Implante e configure as Melhores Práticas de Domain Controller

Os administradores de TI têm trabalhado com e em torno do Active Directory desde a introdução da tecnologia no Windows 2000 Server. O Windows 2000 Server foi lançado em 17 de fevereiro de 2000, mas muitos administradores começaram a trabalhar com o Active Directory no final de 1999, quando foi lançado para fabricação (RTM) em 15 de dezembro de 1999.

Existem algumas boas práticas a seguir ao implementar DCs. Muitas dessas práticas estão documentadas. Mas nem muitas organizações estão implementando essas práticas.

Como implantar e configurar o o controlador de domínio

Vamos ignorar as boas práticas bem conhecidas, como manter o banco de dados do Active Directory em um conjunto de fusos de disco, os arquivos de log em fusos de disco separados e o sistema operacional em seu próprio conjunto de fusos de disco.

Algumas das boas práticas menos implementadas para controladores de domínio são:

Execute a instalação do Server Core do sistema operacional.

Muitos administradores evitam mudanças, especialmente para sistemas como o AD DS que são incrivelmente estáveis. Então, quando um novo administrador propõe a mudança para a instalação do Server Core, muitas vezes ele é recebido com olhares gélidos. Mas a realidade é que a maioria dos administradores gerencia o AD DS remotamente, iniciando o ADUC ou o PowerShell em seu computador cliente ou computador administrativo. Todas as ferramentas principais de gerenciamento, incluindo o Active Directory Administrative Center (ADAC) e o Windows PowerShell, funcionam quase identicamente quando usadas localmente em um DC ou remotamente de um computador cliente ou um computador administrativo. Assim, ao migrar para a instalação do Server Core, a experiência administrativa não é degradada. E, você obtém melhorias de segurança e algumas pequenas melhorias de desempenho.

Não execute outros softwares ou serviços em um DC.

Há cerca de 10 anos atrás, a maioria das organizações utilizava servidores físicos porque a virtualização ainda estava nos seus primórdios. Então, quando chegava a hora de provisionar um novo servidor de arquivos, servidor DHCP ou servidor de impressão, os administradores frequentemente recorriam a um servidor existente. Um DC também era frequentemente utilizado. Avançando rapidamente para 2015, quando a virtualização é o padrão de facto e o provisionamento automatizado ajuda a entregar uma nova VM em minutos, a antiga maneira de fazer as coisas já não é tão atraente. Agora, quando você precisa de um local para um servidor de arquivos, servidor DHCP, servidor de impressão ou algum outro servidor de aplicação, você pode provisionar uma nova VM. Ou, melhor ainda, você pode provisionar uma nova VM como um servidor de utilidades. Um servidor de utilidades é um servidor que hospeda todas as aplicações e serviços que são pequenos demais para justificar um servidor dedicado. Isso permite que seus DCs se mantenham com um serviço dedicado, o que traz mais estabilidade.

Ajuste a ordem de inicialização e defina uma senha BIOS.

Embora todos os seus DCs de leitura e escrita devam estar em um centro de dados seguro, há muitas pessoas de TI e não-TI que têm acesso ao centro de dados. Por exemplo, os eletricistas contratados que trabalham no sistema de refrigeração têm acesso ao centro de dados. Além disso, é provável que haja técnicos de rede, técnicos de cabeamento e gestão de TI com acesso ao centro de dados. Qualquer pessoa que tenha acesso físico a um DC pode obter acesso a um DC físico em apenas alguns minutos em um console no centro de dados. Existem imagens de boot freeware especializadas disponíveis que você pode usar para inicializar e redefinir senhas, instalar malware ou obter acesso aos dados do disco, assumindo que o disco não esteja criptografado. Para evitar isso, realize as seguintes configurações:

• Certifique-se de que nenhum dispositivo de mídia removível faça parte da ordem de inicialização do BIOS. Em vez disso, apenas o disco rígido onde o sistema operacional está instalado deve fazer parte da ordem de inicialização. Isso também é válido para seus servidores de host de virtualização, se você tiver controladores de domínio virtuais.
• Defina uma senha forte para o BIOS. Se você não definir uma senha para o BIOS, alguém pode atualizar a ordem de inicialização, iniciar a partir da mídia de instalação do Windows Server ou de muitos kits de ferramentas gratuitos, realizar um reparo para acessar o prompt de comando. Uma vez no prompt de comando, podem causar alguns estragos e redefinir rapidamente as senhas das contas de domínio.
• Mantenha os DCs em um armário trancado. Embora uma senha de BIOS seja uma camada de segurança, se o atacante for minimamente capaz, ele ou ela provavelmente saberá como redefinir o BIOS para que a configuração seja reiniciada e a senha removida. Muitas vezes, isso exige acesso à placa-mãe. Você pode reduzir o risco de um ataque desse tipo mantendo os DCs em um armário trancado. Alguns servidores também permitem travas de chassi. Em ambientes de alta segurança, você deve optar por ambos.

Padronize a configuração de todos os controladores de domínio.

Você deve tentar igualar as configurações de cada DC. Pode realizar parte disso utilizando automação de construção por meio de ferramentas de implantação como o System Center Configuration Manager. Itens de interesse para os DCs são as configurações de tamanho do log de eventos para garantir que você tenha tamanhos grandes para capturar informações de auditoria e segurança, configurações de inicialização como o tempo de espera pela seleção do SO em servidores físicos, versões e configurações de firmware e BIOS, e configuração de hardware. Claro, existem muitos outros itens de configuração para padronizar usando Group Policy. O objetivo principal é configurar os DCs de forma idêntica.

Mais informações sobre os fundamentos do Active Directory podem ser encontradas em nosso AD tutorial for beginners.