Executar varreduras do Analisador de Práticas Recomendadas e gerenciar os resultados das varreduras
No gerenciamento do Windows, as práticas recomendadas são diretrizes consideradas a maneira ideal, em circunstâncias normais, de configurar um servidor conforme definido pelos especialistas. Por exemplo, é considerada uma prática recomendada pela maioria dos aplicativos de servidores manter aberta somente as portas necessárias para que os aplicativos se comuniquem com outros computadores da rede e bloqueiem as portas não usadas. Embora as violações de práticas recomendadas, mesmo das importantes, não sejam necessariamente problemáticas, elas indicam configurações de servidores que podem resultar em desempenho baixo, confiabilidade fraca, conflitos inesperados, aumento nos riscos de segurança e outros problemas potenciais.
O BPA é uma ferramenta de gerenciamento de servidor disponível no Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 e Windows Server 2008 R2. O BPA ajuda os administradores a reduzir as violações às melhores práticas ao fazer a varredura das funções instaladas nos servidores gerenciados executando a versão com suporte e gerando relatórios dessas violações para o administrador.
É possível executar varreduras do BPA a partir do Gerenciador do Servidor, usando a GUI do BPA ou usando cmdlets no Windows PowerShell. A partir do Windows Server 2012, é possível examinar uma ou várias funções de uma vez, em diversos servidores, não importa se você utiliza o bloco do BPA no console do Gerenciador do Servidor ou os cmdlets do Windows PowerShell para executar as varreduras. Você também pode instruir o BPA a excluir ou ignorar os resultados da varredura que você não deseja visualizar.
Este tópico inclui as seções a seguir.
Você pode encontrar o bloco do Analisador de Práticas Recomendadas nas páginas de grupo de função e servidor do Gerenciador do Servidor no Windows Server ou abrir uma sessão do Windows PowerShell com direitos elevados de usuário para executar cmdlets do Analisador de Práticas Recomendadas.
O BPA funciona medindo a conformidade da função com as regras das melhores práticas em oito categorias diferentes de efetividade e confiabilidade. Os resultados das medições podem ser qualquer um dos três níveis de gravidade descritos na tabela a seguir.
Nível de severidade | Descrição |
---|---|
Erro | Os resultados do erro são retornados quando uma função não satisfaz as condições de uma regra de prática recomendada e problemas de funcionalidade podem ser esperados. |
Informações | Os resultados de informações são retornados quando uma função satisfaz as condições de uma regra de prática recomendada. |
Aviso | Os resultados de aviso são retornados quando os resultados de uma incompatibilidade podem causar problemas se as alterações não foram feitas. O aplicativo pode ser compatível com a operação atual, mas pode não satisfazer as condições de uma regra se não forem feitas alterações em sua configuração ou nas configurações da diretriz. Por exemplo, uma varredura dos Serviços de Área de Trabalho Remota pode mostrar um resultado de aviso se um servidor de licença estiver indisponível para a função, porque, mesmo se nenhuma conexão remota estiver ativa no momento da varredura, não ter o servidor de licença impede que novas conexões remotas obtenham licenças válidas de acesso ao cliente. |
A tabela a seguir descreve as categorias de regras das melhores práticas em relação às funções usadas para avaliação durante uma varredura do Analisador de Práticas Recomendadas.
Nome da categoria | Descrição |
---|---|
Segurança | As regras de segurança são aplicadas para medir o risco de exposição relativo da função a ameaças como usuários maliciosos ou não autorizados, perda ou roubo de dados confidenciais ou de propriedade. |
Desempenho | As regras de desempenho são aplicadas para medir a habilidade de uma função em processar solicitações e executar as obrigações prescritas em uma empresa, dentro dos períodos de tempo esperados, dada a carga de trabalho da função. |
Configuração | As regras de configuração são aplicadas para identificar as configurações de regras que podem precisar de modificações para a execução ideal da função. As regras de configuração podem ajudar a evitar conflitos nas configurações que possam resultar em mensagens de erro ou impedir que a função execute as obrigações prescritas em uma empresa. |
Política | As regras de políticas são aplicadas para identificar as configurações de Política de Grupo ou registro do Windows que podem precisar de modificações para que uma função seja executada de forma segura e ideal. |
Operação | As regras de operação são aplicadas para identificar possíveis falhas de uma função ao executar as tarefas prescritas em uma empresa. |
Pré-implantação | As regras de pré-implantação são aplicadas antes que uma função instalada seja implantada na empresa. Elas permitem que os administradores avaliem se as práticas recomendadas foram executadas, antes da função ser usada na produção. |
Pós-implantação | As regras de pós-implantação são aplicadas depois que todos os serviços exigidos foram iniciados para uma função e depois que a função é executada na empresa. |
Pré-requisitos | As regras de pré-requisitos explicam os parâmetros de configurações, as configurações de políticas e os recursos necessários para uma função antes que o BPA possa aplicar regras específicas de outras categorias. Um pré-requisito nos resultados de varredura indica que uma configuração incorreta, um programa ausente, uma política desabilitada ou habilitada incorretamente, uma configuração de chave de registro ou outras configurações impediram que o BPA aplicasse uma ou mais regras durante a varredura. Um resultado de pré-requisito não indica compatibilidade ou incompatibilidade. Isso significa que não foi possível aplicar a regra e, assim, ela não faz parte dos resultados da varredura. |
Você pode executar varreduras BPA em funções usando a GUI do BPA no Gerenciador do Servidor, ou os cmdlets do Windows PowerShell.
No Windows Server, algumas funções solicitam que você especifique parâmetros adicionais, como os nomes de servidores específicos ou compartilhamentos que executam partes da função ou as IDs dos submodelos, antes de iniciar a varredura do BPA. Para as varreduras BPA em modelos que exigem que você especifique parâmetros adicionais, use os cmdlets do BPA; a GUI do BPA não pode aceitar parâmetros adicionais, como IDs de submodelo. Por exemplo, a ID do submodelo FSRM representa o submodelo BPA de Serviços de Arquivo no Gerenciador de Recursos de Servidor de Arquivos, um serviço de função dos Serviços de Arquivo e Armazenamento. Para executar uma varredura apenas no serviço de função do Gerenciador de Recursos de Servidor de Arquivos, execute uma varredura BPA usando os cmdlets do Windows PowerShell e adicione o parâmetro SubmodelId
ao seu cmdlet.
Embora não seja possível passar parâmetros adicionais para uma varredura iniciada na GUI do BPA, o bloco do BPA no Gerenciador do Servidor exibe os resultados da varredura BPA mais recente, independentemente de como você iniciou a varredura.
Execute as etapas a seguir para examinar uma ou mais funções na GUI do BPA.
Execute um dos procedimentos a seguir para abrir o Gerenciador do Servidor, se ele ainda não estiver aberto.
Na barra de tarefas do Windows, clique no botão Gerenciador do Servidor.
Na tela Iniciar, clique no bloco Gerenciador de Servidores.
No painel de navegação, abra uma página de função ou grupo.
Executar as varreduras BPA de uma página de função ou grupo verifica todas as funções que estão instaladas nos servidores desse grupo.
No menu Tarefas do bloco Analisador de Práticas Recomendadas, clique em Iniciar Varredura do BPA.
Dependendo do número de regras que são avaliadas para a função ou o grupo selecionado, a varredura BPA pode levar alguns minutos para ser concluída.
Use os procedimentos a seguir para examinar uma ou mais funções usando cmdlets do Windows PowerShell.
Observação
Os procedimentos nessa seção não mostram todos os parâmetros e cmdlets do BPA. Para obter mais informações sobre as operações do BPA no Windows PowerShell, na sessão do Windows PowerShell, insira Get-HelpBPACmdlet-full, em que BPACmdlet pode ser um dos valores a seguir. Também é possível encontrar os tópicos de Ajuda do cmdlet do BPA no Windows Server TechCenter.
Get-BPAmodel
Invoke-BPAmodel
Get-BPAResult
Set-BPAResult
Execute uma das ações a seguir para executar o Windows PowerShell com direitos de usuário elevados.
Para executar o Windows PowerShell como administrador usando a tela inicial, clique com o botão direito do mouse no bloco Windows PowerShell nos resultados de Aplicativos e, na barra de aplicativos, clique em Executar como administrador.
Para executar o Windows PowerShell como administrador na área de trabalho, clique com o botão direito do mouse no atalho do Windows PowerShell na barra de tarefas e clique em Executar como Administrador.
A partir do Windows PowerShell 3.0, os módulos do cmdlet são automaticamente importados para a sua sessão do Windows PowerShell na primeira vez que um cmdlet do módulo é usado. Não é necessário importar ou carregar o módulo de cmdlet do BPA.
Encontre as IDs do modelo de todas as funções em que é possível executar as varreduras do BPA inserindo o cmdlet do Get-Bpamodel conforme mostrado no exemplo a seguir.
Get-Bpamodel
Nos resultados da etapa 3, localize as IDs do modelo das funções nas quais você deseja executar uma varredura BPA.
Digite um dos comandos a seguir para iniciar a varredura BPA para uma função específica. Para múltiplas funções, separe as IDs de modelo com vírgulas.
Invoke-BPAmodel -modelId <modelID_from_Step3>
Invoke-BPAmodel <modelID_from_Step3>
Exemplo:
Invoke-BPAmodel -modelId Microsoft/Windows/DNSServer,Microsoft/Windows/FileServices
Observação
A ID do módulo inclui o caminho completo que aparece na coluna Id; por exemplo, Microsoft/Windows/Hyper-V.
É possível também iniciar uma varredura em uma função específica dos resultados da etapa 3 redirecionando os resultados do cmdlet do
Get-BPAmodel
para o cmdlet doInvoke-BPAmodel
conforme mostrado no exemplo a seguir.Get-BPAmodel <model_ID> | Invoke-BPAmodel
A execução desse cmdlet sem especificar nenhuma ID de modelo redireciona todos os modelos retornados pelo cmdlet
Get-BPAmodel
para o cmdletInvoke-BPAmodel
, iniciando as varreduras em todos os modelos que estão disponíveis nos servidores adicionados ao pool de servidores do Gerenciador do Servidor.
Abra uma sessão do Windows PowerShell com direitos de usuário elevados, caso nenhuma esteja aberta. Veja o procedimento anterior para obter instruções.
Redirecione todas as funções para as quais as varreduras BPA podem ser executadas no cmdlet do
Invoke-BPAmodel
a fim de iniciar as varreduras.Get-BPAmodel | Invoke-BPAmodel
Quando a varredura é concluída, o Windows PowerShell retorna resultados para cada função em que foi executada a varredura, conforme mostrado a seguir.
modelId : Microsoft/Windows/FileServices SubmodelId : Success : True Scantime : 1/01/2012 12:18:40 PM ScantimeUtcOffset : -08:00:00 detail : {server_name1, server_name2}
Depois que uma varredura BPA é concluída na GUI, você pode exibir os resultados da varredura no bloco do BPA. Quando você seleciona um resultado no bloco, um painel de visualização no bloco exibe as propriedades do resultado, incluindo uma indicação de se a função está em conformidade com a prática recomendada associada. Se um resultado não for compatível e você desejar saber como resolver os problemas descritos nas propriedades de resultados, confira os hiperlinks nas propriedades dos resultados de erro e aviso que abrem tópicos de ajuda de resolução detalhados no Windows Server TechCenter.
Observação
Os resultados da varredura BPA não são salvos ou arquivados automaticamente. Executar uma nova varredura em um modelo ou submodelo substitui os resultados da última varredura. Para salvar os resultados da varredura BPA para arquivar, imprimir ou enviar a outras pessoas, consulte Para exibir os resultados do BPA das sessões do Windows PowerShell em formatos diferentes nesta seção.
Se você não precisa ver alguns resultados do BPA, como os que ocorrem com frequência nas varreduras BPA, mas não requerem nenhuma solução, é possível excluí-los usando a GUI do BPA ou os cmdlets do BPA no Windows PowerShell. Os resultados podem ser incluídos novamente a qualquer momento.
Observação
Quando você exclui resultados, eles também são excluídos no modo de exibição nos servidores gerenciados. Outros administradores não podem visualizar os resultados excluídos nos servidores gerenciados. Para excluir resultados de uma exibição em apenas um console local do Gerenciador do Servidor, crie uma consulta personalizada em vez de usar o comando Excluir resultado.
A configuração Excluir é persistente: os resultados que você excluir sempre serão excluídos das varreduras futuras do mesmo modelo no mesmo computador, a não ser que sejam novamente incluídos.
Você pode excluir resultados de varredura usando o cmdlet do Set-BPAResult
com o parâmetro Exclude
. Como no bloco Analisador de Práticas Recomendadas no Gerenciador do Servidor, você pode excluir objetos individuais dos resultados ou pode excluir um conjunto de resultados daqueles campos (categoria, título e gravidade, por exemplo) que são iguais ou contêm valores especificados. Por exemplo, você pode excluir todos os resultados de Desempenho de um conjunto de resultados da varredura de um modelo.
Observação
Você deve executar pelo menos uma varredura BPA em um modelo antes de poder usar os procedimentos nesta seção.
Abra uma página de grupo de servidores ou de função no Gerenciador do Servidor.
No bloco do Analisador de Práticas Recomendadas do grupo de funções ou servidores, clique com o botão direito do mouse na lista e clique em Excluir resultado.
O resultado não é mais exibido na lista de resultados.
Para exibir os resultados excluídos na GUI, execute a consulta interna Resultados excluídos. Clique em Consultas de Pesquisa Salvas e em Resultados excluídos.
Após executar a consulta Resultados excluídos, observe que o texto do subtítulo do bloco, uma descrição dos resultados exibidos na lista, é alterado para Resultados excluídos. Somente os resultados excluídos são exibidos na lista.
Abra uma sessão do Windows PowerShell com direitos de usuário elevados.
Exclua resultados específicos de uma varredura de modelo executando o comando a seguir.
Get-BPAResult -modelId <model ID> | Where { $_.<Field Name> -eq "Value"} | Set-BPAResult -Exclude $true
O comando anterior recupera os itens de resultado da varredura do BPA referentes à ID do modelo representada pela ID do Modelo.
A segunda seção do comando filtra os resultados do cmdlet
Get-BPAResult
para recuperar apenas os resultados da varredura em que o valor de um campo de resultado, representado pelo Nome do Campo, corresponde ao texto entre aspas.A seção final do comando, após o segundo caractere de barra vertical, exclui os resultados filtrados pela seção anterior do cmdlet.
Exemplo:
Get-BPAResult -Microsoft/Windows/FileServices | Where { $_.Severity -eq "Information"} | Set-BPAResult -Exclude $true
Quando desejar visualizar os resultados excluídos da varredura, você pode incluí-los nos resultados da varredura. A configuração Incluir é persistente: os resultados incluídos serão sempre incluídos nas varreduras futuras do mesmo modelo no mesmo computador.
Abra uma página de grupo de servidores ou de função no Gerenciador do Servidor.
No bloco do Analisador de Práticas Recomendadas do grupo de funções ou servidores, clique com o botão direito do mouse em um resultado excluído na lista de consulta Resultados excluídos e clique em Incluir resultado.
O resultado não é mais exibido na lista de resultados excluídos. Limpe a consulta clicando em Limpar Tudo para exibir o resultado incluído na lista de todos os resultados incluídos.
Abra uma sessão do Windows PowerShell com direitos de usuário elevados.
Inclua resultados específicos de uma varredura de modelo digitando o seguinte comando e pressionando Enter.
Get-BPAResult -modelId <model Id> | Where { $_.<Field Name> -eq "Value" } | Set-BPAResult -Exclude $false
O comando anterior recupera os itens de resultado da varredura do BPA referentes ao modelo representado pela ID do modelo.
A segunda parte do comando, após o primeiro caractere de barra vertical (|) filtra os resultados do cmdlet Get-BPAResult para recuperar apenas os resultados da varredura em que o valor do campo de resultado, representado pelo Nome do campo, corresponde ao texto entre aspas.
A parte final do comando, após o segundo caractere de barra vertical, inclui resultados filtrados pela segunda parte do cmdlet, ao configurar o valor do parâmetro -Exclude como false.
Exemplo:
Get-BPAResult -Microsoft/Windows/FileServices | Where { $_.Severity -eq "Information"} | Set-BPAResult -Exclude $false
Para exibir e gerenciar os resultados das varreduras usando os cmdlets do Windows PowerShell, confira os procedimentos a seguir. Antes que você possa usar qualquer um dos procedimentos a seguir, execute pelo menos uma varredura BPA em um modelo ou submodelo.
Abra uma sessão do Windows PowerShell com direitos de usuário elevados.
Obtenha os resultados da verificação mais recente de uma ID de modelo especificada. Digite o seguinte, no qual o modelo é representado pela ID do modelo e pressione Enter. Você pode obter os resultados de várias identificações de modelo separando as identificações de modelo por vírgulas.
Get-BPAResult <model ID>
Exemplo:
Get-BPAResult Microsoft/Windows/DNSServer,Microsoft/Windows/FileServices
Se você tiver examinado um submodelo de um modelo, como um serviço de função, obtenha os resultados para somente esse submodelo incluindo a identificação de submodelo no cmdlet.
Exemplo:
Get-BPAResult Microsoft/Windows/FileServices -SubmodelID FSRM
No Windows PowerShell, cada resultado do BPA é parecido com o seguinte.
ResultNumber : 14 ResultId : 1557706192 modelId : Microsoft/Windows/FileServices SubmodelId : FSRM RuleId : 16 computerName : server_name1, server_name2 Context : FileServices Source : server_name1 Severity : Information Category : Configuration Title : Access Denied remediation requires remote management be enabled on this server Problem : Impact : Resolution : compliance : The File Server Best Practices Analyzer scan has determined that you are in compliance with this best practice. help : Excluded : False
Execute uma delas.
Para formatar os resultados do BPA em uma tabela, execute o cmdlet a seguir, adicionando as propriedades de resultados que você deseja visualizar no exemplo anterior.
Get-BPAResult model ID | format-Table -Property <property1,property2,property3...>
Exemplo:
Get-BPAResult Microsoft/Windows/FileServices | format-Table -Property modelId,SubmodelId,computerName,Source,Severity,Category,Title,Problem,Impact,Resolution,compliance,help
Para formatar os resultados do BPA em um visualizador de grade baseado em GUI, com um filtro de cadeia de caracteres de texto, e cabeçalhos de coluna que podem ser clicados para classificar os resultados, execute o cmdlet a seguir.
Get-BPAResult <model ID> | OGV
Para exportar os resultados do BPA para um arquivo HTML que possa ser arquivado ou enviado por email aos destinatários, execute o seguinte cmdlet, em que path representa o caminho e o nome do arquivo no qual você deseja salvar os resultados em HTML.
Get-BPAResult <model ID> | convertTo-Html | Set-Content <path>
Exemplo:
Get-BPAResult Microsoft/Windows/FileServices | convertTo-Html | Set-Content C:\BPAResults\FileServices.htm
Para exportar os resultados do BPA para um arquivo de texto CSV (valores separados por vírgula), execute o seguinte cmdlet, em que path representa o caminho e o nome do arquivo de texto no qual você deseja salvar os resultados em CSV. Os resultados em CSV podem ser importados no Microsoft Excel ou outros programas que exibem dados em planilhas ou grades.
Get-BPAResult <model ID> | Export-CSV <path>
Exemplo:
Get-BPAResult Microsoft/Windows/FileServices | Export-CSV C:\BPAResults\FileServices.txt
Conteúdo de resolução do Analisador de Práticas Recomendadas nos blocos Filtrar, classificar e consultar dados no Gerenciador do Servidor do Windows Server TechCenter em Gerenciar vários servidores remotos com o Gerenciador do Servidor