miércoles, 15 de enero de 2020

The Last Windows Phone User

La primera vez que escuche que Microsoft estaba desarrollando un sistema operativo para móviles muy similar al propio Windows y que ademas estaría disponible en teléfonos Nokia me pareció una noticia muy interesante, en seguida me pase a Windows Phone y en mi caso particular estaba muy contento con el sistema operativo, a pesar de no tener muchas Apps, todas las aplicaciones de Windows funcionaban perfectamente y algunas características de seguridad estaban muy bien diseñadas.

Después de mucho intentar mantener una cifra aceptable de usuarios, Microsoft anunciaba el final de soporte para Windows Phone y con ello algunos como Facebook o WhatsApp publicaban el fin de la compatibilidad de las aplicaciones.


Al final WhatsApp dejo de funciona hoy día 15 de enero del año 2020, no el 31 de diciembre como se publico en algunos medios...


Yo el El Último Usuario de Windows Phone tendré que cambiar de teléfono, pero de momento no tengo activo WhatsApp, podéis comunicaros conmigo por Telegram, o los tradicionales SMS o una simple llamada. ¡Estamos hablando!!

Seguridad a lo Jabalí para Todos!!

lunes, 13 de enero de 2020

Servicios de Cifrado en Windows Server

Windows Server 2016 dispone de servicios integrados en el propio sistema operativo para el cifrado de datos, Encrypted File System EFS basado en el sistema de archivos NTFS, permite a los usuarios cifrar carpetas y archivos desde Microsoft Windows 2000, sin ninguna instalación o configuración previa.

El cifrado de archivos utiliza una clave simétrica que cifra con la clave pública del usuario, que se almacena en el encabezado del archivo. Almacena el certificado con las claves públicas y privadas del usuario, o claves asimétricas, en el perfil del usuario. EFS utiliza como algoritmo predeterminado Advanced Encryption Standard AES con una clave de cifrado simétrica de 256 bits.

En las propiedades avanzadas de un contenedor esta el check para habilitar el cifrado con Encrypted File System


En Windows Server 2016 y Windows 10 están disponibles las siguientes características para EFS:
  • Group Policy Settings EFS. Las Directivas de Grupo permiten configurar la protección de EFS de forma centralizada.
  • Soporte para almacenar claves privadas en Smart cards.
  • Cifrado de archivos sin conexión. El usuario puede cifrar copias sin conexión de archivos de servidores remotos. Esta opción habilita el cifrado con una clave pública del usuario de cada archivo de la caché que almacenó.
  • Asistente de cambio de clave para Encrypting File System, permite reconfigurar los archivos cifrados utilizando un nuevo certificado para el cifrado, también es útil en situaciones de recuperación.
  • Limpieza selectiva. Una característica de Windows 10 es Selective Wipe, en un entorno corporativo, un administrador puede revocar la clave EFS en un dispositivo en particular.
En cualquier infraestructura en la que se utilicen métodos de cifrado es necesario diseñar un plan de prevención de pérdida de los datos en caso de que se pierdan las claves de cifrado o las cuentas de usuario y sus certificados asociados, para ese propósito EFS dispone de dos métodos:
  • Key Recovery Agent KRA. En las organizaciones que utilizan certificados EFS emitidos por CA, el agente de recuperación de claves puede permitir a una persona autorizada extraer las claves EFS para un usuario específico de la base de datos del servidor de certificados.
  • Data Recovery Agent DRA. El agente de recuperación de datos es una cuenta que tiene acceso a todos los archivos cifrados con EFS, es capaz de recuperar archivos si el propietario original pierde el acceso a su clave privada. La cuenta de administrador de un dominio está configurada como el agente de recuperación de datos predeterminado, esto presenta un riesgo de seguridad, el agente de recuperación de datos se puede configurar mediante la directiva de grupo para evitar esta situación.
BitLocker permite cifrar discos y volúmenes completos, incluido el volumen de sistema y también dispositivos extraíbles, está disponible desde sistemas Windows 7 o Server 2008, se instala como una característica del sistema y requiere un chip TPM 1.2 o superior, para aprovechar algunas de sus funcionalidades. En la siguiente imagen se aprecia la consola de administración de BitLocker.



BitLocker puede configurarse para proteger el arranque del sistema operativo, en un escenario con TPM en la opción de inicio avanzado, puede agregar un segundo factor de autenticación a la protección estándar de TPM: puede requerir que el usuario ingrese un PIN o proporcione una clave de inicio en una unidad flash USB.

BitLocker examina y verifica los siguientes componentes del sistema:
  • The BIOS and any platform extensions.
  • Optional read-only memory (ROM) code.
  • Master boot-record code.
  • The NTFS boot sector.
  • The Windows Boot Manager.
  • The core root of trust for measurement.
Otra característica de BitLocker ofrece la posibilidad de cifrar dispositivos extraíbles, se denomina BitLocker To Go, además BitLocker puede configurarse mediante directivas de grupo GPOs en la ruta: Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption.

Seguridad a lo Jabalí para Todos!!

domingo, 12 de enero de 2020

Just Enough Administration JEA

Microsoft implementa nuevos controles para aumentar la seguridad en el manejo de credenciales en las organizaciones y restringir la concesión de privilegios a lo estrictamente necesario, el principio de la administración Just-In-Time que aplica Privileged Access Management PAM se complementa con Just Enough Administration para asegurar los privilegios correctos.

Just Enough Administration define un conjunto de cmdlets de Windows PowerShell para realizar actividades con privilegios, donde los administradores autorizan o habilitan los privilegios requeridos justo antes de que un usuario pueda realizar una tarea determinada y se conceden durante un período de tiempo. JEA es la tecnología de seguridad que habilita la administración delegada con Windows PowerShell, incluye compatibilidad para la ejecución bajo una identidad de red, la conexión a través de PowerShell Direct y la copia segura a y desde puntos de conexión de JEA.

JEA es parte del paquete  Windows Management Framework 5.0 con soporte desde Server 2008 R2 y define un control de acceso basado en roles RBAC. El primer paso es crear un archivo de configuración para la sesión de Windows PowerShell con extensión .pssc, para ello se utiliza el cmdlet New-PSSessionConfigurationFile como se muestra a continuación:
New-PSSessionConfigurationFile -Path "$env:Programdata\<JEAConfigDirectory>\<filename>.pssc"

El contenido del archivo de configuración generado se puede ver en la siguiente imagen:

El necesario configurar los siguientes parámetros en el archivo:
SessionType como RestrictedRemoteServer
SessionType = ‘ RestrictedRemoteServer’

Para que la sesión se ejecute con privilegios de administrador descomentar
# RunAsVirtualAccount = $ True

Configurar y descomentar la sección
# Roledefintions………..
 
Después de generar y configurar el archivo de configuración, se registra utilizando el cmdlet Register-PSSessionConfiguration como se muestra en el ejemplo:
Register-PSSessionConfiguration -Name <Name> -Path "ruta\<JEAConfigDirectory>\<filename>.pssc"

Para verificar el funcionamiento se puede conectar al equipo con una sesión remota de PowerShell.
Enter-PSSession -ComputerName <Name> -ConfigurationName <JEAConfigName> -Credential $cred

El cmdlet New-PSRoleCapabilityFile permite crear otro archivo para definir qué comandos y aplicaciones son visibles para las funciones, utiliza la extensión .psrc.
New-PSRoleCapabilityFile -Path "$env:Programdata\<JEAConfigDirectory>\<filename>.psrc"

Este archivo contiene secciones en las que puede definir qué módulos importar y qué funciones y cmdlets están expuestos, en la siguiente imagen se muestra el resultado del archivo creado.



Para empezar se recomienda, utilizar plantillas predefinidas con New-PSRoleCapabilityFile -Path <path> y New-PSSessionConfigurationFile -Path <Path> sin ningún otro argumento, los archivos generados contienen todos los campos de configuración aplicables, junto con comentarios que explican para qué puede usarse cada campo. De esta forma es sencillo crear un punto de conexión de JEA en un sistema habilitado y utilizando un editor de texto como PowerShell ISE.

Para ayudar en la implementación de JEA, está disponible JEA Helper Tool para su descarga en : https://gallery.technet.microsoft.com/JEA-Helper-Tool-20-6f9c49dd, que proporciona una GUI con la que crear archivos de configuración de sesión y generar funcionalidades de rol basadas en los registros de Windows PowerShell.



JEA Helper Tool es compatible con los siguientes sistemas operativos:
  • Windows Server 2016 
  • Windows Server 2012 o 2012 R2 con WMF 5.0 RTM
Esta publicada información adicional sobre esta herramienta en la siguiente dirección de Internet: https://blogs.technet.microsoft.com/privatecloud/2015/12/20/introducing-the-updated-jea-helper-tool

Microsoft ofrece una guía gratuita con información sobre la infraestructura de Just Enough Administration en: https://gallery.technet.microsoft.com/Just-Enough-Administration-6b5ad370


Seguridad a lo Jabalí para Todos!!

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias