Nesses últimos dias (para não dizer meses), tenho lido e assistido muitos materiais sobre o Windows Server 2008 (certificação a vista!). O primeiro contato que tive com a rede Windows foi com o NT 4.0. Do Windows NT 4.0 pulei direto para o Windows Server 2003 sem nem olhar para a cara do Windows 2000 Server. Resultado: foi quase como um reboot tecnológico, pois a idéia era a mesma, só que a tecnologia era completamente diferente. Mas nada que muitas noites ao relento não resolvessem.
Hoje, temos no mercado o Windows Server 2008, já em seu Release 2. O primeiro sistema operacional da Microsoft exclusivo para plataforma 64 bits (tá na hora de trocar o chip!). Uma coisa que me chamou muito a atenção nestes anos de evolução do Windows, foi a evolução do Active Directory. Não só da tecnologia em si, mas da sua relação com o conceito de "Segurança" e, mais atualmente, com o conceito de "TI Verde".
Lá na época do Windows NT 4.0, a preocupação estava somente na identificação de acesso local, ou seja, dentro da minha empresa eu tenho um usuário e uma senha que me dão acesso a certos recursos da rede da minha empresa e só. O mundinho estava resumido ali dentro. Dentro da empresa, haviam apenas os computadores da empresa. Na época em questão, o foco da segurança estava no acesso físico: Fulano podia usar o computador do RH, mas não podia usar o computador do Financeiro. Além disso, o conceito de "Administração de Rede" também estava no jardim de infância: Tínhamos ferramentas para administrar os servidores, mas não os demais computadores, a quem carinhosamente chamamos de Estações de Trabalho. A manutenção e configuração das Estações de Trabalho ocorria in-place, ou seja, o técnico se deslocava até o local onde a Estação de Trabalho estava. Isso até que era bom, pois ajudava a queimar uma gordurinha... Mas essa falta de recursos de administração centralizada das Estações de Trabalho começou a pesar. Então, a Microsoft criou esse "recurso" que faltava e o introduziu em seu novo sistema operacional.
Com o Windows 2000 Server, o Active Directory apresentou uma nova tecnologia chamada "Política de Grupo" (Group Policy). Através dela, passou a ser possível definir políticas (dããã...) de configuração dos Servidores e Estações de Trabalho de forma centralizada, como por exemplo, bloqueio ao Painel de Controle ou alteração do Papel de Parede. Nessa época o foco da segurança começou a olhar para um carinha que estava batendo na porta de todas as empresas: a Internet. A preocupação era fechar todas as portas de entrada. Colocava-se um exército de prontidão na borda da rede vigiando todo o tráfego de entrada e saída. E o "mundinho" começava a ganhar novos territórios...
Lá pela época do Windows Server 2003, com a Internet já consolidada e a idéia da interatividade ganhando seu espaço, os "dispositivos interativos" começaram a ser mais frequentes dentro das empresas. E o exército que antes ficava de prontidão lá na borda da rede começou a se perguntar: "Pois é... estamos aqui vigiando quem entra e quem sai, mas e quem está lá dentro? Será que não está fazendo alguma coisa?". E a segurança que antes só se preocupava com o acesso físico e que depois passou a se preocupar com a borda da rede, agora estava preocupada com a segurança interna também. O vírus que conseguia passar a barreira da borda se disseminava rapidamente dentro da empresa, pois os computadores internos não estavam totalmente protegidos (Hum... será que o surgimento do Windows Firewall no Service Pack 2 do Windows XP foi por acaso?). Mas não eram só os computadores internos: agora haviam também os notebooks pessoais, os PDAs e os adoráveis "pendrives". Todos trafegando livremente dentro da rede corporativa.
E com toda essa "liberdade interna", quem era o doido pra dizer que não podia plugar o notebook na rede: seu Diretor Administrativo não entende bulhufas de informática e trás o notebook e quer que você o configure para acessar a rede corporativa, você teria coragem suficiente para olhar nos olhos dele e dizer: "Não vou fazer, pois seu notebook compromete a segurança da empresa..." Ok, vamos a um caso mais simples: O famoso "estagiário" trás o seu adorado pendrive de casa, pluga no computador da empresa, copia dados confidenciais e vai embora numa boa (porque estagiário sempre leva a culpa de tudo?). Outro caso: O Diretor Financeiro envia uma planilha por e-mail com a contabilidade anual da empresa para o consultor terceirizado e sabe-se lá o que ele vai fazer com essa informação.
Tá.. mas o que tudo isso tem haver com o Active Directory ou com a segurança?... TUDO!!!
Na época do Windows Server 2003, a Microsoft já possuía algumas ferramentas para controlar algumas das situações citadas acima, como o caso do Diretor Financeiro, mas foi com o Windows Server 2008 que tudo se consolidou. Para cada uma das situações apresentadas, o Windows Server 2008 possui uma tecnologia built-in, ou seja, já embutida no próprio sistema operacional. Não precisa fazer nenhum download adicional ou pagar a mais por isso. Basta apenas ativar e configurar:
- No caso do notebook do Diretor Administrativo, a Microsoft lançou uma tecnologia com o Windows Server 2008 chamada Network Access Protection (NAP). Através dela é possível definir regras de conformidade para que os computadores possam acessar a rede corporativa e, caso não atendam a essas regras, são direcionados a uma rede restrita onde poderão ser "remediadas". Por exemplo, se uma regra de conformidade exige que o software antivírus esteja atualizado e o software antivírus do notebook do Diretor Administrativo não estiver, o mesmo não terá acesso a rede corporativa até que atualize o software.
- No caso do estagiário com o pendrive, há uma nova Política de Segurança que controla o uso do pendrive dentro da empresa. Pode-se definir se ele pode ler ou gravar arquivos no pendrive.
- No caso do Diretor Financeiro, a Microsoft já possuía uma tecnologia que no Windows Server 2008 fora integrada ao Active Directory chamada Rights Management Services (RMS). Através dela é possível definir o que determinadas pessoas podem ou não fazer com um documento, planilha ou e-mail. Por exemplo, o Diretor Financeiro poderia definir que o consultor terceirizado poderia apenas abrir e imprimir a planilha e não alterar nenhuma informação. E pode-se ir além disso: ao invés do arquivo ir ao consultor, o consultor pode vir até o arquivo, sem precisar sair de seu escritório. Ahm!? Outra tecnologia que fora integrada ao Active Directory chamada Federation Services (FS), permite que usuários externos tenham acesso a sua rede interna. Existe uma outra tecnologia, mais antiga, que permite tal "integração" entre empresas diferentes chamada de "Relação de Confiança" (Trust Relationship). Só para esclarecer, o AD RMS é mais seguro que a Trust Relationship. Utilizando o AD RMS em conjunto com AD FS, o consultor terceirizado acessaria a planilha internamente, não poderia alterar nada e além disso, eliminaríamos o tráfego de e-mail pois a planilha não precisaria ser enviada a ninguém.
Perceberam como o foco da segurança e da identificação mudaram? O que antes era restrito à empresa passou a ser necessidade fora dela. Antes, o Administrador de Redes tinha controle sobre a informação que circulava internamente, mas perdia esse controle quando ela saía da empresa. Agora não... Com as tecnologias agregadas ao Windows Server 2008, o Administrador de Redes passa a ter mais controle sobre a informação que circula tanto dentro quanto fora da empresa. É como se a barreira que dividia essas fronteiras deixasse de existir.
E tudo isso é apenas uma pequena fatia do bolo. O Windows Server 2008 possui muitas outras tecnologias e funcionalidades para gerenciar a informação da empresa. E como disse anteriormente, todas já inclusas no sistema operacional. Go enable it!
