Tammy Mindel

Outubro é o Mês da Consciencialização para a Cibersegurança e uma excelente altura para acabar com os fantasmas das configurações do passado. Uma das acções que a Cybersecurity & Infrastructure Security Agency (CISA) e a National Cybersecurity Alliance (NCA) recomendam é "Actualize o seu software". Um lugar perfeito para começar: Livrar os seus domínios do protocolo de replicação SYSVOL desactualizado, o Serviço de Replicação de Ficheiros (FRS).

Leitura relacionada

Era uma vez...

O SYSVOL é um directório especial que reside em cada controlador de domínio (DC) de um domínio. O directório inclui pastas que armazenam objectos de Política de Grupo (GPOs) e scripts de início de sessão que os clientes necessitam para aceder e sincronizar entre DCs.

Para que estes scripts de início de sessão e GPOs funcionem correctamente, o SYSVOL deve ser copiado com precisão e rapidez em todo o domínio. Este processo, designado por replicação SYSVOL, assegura a duplicação idêntica das políticas relevantes de um domínio para outro DC nesse domínio.

Então, como é que a replicação do SYSVOL ocorre?

Inicialmente, com o Windows 2000 Server, a replicação era gerida pelo protocolo FRS. O FRS substituiu o Serviço de Replicação do Gestor de Rede do Windows NT Server. No entanto, a Microsoft descontinuou o FRS no Windows Server 2008. Em seu lugar, o protocolo DFS (Distributed File System) passou a gerenciar as replicações do SYSVOL. A Replicação DFS (DFSR) melhora o desempenho da replicação, a fiabilidade e a cibersegurança.

O problema? Apesar de ter sido substituído pelo mais recente e mais funcional DFSR, o FRS ainda é amplamente utilizado, especialmente em domínios que tiveram um Windows Server 2003 DC em qualquer altura. Mas como está obsoleto, o FRS já não recebe quaisquer correcções de segurança ou de erros.

Isto pode significar grandes problemas para os ambientes em que o FRS ainda se encontra. O uso continuado de um protocolo antigo que faz interface com os DCs é arriscado. Potencialmente, os atacantes podem manipular as vulnerabilidades do FRS para comprometer o SYSVOL e alterar GPOs ou scripts de início de sessão para propagar malware e mover-se lateralmente pelo ambiente. Coisas assustadoras, de facto.

Banir a replicação FRS

Primeiro, determinar se o FRS ainda está a ser utilizado num DC.

  1. Localize a subchave de registo HKEY_LOCAL_MACHINESystemCurrentControlSetServicesDFSRParametersSysVolsMigrating SysvolsLocalState.
  2. Verificar o valor da subchave.
    • Um valor de "3" indica que a DFSR está a ser utilizada.
    • Um valor diferente ou uma subchave em falta indica que o FRS ainda está a ser utilizado.
  3. Consulte o artigo da Microsoft "Fazendo backup e restaurando uma pasta SYSVOL replicada por FRS" para obter mais informações.

Se encontrar FRS em utilização num DC, migre para DFSR e desactive FRS o mais rapidamente possível. O processo de migração actualizará o processo de replicação e corrigirá os problemas de saúde relacionados no seu ambiente.

Para obter um guia detalhado sobre a migração do FRS para o DFSR, consulte o artigo da Microsoft "Migrar a Replicação SYSVOL para a Replicação DFS" ou o Guia de Migração da Replicação SYSVOL, disponível para download na Microsoft.

Saiba mais