Como Aplicar Modelos de Segurança em Diretivas de Grupos no Windows Server 2003

Aplicando Diretivas de Grupos

Os passos seguintes mostram como aplicar as Diretivas de Grupos e adicionar grupos de segurança para os Direitos Atribuídos de Usuários.

Como aplicar Diretivas de Grupos em uma unidade ou domínio organizacional

1. Abrir Active Directory Users and Computers clicando em Iniciar, Ferramentas Administrativas, Active Directory Users and Computers.
2. Destaque o domínio ou unidade organizacional relevante, clique no menu Action e selecione Properties.
3. Selecione a guia Group Policy.
   Nota: Múltiplas políticas podem ser aplicadas em cada recipiente. Elas são processadas em ordem a partir do fim da lista. Se houver um conflito, a última aplicada prevalece.
4. Clique em New para criar uma nova diretiva e forneça um nome significativo à diretiva, por exemplo, Diretiva de Domínio.
   Nota: No Override não pode ser configurada clicando em Options. No Override é configurado individualmente para cada diretiva e não para o recipiente como um todo, visto que o Block policy inheritance é configurado para todo o recipiente. Se houver um conflito na configuração entre o No Override e o Block policy inheritance, a opção No Override toma precedência. Para configurar Block policy inheritance, selecione a caixa de verificação em propriedades da OU.
   A Diretiva de Grupos é atualizada automaticamente, mas para iniciar o processo imediatamente, você pode utilizar o comando GPUpdate pelo prompt de comando:

   GPUpdate /force

Para adicionar grupos de segurança às atribuições de direitos dos usuários

1. Abrir Active Directory Users and Computers clicando em Iniciar, Ferramentas Administrativas, Active Directory Users and Computers.
2. Destaque a OU relevante, por exemplo, Servidores Membro, clique no menu Action e selecione Properties.
3. Clique na guia Group Policy e selecione a diretiva relevante, por exemplo, Member Server Baseline Policy, depois clique em Edit.
4. No Editor de Diretivas de Grupos, expanda Computer Configuration, Windows Settings, Security Settings, Local Policies e destaque User Rights Assignment.
5. No painel da direita, clique duas vezes no direito do usuário relevante.
6. Selecione a caixa de verificação Define these policy settings e clique Add User or Group para modificar a lista.
7. Clique em Ok.

Importando Modelos de Segurança em Diretivas de Grupos

Os passos seguintes mostram como importar modelos de segurança para diretiva de grupos.

Para importar um modelo de segurança

1. Abrir Active Directory Users and Computers clicando em Iniciar, Ferramentas Administrativas, Active Directory Users and Computers.
2. Destaque a OU relevante, clique no menu Action e selecione Properties.
3. Selecione a guia Group Policy.
4. Destaque a diretiva relevante e clique em Edit.
5. Expanda Computer Configuration, Windows Settings, Security Settings
6. Clique no menu Action e selecione Import Policy.
7. Navegue para \Security Guide\Job Aids, selecione o modelo relevante, e clique em Open.
8. Em Group Policy Object Editor, clique no menu File, e selecione Exit.
9. Clique em OK nas propriedades do recipiente.

Utilizando a Configuração e Análise de Segurança

Os seguintes passos mostram como importar, analisar e aplicar um modelo de segurança usando Configuração e Análise de Segurança.

Como importar um modelo de segurança

1. Clique em Iniciar, Executar. Digite mmc na caixa de texto em Open e clique em OK.
2. No Microsoft Management Console, clique em File, e selecione Add/Remove Snap-in.
3. Clique em Add e selecione Security Configuration and Analysis na lista.
4. Clique em Add, Close, Ok.
5. Selecione Security Configuration and Analysis, clique no menu Action, e selecione Open Database.
6. Digite um novo nome para base de dados, por exemplo, Bastion Host, e clique em Open.
7. Na interface Import Template, navegue para \Security Guide\Job Aids e selecione o modelo relevante. Clique em Open.

Para analisar o modelo importado e compará-lo às configurações atuais

1. Selecione Security Configuration and Analysis no Microsoft Management Console, clique no menu Action, e selecione Analyze Computer Now.
2. Clique em Ok para aceitar o padrão Error log file path.
3. Quando a análise estiver completa, expanda os títulos da seleção para investigar os resultados.

Para aplicar o modelo de segurança

1. Selecione Security Configuration and Analysis no Microsoft Managemment Console, clique no menu Action, e selecione Configure Computer Now.
2. Clique em Ok para aceitar o padrão Error log file path.
3. Em Microsoft Managemment Console, clique em File e selecione Exit para fechar Security Configuration and Analysis.

Fonte: Microsoft Library

EXECUTANDO PROGRAMAS COM CREDENCIAIS DE ADMINISTRADOR

Quem trabalha com TI com certeza já passou por situações onde um software precisa ser executado com credenciais de administrador, você daria esse privilegio a seus usuários?

Por questões de segurança, usuários utilizam contas restritas ou seja, não possuem privilégios de administrador, isso garante que usuários não possam alterar algumas configurações do computador como também a instalação de softwares. Alguns softwares necessitam de permissões para gravar em determinadas pastas ou modificar o registro do Windows e usuários restritos não possuem privilégios para concluir essas modificações.

Para resolver esse problema sem tornar o usuário um “administrador” basta utilizar o comando RUNAS também conhecido como “executar como” em nossa interface gráfica.

Abra as propriedades do atalho do software o qual pretendemos que seja executado como administrador.

Em destino, antes do caminho do executável inclua o comando Runas /savecred ficando

runas /savecred /user:administrador “C:\Windows\System32\cmd.exe”

Agora voce deverá clicar no atalho, será pedido uma senha, apos a digitação essa senha será memorizada pelo windows e não será solicitada novamente.

na figura abaixo voce poderá visualizar que o prompt esta sendo executado como administrador.

OBS: Neste exemplo utilizei o prompt de comando pois com ele é possivel exibir o usuario que esta executando-o, porem não recomendo esse uso em ambientes reais.

Caso seja necessário remover ou alterar a senha digitada use o console “contas de usuários” digitando “control userpasswords2” no executar.

Na aba “Avançado” clique em “gerenciar senhas”

clique em credenciais do Windows, e modifique a credencial desejada.

outras senhas também serão salvas neste console como senhas de Área de trabalho remota.

Fonte: http://www.cooperati.com.br/2013/03/01/executando-programas-com-credenciais-de-administrador/

Software Emissor CT-e - Versão de produção (com VALIDADE JURÍDICA)

O Software Emissor CT-e é um programa que, após instalado na máquina do contribuinte, permite a emissão de Conhecimentos de Transporte eletrônicos (CT-e) para a correspondente Secretaria de Fazenda Estadual (SEFAZ).

O Software compreende a geração do arquivo do Conhecimento de Transporte eletrônico, meios para realizar a assinatura com o Certificado Digital que o contribuinte possuir e a sua transmissão para a SEFAZ relacionada. Também permite o gerenciamento dos CT-e's e o cancelamento dos mesmos, a impressão do Documento Auxiliar do Conhecimento de Transporte eletrônico (DACTE) e outras funcionalidades acessórias para facilitar a criação do CT-e, tais como os cadastros de clientes e relatórios.

Fonte: http://www.emissorcte.fazenda.sp.gov.br/

Software Emissor NF-e - Versão de produção (com VALIDADE JURÍDICA)

O Software Emissor NF-e é um programa que, após instalado na máquina do contribuinte, permite a emissão de Notas Fiscais eletrônicas (NF-e) para a correspondente Secretaria de Fazenda Estadual (SEFAZ).

O Software compreende a geração do arquivo da Nota Fiscal eletrônica, meios para realizar a assinatura com o Certificado Digital que o contribuinte possuir e a sua transmissão para a SEFAZ relacionada. Também permite o gerenciamento das NF-e's e o cancelamento das mesmas, a impressão do Documento Auxiliar da Nota Fiscal eletrônica (DANF-e) para a circulação das mercadorias e outras funcionalidades acessórias para facilitar a criação da NF-e, tais como os cadastros de clientes, produtos e transportadoras.

http://www.emissornfe.fazenda.sp.gov.br/

Download do Aplicativo V.2.0 = http://www.emissornfe.fazenda.sp.gov.br/v2/aplicativo/emissorNFe.jnlp

Fonte: http://www.emissornfe.fazenda.sp.gov.br/

Java - Erro - Suas definições de segurança impediram a execução de uma aplicação autoassinada.

Suas definições de segurança impediram a execução de uma aplicação autoassinada.

Problemas na hora de entrar o Java:
1 - O Emissor de Nota Fiscal Eletrônica (NF-e) 2.0 não abre, ou
2 - Sites do Banco do Brasil, Caixa Econômica Federal, Itaú, Santander, Banrisul e Bradesco travam ao tentar entrar na conta, ou
3 - Conectividade Social trava ao tentar entrar em área restrita, ou
4 - Site http://pje.trt4.jus.br/primeirograu/login do Processo Judicial Eletrônico Tribunal Regional do Trabalho não entra ou trava.

Erro: 
Aplicação Bloqueada por Definições de Segurança.
Suas definições de segurança impediram a execução de uma aplicação autoassinada.

Solução 1: 
Desinstalar todas as versões do Java e instalar a versão mais recente. No Windows 7 acesse o Painel de Controle, nas primeiras opções do lado direito da janela "Exibir por:" coloque em "Ícones pequenos", depois abra o ícone JAVA, aba SEGURANÇA, na opção EDITAR LISTA DE SITES , clique em ADICIONAR e cole o endereço que você não está conseguindo acessar, exemplo: https://dominio.com.br clique novamente em ADICIONAR para confirmar.
Nota: 
1. Em alguns casos foi necessário  baixar o nível de segurança do Java para MÉDIO. 
2. Solução1 funcionou com um cliente no emissor de CT-e (Conhecimento de Transporte Eletrônico), não precisei reinstalar o java, só conferi se estava com a ultima versão e adicionar o site na guia se segurança do java. (dica de Felipe Fernandes)

Solução 2: 
Acesse o Painel de Controle -> Java -> Editar Lista de Sites -> Adicionar -> Escreva: http://www.emissornfe.fazenda.sp.gov.br

Nota: Em alguns Bancos, o acesso à conta corrente só funciona corretamente no Internet Explorer e a opção " Modo de Exibição de Compatibilidade" deve estar Habilitada. Para fazer isto, com o navegador IE9 aberto (nas versões Internet Explorer 10 ou 11  o procedimento pode ser ligeiramente diferente), pressione a tecla "Alt" para exibir a barra de menus (ou clique com o botão direito do mouse na barra de endereços e selecione "Barra de menus"), depois clique em "Ferramentas", "Configurações do Modo de Exibição de Compatibilidade", clique em "Adicionar" (Em nosso caso o endereço é sicredi.com.br)  depois em fechar.
Ex: Quando no Banco Sicredi, ao acessar a conta corrente aparece a mensagem "Não foi possível realizar a instalação do dispositivo de segurança. Tente realizar a instalação através do nosso sistema de diagnóstico, clicando no botão Instalar Dispositivo e selecionando a opção executar para realizar a instalação em sua máquina. Após a instalação, acesse novamente o Sicredi Total Empresa."  apesar do precedimento relatado no início deste post já ter sido realizado no JAVA.

Fonte: http://aluppo.blogspot.com.br/2014/01/emissor-nota-fiscar-eletronica.html

Entendendo a log do Squid

No artigo anterior, vimos como configurar e utilizar a log do Squid. Agora vamos entender um pouco sobre os campos da log. Como exemplo, vamos ver um trecho do arquivo /var/log/squid/access.log.

1385485324.773     21 172.20.1.8 TCP_MISS/200 466 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/b/selfupdate/WSUS3/x64/Other/wsus3setup.cab? – DIRECT/200.143.247.11 application/octet-stream
1385485324.773    694 172.20.16.75 TCP_CLIENT_REFRESH_MISS/200 70337 GET http://www.moodlelivre.com.br/images/stories/banner-propaganda/formacao_moodle.jpg – FIRST_UP_PARENT/localhost image/jpeg
1385485324.790    131 172.20.16.75 TCP_CLIENT_REFRESH_MISS/200 3992 GET http://www.moodlelivre.com.br/media/k2/users/252.jpg – DIRECT/66.7.220.108 image/jpeg
1385485324.791    147 172.20.16.75 TCP_CLIENT_REFRESH_MISS/200 4144 GET http://www.moodlelivre.com.br/media/k2/users/252.jpg – FIRST_UP_PARENT/localhost image/jpeg
1385485324.833   2714 172.20.16.89 TCP_MISS/200 1146 GET http://nxtck.com/act.php? – DIRECT/4.31.216.111 text/javascript
1385485324.833    382 172.20.100.15 TCP_REFRESH_UNMODIFIED/304 400 GET http://tag.navdmp.com/tm13574.js – DIRECT/108.168.143.94 -
1385485324.867   2748 172.20.16.89 TCP_MISS/200 1299 GET http://nxtck.com/act.php? – FIRST_UP_PARENT/localhost text/javascript
1385485324.867    416 172.20.100.15 TCP_REFRESH_UNMODIFIED/304 551 GET http://tag.navdmp.com/tm13574.js – FIRST_UP_PARENT/localhost -
1385485324.930     62 172.20.18.72 TCP_IMS_HIT/304 396 GET http://jsuol.com/c/modernizr/modernizr.js – NONE/- application/javascript
1385485324.942    109 172.20.18.72 TCP_REFRESH_UNMODIFIED/304 400 GET http://esporte.uol.com.br/belas-da-torcida/css/styles.css? – DIRECT/200.147.68.10 -
1385485324.942     91 172.20.18.72 TCP_REFRESH_UNMODIFIED/304 584 GET http://imguol.com/c/_layout/v1/_geral/icones/logo-uol-2.png – DIRECT/200.221.7.95 image/png
1385485324.942    207 172.20.18.72 TCP_MISS/204 629 GET http://pagead2.googlesyndication.com/pagead/gen_204? – DIRECT/173.194.118.77 text/html
1385485324.942    885 172.20.16.75 TCP_CLIENT_REFRESH_MISS/200 96585 GET http://www.moodlelivre.com.br/images/stories/banner-propaganda/banner_servidor_moodle.jpg – DIRECT/66.7.220.108 image/jpeg
1385485324.942    299 172.20.19.58 TCP_REFRESH_UNMODIFIED/304 513 GET http://ads.img.globo.com/RealMedia/ads/Creatives/globocom/174732_20131114_071048.809/300x250_enfeites_50.swf/1384431601 – DIRECT/186.192.82.180 application/x-shockwave-flash
1385485324.948    164 172.20.16.75 TCP_CLIENT_REFRESH_MISS/200 613 GET http://www.moodlelivre.com.br/templates/ja_nex/images/bg-menu.gif – DIRECT/66.7.220.108 image/gif
1385485324.948    172 172.20.18.72 TCP_MISS/204 629 GET http://pagead2.googlesyndication.com/pagead/gen_204? – DIRECT/173.194.118.77 text/html
1385485324.960     10 172.20.250.19 TCP_IMS_HIT/304 372 GET http://www.google-analytics.com/ga.js – NONE/- text/javascript
1385485324.965    170 172.20.18.72 TCP_REFRESH_UNMODIFIED/304 551 GET http://esporte.uol.com.br/belas-da-torcida/css/styles.css? – FIRST_UP_PARENT/localhost -
1385485324.965    133 172.20.18.72 TCP_REFRESH_UNMODIFIED/304 845 GET http://imguol.com/c/_layout/v1/_geral/icones/logo-uol-2.png – FIRST_UP_PARENT/localhost image/png
1385485324.965    908 172.20.16.75 TCP_CLIENT_REFRESH_MISS/200 96737 GET http://www.moodlelivre.com.br/images/stories/banner-propaganda/banner_servidor_moodle.jpg – FIRST_UP_PARENT/localhost image/jpeg

O primeiro campo é o timestamp em que a transmissão foi completada. Para converter esse horário, você pode usar o comando

# date –date=’@1385485324.942′

ou site Online Conversion – Unix time conversion,

O segundo campo é o tempo, em milisegundos, que a solicitação demorou.

O terceiro campo é o cliente que fez a requisição.

O quarto campo é a ação que o proxy tomou. As principais ações são:

• TCP_HIT : A solicitação estava em cache;
• TCP_MISS: A solicitação não estava em cache;
• TCP_DENIED: A requisição foi negada.

O quinto campo é o tamanho, em bytes, da requisição.

O sexto campo é o método usado, que pode ser GET, POST, PUT, etc.

O sétimo campo é a URL solicitada.

O oitavo campo contém o nome do cliente. Por padrão ela vai mostrar “-”, a menos que “ident_lookup on” esteja configurado no arquivo /etc/squid3/squid.conf.

O nono campo contém informações que dizem se o proxy é quem está fazendo essa solicitação diretamente, ou se essa requisição veio de outro proxy. Pode também conter o ip de destino da requisição.

O último campo diz o tipo de arquivo baixado (txt, html, imagem, etc).

Para mais informações, consulte o site http://www.linofee.org/~jel/proxy/Squid/accesslog.shtml

Fonte: http://linuxnewmedia.com.br/blogs/rede/2013/11/28/entendendo-a-log-do-squid/

Habilitando a log do Squid

Todas as ações do Squid podem ser armazenadas para análise. Os sites que os usuários acessam, a eficiência do cache, enfim, tudo pode ficar registrado em log. Para habilitar a log, no Squid, basta adicionar a linha abaixo no arquivo squid.conf.

access_log /var/log/squid3/access.log squid

Após adicionar a diretiva, reinicie o Squid.

# /etc/init.d/squid3 force-reload

Agora podemos ver os acessos usando o comando tail.

# tail -f /var/log/squid3/access.log
1385397551.682 22 172.20.17.114 TCP_REFRESH_UNMODIFIED/304 489 GET http://h.imguol.com/1311/25transitoh.jpg – DIRECT/200.147.68.8 image/jpeg
1385397551.684 761 172.20.15.60 TCP_MISS/200 97006 GET http://dataformtecnologia.com.br/images/slider-img3.jpg – FIRST_UP_PARENT/localhost image/jpeg
1385397551.687 18 172.20.17.204 TCP_MISS/200 3703 GET http://fotos.vejoaovivo.com.br/thumbs/948.jpg? – DIRECT/177.72.244.6 image/jpeg
1385397551.695 375 172.20.18.210 TCP_MISS/200 1039 GET http://ap.lijit.com//www/delivery/retarget.php? – DIRECT/67.217.177.30 image/gif
1385397551.700 9 172.20.17.114 TCP_REFRESH_UNMODIFIED/304 488 GET http://h.imguol.com/1311/25casa2h.jpg – DIRECT/200.147.68.8 image/jpeg
1385397551.702 11 172.20.17.114 TCP_REFRESH_UNMODIFIED/304 488 GET http://h.imguol.com/1311/25skype2h.jpg – DIRECT/200.147.68.8 image/jpeg
1385397551.706 20 172.20.15.10 TCP_REFRESH_UNMODIFIED/304 402 GET http://s.c.lnkd.licdn.com/scds/common/u/img/sprite/sprite_connect_v13.png – DIRECT/200.143.247.17 image/png
1385397551.711 27 172.20.17.204 TCP_MISS/200 4435 GET http://fotos.vejoaovivo.com.br/thumbs/968.jpg? – DIRECT/177.72.244.6 image/jpeg
^C

No próximo artigo vamos entender melhor a log do Squid.
Podemos usar filtros, como grep e cut, para mostrar os acessos somente de uma máquina específica, ou de um site em especial.

# tail -f /var/log/squid3/access.log | grep 172.20.17.204
1385397676.180 322 172.20.17.204 TCP_MISS/302 686 GET http://go.microsoft.com/fwlink/? – DIRECT/65.55.58.195 text/html
1385397676.388 187 172.20.17.204 TCP_MISS/200 4308 GET http://noticias.br.msn.com/RssWindowsNoticias.aspx – DIRECT/65.55.206.199 text/xml
^C

Fonte: http://linuxnewmedia.com.br/blogs/rede/2013/11/25/habilitando-a-log-do-squid/

Configurando o cache no Squid

Além de filtro de conteúdo web, o Squid também pode fazer cache das páginas. Antigamente, quando as páginas eram estáticas e os links de Internet eram lentos, isso agilizava e muito o acesso. Mas hoje, com as página dinâmicas, perdeu-se um pouco a utilidade do cache web. Porém, pode-se conseguir que até 15% das páginas acessadas estejam em cache. Um valor em torno de 10% está de muito bom tamanho.
Para configurar o cache inclua as seguintes linhas no arquivo /etc/squid3/squid.conf

acl manager proto cache_object
http_access allow manager localhost

Essas duas linhas dão permissão para a manutenção do cache.

refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0     0    4320
refresh_pattern .        45    40%    4320

Essa linhas são padrão. A última pode ser alterada. Ela diz por quanto tempo os objetos em cache serão considerados válidos (neste caso, 45 minutos). Para mais informações veja http://www.squid-cache.org/Doc/config/refresh_pattern/.

cache_dir ufs /var/cache/squid 9000 16 8

Essa linha diz onde será armazenado o cache (/var/cache/squid), qual o seu tamanho (9 Gb), em quantas pastas (16) e, dentro dessas pastas, quantas subpastas serão criadas (8). Dependendo do tipo de acesso que você permite em sua rede, você pode alterar o parâmetro ufs. Para mais informações veja http://www.squid-cache.org/Doc/config/cache_dir/.

cache_mem 9000 KB

Qual o tamanho máximo dos arquivos que serão guardados em cache (9 mb) .

cache allow all

Permite o acesso ao cache.
No próximo post vamos ver como analisar a log e gerar relatórios de acesso do proxy.

Fonte:  http://linuxnewmedia.com.br/blogs/rede/2013/11/21/configurando-o-cache-no-squid/

Exemplo de uma configuração real do Squid

Abaixo um trecho de uma configuração real do Squid. As linhas estão numeradas para podermos descrever o que cada uma faz.

1. acl transito time 05:00-09:00
2. acl cameras dstdomain -i ‘/etc/squid3/cameras.lst’
3. acl CONNECT method CONNECT
4. acl site_proibido dstdomain -i ‘/etc/squid3/site_proibido.lst’
5. acl url_proibida url_regex -i ‘/etc/squid3/url_proibida.lst’
6. acl ip_suporte src 172.20.120.0/24
7. acl ip_liberado_dropbox src 172.20.250.50
8. acl ip_liberado_dropbox src 172.20.80.7
9. acl ip_liberado_dropbox src 172.20.30.27
10. acl ip_liberado_4shared src 172.20.110.4/31
11. http_access deny cameras !transito
12. http_access deny site_proibido !ip_suporte !ip_liberado_dropbox !ip_liberado_4shared
13. http_access deny url_proibida !ip_suporte !ip_liberado_dropbox
14. http_access deny CONNECT site_proibido !ip_suporte
15. http_access deny CONNECT url_proibida !ip_suporte

Na linha 11 nos bloqueamos (deny) o acesso aos sites da ACL “cameras” (relação de câmeras espalhadas pela cidade e que geram muito tráfego no link) menos (!) no horário das 05:00 até as 09:00. Essas câmeras são usadas pelo telejornal do canal de televisão onde trabalho.
Na linha 12 estamos bloqueando (deny) o acesso aos sites listados na ACL “site_proibido”, menos para a vlan listada nas ACL “ip_suporte” e para as estações listadas nas ACL ip_liberado_dropbox e ip_liberado_4shared.
Na linha 13 estamos bloqueando (deny) o acesso às urls que contém as regex listadas na ACL url_proibida, menos para a vlan do suporte (ip_suporte) e para as estações listadas na ACL ip_liberado_dropbox.
Na linha 14 e 15 estamos bloqueando conexões aos sites site_proibido e url_proibida, menos para a vlan do suporte. Esse tipo de bloqueio (CONNECT) deve ser feito para sites seguros (https), visto que, devido a criptografia, o Squid não consegue verificar dentro do pacote se há algum tipo de conteúdo impróprio.
Bem, agora que você já entendeu o jeitão do Squid, aqui vai uma dica: tente deixar o arquivo squid.conf o mais simples possível, pois quanto mais regras existirem, mais difícil será identificar em qual delas está sendo bloqueado o acesso.
 

Fonte:  http://linuxnewmedia.com.br/blogs/rede/2013/10/29/exemplo-de-uma-configuracao-real-do-squid/

Antes de fazer algo mais elaborado no Squid…

Se você precisar (vai precisar) especificar mais de uma site em uma ACL, é  só usar o parâmetro “-i”.

acl sites_liberados dstdomain -i ‘/etc/squid3/sites_liberados.lst’
http_access allow sites_liberados

Agora criamos o arquivos /etc/squid3/sites_liberados.lst com os sites que queremos incluir nesta ACL, como no exemplo abaixo.

uol.com.br
google.com
google.com.br

Agora basta reiniciar o Squid e todos os sites estarão liberados. Podemos criar, com isso, categorias de sites e fazer as liberações baseadas nessas categorias. Aliás, antes de partirmos para configurações mais avançadas, precisamos decidir que tipo de política iremos adotar no proxy. Basicamente temos 4 tipos:

• Tudo liberado, menos os explicitamente bloqueados.

Dependendo do tipo de empresa em que você trabalha, você vai ter que deixar todos os sites liberados e ir bloqueando os acessos a medida que eles aparecem. O problema dessa abordagem é que gasta-se muito tempo analisando logs de acesso a entrando em sites para ver se seu conteúdo é ou não permitido.

• Tudo bloqueado, menos os explicitamente liberados.

Em empresas que possuem uma política menos permissiva, bloquear todos os acessos e ir liberando a medida que os usuários forem solicitando pode ser a melhor opção. Porém, isso gera um grande estresse, principalmente no começo, quando uma enorme quantidade de solicitações de liberações de sites surgem. Imaginem ter que liberar site a site em uma pesquisa no Google!

• Bloqueios e liberações por categorização dos sites.

A idéia desta abordagem é ter uma equipe (ou empresa terceirizada) para categorizar todos os sites. Algumas categorias comuns seriam: redes_sociais, portais, notícias, sexo, namoro, webmail, stream, videos, etc. Dessa forma você pode liberar e bloquear sites por categoria. Lembrando que sites sem categoria, geralmente, devem ser bloqueados. Essa abordagem tem como inconveniente ter uma equipe bem treinada para categorizar os sites, ou confiar na categorização feita por empresa terceirizada.

• Filtro dinâmico.

Essa abordagem envolve um mecanismo que analisa todo o site e, de acordo com critérios pré-estabelecidos, pontua a página. Por exemplo, se achar a palavra “sexo” soma 50 pontos; achando um palavrão soma mais 30. Se o site atingir uma determinada pontuação o site é bloqueado automaticamente. Isso permite que se libere sites como Facebook bloqueando os perfis impróprios. O único inconveniente dessa abordagem é a possibilidade de surgirem falsos-positivos, o seja, um site válidos ser classificado como indevido.

O ideal é utilizar as 4 políticas, tendo sites explicitamente bloqueados e liberados, categorização de sites e filtros dinâmicos. Veremos isso mais prá frente.

Fonte: http://linuxnewmedia.com.br/blogs/rede/2013/10/14/antes-de-fazer-algo-mais-elaborado-no-squid/

Primeiros passos com o Squid

Quem começa a mexer com Squid logo sente dificuldade para entender o jeito de configurá-lo. O Squid trabalha com ACL (Access Control List). Encare as ACL como os personagens que farão parte do Squid. Para liberar um acesso a um site eu preciso criar uma ACL para o site, bem como para as máquina que terão acesso a ele. A forma de especificar uma ACL é a seguinte:
acl nome tipo valor
No tópico anterior criamos uma acl chamada “all” que é do tipo “src” e possui valor “0/0″. Abaixo eu descrevo os principais tipos de ACL usadas no Squid.

• src – ip, intervalo de ip, ou rede de origem (172.20.120.4, 192.168.0.0/16, 10.0.0.1-10);
• dst – ip, intervalo de ip, ou rede de destino;
• dstdomain – domínio (uol.com.br, blogspot.com, etc);
• time – data e horário (12:01-13:00 : horário de almoço);
• url_regex – expressão regular encontrada na url (fazenda.[a-z][a-z].gov.br);
• port – porta usada pelo site (80,81,8080);
• proto – protocolo usado (ftp, http).

Assim, podemos criar regras misturando as ACL. Por exemplo, para liberar o acesso ao facebook para a rede 10.0.100.0/24 podemos usar as seguintes linhas no arquivo /etc/squid3/squid.conf.

http_port 3128
acl all src 0/0
acl rede_interna src 10.0.100.0/24
acl facebook dstdomain facebook.com
http_access allow rede_interna facebook
http_access deny all

 

Fonte: http://linuxnewmedia.com.br/blogs/rede/2013/10/07/primeiros-passos-com-o-squid

Instalando o Squid

Primeiramente temos que instalar o Squid. Não precisar ser no gateway de rede, mas geralmente as pessoas configuram assim. A última versão é a 3, e ela contém algumas mudanças em relação aos parâmetros de configuração da versão anterior.

# apt-get install squid3

Ao ser instalado, o Squid cria um “pequeno” arquivo de configuração em /etc/squid3/squid.conf. Não se espante com suas 5780 linhas. Embora o Squid tenha muitos recursos, seu arquivo de configuração original também é seu arquivo de documentação. Portanto é recomendado salvar o arquivo original e criar um novo. Primeiro, vamos renomear o arquivo original.

# mv /etc/squid3/squid.conf /etc/squid3/squid.conf.orig

Agora, vamos criar um novo arquivo /etc/squid3/squid.conf com o seguinte conteúdo:

http_port 3128
acl all src 0/0
http_access allow all

A primeira linha diz a porta que o Squid ouvirá. A padrão é 3128. A segunda tela contém uma acl (access control list). Encare as acl’s como os personagens do Squid. O nome da acl é “all” e é do tipo “src”, ou seja, ip de origem. O parâmetro “0/0” significa qualquer ip. A última linha contém uma http_access, que são onde realmente são permitidos (allow) ou negados (deny) os acessos. Aqui nós estamos permitindo (allow) a qualquer ip (all) acessar qualquer coisa, visto que não especificamos mais nada.

Agora basta reiniciar o Squid.

# /etc/init.d/squid3 force-reload

Neste momento, basta configurar o navegador para usar o proxy, como no print abaixo, alterando o ip conforme a tua rede.

Configuração do proxy no navegador

Isso basta para que a navegação passe pelo proxy. Mas não se preocupe com os detalhes, pois vamos entender melhor a configuração do proxy e fazer algumas personalizações nos próximos artigos.

Fonte: http://linuxnewmedia.com.br/blogs/rede/2013/10/04/instalando-o-squid/

Evitando ataques de força-bruta com Fail2Ban

Quem administra um servidor na Internet, como um servidor web ou de e-mail, já deve ter  reparado que constantemente esse servidor é vítima de uma tentativa de invasão através de um ataque de força bruta. Se você, que administra esse tipo de servidor, nunca prestou atenção a isso, ou não sabe o que é um ataque de força-bruta, então você está mal.

Um ataque de força bruta é a tentativa de descobrir a senha de um serviço através de tentativa e erro. Em um minuto, é possível testar centenas de combinações de usuário e senha. Se o teu servidor possui senhas fáceis, como palavras de um dicionário, em apenas uma noite é possível descobrir a senha. E sem muito esforço! Basta o atacante rodar um programa antes de ir dormir e pela manhã a senha já terá sido descoberta. Uma breve olhada no arquivo /var/log/auth.log mostra essa tentativa de invasão.

Jun 24 07:11:43 fpasrv053 sshd[13322]: Failed password for root from 193.104.68.200 port 47832 ssh2

Jun 24 07:11:52 fpasrv053 sshd[13331]: Failed password for root from 193.104.68.200 port 50149 ssh2

Jun 24 07:11:56 fpasrv053 sshd[13334]: Failed password for root from 193.104.68.200 port 52343 ssh2

Jun 24 07:12:01 fpasrv053 sshd[13336]: Failed password for root from 193.104.68.200 port 53371 ssh2

Jun 24 07:12:05 fpasrv053 sshd[13374]: Failed password for root from 193.104.68.200 port 54521 ssh2

Jun 24 07:12:09 fpasrv053 sshd[13376]: Failed password for root from 193.104.68.200 port 55599 ssh2

Jun 24 07:12:14 fpasrv053 sshd[13379]: Failed password for root from 193.104.68.200 port 56627 ssh2

Neste exemplo vemos o ip 193.104.68.200 tentando descobrir a senha do root através de uma conexão ssh. Repare também que ele tenta uma senha a cada 4 segundos, algo até lento para esse tipo de ataque.

O Fail2Ban trabalha lendo vários arquivos de log, como o auth.log, o daemon.log, o proftpd.log, e muitos outros, procurando por evidências de um ataque, e bloqueia o endereço de origem do ataque através do Iptables. Para instalá-lo, use:

# apt-get install fail2ban

Seus arquivos de configuração estão localizados em /etc/fail2ban, embora sua configuração padrão funcione muito bem.

Um artigo interessante, que foi escrito em 2009 mas ainda é atual, pode ser visto em http://www.vivaolinux.com.br/dica/Evitando-bruteforce-de-SSH-utilizando-o-Fail2ban

Fonte: http://linuxnewmedia.com.br/blogs/rede/2014/03/18/evitando-ataques-de-forca-bruta-com-fail2ban/

Ocomon – sistema de chamados OpenSource

Se você precisa de um sistema de controle de chamado, uma ótima opção é o Ocomon.

O Ocomon tem suporte a SLA e inventário de equipamentos, relatórios diversos, alertas por e-mail e muito mais. E, segundo o site do sistema, tem mais coisas novas vindo aí. Vamos aguardar.

O site do sistema é http://ocomonphp.sourceforge.net/

pfSense, um software completo para teu gateway

Na maioria das empresas de pequeno e médio porte existe um único equipamento que funciona como gateway da rede, proxy, firewall, vpn, etc. Para levantar um equipamento assim você pode instalar o Linux e todos os softwares necessários, como iptables, Squid, OPenVPN, QOS, etc; ou pode instalar o pfSense.

Primeiramente baixe a iso de http://pfsense.ufms.br/downloads e grave o cd. Dê o boot no equipamento.

A primeira pergunta que ele faz é se você quer configurar a vlan. No nosso caso, não.

Escolha a interface Wan, ou seja, a interface que está conectada na internet.

Responda “y”.

Você pode testá-lo através do live-cd, mas vamos instalá-lo para que as configurações não sejam perdidas depois do boot. Escolha 99.

Escolha “Accept these settings”.

Escolha “Quick / Easy instalation”.

Todos os dados do hd serão perdidos. Escolha “OK”.

Aqui eu gosto de escolher a opção “Standard Kernel”. Após o boot, tente acessar a interface web do pfSense através do endereço https://ip_do_pfSense. A tela abaixo deve aparecer.

O usuário padrão é “admin” e a senha padrão é “pfsense”.

Agora é só testar as opções, que são bem amigáveis e intuitivas.

O pfSense tem suporte a firewall, nat, redundância e balanceamento de link, VPN, estatísticas de rede, DNS dinâmico, servidor DHCP, entre outros.

Para mais informações, acesse http://www.pfsense.org/

Fonte:  http://linuxnewmedia.com.br/blogs/rede/2014/04/30/pfsense-um-software-completo-para-teu-gateway/

Monitoramento em tempo-real com Iptraf

O Iptraf é uma ferramenta simples, mas que pode fazer uma análise em tempo real do que está trafegando na rede. Ele pode monitorar cada interface separadamente, ou fazer uma análise considerando todas as placas de rede.

Ele pode monitorar as conexões…

…comparar o tráfego entre as interfaces de rede…

…mostrar em detalhes o desempenho de uma interface específica…

..comparar o tráfego por portas tcp/udp…

Nestes prints de tela eu usei um servidor que faz a função de gateway da rede, e um link de Internet de 100mbps. Pode-se notar o volume de 38mbps entrando pelo link. Ou seja, ainda tenho espaço para crescer.

O Iptraf funciona através de menus. Por isso, não é necessário fornecer qualquer parâmetro de linha de comando. Para instalar o Iptraf, basta digitar:

# apt-get install iptraf

Jogo do milhão com perguntas da LPI

Quem está pensando em tirar uma certificação LPI – Linux Professional Institute – o site http://www.fuctura.com.br/jogolpi tem uma ajuda legal: o Jogo do Milhão com perguntas que caem na prova.

Ele funciona da mesma forma que o da tv, inclusive com a voz do Silvio Santos.

Para acessar o jogo é necessário se cadastrar no site.

Uma ótima maneira de estudar para a LPI e se divertir ao mesmo tempo.

Fonte: http://linuxnewmedia.com.br/blogs/rede/2014/04/10/jogo-do-milhao-com-perguntas-da-lpi/

Mysql Administrator: ferramenta gráfica para o servidor Mysql

Administrar o servidor Mysql pela linha de comando é um porre! Há quem diga que quem é bom em servidores não usa a interface gráfica. Cada um, cada um. Mas eu ganho muito em produtividade quando uso o Mysql Administrator.

Com ele eu posso, de uma forma simples, criar databases, tabelas, usuários, permissões, enfim, tudo o que eu faria pela linha de comando.

Essa ferramenta pode ser baixada em http://mysql-administrator.softonic.com.br e tem versão para Windows e Linux.

Fonte:  http://linuxnewmedia.com.br/blogs/rede/2014/06/03/mysql-administrator-ferramenta-grafica-para-o-servidor-mysql/

Limpando a fila de impressão do Windows

Você mandou uma impressão errada, cancelou, mas o Windows continua a imprimir aqueles caracteres malucos ? Você reiniciou o computador, desligou a impressora e isso não resolveu ? Siga os passos abaixo e veja como limpar a fila de impressão do Windows XP.
Abra o Bloco de Notas e copie o texto abaixo para dentro dele?
net stop spooler
cd c:\windows\system32\spool\PRINTERS
del /f /s *.shd
del /f /s *.spl
net start spooler
exit
Salve com extensão .bat e execute.

Erro ao iniciar o Outlook: "Não é possível iniciar o Microsoft Office Outlook. Não é possível abrir a janela do Outlook."

Uma das causas desse problema, pode ser a falta de espaço em disco.
Solução Liberar espaço em disco e tente abrir o Outlook novamente.

Sintomas

Quando você inicia o Outlook 2007, a seguinte mensagem de erro é exibida:

Não é possível iniciar o Microsoft Outlook. Não é possível abrir a janela do Outlook.

Causa

Esse problema pode ocorrer quando o arquivo que mantém as configurações do Painel de Navegação é corrompido. Esse arquivo é chamado profilename.xml, onde profilename é o nome do seu perfil do Outlook. Ele está armazenado na seguinte pasta:

• Windows XPC:\Documents and Settings\nome de usuário\Application Data\Microsoft\Outlook
• Windows Vista, Windows 7C:\Users\nome de usuário\AppData\Roaming\Microsoft\Outlook

Uma boa indicação de que esse arquivo está corrompido é quando o seu tamanho é 0 KB.

Resolução

Para resolver esse problema automaticamente, vá para a seção "Corrigir para mim". Se preferir resolver o problema sozinho, vá para a seção "Desejo corrigir sozinho".

Corrigir para mim

Para corrigir o problema automaticamente, clique no link Corrigir este problema. Em seguida, clique em Executar na caixa de diálogo Download de Arquivo e siga as etapas descritas neste assistente.
Observação: esse assistente pode existir apenas na versão em inglês. No entanto, a correção automática também funciona para versões do Windows em outros idiomas.
Observação: se não estiver no computador com o problema, você pode salvar a correção automática em uma unidade flash ou em um CD para executá-la no computador com o problema.

Desejo corrigir sozinho

Para resolver esse problema, use as etapas a seguir.

1. No menu Iniciar, clique em Executar.
2. Na caixa de diálogo Executar, digite o seguinte comando:Outlook.exe /resetnavpaneObservação: há um espaço entre "Outlook.exe" e "/resetnavpane"
   
3. Clique em OK.

Observação: se estiver usando o Windows Vista ou o Windows 7, talvez você não veja a opção Executar no menu Iniciar. Nessa situação, use as etapas a seguir para localizar a opção Executar.

1. No menu Iniciar, clique em Todos os Programas.
2. Clique em Acessórios.
3. Clique em Executar.

Mais Informações

Se o tamanho do arquivo profilename.xml for 0 KB, instale o seguinte pacote de hotfix para impedir que o Outlook exiba o erro descrito na seção Sintomas:

Descrição do pacote de hotfix do Office Outlook 2007 (Outlook-x-none.msp): 29 de junho de 2010

É possível usar as etapas a seguir para determinar o nome do seu perfil do Outlook.

• Windows XP

1. Abra o Painel de Controle.
2. Alterne para Modo de Exibição Clássico.
3. Clique duas vezes em Email.
4. Clique em Mostrar perfis.
5. Anote o nome do seu perfil do Outlook na guia Geral.
6. Se você vir mais de um perfil na guia Geral, o perfil padrão será listado no controle suspenso em Ao iniciar o Microsoft Office Outlook, use este perfil.
7. Clique em OK para fechar o painel de controle de email.

• Windows Vista, Windows 7

1. Abra o Painel de Controle.
2. Na caixa do painel Controle de Pesquisa, digite Email.
3. Clique em Email.
4. Clique em Mostrar perfis.
5. Anote o nome do seu perfil do Outlook na guia Geral.
6. Se você vir mais de um perfil na guia Geral, o perfil padrão será listado no controle suspenso em Ao iniciar o Microsoft Office Outlook, use este perfil.
7. Clique em OK para fechar o painel de controle de email.

Fonte: http://support.microsoft.com/kb/2022778/pt-br#x_x_x_x_letmefixitmyself

"xcopy" Script para copiar Arquivos/Pastas do Windows para Windows

Crie um arquivo .bat, da seguinte forma:
@echo off
xcopy C:\T-Dados\*.* L:\T-Dados-copia\ /s /e /y 
cls
echo.
echo Back-up finalizado com sucesso!
echo.
exit

Entendendo

xcopy C:\T-Dados\*.* L:\T-Dados\ /s /e /y 

xcopy = copia arquivos e arvores de diretórios.
C:\T-Dados\*.* =  Local de origem, indicado para copiar todos os aquivos com todas as extensões.
L:\T-Dados-copia\ = Local de destino.
/s = esta opção para copiar diretórios, subdiretórios e os arquivos contidos neles, além dos arquivos da raiz da fonte . Pastas vazias não será recriada.
/e = copia diretórios e subdiretórios, inclusive os vazios
/y = copia tudo, não solicitando confirmação de substituição
/h: copia arquivos ocultos e do sistema também
/d= copia os arquivos alterados durante ou após a data especificada. Se não for definida uma data, copia apenas os arquivos cujo tempo de origem seja mais novo do que o tempo de destino.

Qual é o comando xcopy?

O xcopy comando é um comando prompt de comando usado para copiar um ou mais arquivos e / ou pastas de um local para outro local.

O comando xcopy é também um comando DOS disponível em MS-DOS.

O comando xcopy, com suas muitas opções e capacidade para copiar diretórios inteiros, é semelhante, mas muito mais poderoso do que, o comando tradicional cópia.

O comando robocopy também é semelhante ao comando xcopy, mas tem ainda mais opções.

Xcopy sintaxe de comando:

xcopy origem [ destino ] [ / a ] [ / b ] [ / c ] [ / d [ : data ]] [ / E ] [ / f ] [ / g ] [ / h ] [ / i ] [ / j ] [ / k ] [ / l ] [ / m ] [ / n ] [ / o ] [ / p ] [ / q ] [ / r ] [ / s ] [ / t ] [ / u ] [ / v ] [ / w ] [ / x ] [ / y ] [ /-Y ] [ / z ] [ / excluir: arquivo1 [ + arquivo2 ] [ + file3 ] ...] [ /? ]

Dica: Veja Como ler Sintaxe de comando se você não tem certeza de como ler o comando xcopy sintaxe acima.

fonte = Este define os arquivos ou pastas de nível superior que você deseja copiar. A fonte é o único parâmetro obrigatório no comando xcopy. Use aspas fonte se contiver espaços.

destino = Esta opção especifica o local onde as fontes de arquivos ou pastas devem ser copiados. Se nenhum destino estiver na lista, os arquivos ou pastas serão copiados para a mesma pasta que você execute o comando xcopy do. Utilize aspas em torno de destino se ele contém espaços.

/ A = Usando esta opção só irá copiar ficheiros de arquivo encontrados no fonte . Você não pode usar / a e / m juntos.

/ B = Use esta opção para copiar o link simbólico em si, em vez de o destino do link. Esta opção foi pela primeira vez disponível no Windows Vista.

/ C = Esta opção força xcopy para continuar até se encontrar um erro.

/ D [ : data ] = Use o comando xcopy com / d opção e uma data específica, em formato MM-DD-YYY, para copiar arquivos alterados em ou após essa data. Você também pode usar esta opção sem especificar uma data específica para copiar apenas os arquivos de origem que são mais recentes do que os mesmos arquivos que já existem no destino . Isso é útil quando se usa o comando xcopy para realizar backups de arquivos regulares.

/ E = Quando usado sozinho ou com / s , esta opção é o mesmo que / s , mas também irá criar pastas vazias no destino , que também estavam vazios na fonte . O / e opção também pode ser usada em conjunto com o / t opção para incluir pastas e subpastas vazias encontradas em fonte na estrutura de diretórios criada no destino .

/ F = Esta opção irá exibir o caminho completo eo nome do arquivo, tanto de origem e de destino arquivos que estão sendo copiados.

/ G = Usando o comando xcopy com esta opção permite que você copie arquivos criptografados em fonte para um destino que não suporta criptografia. Esta opção não irá funcionar ao copiar arquivos de uma unidade criptografada EFS em uma unidade criptografada não EFS.

/ H = O comando xcopy não copia arquivos ocultos e arquivos de sistema , por padrão, mas a vontade ao usar esta opção.

/ I = Use o / i opção para forçar xcopy supor que destino é um diretório. Se você não usar esta opção, e você está copiando a partir de fonte que é um diretório ou grupo de arquivos e cópia de destino que não existe, o comando xcopy pedirá que você insira se destino é um arquivo ou diretório.

/ J = Esta opção copia os arquivos sem buffering, um recurso útil para arquivos muito grandes. Esta opção de comando xcopy foi o primeiro disponível no Windows 7.

/ K = Use esta opção quando a cópia somente leitura de arquivos para manter esse atributo de arquivo no destino .

/ L = Use esta opção para exibir uma lista dos arquivos e pastas para copiar ... mas nenhuma cópia é realmente feito. O / l opção é útil se você está construindo um comando xcopy complicado, com várias opções e você gostaria de ver como ele iria funcionar hipoteticamente.

/ M = Esta opção é idêntica ao / a opção, mas o comando xcopy vai desligar o atributo de arquivo depois de copiar o arquivo. Você não pode usar / m e / a em conjunto.

/ N = Essa opção cria arquivos e pastas no destino usando nomes de arquivo curtos. Esta opção só é útil quando você está usando o comando xcopy para copiar arquivos para um destino que existe em uma unidade formatada para um antigo sistema de arquivos como FAT que não suporta nomes de arquivos longos.

/ O = retém a propriedade e Access Control List informação (ACL) nos arquivos gravados no destino .

/ P = Ao usar esta opção, você será solicitado antes da criação de cada arquivo no destino .

/ Q = Uma espécie de oposto do / f opção, o / q interruptor vai colocar xcopy em modo "silencioso", ignorando a exibição na tela de cada arquivo a ser copiado.

/ R = Use esta opção para sobrescrever arquivos somente leitura no destino . Se você não usar esta opção quando você deseja substituir um arquivo somente leitura no destino , você será solicitado com um "acesso negado" mensagem eo comando xcopy vai parar de correr.

/ S = Use esta opção para copiar diretórios, subdiretórios e os arquivos contidos neles, além dos arquivos da raiz da fonte . Pastas vazias não será recriada.

/ T = Esta opção força o comando xcopy para criar uma estrutura de diretórios no destino , mas não para copiar qualquer um dos arquivos. Em outras palavras, as pastas e subpastas encontradas na fonte será criado, mas não sejamos nenhum arquivo. Pastas vazias não será criado.

/ U = Esta opção só copiar arquivos fonte que já estão no destino .

/ V = Esta opção verifica cada arquivo como sua escrita, com base em seu tamanho, para se certificar de que eles são idênticos. Verificação foi construído no início do comando xcopy no Windows XP por isso esta opção não faz nada em versões mais recentes do Windows e só é incluído para compatibilidade com os mais velhos arquivos do MS-DOS.

/ W = Use o / w opção de apresentar uma "Prima qualquer tecla quando estiver pronto para ser arquivo de cópia (s)" mensagem. O comando xcopy começará a copiar os arquivos conforme as instruções depois de confirmar com a tecla. Esta opção não é o mesmo que o / p opção que pede para a verificação antes de cada cópia de arquivo.

/ X = Esta opção copia as configurações de auditoria de arquivos e informações da lista de controle de acesso do sistema (SACL). Você implica / o quando você usa o / x opção.

/ Y = Use esta opção para interromper o comando xcopy de avisar você sobre sobrescrever arquivos de fonte que já existem no destino .

/-Y = Use esta opção para forçar o comando xcopy para avisá-lo sobre a substituição de arquivos. Isso pode parecer uma opção estranha de existir uma vez que este é o comportamento padrão do xcopy mas a / y opção pode ser predefinida na COPYCMD variável de ambiente em alguns computadores, fazendo com que esta opção for necessário.

/ Z = Esta opção permite que o comando xcopy para parar com segurança os arquivos de cópia quando uma conexão de rede é perdido e, em seguida, retomar a cópia de onde parou quando a conexão for restabelecida. Essa opção também exibe a porcentagem copiada para cada arquivo durante o processo de cópia.

/ Excluir: arquivo1 [ + arquivo2 ] [ + file3 ] ... = Esta opção permite que você especifique um ou mais arquivos que contenham nomes de uma lista de seqüências de pesquisa que você deseja que o comando xcopy para usar para determinar os arquivos e / ou pastas para pular ao copiar.

/? = Utilize o interruptor de ajuda com o comando xcopy para mostrar ajuda detalhada sobre o comando. Executar xcopy /? é o mesmo que usar o comando de ajuda para executar ajudar xcopy .

Nota: O comando xcopy irá adicionar o atributo de arquivo para arquivos de destino , não importa se o atributo foi ligado ou desligado no arquivo de fonte .

Dica: Você pode salvar a saída, às vezes longa do comando xcopy para um arquivo usando um operador de redirecionamento . Veja como redirecionar a saída de comando para um arquivo de instruções ou check-out Tricks Prompt de Comando para mais dicas.

Xcopy exemplos de comando:

xcopy C: \ Arquivos E: \ Arquivos / i
No exemplo acima, os arquivos contidos na fonte diretório C: \ Arquivos são copiados para destino , um novo diretório [ / i ] no E rígido chamado Arquivos .

Não subdiretórios, nem todos os arquivos contidos dentro deles, vai ser copiado, porque eu não usar o / s opção.

xcopy "C: \ Arquivos Importantes" D: \ Backup / c / d / e / h / i / k / q / r / s / x / y
Neste exemplo, o comando xcopy é concebido para funcionar como uma solução de reserva. Tente isso, se você gostaria de usar xcopy para fazer backup de seus arquivos em vez de um programa de software de backup. Coloque o comando xcopy, como mostrado acima em um script e agendá-lo para executar todas as noites.

Como mostrado acima, o comando xcopy é usado para copiar todos os arquivos e pastas [ / s ] mais novos do que aqueles que já copiou [ / d ], incluindo as pastas vazias [ / e ] e arquivos ocultos [ / h ], a partir de fonte de C: \ Arquivos importantes para o destino de D: \ Backup , que é um diretório [ / i ]. Eu tenho alguns arquivos somente leitura que eu quero manter atualizado no destino [ / r ] e eu quero manter esse atributo após ser copiada [ / k ]. Eu também quero me certificar de que manter as configurações de propriedade e de auditoria nos arquivos que eu estou copiando [ / x ]. Finalmente, desde que eu estou correndo xcopy em um script, eu não preciso ver alguma informação sobre os arquivos como eles são copiados [ / q ], eu não quero solicitado a substituir cada um [ / y ], nem quero xcopy para parar se ele é executado em um erro [ / c ].

xcopy C: \ Vídeos "\ \ SERVIDOR \ Backup mídia" / f / j / s / w / z
Aqui, o comando xcopy é usado para copiar todos os arquivos, subpastas e arquivos contidos nas subpastas [ / s ] a partir de fonte de C: \ Vídeos para a pasta de destino mídia de backup localizados em um computador na rede com o nome de SERVIDOR . Estou copiando alguns arquivos de vídeo muito grandes, então eu quero desativar o buffer para melhorar o processo de cópia [ / j ] e desde que eu estou copiando pela rede, eu quero ser capaz de retomar a cópia, se eu perder minha conexão de rede [ / z ]. Sendo paranóico, eu quero ser solicitado para iniciar o processo xcopy antes que ele realmente faz alguma coisa [ / w ] e eu também quero ver cada detalhe sobre quais arquivos estão sendo copiados como eles estão sendo copiados [ / f ].

xcopy C: \ Client032 C: \ Client033 / t / e
Neste último exemplo, eu tenho uma fonte completa de arquivos bem organizados e pastas em C: \ Client032 para um cliente atual da mina. Eu já criou um vazio de destino da pasta, Client033 , para um novo cliente, mas eu não quero que os arquivos copiados - apenas a estrutura da pasta vazia [ / t ], então estou organizado e preparado. Tenho algumas pastas vazias em C: \ Client032 que pode se aplicar ao meu novo cliente, então eu quero ter certeza de que aqueles são copiados bem como [ / e ].

Comando xcopy Disponibilidade:

O comando xcopy está disponível a partir do Prompt de Comando do Windows em todos os sistemas operacionais , incluindo Windows 8 , Windows 7 , Windows Vista , Windows XP , Windows 98, etc

O comando xcopy também está disponível em MS-DOS.

Nota: A disponibilidade de certas opções de comando xcopy e outra sintaxe de comando xcopy podem diferir de sistema operacional para sistema operacional.

Xcopy & Xcopy32:

No Windows 98 e Windows 95, duas versões do comando xcopy estavam disponíveis: xcopy e Xcopy32. No entanto, o comando Xcopy32 nunca foi destinado a ser executado diretamente.

Quando você executar xcopy em Windows 95 ou 98, ou o original versão de 16 bits é executado automaticamente (quando em modo MS-DOS) ou o mais recente versão de 32 bits é executado automaticamente (quando em Windows).

Então, para ser claro, não importa qual versão do Windows ou MS-DOS que você tem, sempre execute o comando xcopy, não Xcopy32, mesmo se ele estiver disponível. Quando você executar xcopy, você está sempre correndo a versão mais apropriada do comando.

Referências:
http://pcsupport.about.com/od/commandlinereference/p/xcopy-command.htm