jueves, 5 de diciembre de 2019

Las 5 Configuraciones de Windows Indispensables para Proteger Identidades en un Entorno de Microsoft

Proteger las identidades de una organización no es una tarea sencilla, los entornos actuales son cada vez mas complejos, la gestión de identidades, procesos de autenticación y autorización es clave para mantener una infraestructura en unos niveles aceptables de seguridad.

A continuación vamos a explicar cinco configuraciones de Windows que debes conocer para mejorar considerablemente la seguridad de una infraestructura informática... 

Gestión de Grupos de Administración Local 
La gestión de las cuentas de usuarios locales de los equipos puede ser un problema de seguridad para cualquier organización, Microsoft dispone de soluciones especificas para administrar de forma adecuada las cuentas de usuarios locales de los equipos de forma eficiente y segura.

Grupos Restringidos
La directiva de Grupos Restringidos permite administrar la pertenencia y configuración de grupos de ámbito de seguridad local, se habilita en la siguiente ruta:
ComputerConfiguration/Policies/Windows Settings/SecuritySettings/RestrictedGroups


Esta directiva No permite gestionar cuentas de Dominio, solo cuentas locales de equipo. Una vez configurada la directiva de Grupos Restringidos se puede controlar la administración de los equipos locales y la gestión de pertenencia a los diferentes grupos de forma segura. Configuración de Grupos Restringidos en Windows Server.

Local Administrator Password Solution LAPS
Otra solución para la administración de cuentas locales es Local Administrator Password Solution LAPS una herramienta de libre descarga publicada por Microsoft para la administración centralizada de las contraseñas de las cuentas locales de equipos unidos a un dominio.

¿Cómo funciona LAPS?
LAPS determina si la contraseña de la cuenta del administrador local ha caducado. Si la contraseña ha caducado, LAPS realiza los siguientes pasos:
  • Cambia la contraseña del administrador local a un nuevo valor aleatorio.
  • Transmite la nueva contraseña y la fecha de caducidad a Active Directory, donde se almacena en un atributo confidencial especial asociado con la cuenta de equipo de la computadora.

En el siguiente enlace dispones de la guía paso a paso para instalar y configurar Local Administrator Password Solution LAPS Step by Step

Protección de Grupos con Privilegios
La protección de las identidades con privilegios dentro de Active Directory es otro factor muy relevante para mejorar la seguridad de nuestra infraestructura informática.

Protected Users Security Group
Microsoft dispone de un grupo de seguridad denominado Protected Users Security Group o Usuarios Protegidos, los usuarios de este grupo No tienen permitido utilizar de protocolos para la gestión de credenciales, sensibles de ser atacados. Esta disponible para equipos con Windows Server 2012R2, Windows 8.1 y versiones posteriores del sistema operativo con controladores de dominio Windows Server 2012R2.

Los usuarios protegidos por la pertenencia a este grupo tienen las siguientes restricciones:
  • El dominio debe admitir el cifrado Advanced Encryption Standard AES. Kerberos no usará los tipos de cifrado Data Encryption Standard DES o RC4. Tampoco admite delegación restringida o sin restricciones de Kerberos.
  • No está permitida la autenticación con NTLM, Digest authentication o Credential Security Support Provider CredSSP.
  • Las contraseñas no se almacenan en caché, por lo que los dispositivos que utilizan uno de estos proveedores de soporte de seguridad SSP, no podrán autenticarse en un dominio.
  • El valor vida útil de los tickets de Kerberos TGTs, por defecto de cuatro horas, se puede configurar utilizando Políticas de autenticación y Silos.

Disponible información de esta característica en Protected Users Security Group

Credential Guard
Credential Guard es una nueva característica de seguridad que permite aislar mediante virtualización las credenciales basadas en contraseñas NTLM y los tickets de Kerberos. Los sistemas Windows almacenan con Local Security Authority LSA las credenciales en la memoria del proceso, Credential Guard protege las credenciales en un nuevo componente denominado isolated LSA, un proceso que permanece aislado del resto del sistema operativo mediante virtualización.

El proceso de isolated LSA solo contiene un pequeño conjunto de binarios firmados con un certificado de confianza, necesarios para su funcionamiento y se comunica con LSA mediante RPC. Credential Guard se administra con WMI, PowerShell o símbolo del sistema, para la implementación se deben cumplir los siguientes requisitos:
  • Arquitectura x64. 
  • Firmware UEFI versión 2.3.1 
  • Trusted Platform Module, versión 1.2 o 2.0 TPM 
  • Sistemas Windows Server 2016, Windows Enterprise IoT, Windows 10 Enterprise o Education. 
  • Extensiones de Virtualizacion Intel VT-x o AMD-V y Second Level Address Translation SLAT. 
  • Proceso de actualización segura de firmware. 
  • Securing Boot, Secure MOR, Firmware con soporte para SMM protection y actualización de Firmware mediante Windows Update. 
  • La opción de Protección de DMA y arranque seguro en la configuración de directiva de grupo requiere Hardware compatible con IOMMU input/output memory management unit.
Credential Guard no permite la delegación de Kerberos sin restricciones, ni cifrado DES, tampoco admite los siguientes protocolos NTLMv1, MS-CHAPv2, Digest y CredSSP. Credential Guard se puede habilitar con directivas de grupo en la siguiente ruta: Computer Configuration/Administrative Templates/System/Device Guard

Seleccionando Enabled with UEFI lock o Enabled without lock  para permitir apagar Credential Guard de forma remota. Step By Step Credential Guard

Remote Credential Guard
Remote Credential Guard ayuda a proteger las credenciales en una conexión de escritorio remoto, las credenciales de usuario permanecen en el lado cliente y no se exponen en el servidor, también proporciona inicio de sesión único para conexiones a escritorio remoto. Cuando el usuario inicia la conexión, la solicitud de Kerberos se redirige de nuevo al host de origen para la autenticación, de forma que no se entregan credenciales en el host remoto.

Los requisitos para implementar Remote Credential Guard son:
  • Entorno en el mismo dominio de Active Directory o un dominio con una relación de confianza. 
  • Autenticación Kerberos. 
  • Sistemas operativos Windows 10, versión 1607 o Windows Server 2016. 
  • Remote Desktop Universal Windows Platform no está soportado con RCG.
Remote Credential Guard se habilita en la siguiente ruta del registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

La configuración de esta característica esta disponible mediante objetos de directiva de grupo o GPO aprende a Configurar Remote Credential Guard 

Si estáis interesados en saber cómo mejorar la protección de infraestructuras basadas en tecnología de Microsoft apuntaros a nuestro curso HCHSW Hardening de Servidores Windows en TSS.

Autor: Angel A. Núñez, Profesor del Curso Hardening de Servidores Windows en The Security Sentinel HCHSW, MCT Microsoft Certified Trainer, Microsoft MVP Cloud and Datacenter Management, Microsoft Certified Azure Architect Expert y Autor del libro Windows Server 2016: Administración, seguridad y operaciones. Editorial 0xWord

Seguridad a lo Jabalí para Todo!!

miércoles, 4 de diciembre de 2019

8000 Contactos Profesionales en LinkedIn

Una de las ventajas de la Sociedad Actual es la facilidad para comunicarnos, para interconectar profesionales de cualquier parte del mundo y participar en proyectos en común, compartir experiencias, solucionar problemas y progresar en el avance de nuevas tecnologías y servicios.

Una parte esencial de esta tarea es dedicar un tiempo, en ver los proyectos de otros compañeros, aprender de trabajo, compartir aquello que resulta interesante y conocer nuevos profesionales, hacer crecer tu red de contactos es un excelente método de sembrar el terreno para que florezcan nuevos proyectos y LinkedIn es una excelente red social para esta tarea...

Hace bastante tiempo que dedico algo de tiempo en revisar los proyectos de otros profesionales en LinkedIn, las noticias que publican y las investigaciones de compañeros y otros hackers..

A través de esta red me han surgido innumerables oportunidades profesionales y colaboraciones para participar en proyectos que no hubieran sido posibles desde el anonimato o las vías habituales de contacto profesional.

Así he conocido a profesionales increíbles, accedido a muchísima inflacionario y recursos de calidad que me han permitido aprender y ser mejor en mi trabajo. Ademas de participar en proyectos profesionales, desde cualquier parte del mundo, que nunca habría pensado que alguien me propondría.

Mi consejo es que dediques algo de tu tiempo, el que tú quieras, pero algo a potenciar tus redes sociales profesionales, te sorprenderá el resultado... Nos vemos en LinkedIn

Seguridad a lo Jabalí para Todos!!

martes, 3 de diciembre de 2019

Microsoft Certified Trainer Salary

Microsoft Certified Trainers MCTs are the leading technical and instructional experts, MCTs are the only individuals allowed to deliver authorized Microsoft classes and certification prep programs using Microsoft Official Curriculum MOC.

MCTs enjoy a range of perks and benefits, including instant access to the entire library of Microsoft's training materials, half-off discount on certification exams, opportunity to be among the first to earn new Microsoft certifications while still in Beta, membership in the MCT networking community, invitations to exclusive Microsoft events and much more.

Microsoft Certified Trainer Salary

Annual wage for MCTs and other Microsoft Certified Professionals:
  • MOS: Microsoft Office Specialist: $53,000
  • MTA: Microsoft Technology Associate: $55,000
  • MCDST: Microsoft Certified Desktop Support Technician: $57,000
  • MCSA: Microsoft Certified Solutions Associate: $59,000
  • MCSA: Microsoft Certified Systems Administrator: $73,000
  • MCT: Microsoft Certified Trainer: $80,000
  • MCTS: Microsoft Certified Technology Specialist: $81,000
  • MCITP: Microsoft Certified IT Professional: $90,000
  • MCSE: Microsoft Certified Systems Engineer: $91,000
  • MCPD: Microsoft Certified Professional Developer: $94,000
  • MCDBA: Microsoft Certified Database Administrator: $96,000
  • MCAD: Microsoft Certified Application Developer: $97,000
  • MCSE: Microsoft Certified Solutions Expert: $97,000
  • MCSD: Microsoft Certified Solutions Developer: $100,000
  • MCA: Microsoft Certified Architect: $113,000


Seguridad a lo Jabalí para Todos!!

lunes, 2 de diciembre de 2019

Configurar Remote Credential Guard

Remote Credential Guard ayuda a proteger las credenciales en una conexión de escritorio remoto, las credenciales de usuario permanecen en el lado cliente y no se exponen en el servidor, también proporciona inicio de sesión único para conexiones a escritorio remoto. Cuando el usuario inicia la conexión, la solicitud de Kerberos se redirige de nuevo al host de origen para la autenticación, de forma que no se entregan credenciales en el host remoto.

Los requisitos para implementar Remote Credential Guard son:
  • Entorno en el mismo dominio de Active Directory o un dominio con una relación de confianza. 
  • Autenticación Kerberos. 
  • Sistemas operativos Windows 10, versión 1607 o Windows Server 2016. 
  • Remote Desktop Universal Windows Platform no está soportado con RCG.
Remote Credential Guard se habilita en la siguiente ruta del registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
Configurar el DWORD DisableRestrictedAdmin con un valor 0.

El siguiente comando realiza la misma tarea:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

La configuración de esta característica esta disponible mediante objetos de directiva de grupo o GPO...


Remote Credential Guard se puede pasar como parámetro al iniciar la conexión de escritorio remoto con los siguientes comandos:
  • mstsc.exe /remoteGuard
  • mstsc.exe /RestrictedAdmin
Estáis interesados en mejorar la protección de infraestructuras con tecnología de Microsoft, apuntaros al curso HCHSW Hardening de Servidores Windows en TSS.

Autor: Angel A. Núñez, Profesor del Curso Hardening de Servidores Windows en The Security Sentinel, MCT Microsoft Certified Trainer, Microsoft MVP Cloud and Datacenter Management, Microsoft Certified Azure Architect Expert Autor del libro: Windows Server 2016. Editorial 0xWord

Seguridad a lo Jabalí para Todos!!

domingo, 1 de diciembre de 2019

Windows Control Flow Guard

Microsoft Control Flow Guard es una característica implementada en Windows Server 2016 que permite desarrollar software más seguro, en la compilación se identifican las funciones que pueden ser fuentes de una llamada indirecta, luego en el proceso de ejecución se verifica si una llamada indirecta proviene de una fuente valida o finaliza la aplicación, esto dificulta la ejecución de código malicioso en software con la característica de CFG habilitada.

Esta característica está disponible en Microsoft Visual Studio 2015 que ejecute CFG-Aware, versiones de Windows x86 y x64, Server 2016, Windows 10 y 8.1 con actualización KB3000850 como muestra la imagen:


La opción de Control Flow Guard se puede activar en la siguiente ruta de Visual Studio 2015: Project/Properties/Configuration Properties/C/C++/Code Generation

How Does CFG Really Work?

 Click en la imagen para aumentar


Mas información en:

Seguridad a lo Jabalí para Todos!!

sábado, 30 de noviembre de 2019

Estudia CyberSecurity en Massachusetts Institute of Technology MIT

¿Quieres estudiar en el MIT como lo hizo Howard Wolowitz? Ahora tienes la oportunidad de estudiar Seguridad Informática en el Massachusetts Institute of Technology, el famoso MIT .... 

El 19 de Diciembre de 2019 comienza el primer curso online CyberSecurity de Massachusetts Institute of Technology MIT, una formación online de 6 semanas, requiere una dedicación de 5 o 6 horas por semana y tiene un precio de 2.800 $

Destinatarios del programa
Esta formación esta orientada para gerentes generales, ejecutivos, lideres de negocio o consultores tecnológicos que desean implementar o desarrollar planes de seguridad informática para fortificar la seguridad de una organización.



Program Modules
  • Orientation Module: Welcome to Your Online Campus
  • Module 1: Understanding the Threat Landscape
  • Module 2: Organizing Cyber Management Priorities: The National Institute of Standards and Technology (NIST) Cybersecurity Framework
  • Module 3: Measuring Risk Exposure
  • Module 4: Improving Defenses with Systems and Technology
  • Module 5: Building a Culture of Cybersecurity
  • Module 6: Exploring Ethics in Cybersecurity
 

Una oportunidad única de aprender ciberseguridad una de las universidades mas prestigiosas del mundo, un excelente impulso a tu carrera profesional y ademas obtendrás un diploma acreditativo de los conocimientos adquiridos.


Mas información en:
 
Seguridad a lo Jabalí para Todos!!

viernes, 29 de noviembre de 2019

Abierto el CFP RootedCON

Esta abierto el plazo para presentar tus propuestas para la RootedCON, una excelente oportunidad para presentar tus proyectos, hablar de tu investigación o compartir experiencias con otros profesionales del sector. ¿A qué estas esperando? ¡Participa... CFP RootedCON!


¡¡Apúntate a RootedCON 2020!!


Seguridad a lo Jabalí para Todos!!

jueves, 28 de noviembre de 2019

Step By Step Credential Guard

Credential Guard es una nueva característica de seguridad que permite aislar mediante virtualización las credenciales basadas en contraseñas NTLM y los tickets de Kerberos. Los sistemas Windows almacenan con Local Security Authority LSA las credenciales en la memoria del proceso, Credential Guard protege las credenciales en un nuevo componente denominado isolated LSA, un proceso que permanece aislado del resto del sistema operativo mediante virtualización.


El proceso de isolated LSA solo contiene un pequeño conjunto de binarios firmados con un certificado de confianza, necesarios para su funcionamiento y se comunica con LSA mediante RPC. Credential Guard se administra con WMI, PowerShell o símbolo del sistema, para la implementación se deben cumplir los siguientes requisitos:
  • Arquitectura x64.
  • Firmware UEFI versión 2.3.1
  • Trusted Platform Module, versión 1.2 o 2.0 TPM
  • Sistemas Windows Server 2016, Windows Enterprise IoT, Windows 10 Enterprise o Education.
  • Extensiones de Virtualizacion Intel VT-x o AMD-V y Second Level Address Translation SLAT.
  • Proceso de actualización segura de firmware.
  • Securing Boot, Secure MOR, Firmware con soporte para SMM protection y actualización de Firmware mediante Windows Update.
  • La opción de Protección de DMA y arranque seguro en la configuración de directiva de grupo requiere Hardware compatible con IOMMU input/output memory management unit.
Credential Guard no permite la delegación de Kerberos sin restricciones, ni cifrado DES, tampoco admite los siguientes protocolos NTLMv1, MS-CHAPv2, Digest y CredSSP. Credential Guard se puede habilitar con directivas de grupo en la siguiente ruta: Computer Configuration/Administrative Templates/System/Device Guard 

Seleccionando Enabled with UEFI lock o Enabled without lock  para permitir apagar Credential Guard de forma remota. 


La seguridad basada en virtualización se puede activar en el registro en la dirección: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard configurando el valor 1 en el DWORD EnableVirtualizationBasedSecurity y el valor 1 o 3 en DWORD RequirePlatformSecurityFeatures para Arranque seguro o Protección de DMA y arranque seguro respectivamente.

Para activar Credential Guard se debe utilizar la siguiente opción en el registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA estableciendo el valor 1 en el DWORD LsaCfgFlags con bloqueo de UEFI, el valor 2 para configurar sin UEFI, con el valor 0 para deshabilitar Credential Guard.

Microsoft proporciona una herramienta en Windows PowerShell (debe ejecutarse con permisos elevados) para verificar el hardware y activar Device Guard o Credential Guard. https://www.microsoft.com/en-us/download/details.aspx?id=53337

Una vez instalada, el siguiente comando permite verificar el funcionamiento de Credential Guard:
  • #Habilitar el funcionamiento de Credential Guard
    DG_Readiness_Tool_v2.0.ps1 -Enable -AutoReboot
  • #Deshabilitar el funcionamiento de Credential Guard
    DG_Readiness_Tool_v2.0.ps1 -Disable -AutoReboot
  • #Verificar el funcionamiento de Credential Guard
    DG_Readiness_Tool_v2.0.ps1 -Ready
Otra forma de verificar el funcionamiento del componente es mediante msinfo32.exe


En el administrador de tareas se genera un proceso llamado LsaIso.exe asociado al funcionamiento de Credential Guard que se puede consultar para verificar el correcto funcionamiento de la característica.

Estáis interesados en mejorar la protección de infraestructuras con tecnología de Microsoft, apuntaros al curso HCHSW Hardening de Servidores Windows en TSS.

Autor: Angel A. Núñez, Profesor del Curso Hardening de Servidores Windows en The Security Sentinel, MCT Microsoft Certified Trainer, Microsoft MVP Cloud and Datacenter Management, Microsoft Certified Azure Architect Expert y Autor del libro Windows Server 2016. Editorial 0xWord

Seguridad a lo Jabalí para Todos!!

miércoles, 27 de noviembre de 2019

Querer Aprender, El Espíritu del Hacker

Escribir en un blog o grabar tutoriales en Youtube, publicar un libro técnico, todas estas actividades tienen algo en común, requieren un gran esfuerzo. Tengo la suerte de conocer y contar entre mis amigos a muchos profesionales que comparten sus conocimientos e investigaciones con la comunidad de una u otra forma, y en la mayor parte de los casos de forma desinteresada y dedicando muchas, muchas horas de su tiempo libre.

La mayor parte de estos profesionales no necesitan publicar información para "ganarse la vida" y en la mayoría de los casos tampoco esperan reconocimiento o atención mediática, entonces .... ¿Por qué lo hacen?

Yo creo, es una opinión totalmente personal, que simplemente es el espíritu de los primeros creadores de Internet, compartir información, ayudar a otros a progresar, porque mañana esos otros te pueden ayudar a ti a seguir avanzando y esta en mi opinión, es la base en la que se construyo Internet.

Todos comenzamos con muchas ilusión, dedicando muchas horas para sacar un proyecto adelante, un blog, un canal de Youtube o cualquier otro medio de comunicación, porque al fin al cabo, eso es lo que son, medios de comunicación... pero con el paso del tiempo es difícil mantener la actividad y en muchos casos los proyectos se apagan poquito a poco, como una cerilla....

En Seguridad Informática a lo Jabalí llevamos desde el año 2011 "dando guerra" y ha habido épocas de mas actividad y otras mas tranquilas, y es que son ocho años publicando por aquí. Y en nuestro caso particular lo que mas nos motiva es el hecho de que la gente siga interesada en aprender... en compartir experiencias e información, en avanzar todos juntos en el conocimiento de la tecnología.


Y la gente quiere seguir aprendiendo a usar la tecnología, hacerlo de forma segura y a nosotros nos ilusiona que un post o un video de Seguridad Jabalí siga teniendo interés para todos vosotros, así que muchas gracias a Todos!!
¡Amenazamos con seguir publicando!! 

Seguridad a lo Jabalí para Todos!!

lunes, 25 de noviembre de 2019

Actualización del Curso Online Hardening Servidores Windows

Aprende cómo mejorar la seguridad de infraestructuras basadas en tecnología de Microsoft, apuntaros a nuestro curso Hardening de Servidores Windows en The Security Sentinel.

En el curso de fortificación de servidores se han añadido 5 módulos formativos nuevos, con más de 3 horas adicionales de video, demostraciones prácticas de como configurar las características de seguridad especificas de los siguientes servicios:
  • Apéndice 01 Seguridad en DHCP
  • Apéndice 02 Seguridad en DNS
  • Apéndice 03 Seguridad WEB
  • Apéndice 04 Failover Cluster
  • Apéndice 05 Seguridad del Protocolo SMB

Desarrollarás y adquirirás habilidades prácticas aplicables en la protección y fortificación de sistemas mediante un enfoque práctico basado en la realización de laboratorios similares a un entorno real. Una excelente oportunidad de mejorar tus conocimientos sobre seguridad informática, hacking y Windows Server 2016.
¡Dale un impulso a tu carrera profesional con este curso!!



Además tienes un descuento espectacular, 50% de descuento en todos los cursos (excepto CPIF y presenciales) y si realizáis una compra usando el cupón BF19-20 este mes, podréis pedir el bono anual, que consiste en que tendréis desde Enero a Octubre de 2020 un 50% de descuento en todos los cursos (excepto CPIF y presenciales), ¡Sin límite! ¿Te lo vas a perder?


Autor: Angel A. Núñez, Profesor del Curso Hardening de Servidores Windows en The Security Sentinel HCHSW, MCT Microsoft Certified Trainer, Microsoft MVP Cloud and Datacenter Management, Microsoft Certified Azure Architect Expert y Autor del libro Windows Server 2016: Administración, seguridad y operaciones. Editorial 0xWord

Seguridad a lo Jabalí para Todos!!

viernes, 22 de noviembre de 2019

Cifrar Servidores de Archivos en 3 clicks

Proteger las comunicaciones de nuestros Servidores no es una tarea sencilla, en muchos casos desplegamos Servidores para uso interno de la organización y estos recursos deben estar fuera del alcance de accesos no autorizados.

El Firewall de Windows permite configurar con Reglas de Conexión en las que podremos cifrar la comunicación y autenticar: los clientes, el servidor o ambos, ademas Firewall de Windows con Seguridad Avanzada esta disponible en las configuraciones mediante Objetos de Directiva de Grupo o GPO lo que facilita la implantación en una organización.

En el caso de hoy vamos a hablar de otra configuración mediante GPO que también permite de forma sencilla configurar la seguridad en las conexiones de los servidores de un entorno de Dominio.

En la Configuración de Equipo, Configuración de Seguridad de Windows están las opciones de: IP Security Policies on Active Directory 

Estas configuraciones permiten definir las condiciones de comunicación de los servidores del dominio, y son muy fáciles de configurar, como se puede observar en la siguiente imagen...



En las características avanzadas se puede definir los protocolos empleados para la autenticacion y el cifrado, de forma que tenemos un control total de los protocolos empleados..


Una forma rápida y sencilla de implementar mejoras en la seguridad de los servidores de una organización.

Seguridad a lo Jabalí para Todos!!

martes, 19 de noviembre de 2019

GPO para Eliminar Cookies

Una de las herramientas mas potentes para administrar un entorno informático es el uso del Directorio Activo habitualmente referido con las siglas AD DS. Active Directory Domain Service. En este escenario es habitual el uso de Objetos de Directiva de Grupo o GPO para aplicar configuraciones de forma centralizada.

La aplicación de una GPO ofrece muchísimas configuraciones e incluso la posibilidad de ejecutar scripts al inicio o final de una sesión de usuario o al encender o apagar el equipo. Y esta es la solución que encontré publicada para eliminar cookies de un navegador.

En las opciones de directiva de grupo en la sección de plantillas administrativas hay varias configuraciones posibles para el navegador y opciones de internet, pero ninguna especifica para eliminar cookies o eliminar el historial de navegación al salir (esta la configuración para deshabilitar esta opción del menú, que es otra cosa).


En la sección de preferencias de usuario, si que tenemos disponible la opción de habilitar en el navegador (Internet Explorer) la opción de eliminar el historial de navegación (cookies incluidas) al salir...


 Click en cualquier Imagen para Ampliar


En el caso de otros navegadores no sabría decir si existen GPOs que podamos utilizar, ¿Conocéis vosotros alguna? ¿Tenéis alguna solución para eliminar las cookies mediante GPOs? ¡Déjanos un comentario con el método que utilizas !!

Seguridad a lo Jabalí para Todos!!

sábado, 16 de noviembre de 2019

Protected Users Security Group

Microsoft dispone de un grupo de seguridad denominado Protected Users Security Group o Usuarios Protegidos, los usuarios de este grupo No tienen permitido utilizar de protocolos para la gestión de credenciales, sensibles de ser atacados. Está disponible para equipos con Windows Server 2012R2, Windows 8.1 y versiones posteriores del sistema operativo con controladores de dominio Windows Server 2012R2.

Los usuarios protegidos por la pertenencia a este grupo tienen las siguientes restricciones:
  • El dominio debe admitir el cifrado Advanced Encryption Standard AES. Kerberos no usará los tipos de cifrado Data Encryption Standard DES o RC4. Tampoco admite delegación restringida o sin restricciones de Kerberos. 
  • No está permitida la autenticación con NTLM, Digest authentication o Credential Security Support Provider CredSSP. 
  • Las contraseñas no se almacenan en caché, por lo que los dispositivos que utilizan uno de estos proveedores de soporte de seguridad SSP, no podrán autenticarse en un dominio. 
  • El valor vida útil de los tickets de Kerberos TGTs, por defecto de cuatro horas, se puede configurar utilizando Políticas de autenticación y Silos.

Step by Step Protected Users Security Group
La configuración de esta característica de seguridad es muy sencilla dentro de Active Directory, seleccionamos el Centro Administrativo del Directorio Activo..


En el contenedor de Usuarios buscamos el grupo de seguridad Usuarios Protegidos...


Y añadimos los usuarios que no deseamos que utilicen protocolos de manejo de credenciales potencialmente inseguros...


Las propiedades de Protected Users Security Group se pueden apreciar en la imagen...


Y los registros generados por el grupo de seguridad de usuarios protegidos se muestran a continuación...


Está disponible más información sobre Protected Users Security Group y la configuración de medidas de protección para cuentas de usuario en los siguientes enlaces:

Si estáis interesados en saber cómo mejorar la protección de infraestructuras basadas en tecnología de Microsoft apuntaros a nuestro curso HCHSW Hardening de Servidores Windows en TSS.

Autor: Angel A. Núñez, Profesor del Curso Hardening de Servidores Windows en The Security Sentinel, MCT Microsoft Certified Trainer, Microsoft MVP Cloud and Datacenter Management, Microsoft Certified Azure Architect Expert y Autor del libro Windows Server 2016. Editorial 0xWord

Seguridad a lo Jabalí para Todos!!

viernes, 15 de noviembre de 2019

Local Administrator Password Solution LAPS Step By Step

Microsoft dispone de una herramienta de descarga gratuita para la administración centralizada de las contraseñas de las cuentas locales de equipos unidos a un dominio, Local Administrator Password Solution LAPS


LAPS tiene las siguientes características:
  • Las contraseñas de los administradores locales son únicas en cada computadora que administra LAPS.
  • LAPS genera las contraseñas de forma aleatoria para los administradores locales con regularidad.
  • LAPS almacena las contraseñas y secretos de los administradores locales de forma segura dentro de AD DS.
  • Permisos configurables para acceso a contraseñas y secretos.Las contraseñas que recupera LAPS se transmiten al cliente de manera segura y cifrada. 
 
¿Cómo funciona LAPS?
LAPS determina si la contraseña de la cuenta del administrador local ha caducado. Si la contraseña ha caducado, LAPS realiza los siguientes pasos:
  • Cambia la contraseña del administrador local a un nuevo valor aleatorio. 
  • Transmite la nueva contraseña y la fecha de caducidad a Active Directory, donde se almacena en un atributo confidencial especial asociado con la cuenta de equipo de la computadora.

Requisitos
  • LAPS funciona con cualquier equipo cliente o servidor con Windows x86 o x64 de un dominio.
  • Requiere Nivel funcional de dominio Windows Server 2003 o superior en Active Directory.
  • Debe extender el esquema de Active Directory para usar LAPS.
  • Instalar el cliente LAPS en los PCs administrados.
  • Requiere .NET Framework 4.0 y Windows PowerShell 2.0 o posterior.

Administrar contraseñas con LAPS
  • Añadir la cuenta de equipo a una OU y habilite la OU para usar LAPS con Windows PowerShell.
  • Configure las propiedades de la contraseña usando la Directivas de Grupo GPOs:
  • Complejidad de la contraseña.
  • Longitud de la contraseña.
  • Caducidad de la contraseña.
  • Ver contraseñas utilizando Windows PowerShell, Usuarios y equipos de Active Directory o la aplicación de interfaz de usuario LAPS.
Local Administrator Password Solution (LAPS)

Autor: Angel A. Núñez, Profesor del Curso Hardening de Servidores Windows en The Security Sentinel HCHSW, MCT Microsoft Certified Trainer, Microsoft MVP Cloud and Datacenter Management, Microsoft Certified Azure Architect Expert y Autor del libro Windows Server 2016. Editorial 0xWord 

Seguridad a lo Jabalí para Todos!!

martes, 12 de noviembre de 2019

Configuración de Grupos Restringidos en Windows Server

La gestión de las cuentas de usuarios locales de los equipos puede ser un problema de seguridad para cualquier organización, Microsoft dispone de soluciones especificas para administrar de forma adecuada las cuentas de usuarios locales de los equipos de forma eficiente y segura.

La directiva de Grupos Restringidos permite administrar la pertenencia y configuración de grupos de ámbito de seguridad local, se habilita en la siguiente ruta:

ComputerConfiguration/Policies/Windows Settings/SecuritySettings/RestrictedGroups

Esta directiva No permite gestionar cuentas de Dominio, solo cuentas locales de equipo. Una vez creado el grupo restringido es necesario configurar los parámetros desde el panel de administración como se muestra en la imagen:




En esta consola se debe definir los miembros incluidos en este grupo y la pertenencia de este grupo a otros grupos teniendo en cuenta lo siguiente:

  • Members of this group: Restrictivo, el grupo seleccionado incluirá exclusivamente los grupos definidos en esta sección, con la excepción de la cuenta de administrador local del equipo. 
  • This group is a member of: No Restrictivo, agrega cuentas al grupo, conservando la pertenencia a otros grupos.
Una vez configurada la directiva de Grupos Restringidos se puede controlar la administración de los equipos locales y la gestión de pertenencia a los diferentes grupos de forma segura.

Si estáis interesados en saber cómo mejorar la protección de infraestructuras basadas en tecnología de Microsoft apuntaros a nuestro curso HCHSW Hardening de Servidores Windows en TSS.


Autor: Angel A. Núñez, Profesor del Curso Hardening de Servidores Windows en The Security Sentinel HCHSW, MCT Microsoft Certified Trainer, Microsoft MVP Cloud and Datacenter Management, Microsoft Certified Azure Architect Expert y Autor del libro Windows Server 2016: Administración, seguridad y operaciones. Editorial 0xWord

Seguridad a lo Jabalí para Todos!!

lunes, 11 de noviembre de 2019

Black Friday en The Security Sentinel Hardening de Servidores Windows HCHSW

Este Noviembre tienes un descuento espectacular en The Security Sentinel, 50% de descuento en todos los cursos (excepto CPIF y presenciales). Pero además, si realizáis una compra usando el cupón este mes, podréis pedir el bono anual, que consiste en que tendréis desde Enero a Octubre de 2020 un 50% de descuento en todos los cursos que compréis (excepto CPIF y presenciales), sin límite de los mismos! ¿Te lo vas a perder?


¡No dejes escapar esta oportunidad de conseguir un precio BRUTAL!
Libros y vbook no incluidos en la promoción.

Edición del curso Online donde soy profesor, HCHSW Hardening de Servidores Windows en The Security Sentinel. En esta formación puedes obtener los conocimientos necesarios para fortificar servidores Microsoft a través del aprendizaje de las últimas técnicas y características para mejorar la seguridad de sistemas con Windows Server 2016. 

Desarrollarás y adquirirás habilidades prácticas aplicables en la protección y fortificación de sistemas mediante un enfoque práctico basado en la realización de laboratorios similares a un entorno real.

En todo momento el alumno tendrá un avance supervisado y guiado a través de la comunicación online, facilitando la comprensión de los conceptos expuestos en el curso. Una excelente oportunidad de mejorar tus conocimientos sobre seguridad informática, hacking y Windows Server 2016. ¡Dale un impulso a tu carrera profesional con este curso!! ¡Te esperamos!!

Soy Angel, el profesor del curso, trabajo como Consultor e instructor de seguridad y sistemas informáticos, principalmente con tecnologías Microsoft.

Habitualmente imparto formación certificada oficial de Microsoft en cursos de: Windows Server, System Center, Microsoft Azure como MCT Microsoft Certified Trainer, también estoy reconocido como Microsoft MVP Cloud and Datacenter Management y dispongo de varias certificaciones profesionales de Microsoft entre las que destacan:
  • Microsoft Certified Azure Solutions Architect.
  • MCSE Cloud Platform and Infrastructure.
  • MCSD Azure Solutions Architect.
  • MCSA Cloud Platform, Server 2016, Server 2012, Server 2008, Windows 7.

Si estáis interesados en saber cómo mejorar la protección de infraestructuras basadas en tecnología de Microsoft apuntaros a nuestro curso HCHSW Hardening de Servidores Windows en TSS.

Autor: Angel A. Núñez, Profesor del Curso Hardening de Servidores Windows en The Security Sentinel HCHSW, MCT Microsoft Certified Trainer, Microsoft MVP Cloud and Datacenter Management, Microsoft Certified Azure Architect Expert y Autor del libro Windows Server 2016: Administración, seguridad y operaciones. Editorial 0xWord

Seguridad a lo Jabalí para Todos!!

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias