Jean Carlos Bormanieri :: Website

Após a implantação do Forefront, analisando os logs de eventos do Windows, pude identificar que as seguintes mensagens de erros ocorriam todos os dias de madrugada:

Verificando o evento de Error para obter maiores detalhes:

Após fazer uma pesquisa encontrei um post que explica essa situação.

Aparentemente, a conta que está levantando o SQL Server e está executando o pakage do DTS não está tendo acesso ao diretório necessário. Para corrigir isso fazer o seguinte:

1. Abrir o SQL Server Management Studio
2. Conectar a seu servidor
3. Expandir Management->Legacy->Data Transformation Services
4. Botão direito em  ‘Microsoft Forefront Client Security’ e escolher ‘Open’
5. Clicar no menu ‘Package’ e escolher ‘Properties’
6. Navegar até a aba ‘Global Variables’ e verificar o valor do campo ‘ScriptFileDirectory’.
7. Agora abra este diretório usando o Windows Explorer e atribua direitos de leitura e gravação para a conta que esta subindo os serviços do SQL Server (no meu caso o NETWORK SERVICE) neste diretório
8. Pronto, o problema esta corrigido.
9. Para forçar a execução da tarefa, volte ao SQL Server Management Studio
10. Expandir SQL Server  Agent -> Jobs
11. Clicar com o botão direito em Microsoft Forefront Client Security e escolher Start Job at Step

A ferramenta Microsoft Forefront Client Security é a solução Microsoft para proteção contra vírus e spywares. Ela provê uma administração centralizada do ambiente, facilitando assim o trabalho dos administradores de rede.

Estou participando de um grande projeto de implantação dessa tecnologia  e estou estudando a fundo esta ferramenta. Já trabalhei com outras soluções de antivírus corporativo, dentre elas, Trend, Kaspersky e Symantec. Definitivamente, não existe uma solução perfeita. Cada uma delas tem seus pontos fortes e fracos e cabe a você identificar qual a melhor solução para seu ambiente. Em se tratando do Forefront (FCS) a grande vantagem é de ser um produto Microsoft, e como outros produtos da empresa, foca muito a integração entre todos os produtos. Você receberá as atualizações através do seu servidor WSUS, você fará seu deployment através de GPOs criadas pela console do FCS, etc.. Soma-se a isso o fato de contar com uma grande quantidade de documentação disponível, marca registrada dos produtos Microsoft.

Estarei montando uma série de posts aqui neste site informando algumas dúvidas pelas quais passei ao implantar essa ferramenta e as alternativas para corrigi-las.

Como primeiro caso, vou tratar de resolver um problema que na minha concepção é uma falha extremamente grave. Infelizmente, nativamente, a ferramenta não possue nenhum mecanismo que impeça os usuários que possuem privilégios de administradores de pararem os serviços do FCS, ficando desta maneira desprotegidos. Outras soluções de Antivírus permitem que o administrador da rede configure uma senha para isso e somente com essa senha o usuário pode parar a proteção em sua máquina.
Sabemos que os usuários são leigos e muitos, ao perceberem que seu equipamento fica lento, acabam culpando o antivírus pela lentidão e então fecham a aplicação.

Para corrigir essa situação, podemos criar uma GPO que impeça os usuários de parar os serviços do FCS. Para isso:

01: Em um servidor abra a ferramenta Group Policy Management.

02:  Edite uma GPO aplicada a seus usuários (no meu caso a Default Domain Policy, porém você pode criar uma nova). Para isso, clique com o botão direito em cima da GPO e selecione Edit

03: Agora navegue até o caminho Computer Configuration \ Windows Settings \ Security Settings \ System Services

04: Agora para cada um dos 3 serviços do FCS (Microsoft Forefront Client Security Antimalware  Service, Microsoft Forefront Client SecurityManagement Service e Microsoft Forefront Client Security State Assessment Service) clique duas vezes no serviço. Habilite a opção Define this policy setting e marque a opção Automatic. Clique no botão Edit Security e selecione o grupo Administrators (que é o grupo de administradores locais). Desmarque a permissão de Start, stop and pause para este grupo. Adicionalmente, como boa prática, você pode incluir um determinado grupo com privilégios de poder fazer essas alterações, no meu caso, incluí o grupo JEANBLU\Domain Admins. Após isso confirme as alterações clicando duas vezes no botão OK.

05: Após fazer essas mudanças nos três serviços, como podemos observar na imagem abaixo, a segurança para esses três serviços foi definida. Agora, após a GPO ser aplicada nas estações (você pode forçar isso executando o comando gpupdate /force) os usuários não poderão mais parar os serviços do FCS.

06: Desta maneira, os usuários ainda poderão fechar o aplicativo que fica no systray do windows, mas mesmo assim eles continuarão protegidos.

Ontem fiz a prova 70-648. Fui muito bem e gabaritei ela (1000 pontos).

Essa prova é na verdade composta de 2 sub-provas. Na primeira parte, são 27 questões e na segunda foram 30. Essa prova é uma espécie de junção das provas 70-640 e 70-642, tanto que após passar nelas você ganha o título de Techology Specialist em Active Directory e Technology Specialist em Network Infraestructure.

Comentários sobre a prova:

Eu achei extremamente fácil, nem parece uma prova de upgrade de um sistema operacional server. Surpreendemente não houveram questões relacionadas a DNS, porém caiu muitas perguntas RRAS. Achei estranho também cair tantas perguntas relacionadas a DHCP.
Outro tópico bastante abordado foi o de backup. Das roles novas do Windows 2008, sugiro estudar profundamente NAP e ADFS.
Sugiro também a vocês montarem um ambiente de testes para implementarem soluções de IPSEC, pois é um tópico que também é muito abordado no exame. Adicionalmente, monte uma infraestrutura de PKI com o ADCS.

Próximo passo:

A próxima prova que irei fazer será a 70-646 (Pro: Windows Server 2008, Server Administrator). Com essa prova receberei o título de MCITP – Server Administrator