R4
Rede 7 12 Router R5
Em determinado momento, o router R1 recebe do router R2 uma tabela de routing, contendo, eventualmente entre
outros, os seguintes registos
10-8

Rede 5 3 Router R9
Rede 6 4 Router R10
Rede 8 9 Router R11
Com base na informação desta tabela, o router R1 pode actualizar a sua tabela, da seguinte forma

Rede 4 8 Router R2
Rede 5 4 Router R2
Rede 6 5 Router R2
Rede 7 12 Router R5
Rede 8 10 Router R2
Os registos actualizados foram colocados em evidência (negrito). Depois de absorver a informação da tabela de
routing do router R2, a tabela do router R1, sofre as seguintes modificações:
1. A Rede 5 passa a poder ser atingida com um distância 4 através do router R2 (1 hop para atingir o router R2 e
mais 3 hops para, a partir do router R2, atingir o destino).
2. A Rede 6 passa a poder ser atingida com um distância 5 através do router R2 (1 hop para o router R2 e mais 4
hops do router R2 para o destino).
3. A Rede 8, para a qual o router R1 não possuía caminho, passa agora a poder ser atingida através de router R2
com uma distância 10.
Os algoritmos distance vector são assim designados devido ao facto de os routers trocarem mensagens sob
a forma de um par constituído por um vector (o destino) e por uma distância.
10-9
Algoritmos Link State
Shortest Path First
Os algoritmos link state ou SPF (Shortest Path First) baseiam-se no seguinte: cada router deve executar um
algoritmo que lhe permita determinar o melhor caminho para qualquer rede de destino.
Para que esse algoritmo possa ser executado, cada router tem de possuir informação completa sobre a
topologia da internet, ou seja, de todos os routers e das redes a que esses routers estão ligados.
Para manter essa informação actualizada, cada router deve periodicamente testar as conexões com os
routers aos quais se encontra directamente ligado, determinando o estado de cada conexão.
A informação obtida por cada router no teste das suas conexões deve ser difundida para todos os outros
routers.
Neste modelo não há troca de tabelas, mas apenas troca de mensagens sobre o estado da topologia da
rede. Com base na informação que possui da topologia da rede, cada router deve executar um algoritmo
(geralmente o algoritmo Dijkstra shortest path) para determinar o caminho mais curto para qualquer destino.
Funcionamento dos algoritmos
Qual é o objectivo primário de um protocolo de routing? Esse objectivo é o de compreender a estrutura e a

topologia da internet para que os routers possam decidir o melhor caminho para enviar um packet de um
ponto para outro.
Pode considerar-se que existem três fases através das quais os protocolos link state permitem que os
routers criam a imagem do mapa da internet.
Embora de forma simplificada, vamos criar um diagrama que nos permite compreender melhor o
funcionamento do algoritmo e o modo como cada nó da rede (um router, por exemplo) pode ficar a conhecer
o mapa da rede bem como os caminhos para atingir qualquer destino. A cada caminho está associado um
custo que pode ter a ver com vários factores e critérios: a rapidez de transferência, o custo efectivo das
comunicações, ou outros. A um nível esquemático e pedagógico interessa apenas ter em consideração que
os administradores da internet podem atribuir um custo a determinada ligação, com base num critério
relevante. A optimização da escolha dos caminhos será feita com base na atribuição dessas distâncias ou
custos.
10-10
Vamos imaginar um gráfico que com ligações entre vários nós. Esses nós são representados na figura 8.u
pelas letras A, B, C, D, E e F. Podem imaginar-se que se os nós são routers (ligados a redes físicas) e que
o diagrama representa a topologia simplificada de uma internet.
Fig. 3 Diagrama de ligações. A figura apresenta uma esquema de ligações entres diferentes nós. Os nós podem ser
considerados como representações de routers e as taços que os unem como ligações entres esses routers.
Pode considerar-se que os algoritmos do tipo link state funcionam em três fases.
1. Numa primeira fase, cada router “apresenta-se” aos seus vizinhos (través de um packet especial
designado por hello packet). Por exemplo, o router A envia um hello aos routers com os quais se encontra
directamente ligado (no exemplo da figura 8.3, o router A envia mensagens aos routers B, C e D. Da mesma
forma, o router A recebe packets hello dos seus vizinhos.
Nesta primeira fase, todos os routers passam a conhecer os seus vizinhos e a distância ou custo associado
a cada ligação. Por exemplo, o router A possui a tabela de informação relativamente aos seus vizinhos que é
apresentada na figura 8.4.
Fig. 4 Tabela de ligações do router A. Nesta tabela pode observar-se, relativamente ao router A, quais os routers com os
quais possui uma ligação directa e a respectiva distância.
Todos os routers possuem uma tabela equivalente à tabela do router A, relativamente às ligações com os
seus vizinhos directos.
2. Numa segunda fase, cada router comunica essa informação a todos os seus vizinhos enviando uma
mensagem com a informação dessa tabela. Ao receber essa informação, cada router reenvia-a para todos
os outros routers, excepto para aquele de quem a recebeu. Essas mensagens são genericamente
designadas por link state advertisement (LSA). Assim, por exemplo, o router B, ao receber essa mensagem
do router A fica a saber quais as ligações que A mantém (além daquela que tem com o router B). E o mesmo
10-11
acontece com todos os routers da topologia. Esta difusão de mensagens é designada por LSA flooding. No
final desta fase, todos os routers possuem uma base de dados com o estado da topologia da rede, em
termos de caminhos possíveis e custos associados. Essa base de dados é designada por link state
database. No exemplo do diagrama da figura 8.u, a link state database seria a que é apresentada na figura
8.5.
Fig. 5 Base de dados link state. A tabela contém a base de dados que permite definir o mapa da topologia da rede. Pode
observar-se na coluna corresponde a cada router qual a distância desse router a cada um dos seus vizinhos.
3. Na terceira fase é executado o algoritmo que permite calcular, para cada nó, qual o “melhor” caminho para
qualquer outro nó da rede. O cálculo do melhor caminho baseia-se na distância ou custo associado às
diversas ligações. O algoritmo utilizado é conhecido por algoritmo Dijkstra (do nome do matemático E. W.
Dijkstra). Esse algoritmos é iterativo e executa uma série de cálculos até poder determinar, em relação a
cada router qual o mapa óptimo de caminhos para atingir cada um dos outros routers. Tomando como
exemplo o caso do router A, o algoritmo acabaria por permitir criar a seguinte estrutura como conjunto de
melhores caminhos:
Fig. 6 Estrutura de caminhos para o router A. A figura mostra a estrutura optimizada de caminhos para o router A. A
partir desta informação, o router “sabe” qual é a topologia da rede e pode fazer o forwarding de packets para qualquer
router.
Evidentemente que a topologia de uma internet pode ser dinâmica e, nesse acaso, um alteração da
topologia pode levar a alteração da tabela de caminhos óptimos calculada e armazenada nos routers.
10-12
A título de exemplo, pode considerar-se que, na topologia da figura 8.u ocorre a seguinte alteração: a ligação
entre o router A e o router C deixa de existir (ou fica temporariamente desactivada). A figura 8.7 apresenta a
nova topologia da rede.
Fig. 7 Nova topologia de rede. A figura apresenta a nova topologia da rede, depois de a ligação entre os routers A e D ter
ficado inactiva.
Quanto mais dinâmica for a topologia de uma internet, mais frequente tem de ser a troca de mensagens
entre os routers e a eventual recriação de tabelas com os caminhos para cada router.
Tomando de novo como exemplo o router A, a nova tabela de caminhos óptimos para esse router passaria a
ser a que é mostrada na figura 8.8.
Fig. 8 Nova estrutura de caminhos para o router A. A figura mostra a nova estrutura de caminhos para o router A,
tendo em conta a alteração da topologia que resultou do facto de a ligação entre A e D ter ficado inoperacional.
10-13
Sistemas autónomos
O que é um sistema autónomo
Um sistema autónomo (AS-Autonomous System) é um conjunto de redes e routers subordinados a uma

política de routing comum, podendo essa política ser implementada através de um conjunto de IGP (Interior
Gateway Protocols).
Para além disso, um sistema autónomo existe sob o controlo administrativo de uma única autoridade e
possui um número, que lhe é atribuído por uma autoridade de controlo. Tipicamente, um sistema autónomo
é uma internetwork gerida por uma companhia, uma universidade, um departamento governamental ou um
ISP.
A criação de sistemas autónomos constitui uma forma de tornar mais fácil de gerir o complexo processo de
routing na Internet. Cada sistema autónomo pode Implementar os seus próprios protocolos internos de
routing (genericamente designados por IGP), de forma independente dos restantes sistemas autónomos.
Do exterior, um AS é visto como uma única entidade. A informação de routing entre sistemas autónomos é
executada através de protocolos genericamente designados por EGP (Exterior Gateway Protocols).
Inicialmente, o protocolo utilizado para routing entre sistemas autónomos era precisamente o protocolo
designado por EGP (Exterior Gateway Protocol). Actualmente, o protocolo utilizado como standard para
routing entre sistemas autónomos é o protocolo designado por BGP (Border Gateway Protocol).
Um IGP é implementado entre os routers pertencentes a um mesmo sistema autónomo. As suas tabelas de
routing contêm referências a redes desse sistema autónomo. Um EGP, é executado entre routers situados
na fronteira dos sistemas autónomos (esses routers são designados por border routers, boundary routers
ou gateway routers. As tabelas dos EGP são constituídas por listas de sistemas autónomos. Observe a
figura 8.9.
A razão fundamental que preside à criação de sistemas autónomos e de diferentes tipos de protocolos
(interiores e exteriores aos sistemas autónomos) tem a ver com a necessidade de organizar a informação
relativa aos milhões de sistemas existentes na Internet.
De outra forma, atendendo aos potenciais milhões de entradas nas suas tabelas de routing, não seria
possível que cada router pudesse gerir a informação necessária para o funcionamento da Internet.
Mesmo dentro de um mesmo sistema autónomo, alguns protocolos estabelecem uma subdivisão em áreas,
de forma a sumariar a informação de routing, agrupando-a em grupos logicamente relacionados.
10-14
O conceito de domínio surge por vezes em ligação com o conceito de sistema autónomo. Em ambos os
casos, quer um domínio quer um sistema autónomo, indicam um conjunto de routers. No entanto, o termo
domínio é utilizado para designar um conjunto de routers que utilizam o mesmo protocolo de routing, tal
como por exemplo, o protocolo RIP ou o protocolo OSPF. Um sistema AS pode representar um ou mais
domínios, sob uma administração única, que possui uma politica unificada de routing relativamente a outros
sistemas autónomos.
Fig. 9-Dois sistemas autónomos e um protocolo de routing para a ligação entre sistemas autónomos. A figura
sugere a existência de dois sistemas autónomos. Dentro de cada sistema autónomo são utilizados protocolos designados por
IGP - Interior Gateway Protocols.
10-15
Tipos de sistemas autónomos
Os sistemas autónomos podem ser caracterizados pelo número de ligações que estabelecem como os
provedores de serviços de acesso à Internet e pelo fato de permitirem ou não que por eles transite tráfego
cuja origem e destino estão fora desse sistema autónomo. Podem ser considerados os seguintes tipos de
sistemas autónomos.
Stub AS
Um sistema autónomo é designado por stub AS quando está ligado a redes fora do seu domínio através de
um único ponto de ligação.
Multihomed Nontransit AS
Um sistema autónomo designado por Multihomed Nontransit AS caracteriza-se por:
1. Ter mais de que uma ligação a um único provider ou a mais do que um provider;
2. Não permitir que nele circule tráfego que não se destine a esse sistema autónomo.
Fig. 10-AS Nontransit Multihomed. O sistema autónomo AS mantém ligação a dois ISP (Internet Service Providers). No
entanto, apenas o tráfego desse sistema autónomo para a Internet e o tráfego proveniente da Internet com destino a esse
sistema autónomo são permitidos. Este sistema autónomo não admite funcionar como meio através do qual circule tráfego
com origem e destino fora desse sistema autónomo.
10-16
Multihomed Transit AS
Um sistema autónomo designado por multihomed transit AS, caracteriza-se por:
1. Estar ligado a mais de que um ISP;
2. Permitir que por ele transite tráfego com origem e destino exteriores a esse sistema autónomo.
Fig. 11-AS Transit Multihomed. Um AS Transit Multihomed pode funcionar como ponto de passagem para tráfego com
origem e destino exteriores ao próprio sistema autónomo. Para além dos protocolos internos de routing, o sistema
autónomo pode utilizar internamente um protocolo externo (BGP) para a condução desse tráfego. As conexões externas do
tipo BGP são designadas por Internal BGP (IBGP). O IBGP funciona como um túnel, isolando o tráfego entre os sistemas
autónomos externos e o tráfego interior a esse sistema autónomo. As conexões entres os sistemas autónomos são
designadas por External BGP (EBGP).
10-17
O protocolo RIP
Routers activos e passivos
O protocolo RIP (Routing Information Protocol) baseia-se no algoritmo vector distance. É utilizado para
routing dentro de sistemas autónomos e, por isso, classificado como um IGP.
Os dispositivos que funcionam como routers são classificados em dois tipos: activos e passivos (ou
silenciosos). Os activos são os que comunicam as suas tabelas de routing a outros; os passivos são os que
se limitam a actualizar as suas tabelas com base na informação fornecida por outros. Os host funcionam
sempre em modo passivo, podem actualizar as suas tabelas internas, mas não enviam informação para
outros.
Frequência das mensagens
Cada router activo envia uma mensagem com a sua tabela de routing a todos os routers com os quais se
encontra directamente ligado, em intervalos de 30 segundos.
Cada mensagem contém uma lista de pares de valores. Cada par de valores contém um endereço IP de
rede e uma distância medida em hops, de acordo com o critério de que um router directamente ligado à rede
do host de destino, está a 1 hop desse destino.
Tempo de validade das entradas
De cada vez que um router cria uma nova entrada nas suas tabelas em resultado de mensagens recebidas
de outros routers, através do protocolo RIP, o router inicia um contador de tempo para essa entrada. Esse
contador é reinicializado de cada vez que uma nova mensagem confirma esse caminho. Se decorrer um
período de 180 segundos sem que esse caminho seja de novo confirmado, o router passa a considerar essa
entrada inválida.
Hop counts e caminho óptimo
A técnica utilizada no protocolo RIP para avaliar a distância baseia-se no critério de contagens dos hops
(hop count) até ao destino. Todavia, como é evidente, este sistema de medida não leva em consideração as
diferentes velocidades de transmissão que podem estar associadas a cada caminho.
Exemplo
Por exemplo, uma distância de 4 hops feita através de redes de grande velocidade, pode ser um caminho preferível a
um caminho com 2 hops através de linhas de comunicação muito mais lentas.
Para compensar este inconveniente intrínseco do algoritmo, algumas implementações permitem que os
administradores considerem um número artificial de hops maior, quando a comunicação é feita através de linhas de
comunicação mais lentas.
10-18
Estrutura das mensagens
As mensagens do protocolo RIP são constituídas por um header de 32 bits seguido de uma conjunto variável
de campos contendo informação sobre a família de redes relativamente à qual o endereço deve ser
interpretado, bem como os pares de valores constituídos por um endereço IP de rede e por um distância a
essa rede.
Apresenta-se o esquema de uma mensagem RIP
0 8 16 31
Command Version Zero
Net Family 1 Zero
IP Address Net 1
Zero
Zero
Distance Net 1
Net Family 2 Zero
IP Address Net 2
Zero
Zero
Distance Net 2
... ...
Command
O campo command indica se a mensagem é um pedido (1) de envio de informação ou se é uma resposta (2).
O protocolo prevê que um router possa solicitar informação usando uma mensagem com o valor 1 no campo
command, e que a resposta seja enviada com o valor 2 no campo command.
Todavia, os routers enviam periodicamente mensagens para os outros routers, mesmo quando essas mensagens não
são solicitadas.
Net Family
O campo net family é utilizado para indicar o tipo de rede e, consequentemente o modo como o endereço deve ser
interpretado.
IP Address
O campo ip address contém o endereço de uma rede.
Distance Net
O campo distance net contém a distância em hops para essa rede. O protocolo RIP utiliza o valor 16 para indicar
uma distância infinita, ou, por outras palavras, que não existe caminho através desse router.
10-19
Exemplo
Por exemplo, se um router deixar de possuir ligação com uma determinada rede, deve anunciar esse facto
colocando o valor 16 no campo DISTANCE NET para essa rede.
Problemas com o protocolo RIP
O funcionamento do protocolo pode originar a criação de loops, devido ao facto de todos os routers
difundirem apenas a intervalos o conteúdo das suas tabelas para todos os routers com os quais têm uma
ligação directa.
Exemplo
Imagine-se que um determinado router R1 tem uma ligação directa à rede N1. Essa ligação é comunicada ao router
R2 que, por hipótese está directamente ligado ao router R1. O router R2 passa a ter na sua tabela uma ligação à rede
N1 a uma distância 2.
Cada vez que o router comunica ao router R1 essa sua ligação à rede R1, o router R1 ignora essa informação, uma
vez que possui um caminho mais curto para a rede N1.
Admita-se no entanto que a ligação do router R1 à rede N1 cai. O router R1 actualiza a sua tabela, colocando na
entrada correspondente à rede N1 o valor 16. No entanto, a difusão desta informação não é imediata e pode
acontecer que chegue uma mensagem do router R2 informando que possui uma ligação com distância 2 para a rede
N1. O router R1 actualiza a sua tabela, que passa a conter uma ligação à rede N1 através do router R2, com uma
distância 3.
Evidentemente, esta ligação é um loop, uma vez que a informação fornecida pelo router R2 é baseada na convicção
de que a ligação para a rede N1 através do router R1 continua válida.
Este problema pode ser resolvido em muitos casos, fazendo com que um router recorde a origem de uma informação
e se abstenha de reenviar essa informação para a mesma fonte. Neste caso, o router R2 não retransmitiria a
informação relativa ao caminho para a rede N1 ao router R1. Assim sendo, como router R1 não continuaria a
anunciar a sua ligação à rede N1, o tempo de vida da informação no router R2 acabaria por expirar.
10-20
O protocolo OSPF
Descrição geral do protocolo
Interior Gateway Protocol
O protocolo OSPF (Open Short Path First) baseia-se nos algoritmos link state e é utilizado pelos routers
dentro de um mesmo sistema autónomo. É por isso classificado como um protocolo IGP (Interior Gateway
Protocol).
O protocolo é desenhado para rapidamente detectar alterações na topologia de um sistema autónomo e

para calcular caminhos após um curto período de convergência que é atingido minimizando o tráfego de
informação de routing. Cada router constrói uma árvore de caminhos tendo como base o próprio router. Essa
árvore fornece o caminho para cada destino dentro de um sistema autónomo.
Áreas
O protocolo OSFP pode ser utilizado em internets de pequena média e grande dimensão. As suas
potencialidades tornam-se todavia mais evidentes nas internets de maiores dimensões.
A existência de AS (Autonomous Systems) permite criar unidades que podem ser mais facilmente geridas
pelos routers e protocolos de routing. No entanto, existem AS demasiado grandes para justificar uma divisão
desses AS.
O protocolo OSPF permite a criação de grupos de redes dentro de um sistema autónomo. Esses grupos são
designados por áreas. Uma área é uma colecção arbitrária de redes ligadas entre si. A topologia de cada
área não é visível a partir do resto do sistema autónomo. Uma área pode ser considerada como uma
generalização do conceito de subnet e permite uma redução significativa do tráfego de routing.
Num sistema autónomo com várias áreas, uma dessas áreas desempenha uma função especial. Essa área
é designada por backbone area. A figura 8.13 mostra a topologia típica de uma rede OSFP num sistema
autónomo. Existem, no exemplo da figura várias áreas e vários routers. Para uma topologia deste tipo são
necessários vários tipos de routers.
Os vários tipos de routers utilizados com o protocolo OSPF
Quando uma internetwork é composta por várias áreas, a utilização do protocolo OSPF torna necessária a
utilização de vários tipos de routers. Esses routers desempenham diferentes funções na interligação entre as
várias áreas, com a backbone área e na ligação com sistemas autónomos externos. Segue-se uma breve
descrição dos principais tipos de routers.
10-21
Autonomous System Boundary router
Este é um tipo de router que troca mensagens com os routers ligados a outros sistemas autónomos. Observe a
figura 14.
Fig. 13 Divisão de um sistema autónomo em áreas. A figura ilustra a estrutura inter-na de um sistema autónomo
dividido em várias áreas. Uma dessas áreas funciona como backbone area.
Fig. 14 Autonomous System Boundary router. A figura põe em evidência o router que estabelece a ligação com outro
ou outros sistemas autónomos. Esses routers são designados por autonomous system boundary routers.
Backbone router
Um backbone router executa funções de interface com a área de backbone.
10-22
Area border router
Trata-se de um router que estabelece o interface com várias áreas. Um router deste tipo também pode desempenhar
funções de backbone router.
Fig. 15 Backbone router e area border router. A figura mostra um router que estabelece a ligação entre diferentes
áreas e entre estas e a backbone area, desempenhando assim as funções de backbone router e de area border router.
Internal router
Trata-se de um router que apenas estabelece ligações com routers pertencentes à mesma área.
Fig. 16 Internal routers. Os internal routers estabelecem ligações com redes pertencentes à mesma área.
10-23
Designated router
Um designated router é um router com o qual todos os routers de uma área estabelecem uma conexão lógica, de
tal forma que toda a informação respeitante à subnet é transferida através deste router.
Backup Designated router
Um backup designated router é um router que, tal como a designação indica, funciona como backup do
designated router para determinada área.
Fig. 17 Designated router e backup designated router. A imagem mostra um designated router e um backup
designated router.
Tipos de routing
Numa estrutura com várias áreas e uma área de backbone, existem três tipos de processos de routing. São
os seguintes: intra area, inter area e inter sistemas autónomos.
Intra area
Trata-se dos processos de routing que se desenvolvem dentro de uma mesma área.
10-24
Fig. 18 Intra area routing. Processos de routing que se desenvolvem dentro de uma mesma área.
Inter area
São os processos de routing que se desenvolvem entre diferentes áreas.
Fig. 19 Inter area routing. A figura sugere os processos de routing que envolvem diferentes áreas.
10-25
Inter sistemas autónomos
São os processos de routing que se desenvolvem entre diferentes sistemas autónomos.
Fig. 20 Routing entre sistemas autónomos. Na figura é esquematicamente apresentado o processo de routing inter AS,
ou seja entre diferentes sistemas autónomos.
Estrutura das mensagens do protocolo OSPF
O header das mensagens OSPF
Os packets do protocolo OSPF são (tal como os protocolos TCP, UDP e ICMP) encapsulados na área de
dados de um packet IP.
A figura 21 mostra em esquema o header do protocolo IP e o valor 89 no campo Protocol. Este valor indica
que a área de dados contém uma mensagem OSPF.
10-26
Fig. 21 Uma mensagem OSPF na área de dados de um packet IP. Na figura pode observar-se uma mensagem OSPF
inserida na área de dados de um packet IP. No header do packet IP, o valor 89 no campo Protocol indica que na área de
dados circula uma mensagem OSPF.
10-27
Estrutura das mensagens OSPF
As mensagens dos protocolos OSPF contêm um cabeçalho de 24 bytes, cuja estrutura é apresentada na
figura 8.22.
Apresenta-se uma explicação sumária de alguns dos campos do cabeçalho da mensagem.
version
Indica a versão do protocolo utilizada.
type
Identifica o tipo de mensagem que vai ser enviada. A figura 23 apresenta os números correspondentes aos vários
tipos de mensagens dos protocolo OSPF.
Fig. 22 Estrutura do header do protocolo OSPF. Podem observar-se os vários cam-pos que constituem o header do
protocolo OSPF. Importa chamar a atenção para o facto de, quer o header quer o conteúdo da mensagem OSPF ocuparem a
área de dados de um packet IP.
Fig. 23 Número e tipo de mensagens do protocolo OSPF. A tabela mostra os valores do campo type do header de uma
mensagem OSPF. Ao lado de cada número a descrição do tipo de mensagem. Apenas a título de ilustração, a mensagem
Hello é utilizada para estabelecer o “conhecimento” com os routers vizinhos.
10-28
message length
Indica o número de bytes da mensagem, incluindo o header.
source router IP address

Identifica o router que envia o packet.
area ID
É um número de 32 bits associado à área atribuída ao router que transmite o interface. Um valor igual a zero
identifica a área de backbone. Os packets que utilizam um link virtual usam igualmente o valor 0.
checksum
O checksum é calculado usando uma técnica designada por one’s complement sum. Todavia, se o packet utilizar
algum sistema de encriptação por autenticação, o valor do campo é zero.
authentication type
Se estiver a ser usada autenticação, este campo identifica o método de autenticação utilizado.
authentication data
No caso de ser usado algum método de autenticação, os dois campos designados por authentication são usados para
conter a informação de autenticação.
Tipos de autenticação
O protocolo OSPF define três tipos de autenticação. Um desses tipos de autenticação deve ser usado pelos
routers em cada um dos seus interfaces (embora não seja obrigatório utilizar o mesmo sistema de
autenticação em todos os interfaces). A tabela seguinte apresenta os números e o tipo de autenticação que
podem ser utilizados.
Apresenta-se uma breve descrição dos vários tipos de autenticação definidos na especificação do protocolo
OSPF.
Autenticação nula
Tal como a designação sugere, autenticação nula significa que não existe qualquer sistema
de autenticação. Quando este valor é especificado, os 64 bits do campo authentication data
podem conter qualquer valor, uma vez que nunca são analisados.
Autenticação por password

Neste modelo de autenticação, os campos authentication data contêm uma password que
é conhecida e partilhada pelos routers comunicantes. Não se trata de um sistema muito
seguro, uma vez que os packets circulam de forma não encriptada e a password pode ser
obtida de forma relativamente fácil.
Autenticação criptográfica
Este tipo de autenticação usa uma função matemática designada por cryptographic digest
e um algoritmo designado por MD5. Trata-se de um sistema que torna o processo de
descodificação quase impraticável.
10-29
Mensagem Hello
O protocolo OSPF envia periodicamente mensagens Hello a todos os seus links para testar a conectividade
e para o estabelecimento e manutenção de relações de vizinhança. A mensagem Hello segue-se ao
cabeçalho quando, nesse cabeçalho, o campo Type tem o valor 1.
Fig. 24 Mensagens Hello. A figura sugere a troca de mensagens Hello do protocolo OSPF entre os routers.
Database description
As mensagens Database description são utilizadas para a inicialização das bases de dados de topologia dos
routers e para descrever a topologia da rede.
Na troca destes packets, um dos routers é designado como master e o outro como slave. O master envia
packets que descrevem a estrutura da topologia. O slave comunica a recepção desses packets.
Link status request
Quando um router descobre que algumas das componentes da base de dados da topologia se encontram
desactualizadas, emite uma mensagem do tipo link state request para obter informação actualizada sobre
esses links.
Link status update
As mensagens link status update são mensagens broadcast emitidas pelos routers para a actualização das
bases de dados da topologia dos seus vizinhos.
10-30
O protocolo BGP
Descrição geral do protocolo
O protocolo BGP (Border Gateway Protocol) é um protocolo baseado num algoritmo distance vector.
O BGP utiliza o protocolo TCP pelo que todo o sistema que garante a fiabilidade das transmissões é
assegurado pelo software do protocolo TCP e não necessita de ser implementado ao nível do protocolo BGP.
Dois routers BGP formam uma conexão TCP entre si. Esses routers são designados por peers ou vizinhos. Os
routers peer trocam múltiplas mensagens para abrir e para confirmar parâmetros das conexões. Um dos
parâmetros trocados é a versão do protocolo utilizado. Se não for possível compatibilizar os parâmetros a
conexão não pode ser estabelecida.
Inicialmente, todas as routes candidatas são trocadas. Informação de actualização é enviada à medida que a
informação sobre a topologia muda.
As routes são anunciadas entre um par de routers através de mensagens UPDATE. Essas mensagens
contêm entre outras coisas uma lista de <length, prefix> que listam os destinos que podem ser atingidos
através de cada sistema.
Uma mensagem UPDATE contém igualmente os atributos dos caminhos que incluem informação tal como o
grau de preferência por determinado caminho (route).
No caso de haver alterações, como por exemplo uma route se tornar não acessível ou ter um melhor
caminho, o BGP informa os seus neighbors (vizinhos) retirando as routes inválidas e injectando nova
informação de routing. As routes retiradas são igualmente parte da mensagem UPDATE. Essas routes deixam
de estar disponíveis.
Quando não existem mudanças, os routers apenas trocam mensagens KEEPALIVE. As mensagens KEEPALIVE
são enviadas periodicamente entre peers BGP para manter a conexão viva. Os packets KEEPALIVE têm 19
bytes cada um e consumem uma largura de banda mínima (cerca de 2,5 bps para uma taxa periódica de 60
segundos).
Formato do header de uma mensagem BGP
O header de uma mensagem BGP é composto por MARKER de 16 bytes, um campo LENGTH de 2 bytes e um
campo TYPE de 1 byte.
A seguir ao header pode existir ou não uma área de dados, dependendo do tipo de mensagem. Por
exemplo, as mensagens KEEPALIVE contêm apenas o header.
10-31
O campo MARKER é utilizado para autenticar mensagens que chegam ou para detectar falta de sincronização
entre dois peers BGP. Este campo MARKER pode ter dois formatos:
• Se o tipo de mensagem é OPEN ou se a mensagem OPEN não tem informação de

autenticação, o campo MARKER deve ser preenchido a zeros.
• De contrário, o campo MARKER é calculado com base em parte do mecanismo de

autenticação utilizado.
O campo LENGTH indica o tamanho da mensagem, incluindo o header. A mais pequena mensagem BGP não
poderá ter menos de 19 bytes e não poderá ser superior a 4096 bytes.
Tipos de mensagens
Mensagem OPEN
Um dos passos básicos do protocolo BGP é o estabelecimento de vizinhança entre BGP peers. Sem que este
passo de estabelecimento de relação de vizinhança, não poderá existir troca de mensagens de actualização.
A negociação de uma vizinhança, baseia-se:
1. No estabelecimento de uma conexão TCP;
2. No processamento com sucesso de uma mensagem OPEN;
3. Na detecção periódica de mensagens KEEPALIVE.
Formato das mensagens OPEN
Uma mensagem OPEN contém os seguintes campos:
Version (1 Byte)
Indica a versão do protocolo. Durante a negociação de estabelecimento de vizinhança os peers BGP concordam na
utilização de um número para a versão do protocolo (por exemplo a versão 3 ou a versão 4 do protocolo BGP).
Quando a versão dos protocolos é conhecida, a versão é estaticamente estabelecidad em vez de ser dinamicamente
negociada.
My Autonomous System (2 Bytes)

Contém o número do sistema autónomo a que o router pertence.
HOLD TIME (2 bytes):

O valor deste campo indica o tempo em segundos que pode decorrer entre a recepção consecutiva de duas
mensagens do tipo KEEPALIVE ou UPDATE. De cada vez que é recebida uma mensagem KEEPALIVE ou UPDATE o contador
é colocado a zero. Se o tempo para um determinado vizinho for excedido sem que seja recebida uma dessas
mensagens, esse vizinho é considerado não operacional. O valor deste campo é negociado entre cada router e cada
um dos seus vizinhos. Na negociação cada router propõe o seu valor para este campo. Se os valores escolhidos
10-32
forem diferentes, é seleccionado o menor dos dois valores. O tempo mínimo recomendado é de três segundos.
Nalguns casos, o valor e fixado permanentemente em zero. Isto significa que a ligação se considera sempre
operacional.
BGP Identifier (4 Bytes)

Este campo contém a identificação do emissor.
Optional Parameters (Variável)

Este campo, de comprimento variável, contém uma lista de parâmetros adicionais utilizados na negociação do
estabelecimento da vizinhança.
Optional Parameters Length (1 Byte)

Campo utilizado para indicar o comprimento do campo OPTIONAL PARAMETERS. Se contiver o valor zero, significa que
não há parâmetros opcionais.
10-33
Mensagem NOTIFICATION
Sempre que uma situação de erro é detectada, o router envia uma mensagem do tipo NOTIFICATION. Uma
mensagem NOTIFICATION é composta pelos seguintes campos.
Error Code (1 Byte):

Indica o código do erro. O valor deste campo pode ser complementado com o valor do campo ERROR SUBCODE.
Error Subcode (1 Byte):

Contém (quando aplicável) um valor que constitui um subcódigo detalhando o tipo de erro do campo ERROR CODE. Os
códigos e os subcódigos de erro são os seguintes:
ERROR CODE ERROR SUBCODE

1-Message Header Error 1-Connection Not Synchronized
2-Bad Message Length
3-Bad Message Type
2-OPEN Message Error 1-Unsupported Version Number
2-Bad Peer AS
3-Bad BGP Identifier
4-Unsupported Optional Parameter
5-Authentication Failure
6-Unacceptable Hold Time
3-UPDATE Message Error 1-Malformed Attribute List
2-Unrecognized Well-known Attribute
3-Missing Well-known Attribute
4-Attribute Flags Error
5-Attribute Length Error
6-Invalid Origin Attribute
7-AS Routing Loop
8-Invalide NEXT_OP Attribute
9-Optional Attribute Error
10-Invalid Network Field
11-Malformed AS-path
4-Hold Time Expired
5-Finite State Machine Error
6-Cease (erros fatais para
além dos anteriores)
Data
Este campo contém informação adicional sobre o erro.
10-34
Mensagem KEEPALIVE
As mensagens KEEPALIVE são constituídas apenas pelos 19 bytes do header. Essas mensagens são em
regra enviadas com uma frequência igual a um terço do tempo definido através do campo HOLD TIME
negociado entre os routers.
Nota
Se for estabelecido um valor zero para o HOLD TIME os routers não trocarão mensagens KEEPALIVE.
Mensagem UPDATE
As mensagens UPDATE são usadas pelos routers para permitir a construção de uma topologia da Internet
isenta de loops.
10-35
C- Encaminhamento e acesso remoto em redes Windows

Criação de uma internet
O cenário mais simples da utilização do encaminhamento é a junção de duas redes através de um router.
Neste caso o router encontra-se directamente ligado às duas redes que constituem uma internet. Como a
tabela de encaminhamento do router possuí todas as informações necessárias para direccionar os pacotes
de uma rede para a outra, não são necessários protocolos de encaminhamento que indiquem qual a rota a
seguir.
Encaminhamento entre várias redes locais
Quando existe a junção de mais do que duas redes com a utilização de routers é necessário seleccionar
uma de duas opções:
Configurar rotas estáticas nas tabelas de encaminhamento dos routers existentes na internet.
Utilizar protocolos de encaminhamento que possibilitam a descoberta das possíveis entre duas redes, na
comunicação entre dois hosts.
Para ilustrar esta situação recorremos a um pequeno exemplo:
No cenário proposto, existem três redes (Redes A, B e C) e dois routers (Routers 1 e 2). Router 1 está nas
redes A e B e o Router 2 está nas redes B e C. O Router 1 deverá notificar o Router 2 que a rede A poderá
ser alcançada através do Router 1 e o Router 2 deverá notificar o Router 1 que a rede C poderá ser
alcançada pelo Router 2. Esta informação será comunicada automaticamente através da utilização de
protocolos de encaminhamento, tais como RIP ou OSPF. Quando um utilizador na rede A pretender
comunicar com um utilizador na rede C, o computador do utilizador na rede A encaminha o pacote para o
Router 1. O Router 1 reencaminha, em seguida, o pacote para o Router 2. O Router 2 reencaminha, em
seguida, o pacote para o computador do utilizador na rede C.
Sem a utilização de protocolos de encaminhamento, o administrador da rede terá de introduzir rotas

estáticas nas tabelas de encaminhamento do Router 1 e Router 2. Durante o funcionamento das rotas
estáticas, não se adaptam bem aos conjuntos de redes de maior porte, nem recuperam devidamente de
alterações na topologia dos conjuntos de redes. A utilização de rotas estáticas nas tabelas de
encaminhamento é impraticável em redes de grande dimensão e também na Internet.
Encaminhamento em redes alargadas (WAN)
O encaminhamento em redes alargadas pode ser ilustrado, quando duas redes locais se encontram em
pontos geograficamente distintos, e se torna necessário utilizar linhas de comunicação WAN para
estabelecer a comunicação entre as duas redes.
O encaminhamento através de redes alargadas pode ser ilustrado através do seguinte cenário:
As redes A e B estão separadas geograficamente e, para o montante de tráfego transferido entre as redes,
não é económica a utilização de uma ligação WAN dedicada. O Router 1 e o Router 2 poderão estabelecer
ligação por linhas telefónicas analógicas através da utilização de modems em ambas as extremidades (ou
outro tipo de conectividade, tal como RDIS). Quando um computador na rede A inicia a comunicação com
10-36
um computador na rede B, o Router 1 estabelece uma ligação telefónica com o Router 2. A ligação do
modem será mantida, até que existam pacotes em transmissão. Quando a ligação estiver inactiva, o
Router 1 desliga para redução de custos.
10-37
D - Interfaces e protocolos de encaminhamento
Interfaces de encaminhamento
O software de router do Windows considera três tipos de entidades que representam os dispositivos de
conectividade existentes no computador que são utilizados no processo de encaminhamento. Estes são os
interfaces, os dispositivos e as portas
Um interface de encaminhamento é um conexão lógica ou física por onde são enviados os pacotes
redireccionados. Um dispositivo representa o hardware ou software que cria as ligações ponto a ponto,
lógicas ou físicas. Uma porta representa um canal de comunicação que suporta uma única conexão ponto a
ponto.
O router do Windows utiliza um interface de encaminhamento para enviar pacotes IP. Existem três tipos de
interfaces de encaminhamento:
Interfaces de rede local
Uma interface de rede local é uma interface física que representa normalmente uma ligação de área local
que utiliza tecnologia de rede local como a Ethernet ou Token Ring. A interface de rede local reflecte uma
placa de rede instalada. Uma placa de rede alargada instalada é por vezes representada como interface de
rede local. Por exemplo, alguns adaptadores Frame Relay criam uma interface de rede local lógica separada
para cada circuito virtual configurado. As interfaces de rede local estão sempre activadas e normalmente não
requerem um processo de autenticação para se tornarem activas.
Interfaces de marcação a pedido
Uma interface de marcação a pedido é uma interface lógica que representa uma ligação ponto a ponto. A
ligação ponto a ponto é baseada tanto numa ligação física, como por exemplo, dois routers ligados através
de uma linha telefónica analógica que utiliza modems, como numa ligação lógica, como por exemplo, dois
routers ligados através de uma ligação de rede privada virtual que utiliza a Internet. As ligações de marcação
a pedido são tanto a pedido (a ligação ponto a ponto é apenas estabelecida quando necessário) ou
persistente (a ligação ponto a ponto é estabelecida e mantém-se ligada). As interfaces de marcação a
pedido requerem normalmente um processo de autenticação para se tornarem activas. O equipa
mento necessário para uma interface de marcação a pedido é uma porta num dispositivo.
Interfaces de túnel IP dentro de IP

Uma interface de túnel IP dentro de IP é uma interface lógica que representa uma ligação ponto a ponto
transmitida num túnel. As interfaces IP dentro de IP não requerem uma processo de autenticação para se
tornarem activas.
Dispositivos
Um dispositivo é o hardware ou o software que fornece portas utilizadas pelas ligações de acesso remoto de
marcação a pedido para estabelecer ligações ponto a ponto. Os dispositivos podem ser físicos, como por
exemplo, um modem, ou virtuais, como por exemplo, protocolos de rede privada virtual (VPN). Os
dispositivos podem suportar uma única porta, como por exemplo, um modem, ou múltiplas portas, como por
exemplo, hardware do banco de modem que pode terminar 64 chamadas telefónicas analógicas diferentes a
receber.
10-38
Um exemplo de um dispositivo multiportas virtual é o Point-to-Point Tunneling Protocol (PPTP) ou o Layer

Two Tunneling Protocol (L2TP). Cada um destes protocolos de túnel suporta ligações VPN múltiplas.
Portas
Uma porta é um canal de um dispositivo que suporta uma única ligação ponto a ponto. Para dispositivos de
uma única porta como os modems, o dispositivo e a porta são indistintos. Para dispositivos multiportas, a
porta é a subdivisão do dispositivo através do qual é possível estabelecer uma ligação ponto a ponto
separada. Por exemplo, placas RDIS Primary Rate Interface (PRI) suportam dois canais separados
denominados canais B. A placa RDIS é um dispositivo. Cada canal B é uma porta porque ocorre uma
ligação ponto a ponto em cada canal B.
O protocolo de encaminhamento RIP
O Protocolo de informação de encaminhamento (RIP-Routing Information Protocol) é concebido para

intercâmbio de informações de encaminhamento, dentro de um conjunto de redes de tamanho médio.
A maior vantagem do RIP é ser extremamente simples de configurar e de implementar. A maior

desvantagem do RIP é a incapacidade de conversão para conjuntos de redes grandes ou muito grandes. A
contagem de saltos máxima utilizada por routers RIP é de 15. Redes que se encontrem a 16 saltos ou mais
de distância serão consideradas inatingíveis. Uma vez que os conjuntos de redes aumentam em tamanho,
anúncios periódicos por cada router RIP poderão provocar um tráfego excessivo. Outra desvantagem do RIP
é o elevado tempo de recuperação. Quando a topologia do conjunto de redes alterar, poderá demorar vários
minutos antes da reconfiguração dos routers RIP para a nova topologia do conjunto de redes. Durante a
reconfiguração do conjunto de redes, os ciclos de encaminhamento podem formar esse resultado em dados
perdidos ou não entregues.
Inicialmente, a tabela de encaminhamento para cada router inclui apenas as redes ligadas fisicamente. O
router RIP envia periodicamente anúncios, que contêm as entradas da tabela de encaminhamento
correspondente, para informar os outros routers RIP locais das redes tangíveis. O RIP versão 1 utiliza
pacotes de difusão IP para os respectivos anúncios. O RIP versão 2 utiliza pacotes de difusão e multicast
para os anúncios correspondentes.
Os routers RIP também poderão comunicar informações de encaminhamento através de actualizações
accionadas. As actualizações accionadas ocorrem quando as alterações da topologia da rede e as
informações de encaminhamento actualizadas são enviadas e reflectem essas alterações. Com as
actualizações accionadas, a actualização é enviada imediatamente em vez de aguardar pelo anúncio
periódico seguinte. Por exemplo, quando um router detecta uma ligação ou falha de router, actualiza a
respectiva tabela de encaminhamento e envia as rotas actualizadas. Cada router que recebe a actualização
accionada, modifica a respectiva tabela de encaminhamento e propaga a alteração.
O protocolo de encaminhamento OSPF
O protocolo de encaminhamento Abrir o caminho mais curto primeiro OSPF- Open Shortest Path First (Abrir
o caminho mais curto primeiro) é concebido para o intercâmbio de informações de encaminhamento dentro
de um conjunto de redes grande ou muito grande.
O protocolo OSPF utiliza o algoritmo Abrir o caminho mais curto primeiro (SPF, Shortest Path First) para
calcular rotas na tabela de encaminhamento. O algoritmo SPF calcula o caminho mais curto (menor custo)
10-39
entre o router e todas as redes do conjunto de redes. Rotas calculadas com base em SPF são sempre
isentas de ciclos.
Em vez de trocar entradas da tabela de encaminhamento como routers RIP, os routers OSPF mantêm um
mapa do conjunto de redes, actualizado depois de qualquer alteração à topologia da rede. Este mapa,
chamado de base de dados do estado da ligação, é sincronizado entre todos os routers OSPF e é utilizado
para calcular as rotas na tabela de encaminhamento. Routers OSPF vizinhos formam uma adjacência, que é
uma relação lógica entre routers para sincronizar a base de dados do estado da ligação.
As alterações à topologia da rede privada são propagadas de forma eficiente por todo o conjunto de redes,
de modo a assegurar que a base de dados do estado da ligação, em cada router, está sempre sincronizada
e precisa. A tabela de encaminhamento será recalculada, aquando da recepção de alterações à base de
dados do estado da ligação.
À medida que o tamanho da base de dados do estado da ligação aumenta, aumentam os requisitos de
memória e tempo de cálculo da rota. Para tratar deste problema de dimensionamento, o OSPF divide o
conjunto de redes em áreas (colecções de redes contíguas) ligadas entre si através de uma área backbone.
Cada router mantém apenas uma base de dados do estado da ligação para as áreas que estão ligadas ao
router. Os routers de limite de área (ABRs) ligam a área backbone a outras áreas.
10-40
E – Instalação do router
Requisitos para a configuração de um router
Quando instala o Windows Server, o serviço de router é instalado automaticamente. Contudo, o serviço de
encaminhamento e acesso remoto é instalado num estado desactivado.
Para instalar e configurar o router do Windows , deve iniciar sessão como membro do grupo de
administradores.
Requisitos do hardware
Antes de instalar o router do Windows , é necessário instalar e estar a funcionar todo o hardware.
Dependendo da rede e dos requisitos poderá ser necessário o seguinte hardware:
Uma placa de rede local ou de rede alargada com um controlador com a certificação Network Driver
Interface Specification (NDIS)
Um ou mais modems compatíveis e uma porta COM disponível.
Um dispositivo de conectividade WAN
Uma placa RDIS (se estiver a utilizar uma linha RDIS).
Instalar o serviço de Encaminhamento e acesso remoto
Para abrir o Encaminhamento e acesso remoto, clique em Iniciar, aponte para Programas, aponte para
Ferramentas administrativas e, em seguida, clique em Encaminhamento e acesso remoto.
Abra o utilitário Encaminhamento e acesso remoto
Por predefinição, o computador local é listado como servidor.
Para adicionar outro servidor, na árvore da consola, clique duas vezes em Estado do servidor e, em
seguida, clique em Adicionar servidor.
Na caixa de diálogo Adicionar servidor, clique na opção aplicável e, em seguida, clique em OK.
Na árvore de consola, clique com o botão direito do rato no servidor que pretende activar e, em seguida,
clique em Configurar e activar encaminhamento e acesso remoto.
Escolha opção personalização do Encaminhamento e acesso remoto
O serviço de Encaminhamento e acesso remoto, que para além de outras funcionalidades permite ao
Windows funcionar como router, passa agora a estar activo. No entanto, é ainda necessário proceder às
configurações necessárias mediante a configuração de rede e acesso ao exterior que se pretende
implementar.
10-41
Activar o router para redes locais
Para activar o serviço de Encaminhamento e acesso remoto apenas para ligações entre redes locais,
execute o seguinte procedimento:
Clique com o botão direito do rato no nome do servidor para o qual pretende activar o encaminhamento e,
em seguida, clique em Propriedades.
No separador Geral, seleccione a caixa de verificação Activar este servidor como router e, em seguida,
efectue um dos seguintes procedimentos:
Execute um clique em Apenas encaminhamento local (router LAN).
Activar o router para ligações WAN
Para activar o router para ligações de redes locais e redes remotas WAN, execute o seguinte procedimento:
Clique com o botão direito do rato no nome do servidor para o qual pretende activar o encaminhamento e,
em seguida, clique em Propriedades.
No separador Geral, seleccione a caixa de verificação Activar este servidor como router e, em seguida,
efectue um dos seguintes procedimentos:
Execute um clique em Encaminhamento local e remoto (router LAN e WAN).
10-42
Unidade 11
Segurança em redes Windows
Conhecer os conceitos básicos sobre segurança informática.

Conhecer a arquitectura de segurança em redes Windows.
Descrever o processo de autenticação
Conhecer o funcionamento do sistema de encriptação de ficheiros
Atribuir permissões NTFS e garantir a segurança dos recursos de rede
Estabelecer processo de auditoria de segurança
Gerir sistemas de segurança em servidores IIS
Sumário:
A segurança informática em redes de computadores é talvez um dos aspectos mais importantes desta área
da Informática. Nesta unidade serão apresentados os conceitos básicos sobre segurança informática e
criptografia, bem como a arquitectura de segurança das redes Windows.
No final desta unidade, deverá saber definir políticas de segurança para uma rede informática e implementar
sistemas de segurança ao nível dos servidores da rede local e servidores Web.
10-1
A - Arquitectura de segurança em redes Windows
Conceitos básicos sobre segurança
Segurança da informação
Hoje em dia, a informação vital existente nos sistemas informáticos e na Internet necessita de possuir três
características: confidencialidade, integridade e disponibilidade.
Quando a informação é acedida ou copiada por uma pessoa que não está devidamente autorizada dá-se
uma perda de confidencialidade da informação.
A informação pode ser alterada quer inadvertidamente ou com intuito malicioso. Quando esta situação
acontece estamos perante uma perda de integridade da informação.
A informação pode ser alterada quer inadvertidamente ou com intuito malicioso. Quando esta situação
acontece estamos perante uma perda de integridade da informação.
Imagine, por exemplo uma base de dados de uma empresa que vende produtos on-line onde são alteradas
as ordens de encomendas de alguns clientes. O resultado será prejudicial para a empresa, visto que os
clientes para além de não verem o seu pedido satisfeito podem ainda reclamar que forma descontadas nas
suas contas pessoais somas que não correspondem à compra que efectuaram.
Nos dias de hoje, as empresas que se que vende produtos ou serviços necessitam que os seus
colaboradores e clientes possam aceder a determinada informação. Quando essa informação é apaga ou
torna-se indisponível dá-se uma perda de disponibilidade da informação.
A situação em que utilizadores autorizados ficam impossibilitados de consultar informação é designada por
denial of service.
A conservação da confidencialidade, integridade e disponibilidade de informação vital leva à necessidade de

se estabelecerem mecanismos de segurança que protejam as organizações e a privacidade de dos
utilizadores que utilizam os sistemas de informação dos nossos dias.
10-2
Políticas de segurança
A política de segurança uma organização é o plano que esta adopta para proteger adequadamente a
informação.
Na definição de uma política de segurança devem ter-se em conta os seguintes factores:
Descrição pormenorizada das tecnologias de informação utilizadas na organização.
Identificação da informação sensível e onde esta se encontra armazenada.
Práticas e procedimentos a serem utilizados pelos administradores de sistemas.
Práticas aceitáveis para os utilizadores normais do sistema.
Análise das possíveis ameaças à integridade e segurança da informação e planos de resposta a

esses ataques.
Incidentes e Ataques
Um incidente de segurança é um acontecimento contrário ás políticas de segurança estabelecidas para o

sistema sistema de informação de uma organização.
Os incidentes podem ser um prelúdio para ataques aos sistemas informáticos que têm em geralmente como
consequência a perda de um ou mais atributos da informação crítica: confidencialidade, integridade e
disponibilidade.
Tipos de incidentes de segurança:
Utilização não autorizada de uma conta de utilizador
Num sistema informático os utilizadores utilizam um conta que lhes permite aceder aos recursos em rede.
Por vezes os piratas informáticos conseguem obter o nome da conta e a respectiva palavra passe, fazendo-
se passar por esse utilizador. O risco para o sistema é maior mediante o tipo da conta comprometida.
Denial of Service
10-3
Os ataques Denial of Service (DoS) têm por objectivo impedir o acesso à informação por parte de
utilizadores autorizados. Um exemplo deste tipo de ataques é a utilização de programas de software que
inundam os Web sites de empresas com milhares de pedidos, impossibilitando desta forma, o trafego normal
nesse site.
Vírus
Este tipo de software têm como finalidade destruir programas e informação existente nos computadores. Os
virus podem ser transmitidos facilmente por e-mail ou através da rede informática e constituem um ameaça à
segurança dos sistemas.
Cada um destes incidentes, apresentados a título de exemplo, pode implicar a perda de uma característica
vital da informação crítica de uma organização.
Autenticação
Num sistema informático onde são implementadas políticas e esquemas de segurança, é necessário que
cada utilizador se identifique por forma a ter acesso aos recursos existentes no sistema.
O processo de autenticação consiste em verificar se a pessoa que utiliza uma conta de utilização é
realmente quem afirma ser.
O processo de autenticação de um utilizador utiliza dois elementos que em conjunto identificam unicamente
um utilizador.
10-4
Cada conta de utilizador está autorizada a aceder a determinados recursos. A acto de autorização é a
determinação por parte do sistema se determinado utilizador têm ou não privilégios suficientes para aceder a
um determinado recurso.
A utilização de contas de utilização permite ao sistema registar todas as acções de um utilizador num
sistema informático. Esta capacidade dos sistemas pode ser utilizada como medida de segurança.
10-5
Criptografia
A criptografia é um sistema utilizado para codificar e descodificar informação com o objectivo de assegurar a
privacidade dessa mesma informação. É um processo que se desenrola em duas fases: a encriptação e a
desencriptação.
Encriptação
Numa primeira fase, designada por encriptação, uma mensagem aberta (por exemplo, um texto escrito em
português) é transformado numa sequência de carateres ininteligível. A mensagem original é designada por
plaintext e a mensagem que resulta da encriptação é designada por ciphertext.
Mensagem original Mensagem encriptada

(plaintext) Encriptação (ciphertext)
Desencriptação
A desencriptação é o processo inverso da encriptação. Consiste na transformação de uma mensagem

encriptada (ciphertext) na mensagem original (plaintext).
Mensagem encriptada Mensagem original

(ciphertext) Desencriptação (plaintext)
Algoritmos e chaves
Os processos de encriptação e desencriptação utilizam algoritmos e chaves para as transformações que

operam. O algoritmo é o conjunto de procedimentos matemáticos aplicados. A chave é um argumento que o
algoritmo da função recebe para efectuar a transformação.
Para se compreender a diferença entre algoritmo e chave, considere-se o seguinte exemplo de simplicidade
extrema (e que, evidentemente, só poderia ser utilizado num sistema de encriptação trivial). Imagine-se que
o procedimento de encriptação consistia em somar um determinado valor inteiro ao código numérico de cada
uma dos caracteres da mensagem incial e que o processo de desencriptação consistia em subtrair esse
mesmo valor. O algoritmo, neste caso, é o procedimento que consiste em somar (ou subtrair) um
determinado valor inteiro ao código de cada caracter. A chave é esse valor inteiro. O mesmo algoritmo
poderia ser utilizado com diferentes chaves (2, 3, 4, ...).
Os algoritmos de encriptação utilizados na prática são algoritmos que contêm um conjunto complexo de
manipulações matemáticas. No entanto, trata-se de algoritmos conhecidos, pelo que, a garantia de
confidencialidade reside na chave que é utilizada. Em princípio, uma chave é tanto mais segura (mais difícil
de obter) quanto maior for o número de bits dessa chave. Por exemplo, se uma chave usar 56 bits, o número
de combinações possíveis é de 256 = 72 057 594 037 927 936. Aumentando o número de bits da chave,
aumenta-se enormemente o número de combinações, de tal forma que se podem criar chaves para as quais
10-6
os mais modernos computadores levariam muitos anos para gerar todas as combinações possíveis e,
eventualmente, quebrar a inviolabilidade da chave. Evidentemente, quanto maior for o número de bits da
chave, mais intenso e demorado será o processo de encriptação e desencriptação. Neste domínio, o
princípio a ter presente é o seguinte: as protecções de software podem sempre, em teoria, ser removidas
por software mas podem ser implementados mecanismos que inviabilizem na prática um ataque à chave em
termos de "força bruta".
Sistemas de criptografia simétrica
Um sistema de criptografia simétrica (ou de chave privada) caracteriza-se pelo facto de ser utilizada uma
mesma chave quer na encriptação quer na desencriptação. A chave é apenas conhecida pelos dois
extremos da comunicação. Para que A e B possam comunicar utilizando um sistema de criptografia
simétrica, deve existir uma chave (só conhecida por ambos). Essa chave é utilizada na encriptação e na
desencriptação.
Sistemas de criptografia assimétrica
Um sistema de criptografia assimétrica caracteriza-se pela existência de duas chaves: uma chave pública e
uma chave privada. Cada entidade que pretenda estabelecer comunicação segura com outras entidades
possui duas chaves. A chave privada (só conhecida dessa entidade) e a chave pública que pode ser
conhecida por todos, particularmente por aqueles que necessitam de comunicar com esssa entidade.
Para ilustrar melhor o conceito, considere-se a entidade A que se relaciona com as entidades X, Y e Z. A
entidade A possui uma chave privada e uma chave pública. A chave privada só é conhecida da entidade A,
mas a chave pública é conhecida de todas as outras entidades. As duas chaves estão relacionadas da
seguinte forma. A entidade A pode usar a sua chave privada para encriptar mensagens transmitidas aos
destinatários X, Y e Z. Estes utilizam a chave pública de A para desencriptar essas mensagens. Da mesma
forma, quando qualquer das entidades X, Y ou Z, pretende eviar mensagens para A, utiliza a chave pública
de A para encriptar as mensagens. Por sua vez A utiliza a sua chave privada para desencriptar essas
mensagens.
10-7
Para as suas comunicações, A dispõe de uma chave privada e de uma chave

pública. A pode utilizar a sua chave privada para encriptar as mensagens que
envia, e para desencriptar as mensagens que recebe.
Chave A chave pública de A

Chave pode ser divulgada sem
Só A conhece a sua privada pública
própria chave privada de A restrições
de A
X Os destinatários utilizam a
A chave pública de A para
desencriptar as mensagens
A utiliza a sua chave que recebem de A.
privada para encriptar as
mensagens que envia.
Plaintext Plaintext
Chave privada
de A Chave pública
de A
Ciphertext
Ciphertext
Os exemplos apresentados evidenciam a relação que existe entre as duas chaves de uma entidade. Ambas
podem ser utilizadas para encriptar e para desencriptar. Uma mensagem encriptada com a chave privada
pode ser desencriptada com a correspondente chave pública. Do mesmo modo, uma mensagem encriptada
com a chave pública pode ser desencriptada com a correspondente chave privada.
Quando a entidade A encripta uma mensagem com a sua chave privada, essa mensagem pode ser
desencriptada por qualquer outra entidade que tenha acesso à chave pública de A. No entanto, imagine-se
que A pretende enviar uma mensagem para B, mas de tal forma que só B possa desencriptar essa
mensagem. Nesse caso, A deve encriptar a mensagem utilizando a chave pública de B. A entidade B, por
seu turno, utilizará a sua chave privada para desencriptar a mensagem.
O algoritmo utilizado para gerar o par de chaves dá garantias de que é extremamente difícil, a partir da
chave pública, deduzir a chave privada.
Assinaturas digitais
Para além de garantir a confidencialidade, os sistemas de encriptação devem igualmente, em certos casos,
garantir a autenticidade das mensagens. A autenticidade de uma mensagem deve ser entendida como a
garantia de que o autor de uma mensagem é quem diz ser e que o conteúdo da mensagem não foi alterado
durante o seu percurso entre a origem e o destino.
O processo designado por assinatura digital permite garantir a autenticidade da mensagem e a sua
integridade. Esse processo é implementado através das seguintes fases:
1. O emissor da mensagem utiliza um software especial que converte o texto da mensagem num
determinado valor. A função que efectua essa conversão é designada por hash function. Uma hash
10-8
function pode transformar uma mensagem de milhões de bits num valor representado por pouco mais
de uma centena de bits. Esse valor é designado por message digest. A hash function é uma função
que opera num só sentido, isto é, não é possível utilizar a função inversa para reconstituir a
mensagem original a partir do valor message digest. Para além disso, a hash function possui a
propriedade seguinte: se a mensagem inicial for alterada mesmo que num só bit, a message digest
gerada pela hash function será diferente.
2. Depois de gerar o valor message digest, o programa encripta esse valor utilizando a chave privada do
emissor e cria uma versão “assinada” do documento original. Essa versão contém informação sobre o
programa utilizado para gerar a assinatura bem como o ponto em que começa e acaba o texto da
mensagem.
3. O receptor usa o programa para desencriptar o valor message digest gerado na origem usando a chave
pública do emissor. Em seguida aplica a hash function ao texto da mensagem e compara os dois valores
obtidos. Se os valores forem forem iguais, a mensagem pode ser considerada autêntica.
10-9
Arquitectura de segurança em redes Windows

Modelo de segurança
As funcionalidades principais do modelo de segurança do Windows são a autenticação do utilizador e o

controlo de acesso.
O conceito de autenticação refere-se à capacidade dos utilizadores iniciarem uma sessão num sistema e
aceder aos recursos de rede.
O processo de autenticação confirma a identificação do utilizador quando este inicia uma sessão num
posto de trabalho da rede.
O Windows permite implementaro controlo de acesso aos recursos de rede através da atribuição de
descritores de segurança.
Um descritor de segurança consiste numa lista de utilizadores e grupos a quem é concedido o acesso com
as respectivas permissões específicas de acesso.
10-10
Exemplos de objectos são ficheiros, impressoras e serviços. Gerindo as propriedades nos objectos, os
administradores podem definir permissões, atribuir propriedade e monitorar o acesso por utilizadores.
Os administradores podem não só controlar o acesso a um objecto específico, como podem controlar o
acesso a um atributo específico desse objecto. Por exemplo, através de uma configuração própria do
descritor de segurança de um objecto, é possível permitir o acesso de um utilizador a um subconjunto de
informação, como os nomes e números de telefone dos empregados, mas não às suas moradas.
O Active Directory fornece o armazenamento protegido da conta do utilizador e da informação do utilizando o
controlo de acesso em objectos e credenciais de utilizador. Uma vez que o Active Directory armazena não
só as credenciais do utilizador mas também as informações do controlo de acesso, os utilizadores que
iniciam a sessão na rede obtêm autenticação a autorização de acesso aos recursos do sistema.
Por exemplo, quando um utilizador inicia a sessão na rede, o sistema de segurança do Windows 2000
autentica o utilizador com o recurso a informações armazenadas no Active Directory. Então, quando o
utilizador tenta aceder a um serviço da rede, o sistema verifica as propriedades definidas na lista de controlo
de acesso discricionário (DACL) para esse serviço.
Como o Active Directory permite que os administradores criem contas de grupo, os administradores podem
gerir a segurança do sistema de modo mais eficiente. Por exemplo, ajustando as propriedades de um
ficheiro, um administrador pode permitir a todos os utilizadores de um grupo a leitura desse ficheiro. Deste
modo, o acesso a objectos do Active Directory é baseado na associação a grupos.
10-11
Arquitectura de domínio
Um domínio é um agrupamento de objectos de rede: utilizadores, computadores, grupos e recursos. Os

objectos de um domínio são armazenados no Active Directory.
Cada domínio é um limite de segurança, no sentindo de que as definições e políticas de segurança (como os
direitos administrativos, as políticas de segurança e as listas de controlo de acesso) não são transferidas
entre domínios. O administrador de um domínio específico tem direito a definir políticas apenas nesse
domínio.
Como um domínio é um limite de segurança, os diferentes administradores podem criar e definir domínios
diferentes na organização.
Alguns pontos chave para compreender os domínios são:
A política de segurança pode ser implementada através de um domínio.
O Active Directory, que inclui as informações de segurança, é replicado em intervalos regulares para
cada controlador de domínio no domínio, para que as bases de dados estejam sempre sincronizadas.
Os objectos no Active Directory podem ser organizados e geridos a nível da unidade organizacional.
10-12
Funções de servidor
Numa rede Windows os servidores desempenham uma de duas funções:
Autenticação
O processo de autenticação consiste em confirmar a identidade de um utilizador que esteja a tentar

iniciar uma sessão num domínio ou a aceder a recursos de rede.
10-13
Autorização
O controlo de acesso é o modelo de implementação da autorização.
Depois de uma conta de utilizador ter recebido uma autenticação e poder aceder a um objecto, o tipo de
acesso concedido é determinado pelos direitos de utilizador que são atribuídos ao utilizador ou pelas
permissões anexadas ao objecto. Para objectos num domínio, o gestor de objectos para esse tipo de objecto
impõe o controlo de acesso. Por exemplo, o registo impõe o controlo de acesso às chaves de registo.
Os objectos controlados por um gestor de objectos têm um proprietário, um conjunto de permissões que se
aplicam a grupos ou utilizadores específicos e informações de auditoria. Ao definir as permissões de um
objecto, o proprietário do objecto controla que utilizadores e grupos na rede têm permissão para aceder ao
objecto. As definições de permissão também definem que tipo de acesso é permitido (como as permissões
de leitura/escrita de um ficheiro). As informações sobre a auditoria definem que utilizadores ou grupos são
auditados quando tentam aceder a esse objecto.
Auditoria
A auditoria de segurança é uma função do Windows 2000 que monitoriza vários eventos relacionados com
a segurança. O sistema de monitorização de eventos é necessário para detectar utilizadores estranhos e
para detectar tentativas de comprometer os dados no sistema.
Para além de auditar eventos relacionados com a segurança, o Windows 2000 gera um registo de
segurança e fornece uma forma de visualizar os eventos de segurança relatados no registo.
10-14
Protecção da informação
A integridade e confidencialidade dos dados iniciam-se com a autenticação da rede. Com as credenciais
adequadas (palavra-passe forte ou credenciais de chave pública), o utilizador pode iniciar sessão na rede e,
no processo, obter permissão para aceder aos dados armazenados.
Tipos de protecção de dados locais:
O sistema de encriptação de ficheiros (EFS) utiliza encriptação de chave pública para encriptar dados em
volumes NTFS locais.
As assinaturas digitais assinam identificam o utilizador no acesso aos recursos do sistema.
Protecção da comunicação de rede
Os dados de rede no site (rede e sub-redes locais) são protegidos pelo protocolo de autenticação. Para um
nível adicional de segurança, também é possível optar por encriptar dados de rede num site. Através da
segurança do protocolo Internet, é possível encriptar todas as comunicações em rede de clientes específicos
ou de todos os clientes num domínio.
Os dados de rede transmitidos para o site e do site (através de intranets, extranets ou um gateway da
Internet) podem ser protegidos utilizando os seguintes utilitários:
• Segurança do Protocolo IP. Encripta as comunicações TCP/IP de um cliente.

• Encaminhamento e acesso remoto. Configura os protocolos de acesso remoto e encaminhamento.
• Servidor proxy. Fornece um servidor proxy e firewall de um site.
10-15
Infra-estrutura de chave pública
As redes informáticas já não são sistemas fechados em que a mera presença do utilizador na rede pode
servir como prova de identidade. Nesta idade da interligação da informação, a rede de uma organização é
constituída por intranets, sites da Internet e extranets--todas potencialmente susceptíveis de serem acedidas
por indivíduos não autorizados que, maldosamente, pretendam ver ou alterar imobilizados de informação
digital da organização.
Existem muitas potenciais oportunidades de acesso não autorizado a informações contidas nas redes. É
possível que alguém tente monitorar ou alterar sequências de informação, como o correio electrónico,
transacções de comércio electrónico e transferências de ficheiros. A sua organização pode trabalhar com
parceiros em projectos de âmbito e duração limitados, com empregados dos quais não se sabe nada, mas a
quem, ainda assim, deve ser concedido o acesso a alguns dos recursos de informação. Se os utilizadores
tiverem uma multitude de palavras-passe de que devem lembrar-se para acederem a diferentes sistemas de
segurança, é possível que escolham palavras-passe fracas ou comuns, para mais facilmente se lembrarem
delas. Isto não só fornece ao hacker uma palavra-passe que é fácil de quebrar, como permite também o
acesso a múltiplos sistemas protegidos e a dados armazenados.
Como pode um administrador de sistema estar seguro acerca da identidade da pessoa que acede à
informação e, determinada essa identidade, controlar qual a informação a que essa pessoa tem acesso?
Adicionalmente, como pode um administrador de sistema distribuir e gerir credenciais de identificação com
facilidade e segurança numa organização? Existem questões que podem ser dirigidas com uma estrutura
bem planeada de infra-estrutura de chave pública.
Uma infra-estrutura de chave pública, muitas vezes abreviada para PKI, é um sistema de certificados
digitais, autoridades de certificação e outras autoridades de registo que verificam e autenticam a validade
de cada uma das partes envolvidas numa transacção electrónica através do uso da criptografia da chave
pública.
10-16
Um certificado é uma declaração digital emitida por uma autoridade que atesta a identidade do possuidor
do certificado. Um certificado liga uma chave pública à identidade da pessoa, computador ou serviço que
detém a chave privada correspondente.
Uma autoridades de certificação é a responsável pelo estabelecimento e garantia da identidade dos

detentores dos certificados. Uma AC emite e revoga certificados.
As políticas de chave pública são implementadas numa rede para distribuir automaticamente certificados a
computadores utilizadores e grupos.
10-17
B- Autenticação
O processo de autenticação
Inicio de sessão interactivo
O início de sessão interactivo confirma a identificação do utilizador tanto para uma conta do domínio como
para um computador local. Este processo é diferente, dependendo da conta do utilizador.
Início com uma conta de domínio:
Início com uma conta local:
10-18
Autenticação de rede
A autenticação de rede confirma a identificação do utilizador em qualquer serviço de rede a que o utilizador
tente aceder.
Protocolos de segurança utilizados são os seguintes:
Kerberos V5
Secure Socket Layer/Transport Layer Security (SSL/TLS)
o NTLM (compatibilidade com o Windows NT 4.0)
Os utilizadores que utilizem uma conta de computador local devem fornecer credenciais (como o
nome de utilizador e a palavra-passe) sempre que acederem a um recurso de rede.
Com uma conta de domínio o utilizador possui credenciais que podem ser utilizadas para um início de
sessão único.
O protocolo Kerberos v5
O mecanismo de autenticação Kerberos v5 emite bilhetes de acesso aos serviços de rede. Estes bilhetes
contêm dados encriptados, incluindo uma palavra-passe encriptada que confirma a identidade do utilizador
para o serviço pedido.
Funcionamento do protocolo:
1. O utilizador identifica-se com o nome de utilizador e palavra-passe.
2. A informação é enviada para o controlador de domínio
3. O controlador de domínio possuí o serviço de Centro de distribuição de chaves que armazena as

palavras-passe e informações de conta.
4. É enviado um bilhete de acesso com as credenciais do utilizador.
5. O bilhete de acesso é utilizado para identificar o utilizador quando acede aos recursos de rede.
10-19
Utilizadores, computadores e grupos
Contas de utilizador
Uma conta de utilizador do Windows permite que um utilizador inicie sessão em computadores e domínios
com uma identidade que possa ser autenticada e autorizada para ter acesso a recursos de domínios.
Cada utilizador que inicie sessão na rede deve ter a sua conta de utilizador exclusiva e respectiva palavra-
passe.
As contas de utilizador também podem ser utilizadas como contas de serviço para algumas aplicações.
Contas de utilizador
Utilizadores e Sistema
O Windows fornece contas de utilizador predefinidas que pode utilizar para iniciar sessão num
computador que esteja a executar o Windows 2000. Estas contas predefinidas são:
Conta de administrador
Conta de convidado
Novas contas de utilizador podem ser criadas no utilitário Computadores e utilizadores do Active
Directory.
10-20
Contas de computador
Uma conta de computador representa um computador ligado à rede. Semelhantes às contas de utilizador,
as contas de computador fornecem um meio de autenticação e de auditoria do acesso do computador à
rede, para além do acesso aos recursos do domínio.
As contas de computador são criadas no utilitário Computadores e utilizadores do Active Directory.
Os grupos
Os grupos são um objecto da Active Directory. Os grupos são compostos por utilizadores ou
computadores.
Aos grupos podem ser atribuídas permissões facilitando a tarefa de administração de segurança.
Os grupos são também uma associação lógica de objectos. Um grupo pode representar um determinado
conjunto de utilizadores de um departamento de uma empresa ou utilizadores que desempenham
determinadas funções na rede. Para ilustrar o primeiro caso temos um grupo composto pelos utilizadores do
departamento de contabilidade, no segundo caso o grupo de administradores de uma empresa.
Estas considerações aplicam-se inclusivamente aos grupos formador por contas de computadores. Os
grupos pode juntar computadores que desempenham as mesma tarefas na rede (controladores de domínio),
ou outro tipo de organização lógica ( como por exemplo a sua localização geográfica.
10-21
C – Sistema de encriptação de ficheiros

Funcionamento do sistema de encriptação de ficheiros
Sistema de encriptação de ficheiros (EFS)
O EFS apenas encripta ficheiros. Embora o Windows possibilita a encriptação de pastas e subpastas, na
realidade apenas são encriptados os ficheiros nelas contidos.
Cada ficheiro tem uma chave de encriptação de ficheiros exclusiva, a qual é posteriormente utilizada para
desencriptar os dados do ficheiro.
A chave de encriptação de ficheiros está, em si mesma, encriptada, protegida pela chave pública de
utilizador correspondente certificado EFS do utilizador.
A chave de encriptação de ficheiros está também protegida pela chave pública de um agente de
recuperação autorizado.
Encriptação de ficheiros
Os utilizadores podem encriptar um ficheiro ou uma pasta, através da definição da propriedade de

encriptação para ficheiros e pastas, da mesma forma como são definidos outros atributos, tais como, só de
leitura, comprimido ou oculto. Se um utilizador encriptar uma pasta, todos os ficheiros e subpastas criadas
ou adicionadas à pasta encriptada são automaticamente encriptadas. Recomenda-se aos utilizadores que
encriptem ao nível da pasta.
10-22
Não é possível encriptar ficheiros comprimidos. Além disso, as pastas marcadas para encriptação não estão
na realidade encriptadas. Apenas os ficheiros contidos na pasta são encriptados.
No Explorador do Windows aceda às propriedades do ficheiro .
No separador Geral...
Execute um clique em Avançadas...
Na janela Atributos avançadas encontra várias opções para o ficheiro
10-23
Marque a opção Encriptar o conteúdo para proteger os dados.
Execute um clique em OK para encriptar os dados.
10-24
Desencriptação de ficheiros
Pode desencriptar um ficheiro limpando a caixa de verificação Encriptação na caixa de diálogo

Propriedades do ficheiro. Uma vez desencriptado, o ficheiro permanece desencriptado até que volte a
encriptá-lo.
Uma vez que um utilizador tenha encriptado um ficheiro, não será necessária a desencriptação deste desde
que o utilizador seja o único a precisar de aceder ao ficheiro. O único motivo pelo qual um utilizador pode
precisar de desencriptar um ficheiro é quando pretende partilhá-lo com outro utilizador ou tornar o ficheiro
disponível para os utilizadores da rede.
Recuperação de dados
A política de recuperação refere-se à política a que os utilizadores de um ambiente informático aderem

quando recuperam dados encriptados. Uma política de recuperação é um tipo de política de chave pública.
Quando o primeiro controlador de domínio é configurado é automaticamente implementada uma política

de recuperação para o domínio .O administrador de domínio é designado como agente de recuperação
Pode utilizar o snap-in da Política de grupo para definir a política de recuperação dos dados para servidores
membros do domínio ou para servidores autónomos ou de grupo de trabalho. Tanto pode pedir um
certificado de recuperação como exportar e importar os seus certificados de recuperação.
Poderá pretender delegar a administração da política de recuperação a um administrador designado. Apesar

de se aconselhar a limitação do número de pessoas autorizadas a recuperar dados encriptados, permitir a
acção de múltiplos administradores como agentes de recuperação fornece uma fonte de recuperação
alternativa, caso tal se torne necessário.
Poderá necessitar de recuperar os dados recorrendo a um agente de recuperação se:
Um utilizador deixa a empresa.

Um utilizador perde a chave privada.
Uma agência de segurança efectuar um pedido.
10-25
Para recuperar um ficheiro, o agente de recuperação:
Efectue cópias de segurança dos ficheiros encriptados.

Mova as cópias de segurança para um sistema seguro.
Importe o certificado de recuperação dos ficheiros e a chave privada desse sistema.
Restaure os ficheiros de cópia de segurança.
Agentes de recuperação
Um agente de recuperação é um administrador autorizado a desencriptar dados encriptados por outro

utilizador.
O agente de recuperação tem um certificado especial e uma chave privada associada que permitem a
recuperação de dados no âmbito de influência da política de recuperação.
10-26
D – Segurança dos recursos de rede
As permissões NTFS e a segurança dos recursos de rede
Permissões NTFS
As permissões NTFS especificam quais os utilizadores e grupos que podem aceder a ficheiros e pastas e o
tipo de acesso detêm sobre os mesmos.
Quando configura permissões, especifica o nível de acesso para grupos e utilizadores. Por exemplo, pode
permitir que um utilizador leia o conteúdo de um ficheiro, permitir que outro utilizador faça alterações ao
ficheiro e impedir que todos os outros utilizadores tenham acesso ao ficheiro. Pode definir permissões
semelhantes para impressoras, para que determinados utilizadores possam configurar a impressora e outros
possam apenas imprimir nela.
Permissões de pastas
Cada pasta possuí um conjunto de permissões específicas que podem ser atribuídas a utilizadores ou
grupos. Essas permissões aplicam-se às subpastas e ficheiros contidas dentro da pasta.
10-27
Permissões de ficheiros
As permissões de ficheiros controlo o tipo de acesso que os utilizadores têm sobre os ficheiros.
Nota: As permissões de ficheiros sobrepõem-se às permissões de pastas.
10-28
10-29
Listas de Controlo de Acesso (Access Control Lists)
Cada ficheiro ou pasta num volume NTFS possui uma Lista de controlo de acesso (ACL). As ACLs contêm
uma lista de todos os utilizadores que têm acesso às pastas ou aos ficheiros e o tipo de controlo que têm
sobre este.
As listas de controlo de acesso contêm registos, as entradas de controlo de acesso (ACE), que possuem as
contas de utilizador e grupos. O tipo de acesso ou recurso está também especificado na entrada.
Propriedades das permissões NTFS
A atribuição de diferentes permissões a grupos e utilizadores pode gerar algumas situações de conflito de
permissões.
10-30
Em caso de conflito de permissões aplicam-se as seguintes directivas:
As permissões são comulativas
As permissões de ficheiros anulam as permissões de pastas
As Permissões de acesso negado anulam as restantes permissões
Atribuir permissões
Para atribuir permissões, seleccione o ficheiro ou directoria e aceda às suas propriedades.
O separador Segurança contêm a lista de utilizadores e grupos e as respectivas permissões atribuídas.
10-31
Execute um clique em Adicionar para visualizar a lista de utilizadores e grupos.

Seleccione um ou vários utilizadores da lista.
10-32
Na secção Permissões seleccione as permissões que pretende atribuir ou negar ao utilizador escolhido.
10-33
E –Auditoria
Auditoria
O processo de auditoria consiste em registar a actividade de utilizadores e tarefas do sistema que ocorrem
num computador num registo de segurança. Este tipo de actividades e tarefas são designados por eventos.
A auditoria de segurança é uma função do Windows 2000 que monitoriza vários eventos relacionados com a
segurança. O sistema de monitorização de eventos é necessário para detectar utilizadores estranhos e para
detectar tentativas de comprometer os dados no sistema. Um exemplo de um evento passível de ser
auditado é uma tentativa de início de sessão falhada.
Os tipos de eventos mais comuns que são auditados são:
Acesso a objectos, como ficheiros e pastas
Gestão de contas de grupo e de utilizador
Quando os utilizadores iniciam e terminam a sessão no sistema
A auditoria de um objecto local cria uma entrada no registo de segurança. As entradas de segurança que
aparecem no registo de segurança dependem das categorias de auditoria seleccionadas para a política de
auditoria. Para eventos que respeitam ao acesso a objectos, as entradas no registo de segurança dependem
também das definições da auditoria definidas para cada objecto.
Por exemplo, se a sua política e auditoria especificar a auditoria de ficheiros e pastas e as propriedades de
um ficheiro especificarem que as eliminações falhadas desse ficheiro devem ser auditadas, cada tentativa
falhada de um utilizador para apagar o ficheiro aparecerá no registo de segurança.
Pode ver o registo de segurança utilizando o Visualizador de eventos.
10-34
É importante definir apropriadamente o tamanho do registo de segurança. Uma vez que o registo de
segurança é limitado em tamanho, deve seleccionar as categorias de eventos a serem submetidos a uma
auditoria atenta. Deve igualmente tomar em consideração a quantidade de espaço em disco que pretende
disponibilizar para o registo de segurança. O tamanho máximo está definido no Visualizador de eventos.
Os registos de segurança contêm entradas que contêm a seguinte informação:
O evento
Origem do evento
O sucesso ou insucesso do acção praticada
A data e hora do evento
Finalmente, a função de auditoria do Windows 2000 gera uma pista de auditoria para ajudar a controlar
todos os eventos de administração de segurança que ocorrem no sistema. Por exemplo, se um
administrador alterar a política de auditoria para que as tentativas de início de sessão falhadas já não sejam
auditadas, a pista de auditoria apresentará este evento.
Estabelecer uma política de auditoria
Ao criar uma política de auditoria o administrador define quais as categorias de eventos que devem ser
documentados pelo Windows no registo de segurança.
Antes de implementar a auditoria, deverá decidir-se sobre a política de auditoria. Uma política e auditoria
especifica categorias de eventos relacionados com a segurança que deseja submeter a uma auditoria.
Quando o Windows 2000 é instalado pela primeira vez, todas as categorias de auditoria são desligadas.
Ligando as diferentes categorias de auditoria de eventos, é possível implementar uma política de auditoria
que sirva as necessidades e segurança da sua organização.
As categorias de auditoria são ligadas com o auxílio da Gestão do computador.
As categorias e eventos que pode escolher para submeter a auditoria são:
Auditoria dos eventos da conta de início de sessão
Auditoria da gestão de conta
Auditoria dos serviços de acesso ao directório
Auditoria de eventos de início de sessão
Auditoria do acesso a objectos
Alteração da política de auditoria
Auditoria da utilização de privilégios
Auditoria dos processos de rasteio
Auditoria de eventos do sistema
10-35
Se escolher efectuar a auditoria do acesso a objectos como parte da política de auditoria, deverá ligar a
categoria de auditoria do acesso aos serviços de directório (para efectuar a auditoria de objectos num
controlador de domínio) ou a categoria de auditoria do acesso a objectos (para efectuar a auditoria de
objectos num servidor membro). Uma vez ligada a categoria correcta de acesso ao objecto, pode utilizar
cada uma das Propriedades de cada objecto individual para especificar o êxito ou falha da auditoria para as
permissões concedidas a cada grupo ou utilizador.
Como estabelecer uma política de auditoria
O administrador de sistema necessita de determinar quais os tipos de categorias de eventos que devem ser
registados e os computadores onde deverá ser mantido o registo de segurança.
10-36
Implementação da auditoria
O tipo de auditoria depende da função desempenhada pelo computador no qual é configurada a política de
auditoria.
Nos servidores e postos de trabalho é definida uma política de auditoria que se aplica apenas a esse computador.
Nos controladores de domínio pode ser definida uma política que é implementada para todos os controladores do
domínio.
Os requisitos para implementar uma política de auditoria são os seguintes:

É necessário possuir o direito de utilizador de Gerir auditoria e registo de segurança.
Os ficheiros e pastas necessitam de estar armazenados num volume NTFS.
O processo de implementação de auditoria é composto em duas partes:
1. Estabelecer a política de auditoria: Ao estabelecer uma política de auditoria são definidas as

categorias de eventos a registar no registo de segurança.
2. Activar a auditoria em recursos específicos: Nos recursos pretendidos deve ser activado o processo
de auditoria
10-37
Definir uma política de auditoria
Para definir uma política de auditoria execute o seguinte procedimento:
No utilitário Computadores e utilizadores do Active Directory aceda às propriedades da pasta Domain

Controlers.
No separador Política de grupo execute um duplo clique em Default Domain Controlers Policy.
10-38
No utilitário Política de grupo pode estabelecer quais os eventos a registar por parte dos controladores de
domínio.
Execute um clique em Política de auditoria para visualizar as categorias de eventos.

Escolha a categoria de eventos que pretende auditar.
Na janela Definição de política de segurança escolha as opções pretendidas.
10-39
Registar o acesso a ficheiros e pastas
Para implementar a auditoria em ficheiros e pastas aceda às propriedades do objecto no Explorador do

Windows.
10-40
Em Segurança execute um clique em Avançadas...
Escolha um utilizador ou grupo de utilizadores da lista em Seleccionar Utilizadores, Computadores ou

Grupo.
Seleccione da lista de acesso os eventos a registar.
10-41
F – Gestão de sistemas de segurança em servidores Web

Introdução
O planeamento de sistemas seguros para Web sites em servidores Windows assenta em dois níveis de
segurança: segurança ao nível do sistema operativo e segurança dos serviços de informação da Internet IIS.
Ao nível do sistema operativo são criadas contas de utilizador e contas de grupo. Aos utilizadores e grupos
são atribuídas diferentes permissões de acesso a pastas e ficheiros publicados num site. Para utilizadores e
grupos são igualmente atribuídas políticas que definem a forma como os sistemas de segurança actuam
para as operações desenvolvidas.
No que diz respeito ao nível de segurança do servidor Web, são aqui configurados os direitos de acesso a
conteúdos, os processos de autenticação de utilizadores e privilégios de operador para a gestão do web site.
O objectivo destes dois níveis de segurança é o de garantir que a informação existente nos web sites de um
servidor seja apenas acessível aos utilizadores autorizados a consultar ou alterar a informação. Através
destes mecanismos, é igualmente possível implementar sistemas de gestão remota de web sites para
utilizadores autorizados.
A segurança entre o servidor Windows e o Internet Information Services (IIS) é integrada. O modelo de
segurança integrado dá a possibilidade de utilizar conjuntamente os mecanismos de autenticação do
sistema operativo baseado em contas de utilizador e grupos e os métodos de autenticação disponibilizados
pelo IIS.
Antes de configurar os mecanismos de segurança do servidor web é necessário realizar algumas tarefas a
nível do sistema operativo:
Criar contas de utilizador e grupos.

Atribuir permissões para acesso a ficheiros e pastas.
Definir políticas de grupo para utilizadores e grupos.
10-42
Contas de utilizador e grupos
Autenticação e autorização
Na terminologia dos sistemas de segurança existem dois conceitos fundamentais relativos a contas de
utilizador: autenticação e autorização. A autenticação é o processo de verificar a identidade de um
determinado utilizador. As contas de utilizador são geralmente uma combinação entre o nome do utilizador
(um identificador único dentro de um determinado sistema) e uma palavra-passe secreta só conhecida por
essa pessoa. A utilização em simultâneo destes dois elementos no sistema comprova a identidade de uma
pessoa. Em sistemas de segurança mais avançados pode ser utilizado outro meio de identificação que
substitua a palavra-passe como o cartão magnético ou a impressão digital de uma pessoa.
A autorização é um mecanismo do sistema de segurança para determinar o tipo de acesso que um utilizador
tem em relação a determinado recurso. Por exemplo, quando um utilizador tenta modificar um ficheiro, o
sistema de segurança verifica se esse utilizador dispõe das permissões necessárias para efectuar essa
operação.
Relacionado como o conceito de autorização, esta o conjunto de acções permitidas a um utilizador a

determinado recurso. Estas acções permitidas são designadas por permissões. As permissões são
atribuídas a utilizadores e grupos. Cada recurso existente num computador ou rede Windows dispõe de um
lista com os utilizadores e grupos que têm acesso ao recurso juntamente com as permissões em relação a
esse recurso.
Contas locais e contas de domínio
Utilizadores e grupos podem ser determinados a nível local ou com o âmbito de domínio. Contas locais são
específicas de um determinado computador e não são válidas em outros computadores da rede ou no
domínio sem que sejam especificamente criadas permissões especiais para essas contas. As contas de
domínio, por seu turno, são válidas em todos os computadores que fazem parte desse domínio.
10-43
Quando se trata de configurar mecanismos de segurança num servidor web com o sistema operativo
Windows há que ter em mente as seguintes considerações sobre as contas locais e contas de domínio:
As contas locais devem ser utilizadas quando os servidor web IIS não faz parte de um domínio
específico ou quando é desejável limitar o acesso ao computador onde se encontra o servidor IIS
instalado.
Quando os recursos partilhados pelo IIS estão disponíveis em vários computadores do domínio
torna-se necessário que as contas utilizadas tenham o âmbito de domínio.
Existem três contas de utilizador importantes quando se instala o IIS.
Local System: Todas as aplicações e serviços tem de ser executadas com base numa conta de utilizador. A
conta Local System detêm permissões suficientes para executar aplicações ou iniciar serviços. Esta conta
não corresponde a um utilizador em si, representa conceptualmente o sistema.
IUSR_NomedoComputador: Conta de convidado utilizada pelos utilizador anónimos para consultarem os

web sites disponíveis no servidor IIS. Se esta conta for desactivada, os utilizadores que não efectuem o
processo de autenticação quando consultam um site não poderão visualizar o seu conteúdo.
IWAM_NomedoComputador: Conta utilizada por aplicações web que não são executadas no mesmo
processo do Internet Information Services. As aplicações que não são executadas no mesmo processo do
IIS armazenadas noutra localização de memória. Se a esta conta for desactivada este tipo de aplicações não
é iniciada.
A conta IUSR_Nomedo computadore IWAM_NomedoComputador são membros do grupo Convidados do

sistema operativo. A palavra passe destas contas nunca expira e estas não podem ser alteradas por
10-44
utilizadores normais. O administrador do sistema operativo pode efectuar, se for necessário, alterações a
estas contas. O Internet Information Services pode ser configurado para utilizar contas diferentes.
10-45
Gerir a conta de execução do IIS
Os Serviços de Informação da Internet (IIS) e o serviço de Indexação utilizam a conta de sistema local para
utilizarem os recursos do sistema operativo. A conta de sistema possui os privilégios suficientes para que os
serviços de Internet possam ser iniciados.
É possível designar outra conta para a execução do IIS. Esta situação podem ocorrer quando o
administrador de sistemas deseja manter um controlo específico sobre o conjunto de tarefas que o software
de servidor web pode efectuar no sistema operativo. Este tipo de controlo justifica-se pela vulnerabilidade e
exposição que estes serviços têm na Internet. É essencial, no entanto, conferir à nova conta, os privilégios
suficientes para iniciar o IIS.
Para alterar a conta utilizada pelo serviço IIS:
1. Aceda a consola Gestão de computadores, disponível e, Ferramentas administrativas, no painel de

controlo.
2. Expanda a opção Serviços e aplicações.
3. Em Serviços, seleccione o serviço Administração do IIS e escolha a opção Propriedades do menu de

contexto.
4. No separador Iniciar Sessão existem duas opções:
10-46
Iniciar sessão como conta do sistema local

Iniciar como. Esta conta:
Se seleccionar a opção Esta conta será necessário escolher uma conta de utilizador do computador, para
ser utilizada pelo serviço.
10-47
Gerir a conta de convidado da Internet
Um determinado site configurado no Internet Information Services pode ao mesmo tempo ter vários
visitantes. Os visitantes consultam páginas e informação. Cada visitante utiliza internamente um conta de
utilizador onde estão definidas as permissões e direitos para utilizadores anónimos.
A conta de convidado utilizada para os utilizadores anónimos da Internet é gerida ao nível da consola do
Internet Information Services. No IIS podem ser definidas as seguintes tarefas:
Especificar a conta a utilizar para o acesso anónimo.
Especificar se a palavra passe deve ser ou não gerida pelo IIS.
Para alterar a conta de utilizador anónimo do para todos os web sites e directórios do servidor web:
1. Na consola Serviços de Informação da Internet, escolha Web sites do servidor web. No menu de
contexto seleccione a opção Propriedades.
2. No separador Segurança de directórios, escolha Editar, na secção Controlo de acesso anónimo.
10-48
3. Marque a opção Acesso anónimo e escolha a conta de utilizador para o acesso anónimo ao site.
A conta definida para acesso anónimo será utilizada por todos os sites existentes no servidor IIS. A opção
Permitir o controlo de palavra-passe pelo IIS determina que a palavra-passe para esta conta é gerida
pelo IIS sendo este responsável pela geração de um código para este campo.
Se for utilizada uma conta diferente à pré-definida pelo Windows, IUSR_NomedoComputador, então o
administrador de sistema deve seleccionar as pastas e ficheiros e o tipo de acesso aos recursos da conta de
acesso anónimo. Dado que utilizando o acesso anónimo todo o tipo de visitantes utiliza esta conta, apenas
deve ser alterada em casos muito específicos que envolvam uma diminuição e não um aumento de direitos e
privilégios no acesso.
10-49
Gerir a conta de aplicações Web
As aplicações Web independentes do processo do servidor web utilizam recursos do sistema não
controladas pelo IIS, mas sim pelo próprio sistema operativo. Este tipo de aplicações é assim criada para
que o seu funcionamento não prejudique a disponibilidade de outros web sites existentes no servidor.
Como utilizam recursos de forma independente, é atribuída a estas aplicações uma conta específica com
permissões suficientes para serem executadas. A conta pré-definida do Windows para esta situação
específica tem o nome de utilizador IWAM_NomedoComputador.
A conta de execução de aplicações web independentes pode ser alterada pelo administrador de sistema. A
criação ou definição de diferentes permissões para esta conta deriva da necessidade da própria aplicação
necessitar de um tipo especial de acesso a certos recursos do sistema.
Esta conta pode ser gerida através do sistema operativo e do servidor web. No sistema operativo podem ser
executadas as seguintes acções para esta conta:
Activar ou desactivar a conta.

Desbloquear a conta depois desta ter sido bloqueada por razões de segurança.
Alterar a pertença desta conta para outro grupo, alterando desta forma, os seus previlégios direitos e
permissões.
Ao nível do IIS a conta das aplicações Web independentes pode ser alterada. Para isso efectue o seguinte
procedimento:
1. No opção Executar, escreva MMC seguido de OK.
É apresentada uma consola vazia.
2. No menu Ficheiro, escolha a opção Adicionar/Remover snap-in…
3. No separador Snap-ins autónomos, pressione o botão Adicionar.
4. Escolha a opção Serviços de Componentes e pressione o botão Adicionar.
10-50
5. Em seguida pressione no botão Fechar.
6. Na janela da consola escolha IIS Out-of-Process Pooled Applications. Esta opção representa a
configuração das aplicações webs independentes do processo de execução do servidor IIS.
7. No menu de contexto, escolha Propriedades.
8. No separador Identidade escolha a conta de utilizador para estas aplicações-
10-51
Ao seleccionar esta opção todas as aplicações web utilizarão esta conta.
10-52
Trabalhar com permissões de ficheiros e pastas
Os web sites publicados no servidor IIS são compostos por directorias virtuais e ficheiros. As directorias
virtuais correspondem a pastas existentes no disco rígido do servidor ou num outro computador da rede
local. Cada pasta e ficheiro contém uma lista de controlo de acessos onde constam os grupos e utilizadores
e o tipo de acesso ao recurso.
As permissões definem a forma como as pastas e os ficheiros podem ser acedidos pelo utilizador. No caso
de directórios virtuais, as permissões para cada tipo de utilizador ou grupo são definidas ao nível do sistema
operativo.
Existem um conjunto básico de permissões que pode ser atribuído a utilizadores e grupos. Na tabela
seguinte são apresentadas as permissões básicas e a forma como se manifestam quando atribuídas ao
nível de pastas e ficheiros.
Permissão Forma como afecta o acesso a Forma como afecta o acesso a

pastas ficheiros
Read Permite visualizar e lista ficheiros Permite visualizar o conteúdo de um
e pastas ficheiro.
Write Permite adicionar ficheiros e Permite modificar e apagar o conteúdo
pastas de um ficheiro.
Read and Execute Permite visualizar e listar ficheiros Permite visualizar o conteúdo de um
e pastas e executar ficheiros. Esta ficheiro e executar ficheiros.
permissão é transmitida aos
ficheiros e pastas que se
encontram na pasta à qual a
permissão é atribuída.
List Folder Permite visualizar e listar os Não disponível
Contents ficheiros e pastas.
Modify Permite visualizar e alterar Permite ler e escrever no ficheiro. É
ficheiros e pastas. É possível possível apagar o ficheiro.
também apagar pastas.
Full Control Permite ler,escrever, alterar e Permite ler, escrever, alterar e apagar o
apagar ficheiros e pastas. ficheiro.
Na criação de um web site há que ter em conta os seguintes aspectos relativos às permissões de pastas e
ficheiros:
• A permissão Read é a única necessária para executar scripts. A permissão Execute deve ser apenas
utilizada no caso de existirem ficheiros executáveis.
• Ao conferir a permissão Write a um ficheiro, o utilizador pode ler e apagar o conteúdo do ficheiro.
• A permissão Full Control de um pasta dá a possibilidade ao utilizador de apagar ficheiros

independentemente das permissões existentes num ficheiro.
Os seguintes utilizadores e grupos são utilizados pelo IIS para configurar o acesso a pastas e ficheiros.
Administrators
Os utilizadores deste grupo podem gerir os recursos do IIS.
10-53
Creator Owner
Representa o utilizador que criou uma determinada pasta ou ficheiro. Este utilizador possui a permissão Full
Control sobre o ficheiro.
System
Representa a conta de sistema. Ao atribuir permissões a esta conta, o sistema tem acesso ao recurso
escolhido.
Everyone
Representa qualquer utilizador que aceda ao computador. Os vários tipos de acesso podem ser: dial-
up(ligação remota), network(via rede local), interactive (computador local), authenticated user, (utilizadores
previamente autenticados).
Users
Utilizadores normais de contas existentes no computador local. Este grupo é utilizado quando o servidor faz
parte de um Workgroup. Este grupo incluí as contas de utilizador anónimo da Internet e a conta para as
aplicações web.
Quando a permissão Read é atribuída a estes grupos, todas as o pessoas com acesso local ou através da
Internet podem visualizar as pastas e ficheiros onde conste esta permissão. Se for necessário restringir o
acesso a determinadas pastas ou ficheiros publicados no IIS, devem então ser criados utilizadores e grupos
especiais e a estes serem atribuídas as permissões necessárias para o acesso desejado a cada um dos
recursos.
A seguinte tabela mostra as permissões que devem ser atribuídas a pastas baseadas no tipo de informação
que contêm. A tabela revela as permissões necessárias para que o conteúdo seja correctamente visualizado
pelo utilizador.
Tipo de ficheiro Extensão Permissão

Aplicações Common Gateway .exe, . DLL, .cmd Everyone (Execute)
Interface, scripts e ficheiros Administrators (Full Control)
executáveis. System (Full Control)
Conteúdo dinâmico .asp, .aspx, .js, .vbs, .pl Everyone (Read)
Administrators (Full Control)
System (Full Control)
Ficheiros Include .inc, .shtm, . stm , .shtml Everyone (Read)
Administrators (Full Control)
Conteúdo Estático Ficheiros de imagem, ficheiros Everyone Read)
de texto, ficheiros html. Administrators (Full Control)
10-54
Atribuir permissões de ficheiros e pastas
O estabelecimento de mecanismos de segurança num web site envolve a configuração de opções no

sistema operativo e no Internet Information Services. O primeiro passo será determinar qual o conteúdo que
deve ser público e o que deve ser de acesso reservado a utilizadores autenticados.
O conteúdo publico pode ser acedido por qualquer utilizador que visite o Web site. Se este estiver disponível
na Internet o grupo de possíveis utilizadores é bastante vasta. O conteúdo reservado é disponibilizado
apenas a utilizadores autenticados. Os utilizadores autenticados são aqueles que introduzem o nome de
utilizador e palavra-passe quando tentam aceder à área reservada do site. O tipo de acesso ao recurso é
determinada pela lista de controlo de acesso para pastas ou ficheiros, definida pelo administrador. A lista de
controlo de acessos é compostas por contas de utilizador e grupos com as respectivas permissões de
acesso para o recurso em causa.
A separação entre uma área pública de um site e uma área reservada é determinada, em primeiro lugar ao
nível do sistema operativo. As permissões para a distinção do acesso devem ser atribuídas ao nível de
pastas.
No explorador do Windows, aceda à caixa Properties e execute um clique no separador Security:
O separador Security mostra os utilizadores e grupos que tem acesso à pasta que se pretende partilhar. Se
é necessário restringir o acesso da pasta a utilizadores autenticados há que retirar o grupo Users da lista
10-55
Names. A conta de acesso anónimo IUSRNomedocomputador faz parte deste grupo permitindo assim que
utilizadores não identificados possam aceder ao conteúdo existente na pasta.
Depois é necessário escolher os utilizadores que estão autorizados a consultarem esta pasta. Para adicionar
um utilizador ou grupo execute um clique no botão Add.
Na caixa Select Users,Computers or Groups, escolha as contas que devem ter acesso à pasta. Depois de
escolhidas pressione o botão OK. No separador Security defina depois o tipo de acesso que pretende dar a
cada conta utilizando a caixa Permissions.
Políticas de grupo
As políticas de grupo são um conjunto de configurações que são aplicadas a computadores e utilizadores.
As políticas de grupo permitem automatizar a tarefas de atribuição de configurações de segurança a um
conjunto de contas de utilizador ou computador que desempenham o mesmo papel numa rede de baseada
em Windows 2000.
Quanto ao âmbito das políticas de grupo, estas podem ser dividas em dois tipos: política local e política de
domínio. Tal como a própria designação indica as políticas de grupo são definidas para um grupo de
utilizadores ou computadores existente num domínio. As contas às quais são aplicadas as definições estão
armazenadas na base de dados do Active Directory no controlador, ou controladores de domínio.
As políticas locais aplicam-se ao computador ou a um conjunto de utilizadores existente na base de dados

de segurança local do sistema operativo.
10-56
O mesmo computador pode estar sujeito a mais do que uma política de grupo. As politicas determinadas ao
nível do domínio precedem as políticas de grupo.
As políticas de grupo são ainda divididas em duas categorias: as que afectam computadores e as que
afectam utilizadores. As políticas de computador são aplicadas durante o início do sistema, enquanto as
politicas de utilizador são aplicadas após o processo de autenticação durante o início de sessão.
A seguinte figura mostra as duas categorias de políticas de grupo:
Computer Configuration
A secção Computer Configuration contém as definições do computador entre elas as definições gerais de
segurança. Esta politica de grupo pode aplicar-se a um computador, ou a vários computadores de um
domínio. A figura ilustra um política geral do domínio.
User Configuration
A secção User Configuration contém as definições relativas aos utilizadores. Estas permitem entre outras
tarefas, definir a aparência do desktop, as definições das aplicações, scripts a executar no início ou fim de
uma sessão, etc… Estas definições são aplicadas durante o início de uma sessão.
Para criar uma nova política de grupo para os computadores de um domínio, execute o utilitário Active
Directory Users and Computers:
10-57
Seleccione o domínio e escolha a opção Properties. Deste modo poderá aceder à caixa de propriedades do
domínio.
10-58
O separador da caixa Group Policy mostra as políticas definidas para o domínio. Com a configuração de
um novo domínio é criada automaticamente um política geral para os computadores do domínio. Para criar
uma nova política de grupo escolha a opção New.
A ordem pela qual são apresentadas as políticas na caixa Group Policies Object determina a prioridade na
aplicação das definições das políticas de grupo.
10-59
G– Gestão de sistemas de segurança em servidores IIS
Tipos de autenticação no servidor IIS
Autenticação anónima
A autenticação anónima permite que os utilizadores tenham acesso a áreas públicas do Web site ou site de
FTP, sem pedir que introduzam um nome de utilizador ou palavra-passe. Quando um utilizador tenta ligar
aos Web sites ou sites de FTP públicos, o servidor Web atribui o utilizador à conta de utilizador denominada
IUSR_nome do computador, onde nome do computador é o nome do servidor no qual o IIS está instalado.
Por predefinição, a conta IUSR_nome do computador é incluída no grupo de utilizadores convidados do

Windows. Este grupo tem restrições de segurança, impostas por permissões de NTFS, que designam o nível
de acesso e o tipo de conteúdo disponível para os utilizadores públicos.
Se tiver vários sites no servidor, ou se tiver áreas do site que requerem diferentes privilégios de acesso,
pode criar várias contas anónimas, uma para cada site, directório ou ficheiro da Web ou de FTP. Ao
conceder diferentes permissões de acesso ou ao atribuir estas contas a grupos diferentes de utilizadores do
Windows, pode conceder aos utilizadores o acesso anónimo a áreas diferentes do conteúdo público da Web
e de FTP.
O IIS utiliza a conta IUSR_nome do computador da forma seguinte:
1. A conta IUSR_nome do computador é adicionada ao grupo de convidados do computador.

2. Quando um pedido for recebido, o IIS irá representar a conta do IUSR_nome do computador, antes
de executar qualquer código ou de aceder a quaisquer ficheiros. O IIS pode representar a conta
IUSR_nome do computador porque o IIS tem conhecimento do nome de utilizador e da palavra-passe
para esta conta.
3. Antes de devolver uma página a um cliente, o IIS verifica as permissões de ficheiro e de directório do
NTFS, para conferir se a conta IUSR_nome do computador tem permissão de acesso para o ficheiro.
4. Se for permitido o acesso, a autenticação é concluída e os recursos são disponibilizados para o
utilizador.
5. Se não for permitido o acesso, o IIS tentará utilizar outro método de autenticação. Se não for
seleccionado nenhum, o IIS devolve uma mensagem de erro "HTTP 403 Acesso negado" ao browser.
O método de autenticação base é um método standard amplamente utilizado para recolher as
informações de nome de utilizador e de palavra-passe. A autenticação base funciona do seguinte modo:
1. O Web browser do utilizador apresenta uma caixa de diálogo onde os utilizadores introduzem os
nomes de utilizador e as palavras-passe de conta do Windows 2000 anteriormente atribuídos.
2. O Web browser tenta então estabelecer uma ligação utilizando essas informações. (A palavra-passe
é codificada em antes de ser enviada através da rede).
3. Se o servidor rejeitar as informações, o Web browser apresenta repetidamente a caixa de diálogo até
o utilizador introduzir um nome de utilizador e palavra-passe válidos ou até fechar a caixa de diálogo.
10-60
4. Quando o servidor Web confirmar que o nome e a palavra-passe correspondem a uma conta de
utilizador do Windows válida, é estabelecida a ligação.
Autenticação de texto implícita
A autenticação de texto implícita oferece as mesmas funções da autenticação base mas inclui uma forma
diferente de transmitir credenciais de autenticação. As credenciais de autenticação passam por um processo
unívoco, frequentemente denominado hashing. O resultado do processo é denominado hash ou mensagem
de texto implícita, não sendo possível a desencriptação. Ou seja, o texto original não pode ser decifrado a
partir do hash, estamos assim perante um tipo de encriptação irreversível.
A autenticação de texto implícita funciona do seguinte modo:
1. O servidor envia ao browser determinadas informações que serão utilizadas no processo de

autenticação.
2. O browser adiciona estas informações ao nome de utilizador e palavra-passe, além de mais outras
informações, executando um hash. As informações adicionais ajudarão a impedir que alguém copie o
valor do hash e o utilizem novamente.
3. O hash resultante é enviado através da rede para o servidor, juntamente com as informações
adicionais em texto simples.
4. O servidor adiciona as informações suplementares à cópia de texto simples da palavra-passe do
cliente que possui e submete todas as informações a um hash.
5. O servidor compara então o valor do hash recebido com o que acabou de executar.
6. O acesso só é concedido se os dois números forem absolutamente idênticos.
As informações suplementares são adicionadas à palavra-passe antes da execução do hash, para que
ninguém capture o hash da palavra-passe, utilizando-o para representar o verdadeiro cliente. São
adicionados valores que ajudam a identificar o cliente, o computador do cliente ou o domínio ao qual o
cliente pertence. É igualmente adicionada uma marca de hora para impedir que um cliente utilize uma
palavra-passe depois de ter sido revogada.
10-61
Autenticação integrada do Windows
A autenticação integrada do Windows (anteriormente denominada de NTLM ou autenticação Windows NT

Challenge/Response) é uma forma protegida de autenticação porque o nome do utilizador e a palavra-passe
não são enviados através da rede. Quando activar a autenticação integrada do Windows, o browser do
utilizador demonstra o conhecimento da palavra-passe através de um intercâmbio criptográfico com o
servidor Web, envolvendo hashing.
A autenticação integrada do Windows pode utilizar o protocolo de autenticação Kerberos v5 e o seu

próprio protocolo de autenticação de desafio/resposta. Se os serviços de directório estiverem instalados no
servidor e o browser for compatível com o protocolo de autenticação Kerberos v5, é utilizado o protocolo
Kerberos v5 e o protocolo de desafio/resposta; de outro modo, é utilizado apenas o protocolo de
desafio/resposta.
O protocolo de autenticação Kerberos v5 é uma função da arquitectura de serviços distribuídos do

Windows . Para a autenticação do Kerberos v5 ser bem sucedida, o cliente e o servidor têm ambos de ter
uma ligação fidedigna a um KDC (Key Distribution Center) e ser compatíveis com o utilitário de serviços de
directório. Para obter mais informações sobre o protocolo, consulte a documentação do Windows.
A autenticação integrada do Windows funciona do seguinte modo:
Ao contrário da autenticação base, não pede inicialmente a introdução de um nome de utilizador e de uma
palavra-passe. As informações actuais do utilizador do Windows existentes no computador cliente são
utilizadas para a autenticação integrada do Windows.
No entanto, se o intercâmbio de autenticação falhar inicialmente a identificação do utilizador, o browser

pedirá ao utilizador que introduza um nome de utilizador e palavra-passe de conta de utilizador do
Windows, que será processado utilizando a autenticação integrada do Windows.
O Internet Explorer repetirá o pedido ao utilizador até ele introduzir um nome de utilizador e palavra-passe
válidos ou até fechar a caixa de diálogo do pedido.
Autenticação de certificados
As funcionalidades de cetificado digitais podem igualmente ser utilizadas através da tecnologia SSL (Secure
Sockets Layer) do servidor Web, para dois tipos de autenticação. Pode utilizar um certificado de servidor
para permitir que os utilizadores autentiquem o Web site antes de transmitirem informações pessoais, como
um número de cartão de crédito. Além disso, pode utilizar certificados de cliente para autenticar as
informações dos utilizadores requerentes no Web site. O SSL procede à autenticação pela verificação do
conteúdo de uma identificação digital encriptada submetida pelo Web browser do utilizador, durante o
processo de início de sessão. (Os utilizadores obtêm certificados de cliente a partir de uma organização
fidedigna de terceiros.) Os certificados do servidor normalmente contêm informações sobre a empresa e a
organização que emitiram o certificado. Os certificados do cliente normalmente contêm informações de
identificação sobre o utilizador e a organização que emitiram o certificado.
10-62
Activar a autenticação num servidor IIS
Qualquer método de autenticação, ou conjunto de métodos, pode ser activado por qualquer Web site
1. No snap-in do IIS (Serviços de informação Internet - Internet Information Services), seleccione um site,
directório ou ficheiro, e abra as respectivas folhas de propriedades.
2. Seleccione a folha de propriedades Directory Security Sob Acess Control , clique em Edit.
10-63
3. Na caixa de diálogo Authentication Methods seleccione um ou mais métodos apropriados.
10-64
Unidade 12
Auditoria
Compreender o conceito de auditoria num sistema informático.

Estabelecer uma política de auditoria.
Saber implementar uma política de auditoria.
Saber registar o acesso a ficheiros e pastas.
Sumário:
O processo de auditoria informática permite identificar potenciais riscos de segurança ou registar acessos
não autorizados a serviços ou a informação. Esta unidade tem por objectivo dar a conhecer o processo de
implementação de uma política de auditoria e registo de acesso a pastas e ficheiros.
Finalmente, será utilizado o Visualizador de Eventos para analisar os dados recolhidos de um processo de
auditoria.
12-1
A - Conceitos básicos sobre auditoria
Auditoria
O processo de auditoria consiste em registar as actividades dos utilizadores e tarefas do sistema que
ocorrem num computador num registo de segurança. Este tipo de actividades e tarefas são designados por
eventos.
A auditoria de segurança é uma função do Windows 2000 que monitoriza vários eventos relacionados com a
segurança. O sistema de monitorização de eventos é necessário para detectar utilizadores estranhos e para
detectar tentativas de comprometer os dados no sistema. Um exemplo de um evento passível de ser
auditado é uma tentativa de início de sessão falhada.
Os tipos de eventos mais comuns que são auditados são:
Acesso a objectos, como ficheiros e pastas
Gestão de contas de grupo e de utilizador
Quando os utilizadores iniciam e terminam a sessão no sistema
A auditoria de um objecto local cria uma entrada no registo de segurança. As entradas de segurança que
aparecem no registo de segurança dependem das categorias de auditoria seleccionadas para a política de
auditoria. Para eventos que respeitam ao acesso a objectos, as entradas no registo de segurança dependem
também das definições da auditoria definidas para cada objecto.
Por exemplo, se a sua política e auditoria especificar a auditoria de ficheiros e pastas e as propriedades de
um ficheiro especificarem que as eliminações falhadas desse ficheiro devem ser auditadas, cada tentativa
falhada de um utilizador para apagar o ficheiro aparecerá no registo de segurança.
Pode ver o registo de segurança utilizando o Visualizador de eventos.
É importante definir apropriadamente o tamanho do registo de segurança. Uma vez que o registo de
segurança é limitado em tamanho, deve seleccionar as categorias de eventos a serem submetidos a uma
12-2
auditoria atenta. Deve igualmente tomar em consideração a quantidade de espaço em disco que pretende
disponibilizar para o registo de segurança. O tamanho máximo está definido no Visualizador de eventos.
Os registos de segurança contêm entradas que contêm a seguinte informação:

O evento
Origem do evento
O sucesso ou insucesso do acção praticada
A data e hora do evento
Finalmente, a função de auditoria do Windows 2000 gera uma pista de auditoria para ajudar a controlar
todos os eventos de administração de segurança que ocorrem no sistema. Por exemplo, se um
administrador alterar a política de auditoria para que as tentativas de início de sessão falhadas já não sejam
auditadas, a pista de auditoria apresentará este evento.
Políticas de auditoria
Ao criar uma política de auditoria o administrador define quais as categorias de eventos que devem ser
documentados pelo Windows no registo de segurança.
Antes de implementar a auditoria, deverá decidir-se sobre a política de auditoria. Uma política e auditoria
especifica categorias de eventos relacionados com a segurança que deseja submeter a uma auditoria.
Quando o Windows 2000 é instalado pela primeira vez, todas as categorias de auditoria são desligadas.
Ligando as diferentes categorias de auditoria de eventos, é possível implementar uma política de auditoria
que sirva as necessidades e segurança da sua organização.
As categorias de auditoria são ligadas com o auxílio da Gestão do computador.
As categorias e eventos que pode escolher para submeter a auditoria são:
• Auditoria dos eventos da conta de início de sessão
• Auditoria da gestão de conta
• Auditoria dos serviços de acesso ao directório
• Auditoria de eventos de início de sessão
• Auditoria do acesso a objectos
• Alteração da política de auditoria
• Auditoria da utilização de privilégios
• Auditoria dos processos de rasteio
• Auditoria de eventos do sistema
12-3
Se escolher efectuar a auditoria do acesso a objectos como parte da política de auditoria, deverá ligar a
categoria de auditoria do acesso aos serviços de directório (para efectuar a auditoria de objectos num
controlador de domínio) ou a categoria de auditoria do acesso a objectos (para efectuar a auditoria de
objectos num servidor membro). Uma vez ligada a categoria correcta de acesso ao objecto, pode utilizar
cada uma das Propriedades de cada objecto individual para especificar o êxito ou falha da auditoria para as
permissões concedidas a cada grupo ou utilizador.
Como estabelecer uma política de auditoria
O administrador de sistema necessita de determinar quais os tipos de categorias de eventos que devem ser
registados e os computadores onde deverá ser mantido o registo de segurança.
12-4
B - Implementação de auditorias
Implementação de auditorias
O tipo de auditoria depende da função desempenhada pelo computador no qual é configurada a política de
auditoria.
Nos servidores e postos de trabalho é definida uma política de auditoria que se aplica apenas a esse
computador.
Nos controladores de domínio pode ser definida uma política que é implementada para todos os
controladores do domínio.
Os requisitos para implementar uma política de auditoria são os seguintes:
É necessário possuir o direito de utilizador de Gerir auditoria e registo de segurança.
Os ficheiros e pastas necessitam de estar armazenados num volume NTFS.
O processo de implementação de auditoria é composto em duas partes:
1. Estabelecer a política de auditoria: Ao estabelecer uma política de auditoria são definidas as

categorias de eventos a registar no registo de segurança.
2. Activar a auditoria em recursos específicos: Nos recursos pretendidos deve ser activado o processo
de auditoria
12-5
Definir uma política de auditoria
Para definir uma política de auditoria execute o seguinte procedimento:
No utilitário Computadores e utilizadores do Active Directory aceda às propriedades da pasta Domain

Controlers.
No separador Política de grupo execute um duplo clique em Default Domain Controlers Policy.
No utilitário Política de grupo pode estabelecer quais os eventos a registar por parte dos controladores de
domínio.
12-6
Execute um clique em Política de auditoria para visualizar as categorias de eventos.
Escolha a categoria de eventos que pretende auditar.
Na janela Definição de política de segurança escolha as opções pretendidas.
12-7
Registar o acesso a ficheiros e pastas
Para implementar a auditoria em ficheiros e pastas aceda às propriedades do objecto no Explorador do

Windows.
12-8
Em Segurança execute um clique em Avançadas...
Escolha um utilizador ou grupo de utilizadores da lista em Seleccionar Utilizadores, Computadores ou

Grupo.
Seleccione da lista de acesso os eventos a registar.
12-9
Unidade 13
Segurança do protocolo IP
Conhecer o protocolo IPSec- Internet Protocol Security.

Saber quais os objectivos do IPSec.
Saber o que é uma política IPSec.
Adicionar e configurar políticas IPSec.
Definir regras para políticas IPSec.
Trabalhar com filtros IPSec.
Sumário:
O IPSec-Internet Protocol Security é um protocolo de segurança que utiliza a criptografia para estabelecer
comunicações seguras em redes TCP/IP. Este protocolo é bastante importante na implementação das redes
virtuais privadas. Nesta unidade serão apresentados os conceitos básicos sobre o funcionamento deste
protocolo.
Para utilizar as funcionalidades IPSec, o sistema operativo Windows necessita de ser configurado com
políticas IPSec. Estas políticas estabelecem as regras de comunicação entre os computadores que utilizam
esta tecnologia. Serão, nesta unidade, descritos os passos para configurar estas políticas e definir as regras
necessárias a uma comunicação segura.
13-1
A - Conceitos básicos sobre a segurança do protocolo IP
O que é a segurança do protocolo IP (IPSec)
A segurança do protocolo IP (IPSec) é um conjunto de mecanismos que permite a protecção dos pacotes IP
durante as comunicações entre computadores e redes, tornando praticamente impossível a sua
descodificação e leitura por parte de utilizadores não autorizados.
O segurança do protocolo IP pode ser caracterizada pelos seguintes aspectos:
A solução a longo prazo para funcionamento em rede seguro.

A protecção agressiva contra ataques a redes privadas e a Internet, mantendo a facilidade de
utilização.
Um conjunto de serviços com base em criptografia e protocolos de segurança.
Segurança extremidade a extremidade. Os únicos computadores que têm que ter conhecimento da
protecção IPSec são o remetente e o destinatário da comunicação.
A capacidade para proteger a comunicação entre grupos de trabalho, computadores da rede local,
clientes e servidores do domínio, filiais que poderão ser fisicamente remotas, extranets, clientes
móveis e administração remota de computadores.
Objectivos da segurança do IPSec
Uma vez que ataques à rede poderão resultar na imobilização do sistema, perda de produtividade e
exposição pública de informações sensíveis, a salvaguarda da referida informação de interpretações ou
modificações por entidades não autorizadas assume uma prioridade elevada.
As estratégias de protecção da rede, geralmente, concentram-se na segurança de perímetro, impedindo

ataques do exterior à rede privada utilizando firewalls, gateways de segurança e autenticação do utilizador
no acesso telefónico. No entanto, este procedimento não protege de ataques vindos de dentro da rede.
A concentração da atenção apenas na segurança de controlo do acesso (tal como a utilização de smart
cards e Kerberos) poderá resultar numa protecção abrangente, uma vez que estes métodos assentam na
utilização de nomes de utilizador e palavras-passe. O facto de muitos computadores serem partilhados por
muitos utilizadores irá resultar num computador não seguro, visto que permanece ligado frequentemente.
Além disso, se um atacante conseguir obter indevidamente o nome de utilizador ou a palavra-passe, a
segurança com base no controlo de acesso só por si não irá impedir o acesso ilegal aos recursos da rede.
As estratégias de protecção ao nível físico, que normalmente não são utilizadas, protegem a utilização dos
cabos da rede física e pontos de acesso. No entanto, não é provável que este procedimento seja capaz de
garantir a protecção de todo o caminho da rede, uma vez que os dados terão que viajar da origem para um
destino.
Um bom plano de segurança combina várias estratégias de segurança, de modo a conseguir uma protecção
em profundidade. Quaisquer destas estratégias poderá ser combinada com IPSec. Este procedimento
fornece ainda outra camada de segurança, assegurando que o computador emissor protege cada pacote de
dados IP antes da transmissão, antes da sua chegada aos cabos da rede e que o computador receptor não
retira a protecção dos dados apenas após terem sido recebidos e verificados.
13-2
Implementação do IPSec
A implementação do IPSec ao nível do transporte IP (Camada de rede 3) activa um alto nível de protecção
com pouca sobrecarga. A implementação do IPSec exige que não existam alterações às aplicações ou
sistemas operativos existentes. É possível a implementação para situações da empresa existentes, tais
como:
Grupos de trabalho
Rede local (LAN): cliente/servidor, peer a peer
Acesso remoto: clientes móveis; acesso à Internet; extranets; escritórios remotos.
A implementação do IPSec na Camada de rede 3 fornece protecção para todos os protocolos IP e de

camada superior no conjunto de protocolos TCP/IP, tal como TCP, UDP, ICMP, Raw (protocolo 255), e até
protocolos personalizados que enviem tráfego à camada IP. O benefício principal da protecção da
informação nesta camada, é que todas as utilizações e serviços que utilizem IP para transporte de dados
poderão ser protegidos com IPSec, sem qualquer modificação a essas aplicações ou serviços. (Para
proteger protocolos que não IP, os pacotes deverão ter sido encapsulados por IP.)
Utilização da criptografia para a protecção dos pacotes IP
O IPSec protege os dados, de modo a que um atacante os considere extremamente difíceis ou impossíveis
de interpretar. É utilizada uma combinação de um algoritmo e de uma chave para proteger a informação. É
alcançado um alto nível de segurança através da utilização de algoritmos e chaves baseados em
criptografia. Um algoritmo é o processo matemático através do qual a informação é protegida; a chave é o
código secreto ou número exigidos para ler, modificar ou verificar dados seguros.
O IPSec impede e reduz, significativamente, ataques à rede, com funcionalidades que incluem:
Utilização de chaves
Geração de chaves
Para activar a comunicação segura, dois computadores devem ter a capacidade de estabelecer a mesma
chave partilhada, sem o envio dessa chave pela rede. O IPSec utiliza o algoritmo Diffie-Hellman para permitir
a troca de chaves e fornecer o material de chave para todas as outras chaves de encriptação.
Os dois computadores iniciam o cálculo Diffie-Hellman e, em seguida, trocam, publicamente e de forma
segura, um resultado intermédio (utilizando autenticação). Nenhum dos computadores envia a chave real.
Utilizando a informação partilhada a partir da troca, cada computador gera uma chave secreta idêntica.
Utilizadores especializados podem alterar a troca de chaves predefinida e as definições da chave de
encriptação de dados.
Comprimentos de chaves
Sempre que o comprimento de uma chave é aumentado em um bit, o número de chaves possíveis duplica,
tornando exponencialmente mais difícil de descodificar a chave. A negociação de segurança IPSec entre
dois computadores gera dois tipos de chaves secretas partilhadas: chaves principais e chaves de sessão. As
chaves principais são longas, com 768 bits ou 1024 bits. As chaves principais são utilizadas como a origem
da qual derivam as chaves de sessão. As chaves de sessão derivam da chave principal de uma forma
padrão, uma chave de sessão por cada encriptação e algoritmo de integridade exigido.
13-3
Atribuição dinâmica de novas chaves
O IPSec pode gerar automaticamente novas chaves durante a comunicação. Este procedimento impede um
atacante de obter toda a comunicação com apenas uma chave comprometida. Utilizadores especializados
podem alterar os intervalos de atribuição de chaves predefinidos.
Políticas IPSec
Métodos de segurança mais fortes, com base em criptografia, têm o potencial de aumentarem a carga
administrativa. O Windows evita esteperigo através da implementação de uma administração baseada em
políticas para o protocolo IP (IPSec). As políticas IPSec de uma organização deverão ser baseadas nas
linhas de orientação para operações seguras. As políticas poderão armazenar várias acções de segurança,
chamadas regras, de modo a que uma política possa ser aplicada a vários computadores.
Em vez de aplicações ou sistemas operativos, utilize políticas para configurar o IPSec. Os administradores
de segurança da rede poderão configurar políticas IPSec, desde políticas adequadas a um único
computador a um único domínio do, local ou unidade organizacional Active Directory. O Windows
2000fornece uma consola de gestão central, o Componente de gestão da política de segurança do
protocolo Internet, para definição e gestão das políticas IPSec. As políticas poderão ser configuradas para
fornecer vários níveis de protecção para a maioria dos tipos de tráfego, na maioria das redes existentes.
13-4
B -Arquitectura do IPSec
Os protocolos de segurança IPSec
Os protocolos de segurança fornecem a protecção de dados e de identidade para cada pacote IP. O IPSec
do Windows 2000utiliza o cabeçalho de autenticação e o ESP (Encapsulating Security Payload) para
fornecer estes serviços.
Cabeçalho de autenticação (AH – Authentication Header)
O AH fornece autenticação, integridade e anti-reprodução para todo o pacote (quer o cabeçalho IP, quer os
dados transportados no pacote); o AH assina todo o pacote. Não encripta os dados, consequentemente não
fornece confidencialidade. Os dados são legíveis, mas protegidos contra modificações. O AH utiliza
algoritmos HMAC para assinar o pacote.
Por exemplo, a Ana no Computador A envia dados ao João no Computador B. O cabeçalho IP, o cabeçalho
AH e os dados estão protegidos contra modificações através da assinatura. Significa que a Ana poderá estar
certa de que foi ao João que enviou os dados e que os dados não foram modificados.
A integridade e a autenticação são fornecidas pela colocação do cabeçalho AH entre o cabeçalho IP e o

cabeçalho do protocolo de transporte (TCP ou UDP).
ESP (Encapsulating Security Payload)
O ESP fornece confidencialidade, além da autenticação, integridade e anti-reprodução.
Normalmente, o ESP não assina todo o pacote, a menos que esteja a ser transmitido por túnel.
Normalmente, apenas os dados são protegidos, não o cabeçalho IP.
Por exemplo, a Ana no Computador A envia dados ao João no Computador B. Os dados serão encriptados,
uma vez que o ESP fornece confidencialidade. Na recepção, depois de verificar que o processo está
concluído, a porção dos dados do pacotes é desencriptada. A Ana poderá ter a certeza de que foi o João
que enviou os dados, que os dados não foram modificados e que não foram lidos por mais ninguém.
A segurança é fornecida, colocando o cabeçalho ESP entre o cabeçalho IP e o cabeçalho do protocolo de

transporte (TCP ou UDP).
Os administradores de sistema poderão seleccionar o protocolo a ser utilizado para uma comunicação,
configurando os métodos de segurança na política IPSec.
Agentes de política IPSec
O Agente da política IPSec é um mecanismo que reside em cada computador Windows 2000e que aparece
na lista dos serviços do sistema. O Agente de política recolhe as informações da política IPSec activa e
passa-as a outros mecanismos IPSec que requeiram essas informações para desempenhar serviços de
segurança.
O Agente de política é iniciado automaticamente quando se inicia o sistema. Se não existirem políticas
IPSec activas, ou se por qualquer razão o Agente de política não conseguir ligar ao Active Directory, o
13-5
Agente da política continuará a pesquisar o Active Directory procurando uma política atribuída ou
verificará o registo relativamente a uma política atribuída localmente.
Processo de negociação de segurança IPSec
Antes que dados seguros possam ser trocados, deve ser estabelecido um contrato entre os dois
computadores. Este contrato chama-se associação de segurança (SA - Security Association). Numa SA,
ambos os computadores acordam a forma de trocar e proteger informações.
Associações de segurança
Uma associação de segurança (SA) consiste na combinação de uma política e de chaves, que define os
serviços de segurança, mecanismos e chaves comuns utilizados para proteger a comunicação de uma
extremidade à outra. O SPI (Security Parameter Index - Índice de parâmetros de segurança) é um valor
identificador exclusivo na SA, utilizado para distinguir entre várias de associações de segurança que existem
no computador receptor. Por exemplo, poderão existir várias associações, se um computador comunicar de
forma segura com vários computadores em simultâneo. Esta situação ocorrer geralmente quando o
computador é um servidor de ficheiros ou um servidor de acesso remoto que serve vários clientes. Contudo,
é possível que um computador tenha várias SA com apenas um computador. Nestas situações, o
computador receptor utiliza o SPI para determinar a SA a ser utilizada, para processar os pacotes a receber.
Para criar este contrato entre os dois computadores, a IETF estabeleceu o método padrão de associação de
segurança e a resolução de troca de chaves, que combina o ISAKMP (Internet Security Association e o
protocolo Key Management) e o protocolo de geração de chaves Oakley. O ISAKMP centraliza a gestão da
associação de segurança, reduzindo o tempo de ligação. O Oakley gera e faz a gestão das chaves
autenticadas utilizadas para proteger informações.
Este processo não só protege comunicações computador a computador, mas também protege
computadores remotos que peçam acesso seguro a uma rede de empresa, ou qualquer situação em que a
negociação para o computador de destino final (ou ponto final) seja desempenhada por um router de
segurança ou um outro servidor proxy. Na última situação, referida como modo de cliente ISAKMP , as
identidades dos pontos finais ficam ocultas para melhor proteger a comunicação.
Para garantir comunicações seguras e com êxito, o ISAKMP/Oakley desempenha uma operação de duas
fases. É assegurada a confidencialidade e a autenticação durante cada fase, através da utilização de
encriptação negociada e algoritmos de autenticação, acordados pelos dois computadores. Com a divisão
das tarefas entre as duas fases, a atribuição de chaves poderá ser efectuada com uma maior velocidade,
sempre que solicitado.
Troca de chaves
Durante esta fase inicial, os dois computadores estabelecem a primeira SA, que se chama SA de ISAKMP.
(Esta SA tem um nome, de modo a ser diferenciada entre as SA estabelecidas em cada uma das duas
fases.) O Oakley fornecem a protecção da identidade durante esta troca, permitindo a privacidade total. Este
procedimento ajuda a impedir tipos comuns de ataque à rede, que consistem na obtenção não autorizada de
identidades.
O processo de negociação de segurança durante esta fase inclui:

Negociação da política
Determina:
O algoritmo de encriptação: DES, 3DES, 40bitDES, ou nenhum.
O algoritmo de integridade: MD5 ou SHA.
13-6
O método de autenticação: Certificado de chave pública, chave pré-partilhada ou Kerberos V5 (a

predefinição do Windows).
Troca de informações de chave

Resulta na existência da informação necessária, em cada computador, para gerar a chave secreta,
partilhada—a chave principal—para a SA de ISAKMP. As chaves reais nunca são trocadas; apenas a
informação pública necessária ao grupo Diffie-Hellman para gerar a chave secreta e partilhada. O serviço
Oakley gera, em cada computador, a chave principal utilizada para proteger a autenticação.
Autenticação
A tentativa dos computadores para autenticar a troca de informações de chave. Sem uma autenticação com
êxito, a comunicação não poderá prosseguir. A chave principal é utilizada, em conjunto com os algoritmos
negociados. Independentemente do método de autenticação utilizado, o payload da identidade será
protegido contra a modificação e interpretação.
O host de início da comunicação envia uma lista de ofertas de potenciais níveis de segurança aos peers de
resposta. O destinatário não pode modificar a oferta. Caso a oferta seja modificada, o iniciador rejeitará a
mensagem do destinatário que responde. Este enviará uma resposta a aceitar a oferta, ou simplesmente a
rejeitar as ofertas e envia uma mensagem indicando que não foi escolhida uma oferta. O processo será
então reiniciado.
As mensagens de negociação trocadas são reenviadas, automaticamente, em cinco minutos. Após três
segundos, será estabelecida uma SA temporária, se as políticas activas permitirem comunicações não
seguras com computadores que não utilizem IPSec. Se for atingida uma resposta ISAKMP antes que o ciclo
se esgote, a SA temporária será eliminada e será iniciada a negociação SA padrão. O número potencial de
SA formadas é limitado apenas pelos recursos do sistema.
A SA de ISAKMP é utilizada para iniciar a segunda fase das negociações de segurança.
Protecção de dados
Um par de SA é negociado em nome do serviço IPSec e referido como SA de IPSec. O material de chaves é
actualizado ou são geradas novas chaves se o PFS ou as validades de chave tiverem sido activadas, a SA
de ISAKMP expirou.
O processo de negociação de segurança durante a segunda fase inclui:

Negociação da política
Determina:
O protocolo IPSec: AH, ESP.
O algoritmo de integridade: MD5, SHA.
O algoritmo de encriptação: DES, 3DES, 40bitDES, ou nenhum.
É atingido um acordo comum e estabelecidas duas SA: um para comunicações de entrada e um para
comunicações de saída.
O Oakley actualiza o material de chave e são geradas chaves secretas, partilhadas e novas para
autenticação e, possivelmente, para encriptação de pacotes..
As SA e as chaves são transmitidas ao controlador IPSec, em conjunto com o SPI.
Toda a negociação é protegida pela SA de ISAKMP. À excepção do cabeçalho ISAKMP nos pacotes,
todos os pacotes de mensagens são encriptados e uma assinatura da integridade a acompanhar o
cabeçalho ISAKMP autentica a mensagem. O Oakley impede reproduções de mensagens de
negociação, fornecendo protecção anti-reprodução.
O processo automático de repetição de mensagens é praticamente idêntico ao processo discutido na

negociação de troca de chaves, com uma excepção: se este processo esgotar o tempo por alguma razão,
durante a segunda negociação ou na negociação maior da mesma SA de ISAKMP, será tentada uma nova
13-7
negociação. Se for recebida uma mensagem para a fase de protecção de dados, sem o estabelecimento de
uma SA de ISAKMP, a mensagem será rejeitada.
A capacidade para utilizar uma única SA de ISAKMP para várias negociações de SA de IPSec, torna o
processo de negociação de segurança extremamente rápido. Desde que a SA de ISAKMP não expire, a
renegociação e re-autenticação não são necessárias. A política IPSec activa determina o número de vezes
que esta situação pode ocorrer.
Validades da SA
Sempre que a validade de uma chave é atingida para a chave principal ou de sessão, a SA associada será
renegociada. Será enviada uma mensagem de ‘eliminação’ Oakley ao peer de resposta, que pedirá para
marcar a SA de ISAKMP como ‘expirada’. Este procedimento impede que se formem SA de IPSec fictícias a
partir de uma SA antiga. O Oakley expira as SA de ISAKMP e o controlador IPSec expira as SA de IPSec.
Cada vez que o Agente de política IPSec obtém actualizações da política, actualizará a lista de filtros IP,
armazenada no controlador IPSec. Quaisquer SA associadas a filtros antigos, que já não existam na política,
serão eliminadas em conjunto com os filtros antigos na cache do controlador IPSec.
Se as funcionalidades de poupança de energia do Windows 2000causarem a hibernação ou a suspensão do

computador, e a SA expirar neste período, a SA será automaticamente renegociada, quando o peer for
reactivado. Se o Windows 2000for encerrado num dos peers, a mensagem de ‘eliminação’ Oakley limpa as
SA restantes e as SA novas são renegociadas quando os peers tentarem novamente a comunicação. Se o
Windows 2000terminar irregularmente, a mensagem de ‘eliminação’ Oakley não será enviada. Neste caso,
as SA antigas poderão estar ainda em funcionamento até que o limite de tempo predefinido seja atingido. Se
esta situação ocorrer, as SA deverão ser eliminadas manualmente.
Esquema de funcionamento do IPSec

Para compreender o funcionamento do IPSec é aqui apresentado um pequeno cenário da comunicação
entre dois computadores, na mesma rede local utilizando o IPSEC. A Ana, utilizando uma aplicação no
Computador A, envia uma mensagem ao João.
O controlador IPSec no Computador A verifica se existe uma correspondência na lista de filtros IP, na
política activa, relativamente ao endereço ou tipo de tráfego dos pacotes de saída.
O controlador IPSec notifica o ISAKMP para iniciar as negociações de segurança com o
Computador B.
O serviço ISAKMP no Computador B recebe um pedido de negociações de segurança.
Os dois computadores executam uma troca de chaves, estabelecem uma SA de ISAKMP e uma
chave secreta e partilhada.
Os dois computadores negoceiam o nível de segurança para a transmissão de dados, estabelecendo
um par de SA e chaves IPSec para protecção dos pacotes IP.
O controlador IPSec no Computador sinaliza os pacotes para integridade, utilizando a SA e a chave
IPSec de saída e encripta os pacotes, caso tenha sido negociada confidencialidade.
O controlador IPSec no Computador A transfere os pacotes para o tipo de ligação para transmissão
adequado, para o Computador B.
O Computador B recebe os pacotes seguros e transfere-os para o controlador IPSec.
O controlador IPSec no Computador B verifica a assinatura de integridade, utilizando a SA e a chave
de entrada, e desencripta os pacotes, se necessário.
O controlado IPSec, no Computador B, transfere os pacotes desencriptados para o controlador
TCP/IP, que os transfere para a aplicação receptora.
13-8
A Ana e o João nunca se apercebem do processo. Os routers ou comutadores padrão, no caminho

dos dados entre os peers, não exigem IPSec. Reencaminham automaticamente os pacotes IP
encriptados para o destino. Contudo, se um router estiver a funcionar como um firewall, gateway de
segurança ou servidor proxy, deverá activar uma filtragem especial para permitir a passagem de
pacotes IP seguros.
Utilização do IPSec em Redes privadas virtuais(VPNs)
Todo o processo de encapsulamento, encaminhamento e desencapsulação é denominado utilização de

túneis. A utilização de túneis oculta ou encapsula o pacote original dentro de um novo pacote. Este novo
pacote poderá possuir novas informações sobre endereçamento e encaminhamento, o que permite a
transmissão do novo pacote pelas redes. Quando a utilização de túneis é combinada com privacidade, os
dados do pacote original (bem como a origem e o destino originais) não são revelados a quem estiver atento
ao tráfego na rede. A rede poderá ser um conjunto de redes qualquer: uma intranet privada ou a Internet.
Quando os pacotes encapsulados atingem o destino, o cabeçalho de encapsulamento é removido e será
utilizado o cabeçalho do pacote original para encaminhar o pacote para o destino final.
O túnel é o caminho de dados lógico, através do qual são transmitidos os pacotes encapsulados. Para a
origem e peer de destino, o túnel é, normalmente, transparente e apresenta-se apenas como outra ligação
ponto-a-ponto no caminho da rede. Os peers ignoram quaisquer routers, servidores proxy ou outros de
gateways de segurança entre o ponto de início do túnel e o ponto final do mesmo. Quando a utilização de
túneis é combinada com privacidade, poderá ser utilizada para fornecer Redes privadas virtuais (VPN –
Virtual Private Network).
No Windows , são fornecidos dois tipos de utilização de túneis que utilizam IPSec:
O L2TP/IPSec (Layer 2 Tunneling Protocol), em que o L2TP fornece gestão e encapsulamento de
túnel para qualquer tipo de tráfego de rede e o IPSec em modo de transporte fornece a segurança
para os pacotes de túnel L2TP.
IPSec em modo de túnel, no qual o IPSec procede ao encapsulamento apenas para o tráfego IP.
Os pacotes encapsulados atravessam a rede dentro do túnel. (Neste exemplo, a rede é a Internet.) O
gateway poderá ser um gateway de limite que está localizado entre a Internet exterior e a rede privada--um
router, um firewall, um servidor proxy ou outro gateway de segurança. Também poderão ser utilizados dois
gateways dentro da rede privada para proteger o tráfego em partes menos fidedignas da rede.
L2TP e IPSec
O IPSec e o L2TP são combinados para fornecer quer a utilização de túneis, quer a segurança para pacotes
IP, IPX e outros pacotes de protocolo em de qualquer rede IP. O IPSec poderá também executar a utilização
de túneis sem L2TP, mas é também recomendado para a interoperabilidade, quando um dos gateways não
suporta L2TP nem PPTP.
O L2TP encapsula pacotes originais dentro de um pacote PPP, efectuando a compressão quando possível
e, em seguida, dentro de um pacote tipo UDP atribuído à porta 1701. Uma vez que o formato do pacote
UDP é um pacote IP, o L2TP utiliza automaticamente o IPSec para proteger o túnel, com base nas
definições de segurança da configuração do utilizador no túnel L2TP. O protocolo IKE (IPSec Internet Key
Exchange) negoceia a segurança para o túnel L2TP utilizando, por predefinição, uma autenticação com base
em certificados. Esta autenticação utiliza certificados de computador, e não certificados de utilizador, para
verificar se quer a origem, quer o destino são fidedignos. Se a segurança do transporte IPSec for
estabelecida com êxito, o L2TP negoceia o túnel, incluindo opções de compressão e autenticação de
utilizador, e efectua o controlo de acesso com base na identidade do utilizador. Assim, o L2TP/IPSec é a
13-9
opção mais fácil, mais flexível, mais interoperável e mais segura de utilização de túneis, quer para clientes
de acesso remoto VPN, quer para túneis VPN gateway-a-gateway.
A configuração com L2TP/IPSec de clientes de acesso remoto VPN é efectuada utilizando Ligações de
acesso telefónico e de rede. A configuração para o servidor de acesso remoto VPN e para túneis gateway-
a-gateway é efectuada utilizando a consola de Encaminhamento e acesso remoto.
O cabeçalho do pacote original transporta os endereços originais e finais de origem e de destino (endereços
utilizados na rede privada) e o cabeçalho IP exterior, mostrado como Novo cabeçalho IP contém os
endereços de destino dos pontos finais do túnel (endereços utilizados na rede pública). O cabeçalho L2TP
transporta informações sobre o controlo do túnel. O cabeçalho PPP identifica o protocolo do pacote original
IP.
Utilização de túneis IPSec
A razão principal para a utilização do modo de túnel IPSec consiste na interoperabilidade com outros routers,
gateways ou sistemas finais que não suportem L2TP/IPSec ou a tecnologia de utilização de túneis PPTP de
VPN (Virtual Private Network). O modo de túnel IPSec é suportado apenas em situações de utilização de
túneis gateway-a-gateway e para certas configurações servidor-a-servidor ou servidor-a-gateway como uma
funcionalidade avançada. O modo de túnel IPSec não é suportado para situações de VPN de acesso remoto
de cliente. L2TP/IPSec ou PPTP deverão ser utilizados para VPN de acesso remoto de cliente.
13-10
O que são políticas IPSec
As políticas IPSec são baseadas linhas de orientação da organização para operações seguras. As políticas
podem armazenar várias acções de segurança, chamadas regras, de modo a que uma política possa ser
aplicada a vários computadores. As políticas IPSec poderão ser aplicadas a computadores locais, a
membros de domínio, a domínios, a unidades organizacionais ou qualquer objecto da política de grupo no
Active Directory.
Existem duas localizações de armazenamento de políticas IPSec:

Active Directory
Definido localmente no registo de um computador. Se o computador estiver temporariamente desligado de

um domínio Windows fidedigno, as informações da política serão armazenadas na memória cache, no
registo local.
O Windows inclui políticas predefinidas que poderão ser activadas, modificadas para satisfazer as
necessidades ou utilizadas como modelo para as políticas personalizadas. Cada política definida deverá
aplicar-se a uma situação no plano de segurança. As definições da configuração especiais poderão ser
aplicadas se estiver a atribuir políticas a um servidor DHCP, Sistema de nomes de domínio (DNS – Domain
Name System) ou servidor de acesso remoto.
Política de grupo
As políticas IPSec atribuídas a um objecto da política de grupo, no Active Directory, tornam-se parte da
política de grupo e são transferidas para os computadores membros de cada vez que a política de grupo for
propagada.
Quando é atribuída política IPSec no Active Directory, considere o seguinte:
As políticas IPSec atribuídas à política do domínio irão substituir qualquer política IPSec local activa só
quando um computador for ligado ao domínio.
As políticas IPSec atribuídas a uma unidade organizacional irão substituir uma política IPSec atribuída à
política do domínio, para quaisquer computadores membros dessa unidade organizacional. A política IPSec
atribuída à unidade organizacional do nível mais baixo irá substituir a política IPSec atribuída a uma unidade
organizacional de nível mais alto, para quaisquer computadores membros dessa unidade organizacional.
Políticas IPSec predefinidas
O Windows 2000 fornece um conjunto de políticas IPSec predefinidas. Por predefinição, todas as políticas
predefinidas são concebidas para computadores que sejam membros de um domínio Windows 2000. As
políticas poderão ser atribuídas sem mais acções ou modificações, ou utilizadas como modelo para definição
de políticas personalizadas. São apresentadas de seguida as políticas predefinidas.
Cliente (só responder)

Este procedimento é utilizado para computadores que, na maioria das vezes, não protegem as
comunicações. Por exemplo, os clientes intranet poderão não necessitar do IPSec, excepto quando pedido
por outro computador. Esta política permite que o computador, no qual está activa a função de responder de
forma adequada a pedidos de comunicações seguras. A política contém uma regra de resposta predefinida,
que permite a negociação com computadores que requeiram IPSec. Apenas o protocolo requisitado e
tráfego da porta para a comunicação serão protegidos.
13-11
Servidor (pedir segurança)

Utilizado para computadores que, na maioria das vezes, deverão proteger as comunicações. Um exemplo,
poderá ser um servidor que transmita dados sensíveis. Nesta política, o computador aceitará tráfego não
seguro, mas tentará sempre proteger comunicações adicionais, pedindo segurança ao emissor original. Esta
política permite que toda a comunicação não seja segura se o outro computador não utilizar IPSec.
Servidor seguro (exigir segurança)
Utilizado para computadores que pedem sempre comunicações seguras. Um exemplo, será um servidor que
transmita dados altamente sensíveis ou um gateway de segurança que proteja a intranet do exterior. Esta
política rejeitará as comunicações a receber não seguras e o tráfego de saída será sempre protegido. A
comunicação não segura não será permitida, mesmo que um peer não utilize IPSec.
Atribuição de políticas IPSec
O Componente de gestão da política de segurança do protocolo Internet é utilizado para criar e

configurar políticas IPSec através da Consola de gestão da Microsoft (MMC – Microsoft Management
Console). É possível gerir políticas centralmente (para clientes do Active Directory), gerir políticas localmente
(o computador em que está a executar o snap-in) ou gerir políticas remotamente para um computador ou
para um domínio.
Políticas armazenadas no Active Directory
Um objecto da política de grupo define o acesso, a configuração e as definições de utilização para contas e
recursos. As políticas IPSec poderão ser atribuídas ao objecto da política de grupo de uma conta de
computador, local, domínios ou unidade organizacional. Quando a política IPSec é aplicada ao objecto da
política de grupo para o objecto de Active Directory, a política IPSec será propagada a quaisquer contas de
computador afectadas por esse objecto da política de grupo
Existem algumas considerações a ter em atenção na atribuição de uma política IPSec.
As políticas IPSec aplicadas à política do domínio irão substituir a política IPSec local activa quando
esse computador é um membro do domínio.
As políticas IPSec atribuídas às unidades organizacionais, no Active Directory, irão substituir a
política do nível do domínio para quaisquer membros dessa unidade organizacional e a política IPSec
da unidade organizacional do nível mais baixo irá substituir a política IPSec para unidades
organizacionais de nível mais alto para quaisquer membros dessa unidade organizacional, e não se
fundem com elas.
A atribuição de políticas ao nível mais alto possível fornece o âmbito de efeito máximo com o mínimo
esforço administrativo.
A política IPSec deverá manter-se activa mesmo após o objecto da política de grupo, ao qual foi
atribuída, ter sido eliminado. Deverá anular a atribuição da política IPSec antes de eliminar o objecto
da política. Se eliminar os objectos da política e mantiver a atribuição da política, o Agente de
política IPSec irá assumir que, simplesmente, não é possível encontrar a política e utilizará a cópia
da memória cache.
A cópia de segurança e restauro da política de grupo no Active Directory deverá incluir também
políticas IPSec para assegurar consistência.
13-12
O Agente de política IPSec apenas verifica o Active Directory relativamente a actualizações à política
IPSec activa ou atribuída. Se tiverem sido criadas novas políticas IPSec no Active Directory, ou se uma
política IPSec tiver sido alterada e atribuída a um computador cliente, o serviço de início de sessão irá
descobrir essas alterações durante o ciclo de consulta seguinte para as alterações da política de grupo,
notificará o Agente de política IPSec e, em seguida, aplicará as alterações ao computador cliente.
Política do computador local
Cada computador a utilizar o Windows 2000 tem exactamente um objecto da política de grupo local,
frequentemente denominado política do computador local. Utilizando este objecto da política de grupo local,
poderão ser armazenadas definições da política de grupo em computadores individuais, façam ou não parte
de um ambiente Active Directory ou um ambiente de rede. Uma vez que estas definições podem ser
substituídas por objectos da política de grupo associados a locais, domínios ou unidades organizacionais, o
objecto da política de grupo local é o menos influente num ambiente Active Directory.
Num ambiente sem uma rede (ou num ambiente de rede a que falte um controlador de domínio
Windows 2000), as definições do objecto da política de grupo local são mais importantes, uma vez que não
podem ser substituídas por outros objectos da política de grupo.
Utilizar as políticas IPSec
Uma regra IPSec, deve definir que tipos de ligação, serão efectuados no computador. Os tipos de ligação
aplicam-se a todas as ligações nas Ligações de acesso telefónico e de rede no computador para o qual é
configurada a política IPSec.
Cada regra tem uma definição de tipo de ligação:
Todas as ligações de rede. A regra irá aplicar-se a comunicações enviadas via quaisquer ligações de rede
configuradas no computador.
Rede local (LAN). A regra irá aplicar-se apenas a comunicações enviadas via ligações de rede local
configuradas no computador.
Acesso remoto. A regra irá aplicar-se apenas a comunicações enviadas via quaisquer ligações de acesso
remoto ou telefónico configuradas no computador.
13-13
D - Criar e atribuir políticas IPSec

Adicionar e editar políticas IPSec
No Componente de gestão da política de segurança do protocolo Internet, escolha definir uma nova política:
1. Na árvore da consola, clique em Políticas de segurança IP em Descrição e, em seguida, no menu

Acção, clique em Criar política de segurança IP. Siga as instruções do Assistente para política
de segurança IP até à caixa de diálogo Propriedades, para que apareça a nova política.
2. Clique no separador Geral e, em seguida, em Nome e introduza um nome exclusivo.

3. Em Descrição, escreva uma descrição da política de segurança como, por exemplo, que grupos ou
domínios são afectados.
4. Se o computador fizer parte de um domínio, para especificar a frequência a que o Agente de política
irá verificar a política de grupo relativamente a actualizações, escreva em Verificar alterações de
política todos os número de minuto(s).
5. Se tiver requisitos especiais de segurança na troca de chaves, clique em Avançadas.
6. Clique no separador Regras e crie as regras necessárias para a política.
Para editar uma política existente:

No Componente de gestão da política de segurança do protocolo Internet, escolha editar uma política actual:
Clique na política com o botão direito do rato e, em seguida, clique em Propriedades.
Atribuir uma política IPSec a um gupo
Na consola, a partir da qual gere a política de grupo, clique no objecto Política de grupo ao qual pretende
atribuir uma política IPSec:
1. Expanda a Configuração do computador e, em seguida as Definições do Windows e, em seguida, as
Definições de segurança.
2. Clique na pasta Políticas de segurança IP.
3. Clique com o botão direito do rato na política que pretende atribuir e, em seguida, clique em Atribuir.
Para remover a atribuição da política IPSec da política de grupo, clique com o botão direito na política e
clique em Não atribuir. Se necessitar de desactivar a IPSec, apenas para um computador específico, pode
desactivar o Serviço do agente de política IPSec nesse computador.
Activar uma política IPSec num computador
No Componente de gestão da política de segurança do protocolo Internet, clique na pasta Políticas de

segurança IP.
Clique com o botão direito do rato na política que pretende atribuir e, em seguida, clique em Atribuir.
Para remover a atribuição da política IPSec do computador, clique com o botão direito do rato, na política e
clique em Anular atribuição. Se necessitar de desactivar a segurança IP, é possível desactivar Serviço de
agente de política IPSec nesse computador
13-14
E - Definir regras para uma política IPSec

Adicionar e editar regras
No Componente de gestão da política de segurança do protocolo Internet, clique com o botão direito do
rato na política que pretende modificar e, em seguida, clique em Propriedades.
Decida se pretende ou não utilizar o Assistente para adicionar:
Para utilizar o Assistente para regra de segurança para adicionar uma regra, confirme se a caixa de
verificação Utilizar assistente está seleccionada, clique em Seguinte e, em seguida, siga as instruções.
Para adicionar ou editar uma regra manualmente, confirme se a caixa de verificação Utilizar assistente não
está seleccionada e, em seguida, clique em Adicionar ou Editar e continue com este procedimento.
Defina as propriedades da Lista de filtros IP, Acção de filtro, Tipo de ligação, Métodos de autenticação e
Configuração do túnel.
Activar regras
Seleccione a caixa de verificação junto a quaisquer regras que pretenda activar ou desmarque a caixa de
verificação para desactivar a regra.
Especificar tipos de ligação IPSec
Clique na regra que pretende modificar e, em seguida, clique em Editar.
No separador Tipo de ligação, seleccione o tipo de ligações de rede para as quais esta regra se vai aplicar:
Para aplicar esta regra a todas as ligações de rede que criou no computador, clique em Todas as ligações
de rede.
Para aplicar esta regra a todas as ligações de rede local criadas nesse computador, clique em Rede local
(LAN).
Para aplicar esta regra a quaisquer ligações de acesso telefónico ou remotas criadas nesse computador,
clique em Acesso remoto.
Especificar um túnel IPSec
No painel Detalhes do componente de gestão da política de segurança do protocolo Internet, clique

com o botão direito do rato na política que pretende modificar e, em seguida, clique em Propriedades.
Seleccione a regra que pretende modificar e, em seguida, clique em Editar.
No separador Configuração do túnel, especifique o computador que será o ponto final do túnel:
Para desactivar a utilização de túneis para esta regra, execute um clique em Esta regra não especifica um
túnel IPSEC.
Para utilizar comunicações por túnel para um computador específico, clique em O ponto final do túnel é
especificado por este endereço IP.
O ponto final do túnel é um endereço IP estático no outro computador, para o qual pretende transmitir os
pacotes por túnel, por exemplo, um gateway para uma rede de empresa.
São necessárias duas regras, uma de entrada e uma de saída, para que o túnel IPSec funcione. Os filtros de
túnel não deverão ser reflectidos. São necessárias duas listas de filtros, cada uma contendo um filtro
unidireccional, para especificar um túnel. Cada lista de filtros especifica uma direcção de tráfego que
corresponde a cada ponto final do túnel. Exemplo: Da sub-rede A à sub-rede B, túnel para o endereço do
gateway externo para B. Da sub-rede B à sub-rede A, túnel para o endereço do gateway externo para A.
13-15
Os túneis IPSec deverão ser utilizados apenas para interoperabilidade com outros routers, gateways ou
sistemas finais, que não suportem L2TP/IPSec ou a tecnologia de utilização de túneis da rede privada virtual
(VPN) PPTP. O modo de túnel IPSec é suportado como uma funcionalidade avançada, apenas em situações
de utilização de túneis gateway-a-gateway e para configurações servidor-a-servidor ou servidor-a-gateway.
Os túneis IPSec não são suportados para situações uma VPN acesso remoto de clientes. Os protocolos
L2TP/IPSec ou PPTP deverão ser utilizados para a VPN de acesso remoto de clientes.
13-16
F- Filtros IPSEC
Adicionar e editar listas de filtros IP
Na caixa de diálogo Propriedades de política de segurança IP, clique na regra à qual pretende adicionar a
nova lista de filtros IP e, em seguida, clique em Editar.
Se estiver a adicionar uma nova lista de filtros IP, no separador Lista de filtros IP, clique em Adicionar. Se
estiver a reconfigurar uma lista de filtros existente, clique na lista de filtros e, em seguida, clique em Editar.
Introduza um nome exclusivo para a lista.
Introduza uma descrição, por exemplo, que tipos de tráfego serão representados pela lista.
Crie os filtros.
Adicionar e editar filtros IPSec
Clique na regra que contém a lista de filtros IP que pretende modificar e, em seguida, clique em Editar.
Efectue um dos seguintes procedimentos:
Se estiver a adicionar um filtro IPSec, no separador Lista de filtros IP, clique em Adicionar.
Se estiver a reconfigurar uma lista de filtros IP existente, clique no filtro IP e, em seguida, clique em Editar.
Em Lista de filtros IP, efectue um dos seguintes procedimentos:
Utilizar o Assistente para filtro IP para criar um filtro

Criar um filtro manualmente
Reconfigurar um filtro existente
No separador Endereçamento, seleccione o Endereço de origem.
Clique em Endereço de destino e introduza a informação para o endereço de destino.
Para regras de túnel IPSec, só são suportados os filtros com base em endereços. Não são suportados os
filtros de protocolo específico ou de porta específica. Os filtros de túnel não deverão ser reflectidos. São
obrigatórias duas listas de filtros, cada uma contendo um filtro de direcção, para especificar um túnel. Cada
lista de filtros especifica uma direcção de tráfego que corresponde a cada ponto final do túnel. Exemplo: Da
sub-rede A à sub-rede B, túnel para o endereço do gateway externo para B. Da sub-rede B à sub-rede A,
túnel para o endereço do gateway externo para A.
Activar listas de filtros IPSec
Clique na regra que pretende modificar e, em seguida, clique em Editar.
No separador Lista de filtros IP, clique na lista de filtros IP que pretende designar como a lista activa para
esta regra.
A lista de filtros IP seleccionada fica, assim, activa para esta regra.
13-17
Gerir listas de filtros IPSec
No Componente de gestão da política de segurança do protocolo Internet, na árvore da consola, clique em

Políticas de Segurança IP.
No menu Acção, clique em Gerir acções de filtro e lista de filtros IP.
Clique em Adicionar ou, se estiver a reconfigurar uma lista existente, seleccione a referida lista e clique em
Editar.
Adicionar e editar acções de filtros
Clique na regra que pretende modificar, clique em Editar e, em seguida, clique no separador Acção
de filtro.
Escolha se pretende utilizar ou não o Assistente para adicionar:
Para utilizar o Assistente para adicionar acção de filtro para o guiar ao longo do processo,
confirme se a caixa de verificação Utilizar assistente está seleccionada e, em seguida, siga as
instruções fornecidas.
Para adicionar ou editar as acções de filtro manualmente, confirme se a caixa de verificação Utilizar
assistente está desmarcada e, em seguida, clique em Adicionar para criar uma acção de filtro, ou
clique em Editar para reconfigurar uma acção de filtro.
Escolha uma acção de filtro
Clique em Permitir para permitir a recepção ou o envio de pacotes em texto simples. Não será
solicitada segurança para estes pacotes.
Clique em Bloquear para impor que os pacotes correspondam ao filtro sejam rejeitados
imediatamente. Não será solicitada segurança para estes pacotes.
Clique em Negociar segurança para utilizar a lista dos métodos de segurança em Ordem de
preferência dos métodos de segurança para fornecer segurança para pacotes que correspondam
ao filtro. Serão aceites pedidos de segurança para estes pacotes.
Se não pretender bloquear comunicações a receber, não seguras, mas se pretender certificar-se de
que todas as comunicações de saída e comunicações em duas vias subsequentes são seguras,
seleccione a caixa de verificação Aceitar comunicações não seguras, mas responder sempre
utilizando IPSEC.
Se pretender activar a comunicação com outros computadores que não suportem IPSec e assegurar-
se de que a comunicação continua se não obtiver resposta a um pedido para a negociação IPSec,
seleccione a caixa de verificação Permitir a comunicação não segura com computadores que
não utilizem IPSEC. Após a negociação IPSec inicial ter falhado para um peer particular, esta opção
desactivará IPSec para esse peer para um período de tempo.
Seleccione a caixa de verificação Chave de sessão com Perfect Forward Secrecy (PFS) para
garantir a não reutilização de chaves principais ou material de chaves principal, para gerar chaves de
sessão.
No separador Geral, introduza um nome exclusivo.
Introduza uma descrição. Por exemplo, poderá introduzir os níveis de segurança que esta acção de
filtro representa.
Se escolher Negociar segurança, adicione novos métodos de segurança ou edite os métodos
existentes para a acção de filtro.
Chave de sessão com Perfect Forward Secrecy (PFS) é um mecanismo que criará uma nova chave
principal durante todas as operações de restauro de chave de cada sessão. Esta é a definição mais segura.
No entanto, adiciona uma sobrecarga considerável aos servidores e irá aumentar o tempo necessário para
concluir uma operação de restauro de chave. Quer o iniciador, quer o utilizador que responde deverão ser
13-18
configurados com a mesma definição para uma negociação com êxito. Além disso, a interoperabilidade com
outros produtos poderá ser afectada quando utilizar esta funcionalidade.
Adicionar ou editar métodos de segurança IPSec
1. No Componente de gestão da política de segurança do protocolo Internet, clique com o botão

direito do rato na política que pretende modificar e, em seguida, clique em Propriedades.
2. Clique na regra que pretende modificar e, em seguida, clique em Editar.
3. No separador Acção de filtro, clique na acção de filtro que pretende modificar e, em seguida, clique
em Editar.
4. Escolha se pretende adicionar um método de segurança ou editar um método existente:
5. Para adicionar um novo método de segurança, no separador Métodos de segurança, clique em
Adicionar.
6. Se estiver a reconfigurar um método existente, clique no método de segurança e, em seguida, clique
em Editar.
Existem dois níveis de segurança, seleccione um:
Alta (ESP).
Utiliza o protocolo ESP para encriptar os dados (proporciona confidencialidade), utilizando um DES de 56
bits como algoritmo, e um MD5 de 128 bits para o algoritmo de integridade e validades de chave
predefinidas de (100mb, 1 hora)
Média (AH)
Utiliza o protocolo AH para assinar (ou fornecer integridade) as informações de endereçamento (cabeçalho
IP) e os dados do pacote, utilizando o MD5 de 128 bits como algoritmo de integridade e validades de chave
predefinidas (100mb, 1 hora)
Activar uma acção de filtro
Seleccione a regra que pretende modificar e, em seguida, clique em Editar.
No separador Acção do filtro, clique na acção de filtro que pretende activar para esta regra.
Gerir várias acções de filtros
No Componente de gestão da política de segurança do protocolo Internet, clique na pasta Políticas de

segurança IP.
Clique em Acção e, em seguida, clique em Gerir acções de filtro e lista de filtros IP.
Clique em Adicionar ou, se estiver a reconfigurar uma acção de filtro existente, clique na acção e, em
seguida, clique em Editar.
Configure a acção de filtro.
Defina os métodos de segurança para a acção de filtro.
13-19
Unidade 14
Instalação do Windows Server
Conhecer as diferentes versões do sistema operativo Windows.

Identificar os diferentes tipos de instalação do sistema operativo.
Saber efectuar as tarefas prévias de instalação.
Conhecer as características dos diferentes tipos de sistemas de ficheiros compatíveis com a
instalação do sistema operativo.
Saber instalar o sistema operativo Windows.
Saber identificar e resolver problemas relacionados com a instalação.
Sumário:
Nesta primeira unidade serão apresentadas as diferentes versões do sistema operativo Windows e como
proceder à sua instalação. No final desta unidade deverá conhecer os requisitos de instalação, saber realizar
as tarefas prévias à instalação do Windows e instalar correctamente o sistema operativo.
Finalmente serão apresentados alguns conceitos fundamentas sobre domínios e grupos de trabalho
indispensáveis às tarefas de configuração posterior do sistema operativo.
14-1
Os requisitos para a instalação

As diferentes versões do Windows
O sistema operativo Windows é apresentado em quatro versões diferentes:
Windows 2000 Professional/XP Professional
O Windows 2000/XP Professional é um sistema operativo desktop com funcionalidades de segurança e de

rede. É um sistema operativo concebido para funcionar como cliente em redes cliente/servidor com
servidores Windows 2000 server. Possui igualmente funcionalidades de rede que lhe permitem funcionar em
redes peer-to-peer (workgroups) .
Windows Server
O sistema operativo Windows Server possui as características de um servidor podendo executar uma
multiplicidade de tipos de software servidor, incluindo os sistemas servidor backoffice da Microsoft. Possui
igualmente integradas as funcionalidades de um servidor Web, através dos IIS (Internet Information
Services). Ao nível de segurança, possui suporte para o sistema Kerberos e serviços de segurança de PKI
(Public Key Infrastructure).
Windows Advanced Server
A versão Windows Advanced Server é um sistema operativo servidor mais potente do que a versão standard
do Windows Server. Esta versão do Windows 2003 visa substituir a versão anterior do Windows NT Server
Enterprise Edition e Windows Advanced Server 2000. Possui funcionalidades avançadas na qualidade de
servidor de aplicações servidor de redes empresariais que requeiram alta fiabilidade e escalabilidade (esta
palavra deve ser entendida como capacidade para aumentar a capacidade consoante as necessidades).
14-2
Windows Datacenter Server
A versão Windows Datacenter Server é o mais potente sistema operativo servidor da família Windows.
Possui funcionalidades optimizadas para suportar data warehouses, análise de dados econométricos e
pesquisa científica.
Requisitos de hardware
A instalação com sucesso do Windows depende da existência de requisitos mínimos de hardware. Antes de
iniciar a instalação do Windows Server, deve certificar-se que o sistema onde está a configurar o Windows
possui capacidade para a instalação.
Os requisitos mínimos para a instalação do Windows Server são os seguintes:
Processador
Processador Pentium 32-bits a 133 Mhz
Espaço em disco
Um ou mais discos onde nos quais a directoria de sistema, geralmente \WINNT|, deve estar num disco onde
existam pelo menos 671 MB de espaço livro. No entanto a Microsoft recomenda 2 GB de espaço em disco.
Memória
Para redes até cinco postos de trabalho, o mínimo em termos de memória RAM é de 64MB. No entanto, é
recomendado um mínimo de 128 MB para a instalação do Windows 2000 Server.
14-3
Placa gráfica
O mínimo é um monitor com adaptador gráfico VGA ou superior.
Outros elementos
Placa de rede
Para que o computador possa fazer parte de uma rede, é necessária uma placa de rede compatível com a
tecnologia de rede utilizada.
CD-ROM
Para instalação do sistema operativo é necessária uma unidade de CD-ROM com velocidade 12x ou
superior. Para uma instalação através da rede, a unidade de CD-ROM pode ser dispensada.
Rato
Um rato ou um dispositivo apontador com funcionalidades análogas é necessário para o funcionamento do

sistema operativo.
Compatibilidade com os dispositivos de hardware existentes
Durante o processo de instalação do Windows 2000 é realizada uma verificação de rotina ao hardware e
software existente no computador . Para garantir que a instalação decorre sem falhas é necessário que o
hardware do computador seja compatível com o sistema Windows 2000.
A lista de hardware compatível está disponível no CD-Rom do Windows 2000, na pasta Support, no ficheiro
hcl.txt. A lista HCL (Hardware Compatibility List) referencia todos os dispositivos que foram testados para
14-4
trabalharem com o sistema operativo Windows 2000. Os testes de compatibilidade, HCT (Hardware
Compatibility Tests) são administrados pela Microsoft e pelas empresas de hardware para garantir que os
dispositivos funcionem correctamente com o Windows. A instalação do Windows 2000 num computador
cujos componentes não figuram da HCL pode ser mal sucedida.
A lista HCL é constantemente actualizada pela Microsoft, pelo que a lista que se encontra no CD-Rom estará
certamente desactualizada. Para obter uma lista de hardware compatível com o Windows 2000 visite o site
www.microsoft.com/hcl/.
14-5
Actualização para o Windows
Antes de iniciar o programa de Setup, é necessário determinar se vai fazer uma actualização de uma versão
anterior do Windows ou uma nova instalação.
A actualização é o processo de instalação do Windows 2000 numa directoria que contém uma versão do
Windows NT. No final deste processo as configurações efectuadas ao sistema operativo anterior e as
aplicações instaladas ficam disponíveis no Windows 2000.
É possível actualizar, para Windows 2000 Server, os seguintes sistemas operativos:
Windows NT Server 3.51

Windows NT 4.0 Server e Windows NT 4.0 Terminal Server
A actualização de um sistema Windows NT 4.0 Advanced Server só é possível com a versão Advenced
Server do Windows 2000. Da mesma forma não é possível actualizar sistemas Windows NT WorkStation,
Windows 9.x e Windows 2000 Professional para o Windows 2000 Server.
A instalação é o processo de configuração do Windows numa nova directoria ou disco ou eliminando o

sistema operativo existente no computador. Após a instalação é necessário configurar o sistema e reinstalar
todas as aplicações necessárias.
Em síntese, o processo de actualização do Windows 2000 Server deve ser utilizado quando é desejável
manter as configurações e aplicações de um servidor. Por outro lado, a instalação, é efectuada quando é
criado um novo servidor ou quando é necessário ter um computador com mais do que um sistema operativo
(sistema multi-boot)
Pode também ser efectuada a actualização do Windows 2000 Server para uma versão equivalente do
Windows 2003.
14-6
B- Partições e sistemas de ficheiros

Partições
Uma partição de um disco é uma parte desse disco que funciona, perante o sistema operativo como se fosse
uma unidade física independente.
A criação de partições pode ser utilizado para diversas finalidades de organização da informação nos discos.
Nalguns casos, pode ser utilizada para separar o sistema operativo das aplicações e dos dados. Noutros
casos, pode ser utilizada para isolar uns sistemas operativos de outros sistemas operativos, num
computador que pode arrancar com vários sistemas operativos.
Tipos de partições
Podem ser criados dois tipos de partições: primary partitions (partições primárias) e extended partitions
(partições estendidas).
As partições primárias
As partições primárias podem ser criadas para instalar sistemas operativos (bootable operating
systems). Num disco podem ser criadas até quatro partições primárias.
As partições estendidas
As partições estendidas podem ser criadas como unidades lógicas de armazenamento para armazenar
aplicações e dados.
Os utilitários para a criação de partições
Na família de sistemas operativos Windows existem diversos utilitários para criar partições. O mais antigo é
o comando fdisk do sistema operativo MS-DOS. Este comando está disponível em todas as versões do
Windows. Este comando permite criar uma partição primária.
No Windows NT pode ser utilizado o utilitário Disk Administrator e no Windows 2000, o Disk Management.
14-7
Sistemas de Ficheiros
No contexto da arquitectura de um sistema operativo, designa-se por sistema de ficheiros o tipo de

tecnologia utilizada pelo sistema operativo para organizar, armazenar e aceder a ficheiros nos discos do
sistema.
Em regra, um sistema de ficheiros é um sistema hierárquico composto por um directório (ou pasta, ou folder)
principal designado por root ou raiz. Esse directório pode conter ficheiros e outros directórios. Cada
directório, por sua vez, pode igualmente conter ficheiros e/ou outros directórios. Um sistema de ficheiros é
assim uma espécie de árvore com várias ramificações, podendo cada ramificação conter folhas (ficheiros) ou
outras ramificações (outros directórios).
Sistemas de ficheiros locais e sistemas de ficheiros distribuídos
Sistema de ficheiros local
A classificação dos sistemas de ficheiros em locais e distribuídos tem a ver com a localização física dos
recursos geridos pelo sistema. Os sistemas de ficheiros locais fazem parte do sistema operativo e são
encarregados de gerir as pastas e os ficheiros de dispositivos conectados ao computador local (discos fixos
ou amovíveis, CD-ROM, etc.). Os ficheiros locais podem ser partilhados numa rede permitindo o acesso por
parte de sistemas remotos.
Sistema de ficheiros distribuídos
Um sistema de ficheiros distribuído é uma construção lógica em que partes ou a totalidade da hierarquia do
sistema de ficheiros de vários computadores de uma rede, sejam apresentados ao utilizador como se de
uma única estrutura hierárquica se tratasse, e como se essa hierarquia de directórios se encontrasse
localizado num “servidor”, permitindo assim uma mais fácil localização de recursos aos utilizadores da rede.
Os sistemas FAT e FAT32
O conceito de cluster
Para uma compreensão básica do funcionamento dos sistemas de ficheiros é importante ter em
consideração que cada superfície de leitura e escrita de um disco é organizada em pistas e que cada pista é
dividida em sectores. Para organizar a informação nos discos, o sistema operativo agrupa os sectores em
clusters, também designados por allocation units, uma vez que o cluster passa a ser, para o sistema
operativo a unidade básica de armazenamento. Por mais pequeno que seja um ficheiro, o sistema operativo
ocupa pelo menos um cluster para armazenar esse ficheiro.
14-8
Nota
A questão dos clusters criados por um determinado sistema de gestão de ficheiros é importante, como se
pode compreender pelo seguinte exemplo hipotético.
Admita que um sector possui 512 bytes, o que é uma situação usual. Admita igualmente que um cluster é
formado por 8 sectores. Nesse caso, a capacidade do cluster será de 512 * 8 = 4096 bytes. Se o sistema
operativo tiver de guardar um ficheiro com apenas algumas centenas de bytes terá de ocupar o espaço de
um cluster, o que representa um desperdício do espaço em disco.
O sistema FAT
A sigla FAT deriva de File Allocation Table e designa o tipo de estrutura que o sistema operativo utiliza para
gerir os directórios e os ficheiros em disco. Este sistema de gestão do sistema de discos vem desde o
sistema operativo MS-DOS, Windows 3.x e as versões iniciais do Windows 95.
O sistema FAT32
O sistema FAT32 é uma versão melhorada do sistema FAT e é suportada pelo OSR2 do Windows 95, pelo
Windows 98 e Windows 2000. Quando se utiliza o sistema FAT, se a partição é inferior a 2 GB é
automaticamente formatada com o sistema FAT. Se a partição é igual ou superior a 2 GB é a formatação é
feita automaticamente com o sistema FAT32.
Uma das características que diferenciam a FAT32 da FAT é o facto de a FAT32 utilizar um tamanho menor
para os clusters, permitindo em muitos casos um mais eficiente aproveitamento do espaço em disco.
Comparação do tamanho dos clusters em FAT e FAT32
A capacidade da drive e o tipo de sistema de ficheiros (FAT ou FAT32) tem implicações no

tamanho dos clusters utilizados pelo sistema operativo.
As tabelas seguintes indicam para cada tipo de sistema e para diferentes capacidades de
discos, o tamanho dos clusters da FAT e da FAT32.
FAT
Capacidade da drive Tamanho dos clusters
0-32 MB 512 bytes
33 MB - 64 MB 1 KB
65 MB -128 MB 2 KB
129 MB – 256 MB 4 KB
257 MB – 512 MB 8 KB
513 MB – 1024 MB 16 KB
1025 MB – 2048 MB 32 KB
14-9
FAT32
Capacidade da drive Tamanho dos clusters
260 MB – 8 GB 4 KB
9 GB – 16 GB 8 KB
17 GB – 32 GB 16 KB
Mais de 32 GB 32 KB
Como se pode observar, para determinado tipo de drives, o sistema FAT32 utiliza clusters menores do
que o sistema FAT, pelo que a utilização do espaço em disco pode ser mais eficiente.
Nota
É possível usar o sistema FAT32 com o sistema operativo Windows 2000, sendo no entanto
necessário ter em consideração que estes sistemas de ficheiros não permitem implementar alguns dos
mecanismos de gestão e de segurança do sistema de ficheiros NTFS.
O sistema NTFS
Características do NTFS
O sistema de ficheiros NTFS foi criado com o Windows NT e pode ser instalado com o Windows NT e com o
Windows 2000. Trata-se de um sistema de ficheiros mais adequado para servidores, uma vez que apresenta
características de segurança que não se encontram nos sistemas FAT, particularmente a capacidade para
definição de permissões de acesso ao nível de cada ficheiro, a compressão de discos e a encriptação de
ficheiros. É, por esse facto, o sistema de ficheiros recomendado para funcionar em servidores de ficheiros,
em servidores Web e em servidores de aplicações em ambientes de redes empresariais.
Os clusters em NTFS
Tal como nos sistemas FAT, o cluster é o a unidade básica de armazenamento de informação no sistema de
ficheiros NTFS. A tabela seguinte mostra o tamanho dos clusters criados pelo NTFS consoante a
capacidade da drive.
A palavra volume pode igualmente ser utilizada para designar uma parte do disco que é formatada com um
determinado sistema de ficheiros e designada por uma letra de drive. No Windows 2000, um volume pode
ser uma entidade lógica de armazenamento composta por componentes de um ou mais discos físicos.
14-10
NTFS
Capacidade do volume Tamanho dos clusters
512 MB ou menos 512 bytes
513 KB – 1024 MB 1 KB
1025 MB – 2048 MB 2 KB
2049 MB – 4096 MB 4 KB
4097 MB – 8192 MB 8 KB
8193 MB – 16384 MB 16 KB
16385 MB – 32768 MB 32 KB
32769 MB ou mais 64 KB
A estrutura de um volume NTFS
Quando se formata uma partição de um disco com o sistema NTFS cria-se um volume NTFS. Nesse
processo de formatação é criada uma estrutura composta por várias áreas:
Boot sector da partição

Contém o código que permite que permite encontrar o sistema operativo e iniciar os ficheiros de
arranque.
MFT (Master File Table)

Contém a informação sobre todas as pastas e ficheiros contidas no volume.
Ficheiros de sistema NTFS

Contém informação complementar sobre o conteúdo do volume, o nome e a versão do volume, tabela
com nomes de atributos e nomes, informação sobre a root folder , etc.
Área de ficheiros
Trata-se da área do volume destinada ao armazenamento de ficheiros.
A imagem seguinte mostra o esquema de um volume NTFS.
O espaço necessário para acomodar a informação relativa à tabela MFT e aos ficheiros de sistema NTFS é
de cerca de 1 MB.
14-11
Criar uma nova partição ou utilizar uma partição existente
Na instalação do sistema operativo, são disponibilizadas várias opções para a criação da partição de
instalação. Essas opções são sumariamente descritas em seguida.
• Inexistência de partições no disco. Se no disco não existirem partições, o programa de Setup

permite definir a dimensão e criar a partição para o Windows 2000;
• Existência de partições e de áreas sem partição. Neste caso é possível utilizar a área do
disco não particionada para criar a partição do Windows 2000.
• Instalação sobre uma partição existente. O Windows 2000 pode ser instalado sobre uma
partição existente, desde que essa partição tenha a capacidade necessária. No entanto, se
este for o processo utilizado, o conteúdo anterior da partição é destruído.
• Destruir partições existentes para criar uma nova partição. O disco pode conter partições
que podem ser eliminadas para criar uma nova partição para instalar o Windows 2000.
Recomendações para a configuração do restante espaço em disco
Durante a instalação do Windows 2000, o programa de Setup pode ser utilizado para criar outras partições.
No entanto, a prática recomendada é a de utilizar apenas o programa Setup para criar e dimensionar a partição de
instalação do Windows 2000.
Depois de o Windows 2000 ter sido instalado, deve utilizar-se o utilitário Disk Management para criar novas
partições no disco.
Dimensionamento da partição de instalação
Os requisitos mínimos para a capacidade da partição de instalação do Windows 2000 Professional é de 650
MG. No entanto, o tamanho recomendado é de, pelo menos 1 GB ou mesmo superior. O facto de o sistema
operativo ser instalado numa partição com maior capacidade, permite que essa partição possa no futuro vir a
acomodar com maior facilidade algumas extensões do sistema operativo.
Opções de sistema de ficheiros e partições
A escolha do sistema de ficheiros
Depois de ter sido criada a partição de instalação, o programa Setup pede ao instalador do sistema que
escolha o tipo de sistema de ficheiros que pretende instalar na partição. As opções são: NTFS, FAT 32 e
FAT.
14-12
Em síntese breve, a opção pelo sistema NTFS permite: a) estabelecimento de mecanismos de segurança ao
nível de pastas e ficheiros; b) compressão de discos; c) encriptação de ficheiros, d) estabelecimento de disk
quotas, isto é, do espaço que cada utilizador é autorizado a utilizar em disco, para além de todo um sistema
de segurança e de mecanismos de gestão de redes empresariais que só poderão ser devidamente
implementados com o sistema de ficheiros NTFS.
A opção pelos sistema FAT ou FAT 32 justifica-se quando se pretende criar um sistema dual-boot que
permita arrancar com diferentes sistemas operativos.
Opções sobre partições
Na instalação do sistema operativo, são disponibilizadas várias opções para a criação da partição de
instalação. Essas opções dependem das características do disco onde o sistema operativo vai ser instalado
e são sumariamente descritas em seguida.
Os requisitos mínimos para a capacidade da partição de instalação do Windows 2000 Professional é de 650
MG. No entanto, o tamanho recomendado é de, pelo menos 1 GB ou mesmo superior. O facto de o sistema
operativo ser instalado numa partição com maior capacidade, permite que essa partição possa no futuro vir a
acomodar com maior facilidade algumas extensões do sistema operativo.
• Inexistência de partições no disco. Se no disco não existirem partições, o programa de Setup

permite definir a dimensão e criar a partição para o Windows 2000;
14-13
• Existência de partições e de áreas sem partição. Neste caso é possível utilizar a área do
disco não particionada para criar a partição do Windows 2000.
• Instalação sobre uma partição existente. O Windows 2000 pode ser instalado sobre uma
partição existente, desde que essa partição tenha a capacidade necessária. No entanto, se
este for o processo utilizado, o conteúdo anterior da partição é destruído.
• Destruir partições existentes para criar uma nova partição. O disco pode conter partições
que podem ser eliminadas para criar uma nova partição para instalar o Windows 2000.
Nota
Durante a instalação do Windows, o programa de Setup pode ser utilizado para criar outras partições.
No entanto, a prática recomendada é a de utilizar apenas o programa Setup para criar e dimensionar a
partição de instalação do Windows.
Depois de o Windows ter sido instalado, deve utilizar-se o utilitário Disk Management para criar novas
partições no disco.
14-14
C - Os métodos de instalação
Instalação a partir das disquetes de configuração
O Windows é distribuído com um CD-Rom e quatro disquetes de instalação. As disquetes de instalação

possuem uma dupla funcionalidade: são utilizadas para instalar o Windows em sistemas que não possuem o
sistema de Bootable CD (sistema que permite o arranque do computador através de um CD-Rom) e iniciar o
computador quando existe uma falha de sistema que impossibilita iniciar o sistema operativo. Neste último
caso será necessário recorrer à disquete de recuperação do sistema. A disquete de recuperação de
emergência (ERD) do sistema pode ser criada através do utilitário Cópia de Segurança no menu
Ferramentas do sistema.
As disquetes de instalação podem ser criadas com os utilitários MakeBoot.exe e MakeBoot32.exe, que se
encontram na pasta \BootDisk do CD-Rom de instalação. O programa MakeBoot.exe é uma aplicação DOS
que pode ser executada nos sistemas MS-DOS, Windows 3.11 e Windows 9.x. O ficheiro MakeBoot.exe é
um programa 32-bits de criação de disquetes de arranque para os sistemas Windows NT e Windows 2000.
Para instalar o Windows com as disquetes de configuração execute os seguintes passos:
1. Desligue o computador.
2. Introduza a primeira disquete de configuração na drive.
3. Ligue novamente o computador
Durante o processo de inicialização do programa de Setup a barra ao fundo do ecrã indique quais os
componentes da disquete que estão no momento a ser carregados para a memória. Após este processo
inicial é apresentado o ecrã de boas vindas e são apresentadas as opções de instalação, actualização ou
restauração do sistema operativo.
Após a escolha das opções de instalação do sistema operativo o CD-Rom de instalação do Windows deve
ser introduzido na drive de CR-ROM, para que possam ser copiados os restantes ficheiros do sistema
operativo.
Instalação a partir do CD
A instalação de um CD-Rom envolve a utilização no arranque do computador. A BIOS do computador tem

de suportar a funcionalidade Bootable CD-Rom que permite que o computado seja iniciado com base no CD-
Rom. Para iniciar a instalação desta forma introduza o CD do Windows 2000 na drive de cd e desligue o
computador. Ao voltar a ligar o computador o programa de instalação do Windows é iniciado
automaticamente.
Nota:
Embora o sistema possa suportar a funcionalidade Bootable CD, pode ser necessário activar esta
funcionalidade na BIOS do sistema. Consulte o manual do computador para efectuar as alterações
necessárias.
A instalação do Windows 2000 através de um CD-ROM pode ser dividida em quatro etapas distintas. Essas
etapas são referidas em seguida e acompanhadas de uma descrição sumária:
Execução do programa Setup
14-15
Esta fase da instalação destina-se a preparar o disco para as etapas seguintes do processo de
instalação. É igualmente nesta fase que são copiados para o disco os ficheiros necessários do Setup
wizard que irão ser necessários nas etapas seguintes da instalação.
O Setup wizard
O setup wizard tem por função recolher a informação sobre o computador, informações de
configuração, nomes, passwords, etc.
Instalação dos componentes de rede

A recolha de informações sobre a rede é a fase que se segue à recolha de informações sobre o
computador. Nesta fase, são instalados os componentes necessários para que o computador possa
funcionar em rede.
Instalação dos componentes finais

A fase final de instalação do Windows 2000 é a fase em que o programa de instalação instala um
conjunto final de componentes necessários para a configuração do computador.
Instalação a partir de um servidor da rede
Em que consiste a instalação a partir de um servidor de rede
A instalação do Windows através da rede consiste em utilizar um servidor na rede (designado por distribution
server) que contenha os ficheiros de instalação do Windows 2000 Professional. Esses ficheiros de instalação
são copiados do CD-ROM do Windows 2000 para uma pasta especial criada no distribution server.
Os ficheiros Winnt.exe e Winnt32.exe, existentes na pasta especial criada no distribution server, são
invocados a partir do computador cliente (também designado por target computer) para desencadear o
processo de instalação do Windows.
14-16
As fases de preparação para uma instalação em rede
A criação de um distribution server
O distribution server é o computador servidor que contém a estrutura das pastas com os ficheiros
necessários para a instalação do Windows.
O processo de criação de um distribution server pode descrever-se do seguinte modo:
• Criar no distribution server uma pasta com o nome W2000P
• Copiar para essa pasta o conteúdo da pasta i386 do CD-ROM do Windows.
• Criar uma subpasta com a designação $OEMS$ na pasta W2000P
Nota
O processo de instalação do Windows 2000 Professional através da rede pode ser feito
simultaneamente em mais do que um computador, utilizando várias pastas de distribuição (por
exemplo W2000P1, W2000P2, etc.) e/ou utilizando mais do que um distribution server.
14-17
14-18
A criação de uma partição FAT no computador de instalação
O computador onde vai ser instalado o Windows, necessita de uma partição FAT para onde serão copiados
os ficheiros de instalação. Essa partição deverá ter um mínimo de 650 MB embora a capacidade
recomendada seja de 1 GB.
A necessidade de software network client
Para que o computador cliente (aquele onde vai ser instalado o Windows) possa contactar através da rede o
computador distribution server, necessita de ter instalado o software cliente necessário para o
estabelecimento da conexão.
Se o computador não tiver sistema operativo, torna-se necessário arrancar com um disco que possua o
software cliente necessário para estabelecer a conexão com o servidor.
14-19
14-20
A instalação através da rede
O processo de instalação do Windows através da rede pode ser descrito através dos seguintes passos:
1. Iniciar o target computer através do software cliente;

2. Estabelecer a conexão com o distribution server e aceder à pasta partilhada contendo os ficheiros de
instalação do Windows 2000 Professional;
3. Executar o programa residente na pasta partilhada, programa esse que inicia o programa de Setup.
Esse programa pode ser:
Winnt.exe. Este programa deve ser executado quando o source system for o Windows 3.x;
Winnt32.exe. Este programa deve ser executado quando o source system for o Windows 95, 98, NT
(4 ou 3.5), 2000 ou 2003;
Esse programa:
Cria a pasta temporária $Win_nt$.~ls no target computer;
Copia os ficheiros de instalação do Windows da pasta partilhada no distribution server para a pasta
$Win_nt$.~ls no target computer;
O programa de Setup reinicializa o target computer e inicia a instalação do Windows 2000

Professional. A partir deste ponto, o processo de instalação do sistema operativo é idêntico ao
processo que seguido na instalação através do CD-ROM.
14-21
14-22
14-23
D -As fases de instalação

A execução do programa de configuração
Durante esta primeira etapa, a instalação pode ser iniciada através do CD-ROM do Windows, (no caso de o
computador suportar o arranque a partir da unidade de CD-ROM).
Nota
O Windows 2000 contém disquetes que podem ser utilizadas para a fase inicial de instalação do
sistema operativo, no caso de o computador onde o sistema for instalado não ser um sistema que
permita o arranque a partir do CD-ROM.
Esta etapa do processo de instalação do Windows 2000, pode ser dividida nos seguintes passos:
Inicialização do programa de Setup

Nesta fase verifica-se a instalação na memória de uma versão mínima do sistema operativo Windows
2000. Esta versão mínima é carregada durante o boot do sistema e inicia o programa Setup.
Aceitação da licença
Segue-se uma fase em text mode através da qual o programa de Setup leva a que o utilizador decida
se aceita as condições de licenciamento do programa.
Criação da partição
Neste passo deverá escolher-se o tipo de partição onde instalar o Windows. Existem várias
alternativas:
• Criar uma nova partição numa zona do disco não particionada;

• Seleccionar uma das partições existentes e destruir o seu conteúdo para instalar o Windows;
• Reorganizar as partições do disco para criar uma nova partição para instalação do Windows.
Escolha do sistema de ficheiros e formatação da partição

Depois de escolher a partição, é necessário seleccionar o sistema de ficheiros a instalar e permitir ao
programa de Setup a formatação da partição com o sistema de ficheiros seleccionado.
Cópia de ficheiros e gravação de configurações

Depois de executar a formatação da partição, o Setup copia alguns ficheiros para o disco e guarda as
informações de configuração.
Reinicialização do computador
Esta primeira etapa de instalação do Windows, culmina com a reinicialização do sistema e o
automático arranque com o programa Setup wizard.
14-24
O Setup Wizard
A execução do programa Setup wizard constitui a segunda etapa do processo de instalação do Windows.
Durante esta fase, o programa recolhe do utilizador o seguinte tipo de informação:
Número de série
Também designado por product key é o código que acompanha o CD do produto.
Regional settings
São as opções de configuração regional geralmente presentes em todos os sistemas Windows. O
programa Setup wizard permite a configuração para múltiplas linguagens e settings regionais.
Nome e Organização
Consiste no nome do utilizador e da Organização para os quais o produto está licenciado.
Computer name
Durante esta fase é necessário dar um nome ao computador. O nome terá de ser diferente do de
qualquer outro computador, workgroup ou domínio existente na rede.
Password da conta de administrador
O programa Setup wizard cria um account de Administrator durante a fase de instalação. Nesta etapa
é solicitado ao instalador que indique a password para a conta de administrador do computador. O
titular da password de administrador pode fazer o logon no computador como administrador e possuirá
privilégios de administrador no sistema local.
Informações sobre o modem e ligações
Se o computador tiver um modem instalado, serão solicitadas informações sobre as opções de ligação
através de modem.
Informações sobre data e hora

O programa irá solicitar ou confirmar informações relacionadas com time zone, data e hora, etc.
A instalação dos componentes de rede
A terceira etapa consiste na instalação dos componentes de rede do computador, após a recolha nas etapas
anteriores da informação acerca do computador e do utilizador.
A etapa de instalação dos componentes de rede é composta pelas seguintes fases:
Detecção e configuração da placa de rede

O programa de instalação Setup wizard encarrega-se de detectar e configurar a placa de rede
eventualmente instalada no computador.
Escolha dos componentes de rede

O programa de instalação solicita ao utilizador a informação sobre se deve utilizar configurações
standard ou configurações costumizadas para os seguintes componentes de rede:
14-25
Client for Microsoft Networks

Sob esta designação agrupam-se os componentes de rede que permitem ao computador aceder
aos recursos disponibilizados em outros computadores da rede.
File and Print Sharing for Microsoft Networks

Sob esta designação agrupam-se os componentes os componentes que permitem a outros
computadores da rede aceder aos recursos partilhados neste computador (isto é, no computador
onde o Windows está a ser instalado).
TCP/IP
O sistema de protocolos TCP/IP constitui actualmente o standard atravé do qual os computadores
comunicam através de redes locais, redes de área alargada e da própria Internet.
Para além destes podem ser instalados outros protocolos após a instalação do sistema
operativo.
Ligação a um workgroup ou a um domain

A ligação a um workgroup ou a um domínio pode ser feita durante a fase de instalação do sistema
operativo. No caso de ligação a um domínio, se foi criado um computer account para o computador, o
Setup wizard pede o nome e a password.
Instalação dos componentes

A fase final desta etapa consiste na instalação e configuração dos componentes de rede
seleccionados.
Instalação dos componentes finais
A quarta etapa do processo de instalação do sistema operativo é constituída pelas seguintes fases:
•
Instalação dos itens do menu Start

Nesta fase são instalados os atalhos que permitem criar os itens que vão aparecer no menu Start.
Registo de componentes
Trata-se da aplicação das opções de configuração escolhidas durante a fase de instalação.
Gravação das configurações

As configurações são gravadas no disco de forma a poderem ser automaticamente utilizadas da
próxima vez que o sistema operativo for iniciado.
Remoção de ficheiros temporários

Durante a instalação são criados ficheiros auxiliares temporários, ficheiros esses que são removidos
do disco nesta fase.
Reinicialização do computador
14-26
Depois de completar as fases anteriores, o programa de Setup reinicializa o computador.
No final desta quarta etapa fica finalizado o processo de instalação do Windows 2000 através de um CD-
ROM, quer se trate de uma instalação stand-alone quer se trate de uma instalação como cliente de uma
rede.
Integração em workgroups e domínios
Uma rede Windows (ou Windows NT) pode ser criada como um workgroup ou como um domain (domínio).
Um workgroup corresponde ao conceito de rede peer-to-peer. Todos os computadores actuam como pares,
podendo aceder a serviços prestados por outros computadores da rede e partilhar recursos com os outros
computadores.
Um domínio é um modelo que exige a inclusão de computadores com Windows Server e corresponde ao
modelo de cliente/servidor.
Workgroups
Um workgroup é uma agrupamento lógico de computadores numa rede. Os workgroups são em regra
criados para que os computadores participantes nesse workgroup possam partilhar recursos, tais como
pastas, ficheiros e outros dispositivos.
Num workgroup o modelo de segurança é descentralizado e cada computador contém a sua própria
base de dados local de segurança. Essa base de dados define quem tem acesso a esse computador, a que
recursos pode aceder, e as condições em que pode aceder a esse recursos (se necessita de password, se
tem acesso apenas para leitura ou para leitura e escrita, etc.).
Para que um utilizador local ou um utilizador remoto possa aceder a um computador tem de ter um
account na base de dados de segurança desse computador.
14-27
O tipo de segurança descentralizado utilizado em workgroups é igualmente designado por share-level

security e baseia-se fundamentalmente na criação de passwords.
Embora sejam fáceis de implementar, os workgroups podem tornar-se difíceis de gerir, uma vez que é
necessário definir o sistema de segurança em cada computador. São sistemas de organização ideais para
grupos de trabalho que não envolvam mais de 10 computadores e em que cada utilizador possa definir e
criar o modelo de partilha de recursos no seu próprio computador.
Domínios
O que é um domínio
Um domínio é um sistema de segurança implementado em redes de computadores com Windows NT ou

Windows Server.
Os computadores que pertencem a um mesmo domínio partilham uma base de dados de segurança que
contém as contas de utilizadores, as passwords e outras informações de segurança.
Uma rede baseada em domínios torna possível a administração centralizada dos recursos da rede, tornando
possível um simples logon (significando que os utilizadores necessitam apenas de um simples logon para
aceder a qualquer recurso da rede para o qual tenham a necessária permissão de acesso).
Elementos de um domínio
Um domínio de uma rede Windows pode ser composta pelos seguintes tipos de computadores:
Domain controllers
Os domain controllers contêm a base de dados de informação de directório para o domínio. No caso
dos sistemas baseados em Windows NT Server essa base de dados é designada por SAM (Security
14-28
Account Manager), em Sistemas Windows 2000 Server essa informação está integrada na Active
Directory. Num domínio pode existir mais do que um domain controller. Os domain controllers trocam
periodicamente informação entre si para que as respectivas bases de dados de informação se
mantenham actualizadas. Esse processo é designado por replication.
Member servers
Os member servers são computadores Windows Server que fazem parte do domínio mas que não
foram configurados como domain controllers. Estes servidores podem ser utilizados para executar
aplicações servidor como, por exemplo, SQL Server ou Web Servers. No entanto, não podem ser
utilizados como servidores de autenticação como os domain controllers.
Clientes
Os clientes, também designados por workstations fazem parte do domínio mas actuam como
computadores clientes que acedem aos recursos proporcionados pelos servidores do domínio.
Os limites dos domínios
Um domínio é uma construção lógica de software que não depende da configuração dos computadores
numa rede.
Um domínio não está limitado a uma rede local. Por exemplo, uma organização pode ter redes em vários
pontos do mundo e vários ou todos os computadores pertencerem ao mesmo domínio.
Inversamente, num mesmo local e numa mesma rede pode existir vários domínios diferentes.
Ligação a um workgroup
14-29
Quando se instala o sistema operativo Windows, pode optar-se por ligar o computador a um workgroup. Este
processo é designado por joining a workgroup.
Neste processo, pode acontecer que se pretenda ligar o computador a um workgroup já existente e, neste
caso, será necessário fornecer o nome desse grupo, durante a instalação.
Todavia, é possível atribuir, durante a instalação, o nome de um novo workgroup, workgroup esse que será
criado durante a instalação.
14-30
Ligação a um domínio
A ligação a um domínio pode ser feita durante a instalação do sistema operativo Windows 2000
Professional/XP ou após a instalação.
Para estabelecer a ligação a um domínio (joining a domain) durante o processo de instalação, são
necessários os seguintes requisitos:
O nome de domínio (domain name)

O nome DNS (Domain Name System) tem de ser fornecido durante a fase de instalação. O nome do
domínio pode ser, por exemplo abc.com.
Um computer account
Cada computador pertencente a um domínio necessita de um computer account nesse domínio. Por
esse motivo, durante a instalação pode proceder-se de duas formas:
• Se quem instala o sistema possui privilégios de administrador nesse domínio, pode criar o
computer account durante a instalação, fornecendo o user name e a password que lhe dão o
privilégio de criar computer accounts em domínios;
• Se o instalador não possuir esse privilégio de administrador, deverá providenciar para que o
administrador de domínio crie um computer account antes da instalação.
Domain controller e DNS server

Para que se possa juntar um computador Windows 2000 Professional/XP a um domínio é necessário
que durante a instalação, esteja online um domain controller e um servidor (designado por DNS
Server) executando o serviço DNS.
14-31

Windows Server Admin Ferramentas

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Windows Server Admin Ferramentas

Uploaded by

Copyright:

Available Formats

INSTITUTO DE TECNOLOGIAS AVANÇADAS PARA A FORMAÇÃO LDA.

Pedro Ramos Brandão

Unidade 1 – Ferramentas de administração no Windows Server 2000 e 2003.

Objectivos pedagógicos da unidade:

 Conhecer e saber utilizar a MMC- Microsoft Managment Console.

A - Utilização da MMC – Microsoft Management Console

Microsoft Management Console

O que são consoles

A figura seguinte apresenta a imagem de uma console.

O que são snap-ins

O sistema operativo Windows XP Professional contém um conjunto de snap-ins standard. O Windows

Para adicionar um snap-in, pode utilizar os seguintes procedimentos:

1.Clique no botão Start e escolha Run;

3.O MMC apresenta a janela de uma console vazia.

4.No menu Console escolha Add/Remove snap-in;

A caixa Add/Remove snap-in é apresentada.

Na caixa Add/Remove snap-in, clique no botão Add;

A caixa Add Standalone snap-in é apresentada.

6. Na caixa Computer Management marque a opção Local computer e clique no botãoFinish;

7. Clique no botão Close da caixa Add Standalone snap-in;

8. Clique no botão OK da caixa Add/Remove snap-in;

Na janela da Console surge o snap-in Computer Managment (Local).

O que são as Console Options

Como aceder às Options da Console

User mode: Full access

User mode:Multiple Windows

User mode:Single Window

Guardar uma consola

Observe que o nome Primeira Consola aparece na barra de título da janela.

Encerre a janela Primeira Consola;

B - Utilização do Task Scheduler

O que é o Task Scheduler

Tarefas que podem ser executadas com o Task Scheduler

• Alterar as especificações de programação de execução de uma tarefa.

• Interromper a execução de uma tarefa iniciada pelo Task Scheduler.

Como iniciar o Task Scheduler

Activar o menu Start, escolher Settings e, em seguida, Control Panel.

Na janela Control Panel, executar um duplo clique em Scheduled Tasks.

A janela Scheduled Tasks é apresentada.

Criar uma Scheduled Task

Na caixa seguinte, execute um clique em Finish.

Remover uma Scheduled Task

Vamos descrever os procedimentos para remover uma scheduled task.

Na caixa Confirm File Delete, clique no botão Yes.

Poderá observar que a task é removida da janela Scheduled Tasks.

Tarefas que podem ser executadas com o Task Scheduler

• Alterar as especificações de programação de execução de uma tarefa.

• Interromper a execução de uma tarefa iniciada pelo Task Scheduler.

C – Definir configurações de sistema

A caixa Display Properties

Como aceder à caixa Display Properties

2. Na caixa Display Properties, seleccione o separador Settings.

Opções de configuração no separador Settings

Em Screen area é definida a resolução utilizada pelo adaptador do monitor.

O separador Advanced da caixa System Properties

Se seleccionar Applications são atribuídos maiores recursos de processador às aplicações em execução,

Se seleccionar Background services, os recursos do processador são equitativamente repartidos pelas

O conceito de memória virtual

No Windows podem considerar-se dois conceitos de memória:

Descrição genérica do funcionamento do VMM (Virtual Memory Manager)

Quando a capacidade da memória física se esgota, e um determinado processo necessita de aceder a

O que são as environment variables

Existem dois tipos fundamentais de environment variables:

Conhecer e saber utilizar a MMC- Microsoft Managment Console.

Determinar se o hardware do computador está a funcionar correctamente.

Instale o novo hardware seguindo as instruções do fabricante.

Seleccione a opção adicionar dispositivo e execute um clique no botão Seguinte.

No separador Controlador, da janela Propriedades, seleccione a opção Actualizar controlador.

Escolha a opção procurar um controlador adequado para o dispositivo.

Conforme a localização do controlador marque a opção desejada e execute um clique no botão

Clique em Seguinte para finalizar a actualização.

Escolha a opção Desactivar, do menu Acção.

Conhecer as tarefas básicas de preparação de discos.

Saber o que é e para que serve o serviço Active Directory (AD)