MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Tags

Disco Externo eSATA Desaparece ou Lento Após Conectado

Um problema que já me aconteceu algumas vezes e já precisei resolver para alguns amigos é o uso do disco externo eSATA desaparecer após conectado, ou mesmo apresentar lentidão extrema ao ser inserido demorando muito para ser detectado como letra.

SINTOMA

Ao olhar o Event Viewer você provavelmente encontrará um dos eventos abaixo:

Evento 51: An error was detected on device \Device\Harddisk?\DR? during a paging operation.

Evento 9: The device, \Device\Ide\iaStor0, did not respond within the timeout period

O evento 9 é consequencia do evento 51 que indica erro ao criar paginação para o disco que foi inserido.

CAUSA

Diferente de um disco USB que tem acesso limitado a recursos, os discos eSATA entram no mesmo barramento do disco fixo da maquina, o que faz com que ele apareça como unidade de paginação, como mostra a figura abaixo.

Configurado em modo automático, o Windows tentará criar no disco removível um arquivo de paginação, o que gera o erro.

image

SOLUÇÃO

Altere o gerenciamento de memória virtual desligando o modo automático em TODOS OS DISCOS e deixe apenas no disco C: ou outro fixo desejado e o problema não ocorrerá mais.

image

Posted: ago 08 2011, 10:31 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Hardware | Windows

Resolvendo Problemas de Backup com o DPM

Recebo muitas perguntas sobre o funcionando do DPM após ter publicado os videos do produto (http://bit.ly/rh35b6).

Muitas questões estão relacionadas ao uso de fitas e robôs, por isso editei os post sobre uso de fitas no mes passado (http://bit.ly/nZY96w) e agora vou abordar outros erros muito comuns e como solucioná-los.

Erro com Volume Shadow Services (VSS)

O processo do DPM não é realizado diretamente nos dados e sim a partir dos dados de snapshot utilizando o VSS, que é conhecido pelo Shadow Copy.

image

Sendo assim, a maioria dos problemas com backups são relacionados ao VSS que não consegue gerar os dados necessários para o DPM.

A primeira e mais facil forma de resolver é criar manualmente um ponto de restauração full, o que cria o snapshot novamente no servidor origem do backup, e em geral resolve o problema quando o VSS está com a base corrompida.

A segunda forma de resolver o problema é executar um CHKDSK no disco de origem do backup, pois o VSS grava os dados em um espaço não alocado no disco e o checkdisk faz a verificação de problemas em áreas não alocadas (free space).

A terceira forma de resolver o problema é ir nas propriedades do Shadow Copy do disco (abrir o Explorer como administrador e clicar com o botão direito) e verificar se as propriedades estão corretas. Verifique se o Shadow está ocorrendo nos discos pelo tamanho alocado e entre nas propriedades e verifique se há espaço disponivel. Note que o Shadow Copy não precisa estar Enabled, pois trata-se de outra feature.

A quarta forma de resolver o problema é utilizando a ferramenta VSADMIN e utilizar os comandos de lista dos recursos. Se alguma das listas ocorrer erro o ideal é deletar todos os shadows com os parametros VSSADMIN DELETE. Com esta ação será reinicializado o VSS em todos os discos no próximo backup. Porem é importante que na primeira tentativa ocorra erro, pois os shadow serão reinicializados. Se isso ocorrer espere alguns minutos e tente novamente.

A quinta e ultima forma de resolver os problemas é verificar pelos hotfix e updates disponiveis para o servidor origem dos dados e também do próprio DPM que está no QFE 2 (http://www.microsoft.com/download/en/details.aspx?id=20953).

Problemas Especificos com Proteção do Hyper-V

Uma das grandes vantagens do DPM é fazer backup de maquinas virtuais (VMs) diretamente do serviço de Hyper-V, o que é muito mais rápido ao copiar e restaurar por incluir o VHD inteiro no backup.

Porem, neste caso é necessário tomar várias precauções.

A primeira delas tem a ver com DAS (Direct Attach SCSI), seja em um sotrage ou em discos locais se o DPM estiver no host do Hyper-V, o que eu nunca recomendaria por sinal.

Neste caso, o DPM irá ocupar toda a banda do storage para realizar o backup e o Hyper-V irá derrubar o serviço por entender que o VHD ficou indisponivel. Se você possuir cluster o serviço de cluster irá cair por indicar acesso simultâneo no mesmo disco. Portanto, não utilize o DPM conectado fisicamente na mesma controladora que está o Hyper-V.

Outro problema é o Hyper-V entender que houve acesso simultaneo ao mesmo dado (VHD) e neste caso aplique o KB 2545685 (http://support.microsoft.com/default.aspx?scid=kb;en-US;2545685) que costuma resolver o problema.

Se o seu ambiente Hyper-V for baseado em cluster também pode ser necessário caso o KB acima não resolva executar as tarefas descritas no documento http://technet.microsoft.com/en-us/library/ff634192.aspx que serve para influenciar a forma como os snapshots são gerados quando seu hardware não dá suporte a esta operação.

Por fim, siga os passos do documento http://technet.microsoft.com/en-us/library/ff634205.aspx desabilitando o protocolo chimney ou ativando a auto montagem dos volumes para o VSS.

Conclusão

Sistemas de backup são fáceis de serem implementados, mas exigem alto conhecimento do ambiente para serem gerenciados, já que a dependencia de recursos locais como o VSS e CSV no caso do Hyper-V em cluster não são tão simples de serem controlados.

Porem, com as dicas acima consegui resolver os problemas que tive em diversos clientes com sucesso!!!

Recuperando um disco dinâmico, convertendo para básico a força

Ao trocar o meu HD externo pelo que já possuía no note, tive o seguinte problema: “Invalid disk” tanto no Server Management quando no DiskPart.

O disco em questão era o de boot no meu antigo notebook que estava formatado como Dynamic e com 3 partições (System, SO e Dados).

Encontrei no Fórum TechNet referencia ao mesmo problema, mas não se aplicavam ou não adiantavam no meu caso e foi quando comentaram da ferramenta HxD (http://cnet.co/qe5H4H), que eu já havia utilizado mas para editar arquivos e não para editar setores de disco.

Então ai está a solução, usando o HxD edite o disco e altere o hexa 42 (dinâmico) para 07 (básico) e o disco passa a ser enxergado com todas as partições, mas com o sintoma de aparecem algumas partições “fantasmas”.

Na figura 1 veja a abertura do disco pelo menu “Extras –> Open Disk”

HxD-1

Na figura 2 encontramos a definição dos tipos de partição, que iniciam na posição 0000001C0 em diante e note o terceiro octeto com o DWORD 42 e altere para 07.

HxD-2

Na figura 3 veja que o disco foi visto como básico, as partições voltaram, inclusive a de 200MB utilizado como System e uma “fantasma” com a letra H que não tinha dono e que segundo referencias era a partição de controle do disco dinâmico.

HxD-3

Assim, após realocar os 200 MB para o disco G:, apagar o disco H: e reformatar a partição 1 que era boot fiquei com o meu disco recuperado e estou utilizando normalmente como uma única partição sem ter perdido dados que estavam na partição 2:

image

image

Importante: Não utilize este recurso em dados sem levar em conta o risco de perder partições, principalmente levando em conta que certos recursos não são suportados (Extend, Expand, RAIDs) em discos básicos. Este recurso é interessante e essencial caso deseje recuperar dados de discos que estejam nas especificações dos discos básicos, ou seja, até 4 partições sem recursos de RAID.

Posted: ago 03 2011, 13:14 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Hardware | Windows

MSTechDay Adamantina, São Paulo e Barra Bonita

Este final de semana irá iniciar o ciclo de eventos da equipe MSTechDay:

image

06/08 São Paulo http://www.mstechday.com/saopaulo/inscricao.aspx

13/08 Barra Bonita https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032490826&Culture=pt-BR

27/08 Adamantina https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032487894&Culture=pt-BR

A agenda de cada evento é eclética e visa agradar tanto a desenvolvedores quanto profissionais de TI.

Os eventos em Barra Bonita e Adamantina são gratuito e o de São Paulo tem uma taxa de R$ 30,00 para as despesas do evento.

Nos dois eventos fora de São Paulo serão 5 MVPs palestrando em cada um deles, alem do Daniel Donda que recentemente lançou um livro sobre o Windows Server Core e estará falando sobre este assunto.

Nos eventos de Adamantina e Barra bonita fui convidado para palestrar sobre “Green IT” e será um prazer poder conhecer pela primeira vez estas duas cidades.

Se você está em São Paulo ou mora próximo a uma dessas outras duas cidades, não deixe de comparecer!!!

Posted: jul 31 2011, 20:10 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Eventos

Utilizando Fitas (Tape Drives) no DPM 2010–Parte III

Neste terceiro post iremos tratar de como trabalhar com as politicas de backup “long-term” para ajudar a escolher a mais apropriada para sua necessidade.

Como abordado no primeiro post é necessário escolher algumas opções ao criar o grupo de proteção e utilizar a opção “Long-term”.

Backup Tape

A primeira opção Retention range indica qual o tempo de retenção ou expiração do backup. Esta opção é importante ao ser planejada pois se este tempo for alto indica o numero de fitas que precisam ser utilizadas, já que como abordado na parte II a fita só pode ser reutilizada quando este periodo terminar.

A opção Frequency of backup e Backup schedule obviamente indicam quando o backup será executado na janela de retenção.

Quantas fitas (tapes) são necessárias?

Utilizando o backup acima como exemplo, precisariamos de 6 fitas. O motivo é que o backup é diario realizado de segunda a sexta (sabado e domingo está como excluido) o que formaria um conjunto de 5 fitas. A 6ª fita é a de arquivamento, já que o rodizio das fitas só seria possivel ao completar uma semana.

Ou seja, sempre serão necessárias uma fita a mais do que o periodo indicado para ser possivel realizar o rodizio.

Utilizando o Co-location não diminuo o numero de fitas?

Sim e muito, principalmente se os grupos de proteção forem menores que 400/800GB da fita LTO-3, por exemplo, já que diversos backups poderão estar contidos em uma unica fita.

O problema do co-location é o fato do gerenciamento ser manual. No exemplo da pergunta anterior poderá existir uma rotina de backup onde o operador em um horário determinado irá trocar a fita.

Quanto o co-location está ligado é necessário ficar manualmente olhando o quanto da fita está livre para fazer a troca, alem do co-location acabar misturando backups de grupos de proteção diferentes na mesma fita, o que torna mais complexo o arquivamente em cofre ou outra forma persistente.

Exemplos com politica de renteção em cofre

Vamos fazer um exemplo de uma empresa com 3 grupos de proteção, o que é comum. Levaremos em conta que o arquivamento mensal será permanente:

  • Grupo 1 – File Server com backup diário (seg-sex), retenção semanal e arquivamento mensal
  • Grupo 2 – Exchange com backup diário (todos os dias), retenção semanal e arquivamento semanal/mensal
  • Grupo 3 – SQL Server com backup diário (todos os dias), retenção semanal e arquivamento semanal/mensal

Para o grupo 1 precisariamos anualmente de 12 fitas permanentes mais 6 rotativas:

  • 5 fitas para os backups diários
  • 1 fita para fechar o ciclo semanal
  • 12 fitas para os backups mensais que são o ultimo semanal do mês, que será arquivada

Como o grupo 2 e 3 são similares seriam necessárias anualmente 56 fitas permanentes e 7 rotativas que ao longo do

  • 7 fitas para os backups diários
  • A ultima fita de backup diário na semana será a fita semanal, portanto 4 fitas por mês que serão arquivadas
  • A fita de backup mensal é a última fita do semanal, que será será arquivada

Se o mesmo grupo 2 e 3 não exijam que o backup das semanas anteriores sejam guardados ao terminar o mensal teriamos a redução de 3 fitas ao mes o que somaria 12 fitas permanentes, 3 rotativas semanais e 7 rotativas diárias:

  • 7 fitas para os backups diários
  • A ultima fita de backup diário na semana será a fita semanal, portanto 4 fitas por mês que serão arquivadas
  • A fita de backup mensal é a última fita do semanal, que será será arquivada dispensando as 3 anteriores para rodizio

Conclusão

Espero ter esclarecido as principais dúvidas sobre backup em fitas com o DPM e fiquem a vontade para comentar ou enviar perguntas e sugestões.

 

Parte I – Criando grupos de proteção incluindo tapes Utilizando Fitas (Tape Drive) no DPM 2010–Parte I

Parte II – Gerenciando tapes http://www.marcelosincic.com.br/blog/post/Utilizando-Fitas-(Tape-Drives)-no-DPM-2010e28093Parte-II.aspx

Posted: jul 21 2011, 04:42 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Login
Marcelo de Moraes Sincic | All posts tagged 'segurança'
MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Tags

MITRE–Comparação entre EDRs

Um dos itens mais importantes nos últimos anos é a capacidade dos antivírus tradicionais versus os antivírus de nova geração (NGAV) alem de ferramentas com essas capacidades como o ATA e o ATP Marcelo de Moraes Sincic | Buscar por 'comportamental' (marcelosincic.com.br)

Com a evolução destes produtos o termo EDR se tornou muito comum e novas denominações como XDR (Extended Detection and Response) para definir estes produtos que usam inteligência artificial baseada em SaaS.

Como Avaliar um EDR?

Essa é a pergunta que muitos agora fazem, antes utilizávamos métodos de detecção de virus com um pendrive cheio de malwares, mas agora com o EDR e XDR estes testes baseados em assinatura de código (DAT) não são suficientes.

Para avaliar as capacidades, o MITRE, muito conhecido pela base de conhecimento MITRE ATT&CK® criou uma série de testes que as empresas de segurança executam e publicam os resultados dos seus EDRs.

Quanto maior o numero de passos detectados, melhor será a visibilidade do ataque que foi deflagrado.

Como Acessar e Ler o Ranking do MITRE ENGENUITY | ATT&CK Evaluations?

Acesse o site ATT&CK® EVALUATIONS (mitre-engenuity.org) e poderá ter um overview do processo, onde verá que já existem 3 diferentes “rounds”:

  • APT3 – Ataques que foram detectados e atribuídos ao governo chinês, baseado em roubo de identidade, movimentação lateral com scripts, rootkits e bootkits
  • APT29 – Ataques que foram detectados desde 2008 pelo governo russo baseados em PowerShell e WMI
  • Carbanak+FIN7 – Hoje um dos mais especializados, visam instituições financeiras utilizando os mais diversos tipos de ataques com sofisticação suficiente para se passarem por ferramentas administrativas dos SOs e até PDV

Uma vez entendendo os 3 diferentes conjuntos de teste, em geral avaliamos o Carbanak+FIN7 que é o mais sofisticado e atual.

Destaque para o comparativo entre os produtos, por exemplo se utilizarmos Microsoft x McAfee é possível saber as formas e técnicas em que cada um dos NGAV utilizaram para detectar os ataques.

Comparative-1

Nessa comparação podemos ver o detalhamento do tipo de ataque e o nível de log que o EDR irá gerar, clicando no link [1] que o NGAV da Microsoft criou:

Comparative-1-Details

Já o detalhamento de cada fabricante indica um resumo da eficiência em detectar os passos e gerar os EDRs para cada conjunto de ataques submetidos:

Detalhamento-1

O quadro acima mostra o numero de passos mínimo definido pelos algoritmos e quantas ações o EDR da Microsoft conseguiu identificar, o que representam passos antes e depois do ataque realizado.

Abaixo do quadro de resumo poderá ver o detalhamento dos ataques realizados com base na matriz do MITRE e ver por round a tática, técnica, sub técnica e passos que o EDR identificou. Ao clicar nas técnicas é possível ver os detalhes de cada item

Detalhamento-2

Outro interessante dado disponível são os resultados dos testes, esse retorna o EDR gerado:

Tecnica aplicada

Como Reproduzir o Mesmo Ambiente Validado nos Testes?

Talvez você já possua um dos fabricantes que foram testados, mas não tem certeza se tem os pacotes e configurações corretas.

Afinal, é importante lembrar que os testes acima são conduzidos pelos fabricantes e submetidos para publicação, então sabemos que utilizaram um conjunto de ferramentas e configurações bem construídas.

Por conta disso, os fabricantes publicam um relatório que está disponível no mesmo site, por exemplo no caso de Microsoft vemos os produtos e configurações utilizadas:

Vendor Configuration

E-book recursos de segurança e Suporte a LGPD do Microsoft Office 365

Com a entrada em vigor da LGPD (Lei Geral de Proteção de Dados) em 19/Setembro/2020, a procura por produtos que deem suporte a vazamentos de dados se tornou prioritária.

Na prática já deveríamos ter essa preocupação a muito tempo, mas agora com a Lei aprovada é necessário implementar algumas regras.

Sabemos que nem todos os artigos tem a ver com regras técnicas, por exemplo ter metodologias implementadas que comprovem o cuidado que a empresa tem no dia a dia que pode ser ISOs, ITIL e outras que já sejam praticadas e reconhecidas.

Porem a proteção do vazamento por e-mail, ferramentas de IM e até roubo de equipamentos físicos é sim uma caraterística técnica. Sem falar em arquivamento de dados legais que não tem a ver com a LGPD mas sim com normas jurídicas e fiscais (retenção de 7 anos por exemplo).

Sendo assim, quais ferramentas o Microsoft Office 365 contem e podem ser habilitadas?

Nesse e-book abordamos as diferentes ferramentas e pacotes que as contem, lembrando que não é um guia de implementação com telas, mas sim descrição dos recursos.

image

Clique aqui para baixar!

Azure Sentinel - Conheça esse novo produto de segurança agora disponível

O Azure Sentinel já estava em Preview a algum tempo (desde março) mas já se mostrava um produto bem interessante https://azure.microsoft.com/pt-br/blog/azure-sentinel-general-availability-a-modern-siem-reimagined-in-the-cloud/?wt.mc_id=4029139

Sua função é analisar os dados coletados pelo Log Analytics e gerar dashboards, reports e alertas customizados com base no Machine Learning.

Nesse primeiro post vamos falar da configuração inicial do Sentinel e seu custo.

Nota: Em um segundo artigo falaremos dos Incidentes (casos), Busca, Notebook, Analise e Guias Estratégicos.

Como Habilitar o Azure Sentinel

Para criar uma instancia do Sentinel é necessário ter o Log Analytics (antigo OMS) habilitado e executando. Se você não o conhece, pode ver o que já abordamos anteriormente em http://www.marcelosincic.com.br/post/Operations-Management-System-(OMS)-agora-e-Azure-Log-Insights.aspx

Não é necessário fazer toda a configuração do Log Analytics, dependerá do que você irá analisar. Por exemplo se analisar DNS mas usa o Azure DNS, Office 365, Azure Activity e outros recursos que já fazem parte do Azure os dados são analisados sem a necessidade de agentes.

Por outro lado se for analisar threats de segurança em geral, login e logoff de AD e segurança de ambiente é necessário ter o agente instalado no Windows ou Linux para coleta dos dados de log.

Uma vez criado o workspace do Log Analytics já é possivel fazer o vinculo.

Sentinel

Com o workspace aberto já é possivel ter um overview dos dados coletados, nada muito sofisticado mas o suficiente para acompanhar o que está sendo analisado

2-visao geral

Ao clicar em qualquer um dos itens resumidos pode-se abrir o log do que gerou os alertas ou anomalias

3-Detalhes

Como Definir o Que Será Analisado

No console do Sentinel é possivel ver a aba “Conectores” onde temos diversos conectores já criados e disponiveis, alguns como preview e indicados quais já foram vinculados.

4-Conectores

Veja no ultimo item que a cada diferente conector o custo passa a ser vigente, ou seja conforme o numero ou tipo de conector haverá a cobrança do processamento dos dados.

Para cada conector é necessário abrir a pasta de trabalho e configurar a conexão, por exemplo se for Azure indicar a subscrição e se for Office 365 o usuário para logar e capturar os dados. Como cada um dos conectores tem wizard é um processo bem simples de ser realizado.

Consumindo os Reports e Dashboards

Na aba do Sentinel veja a opção “Pastas de Trabalho” onde podemos escolher quais os dashboards que queremos deixar disponiveis ou criar os seus próprio.

Por exemplo se eu clicar no conector de Exchange Online posso exibir ou salvar a pasta de trabalho com os seus reports já prontos.

5-Pastas de trabalho

No caso acima veja que a opção de Salvar não aparece e sim a Excluir, uma vez que já salvei anteriormente como um dos dashboards (pasta de trabalho) mais utilizados.

Ao clicar em Exibir podemos ver os detalhes do dashboard de analise de Identidade que fornece informações de login e segurança do meu ambiente

6-Minha Pasta-1

6-Minha Pasta-2

6-Minha Pasta-3

6-Minha Pasta-4

O nivel e detalhamento dos dados nos fornece uma visão real do que está acontecendo em determinado item de segurança conectado.

Compartilhando e Acessando os Reports (Dashboards)

Na mesma aba de “Pastas de Trabalho” mude para “Minhas pastas de trabalho” e poderá ver os que já salvou anteriormente ou customizou.

Neste exemplo já estão salvos 7 pastas (1 é customizada) com 31 modelos. As pastas são customizadas ou as já importadas dos modelos, enquanto o numero de “31 modelos” é porque um mesmo grupo de conectores tem mais de uma pasta, como é o caso do Office 365 que tem um conjunto de 3 diferentes reports.

7-Pastas de trabalho-Salvas

Ao acessar um dos reports é possivel ver o botão “Compartilhar” onde podemos gerar um link e enviar a outros ou utilizar para acesso fácil

8-Compartilhar

Já para “pinar” ou fixar no painel inicial do portal do Azure um atalho utilize o icone de pasta na tela de preview e a opção “Fixar no painel” como abaixo

9-Pinar

Quanto Custo o Azure Sentinel

Sabemos que os recursos de Azure são em sua maioria cobrados e o Azure Sentinel já tem seu valor divulgado em https://azure.microsoft.com/pt-br/pricing/details/azure-sentinel/

A primeira opção é adquirir em pacotes de 100 a 500GB por dia em modelo antecipado iniciando ao custo de $200/dia. Claro que o modelo antecipado é mais barato, mas só é útil se você consumir 100GB por dia, o que daria $7200/mês.

A segunda opção e util para quem irá analisar menos de 100GB por dia é o modelo de pagamento pós-uso ou por consumo ao valor de $4 por GB analisado.

Para saber o quanto está sendo analisado, veja a segunda imagem nesse artigo onde temos o total de dados “ingeridos”.

Importante: Se você coletar dados do Log Analytics o valor deve ser somado, já que o Log Analytics é uma solução independente.

Posted: set 30 2019, 00:31 by msincic | Comentários (0) RSS comment feed |
  • Currently 5/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Login