viernes, 13 de diciembre de 2019

Protección basada en Virtualización con Device Guard

Device Guard protege el código ejecutado en el sistema operativo, utiliza Virtualization Based Security VBS para aislar el servicio de Hypervisor Code Integrity HVCI, que hace posible que Device Guard ayude a proteger los procesos en modo kernel y los controladores de exploits de vulnerabilidades y ataques Zero-day.

En modo Kernel garantiza que los controladores están firmados por una entidad de confianza WHQL o pertenecen a una lista de controladores seguros definidos por directiva. Device Guard evita la carga de código dinámico o los intentos de modificar código en memoria y bloqueará cualquier controlador que no esté en la lista de programas seguros. Device Guard proporciona protección en modo de usuario UMCI, mediante directivas de integridad de código que definen que elementos están autorizados para ejecutar código en cada servidor.

Device Guard puede se puede configurar con directivas de grupo GPOs, System Center Configuration Manager SCCM, Microsoft Intune o Windows PowerShell. Además se pueden crear archivos de catálogo con la herramienta Package Inspector, para aquellos archivos que no estén firmados. Windows Server 2016 dispone de plantillas administrativas para aplicar la configuración de las directivas de integridad de código de Device Guard.


Para crear la directiva de integridad de código a partir de un sistema de referencia, utilizar la siguiente serie de cmdlets de Windows PowerShell: 
  • $CIPolicyPath=$env:userprofile+"\Desktop\"
  • $InitialCIPolicy=$CIPolicyPath+"InitialScan.xml"
  • $CIPolicyBin=$CIPolicyPath+"DeviceGuardPolicy.bin"
  • New-CIPolicy -Level PcaCertificate -FilePath $InitialCIPolicy –UserPEs 3> CIPolicyLog.txt
  • ConvertFrom-CIPolicy $InitialCIPolicy $CIPolicyBin

Usar la versión binaria DeviceGuardPolicy.bin a modo de directiva de integridad de código en la ruta: C:\Windows\System32\CodeIntegrity\DeviceGuardPolicy.bin y guardar el archivo original InitialScan.xml por si fuera necesario combinar la directiva de integridad de código con otra directiva posteriormente.

Windows Server 2016 tiene una clase WMI para propiedades y características relacionadas con Device Guard denominada Win32_DeviceGuard. Esta clase puede consultarse con el siguiente cmdlet desde una sesión de Windows PowerShell con privilegios elevados:
  • Get-CimInstance –ClassName Win32_DeviceGuard –Namespace root\Microsoft\Windows\DeviceGuard
Esta publicada una guía para la implementación de Device Guard en:
Si estáis interesados en saber cómo mejorar la protección de infraestructuras basadas en tecnología de Microsoft apuntaros a nuestro curso HCHSW Hardening de Servidores Windows en TSS.

Autor: Angel A. Núñez, Profesor del Curso Hardening de Servidores Windows en The Security Sentinel HCHSW, MCT Microsoft Certified Trainer, Microsoft MVP Cloud and Datacenter Management, Microsoft Certified Azure Architect Expert y Autor del libro Windows Server 2016: Administración, seguridad y operaciones. Editorial 0xWord

Seguridad a lo Jabalí para Todo!!

jueves, 12 de diciembre de 2019

Windows Reliability Monitor Microsoft

El Monitor de Confiabilidad o Reliability Monitor es una herramienta de Windows instalada por defecto, en muchos casos me sorprende seguir encontrando muchos profesionales IT que desconocen su existencia, funciona en Windows Server 2016 y registra el funcionamiento del hardware y el software del sistema operativo y los posibles errores durante un intervalo de tiempo determinado. En función de los datos recolectados asigna un índice de estabilidad al servidor, basado en errores de las aplicaciones, fallos de Windows y otros factores, este índice tiene un valor comprendido entre 1 y 10, representando el valor más estable con el número 10 y el menos estable con el 1.

Esta herramienta puede consultarse buscando View reliability history en el Panel de Control o desde el Monitor de rendimiento utilizando el botón derecho del ratón sobre Herramientas de monitorización.

En Windows PowerShell ejecuta el comando:   Perfmon /rel



En la parte inferior del Monitor de confiabilidad están disponibles las opciones para generar un informe con los resultados en formato XML, consultar los diferentes informes o buscar recomendaciones para los errores registrados.
Seguridad a lo Jabalí para Todos!!

jueves, 5 de diciembre de 2019

Las 5 Configuraciones de Windows Indispensables para Proteger Identidades en un Entorno de Microsoft

Proteger las identidades de una organización no es una tarea sencilla, los entornos actuales son cada vez mas complejos, la gestión de identidades, procesos de autenticación y autorización es clave para mantener una infraestructura en unos niveles aceptables de seguridad.

A continuación vamos a explicar cinco configuraciones de Windows que debes conocer para mejorar considerablemente la seguridad de una infraestructura informática... 

Gestión de Grupos de Administración Local 
La gestión de las cuentas de usuarios locales de los equipos puede ser un problema de seguridad para cualquier organización, Microsoft dispone de soluciones especificas para administrar de forma adecuada las cuentas de usuarios locales de los equipos de forma eficiente y segura.

Grupos Restringidos
La directiva de Grupos Restringidos permite administrar la pertenencia y configuración de grupos de ámbito de seguridad local, se habilita en la siguiente ruta:
ComputerConfiguration/Policies/Windows Settings/SecuritySettings/RestrictedGroups


Esta directiva No permite gestionar cuentas de Dominio, solo cuentas locales de equipo. Una vez configurada la directiva de Grupos Restringidos se puede controlar la administración de los equipos locales y la gestión de pertenencia a los diferentes grupos de forma segura. Configuración de Grupos Restringidos en Windows Server.

Local Administrator Password Solution LAPS
Otra solución para la administración de cuentas locales es Local Administrator Password Solution LAPS una herramienta de libre descarga publicada por Microsoft para la administración centralizada de las contraseñas de las cuentas locales de equipos unidos a un dominio.

¿Cómo funciona LAPS?
LAPS determina si la contraseña de la cuenta del administrador local ha caducado. Si la contraseña ha caducado, LAPS realiza los siguientes pasos:
  • Cambia la contraseña del administrador local a un nuevo valor aleatorio.
  • Transmite la nueva contraseña y la fecha de caducidad a Active Directory, donde se almacena en un atributo confidencial especial asociado con la cuenta de equipo de la computadora.

En el siguiente enlace dispones de la guía paso a paso para instalar y configurar Local Administrator Password Solution LAPS Step by Step

Protección de Grupos con Privilegios
La protección de las identidades con privilegios dentro de Active Directory es otro factor muy relevante para mejorar la seguridad de nuestra infraestructura informática.

Protected Users Security Group
Microsoft dispone de un grupo de seguridad denominado Protected Users Security Group o Usuarios Protegidos, los usuarios de este grupo No tienen permitido utilizar de protocolos para la gestión de credenciales, sensibles de ser atacados. Esta disponible para equipos con Windows Server 2012R2, Windows 8.1 y versiones posteriores del sistema operativo con controladores de dominio Windows Server 2012R2.

Los usuarios protegidos por la pertenencia a este grupo tienen las siguientes restricciones:
  • El dominio debe admitir el cifrado Advanced Encryption Standard AES. Kerberos no usará los tipos de cifrado Data Encryption Standard DES o RC4. Tampoco admite delegación restringida o sin restricciones de Kerberos.
  • No está permitida la autenticación con NTLM, Digest authentication o Credential Security Support Provider CredSSP.
  • Las contraseñas no se almacenan en caché, por lo que los dispositivos que utilizan uno de estos proveedores de soporte de seguridad SSP, no podrán autenticarse en un dominio.
  • El valor vida útil de los tickets de Kerberos TGTs, por defecto de cuatro horas, se puede configurar utilizando Políticas de autenticación y Silos.

Disponible información de esta característica en Protected Users Security Group

Credential Guard
Credential Guard es una nueva característica de seguridad que permite aislar mediante virtualización las credenciales basadas en contraseñas NTLM y los tickets de Kerberos. Los sistemas Windows almacenan con Local Security Authority LSA las credenciales en la memoria del proceso, Credential Guard protege las credenciales en un nuevo componente denominado isolated LSA, un proceso que permanece aislado del resto del sistema operativo mediante virtualización.

El proceso de isolated LSA solo contiene un pequeño conjunto de binarios firmados con un certificado de confianza, necesarios para su funcionamiento y se comunica con LSA mediante RPC. Credential Guard se administra con WMI, PowerShell o símbolo del sistema, para la implementación se deben cumplir los siguientes requisitos:
  • Arquitectura x64. 
  • Firmware UEFI versión 2.3.1 
  • Trusted Platform Module, versión 1.2 o 2.0 TPM 
  • Sistemas Windows Server 2016, Windows Enterprise IoT, Windows 10 Enterprise o Education. 
  • Extensiones de Virtualizacion Intel VT-x o AMD-V y Second Level Address Translation SLAT. 
  • Proceso de actualización segura de firmware. 
  • Securing Boot, Secure MOR, Firmware con soporte para SMM protection y actualización de Firmware mediante Windows Update. 
  • La opción de Protección de DMA y arranque seguro en la configuración de directiva de grupo requiere Hardware compatible con IOMMU input/output memory management unit.
Credential Guard no permite la delegación de Kerberos sin restricciones, ni cifrado DES, tampoco admite los siguientes protocolos NTLMv1, MS-CHAPv2, Digest y CredSSP. Credential Guard se puede habilitar con directivas de grupo en la siguiente ruta: Computer Configuration/Administrative Templates/System/Device Guard

Seleccionando Enabled with UEFI lock o Enabled without lock  para permitir apagar Credential Guard de forma remota. Step By Step Credential Guard

Remote Credential Guard
Remote Credential Guard ayuda a proteger las credenciales en una conexión de escritorio remoto, las credenciales de usuario permanecen en el lado cliente y no se exponen en el servidor, también proporciona inicio de sesión único para conexiones a escritorio remoto. Cuando el usuario inicia la conexión, la solicitud de Kerberos se redirige de nuevo al host de origen para la autenticación, de forma que no se entregan credenciales en el host remoto.

Los requisitos para implementar Remote Credential Guard son:
  • Entorno en el mismo dominio de Active Directory o un dominio con una relación de confianza. 
  • Autenticación Kerberos. 
  • Sistemas operativos Windows 10, versión 1607 o Windows Server 2016. 
  • Remote Desktop Universal Windows Platform no está soportado con RCG.
Remote Credential Guard se habilita en la siguiente ruta del registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

La configuración de esta característica esta disponible mediante objetos de directiva de grupo o GPO aprende a Configurar Remote Credential Guard 

Si estáis interesados en saber cómo mejorar la protección de infraestructuras basadas en tecnología de Microsoft apuntaros a nuestro curso HCHSW Hardening de Servidores Windows en TSS.

Autor: Angel A. Núñez, Profesor del Curso Hardening de Servidores Windows en The Security Sentinel HCHSW, MCT Microsoft Certified Trainer, Microsoft MVP Cloud and Datacenter Management, Microsoft Certified Azure Architect Expert y Autor del libro Windows Server 2016: Administración, seguridad y operaciones. Editorial 0xWord

Seguridad a lo Jabalí para Todo!!

miércoles, 4 de diciembre de 2019

8000 Contactos Profesionales en LinkedIn

Una de las ventajas de la Sociedad Actual es la facilidad para comunicarnos, para interconectar profesionales de cualquier parte del mundo y participar en proyectos en común, compartir experiencias, solucionar problemas y progresar en el avance de nuevas tecnologías y servicios.

Una parte esencial de esta tarea es dedicar un tiempo, en ver los proyectos de otros compañeros, aprender de trabajo, compartir aquello que resulta interesante y conocer nuevos profesionales, hacer crecer tu red de contactos es un excelente método de sembrar el terreno para que florezcan nuevos proyectos y LinkedIn es una excelente red social para esta tarea...

Hace bastante tiempo que dedico algo de tiempo en revisar los proyectos de otros profesionales en LinkedIn, las noticias que publican y las investigaciones de compañeros y otros hackers..

A través de esta red me han surgido innumerables oportunidades profesionales y colaboraciones para participar en proyectos que no hubieran sido posibles desde el anonimato o las vías habituales de contacto profesional.

Así he conocido a profesionales increíbles, accedido a muchísima inflacionario y recursos de calidad que me han permitido aprender y ser mejor en mi trabajo. Ademas de participar en proyectos profesionales, desde cualquier parte del mundo, que nunca habría pensado que alguien me propondría.

Mi consejo es que dediques algo de tu tiempo, el que tú quieras, pero algo a potenciar tus redes sociales profesionales, te sorprenderá el resultado... Nos vemos en LinkedIn

Seguridad a lo Jabalí para Todos!!

martes, 3 de diciembre de 2019

Microsoft Certified Trainer Salary

Microsoft Certified Trainers MCTs are the leading technical and instructional experts, MCTs are the only individuals allowed to deliver authorized Microsoft classes and certification prep programs using Microsoft Official Curriculum MOC.

MCTs enjoy a range of perks and benefits, including instant access to the entire library of Microsoft's training materials, half-off discount on certification exams, opportunity to be among the first to earn new Microsoft certifications while still in Beta, membership in the MCT networking community, invitations to exclusive Microsoft events and much more.

Microsoft Certified Trainer Salary

Annual wage for MCTs and other Microsoft Certified Professionals:
  • MOS: Microsoft Office Specialist: $53,000
  • MTA: Microsoft Technology Associate: $55,000
  • MCDST: Microsoft Certified Desktop Support Technician: $57,000
  • MCSA: Microsoft Certified Solutions Associate: $59,000
  • MCSA: Microsoft Certified Systems Administrator: $73,000
  • MCT: Microsoft Certified Trainer: $80,000
  • MCTS: Microsoft Certified Technology Specialist: $81,000
  • MCITP: Microsoft Certified IT Professional: $90,000
  • MCSE: Microsoft Certified Systems Engineer: $91,000
  • MCPD: Microsoft Certified Professional Developer: $94,000
  • MCDBA: Microsoft Certified Database Administrator: $96,000
  • MCAD: Microsoft Certified Application Developer: $97,000
  • MCSE: Microsoft Certified Solutions Expert: $97,000
  • MCSD: Microsoft Certified Solutions Developer: $100,000
  • MCA: Microsoft Certified Architect: $113,000


Seguridad a lo Jabalí para Todos!!

lunes, 2 de diciembre de 2019

Configurar Remote Credential Guard

Remote Credential Guard ayuda a proteger las credenciales en una conexión de escritorio remoto, las credenciales de usuario permanecen en el lado cliente y no se exponen en el servidor, también proporciona inicio de sesión único para conexiones a escritorio remoto. Cuando el usuario inicia la conexión, la solicitud de Kerberos se redirige de nuevo al host de origen para la autenticación, de forma que no se entregan credenciales en el host remoto.

Los requisitos para implementar Remote Credential Guard son:
  • Entorno en el mismo dominio de Active Directory o un dominio con una relación de confianza. 
  • Autenticación Kerberos. 
  • Sistemas operativos Windows 10, versión 1607 o Windows Server 2016. 
  • Remote Desktop Universal Windows Platform no está soportado con RCG.
Remote Credential Guard se habilita en la siguiente ruta del registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
Configurar el DWORD DisableRestrictedAdmin con un valor 0.

El siguiente comando realiza la misma tarea:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

La configuración de esta característica esta disponible mediante objetos de directiva de grupo o GPO...


Remote Credential Guard se puede pasar como parámetro al iniciar la conexión de escritorio remoto con los siguientes comandos:
  • mstsc.exe /remoteGuard
  • mstsc.exe /RestrictedAdmin
Estáis interesados en mejorar la protección de infraestructuras con tecnología de Microsoft, apuntaros al curso HCHSW Hardening de Servidores Windows en TSS.

Autor: Angel A. Núñez, Profesor del Curso Hardening de Servidores Windows en The Security Sentinel, MCT Microsoft Certified Trainer, Microsoft MVP Cloud and Datacenter Management, Microsoft Certified Azure Architect Expert Autor del libro: Windows Server 2016. Editorial 0xWord

Seguridad a lo Jabalí para Todos!!

domingo, 1 de diciembre de 2019

Windows Control Flow Guard

Microsoft Control Flow Guard es una característica implementada en Windows Server 2016 que permite desarrollar software más seguro, en la compilación se identifican las funciones que pueden ser fuentes de una llamada indirecta, luego en el proceso de ejecución se verifica si una llamada indirecta proviene de una fuente valida o finaliza la aplicación, esto dificulta la ejecución de código malicioso en software con la característica de CFG habilitada.

Esta característica está disponible en Microsoft Visual Studio 2015 que ejecute CFG-Aware, versiones de Windows x86 y x64, Server 2016, Windows 10 y 8.1 con actualización KB3000850 como muestra la imagen:


La opción de Control Flow Guard se puede activar en la siguiente ruta de Visual Studio 2015: Project/Properties/Configuration Properties/C/C++/Code Generation

How Does CFG Really Work?

 Click en la imagen para aumentar


Mas información en:

Seguridad a lo Jabalí para Todos!!

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias