Microsoft Step By Step Key Recovery Agent KRA in Server 2016

Los certificados digitales son una de las herramientas mas útiles para mejorar algunos procesos de seguridad dentro de cualquier organización. El despliegue de una infraestructura de certificados permite autenticar comunicaciones, acceso a servicios o datos además de servicios cifrado.

En estos entornos hay que tener presente la posibilidad de que un usuario o los certificados utilizados en un proceso no estén accesibles o se pierdan. En estos casos es imprescindible haber planificado con anterioridad mecanismos de recuperación para acceder a esos datos o servicios.

El agente de recuperación de claves es uno de los elementos que nos puede ser útil en estos escenarios y se configura de la siguiente forma:

1. En Server Manager, click Tools, Certification Authority, expandir el nodo de Dominio, right-click Certificates Templates y seleccionar Manage.
2. Right-click Key Recovery Agent certificate y click Properties. 
3. Key Recovery Agent Properties, seleccionar la pestaña Issuance Requirements, clear the CA certificate manager approval check box y click OK. 
4. Certification Authority Console, right-click Certificate Templates, New y then click Certificate Template to Issue. 
5. Click Key Recovery Agent template y OK. 

 

1. En Inicio escribe mmc.exe y Enter. 
2. Add/Remove Snap-in, Certificates, My user account, Finish. 
3. Expandir Certificates - Current User, Personal, All Tasks y Request New Certificate. 
4. En Certificate Enrollment Wizard selecciona Key Recovery Agent check box, click Enroll y Finish. 

1. En Certification Authority console, right-click AdatumCA, and then click Properties. 
2. En la pestaña Recovery Agents, selecciona Archive the key. 
3. Click Add. 
4. En Key Recovery Agent Selection, click the certificate that is for the KRA purpose (it most likely will be last on the list issued to Administrator) y dos veces OK. 
5. En restart the CA, click Yes.

Este proceso permite crear un Key Recovery Agent para recuperar datos o servicios que utilicen certificados digitales para procesos de cifrado y otros servicios de seguridad.

Seguridad a lo Jabalí para Todos!!

Renovando Certificados Digitales

Hoy aprovechando que tenemos un poquito mas de tiempo y ya que pillamos a LinkedIn justo en la renovación de certificados digitales .... hablemos de la validez de estos elementos. Los certificados digitales son uno de los mejores aliados para una navegación segura o en el caso de un sistema operativo basado en tecnologías Microsoft también la ejecución de software.

Aunque a lo largo de la historia algunos algoritmos de cifrado se han roto (en muchos casos mas por una mala implementación informática o error de diseño de aplicación que por el propio algoritmo criptográfico) y algunas autoridades certificadoras fueron vulneradas, el cifrado y los sistemas de clave publica son algunos de los elementos técnicos mas sólidos de la seguridad informática.

 

Los elementos para que un certificado digital sea valido son: El periodo de validez y esto nos puede dar problemas si de repente el equipo se cambia de fecha como muy bien explica nuestra compañera Sofía en su blog El Sonido de los Bytes cuando por ejemplo se "nos acaba la pila".

En el caso de LinkedIn el error salto por un certificado que había espirado como se puede apreciar en la imagen. Otro de los elementos imprescindible para que un certificado sea valido es que tanto el nombre como el propósito del certificado coincidan con los datos de este al ser emitido.

Por ultimo el certificado debe conectar (vía web, ldap, etc) con alguna entidad acreditada que permita verificar que ese certificado en concreto no esta incluido en ninguna lista de revocación de certificados (crl).

En el momento de generar cada certificado deben definirse estos elementos, aunque no siempre se hace bien como el amigo Yago Jesús comenta en Security By Default.

En el caso de LinkedIn podemos extraer la ubicación de donde se consulta esa lista... y descargar la lista de certificados revocados.

http://crl3.digicert.com/ssca-sha2-g3.crl 

 

Es interesante conocer algunos detalles de los certificados digitales, un elemento que ayuda tanto en la seguridad informática, la navegación y otros procesos, de forma segura. Espero que os gustara el post XD

  

Seguridad a lo Jabalí para Todos!!

Users by Bruce Schneier

Bruce Schneier es uno de los profesionales mas destacados de la seguridad informática, desarrollador de los algoritmos criptográficos Solitaire o Blowfish y frases tan celebres como...

"La Seguridad No es un Producto, es un Proceso." 

 

Bruce Schneier licenciado en Ciencias de la Computación y diplomado en Ciencias Físicas. Trabajo en el Departamento de Defensa de Estados Unidos y luego en los Laboratorios Bell, actualmente escribe el blog: Schneier on Security.

Una de las conclusiones publicadas por Schneier fue resaltar el error de algunos acercamientos a problemas de seguridad informática de una forma simplista, el estimar que un medio técnico puede garantizar la seguridad en los entornos donde figura un factor humano es incorrecto.

"Un negocio que utilice el algoritmo de cifrado RSA para proteger sus datos sin considerar cómo las claves criptográficas son manejadas por sus empleados sobre ordenadores "complejos, inestables y con fallos", tiene fallos en la protección de sus datos." 

Secrets and Lies

Schneier argumenta que una solución de seguridad actual que incluya tecnología, también debe tener en cuenta el hardware, el software, las redes de comunicación y a los usuarios, entre otros factores.

Seguridad a lo Jabalí para Todos!!

EGarante, Una historia Real

En algunas ocasiones se publica un proyecto o idea fuera de lo común, un avance que puede cambiar la forma en que entendemos una tecnología y abrir nuevos caminos a explorar… eso fue lo que sucedió cuando Yago Jesús presento EGarante.

¿Qué es EGarante?

Es un servicio que nos permite firmar digitalmente un correo electrónico, una página web que visitemos, incluso una conversación en una red social de forma que obtenemos una evidencia legal.

No solo podemos presentarla en un juicio o denuncia, además nos simplifica el proceso de explicar a una persona sin conocimientos técnicos: un juez, abogado o un jurado que esa prueba que presentamos no ha sido alterada. 

El manejo de EGarante es muy intuitivo para que no sea necesario ningún tipo de conocimiento técnico, y puedas sellar una web o un mail de una forma fácil y rápida además para uso no comercial es gratuito, una opción para tener siempre presente.

• EGarante
• EGarante Blog
• Novedades en EGarante
• Egarante Firmar un correo
• Egarante Sellar una web
• Denunciar a un acosador en Facebook, Twitter oWhatsApp

Una historia Real

La semana pasada tenía una reunión con varios compañeros para ponernos un poco al día, una de mis compañeras llego visiblemente afectada y nos relato un problema que tenía con unas pruebas que había realizado para una oferta de trabajo de un Ayuntamiento.

Resumiendo la historia esta profesional había realizado un excelente examen clasificándose la primera en las listas definitivas y habiendo cumplimentado todo los requisitos se disponía a firmar el contrato cuando le informaron que se cancelaba el proceso de selección y se convocaría otra prueba con otros requisitos diferentes, que además la excluirían del nuevo proceso.

El tema parece que terminara en un contencioso por lo que enseguida recomendé a esta compañera que utilizara EGarante para firmar todas las listas finales, resaltar que ese mismo día por la tarde las listas finales de ese puesto desaparecían de la pagina (incluso de la cache de Google), tampoco aparecían en el robot.txt, sitemap.xml, aunque se olvidaron de BING y se pudieron firmar todos los documentos.

Hoy en día con el panorama actual es indignante que sucedan estos “errores” que se intenten corregir con actuaciones tan poco transparentes y técnicamente tan “chapuceras” y desde luego es lamentable que se trate de ocultar que una persona realizo una selección y queda la primera, menos mal que existen soluciones como EGarante.

 
Seguridad a lo Jabalí para Todos!!

Curso XIV. Blindar Autenticación II de II

Entre las distintas opciones de Seguridad una de las mas necesarias es autenticar usuarios y equipos, para después aplicar filtros o reglas de acceso a los distintos recursos, además de poder identificar que hace cada usuario dentro del Sistema.

Articulo Active Directory.

Articulo Autenticación Vs Autorización.

Articulo  Perfiles de usuario Obligatorios.

Articulo anterior Blindar Autenticación I de II.

Articulo Plantillas para generar Certificados Transparentes para el Usuario.

En el articulo anterior configuramos los perfiles de las contraseñas, Algo que sabes, generamos una plantilla de certificado para poder instalar certificados en todos los equipos del dominio y hoy vamos a utilizar una directiva para que cada maquina tenga su propio certificado, Algo que tienes.

Abrimos la Consola de Directivas .....

En esta ocasión creamos una GPO nueva y la vinculamos al Dominio. Podríamos asignarla a una Unidad Organizativa en concreto, para no emitir certificados a todos los Equipos, o utilizar filtros WMI y así personalizar en función de las necesidades de la Empresa.

Hay que configurar la directiva, en este caso para aplicar los certificados a los Equipos, la ruta es ...

Equipos/Directivas/Conf.Windows/Conf.Seguridad/Directivas de clave Pública.

Click dos veces sobre Cliente Servicios servidor certificados Inscripción automática.

Habilitamos y marcamos los dos check, y ya esta configurada la GPO, ejecutamos en todos los clientes el comando GPUPDATE /FORCE y reiniciamos ya que las GPOs de las maquinas necesitan reinicio, las de usuario solo Cerrar Sesión.

Con esto nuestros usuarios tendrán una buena configuracion de contraseña y sus equipos un certificado de autenticación, Algo que sabes y algo que tienes. Estos certificados pueden exigirse para IpSec, TLS, etc.

Seguridad a lo Jabali para Todos!!