Arquivo do autor:Fabio Silva - MVP Reconnect

5 melhores práticas DevOps para iniciantes

5 melhores práticas DevOps para iniciante

DevOps é a combinação de desenvolvimento e operações que agora está lentamente se tornando uma parte vital do mundo de TI. As empresas estão colhendo os benefícios do DevOps, tornando-o uma das grandes adições. Então, com a alta demanda, como começar com o DevOps?

Aqui estão as melhores práticas de DevOps que você deve conhecer antes de começar.

1. Comece com um projeto pequeno
Não há necessidade de ir grande na primeira etapa. É melhor começar com algo que ofereça oportunidades de apostas baixas. Isso ajudará os desenvolvedores a aperfeiçoar suas habilidades e obter uma melhor compreensão do que se trata.

2. Segurança em projetos
Os desenvolvedores precisam manter o domínio do DevOps. Mas, ao mesmo tempo que garante que o projeto seja de alta qualidade, é essencial manter o código seguro e protegido. Os desenvolvedores devem certificar-se de que estão evitando os problemas de segurança na primeira etapa apenas para manter o fluxo de produção.

3. Treinamento imersivo
Os desenvolvedores ou alunos devem estar cientes do que desejam alcançar e, portanto, é melhor treinar sua mente com conhecimentos teóricos e práticos. Pode-se trabalhar junto com a equipe e ver como eles funcionam ou sempre há a opção de certificações.

4. Apoie a comunidade DevOps
Ninguém sabe o verdadeiro valor da comunidade além dos desenvolvedores. Transmitir conhecimento, compartilhar experiências e ajudar uns aos outros torna a comunidade forte. E, portanto, é essencial apoiar os membros da comunidade se você quiser aprender. Você pode considerá-lo como um aspecto de dar ou receber, mas ajudará a longo prazo.

5. Participante de código
aberto O engajamento e as ferramentas da comunidade de código aberto podem ajudar muito quando se trata de soluções. Isso ajudará a diminuir a curva de aprendizado e a apresentar um produto melhor para o mercado.

OpenVas – Scanner de Vulnerabilidades

Olá pessoal

Este post usei como LAB:

Máquina Virtual Linux Ubuntu no Azure

OpenVaz última versão

Introdução

Um aspecto importante da segurança do servidor é ser proativo em relação à triagem de segurança. Se você expõe algum serviço à Internet, o teste de penetração é essencial para garantir que você não esteja vulnerável a ameaças conhecidas.

O Open Vulnerability Assessment System, mais comumente conhecido como OpenVAS , é um conjunto de ferramentas que funcionam juntas para executar testes em computadores clientes usando um banco de dados de explorações e fraquezas conhecidas. O objetivo é aprender como seus servidores são protegidos contra vetores de ataque conhecidos.

Neste guia, instalaremos o pacote OpenVAS em um Ubuntu. Podemos então usar este sistema para fazer a varredura de si mesmo e de outros servidores.

Adicione o OpenVAS PPA e instale o software

Embora existam alguns componentes OpenVAS nos repositórios padrão do Ubuntu, usaremos um PPA que mantém versões atualizadas dos pacotes.

Para começar, precisamos instalar o python-software-propertiespacote, o que nos permitirá trabalhar com PPAs facilmente.sudo apt-get update sudo apt-get install python-software-properties

Podemos então adicionar a versão estável mais recente ao nosso sistema:sudo add-apt-repository ppa:openvas/openvas6

Precisamos reconstruir o banco de dados apt para reunir informações sobre os pacotes disponíveis por meio de nosso novo PPA. Depois, podemos instalar o software necessário:

sudo apt-get update sudo apt-get install openvas-manager openvas-scanner openvas-administrator openvas-cli greenbone-security-assistant sqlite3 xsltproc texlive-latex-base texlive-latex-extra texlive-latex-recommended htmldoc alien rpm nsis fakeroot

Isso fará o download e instalará os componentes necessários para começar.

Configuração Inicial

Podemos criar certificados SSL para OpenVAS usando um utilitário wrapper incluído por padrão. Precisamos chamar isso com privilégios administrativos para que possa ser colocado em uma parte restrita do sistema de arquivos.

sudo openvas-mkcert

Serão feitas várias perguntas que o ajudarão a construir um arquivo de certificado para uso com este servidor.

Na maioria das perguntas, você pode simplesmente digitar ENTER para aceitar os valores padrão. Isso é principalmente para seu próprio uso, portanto, insira os valores que gostaria de usar.

A seguir, criaremos outro certificado. Desta vez, criaremos um certificado de cliente para um usuário chamado “om”, que significa OpenVAS Manager. Não precisamos de nenhuma informação específica para a parte do cliente, então vamos dizer a ele para configurar as coisas automaticamente e instalar os certificados nos locais necessários:

sudo openvas-mkcert-client -n om -i

Construir as informações do banco de dados

Agora que temos nossos certificados instalados, podemos começar a construir nosso banco de dados para que nossas ferramentas locais estejam cientes dos diferentes tipos de ameaças e vulnerabilidades.

Atualize o banco de dados de testes de vulnerabilidade da rede emitindo este comando:

sudo openvas-nvt-sync

Isso fará o download das definições mais recentes para sua máquina local.

Para continuar, precisaremos interromper o gerenciador e os aplicativos de scanner para que possamos chamar os comandos sem um conflito momentaneamente.

Pare ambos os serviços digitando:

sudo service openvas-manager stop sudo service openvas-scanner stop

Agora, podemos iniciar o aplicativo de scanner sem os parâmetros encontrados no arquivo init que normalmente são chamados. Durante a primeira execução, o OpenVAS precisará baixar e sincronizar muitos dados. Isso vai demorar um pouco:

sudo openvassd

Assim que terminar, você terá que reconstruir o banco de dados gerado pelo scanner digitando:

sudo openvasmd --rebuild

Em seguida, vamos baixar e atualizar nossos dados de protocolo de automação de conteúdo de segurança. Isso é conhecido como dados “SCAP”. Este é outro banco de dados que o OpenVAS verifica para nossos testes de segurança.

sudo openvas-scapdata-sync

Esta será outra longa espera. Ele baixa alguns arquivos gerais e os atualiza no banco de dados.

Em seguida, executaremos uma operação de sincronização semelhante para os dados do certificado:

sudo openvas-certdata-sync

Executando este comando pela primeira vez, você pode ver alguns erros. Eles podem ser parecidos com isto:

Error: no such table: meta

Isso ocorre porque o pacote Ubuntu está faltando alguns arquivos que estão empacotados em algumas outras versões.

Podemos obtê-los de um pacote RPM para o componente gerenciador. Digite para fazer o download em seu diretório inicial:

cd wget http://www6.atomicorp.com/channels/atomic/fedora/18/i386/RPMS/openvas-manager-4.0.2-11.fc18.art.i686.rpm

Agora que baixamos o arquivo, podemos extrair e expandir a estrutura de diretórios presente no RPM. Podemos fazer isso digitando:

rpm2cpio openvas* | cpio -div

Criaremos um diretório para nossos novos arquivos em um local onde o OpenVAS os encontrará. Em seguida, moveremos os arquivos para esse diretório:

sudo mkdir /usr/share/openvas/cert sudo cp ./usr/share/openvas/cert/* /usr/share/openvas/cert

Agora, podemos executar com segurança o comando cert syncing novamente, e ele deve ser concluído conforme o esperado desta vez:

sudo openvas-certdata-sync

Depois, podemos excluir os dados RPM extraídos e diretórios de nosso diretório inicial:

rm -rf ~/openvas* ~/usr ~/etc

Configurar usuário e portas OpenVAS

Para entrar em nosso serviço, precisaremos de um usuário. Podemos criar um com o componente de administrador do OpenVAS.

Aqui, criaremos um usuário chamado “admin” com a função de administrador. Você será solicitado a fornecer uma senha para usar na nova conta:

sudo openvasad -c add_user -n admin -r Admin

Você será informado de que o usuário tem acesso ilimitado.

Em seguida, precisamos alterar a maneira como um de nossos componentes é inicializado. O componente Greenbone Security Assistant é uma interface baseada na web para as ferramentas que instalamos.

Por padrão, a interface só pode ser acessada no computador local. Como estamos instalando o pacote OpenVAS em um servidor remoto, não poderemos acessar a interface da web com essas configurações. Precisamos torná-lo acessível a partir da Internet.

Abra o seguinte arquivo com privilégios de root em seu editor de texto preferido:

sudo nano /etc/default/greenbone-security-assistant

Próximo ao topo, você deve ver um parâmetro que especifica o endereço de escuta da interface da web. Precisamos alterar o valor de 127.0.0.1para o endereço IP público do seu VPS. Isso permitirá que ele ouça as conexões da Internet e poderemos conectar:

<pre>
GSA ADDRESS = <span class = “highlight”> endereço IP do seu servidor </span>
</pre>

Salve e feche o arquivo depois de fazer a modificação acima.

Inicie os serviços

Vamos agora iniciar os serviços que estamos configurando. A maioria deles já está funcionando com alguma capacidade, mas teremos que reiniciá-los para ter certeza de que usam as novas informações que temos coletado.

Comece eliminando todos os processos do scanner OpenVAS em execução:

sudo killall openvassd

Pode levar até 15 ou 20 segundos para que o processo seja realmente eliminado. Você pode verificar se ainda há processos em execução emitindo:

ps aux | grep openvassd | grep -v grep

Se algo for retornado, seus processos ainda não foram concluídos e você deve continuar aguardando.

Assim que o processo terminar completamente, você pode começar a iniciar todos os seus serviços novamente:

sudo service openvas-scanner start sudo service openvas-manager start sudo service openvas-administrator restart sudo service greenbone-security-assistant restart

Cada um deles pode demorar um pouco para iniciar.

Acesse a interface da Web e execute alguns testes

Assim que todos os serviços forem iniciados, você pode usar seu navegador da web para acessar a interface da web do Greenbone Security Assistant.

Para acessá-lo, você deve preceder o endereço do seu servidor com https://. Em seguida, insira o nome de domínio ou endereço IP do seu servidor seguido por :9392.

<pre>
https: // <span class = “highlight”> domínio do servidor ou_IP </span>: 9392
</pre>

Você verá uma tela de aviso de aparência assustadora informando que o certificado não foi assinado por alguém em quem seu navegador confie por padrão:

Aviso de segurança OpenVAS

Isso é esperado e não é um problema. Você deve clicar no botão “Continuar mesmo assim” para continuar.

Em seguida, você verá a tela de login:

Tela de login do OpenVAS

Você precisará inserir o nome de usuário e a senha configurados anteriormente. Para este guia, o nome de usuário era “admin”.

Depois de entrar, você será imediatamente recebido por um assistente de início rápido, que permitirá que você execute uma verificação padrão em um computador de destino imediatamente:

Assistente de inicialização OpenVAS

Uma boa opção é executar em outro servidor de sua propriedade. É importante não executar essas varreduras em alvos que não estão sob seu controle, porque podem parecer ataques em potencial a outros usuários.

Digite o endereço IP do computador que deseja testar e clique no botão “Iniciar digitalização” para começar.

A página será atualizada conforme o andamento da verificação e você também pode atualizar a página manualmente para acompanhar o andamento:

Progresso da verificação do OpenVAS

Quando a digitalização for concluída (ou mesmo antes, se desejar revisar as informações à medida que forem chegando), você pode clicar no ícone da lupa roxa para ver os resultados da digitalização. É normal que a varredura descanse em 98% por um tempo antes de concluir:

Lupa OpenVAS

Você será levado a uma visão geral dos resultados da verificação. Observe que a verificação imediata que concluímos não é a verificação mais aprofundada que temos disponível.

Resultados da verificação OpenVAS

Na parte inferior, você pode ver o relatório que o OpenVAS criou nos informando sobre possíveis vulnerabilidades no sistema que verificamos. Podemos ver que o nível “Ameaça” foi categorizado como “Médio”.

Isso significa que pelo menos uma vulnerabilidade foi encontrada no sistema de classificação de “média”. Podemos descobrir mais clicando na lupa novamente.

Isso nos levará a um relatório completo das descobertas. Na parte superior, você tem a opção de baixar os resultados em vários formatos:

Download de verificação OpenVAS

Na seção do meio, podemos filtrar os resultados. Por padrão, a interface mostrará apenas ameaças marcadas como “altas” ou “médias”. Na primeira vez, você provavelmente deve marcar todas as caixas na categoria “Ameaça”. Clique em “Aplicar” para implementar isto:

Filtragem OpenVAS

A seção inferior nos fala sobre os itens específicos que foram encontrados. Se você selecionou todas as caixas acima, verá algumas mensagens informativas sobre portas abertas e descobertas semelhantes.

As ameaças serão codificadas por cores de acordo com a cor de seus botões. Por exemplo, esta é nossa ameaça média:

Ameaça média OpenVas

Este aviso nos diz que nosso destino responde às solicitações de carimbo de data / hora. Essas solicitações podem permitir que um invasor saiba por quanto tempo o host está online continuamente. Isso pode permitir que um invasor saiba que o host é vulnerável a qualquer exploração recente.

Como você pode ver, o relatório também inclui informações sobre como lidar com o problema.

Conclusão

Agora você deve ter um servidor OpenVAS totalmente funcional configurado para verificar seus hosts. Isso pode ajudá-lo a identificar vulnerabilidades e realçar áreas nas quais se concentrar quando estiver aumentando a segurança.

Mostrei apenas um mínimo das funcionalidades do pacote de segurança OpenVAS. Entre outras tarefas, você pode agendar verificações facilmente, gerar relatórios automaticamente e alertas por e-mail quando determinados níveis de ameaça forem gerados. Explore a interface do Greenbone Security Assistant e aproveite o excelente sistema de ajuda integrado para aprender mais sobre suas opções.

Espero que tenha ajudado.

Até mais

Guia passo a passo para configurar o cluster do Kubernetes no Rancher

No mundo atual de cloud, o Kubernetes está em todo lugar. Sem dúvida, o Kubernetes se tornou o padrão para orquestrar contêineres. Mas o gerenciamento de vários clusters em execução em qualquer lugar em diferentes plataformas de maneira consistente e segura produz novos conjuntos de desafios.

Então, é neste ponto que o Rancher entra em cena. Então vamos configurar Kubernetes no Rancher .


Rancher, uma plataforma de gerenciamento de contêiner de código aberto. Isso torna mais fácil para qualquer organização adotar o Kubernetes onde quer que ele seja executado. No Rancher, você pode gerenciar clusters Kubernetes hospedados em nuvem em execução no GKE, EKS, AKS Azure, AWS, GCP e outras clouds, ou simplesmente implantar um cluster Kubernetes em sua escolha de máquinas virtuais (VM) ou infraestrutura bare metal. E você pode até importar seu cluster Kubernetes em um ambiente totalmente compatível com o Rancher, independentemente da plataforma.

Eu usei o ambiente da VIVO (VIVO CLOUD PLUS)

Usei uma máquina simples no VIVO CLOUD PLUS, plataforma de IaaS baseado em Vmware da VIVO.

6 VCPUS
16GB Memoria
Disco SSD 128GB
S.O CENTOS 

Depois que seu cluster do Kubernetes estiver provisionado e em execução. Rancher simplifica todas as operações e responsabilidades para as administrações. Isso inclui monitorar a saúde do cluster, configurar alertas e notificações, habilitar o registro, definir e aplicar políticas de segurança, habilitar autenticações e muito mais. Ele tem sua própria biblioteca de aplicativos baseada no Helm. Todos esses recursos tornam o Rancher uma ferramenta perfeita para gerenciar clusters do Kubernetes.

Lembrando que o Rancher é bastante democrático e agnóstico a cloud, ele praticamente se adapta a qualquer ambiente. 


Então, vamos ver as etapas de como você pode configurar e usar essa ferramenta incrível.

Nesse caso, já tenho um cluster Kubernetes em execução. As etapas irão guiá-lo sobre como configurar o Rancher e adicionar seu cluster existente no Rancher e implantar uma implantação simples em um cluster.

Configurando o cluster do Kubernetes no Rancher

Passo 1. Vá para o site do Rancher e você encontrará as etapas de implantação.

Implante o Rancher: https://rancher.com/quick-start/

Passo 2. Para instalar o rancheiro, execute este comando em seu host. Para volume persistente, criei um diretório denominado rancher-data e montei com o contêiner por meio do comando abaixo.

 $ sudo docker run -d –restart=unless-stopped -p 80:80 -p 443:443 -v /home/ubuntu/rancher-data:/var/lib/rancher rancher/rancher

 isso levará cerca de 2 minutos.

 Etapa 3. Abra um navegador e vá para a porta 80 do servidor. Ele mostrará que a conexão não é uma mensagem privada. Então, vá em frente no botão ‘Avançado’ na página. Em seguida, defina uma senha para o usuário padrão (admin) e forneça o endereço IP na etapa de URL do servidor Rancher.



Passo 4. Agora adicione um cluster clicando em “Adicionar Cluster”. Isso levará a uma página como esta


O Rancher suporta todas essas plataformas e vamos usar a opção “Importar um cluster existente”.

Etapa 5. Agora selecione a opção de importação e crie um cluster com o nome apropriado.

Etapa 6. Agora execute o último comando inferior, pois o do meio não funciona na maioria das vezes. O motivo é especificado nesta página.


Ele fará o download de um arquivo YAML e o aplicará ao cluster do Kubernetes. Isso criará um novo namespace chamado “cattle-system” e todos os recursos relacionados ao Rancher serão implantados nesse namespace.

Etapa 7. Agora você pode ir para seu novo cluster e ver o painel que mostra algumas informações básicas relacionadas ao cluster. Da mesma forma, você pode ver as métricas de cada nó no painel Nós na parte superior.


Etapa 8. Agora vamos implantar uma implantação ou pod no cluster. Passe o mouse sobre o nome do seu cluster na parte superior e selecione um namespace (padrão)> clique em Implementar.


Etapa 9. Forneça os detalhes necessários para a implantação e clique em iniciar.


 Você pode ver todos os seus pods na seção Cargas de trabalho do cluster.


Isso concluirá o final desta breve configuração do Rancher.

Dica adicional: você pode acessar o shell de implantação diretamente do Rancher. Basta seguir as etapas abaixo:

Clique na implantação (neste caso postgres-demo) >> clique no 3 ponto >> selecione Executar shell.


Conclusão:

Este é um guia simples para configurar a ferramenta Rancher. Isso mostra como é poderosa e ao mesmo tempo incrível pode ser uma ferramenta que executa tarefas complexas.

Gerenciar um único cluster Kubernetes é uma tarefa complexa. Mas essa ferramenta pode tornar seu trabalho extremamente fácil e simples. Se você trabalha com o Kubernetes, vale a pena dar uma chance ao Rancher.

Espero ter ajudado

Alias conheça o VIVO CLOUD PLUS onde usei o laboratório.

Até mais

MFA – Autenticação de duplo fator – Azure Active Directory

Hoje só a senha não garante mais a segurança da sua rede ou do acesso de perímetro dos seus sistemas.

A maioria dos players de mercado vem investindo pesado em segurança para melhorar a experiencia de uso de suas aplicações. A Microsoft portou o Azure Active Directory para nuvem não só para o uso de suas aplicações nativas e locais mas também mais de 3000 aplicações de mercado ou por API conseguem se autenticar de forma segura com Microsoft Azure Activer Directory.

Desde 1º de agosto de 2019, a Microsoft tomou a iniciativa de garantir que todos os ambientes do Azure sejam seguros. Como resultado, a Microsoft agora exige que todos os parceiros que estão no Cloud Solution Provider Program (CSP), fornecedores do painel de controle ou parceiros Advisor habilitem a autenticação multifator (MFA) para administradores.

A função também agora está em todas as versões do Microsoft Office Business e Enterprise garantindo que todos usuários tenha duplo fator de autenticação (MFA) além do administrador.

Existem duas maneiras de habilitar e aplicar o MFA em seu locatário por meio do Azure. A primeira é aplicá-los em um nível de usuário por usuário. A segunda é criar uma política de Acesso Condicional que se aplicará a todo o locatário do Azure.

NOTA: Se desejar usar uma solução de MFA de terceiros para proteger seu locatário do Azure, você pode fazer isso e ainda atender a esses requisitos de MFA.


Certifique-se de que o MFA esteja habilitado para o seu locatário:

1. Em sua conta, clique no botão de login do portal do Azure (ou abra um navegador da Web e vá para https://portal.azure.com ).

2. Na nova janela, faça login no portal do Azure, selecione “Azure Active Directory”, “Segurança” e, em seguida, MFA:


 

3. Isso o levará ao módulo MFA. O MFA está incluído em vários planos específicos, incluindo Azure AD Premium P2 e EM + S. Se você não tiver o plano correto, será apresentada a opção de se inscrever em um teste gratuito. Se você tiver o plano correto, será apresentada a tela MFA. Em “Configurar”, selecione “configurações adicionais de MFA baseadas na nuvem”.

Lembrando que agora todos os usuários dos planos business e planos enterprise tem o benefício.




4. Na próxima tela, selecione as opções que deseja habilitar. Para que a automação da sua rede interna continue funcionando, você precisará adicionar o endereço IP da sua rede interna à seção de ips confiáveis.

Você pode inserir outros ips externos para participar do MFA.

 Exemplo acima

5. Depois de configurar essas opções, clique em salvar e volte para o portal do Azure.


Opção 1 – Habilitar MFA em uma base de usuário por usuário:

1. Na página principal do portal do Azure, selecione “Azure Active Directory” e, em seguida, “Usuários”

2. Selecione “Autenticação multifator” no menu superior


3. Uma nova página que exibe seus usuários e seus status de MFA será aberta.



4. Selecione o usuário para o qual deseja habilitar o MFA. Isso abrirá uma nova caixa à direita na qual você clicará em “habilitar”. Isso habilitará e aplicará a MFA para esse usuário




Opção 2 – Use uma política de acesso condicional para habilitar o MFA:

1. Na página principal do portal do Azure, selecione “Azure Active Directory” e, em Segurança, selecione “Acesso condicional”. 

IMPORTANTE: Não ative as políticas de linha de base MFA existentes que estão atualmente em visualização. Eles não permitem a lista de permissões de IPs ou a seleção de usuários e farão com que as contas do Administrador Nerdio sejam protegidas por MFA. Isso interromperá nossa integração em seu locatário do Azure.


2. Selecione “Nova Política”


3. Na página da nova política, dê um nome à sua política. Na captura de tela abaixo, o nome da política está definido como “Exigir MFA para acesso ao portal do Azure”



4. Em “atribuição”, selecione “usuários e grupos”. Aqui você pode escolher em quais usuários / grupos gostaria de aplicar o MFA. Selecione as opções apropriadas para sua implantação.




5. Selecione concluído para voltar à página da nova política. Em seguida, selecione “Aplicativos ou ações em nuvem”> “selecionar aplicativos”> “Gerenciamento do Microsoft Azure”



6. Selecione concluído e, em seguida, selecione “Controles de acesso”. Selecione “conceder”> “conceder acesso”> “exigir autenticação multifactor”.



7. Verifique novamente para garantir que seus IPs confiáveis ​​criados na etapa 4 sejam excluídos da política de acesso condicional. Selecione “condições”> “locais” e certifique-se de que configure está definido como “sim”. Se não estiver, selecione “sim”, depois “locais selecionados” e selecione o local “IPs confiáveis ​​MFA” e salve.

8. Certifique-se de que “ativar política” esteja definido como “ativado”. Em seguida, selecione “criar”.




Requisitos para atender à conformidade da Microsoft

Assim que a política MFA for habilitada, seus usuários (incluindo usuários administradores) precisarão imediatamente concluir a inscrição na MFA antes de poderem fazer logon no Portal do Azure.

ESTE guia do usuário ajudará os usuários que não fizeram isso antes.

Com este post espero que tenha ajudado a sua empresa com autenticação de segurança.

Até mais

Pass-throuh Autentication /AZURE AD

A autenticação de passagem também conhecida aqui no Brasil por PTA é um dos métodos de autenticação do Azure que permite que os usuários usem um único conjunto de credenciais para acessar recursos locais e recursos na nuvem, como Office 365 ou outros aplicativos SaaS.

Uma das maneiras mais comuns de os usuários se autenticarem no Azure com suas credenciais locais é por meio da Sincronização de Hash de Senha . No entanto, as organizações que têm políticas rígidas de segurança e conformidade podem optar por usar a autenticação de passagem, que (como a sincronização de hash de senha) não requer qualquer licenciamento adicional.

Observação: esta opção não está disponível para a nuvem Microsoft Azure Germany ou nuvem Microsoft Azure Government.

Este método usa agentes de software no local para validar senhas em relação aos controladores de domínio no local, em vez de apresentar a senha ao Azure AD.

Alguns dos benefícios e recursos da autenticação de passagem incluem:

  • As credenciais são sempre autenticadas por controladores de domínio locais para segurança extra,
  • Nenhum requisito de licenciamento adicional,
  • Ser capaz de fazer uso de suas políticas de senha locais,
  • Integração com gerenciamento de senha de autoatendimento no Azure, write-back de senha e proteção de senha, que proíbe o uso de senhas comumente usadas,
  • Integração com políticas de acesso condicional, incluindo Azure MFA,
  • A integração com SSO contínuo é possível para que os usuários não precisem digitar sua senha ao se autenticar no Azure AD,
  • Proteção contra ataque de força bruta usando o recurso de bloqueio inteligente,
  • Nenhum requisito de criação de porta de entrada, pois todo o tráfego é apenas de saída, tornando não essencial hospedar os agentes de autenticação em uma DMZ,
  • Pouca sobrecarga de gerenciamento, pois cada agente atualiza e aplica patches a si mesmo automaticamente,
  • A alta disponibilidade é facilmente alcançada com a implantação de vários agentes,
  • Todos os aplicativos da web baseados em navegador e aplicativos do lado do cliente do Microsoft Office que usam autenticação moderna, como o Outlook, são suportados.

Conteúdo:

  • Requisitos gerais de dimensionamento
  • Acesso de firewall e proxy
  • Fluxo de autenticação
  • Configurando a autenticação de passagem
  • Habilitando a autenticação de passagem e a sincronização de hash de senha
    • Planejamento
    • Instalando
  • Solução de problemas

Requisitos gerais de dimensionamento:


Quando hospedado em um servidor CPU de 4 núcleos com 16 GB de RAM, um Agente de Autenticação pode suportar de 300 a 400 autenticações por segundo. Esses servidores devem estar localizados próximos aos controladores de domínio para reduzir a latência.

Acesso de firewall e proxy:


Para o registro inicial de um Agente de autenticação, certifique-se de que o agente pode acessar:

  • login.windows.net
  • login.microsoftonline.com

O agente deve ser capaz de se comunicar de saída nas seguintes portas

  • TCP 80 – Usado para baixar as listas de revogação de certificado durante a validação do certificado SSL.
  • TCP 443 – usado para todas as comunicações de saída com o serviço de autenticação no Azure.
  • TCP 8080 (opcional) – Os agentes de autenticação relatam seu status a cada dez minutos usando essa porta, se a porta 443 não estiver disponível. O status de integridade é exibido no portal do Azure AD. A porta 8080 não é usada para logins de usuários.

Se o tráfego de seus Agentes de autenticação for roteado por meio de um proxy, certifique-se de que os seguintes endereços estejam na lista de permissões:

  • * .msappproxy.net
  • * .servicebus.windows.net

Se a lista de permissões de DNS não for possível, certifique-se de que o acesso aos intervalos de IP do datacenter do Azure listados aqui seja permitido.

Para validação do certificado, permita o acesso aos seguintes URLs:

Fluxo de autenticação:

  1. O usuário acessa um aplicativo do lado do cliente do Microsoft Office, como o Outlook, usando Autenticação Moderna ou um aplicativo da web.
  2. Se o usuário ainda não estiver conectado, ele será redirecionado para o Azure AD página de login.
  3. O usuário insere seu nome de usuário e senha (a mesma que usa no local).
  4. O Azure AD recebe a solicitação de entrada e coloca as credenciais do usuário em uma fila. As credenciais são criptografadas usando a chave pública dos agentes de autenticação.
  5. Um Agente de Autenticação local recupera as credenciais criptografadas por meio de uma conexão persistente pré-estabelecida com o Azure AD. O agente descriptografa a senha usando sua chave privada.
  6. As credenciais são validadas no Active Directory usando APIs padrão do Windows, que seguem um método semelhante ao que o AD FS usa.
  7. O controlador de domínio que recebe a solicitação a valida e retorna uma resposta ao agente, como sucesso, falha, senha expirada, conta do usuário bloqueada etc.
  8. A resposta do controlador de domínio é retransmitida pelo Agente de Autenticação para o Azure AD.
  9. O Azure AD avalia a resposta e conecta o usuário ou desafia o usuário para autenticação multifator, por exemplo, se as políticas de acesso condicional estiverem em execução.
  10. Após a autenticação ser concluída, o acesso ao aplicativo é concedido.

Habilitando a autenticação de passagem e a sincronização de hash de senha :


Você pode habilitar a Sincronização de Hash de Senha por meio da  página Recursos opcionais do assistente do Azure AD Connect. Isso permite que o login seja concluído para aplicativos que não oferecem suporte à autenticação de passagem. Além disso, se os Agentes de autenticação falharem e você ficar sem um agente em funcionamento para processar as solicitações de autenticação, é possível ativar a sincronização de hash de senha para evitar qualquer tempo de inatividade. A troca de métodos não é automática e você deve alterar manualmente o método de login para Sincronização de Hash de Senha no assistente AD Connect. Se o servidor AD Connect primário também estiver offline e você não tiver acesso a um servidor de armazenamento temporário, será necessário ligar para o Suporte da Microsoft para desativar a autenticação de passagem. Observe que os usuários apenas na nuvem não serão afetados por uma interrupção na autenticação de passagem.

Configurando a autenticação de passagem:

⮩ Planejamento:

  • Ao instalar o Agente de autenticação de passagem, você deve instalar o primeiro agente em um servidor AD Connect, que está executando o Windows Server 2012 R2 ou superior. Você também deve aproveitar esta oportunidade para atualizar o AD Connect se as atualizações automáticas não estiverem habilitadas.
  • Servidores de agente adicionais também devem estar executando o Windows Server 2012 R2. A Microsoft recomenda que você tenha no mínimo 3 Agentes de autenticação em execução no seu locatário. O número máximo possível para um único inquilino é 12.

⮩ Instalando:


Para habilitar a autenticação de passagem em seu locatário, você deve executar uma instalação personalizada do AD Connect. Como alternativa, você pode executar novamente o assistente após a configuração inicial e escolher Alterar login do usuário , inserir as credenciais de administrador globais e selecionar Autenticação de passagem -> Avançar .

Observação: a ativação da autenticação de passagem aplica esse método a todo o locatário. Ou seja, para todos os domínios personalizados em seu locatário que são Gerenciados , a autenticação de passagem será usada. Observe que os domínios federados podem continuar a usar o AD FS ou outras soluções de terceiros.

Clique em Configurar .

Clique em Sair .

Este processo instalará o primeiro Agente de Autenticação em seu ambiente, que ficará ao lado do servidor AD Connect. Você pode ver os três novos pacotes que foram instalados por meio de Programas e Recursos.

Navegue até o portal do Azure -> Azure Active Directory -> Azure AD Connect e clique em Autenticação de passagem , que deve ser exibida como Habilitada .

Aqui, você verá uma lista de servidores em seu ambiente que estão atuando como Agentes de autenticação. Você também pode ver o IP, o status e implantar mais agentes baixando o software do agente. Clique em Download .

Observação: você também pode baixar diretamente o software do agente em https://aka.ms/getauthagent

Clique em Aceitar os termos e fazer download .

Após a conclusão do download do agente, execute o instalador em seu próximo servidor de Agente de autenticação eleito.

Clique em Instalar .

Insira as credenciais da conta de administrador global do locatário e clique em Avançar.

Clique em Fechar para completar a instalação.

Depois de alguns momentos, seu novo servidor do Agente de Autenticação será exibido no portal do Azure AD.

O símbolo de aviso também desaparecerá no portal do Azure AD ao lado da autenticação de passagem , porque agora você tem alta disponibilidade entre seus agentes.

Solução de problemas:


Existem várias maneiras de solucionar problemas de autenticação de passagem, como:

  • Exibindo logs de eventos em Logs de aplicativos e serviços -> Microsoft -> AzureAdConnect -> AuthenticationAgent -> Admin .
  • Exibindo o status dos servidores do agente do portal do Azure AD em Azure Active Directory -> AD Connect.
  • Verificando os logs do AD Connect em % ProgramData% \ AADConnect \ trace – *. Log para erros relacionados à instalação.
  • Verificando logs de rastreamento detalhados em % ProgramData% \ Microsoft \ Azure AD Connect Authentication Agent \ Trace \ .

Dentro deste contexto que muitos administradores me perguntam é se é possivel realizar bloqueio por horário?

Resposta: Sim.

A administração do bloqueio do horário é toda realizada pelo Active Directory tradicional.

Quando é feito o procedimento ele repassa pelo PTA, quando o usuário for se autenticar no portal se durante um determinado horário você tiver bloqueado o usuário não irá acessar o ambiente seja ele local ou em aplicações na nuvem.

Espero ter ajudado.

Ao redor do buraco tudo é beira!

Um cavalo morto é um animal sem vida!

Exame

Notícias do Brasil e do Mundo. Economia, Política, Finanças e mais. ➤ Entrevistas, Análises e Opinião de quem entende do Assunto! ➤ Acesse!

Project THOR

Technical and Human infrastructure for Open Research

randieri.com

Il blog di Cristian Randieri

TEC OFFICE PRODUTIVO

Tec Office Produtivo é um grupo de treinamentos, dicas e tutorias de informática sobre aplicativos utilizados em escritórios.

GOLD RECIPES.

GOLD RECIPES.

<span>%d</span> blogueiros gostam disto: