Issuu on Google+

Novidades do AppLocker Atualizado: janeiro de 2009 Aplica-se a: Windows 7, Windows Server 2008 R2 Quais são as principais alterações? O AppLocker™ é um novo recurso nos sistemas operacionais Windows® 7 e Windows Server® 2008 R2 que substitui o recurso Diretivas de Restrição de Software. O AppLocker contém novos recursos e extensões que reduzem a sobrecarga administrativa e ajudam administradores a controlar como os usuários podem acessar e usar arquivos, por exemplo, arquivos .exe, scripts, arquivos do Windows Installer (.msi e .msp) e DLLs. O que o AppLocker faz? Com o AppLocker, é possível: Definir regras com base em atributos do arquivo derivados da assinatura digital, incluindo fornecedor, nome do produto, nome do arquivo e versão do arquivo. Por exemplo, você pode criar regras com base nos atributos de fornecedor e versão do arquivo que sejam persistentes durante as atualizações ou criar regras que se destinem a uma versão específica do arquivo. Importante As regras do AppLocker especificam que arquivos estão autorizados a executar. Arquivos que não estejam incluídos nelas, não têm permissão para executar. Atribuir uma função a um grupo de segurança ou a um usuário individual. Observação Você não pode atribuir as regras do AppLocker a zonas da Internet, computadores individuais ou caminhos do registro. Criar exceções para arquivos .exe. Por exemplo, você pode criar uma regra que permita a execução de todos os processos do Windows, exceto o Regedit.exe. Usar o modo Auditoria apenas para identificar arquivos que não possam ser executados enquanto a diretiva for válida.


Importar e exportar regras. Quem se interessará por esse recurso? O AppLocker é útil para organizações que desejam: Limitar a quantidade e os tipos de arquivos com permissão para executar, evitando a execução de software mal-intencionado e restringindo a instalação de controles ActiveX. Reduzir o custo total de propriedade assegurando a homogeneidade entre as estações de trabalho da empresa e a dos usuários que executam exclusivamente software e aplicativos aprovados pela empresa. Reduzir a possibilidade de vazamentos de informações em software não autorizado. O AppLocker também pode ser de interesse para organizações que atualmente usam os Objetos de Diretiva de Grupo (GPOs) para gerenciar computadores com base no Windows ou ter instalações de aplicativos por usuário. Existe alguma consideração específica? Por padrão, as regras do AppLocker não permitem que usuários abram ou executem arquivos que não estejam especificamente autorizados. Os administradores devem manter uma lista atualizada dos aplicativos permitidos. Inicialmente, espere um aumento no número de chamadas de assistência técnica devido aos aplicativos bloqueados. À medida que os usuários compreenderem que não podem executar aplicativos para os quais não estejam autorizados, essas chamadas diminuirão. +Há uma degradação de desempenho mínima devido às verificações do tempo de execução. Como o AppLocker é similar ao mecanismo Diretiva de Grupo, os administradores devem saber como criar e implantar Diretivas de Grupo. As regras do AppLocker não podem ser usadas para gerenciar computadores que executem um sistema operacional anterior ao Windows 7. Se as regras do AppLocker forem definidas em um GPO, somente essas regras serão aplicadas. Para assegurar a interoperabilidade entre as


regras das Diretivas de Restrição de Software e as do AppLocker, use GPOs diferentes ao definir regras para tais Diretivas e para o AppLocker. Uma regra do AppLocker não será aplicada se estiver definida como Auditoria apenas. Quando um usuário executar um aplicativo incluído nela, este abrirá e executará normalmente e suas informações serão adicionadas ao log de eventos do AppLocker. Que edições incluem o AppLocker? O AppLocker está disponível em todas as edições do Windows Server 2008 R2 e em algumas edições do Windows 7. Novidades na Biometria Atualizado: janeiro de 2009 Aplica-se a: Windows 7, Windows Server 2008 R2 Para maior comodidade, o Windows® 7 permite que administradores e usuários usem dispositivos biométricos de impressão digital para fazer logon em computadores, conceder privilégios de elevação por meio do UAC (Controle de Conta de Usuário) e executar gerenciamento básico de dispositivos de impressão digital. Os administradores podem gerenciar dispositivos biométricos de impressão digital nas configurações da Diretiva de Grupo, permitindo, limitando ou bloqueando seu uso. Novidades na biometria Um número crescente de computadores, especialmente computadores portáteis, possuem leitores de impressão digital incorporados. Os leitores de impressão digital podem ser usados para identificação e autenticação de usuários no Windows. Até hoje, não há suporte padrão para dispositivos biométricos ou para aplicativos habilitados para biometria no Windows. Os fabricantes de computador têm que fornecer software para oferecer suporte a dispositivos biométricos em seus produtos. Isso torna mais difícil o uso desses dispositivos pelos usuários, bem como o gerenciamento pelos administradores. O Windows 7 inclui o Windows Biometric Framework, que expõe os leitores de impressão digital e outros dispositivos biométricos a aplicativos de nível mais elevado de uma maneira uniforme, além de oferecer uma experiência consistente ao usuário na detecção e inicialização de aplicativos de impressão digital. Isso acontece porque ele fornece os seguintes recursos:


Um item do Painel de Controle de Dispositivos Biométricos que permite aos usuários controlar a disponibilidade de dispositivos biométricos e se eles podem ser usados para fazer logon em um computador local ou domínio. Suporte ao Gerenciador de Dispositivos para gerenciamento de drivers de dispositivos biométricos. Suporte ao provedor de credenciais para permitir e configurar o uso de dados biométricos para fazer logo em um computador local e executar a elevação UAC. Configurações da Diretiva de Grupo para habilitar, desabilitar ou limitar o uso de dados biométricos em um um domínio ou computador local. As configurações da Diretiva de Grupo também podem impedir a instalação de softwares de driver de dispositivos biométricos ou fazer com que esse tipo de software seja desinstalado. Software de driver de dispositivo biométrico disponível no Windows Update. Quem desejará usar os dispositivos biométricos? Os dispositivos biométricos de impressão digital oferecem um modo conveniente para os usuários fazerem logon em computadores e conceder elevação por meio do UAC. Quais são os benefícios dos novos recursos biométricos? Os novos recursos biométricos fornecem um modo consistente de implementar aplicativos habilitados para biometria de impressão digital e gerenciar dispositivos biométricos em computadores autônomos ou em uma rede. Com o Windows Biometric Framework, os usuários têm mais facilidade para usar os dispositivos biométricos e os administradores mais facilidade para configurá-los e controlá-los em um computador local ou em um domínio. Qual o impacto dessas alterações na biometria? A introdução do Windows Biometric Framework permite a integração de dispositivos biométricos de impressão digital no Windows. Ele oferece uma experiência consistente ao usuário para fazer logon no Windows e executar a elevação UAC. Além disso, ele fornece um conjunto comum de pontos de detecção e integração que permite uma experiência mais consistente ao usuário entre dispositivos e aplicativos. O Windows Biometric Framework também inclui funções de gerenciamento que permitem aos administradores


controlar a implantação de dispositivos biométricos de impressão digital na empresa. Novidades em Gerenciamento e Instalação de Dispositivos Publicado: abril de 2009 Aplica-se a: Windows Server 2008 R2 Quais são as principais alterações? O DMI (Gerenciamento e Instalação de Dispositivos) é uma coleção de recursos que ajudam profissionais de TI (tecnologia da informação) a gerenciar e configurar, de forma centralizada, as configurações de hardware e o driver de dispositivo dos computadores em suas redes. Em um ambiente de computação da empresa, é necessário o controle sobre como os usuários podem instalar e usar dispositivos conectados aos computadores. Os recursos descritos nesse tópico estão disponíveis no Windows® 7 e Windows Server® 2008 R2. Para obter mais informações sobre DMI no Windows Vista®, Windows 7, Windows Server® 2008 e Windows Server 2008 R2, consulte Gerenciamento e Instalação de Dispositivos (http://go.microsoft.com/fwlink/?linkid=143990 (essa página pode estar em inglês)) na Biblioteca Técnica do Windows Server. As alterações a seguir estão disponíveis no Windows 7 e Windows Server 2008 R2: Que nova funcionalidade este recurso oferece? Que funcionalidade atual está mudando? Quais configurações foram adicionadas ou alteradas? Quem estaria interessado nesses recursos? Essas mudanças para DMI serão interessantes para os departamentos de TI que já possuem ou desejam um repositório de drivers testados e aprovados para implantação em suas organizações, assim como para aqueles que desejam gerenciar a instalação de dispositivos permitidos usando a Diretiva de Grupo. Os grupos a seguir podem ter interesse nesses recursos: Gerentes de TI Administradores de área de trabalho Desenvolvedores de hardware e OEM


Que nova funcionalidade este recurso oferece? Esta seção descreve a seguinte nova funcionalidade fornecida por esse recurso: Pasta de Impressoras e Dispositivos e Device Stage. Software adicional disponível após a instalação do dispositivo. Pasta de Impressoras e Dispositivos e Device Stage A nova pasta Dispositivos e Impressoras exibe os dispositivos conectados externamente ao computador, inclusive dispositivos conectados à rede, com ou sem fio. Com a exibição de conteúdos da pasta, você pode ver quais dispositivos estão conectados, exibir detalhes sobre eles e realizar tarefas de configuração. Com a utilização da pasta Dispositivos e Impressoras, você pode adicionar facilmente impressoras e dispositivos de rede, com ou sem fio, ao seu computador. O Windows detectará automaticamente os dispositivos se eles forem detectáveis por Bluetooth, USB sem fio, Wi-Fi e conexões de rede com fio. O Windows pode baixar automaticamente informações atualizadas sobre os dispositivos conectados ao computador, inclusive imagens fotorrealísticas do dispositivo e tarefas adicionais que podem ser realizadas usando o dispositivo. O Device Stage é uma nova tecnologia do Windows 7 e Windows Server 2008 R2 que leva o gerenciamento de dispositivos um passo adiante. O Device Stage fornece uma página com a imagem do dispositivo, os detalhes sobre o seu status e os links a tarefas comuns do dispositivo. Para obter uma lista de dispositivos que oferecem suporte ao Device Stage, consulte Produtos Suportados pelo Device Stage (http://go.microsoft.com/fwlink/?linkid=147284 (essa página pode estar em inglês)). Os administradores podem controlar se os computadores podem baixar metadados adicionais sobre dispositivos da Internet, usando as configurações de Diretiva de Grupo descritas na seção Quais configurações foram adicionadas ou alteradas?. Por que essa alteração é importante? A pasta Dispositivos e Impressoras oferece aos usuários finais dispositivos fáceis de instalar, exibir e gerenciar no computador local. Ela combina vários recursos do Gerenciador de Dispositivos e outras ferramentas de


gerenciamento de dispositivos em uma interface única e fácil de usar. Ela também simplifica a configuração de dispositivos multifunção, como scanners/impressoras combinados, representando-os como um único dispositivos lógico. O Device Stage fornece aos usuários finais acesso mais fácil aos recursos individuais de um dispositivo. Software adicional disponível após a instalação do dispositivo Muitos drivers de dispositivo exigem software adicional para expor a funcionalidade total do dispositivo no Windows. Por exemplo, um scanner pode precisar de um software de OCR (reconhecimento óptico de caracteres), além do driver de dispositivo para realizar a função scan-to-text esperada pelo usuário. Fornecedores de drivers de dispositivo armazenados no Windows Update podem, agora, incluir informações sobre esse software adicional e, quando o usuário instalar o dispositivo, será exibida uma mensagem da Central de Ações do Windows, indicando que o software adicional está disponível para o dispositivo. Quando o usuário clicar na mensagem, uma mensagem fornecida pelo fornecedor será exibida contendo uma URL da Web, da qual o usuário poderá baixar software adicional. Os administradores podem controlar se a Central de Ações do Windows exibirá a mensagem sobre software adicional, usando as configurações de Diretiva de Grupo descritas na seção Quais configurações foram adicionadas ou alteradas?. Por que essa alteração é importante? Esse recurso fornece aos usuários uma maneira fácil de acessar todos os softwares exigidos para usar um dispositivo. Em vez de os usuários terem de pesquisar em um site da Web do fornecedor para descobrir se um software está disponível, uma caixa de diálogo com informações sobre o software disponível e um link que permite baixar imediatamente o software são exibidos aos usuários automaticamente. Que funcionalidade atual está mudando? Esta seção descreve as seguintes alterações em funcionalidades existentes: Alterações na ordem de pesquisa do driver de dispositivo e no assistente Novo Hardware Encontrado. Alterações nas configurações Restrições de Instalação de Dispositivo. Alterações na ordem de pesquisa do driver de dispositivo e no assistente Novo Hardware Encontrado


Quando o Windows detecta um novo dispositivo, ele procura em diversos locais pelo software de driver de dispositivo necessário para tornar o dispositivo operacional. No Windows 7 e Windows Server 2008 R2, a ordem padrão foi alterada para ajudar a garantir que os drivers mais atuais sejam encontrados e para fornecer um controle maior do administrador sobre quais drivers estão disponíveis para computadores clientes. Por padrão, a pesquisa é feita primeiramente no Windows Update para garantir que os drivers mais atuais estejam sendo usados. Se um driver adequado não for encontrado no Windows Update, a pesquisa será feita no armazenamento de driver interno e nos caminhos de rede especificados na chave do Registro DevicePath. Os administradores podem alterar essa ordem de pesquisa, usando as configurações da Diretiva de Grupo descritas na seção Quais configurações foram adicionadas ou alteradas?. Com o uso dessa configuração, a pesquisa no Windows Update poderá ser feita após a do armazenamento de driver e das pastas DevicePath, ou você poderá desabilitar o uso do Windows Update para pesquisas de driver de dispositivos. Além disso, o assistente Novo Hardware Encontrado não é mais usado. Isso significa menos cliques para o usuário e menos oportunidades de tomar decisões erradas que podem resultar no mal funcionamento de dispositivos. A elevação pelo Controle de Conta de Usuário não é mais necessária para drivers encontrados no Windows Update ou nas pastas DevicePath, reduzindo ainda mais a interação exigida pelo usuário. Por que essa alteração é importante? Esse recurso concede ao administrador mais controle sobre os drivers de dispositivo que são usados no ambiente de rede gerenciado. Enquanto recomendamos o uso do Windows Update para garantir que os drivers de dispositivos mais atuais estejam disponíveis aos usuários, nós reconhecemos que, em alguns ambientes, os drivers de dispositivo precisam ser testados para saber a conformidade com os requisitos de segurança e compatibilidade, e que somente drivers aprovados devem ser usados. A configuração da Diretiva de Grupo de ordem de pesquisa e a chave do Registro DevicePath ajudam a garantir que somente os drivers de dispositivo aprovados pelo administrador estejam disponíveis para a utilização dos computadores na rede. Alterações nas configurações Restrições de Instalação de Dispositivo As Restrições de Instalação de Dispositivo são configurações que podem ser usadas para permitir ou negar a instalação de dispositivos. No Windows 7 e


Windows Server 2008 R2, essas configurações operam de forma retroativa. Isto é, se a configuração proibir uma classe específica de dispositivo e um dispositivo dessa classe já estiver instalado no computador, o Windows desinstalará automaticamente o dispositivo e evitará a sua reinstalação. Se a remoção do driver de dispositivo exigir a reinicialização do computador, o administrador poderá especificar por quanto tempo o computador atrasará até que a reinicialização seja imposta. Os administradores podem configurar os dispositivos permitidos ou proibidos, usando as configurações da Diretiva de Grupo descritas na seção Quais configurações foram adicionadas ou alteradas?. Por que essa alteração é importante? Esse recurso concede ao administrador mais controle sobre dispositivos usados em computadores no ambiente de rede gerenciado. Isso ajuda a reduzir o risco de uso de dispositivos proibidos que foram instalados antes de as configurações de restrições de dispositivos serem implantadas. Quais configurações foram adicionadas ou alteradas? Configurações da Diretiva de Grupo As seguintes configurações da Diretiva de Grupo podem ser encontradas em: Local Computer Configuration\Administrative Templates\System\Device Installation

Nome da configuração

Descrição

Valores possíveis

Prevenção de recuperação de metadados da Internet

Novo. Evita que a pasta Dispositivos e Impressoras e o Device Stage baixem imagens personalizadas e informações sobre dispositivos da Internet.

Não configurado (padrão)

Evita a criação de um ponto de restauração do sistema durante a atividade do

Novo. Desabilita a criação de um ponto de recuperação do sistema quando um novo driver de dispositivo for instalado.

Não configurado (padrão)

Habilitado Desabilitado

Habilitado


dispositivo que, normalmente, estimula a criação de um ponto de recuperação

Evita que o Windows envie um relatório de erro quando um driver de dispositivo solicitar um software adicional durante a instalação

Isso pode reduzir significativamente a quantidade de tempo que ele leva para instalar um driver e reduz a perda de desempenho causada pela atividade de disco a partir da criação do ponto de recuperação. Novo. Evita que o Windows produza um erro que aparece na Central de Ações do Windows quando um instalador de driver de dispositivo for configurado para solicitar ao usuário a instalação de um software adicional. Se o software for necessário para corrigir a operação do dispositivo, você precisará fornecer um outro mecanismo para fornecer o software ao computador. Modificado. Nas versões anteriores do Windows, o comportamento padrão dessa configuração quando não estava definida é desabilitado: drivers autenticados pela Microsoft têm prioridade sobre outros drivers autenticados.

Priorize todos os drivers assinados digitalmente de forma igual durante No Windows 7 e Windows o ajuste do driver e o Server 2008 R2, o processo de seleção comportamento padrão dessa configuração quando não está definida é habilitado: todos os drivers autenticados são tratados igualmente na classificação do processo de seleção.

Desabilitado

Não configurado (padrão) Habilitado Desabilitado

Não configurado (padrão) Habilitado Desabilitado


Não configurado (padrão)

Especifica a ordem de pesquisa para localizações de origem de driver de dispositivo

Novo. Essa configuração define se a pesquisa do Windows Update ocorre antes ou depois do armazenamento de driver e das pastas DevicePath, ou se a pesquisa do Windows Update ocorre. O comportamento padrão do Windows 7 e do Windows Server 2008 R2 é pesquisar, primeiramente, no Windows Update.

Habilitado Se habilitado: o

Pesquisar no Windows Update primeiramente

o

Pesquisar no Windows Update por último

o

Não pesquisar no Windows Update

Desabilitado As seguintes configurações da Diretiva de Grupo podem ser encontradas em: Local Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions

Nome da configuração

Descrição

Atualizado. Esta configuração agora oferece suporte a uma nova caixa de Evitar a instalação seleção: Aplicar também a de dispositivos que dispositivos correspondam a correspondentes já qualquer destas instalados. Marcar essa identificações de caixa de seleção faz com que dispositivo dispositivos já instalados sejam desinstalados se eles corresponderem a um identificador na lista.

Valores possíveis Não configurado (padrão) Habilitado Se habilitado, você poderá marcar ou desmarcar a caixa de seleção. Se marcada, a caixa de seleção se aplicará apenas aos dispositivos já instalados.


Desabilitado

Atualizado. Esta configuração agora oferece suporte a uma nova caixa de Evita a instalação seleção: Aplicar também a de dispositivos dispositivos usando drivers que correspondentes já correspondam a instalados. Marcar essa essas classes de caixa de seleção faz com que instalação de dispositivos já instalados dispositivo. sejam desinstalados se o driver de dispositivo associado corresponder a um identificador na lista.

Novo. Se alguma das duas configurações anteriores desinstalou um driver de Tempo (em dispositivo e foi necessário segundos) para renicializar o computador, impor uma essa configuração renicialização especificará o atraso antes da necessária para reinicialização ser imposta, que a alteração da dando ao usuário a diretiva tenha efeito oportunidade de salvar qualquer alteração para abrir documentos.

Não configurado (padrão) Habilitado Se habilitado, você poderá marcar ou desmarcar a caixa de seleção. Se marcada, a caixa de seleção se aplicará apenas aos dispositivos já instalados. Desabilitado Não configurado (padrão) Habilitado Se habilitada, essa configuração oferecerá suporte a um valor inteiro representando o número de segundos. O valor padrão é 120. Desabilitado

Quais edições incluem esses recursos? Esses recursos estão disponíveis em todas as edições do Windows® 7 e do Windows Server® 2008 R2, exceto o Device Stage que não está disponível em nenhuma das versões do Windows. Além disso, as versões do Windows não oferecem suporte a funcionalidades relacionadas aos Dispositivos Portáteis do Windows. Referências adicionais


Para obter mais informações sobre Gerenciamento e Instalação de Dispositivos, consulte Gerenciamento e Instalação de Dispositivos (http://go.microsoft.com/fwlink/?linkid=143990 (essa página pode estar em inglês)). O que há de novo no Sistema de arquivos distribuído Publicado: julho de 2009 Aplica-se a: Windows Server 2008 R2 Quais são as principais alterações? Os namespaces DFS (sistema de arquivos distribuído) e a Replicação DFS oferecem acesso a arquivos, compartilhamento de carga e replicação amigável de WAN de forma simplificada e altamente disponível. No sistema operacional Windows Server® 2008 R2, a Microsoft adicionou vários recursos e aprimoramentos aos recursos existentes. As seguintes alterações nos namespaces DFS estão disponíveis no Windows Server 2008 R2: Suporte do Gerenciamento DFS para possibilitar a enumeração baseada em acesso Contadores de desempenho Aprimoramentos de desempenho para grandes namespaces Suporte para Gerenciamento DFS ativar seletivamente as indicações de raiz de namespace Texto da Ajuda do prompt de comando Dfsdiag.exe aprimorado As seguintes alterações na Replicação DFS estão disponíveis no Windows Server 2008 R2: Suporte para cluster de failover Pastas replicadas somente leitura Os controladores de domínio somente leitura têm pastas SYSVOL somente leitura Texto da Ajuda do prompt de comando Dfsdiag.exe aprimorado


Os tópicos da Ajuda do Gerenciamento DFS são atualizados com informações sobre os novos recursos e a maioria dos tópicos inclui aprimoramentos. Para obter mais informações, consulte Gerenciamento DFS (a página pode estar em inglês) (http://go.microsoft.com/fwlink/?LinkId=155073) no Microsoft TechNet. Quando apropriadas, as alterações também são feitas na versão Windows Server 2008 Para obter mais informações, consulte Gerenciamento DFS no Microsoft TechNet. Quem se interessará por esse recurso? Esses recursos interessam aos administradores de redes de grande porte que desejam organizar e aumentar a disponibilidade de pastas compartilhadas criando um namespace e aqueles que desejam manter com eficiência pastas sincronizadas entre servidores com o uso da Replicação DFS. Que nova funcionalidade é oferecida pelos Namespaces DFS? As seguintes alterações nos Namespaces DFS estão disponíveis no Windows Server 2008 R2: Suporte do Gerenciamento DFS para possibilitar a enumeração baseada em acesso Contadores de desempenho Aprimoramentos de desempenho para grandes namespaces Suporte para Gerenciamento DFS ativar seletivamente as indicações de raiz de namespace Texto da Ajuda do prompt de comando Dfsdiag.exe aprimorado Suporte do Gerenciamento DFS para possibilitar a enumeração baseada em acesso A enumeração baseada em acesso exibe apenas arquivos e pastas que um usuário tem permissão para acessar. Se um usuário não tiver permissões de Leitura (ou equivalente) para uma pasta, o Windows ocultará a pasta da visualização do usuário. Por exemplo, se você permitir a enumeração baseada em acesso em uma pasta compartilhada que contém muitas pastas base do usuário, os usuários que acessarem a pasta compartilhada poderão ver apenas suas pastas base particulares; as pastas de outros usuários serão ocultadas.


Você pode ativar a enumeração baseada em acesso em dois locais complementares: Ao ativar a enumeração baseada em acesso em uma pasta compartilhada usando o Gerenciamento de Compartilhamento e Armazenamento, o Windows exibe as pastas e arquivos no sistema de arquivos NTFS aos usuários da rede apenas se eles tiverem permissões de Leitura (ou equivalente) para as pastas e arquivos. Quando você ativa a enumeração baseada em acesso em um namespace usando o Gerenciamento DFS (ou o comando Dfsutil, que também é suportado no Windows Server 2008), o Windows exibe pastas no namespace para os usuários da rede apenas se o administrador do namespace tiver concedido a esses usuários permissões de Leitura às pastas DFS. Dica Para fornecer a enumeração baseada em acesso em um namespace e em todos os destinos de pasta (pastas compartilhadas vinculadas de uma pasta DFS), ative-a no namespace e em todas as pastas compartilhadas que agem como destinos de pasta no namespace. O Windows Server 2008 R2 inclui a capacidade de habilitar e configurar a enumeração baseada em acesso para um namespace usando o Gerenciamento DFS ou o comando Dfsutil. Esse recurso funciona com namespaces hospedados em servidores que executam o Windows Server 2008 R2 ou o Windows Server 2008. Para habilitar a enumeração baseada em acesso das pastas DFS por um computador que está executando o Windows Server 2008, você precisa usar o comando Dfsutil. Para obter mais informações, consulte os seguintes tópicos no Microsoft TechNet: Para usar Windows Server 2008 R2 de modo a habilitar a enumeração baseada em acesso em uma pasta compartilhada, consulte Gerenciando permissões para pastas compartilhadas: enumeração baseada em acesso (a página pode estar em inglês) (http://go.microsoft.com/fwlink/?LinkId=155076). Para usar o Windows Server 2008 R2 de modo a habilitar a enumeração baseada em acesso em um namespace DFS, consulte Habilitar a enumeração baseada em acesso em um namespace (a página pode estar em inglês) (http://go.microsoft.com/fwlink/?LinkId=155077).


Para usar o Windows Server 2008 de modo a habilitar a enumeração baseada em acesso em um namespace, consulte Habilitar a enumeração baseada em acesso em um namespace (a página pode estar em inglês) (http://go.microsoft.com/fwlink/?LinkId=155078). Contadores de desempenho Os Namespaces DFS do Windows Server 2008 R2 incluem três contadores de desempenho que podem ser usados para monitorar vários aspectos dos Namespaces DFS: Fila de APIs do Serviço Namespace DFS. Mostra o número de solicitações (feitas usando a API NetDfs) na fila para o serviço Namespace DFS processar. Solicitações de API do Serviço Namespace DFS. Mostra informações de desempenho sobre solicitações (como a criação de um namespace) feitas ao serviço Namespace DFS. Referências de Serviço Namespace DFS. Mostra informações de desempenho sobre diversas solicitações de referência processadas pelo serviço Namespace DFS. Para obter mais informações, consulte Monitor de desempenho do Windows (a página pode estar em inglês) (http://go.microsoft.com/fwlink/?LinkId=132016). Aprimoramentos de desempenho para grandes namespaces Os Namespaces DFS no Windows Server 2008 R2 são executados com mais rapidez do que na versão Windows Server 2008 sob as seguintes condições: Ao hospedar namespaces grandes baseados em domínio no modo Windows Server 2008 com 5000 pastas DFS (links) ou mais, o serviço Namespaces DFS leva muito menos tempo para iniciar. Ao hospedar namespaces muito grandes baseados em domínio no modo Windows Server 2008 com mais de 300.000 pastas DFS. Observação Ao hospedar namespaces com mais de 50.000 pastas, a inicialização do serviço Namespace DFS pode demorar mais tempo (até algumas horas, dependendo da configuração). Para eliminar o tempo de inatividade enquanto o namespace está começando e maximizar o desempenho, use um namespace baseado em domínio (modo Windows Server 2008) com diversos servidores de


namespace para redundância. Em setembro de 2009, representantes da Microsoft apresentarão mais informações sobre o aprimoramentos de desempenho e de escalabilidade dos Namespaces DFS, na Conferência de desenvolvedor de armazenamento de 2009 (a página pode estar em inglês) (http://go.microsoft.com/fwlink/?LinkId=157789). Texto da Ajuda do prompt de comando Dfsdiag.exe aprimorado A Ajuda do prompt de comando e as mensagens de erro para o comando Dfsdiag (Dfsdiag /?) foram reescritas. Elas estão mais claras e mais descritivas. Suporte para Gerenciamento DFS ativar seletivamente as indicações de raiz de namespace Quando um cliente DFS tenta acessar um namespace baseado em domínio pela primeira vez, um controlador de domínio fornece uma lista de servidores de namespaces para o cliente. A lista de servidores de namespaces é conhecida como uma referência raiz. No Windows Server 2008 R2, você pode habilitar ou desabilitar seletivamente referências a servidores de namespaces específicos. Isso permite que um administrador coloque um servidor de namespaces temporariamente no modo offline enquanto realiza a manutenção. Para desabilitar as referências a um servidor de namespaces, o servidor de namespaces deve estar executando o Windows Server 2008 R2, o Windows Server 2008 ou o Windows 2000 Server. (Windows Server 2003 e Windows Server 2003 R2 não são suportados.) Para habilitar ou desabilitar um servidor de namespaces no Windows Server 2008 R2, use o seguinte procedimento: Habilitar ou desabilitar as referências em um servidor de namespaces 1. No Gerenciamento DFS, selecione o namespace apropriado e clique na guia Servidores de Namespaces. 2. Clique com o botão direito do mouse no servidor de namespaces apropriado e clique em Desabilitar Servidor de Namespaces ou Habilitar Servidor de Namespaces. Observação Para habilitar ou desabilitar um servidor de namespaces usando uma linha de comando no Windows Server 2008 R2 ou no Windows Server 2008, use o


comando Dfsutil Property State. Que nova funcionalidade é oferecida pela Replicação DFS? As seguintes alterações estão disponíveis no Windows Server 2008 R2 para a Replicação DFS: Suporte para cluster de failover para Replicação DFS Pastas replicadas somente leitura Os controladores de domínio somente leitura têm pastas SYSVOL somente leitura Funcionalidade de Replicação DFS adicional na ferramenta de linha de comando Dfsrdiag.exe Suporte para cluster de failover para Replicação DFS A Replicação DFS no Windows Server 2008 R2 inclui a capacidade de adicionar um cluster de failover como um membro de um grupo de replicação. Para fazer isso, consulte Adicionar um cluster de failover a um grupo de replicação (a página pode estar em inglês) (http://go.microsoft.com/fwlink/?LinkId=155085). O serviço de Replicação DFS nas versões do Windows anteriores ao Windows Server 2008 R2 não foi desenvolvido para coordenar com um cluster de failover, e o serviço não realizará o failover em outro modo. Pastas replicadas somente leitura Uma pasta replicada somente leitura é uma pasta replicada em um membro específico na qual os usuários não podem adicionar nem alterar arquivos. Isso é conveniente para pastas somente leitura que você deseja manter atualizadas com um servidor (ou servidores) central. Por exemplo, convém criar pastas replicadas somente leitura para pastas de instalação de software ou pastas que contenham relatórios publicados ou documentos. Pastas replicadas somente leitura também são usadas por RODCs (controladores de domínio somente leitura) para manter a pasta SYSVOL compartilhada atualizada enquanto impede alterações locais. Antes do Windows Server 2008 R2, a única maneira de simular uma pasta replicada somente leitura era definir manualmente as permissões de compartilhamento e ACLs nas pastas, de modo a impedir alterações ou


adições acidentais, exigindo esforços administrativos adicionais e aumentando a probabilidade de erros. Para usar as pastas replicadas somente leitura no Windows Server 2008 R2, consulte Tornar uma pasta replicada somente leitura um membro específico (a página pode estar em inglês) (http://go.microsoft.com/fwlink/?LinkId=155093). Os controladores de domínio somente leitura têm pastas SYSVOL somente leitura No Windows Server 2008 é possível fazer alterações na pasta SYSVOL de um RODC. Essas alterações persistem até que o serviço de Replicação DFS possa sobrescrever as alterações com dados de um controlador de domínio somente leitura ou da pasta de teste da Replicação DFS. No Windows Server 2008 R2, a pastas SYSVOL no RODCs é uma pasta replicada somente leitura. Isso evita que usuários ou administradores alterem arquivos na pasta. Funcionalidade de Replicação DFS adicional na ferramenta de linha de comando Dfsrdiag.exe A ferramenta de linha de comando Dfsrdiag.exe inclui três novas opções de linha de comando que fornecem recursos de diagnóstico aprimorados: Dfsrdiag.exe ReplState. Fornece um resumo do status da replicação em todas as conexões no membro do grupo de replicação especificado. Ele inicia um instantâneo do estado interno do serviço de Replicação DFS e reúne uma lista de atualizações que estão atualmente sendo processadas (baixadas ou fornecidas) pelo serviço. Dfsrdiag.exe IdRecord. Exibe o Registro e a versão da ID da Replicação DFS para o arquivo ou pasta especificada usando o caminho ou UID (Identificador exclusivo). O serviço de Replicação DFS cria um Registro de ID para cada arquivo e pasta que replica, e você pode usar o Registro da ID e as informações de versão para determinar se um arquivo foi corretamente replicado em um membro específico. Dfsrdiag.exe FileHash. Computa e exibe o valor de hash gerado pelo serviço de Replicação DFS para um arquivo específico. O valor de hash é usado para comparar dois arquivos—se o valor de hash para dois arquivos for idêntico, os arquivos também serão. Por exemplo, se você usa um disco rígido portátil para copiar o conteúdo de uma pasta replicada para um membro do grupo de replicação antes da


replicação inicial, costuma ser útil verificar se os arquivos copiados (por exemplo, os atributos, carimbos de data/hora e ACLs [Listas de controle de acesso]) são idênticos aos da versão dos arquivos no membro do grupo de replicação autoritativo. Se os arquivos forem idênticos, o serviço de Replicação DFS não baixará nenhuma parte do arquivo durante a replicação (exceto seus metadados, que o serviço usa para determinar se os arquivos são idênticos). Quais edições incluem esses recursos? As seguintes edições do Windows Server 2008 R2 podem hospedar os namespaces DFS: Windows Server 2008 R2 Standard Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Datacenter Windows Server 2008 R2 for Itanium-Based Systems As seguintes edições do Windows Server 2008 R2 podem agir como um membro de um grupo de Replicação DFS: Windows Server 2008 R2 Standard Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Datacenter Para obter mais informações sobre os requisitos para Namespaces DFS e Replicação DFS, consulte Gerenciamento de DFS (a página pode estar em inglês) (http://go.microsoft.com/fwlink/?LinkId=155073) no Microsoft TechNet. Referências adicionais Para obter informações sobre o que há de novo no DFS (Sistema de arquivos distribuído no Windows Server 2008, consulte Sistema de Arquivos Distribuídos. Novidades do DNS Publicado: janeiro de 2009 Atualizado: outubro de 2009


Aplica-se a: Windows 7, Windows Server 2008 R2 Quais são as principais alterações? O servidor DNS e o cliente no Windows Server® 2008 R2 apresentam o suporte para as DNSSEC (Extensões de Segurança do DNS). Com o servidor DNS do Windows Server 2008 R2, é possível assinar e hospedar zonas assinadas pelas DNSSEC para prover segurança à infraestrutura do DNS. As alterações a seguir estão disponíveis no servidor DNS no Windows Server 2008 R2: Habilidade de assinar uma zona e hospedar zonas assinadas. Suporte para alterações no protocolo DNSSEC. Suporte para os registros de recursos DNSKEY, RRSIG, NSEC e DS. As alterações a seguir estão disponíveis no cliente DNS no Windows Server 2008 R2: Habilidade para indicar conhecimento do DNSSEC em consultas. Habilidade para processar os registros de recursos DNSKEY, RRSIG, NSEC e DS. Capacidade para verificar se o servidor DNS com o qual se comunicou executou a validação em nome do cliente. O comportamento do cliente DNS com relação às DNSSEC é controlado por meio da NRPT (Tabela de diretiva de resolução de nomes), que armazena configurações que definem o comportamento do cliente DNS. O NRPT é normalmente gerenciado pela Diretiva de Grupo. O que as DNSSEC fazem? Elas são um conjunto de extensões que agregam segurança ao protocolo DNS. As extensões principais de DNSSEC são especificadas nos RFCs 4033, 4034 e 4035 e adicionam autoridade de origem, integridade de dados e negação de existência autenticada para o DNS. Além desses vários novos conceitos e operações para o servidor e o cliente DNS, o DNSSEC apresenta quatro novos registros de recursos (DNSKEY, RRSIG, NSEC e DS) para o DNS. Resumindo, o DNSSEC permite que uma zona DNS e todos os registros na zona sejam assinados criptograficamente. Quando um servidor DNS que


hospeda uma zona assinada recebe uma consulta, ele retorna as assinaturas digitais além dos registros solicitados. Um resolvedor ou outro servidor pode obter a chave pública do par de chaves pública/privada e atestar que as respostas são autênticas e que não foram adulteradas. Para fazer isso, o resolvedor ou o servidor deve ser configurado com um âncora confiável para a zona assinada, ou para um pai da zona assinada. Quem se interessará por esse recurso? Este recurso será interessante para profissionais de TI que gerenciem serviços AD DS (Serviços de Domínio Active Directory®) e servidores DNS, além dos administradores de segurança. Especificamente, ele será atraente para todos os administradores de sistemas públicos de TI dos EUA que precisam estar em conformidade com a Publicação Especial da NIST (SP) 800-53. Que nova funcionalidade as DNSSEC oferecem? A implementação das DNSSEC no servidor DNS do Windows Server 2008 R2 fornece a capacidade de assinar zonas endereçadas por arquivo e integradas ao Active Directory usando a ferramenta offline de assinatura de zona. Essa zona assinada será replicada ou transferida para outros servidores DNS autorizados. Quando configurado com âncora de confiança, um servidor DNS está habilitado a executar a validação das DNSSEC nas respostas recebidas em nome do cliente. O cliente DNS nos sistemas operacionais Windows Server 2008 R2 e Windows® 7 é um resolvedor stub de não validação integrado à segurança. Isso significa que o cliente DNS deixará as responsabilidades de validação por conta do servidor DNS local, mas será capaz de processar as respostas das DNSSEC. O comportamento do cliente DNS é controlado por uma diretiva que determina se ele deverá procurar nomes nos resultados da validação dentro de um determinado namespace. O cliente retornará os resultados da consulta para o aplicativo apenas se a validação for executada com êxito pelo servidor. Por que essa mudança é importante? Com a modernização das ameaças à segurança do DNS, é importante compreender que proteger o DNS é essencial para a segurança de redes corporativas e da Internet. Muitas vezes, o DNS é alvo de ataques MITM (intermediários), falsificação de IP e envenenamento de cache, que são muito difíceis de defender. As extensões DNSSEC são a melhor solução para incrementar a proteção contra essas ameaças à segurança do DNS. As DNSSEC serão a tecnologia escolhida pelas empresas, registradores e ISPs


(provedores de serviço Internet) à medida que eles buscarem meios para proteger suas implantações de DNS. Há alguma dependência? Comunicação do último salto se refere à troca de informações entre um computador cliente executando o Windows 7, com as extensões DNSSEC habilitadas, e o servidor DNS Local. É altamente recomendável usar o protocolo IPsec (segurança do protocolo Internet) para proteger essa comunicação entre o cliente e o servidor DNS; no entanto, tenha em mente as seguintes considerações sobre a estratégia de segurança: As DNSSEC usam SSL para garantir que a comunicação cliente a servidor é segura. O uso de SSL permite que o cliente DNS verifique se o servidor possui um certificado que autentique sua identidade como um servidor DNS válido. Isso agrega um nível de confiança adicional entre o cliente e o servidor. Se você tiver uma diretiva IPsec de domínio como parte de uma implantação de isolamento de servidor e domínio, precisará criar um exceção para o tráfego TCP/UDP na porta 53 (tráfego DNS) na diretiva IPsec de domínio. Caso contrário, a diretiva será usada e a autenticação com base em certificado não será executada. O cliente reprovará a validação EKU e não confiará no servidor DNS. Como me preparar para essa alteração? É recomendável examinar a infraestrutura do DNS para identificar as zonas que precisam ser protegidas com as DNSSEC. Depois de identificar essas zonas, consulte o guia de implantação das DNSSEC para obter mais informações sobre os requisitos e considerações da implantação. DNS Security Extensions (DNSSEC) Publicado: outubro de 2009 What are the major changes? Support for Domain Name System Security Extensions (DNSSEC) is introduced in Windows Server® 2008 R2 and Windows® 7. With Windows Server 2008 R2 DNS server, you can now sign and host DNSSEC-signed zones to provide security for your DNS infrastructure. The following changes are available in DNS server in Windows Server 2008 R2:


Ability to sign a zone and host signed zones. Support for changes to the DNSSEC protocol. Support for DNSKEY, RRSIG, NSEC, and DS resource records. The following changes are available in DNS client in Windows 7: Ability to indicate knowledge of DNSSEC in queries. Ability to process the DNSKEY, RRSIG, NSEC, and DS resource records. Ability to check whether the DNS server with which it communicated has performed validation on the client’s behalf. The DNS client’s behavior with respect to DNSSEC is controlled through the Name Resolution Policy Table (NRPT), which stores settings that define the DNS client’s behavior. The NRPT is typically managed through Group Policy. What does DNSSEC do? DNSSEC is a suite of extensions that add security to the DNS protocol. The core DNSSEC extensions are specified in RFCs 4033, 4034, and 4035 and add origin authority, data integrity, and authenticated denial of existence to DNS. In addition to several new concepts and operations for both the DNS server and the DNS client, DNSSEC introduces four new resource records (DNSKEY, RRSIG, NSEC, and DS) to DNS. In short, DNSSEC allows for a DNS zone and all the records in the zone to be cryptographically signed. When a DNS server hosting a signed zone receives a query, it returns the digital signatures in addition to the records queried for. A resolver or another server can obtain the public key of the public/private key pair and validate that the responses are authentic and have not been tampered with. In order to do so, the resolver or server must be configured with a trust anchor for the signed zone, or for a parent of the signed zone. Who will be interested in this feature? This feature will be of interest to IT professionals who manage Active Directory® Domain Services (AD DS) and DNS, as well as to security administrators. Specifically, this feature will be of interest to all administrators of U.S. federal IT systems who must be compliant with National Institute of Standards and Technology (NIST) Special Publication (SP) 800-53. What new functionality does DNSSEC provide?


The DNSSEC implementation in Windows Server 2008 R2 DNS server provides the ability to sign both file-backed and Active Directory–-integrated zones through an offline zone signing tool. This signed zone will then replicate or zone-transfer to other authoritative DNS servers. When configured with a trust anchor, a DNS server is capable of performing DNSSEC validation on responses received on behalf of the client. The DNS client in Windows Server 2008 R2 and Windows® 7 is a nonvalidating security-aware stub resolver. This means that the DNS client will offload the validation responsibilities to its local DNS server, but the client is capable of consuming DNSSEC responses. The DNS client’s behavior is controlled by a policy that determines whether the client should check for validation results for names within a given namespace. The client will return the results of the query to the application only if validation has been successfully performed by the server. Why is this change important? As DNS security threats become more topical, it is important to realize that securing the DNS is critical to securing enterprise networks and the Internet. DNS is often subject to man-in-the-middle, spoofing, and cache-poisoning attacks that are hard to defend against. DNSSEC is the best available solution that helps protects against these security threats against DNS. DNSSEC will be the technology of choice for enterprises, registrars, and ISPs as they look for ways to secure their DNS deployments. Are there any dependencies? Last hop communication refers to the communication between a DNSSECenabled client computer running Windows 7 and its local DNS server. We strongly recommend the use of Internet Protocol security (IPsec) to secure last hop communication between the client and the DNS server, but keep the following deployment considerations mind: DNSSEC uses Secure Sockets Layer (SSL) to ensure that client-to-server communication is secure. The use of SSL allows the DNS client to check that the server has a certificate that proves its identity as a valid DNS server. This adds an additional level of trust between the client and the server. If you have a domain IPsec policy as part of a server and domain isolation deployment, then you must exempt TCP/UDP port 53 traffic (DNS traffic) from the domain IPsec policy. Otherwise, the domain IPsec policy will be


used and certificate-based authentication will not be performed. The client will fail the EKU validation and will not trust the DNS server. How should I prepare for this change? We recommend that you review your DNS infrastructure to identify the zones that must be secured with DNSSEC. After you have identified the zones, review the instructions in Deploying DNS Security Extensions (DNSSEC) to understand deployment requirements and considerations. Which editions include this feature? This feature is available in all editions. Consulte tambĂŠm Conceitos Deploying DNS Security Extensions (DNSSEC) DNS Devolution Publicado: outubro de 2009 Devolution is a behavior in Active Directory environments that allows client computers that are members of a child namespace to access resources in the parent namespace without the need to explicitly provide the fully qualified domain name (FQDN) of the resource. With devolution, the DNS resolver creates new FQDNs by appending the single-label, unqualified domain name with the parent suffix of the primary DNS suffix name, and the parent of that suffix, and so on, stopping if the name is successfully resolved or at a level determined by devolution settings. For example, if the primary DNS suffix is central.contoso.com and devolution is enabled with a devolution level of two, an application attempting to query the host name emailsrv7 will attempt to resolve emailsrv7.central.contoso.com and emailsrv7.contoso.com. If the devolution level is three, an attempt will be made to resolve emailsrv7.central.contoso.com, but not emailsrv7.contoso.com. Devolution is not enabled in Active Directory domains when the following conditions are true: 1. A global suffix search list is configured using Group Policy.


2. The Append parent suffixes of the primary DNS suffix check box is selected on the DNS tab in the Advanced TCP/IP Settings for IPv4 or IPv6 Internet Protocol (TCP/IP) Properties of a client computer’s network connection. This topic describes update to the behavior of DNS devolution in Windows Server® 2008 R2 and Windows® 7. For more information about DNS devolution, see Chapter 9 – Windows Support for DNS (http://go.microsoft.com/fwlink/?LinkId=166678) in TCP/IP Fundamentals for Windows. What are the major changes? The DNS client in Windows Server 2008 R2 and Windows 7 introduces the concept of a devolution level, which provides granular control of the label where devolution will terminate. Previously, the effective devolution level was two. An administrator can now specify the devolution level, allowing for granular control of the organizational boundary in an Active Directory domain when clients attempt to resolve resources within the domain. This update to DNS devolution is also available for previous versions of Microsoft Windows. For more information, see Post-installation behavior on client computers after you install the DNS update (http://support.microsoft.com/kb/957579). Changes to the devolution level can affect the ability of client computers to resolve the names of resources in a domain. The following is the new default behavior for DNS devolution: First, the FRD and primary DNS suffix of the local computer is determined. Based on this information: 1. If the number of labels in the forest root domain is 1 (single labeled), devolution is not performed. Example: The FRD is contoso and the primary DNS suffix is contoso.com. Devolution is not performed in this case because contoso is single-labeled. Previously, the devolution level was two. 2. If the primary DNS suffix is a trailing subset of (ends with) the forest root domain, the devolution level is set to the number of labels in the FRD. Example: The FRD is corp.contoso.com and the primary DNS suffix is east.corp.contoso.com. Devolution level in this case is three because


east.corp.contoso.com ends with corp.contoso.com and the FRD has three labels. Previously, the devolution level was two. 3. If the primary DNS suffix is not a trailing subset of the FRD, devolution is not performed. Example: The FRD is corp.contoso.com and the primary DNS suffix is east.contoso.com. Devolution is not performed in this case because east.contoso.com does not end with corp.contoso.com. Previously, the devolution level was two. The following table summarizes the default behavior for devolution after applying the update.

Primary DNS Suffix

FRD: contos o OFF

contoso

OFF

(FRD is (contoso does single- not end with labeled) contoso.com)

OFF contoso.com

FRD: contoso.com

OFF

OFF

(contoso does not (contoso does end with not end with corp.contoso.com corp.contoso.net) )

Devolution level: 2 OFF

(contoso.com (FRD is ends with singlecontoso.com and labeled) FRD has two labels) OFF

FRD: FRD: corp.contoso.co corp.contoso.n m et

(contoso.com does not end with corp.contoso.com )

Devolution level: Devolution level: 2 3

OFF (contoso.com does not end with corp.contoso.net)

OFF

(corp.contoso.co corp.contoso.co (FRD is m ends with m singlecontoso.com and labeled) FRD has two labels)

(corp.contoso.co m ends with corp.contoso.com and FRD has three labels)

(corp.contoso.co m does not end with corp.contoso.net)

corp.contoso.net OFF

OFF

Devolution level:

OFF


(FRD is (corp.contoso.net (corp.contoso.net 3 single- does not end does not end with labeled) with corp.contoso.com (corp.contoso.net ends with contoso.com) ) corp.contoso.net and FRD has three labels) Previously, devolution was done until only two labels in the suffix were left. Now, assuming a contiguous namespace, devolution proceeds down to the FRD name and no further. If DNS resolution is required past the level of the FRD, the following options are available: 1. Configure a global suffix search list. When you configure a suffix search list, devolution is disabled and the suffix search list is used instead. 2. Specify the devolution level. You can configure the devolution level using Group Policy or by configuring the DomainNameDevolutionLevel registry key. Who will be interested in this feature? This feature will be of interest to IT professionals who manage Active Directory速 Domain Services (AD DS) and DNS. Are there any special considerations? This update to DNS devolution is also available for computers running earlier versions of the Microsoft Windows operating system. For information about this update, see the Overview section of Microsoft Security Advisory 971888 (http://go.microsoft.com/fwlink/?LinkId=166679). What settings have been added or changed? Devolution can be configured using Group Policy or using the Windows Registry. The following tables provide values that are used to configure DNS devolution. Registry settings

Setting name

Location

Prev Def Pos ious ault sibl defa val e


ult ue valu valu es e UseDomainNa meDevolution HKEY_LOCAL_MACHINE\SOFTWARE\Policie 1 s\Microsoft\Windows NT\DNSClient (DWORD)

1

0 or 1

N/A N/A (do es DomainNameD evolutionLevel HKEY_LOCAL_MACHINE\SYSTEM\CurrentCo (did not 1 to not exis 50 ntrolSet\Services\Dnscache\Parameters (DWORD) exist t by ) def ault ) Group Policy settings

Setting name

Location

Computer Primary Configuration\Administrative DNS Suffix Templates\Network\DNS Devolution Client Primary DNS Suffix Devolution Level

Computer Configuration\Administrative Templates\Network\DNS Client

Previous default value (if applicable) Not configured N/A (did not exist)

Default value

Possible values

Enabled, Not Disabled, configured Not configured Enabled, Not Disabled, configured Not configured

Observação If you configure both registry settings and Group Policy settings, the Group Policy settings will take precedence. Which editions include this feature? This feature is available in all editions.


DNS Cache Locking Publicado: outubro de 2009 Cache locking is a new security feature available with Windows Server速 2008 R2 that allows you to control whether or not information in the DNS cache can be overwritten. What are the major changes? Cache locking is a new feature available if your DNS server is running Windows Server 2008 R2. When you enable cache locking, the DNS server will not allow cached records to be overwritten for the duration of the time to live (TTL) value. Cache locking provides for enhanced security against cache poisoning attacks. You can also customize the settings used for cache locking. What does cache locking do? When a recursive DNS server responds to a query, it will cache the results obtained so that it can respond quickly if it receives another query requesting the same information. The period of time the DNS server will keep information in its cache is determined by the Time to Live (TTL) value for a resource record. Until the TTL period expires, information in the cache might be overwritten if updated information about that resource record is received. If an attacker successfully overwrites information in the cache, they might be able to redirect traffic on your network to a malicious site. Who will be interested in this feature? This feature will be of interest to IT professionals who manage Active Directory速 Domain Services (AD DS) and DNS, as well as to security administrators. Are there any special considerations? Cache locking is configured as a percent value. For example, if the cache locking value is set to 50, then the DNS server will not overwrite a cached entry for half of the duration of the TTL. By default, the cache locking percent value is 100. This means that cached entries will not be overwritten for the entire duration of the TTL. The cache locking value is stored in the CacheLockingPercent registry key. If the registry key is not present, then the DNS server will use the default cache locking value of 100. What settings have been added or changed?


The following registry keys can be used to configure the cache locking. However, the recommended method for configuring cache locking settings is with the dnscmd.exe command line tool. For more information about configuring the Socket Pool, see Configure Cache Locking. Registry settings

Setting name

Location

Defa Possi ult ble valu value e s

CacheLocking HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl 0 to 100 Percent Set\services\DNS\Parameters 100 Dica To apply changes to settings for cache locking, you must restart the DNS service. Which editions include this feature? This feature is available in all editions. Consulte tambĂŠm Conceitos Deploying a Secure DNS Configuration DNS Socket Pool Publicado: outubro de 2009 The socket pool enables a DNS server to use source port randomization when issuing DNS queries. This provides enhanced security against cache poisoning attacks. The socket pool is enabled with default settings on computers that have installed Security Update MS08-037 (http://go.microsoft.com/fwlink/?LinkID=148634). You can also customize socket pool settings. What are the major changes?


A DNS server running Windows Server速 2008 R2, or that has installed security update MS08-037, will use source port randomization to protect against DNS cache poisoning attacks. With source port randomization, the DNS server will randomly pick a source port from a pool of available sockets that it opens when the service starts. What does Socket Pool do? Instead of using a predicable source port when issuing queries, the DNS server uses a random port number selected from this pool, known as the socket pool. The socket pool makes cache poisoning attacks more difficult because an attacker must correctly guess the source port of a DNS query in addition to a random transaction ID to successfully execute the attack. Who will be interested in this feature? This feature will be of interest to IT professionals who manage Active Directory速 Domain Services (AD DS) and DNS, as well as to security administrators. Are there any special considerations? The socket pool is automatically enabled with default settings if you have installed Security Update MS08-037 (http://go.microsoft.com/fwlink/?LinkID=148634). Ports numbers that are reserved for the socket pool depend on the operating system. For more information about the range of port numbers reserved, see Microsoft Knowledge Base article 956188 (http://go.microsoft.com/fwlink/?LinkID=165771). The default size of the socket pool is 2500. When you configure the socket pool, you can choose a size value from 0 to 10000. The larger the value, the greater protection you will have against DNS spoofing attacks. If you configure a socket pool size of zero, the DNS server will use a single socket for remote DNS queries. If the DNS server is running Windows Server 2008 R2, you can also configure a socket pool exclusion list. What settings have been added or changed? The following registry keys can be used to configure the Socket Pool. However, the recommended method for configuring Socket Pool settings is with the dnscmd.exe command line tool. For more information about configuring the Socket Pool, see Configure the Socket Pool. Registry settings


Setting name

SocketPoolSize SocketPoolExclude dPortRanges Windows Server 2008 R2 only.

Location

Def Poss ault ible valu valu e es

0 to HKEY_LOCAL_MACHINE\SYSTEM\CurrentCon 250 1000 trolSet\services\DNS\Parameters 0 0 1 to HKEY_LOCAL_MACHINE\SYSTEM\CurrentCon N/A 6553 trolSet\services\DNS\Parameters 5

Dica To apply changes to settings for the Socket Pool, you must restart the DNS service. Which editions include this feature? This feature is available in all editions. Consulte tambĂŠm Conceitos Deploying a Secure DNS Configuration


010 - Windows Server 2008_Novidades do DNS