👋 Olá, pessoal! Tudo certo?
Seguimos na nossa jornada sobre o Windows LAPS 🔐, e agora é hora de falar sobre um ponto muito importante: a senha do DSRM (Directory Services Restore Mode) 🛠️.
Se você ainda não leu o artigo anterior sobre o Windows LAPS, 📖 recomendo fortemente a leitura! Basta clicar neste link 👉 aqui para conferir.
Vamos juntos nessa jornada de aprendizado 🚀 e fortalecer ainda mais a segurança do seu ambiente de Active Directory! 🛡️💼
O que é DSRM?
🛠️ O Directory Services Restore Mode (DSRM) é um modo especial de inicialização que permite iniciar um controlador de domínio do Active Directory sem carregar o próprio serviço do AD.
💾 Esse recurso é essencial em cenários de recuperação, como quando o Active Directory está corrompido ou precisa ser restaurado a partir de um backup.
🔑 Em vez de utilizar credenciais de domínio padrão, o acesso ao DSRM requer uma senha exclusiva definida durante a promoção do controlador de domínio.
🛡️ O DSRM é uma ferramenta fundamental para garantir a continuidade dos serviços e a recuperação dos dados críticos da empresa em situações de desastre.
Gerenciamento da senha do DSRM com Windows LAPS
🔐 Assim como as senhas das estações de trabalho devem ser protegidas com o Windows LAPS, a senha DSRM dos controladores de domínio 🖥️ também precisa ser gerenciada com essa solução. Isso é fundamental para evitar possíveis ataques aos seus servidores de identidade ⚠️.
➡️ Ao aplicar o gerenciamento de senha com o Windows LAPS também nos seus DCs, você reduz o risco de ataques de movimento lateral, comuns quando a mesma conta DSRM é utilizada em vários controladores de domínio.
🚫 Deixe para trás essa prática ultrapassada e comece hoje mesmo a proteger seus DCs com o Windows LAPS!
📌 Falando em controladores de domínio, recomendo fortemente a leitura deste artigo aqui, no qual compartilho dicas valiosas sobre as boas práticas para implantação desse tipo de servidor. Afinal, o controlador de domínio é o componente mais crítico em ambientes que utilizam o Active Directory para a gestão de identidade 🧠💼.
Windows LAPS gerenciando a senha do DSRM
Requisitos
Para utilizar a criptografia de senha no Windows LAPS 🔐, é necessário que o nível funcional do domínio (DFL – Domain Functional Level) seja Windows Server 2016 ou superior.
🔻 Se o DFL for inferior a 2016, as seguintes limitações se aplicam:
- ❌ Você não poderá habilitar a criptografia de senha.
- ✅ Será possível armazenar senhas em texto não criptografado, protegidas apenas por ACLs (listas de controle de acesso) do Active Directory.
- ❌ Não será possível configurar os controladores de domínio para gerenciar a conta local DSRM.
🟢 Quando o domínio usa um DFL de 2016 ou superior:
- ✅ Você pode habilitar a criptografia de senha no Windows LAPS.
- ⚠️ No entanto, controladores de domínio com Windows Server 2016 ou anteriores não são compatíveis com o gerenciamento da conta DSRM.
- ✅ A funcionalidade completa só é garantida com controladores de domínio Windows Server 2019 ou mais recentes.
📊 Tabela de compatibilidade:
| Detalhes do Domínio | 🔓 Texto não criptografado | 🔐 Senha criptografada | 👨💻 Gerenciamento da conta DSRM |
| DFL anterior a 2016 | ✅ Sim | ❌ Não | ❌ Não |
| DFL 2016 com ao menos um DC Windows Server 2016 ou anterior | ✅ Sim | ✅ Sim | ⚠️ Sim, apenas em DCs 2019+ |
| DFL 2016 com apenas DCs Windows Server 2019 ou superior | ✅ Sim | ✅ Sim | ✅ Sim |
📣 Recomendação:
É altamente recomendável atualizar seus clientes, servidores e controladores de domínio para as versões mais recentes do Windows Server 📈, a fim de aproveitar os recursos mais modernos e os melhoramentos de segurança mais avançados 🛡️.
Vídeo
🔐 Neste vídeo, você vai aprender como configurar o Windows LAPS para gerenciar a senha da conta DSRM de forma segura 🛡️ e centralizada 🖥️.
Referencias
👉 Inscreva-se no canal do YouTube, ative as notificações 🔔 e acompanhe todos os conteúdos técnicos em primeira mão.
Há 10 anos atuo na área de TI focado em suporte e administração de infraestrutura, especializado em plataformas Microsoft. Tenho grande experiência em troubleshooting, implantação, configuração e administração de funções e recursos de tecnologia Microsoft. Formado em Redes de Computadores pela faculdade Estácio de Sá de Belo Horizonte.
Comecei a compartilhar o meu conhecimento no ano de 2012, fazendo artigos e vídeos para o meu Blog. Em 2017 comecei a escrever artigos para o portal Cooperati.
Sou apaixonado em compartilhar o meu conhecimento. Meu lema é: um conhecimento só é válido quando compartilhado.
No responses yet