Mostrando postagens com marcador Windows Server 2012. Mostrar todas as postagens

sexta-feira, 12 de maio de 2017

Solução para o Ataque cibernético em sistema da Microsoft

Descrição
Essa vulnerabilidade permiti a execução remota de código se um invasor enviar mensagens especialmente criadas para um servidor Microsoft Server Message Block 1.0 (SMBv1). A tática mais praticada atualmente é o sequestro de dados, o invasor invade a máquina criptógrafa os dados do usuário e pede resgate. Vide image de uma máquina de um cliente que teve seus dados sequestrado


Resumo da ópera
A Microsoft já tinha detectado essa vulnerabilidade e disponibilizou uma a atualização de segurança na terça-feira, 14 de março de 2017. Se o seu computador estiver configurado, que é o padrão, para atualizar automaticamente você pode ficar despreocupado, você não corre o risco de perder os seus dados.

Essa vulnerabilidade teve uma grande repercussão nas redes corporativa porque geralmente, essas empresas têm seus próprios servidores de distribuição de atualizações; mas antes de distribuir uma atualização nas máquinas do seu parque, elas primeiro homologam essa atualização antes de distribuir, e algumas delas demora muito durante essa homologação. Essa demora para aplicar a atualização de segurança foi fundamental para o atacante ter sucesso.

Como evitar o ataque?

Se sua máquina estiver configurada para atualizar automaticamente, fique tranquilo. Se não, atualize imediatamente. Para verificar se o seu computador recebeu essa atualização de segurança, abra o Prompt de Comandos (CMD.exe) e digite: WMIC QFE | FIND "Número_do_KB"

 Vide exemplo em uma máquina com o Windows 10
Se retornar em branco, sem nenhum resultado, isso é porque o KB não foi instalado em sua máquina

No Microsoft  Windows 7, o KB é KB4012212 e no Windows 8, o KB é 4012213, Windows XP KB 4012598,  Windows Server 2008 o KB 4012598, Server 2012r2 o KB é 4012213, esses são os KBs responsáveis pela sua segurança ;)

Patches (KBs)
Se você não aplicou a correção, abaixo disponibilizamos os Links com suas respectivas patchs de correção dessa falha:


 Outra forma e desabilitar o protocolos SMB
Para habilitar ou desabilitar os protocolos SMB em uma máquina com Windows 7, Windows Server 2008 R2, Windows Vista ou Windows Server 2008:

1. Abrir o Windows PowerShell;

2. Para desabilitar o SMBv1, executar o seguinte cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

3. Para desabilitar o SMBv2 e SMBv3, executar o seguinte cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

  • Se você quiser ativar novamente o SMBv1 é só executar o seguinte cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force

  • Para habilitar o SMBv2 e SMBv3 no servidor SMB, execute o seguinte cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force


Fui infectado e agora?
Bom, nesse caso você só tem duas opção: 1. Senta e chora, antes de formatar sua máquina e a 2. Se você tiver $$ pague o resgate do seus dados.


Nome e detalhes do log coletado no Symantec
[SID: 23875] OS Attack: Microsoft SMB MS17-010 Disclosure Attempt attack blocked. Traffic has been blocked for this application: SYSTEM

By às Nenhum comentário: Marcadores: , , , ,

quinta-feira, 16 de fevereiro de 2017

Atualização do Powershell no Windows Server 2012

Caso você precise atualizar o PowerShell no Windows Server 2012, faça o download e instalar o pacote WMF 5.1
Sistema operacional
Pré-requisitos
Pacote
Windows Server 2012 R2
Win8.1AndW2K12R2-KB3191564-x64.msu
Windows Server 2012
W2K12-KB3191565-x64.msu

Instalação  WMF 5.1

       1. Depois de ter baixado o pacote, abra o Prompt de Comando (Executar como Administrador);
       2. Navegar para o diretório no qual você baixou ou copiou o pacote do WMF 5.1;
       3. Execute um dos seguintes comandos:
  • Se for Windows Server 2012 R2 ou Windows 8.1 x64: Win8.1AndW2K12R2-KB3191564-x64.msu / quiet
  • Se for Windows Server 2012: W2K12-KB3191565-x64.msu / quiet
  • Se for Windows 8.1 x86: Win8.1-KB3191564-x86.msu / quiet

By às 2 comentários: Marcadores: ,

quarta-feira, 17 de fevereiro de 2016

Maximum capacity of RAM Windows Server 2012

Limites de memória física: Windows Server 2012

A tabela a seguir especifica os limites de memória física para o Windows Server 2012. Windows Server 2012 somente está disponível nas edições x64.
VersãoLimite para X64
Windows Server 2012 Datacenter
4 TB
Windows Server 2012 Padrão
4 TB
Windows Server 2012 Essentials
64 GB
Windows Server 2012 Foundation
32 GB
Windows Storage Server 2012 Workgroup
32 GB
Windows Storage Server 2012 Padrão
4 TB
Hyper-V Server 2012
4 TB
By às Nenhum comentário: Marcadores:

quinta-feira, 19 de março de 2015

Como Exportar/Listar computadores/Hosts do Domínio/Active Directory via PowerShell

A seguir, vamos mostrar como realizar a listagem e exportação de máquinas do Active Directory para um arquivo CSV.

Você pode se perguntar por que não exportar diretamente do AD. Bem, eu te respondo: é possível exportar mais de 10.000 objetos do AD? Não, não é possível listar mais de 10.000 objetos no AD. Se você tentar fazer isso, receberá uma mensagem informando que o número de objetos encontrados excede o valor máximo permitido e será solicitado o uso de critérios de pesquisa mais específicos.

Existem várias formas de contornar esse problema, mas uma solução simples e funcional é utilizar scripts do PowerShell. Abaixo, você encontrará alguns exemplos para listar ou exportar máquinas no AD.

Observação: 
Caso você não consiga executar os comandos abaixo no PowerShell, provavelmente o módulo do ActiveDirectory não está ativado em sua máquina. Siga as orientações nos vídeos abaixo de acordo com o tipo do seu sistema operacional.

Para listar todos os computadores do AD, basta executar o seguinte comando no PowerShell:
Get-ADComputer -Filter *

Para listar computadores utilizando filtros, você pode usar o seguinte comando para listar todos os computadores cujos nomes comecem com "MI":
Get-ADComputer -Filter {Name -like "MI*"}

Se você deseja exportar todos os computadores do AD para um arquivo CSV, juntamente com algumas informações adicionais, como sistema operacional e versão do sistema operacional, você pode usar o seguinte comando:
Get-ADComputer -Filter * -Property Name, OperatingSystem, OperatingSystemServicePack, OperatingSystemVersion | Export-CSV MAQUINS_AD_MI.CSV -NoTypeInformation -Encoding UTF8

Se preferir, você também pode aplicar um filtro por nome ou tipo de sistema operacional. Aqui está um exemplo de exportação para CSV filtrando pelo nome "MI":
Get-ADComputer -Filter {Name -like "MI*"} -Property Name, OperatingSystem, OperatingSystemServicePack, OperatingSystemVersion | Export-CSV MAQUINS_AD_MI.CSV -NoTypeInformation -Encoding UTF8

Caso queira assistir a um vídeo que explica como exportar ou listar computadores/hosts do domínio usando o PowerShell, você pode procurar no YouTube por "Como Exportar/Listar computadores/Hosts do Domínio/Active Directory via PowerShell"


By às Marcadores: , , , ,

quinta-feira, 26 de fevereiro de 2015

Possíveis Soluções para tela azul - wininit-0xF4-BSOD-WIN7_DRIVER_FAULT-ntfs.sys-

Tentativa 1 - Restaurar o arquivo Wininit.exe:

1.   Iniciar a máquina com a mídia de instalação do Windows ou com o DVD Multi-boot(escolher a opção Bart-Pe);
2.   Entrar no console de recuperação;
3.   Abrir o CMD;
4.   Navegar até a pasta %windir%\system32 e renomear o arquivo Wininit.exe para Wininit.exe_old
5.   Navegar até a pasta %windir%\winsxs e escreva no prompt: dir Wininit.exe /s localizar o arquivo Wininit.exe e copiar o arquivo para a pasta %windir%\system32
Exe: copy Wininit.exe %windir%\system32
6.   Reiniciar o sistema;

Tentativa 2 - Restaurar o arquivo Ntfs.sys

1.   Iniciar a máquina com a mídia de instalação do Windows ou com o DVD Multi-Boot(escolher a opção Bart-Pe);
2.   Entrar no console de recuperação(se for com a mídia de Instalação do Windows);
3.   Abrir o CMD(se for com a DVD Multi-Boot);
4.   Navegar até a pasta %windir%\system32\drivers e renomear o arquivo ntfs.sys para ntfs.sys_old
5.   Navegar até a pasta %windir%\winsxs e escreva no prompt: dir ntfs.sys /s localizar o arquivo Ntfs.sys;
6.   Copiar o arquivo para a pasta %windir%\system32\drivers
Exe: copy ntfs.sys %windir%\system32\drivers
7.   Reiniciar o sistema;

Tentativa 3 - CHKDSK para Verificar integridade do sistema

1.   Iniciar a máquina com a mídia de instalação do Windows ou com o DVD Multi-Boot(escolher a opção Bart-Pe);
2.   Entrar no console de recuperação(se for com a mídia de Instalação do Windows);
3.   Abrir o CMD (se for com a DVD Multi-Boot);
4. Navegar para a unidade que o SO está instalado e executar o comando abaixo:
CHKDSK /F/R
Obs: chkdsk /r  - Localiza setores defeituosos no disco rígido e tenta repará-los.
chkdsk /f Corrige erros, lógicos, do disco.

Tentativa 4 - DISM (Ferramenta de Gerenciamento e Manutenção de Imagens de Implantação)

1. Iniciar a máquina com a mídia de instalação do Windows;
2. Entrar no console de recuperação;
3. Abrir o prompt de comando;
4. Digitar o seguinte comando:  dism.exe /image:C:\ /cleanup-image /revertpendingactions

Lembrando que a unidade C: representa o local de instalação do SO
By às Marcadores: , , , , , ,

quinta-feira, 22 de janeiro de 2015

Novos Atalhos de teclado para o Windows 10

Os atalhos de teclado são combinações de duas ou mais teclas que, quando pressionadas, podem ser usadas para executar uma ou mais tarefa que normalmente exigiria um mouse ou um dispositivo apontador. Os atalhos de teclado podem facilitar a interação com o computador, permitindo que você poupe tempo e esforço ao trabalhar com o Windows e outros programas.


Descubra os Novos Atalhos de teclado para o Windows 10, Windows 8 e o Windows Server 2012

Tecla
Funcionalidade
Tecla de logotipo do Windows +barra de espaço
Alterna o idioma de entrada e o layout do teclado
Tecla de logotipo do Windows +O
Bloqueia a orientação do dispositivo
Tecla de logotipo do Windows +Y
Exibe temporariamente a área de trabalho
Tecla de logotipo do Windows +V
Alterna entre as notificações
Tecla de logotipo do Windows +Shift+V
Alterna entre as notificações na ordem inversa
Tecla de logotipo do Windows +Enter
Abre o Narrador
Tecla de logotipo do Windows +PgUp
Move aplicativos do Windows para o monitor no lado esquerdo
Tecla de logotipo do Windows +PgDown
Move aplicativos do Windows para o monitor no lado direito
Tecla de logotipo do Windows +Shift+ ponto (.)
Move a medianiz para a esquerda (ajusta um aplicativo)
Tecla de logotipo do Windows + ponto (.)
Move a medianiz para a direita (ajusta um aplicativo)
Tecla de logotipo do Windows +C
Abre a barra do charms
Tecla de logotipo do Windows +I
Abre o painel de Configurações
Tecla de logotipo do Windows +K
Abre o painel de Dispositivos
Tecla de logotipo do Windows +H
Abre o painel Compartilhar
Tecla de logotipo do Windows +Q
Abre o painel Pesquisar
Tecla de logotipo do Windows +W
Abre o aplicativo de Pesquisa de Configurações
Tecla de logotipo do Windows +F
Abre o aplicativo de Pesquisa de Arquivos
Tecla de logotipo do Windows +Tab
Alterna entre aplicativos do Windows
Tecla de logotipo do Windows +Shift+Tab
Alterna entre aplicativos do Windows em ordem inversa
Tecla de logotipo do Windows +Ctrl+Tab
Altera entre aplicativos do Windows e os ajusta conforme eles são alternados
Tecla de logotipo do Windows +Z
Abre a barra de aplicativos


By às Nenhum comentário: Marcadores: , , , ,

segunda-feira, 27 de outubro de 2014

Vulnerabilidade no Microsoft OLE pode permitir a execução remota de código

A Vulnerabilidade
Recentemente a Microsoft anunciou uma vulnerabilidade que afeta todas as versões Windows, com exceção do Windows Server 2003. A vulnerabilidade permite a execução de códigos remotamente se um determinado usuário abrir algum arquivo do Microsoft Office que contenha objeto OLE. O invasor terá total controle do seu sistema.

Fatores que potencializam a Vulnerabilidade
Os clientes mais vulneráveis são aqueles que utilizam contas com privilégios administrativos (membros do grupo administradores). Clientes que não fazem uso de privilégios administrativos correm menos riscos do que aqueles que operam com direitos administrativos. Nos clientes com menos privilégios, o Controle de Conta de Usuário (UAC) está ativado; com isso, será solicitada uma autenticação de alguma conta com privilégios administrativos para que o invasor tenha êxito.
 
Como ocorro o ataque
O invasor cria um site e disponibiliza algum arquivo do Office com objetos OLE, criado especialmente para tentar explorar essa vulnerabilidade. O invasor não tem como forçar os usuários a visitar esse site. Ele terá que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em algum link em uma mensagem de e-mail, ou utilizando algum outro artifício que leve o usuário ao site do invasor.
Arquivos da Internet e de outras localidades potencialmente inseguras podem conter vírus, worms ou outros tipos de malwares que podem danificar seu computador. Para ajudar a proteger o seu computador, os arquivos desses locais potencialmente inseguros são abertos no Modo de Exibição Protegido. Usando Modo de Exibição Protegido, você pode ler um arquivo e ver o seu conteúdo, reduzindo os riscos. Modo de Exibição Protegido está habilitado por padrão.

Como se proteger
Até o momento a Microsoft não anunciou nenhuma atualização para corrigir esse problema. O que será apresentado abaixo são alguns comportamentos seguros, uma solução de contorno que ajuda a bloquear algumas das brechas exploradas pelos invasores
  • Não abra arquivos do Microsoft PowerPoint ou outros arquivos a partir de fontes não confiáveis. 
Evite abrir arquivos que tenha recebido por email de fontes não confiáveis. Essa vulnerabilidade pode ser explorada quando o usuário abre um arquivo criado especialmente com objetos OLE.
 
  • Ative o Controle da Conta de Usuário (UAC)
O UAC vai ajudar a impedir alterações não autorizadas no seu computador. Assim, você será notificado sempre que ocorrer alguma alteração no seu computador que exijam elevação de privilégios do administrador.


Ativar o UAC
  1. Clique no botão Iniciar e em Painel de Controle;
  2. Na caixa de pesquisa, digite uac e clique em Alterar configurações de Controle de Conta de Usuário;
  3. Agora ative o UAC movendo o controle deslizante para escolher quando deseja ser notificado e clique em OK.

Texto adaptado do site: Microsoft

By às Nenhum comentário: Marcadores: , , , , , , , , , ,