# MANUAL TÉCNICO - PADRÕES DE SENHA E CONFIGURAÇÃO INICIAL (POST-INSTALL) **Código:** ITGINF 0030/26 | **Classificação:** RESTRITO **Responsável:** João Pedro Toledo Gonçalves | **Data:** {{DATA_ATUAL}} ## 1. HISTÓRICO DE REVISÃO | Data | Versão | Descrição | Autor | | :--- | :--- | :--- | :--- | | {{DATA_ATUAL}} | 1.0 | Criação Inicial | João Pedro Toledo Gonçalves | ## 2. OBJETIVO Definir o padrão de implantação de novos servidores Windows (2016/2019/2022/2025), garantindo licenciamento correto, segurança inicial e padronização. --- ## 3. ESCOLHA DA EDIÇÃO: STANDARD VS DATACENTER > ⚠️ **REGRA DE OURO:** Em 99% dos casos, usaremos **Windows Server Standard** nas VMs. * **Standard:** Permite 2 OSEs (Ambientes) se licenciado no host. Ideal para VMs individuais. * **Datacenter:** Permite VMs ilimitadas. Ideal **APENAS PARA O HOST DE VIRTUALIZAÇÃO** (Hyper-V). * *Por que não usar Datacenter na VM?* Custo desnecessário e compliance de licença. A funcionalidade técnica é idêntica para AD/DNS/FileServer. * **Desktop Experience vs Core:** Prefira **Desktop Experience** para servidores de gestão/AD e **Core** para serviços web/infra massivos (se a equipe tiver skill). --- ## 4. CHECKLIST PÓS-INSTALAÇÃO (O "BÁSICO BEM FEITO") Antes de instalar qualquer função (Role), execute nesta ordem: 1. **Hostname:** * Renomeie o servidor IMEDIATAMENTE. Não deixe `WIN-A3F1...`. * Padrão: `SRV-[FUNCAO]-[NUMERO]` (ex: `SRV-DC-01`, `SRV-FS-01`). * *Comando:* `Rename-Computer -NewName "SRV-DC-01" -Restart` 2. **IP Estático:** * Nunca use DHCP em servidores. * Configure IP, Máscara, Gateway e **DNS (Aponte para os DCs existentes)**. 3. **Updates e Timezone:** * Ajuste fuso horário e região (`intl.cpl`). * Rode o Windows Update até não haver mais patches. 4. **Ingressar no Domínio:** * Se for um Member Server (File Server, App), ingresse no domínio. * Se for rodar como DC, instale a role `AD DS` primeiro. --- ## 5. POLÍTICA DE SENHAS (GPO DEFAULT) O Active Directory controla as senhas. Não configure localmente. 1. Abra o **Group Policy Management** (`gpmc.msc`). 2. Edite a **Default Domain Policy** (ou a política de senhas dedicada se houver granularidade/FGPP). 3. Caminho: `Computer Config > Policies > Windows Settings > Security Settings > Account Policies > Password Policy`. **Padrão Sugerido (NIST Friendly):** * **Enforce password history:** 24 senhas (Evita reuso imediato). * **Maximum password age:** 90 dias (Ou 0/sem expiração se tiver MFA forte). * **Minimum password length:** 12 a 14 caracteres. * **Complexity requirements:** Enabled (Maiúscula, minúscula, número, especial). * **Minimum password age:** 1 dia (Evita que o usuário mude 24 vezes seguidas para burlar o histórico). ## 6. VALIDAÇÃO FINAL - [ ] Hostname está no padrão e servidor reiniciado? - [ ] IP é estático? - [ ] A GPO de senhas foi aplicada (`gpupdate /force`)?