jueves, 30 de junio de 2016

Renovación Microsoft Certified Trainer MCT

Un año más renuevo mi Certificación como instructor de tecnologías Microsoft MCT, mi labor como Microsoft Certified Trainer me ha permitido disfrutar compartiendo experiencias, espacios y procesos de enseñanza/aprendizaje, pero sobre todo he disfrutado de aprender: de las inquietudes de mis alumnos, de todas las preguntas que me han hecho investigar algo que no sabia, de todas las horas dedicadas a preparar las clases y de la enorme cantidad de recursos que Microsoft proporciona a sus instructores.


Poco me queda por decir, en Septiembre empezaremos con las mismas ganas de siempre, esperando que el curso 2016/17 sea todavía mejor que este, y desde aquí dar las gracias a las empresas con las que he colaborado este año y a Todos los Alumn@s igual que lo hago siempre al final de cada curso:

"Gracias por hacer que sea tan fácil impartir formación"


Seguridad a lo Jabalí para Todos!!

miércoles, 29 de junio de 2016

Microsoft PowerShell Equilibrio de Carga de Red NLB

Microsoft proporciona servicios de alta disponibilidad mediante dos características: Balanceo de carga de red y Failover Cluster. La primera orientada a gestionar volumen de tráfico de red y carga de trabajo sobre un recurso y la segunda característica diseñada para entornos de alta disponibilidad donde se asegura el servicio o el acceso al recurso.

Hoy vamos a implementar un Cluster de servidores con balanceo de carga y lo desplegaremos mediante PowerShell...

Desde el modo Gráfico NLB es un característica que debemos instalar en cada nodo del clúster, luego generamos un Nuevo Clúster y añadimos cada equipo del nodo. En sistemas en Español se denomina Equilibrio de Carga de Red.



Lo primero es instalar la característica y mediante PowerShell se puede desplegar en todos los servidores simultáneamente...

Invoke-Command -Computername LON-SVR1,LON-SVR2 -command {Install-WindowsFeature NLB,RSAT-NLB}

En este caso sobre los equipos Server1 y Server2, ahora creamos el Cluster con una de las máquinas...

New-NlbCluster -InterfaceName "Ethernet" -OperationMode Multicast -ClusterPrimaryIP 172.16.0.42 -ClusterName LON-NLB

En esta configuración se agrega el nombre del cluster, la dirección IP y el modo de comunicación entre los nodos: Multicast. Para agregar nuevos equipos al cluster podemos utilizar el siguiente comando...

Add-NlbClusterNode -InterfaceName "Ethernet" -NewNodeName "LON-SVR2" -NewNodeInterface "Ethernet"

Ahora disponemos de un Cluster con balance de carga de red configurado entre ellos, este servicio esta recomendado para servicios y aplicaciones "sin estado de conexión" es decir aquellos elementos que no necesiten mantener una sesión activa como una consulta a base de datos o similar.

En elementos donde sea prioritario mantener una comunicación es mejor implementar Cluster de Conmutación por error o Failover Cluster.

Seguridad a lo Jabalí para Todos!!

lunes, 27 de junio de 2016

Curso PowerShell v5

Esta disponible el curso de Microsoft Virtual Academy Nuevo en PowerShell v5 con las nuevas funcionalidades que incluye esta versión. En esta formación diferentes expertos explican las nuevas características implementadas en PowerShell versión 5, personalmente destacaría el capitulo de seguridad que me ha parecido muy interesante...


Contenido del curso Novedades en PowerShell v5
  1. Introduction to PowerShell v5
  2. Package Management
  3. PowerShell v5 Security
  4. PowerShell v5 Debugging
  5. PowerShell Classes
  6. Just Enough Administration
  7. Desired State Configuration
 

Seguridad a lo Jabalí para Todos!!

viernes, 24 de junio de 2016

Formación Certificada en Asturias

Si estas interesad@ en realizar cursos o formaciones de certificación oficial de Microsoft en Asturias puedes ponerte en contacto con nosotros, en angel@seguridadjabali.com disponemos de un amplio catalogo de formaciones certificadas de Microsoft.


Si estas interasad@ en realizar formación online también puedes ponerte en contacto con nosotros para recibir información sin compromiso sobre las diferentes opciones de cursos de Microsoft con Certificados que impartimos.
 


Seguridad a lo Jabalí para Todos!!

miércoles, 22 de junio de 2016

Microsoft Dynamic Access Control DAC (II de III)

En anteriores artículos se describían los requisitos básicos para implementar la estructura de Microsoft Dynamic Access Control DAC, en esta ocasión hablaremos de las diferentes opciones disponibles en esta herramienta.

Seleccionar Active DirectoryAdministrative Center/DAC/Claim Types posteriormente New Claim Type y editar la característica deseada para usuario y/o equipo.


Otra característica que se puede configurar son las propiedades de los recursos.... por defecto vienen todas deshabilitadas.


También se pueden editar ... doble click en cualquier propiedad.


Ahora ya se pueden crear Reglas de Acceso utilizando todas estas características y propiedades mediante la opción de Central Access Rule



 
Como se puede apreciar en las imágenes se pueden generar Reglas de Acceso mucho más complejas que la simple pertenencia a un grupo o los permisos de seguridad.

Sin embargo en la mayor parte de los entornos empresariales no es recomendable gestionar una serie de reglas dispersas, que con el paso del tiempo suele terminar en un descontrol de reglas sin ningún tipo de gestión. Para evitar este tipo de escenarios en DAC podemos gestionas una serie de directivas centralizadas que permiten controlar y gestionar eficazmente todas estas reglas de acceso.


Esta directiva de DAC se aplicara mediante GPO en la ruta que se describe a continuación...
Computer Configuration/Policies/Windows Settings/Security Settings/File System

y botón derecho sobre...  Central Access Policy


En las Propiedades de la carpeta, pestaña de seguridad, seguridad avanzada esta disponible una nueva pestaña que permite gestionar Central Policy
 

Una forma eficaz de implementar acceso a los recursos de una forma mucho más detallada que con los típicos permisos de seguridad, pero ¿Como se aplica el resultante total de permisos sobre un recurso?

Este esquema explica muy bien como es el proceso de aplicar los diferentes permisos sobre el recurso


Además se puede monitorizar DAC y planificar nuevas actualizaciones, pero eso sera en el próximo capitulo....

Seguridad a lo Jabalí para Todos!!

lunes, 20 de junio de 2016

Mejorar la Protección de Ficheros en Microsoft DAC (I de III)

En un entorno Microsoft están disponibles varios medios para controlar el acceso a ficheros, los permisos de sistema de ficheros NTFS, los permisos de compartir y para aumentar el control sobre la documentación de un entorno empresarial esta AD RMS Active Directory Rights Management Services.

En todos los escenarios esta presente la misma limitación se concede el permiso basado en un determinado SID o la pertenencia al SID de un grupo de seguridad. En Server 2012 se implementa el Control de Acceso Dinámico DAC que permite generar y añadir a los usuarios y equipos nuevas piezas de información denominadas "Claims" utilizadas para decidir el acceso a un recurso del directorio activo.

Una vez configurado Kerberos emite un Token diferente incluyendo los nuevos Claims para poder utilizarlos en el momento de conceder permiso para acceder a un recurso. 

Además  mediante DAC se pueden generar propiedades asociadas a los diferentes recursos y expresiones condicionales basadas en esas propiedades y claims para acceder a dichos recursos.

El Control de Acceso Dinámico se debe desplegar dentro de un entorno de Directorio Activo, al menos un controlador de Domino Server 2012 y un servidor con el Rol de File Server Resource Manager instalado.

Lo primero que se debe configurar es el nivel funcional del dominio y del bosque (en función del escenario del despliegue) mediante la consola de Dominios y Confianzas del Directorio Activo.


Hay que modificar la Directiva de Grupo GPO que gestiona los Unidad Organizativa OU de los Controladores de Dominio: Default Domain Controllers Policy
 

En la ruta :
Configuración de Equipo/Directivas/Plantillas Administrativas/System/KDC

Habilitamos:
kdc support for claims compound authentication and kerberos armoring
 

En la consola de administración del Servidor en Tools selecciónar Active Directory Administrative Center y DAC Dynamic Access Control


Desde Microsoft Dynamic Access Control se pueden configurar diferentes piezas de información para equipos y/o usuarios (claims), propiedades de recursos, reglas de acceso o directivas de acceso centralizadas... pero eso sera el próximo día. XD


Seguridad a lo Jabalí para Todos!!

viernes, 17 de junio de 2016

Novedades en Windows Server 2016

En Microsoft Virtual Academy hay disponible una nueva formación: New in Windows Server 2016 con las principales novedades de Windows Server 2016, un curso muy interesante para ir poniéndose al día de las nuevas características del sistema operativo de Microsoft que se estrenara casi seguro en Otoño.
 

Microsoft propone muchas novedades en esta nueva versión del sistema operativo Windows Server 2016 con nuevos modelos de despliegue y elementos muy interesantes para la infraestructura IT.



Seguridad a lo Jabalí para Todos!!

viernes, 10 de junio de 2016

martes, 7 de junio de 2016

0xWord Books

Hace algún tiempo que dedico parte de mi tiempo a mejorar mi formación mediante libros de verdad, en papel. En mi caso particular disfruto mas la lectura de un libro cuando puedo tocarlo, ir pasando paginas sin prisa y leer con calma, además del descanso para mis ojos al abandonar por un  ratito una pantalla.

Desde mi punto de vista, los libros impresos aumentan la calidad del aprendizaje, y en temas de seguridad informática y hacking 0xWord es una de las editoriales de referencia, ahora que llega el verano y disponemos todos de un poco más de tiempo ya sabes que lectura llevarte a la playa...


En Seguridad Jabalí, La biblioteca sigue creciendo...

Seguridad a lo Jabalí para Todos!!

lunes, 6 de junio de 2016

Eliminar la Directiva de Resolución de Nombres en clientes de DirectAccess

DirectAccess es una de las tecnologías mas interesantes de Microsoft desde Server 2008 y especialmente a partir de Windows Server 2012

Esta característica permite gestionar acceso remoto a un entorno empresarial de una forma muy cómoda para los equipos clientes de forma que puedan acceder a los recursos de la empresa desde cualquier ubicación.

Ademas permite de realizar estas conexiones de forma segura con cifrado y diversos métodos de autenticación, todo ello con unas reglas de conexión y seguridad que se aplican mediante directiva de grupo GPO

En algunas ocasiones el equipo cliente puede recibir una directiva con una configuración errónea de una regla de conexión o de resolución de DNS, en estos casos hay que proceder a eliminar ese valor que aplico la directiva de forma manual.

Remove-DnsClientNrptRule -Name "DA-{COD_Regla}" -PassThru

En caso de no funcionar, el valor de registro que hay que eliminar esta en.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsNT\DnsClient\DnsPolicyConfig

Luego limpiar el cache DNS

Desde PowerShell
  • $nrpt = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\DnsPolicyConfig'
  • Get-ChildItem -Path $nrpt| ForEach {Remove-Item $_.pspath}
  • Restart-Service DNSCache

Step By Step in Windows 7


Además dispones de varias opciones de configuración del cliente de DirectAccess mediante PowerShell  
DirectAccess Client Cmdlets in Windows PowerShell

Seguridad a lo Jabalí para Todos!!

domingo, 5 de junio de 2016

Superando el Firewall "A lo Jabalí"

En las clases de hacking o seguridad informática ofensiva se utilizan diversas técnicas para superar las diferentes barreras de seguridad y aprender como un posible atacante puede penetrar en el sistema, en algunas ocasiones las técnicas empleadas son bastante "A lo Jabalí..."

video




Seguridad a lo Jabalí para Todos!!

viernes, 3 de junio de 2016

Comandos Microsoft Net USE

Net USE es uno de los comandos más utilizados por los administradores de sistemas, permite configurar las conexiones a un recurso compartido.

El formato del comando es:
NET use [{<DeviceName>| *] [\\ <ComputerName> \ <ShareName> [\ <volume>]] [{<Password>|*] [/usuario: [<DomainName> \] < nombre de usuario] > [/ usuario: [<DottedDomainName>\] <UserName>] [/ usuario:[<UserName@DottedDomainName>][/savecred] [/smartcard] [{/DELETE |/ persistent: {yes | no}}] net use [<DeviceName> [/ home [{<Password>| *] [/ eliminar: {yes | no}]] net use [/ persistent: {yes | no}]
 
Aunque principalmente se utiliza para mapear un recurso compartido de forma que se asocie a una letra:

NET use E: \\Equipo\Recurso Compartido

NET use Z: \\192.168.0.33\CarpetaCompartida
 

y de forma persistente con el siguiente parámetro:

NET use / persistent: yes


Para eliminar una conexión:
 
NET use V:  /delete 

NET use \\Servidor13\MiRecursoCompartido  /delete

Click en Imagen para Aumentar

Seguridad a lo Jabalí para Todos!!

jueves, 2 de junio de 2016

Defender el Directorio Activo de Microsoft

Esta disponible un nuevo curso en Microsoft Virtual Academy MVA titulado: Defending Active Directory Against Cyberattacks, en esta formación puedes aprender a mejorar la seguridad de un entorno basado en la estructura de Active Directory de Microsoft.


El contenido del curso desarrolla los siguientes temas:
  • Active Directory Security: First Things First
  • Adopt Least Privilege
  • Protect Privileged Identities
  • Defend Your Directory
  • Defend Your Domain Controllers
  • Beware of Security Dependencies
  • Monitoring
Espero que lo disfrutéis.... un saludo XD

Seguridad a lo Jabalí para Todos!!

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias