Please enable JavaScript.
Coggle requires JavaScript to display documents.
000201 - CONFIGURAR POLÍTICAS DE CONTA E AUTENTICAÇÃO DE SERVIÇO (PROTEÇÃO…
000201 - CONFIGURAR POLÍTICAS DE CONTA E AUTENTICAÇÃO DE SERVIÇO
PROTEÇÃO DOS CONTROLADORES DE DOMÍNIO
IMPLEMENTAÇÃO DA AUTENTICAÇÃO SEGURA
PROTEGER SENHAS E CONTAS DE USUÁRIOS
PROTEGER GRUPOS COM PERMISSÕES ELEVADAS
AUDITAR ALTERAÇÕES CRÍTICAS DE OBJETO
IMPLANTAR AUTENTICAÇÃO SEGURA
PROTEGER ATIVIDADES DE REDE
ESTABELECER PROCESSOS DE LIMPEZA E DESPROVISIONAMENTO
PROTEGER COMPUTADORES CLIENTES
PROTEÇÃO DE ACESSO FÍSICO AOS CONTROLADORES DE DOMÍNIO
RODC (Read Only Domain Controler)
IDEAL PARA FILIAIS | LOCAIS SEM SEGURANÇA FÍSICA
NÃO GRAVÁVEL
SENHA EM CACHE DE UM GRUPO ESPECÍFICO
POSSUI 'GRUPO LOCAL ADMIN'
NÃO PODE SER MESTRE OPERAÇÕES
RECOMENDA APENAS 1 RODC POR SITE E DOMINIO
SEGURANÇA DE CONTA
POLÍTICA DE SENHA SÓ PODE SER APLICADA EM NÍVEL DE DOMINIO
POLITICA SENHA REFINADA (PSO - PASSWORD SETTING OBJECT)
NÃO SE APLICA A OU
APLICA-SE USUARIOS OU GRUPOS
POWERSHELL
New-ADFineGrainedPasswordPolicy
Add-FineGrainedPasswordPolicySubject
NEW=ADFINEGRAINEDPASSWORDPOLICY TestPswd -ComplexityEnabled:$true -LockoutDuration:"00:30:00" -LockoutObservationWindows:"00:30:00" -LockoutThreshold:"0" -MaxPasswordAge:"42:00:00" -MinPasswordAge:"1" -ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true
Add-ADFineGrainedPasswordPolicySubject TestPws -Subjects0 Marketing
CENTRO ADMINISTRATIVO DO AD
USUÁRIOS PROTEGIDOS
NÃO NECESSITA WIN2012R2, PORÉM, DEVE TER EXISTIDO UM NO DOMÍNIO.
WIN8.1 OU >
2012R2 OU >
GRUPO DE SEGURANÇA
IMPEDE ARMAZENAR EM CACHE CREDENCIAS
http://aka.ms/R5bfid
CONTAS DE SERVIÇO GERENCIADO
MSA (Managed Service Accounts)
CARACTERISTICAS COMPUTADOR (CONTROLA PRÓPRIA SENHA)
CARACTERISTICA DE USUARIO, AUTENTICAÇÃO E CONTEXTO DE SEGURANÇA
NÃO PODE SER USADA CLUSTER NEM TAREFAS AGENDADAS AUTÔNOMAS
NIVEL FUNCIONAL 2008 R2 OU >
RODAR COMANDO: Add-KDSRootKey EffectiveTime ((Get-Date).AddHours(-10))
MSA DE GRUPO
MESMA VANTAGEM QUE MSA, PORÉM, PODE SER UTILIZADO EM DIVERSOS HOSTS
REQUISITOS
PELO MENOS 1 DC 2012 OU >
WIN8 OU >
CRIAR CHAVE DE RAIZ DE KDS: Add-dsRootKey -EffectiveImmediately
New-ADServiceAccount -Name LondonSQLFarm -PrincipalsAllowedToRetrieveManagedPassword LON-SQL1, LON-SQL2, LON-SQL3
Install-ADServiceAccount