S2B [PROGRAM]

MICROSOFT STUDENTS TO
BUSINESS
INFRA-ESTRUTURA

RFS2B

POR:

RAFAEL BROD DECKER

FELIPE VAN SCHAIK WILLIG

PORTO ALEGRE, 15 DE JUNHO DE 2009

1. ESTRUTURA

O projeto desenvolvido contempla uma empresa setorizada que possui

uma sede na cidade de Porto Alegre-RS e uma filial em Canoas-RS. A empresa é
composta de um servidor controlador de domínio central, localizado na sede (matriz) e
um servidor controlador de domínio localizado na filial da empresa, estes utilizando o
sistema operacional Windows Server 2008 Enterprise. As estações de trabalho utilizarão
o sistema operacional Windows XP, sendo controladas pelo servidor da filial.

Os servidores operam em faixas de IP (Internet Protocol) distintas:

• Rede da matriz: 192.168.1/24

• Rede da filial: 192.168.10/24

Cada servidor possui duas interfaces de rede. Na matriz uma interface é

para interligar o servidor com a internet (INTERNET), configurada como DHCP
(Dynamic Host Configuration Protocol) para receber IP automaticamente do modem. A
segunda interface (LOCAL) é destinada a controlar a rede local e a interligação com a
filial, para isso, possui dois IPs estáticos: 192.168.1.1 e 192.168.10.2.

Na filial a primeira interface é destinada a interligar o servidor da filial

com o da matriz (MATRIZ), com o IP estático: 192.168.1.2. A segunda interface é
destinada para controlar a rede local (LOCAL), com o IP estático: 192.168.10.1.

Os endereços IPs das estações de trabalhos são distribuídos pelo DHCP

instalado no servidor da filial. As configurações do DHCP são:

• Inicio dos endereços: 192.168.10.3

• Final dos endereços: 192.168.10.254
• Gateway: 192.168.10.1

É importante salientar que propositalmente os IPs começam a ser

distribuídos a partir do IP 192.168.10.3 (invés de 192.168.10.1) para que não ocorra de
o DHCP distribuir os IPs que já estão atribuídos para os servidores (192.168.10.1 e
192.168.10.2), isentando assim, possíveis conflitos de IPs.

2
 A empresa é dividida nos seguintes setores: Almoxarifado, Contabilidade
e Vendas. Neste projeto foram criados dois usuários fictícios para cada setor no servidor
da filial. Abaixo segue uma imagem ilustrando os grupos e os usuários.

Em toda empresa é essencial padronização e organização. Para uma

padronização dos usuários, os logins são: Nome . Último Sobrenome. Como por
exemplo: o funcionário Rafael Brod Decker usaria o login: rafael.decker.

Abaixo segue um diagrama da estrutura física da empresa:

3
2. ROTEAMENTO DE INTERNET

Para que a internet seja compartilhada com todos, é necessário fazer um

roteamento através da ferramenta RRAS (Routing and Remote Acess).

Inicialmente a internet está configurada somente no servidor da matriz,

para que a filial também possua acesso à internet, é preciso configurar um NAT através
do RRAS. Uma configuração de NAT (Network Address Translation) foi aplicada no
servidor da matriz para que a internet fosse compartilhada com a filial, porém as
estações de trabalho ainda estavam sem internet, para contornar este problema, o mesmo
procedimento foi feito no servidor da filial para que ele pudesse compartilhar a internet
com as estações de trabalho interligadas a ele.

3. POLÍTICAS DE GRUPOS

As políticas de grupos ou Group Policy Object (Objeto de Política de

Grupo) são muito importantes, pois através delas podem ser esquematizados planos de
segurança, liberando ou restringindo acesso a recursos em estações de trabalho,
facilitando o gerenciamento do parque de estações de empresa.

As políticas de grupos neste projeto foram implementadas em dois níveis:

políticas corporativas e políticas regionais. As políticas corporativas são as políticas que
toda a floresta da corporação irá executar, ou seja, uma política global de toda a
empresa. As políticas regionais contemplam as filiais, onde cada filial pode ter uma
política restrita somente a ela.

Abaixo segue as listas das configurações feitas nas duas políticas de

grupos:

Política corporativa:

• Proibir acesso ao painel de controle (interessante para que o usuário não

desconfigure o computador);
• Proibir desabilitar interfaces de rede (na época da internet 56k, após a conexão
com o provedor de internet um ícone de uns “computadorzinhos” aparecia ao
lado do relógio, informado que a internet estava conectada. Para efetuar a
desconexão, era necessário desabilitar os “computadorzinhos”. Em virtude disso,
usuários mais antigos possuem mania de desconectar os “computadorzinhos” do
lado do relógio, achando que é a internet apenas, causando grandes transtornos
para os administradores.);

4
 • Proibir acesso às configurações das interfaces de rede (proíbe que os usuários
desconfigurem as placas de redes);
• Forçar menu iniciar clássico (usuários mais habituados com este menu);
• Adicionar o botão logoff no menu iniciar (facilitar a troca de funcionário ao
computador);
• Atualização automática ativada para fazer o download automático das
atualizações e avisar quando elas estiverem prontas para serem instaladas;
• Redirecionar atualizações para o WSUS do servidor da matriz;
• Bloquear barra de tarefas (evitar que o usuário troque a barra de tarefas de
lugar);
• Não mostrar toolbars na barra de tarefas;
• Proibir acesso ao prompt de comando (evitar que usuários mais experientes
tenham acesso a recursos administrativos do Windows);
• Proibir acesso ao registro do Windows (evitar que usuários mais experientes
editem o registro do Windows);
• Remover o botão bloquear computador das opções ctrl+alt+Del (forçar usuário
fazer logoff quando não estiver no computador, em caso de bloqueio do
computador na ausência do usuário logado, é necessário reiniciar o computador,
porque para desbloquear a cessão (Windows XP) somente mediante senha do
usuário logado);
• Remover o botão gerenciamento de tarefas das opções ctrl+alt+Del (evitar que
usuários finalizem processos importantes);
• Proibir mudança de configurações de cores no Internet Explorer;
• Proibir mudança de configurações de fontes no Internet Explorer;
• Proibir mudança de página inicial no Internet Explorer (configurado com a
página da empresa);
• Proibir mudança de linguagem no Internet Explorer;
• Proibir acesso ao menu opções de internet no Internet Explorer (evitar que
usuários desconfigurem o Internet Explorer);
• Proibir a execução do Windows Messenger.

Política regional:

Importante salientar que neste projeto cada setor possui uma política
regional.

• Configurar papel de parede (interessante para avisos a um determinado setor,

podendo modificar o papel de parede que todos do setor ficarão avisados, e
também para padronização);
• Redirecionar as pastas Desktop e Meus Documentos para o servidor (segurança
dos arquivos. Os usuários podem fazer logon em qualquer computador da filial
que seus arquivos estarão a sua disposição).

5
 As imagens a seguir ilustram as GPO’s corporativas e regionais, nos
servidores da matriz e da filial respectivamente.

Os perfis dos usuários são armazenados no servidor da filial (desktop e

meus documentos), conforme seus setores. A imagem abaixo ilustra a estrutura do
armazenamento dos perfis.

Para um maior controle e pela disponibilidade limitada de espaço em

disco, quotas por usuários e restrições de tipos de arquivos a serem salvos nesses
diretórios foram configuradas.

As quotas são limitadas para cada perfil em 50MB, do tipo hard, ou seja,
bloqueia a transferência de arquivos imediatamente após estourar o limite da quota. Para
as configurações de tipos de arquivos, foi definido que arquivos de áudio e vídeo são
proibidos de serem salvos nesses diretórios. As figuras a seguir ilustram o sistema de
quotas e o de restrições de tipos de arquivos respectivamente.

6
4. IIS (INTERNET INFORMATION SERVICES)

Na era da informação é muito importante empresas se manterem online,

para isso é interessantíssimo que a empresa possua um SITE e um FTP (File Transfer
Protocol).

Para este projeto foi desenvolvido um esboço de site, apenas com a página
inicial de uma intranet e um logotipo animado da empresa. O site da empresa está
hospedado no servidor da matriz da empresa e configurado para receber conexões na
porta padrão, a porta 80.

A imagem a seguir ilustra o site da empresa.

7
 Um servidor de FTP foi configurado também no servidor da matriz,
operando na porta padrão, porta 21, e configurado para aceitar conexões anônimas com
permissão “somente leitura”.

A estrutura de arquivos do FTP está configurada por setores, contendo

também uma pasta “público”. Todos usuários possuem acesso de leitura ao servidor.
Para permissões de escrita é preciso ser integrante do grupo FTP no servidor da matriz.

A imagem a seguir ilustra as permissões de FTP.

8
5. DFS (DISTRIBUTED FILE SYSTEM)

O DFS possibilita o administrador agrupar pastas compartilhadas

localizadas em diferentes servidores em uma única estrutura lógica.

O controlador de DFS neste projeto é o servidor da filial, onde o nome do

compartilhamento que agrupa os demais compartilhamentos é “SHAREDFOLDERS”.
Como exemplo, foi adicionado três compartilhamentos: A pasta “Wallpaper” localizada
no servidor da filial; A pasta “Publico”, localizada no servidor da matriz e a pasta
“Projetos”, localizada também no servidor da matriz.

A figura a seguir ilustra como está configurado o DFS no servidor da

filial.

6. WSUS (WINDOWS SERVER UPDATE SERVICES)

O serviço de atualização Windows Server é bastante importante, é uma

forma de se manter o parque de computadores atualizados, inviabilizando assim futuros
problemas de segurança, hoje, ponto crucial em qualquer empresa. Outro aspecto
importante é na economia de largura de banda de internet, pois as atualizações são
baixadas apenas uma vez.

Neste projeto o WSUS foi instalado no servidor da matriz, utilizando uma

porta alternativa 8530 (porta padrão 80) devido o uso da porta padrão pelo site da
empresa. A sincronização com o site do Windows Update está configurada para todos
os dias a meia noite.

A figura a seguir ilustra a interface do WSUS.

9
7. MBSA (MICROSOFT BASELINE SECURITY ANALYZER)

Devido a problemas com a internet durante esta etapa do projeto, não pôde
ser realizado com devido êxito, além do mais, a ferramenta disponibilizada para efetuar
esta tarefa estava desatualizada e não era compatível com o Windows Server 2008. Para
fim de concluir todas as etapas do projeto, segue em anexo o arquivo “MBSA-
Relatório.pdf” com o relatório feito pelo MBSA já atualizado, porém com
indisponibilidade de tempo para efetuar as mudanças criticadas no relatório.

10