CIBERSEGURIDAD EN DISPOSITIVOS MÓVILES Teleformación 2023 IAAP

El próximo 7 de Febrero comienza una formación Online sobre Ciberseguridad en dispositivos Móviles, todos los interesados disponéis de la información correspondiente en el siguiente enlace en la web del Instituto Asturiano de Administración Pública IAAP Adolfo Posada: https://programaiaap.asturias.es/detalle-de-curso?p_r_p_contentId=2519719

Esta acción formativa tendrá lugar entre el 7 de febrero y el 7 de marzo, en formato Online, a través de la plataforma de formación del IAAP Adolfo Posada, el contenido del curso se aprecia en la siguiente imagen:

Curso Ciberseguridad en dispositivos Móviles, Instituto Asturiano de Administración Pública IAAP Adolfo Posada: https://programaiaap.asturias.es/detalle-de-curso?p_r_p_contentId=2519719

Seguridad a lo Jabalí para Todos!!

PsKill Vs TaskKill El Assassin de Procesos

Matar un proceso es una tarea bien conocida en el mundo de la informática, por diferentes motivos, casi todos los profesionales o apasionados de la tecnología han tenido que eliminar un proceso.

Existen múltiples herramientas que permiten suprimir la actividad de uno o varios procesos, en Windows el propio Administrador de Tareas, Process Explorer y otras tools de la suite de Sysinternals permiten realizar esta tarea desde el entorno gráfico, pero en algunas ocasiones es necesario eliminar procesos desde la consola o línea de comandos y una de las utilidades mas conocidas es PsKill de PsTools, un software de la suite de SysInternals para trabajar desde una shell.

Quizás no sea la mejor opción para matar procesos, y si te digo, que hay un killer mejor para esa tarea y ademas esta integrado dentro del sistema operativo Windows, el Assassin de los Procesos es TaskKill.

 

PsKill es una utilidad fantástica, pero esta escrita hace mucho tiempo y en las últimas versiones de Windows existen procesos de sistema que están protegidos, las limitaciones por el control de cuentas de usuario, ademas de las limitaciones asociadas a la ejecución en un dispositivo remoto, aunque hay trucos, como utilizar PsExec con la opción -s para ejecutar como System, esta utilidad esta muy limitada. Las opciones disponibles son:

PS C:\pstools> ./PsKill -?

Usage: pskill [-t] [\\computer [-u username [-p password]]] <process ID | name>
     -t    Kill the process and its descendants.
     -u    Specifies optional user name for login to
           remote computer.
     -p    Specifies optional password for user name. If you omit this
           you will be prompted to enter a hidden password.
     -nobanner Do not display the startup banner and copyright message.

En el otro lado del ring tenemos un programa que esta integrado con el propio sistema operativo, disponible desde cmd o Windows PowerShell y con muchas mas opciones, el Assassin de Procesos por derecho: TaskKill. Y sus opciones son:

PS C:\> TaskKill /?

TASKKILL [/S sistema] [/U usuario [/P [contraseña]]]]
         { [/FI filtro] [/PID IdProceso | /IM NombreImagen] } [/T] [/F]

Descripción:
    Esta herramienta se usa para terminar tareas mediante el Id.
    de proceso (PID) o nombre de imagen.

Lista de parámetros:
  /S    sistema            Especifica el sistema remoto al que conectarse.

  /U    [dominio\]usuario  Especifica el contexto de usuario en el que
                           el comando debe ejecutarse.

  /P    [contraseña]       Especifica la contraseña para el contexto de
                           usuario dado. Pide entrada si se omite.

  /FI   filter             Aplica un filtro para seleccionar un conjunto de
                           tareas. Permite el uso de "*". ej. imagename eq
                           acme*

  /PID  processid          Especifica el PID del proceso que debe terminarse.
                           Use TaskList para obtener el PID.

  /IM   nombre de imagen   Especifica el nombre de imagen del proceso que
                           se va a terminar. Puede usarse el comodín '*'
                           para especificar todas las tareas o nombres de
                           imagen.

  /T                       Termina el proceso especificado y todos los
                           procesos secundarios iniciados por él.

  /F                       Especifica terminar forzosamente el proceso.

  /?                       Muestra este mensaje de ayuda.

Filtro(s):
    Nombre filtro     Operadores válidos         Valores válidos
    ------------              ------------------             -------------------------
    STATUS                 eq, ne                           RUNNING |
                                                                       NOT RESPONDING | UNKNOWN
    IMAGENAME       eq, ne                           Nombre de imagen.
    PID                       eq, ne, gt, lt, ge, le       Valor de PID.
    SESSION              eq, ne, gt, lt, ge, le       Número de sesión
    CPUTIME            eq, ne, gt, lt, ge, le        Tiempo válido en el formato
                                                                      hh:mm:ss.
                                                                      hh - horas,
                                                                      mm - minutos, ss - segundos
    MEMUSAGE        eq, ne, gt, lt, ge, le       Uso de memoria en KB.
    USERNAME         eq, ne                          Nombre de usuario en formato
                                                                     [dominio\]usuario.
    MODULES           eq, ne                          Nombre de DLL
    SERVICES            eq, ne                          Nombre de servicio.
    WINDOWTITLE   eq, ne                          Título de ventana.
 
  NOTA
  ----
  1) El comodín '*' para el modificador /IM se acepta solo cuando se aplica
     un filtro.
  2) Los procesos remotos se terminarán siempre forzosamente (/F).
  3) Los filtros "WINDOWTITLE" y "STATUS" no se considerarán cuando se
     especifique un equipo remoto.

Ejemplos:
    TASKKILL /IM notepad.exe
    TASKKILL /PID 1230 /PID 1241 /PID 1253
    TASKKILL /F /IM cmd.exe /T
    TASKKILL /F /FI "PID ge 1000" /FI "WINDOWTITLE ne untitle*"
    TASKKILL /F /FI "USERNAME eq NT AUTHORITY\SYSTEM" /IM notepad.exe
    TASKKILL /S sistema /U dominio\usuario /FI "USERNAME ne NT*" /IM *

 

La diferencia de opciones disponibles es evidente, sobre todo destaca la cantidad de filtros disponibles para TaskKill, lo que permite que la utilidad sea mucho mas versátil a la hora de eliminar uno o varios procesos.

Seguridad a lo Jabalí para Todos!!

Authentication Policy Silos

Microsoft Dynamic Access Control DAC, permite trabajar con Claims y mejorar el sistema de permisos, servicios como AD FS y crear Authentication Policy y Authentication Policy Silos. En Seguridad Jabalí hablamos hace tiempo de como configurar DAC para mejorar el sistema permisos y la gestión de archivos:

Mejorar la Protección de Ficheros en Microsoft DAC (I de III)

Microsoft Dynamic Access Control DAC (II de III)

 

Hoy vamos a mostrar como configurar Authentication Policy y Authentication Policy Silos, pero primero veamos los aspectos técnicos de estas tecnologías...

Authentication policies:
Permite configurar directivas de autenticación en AD DS para aplicar a cuentas de servicios, equipos y usuarios.
Ofrece la posibilidad de personalizar los tickets TGT.
Utiliza claims (DAC) para condiciones personalizadas.

Las directivas de autenticación se implementan con una nueva clase de objeto de AD DS llamado directiva de autenticación, permite realizar configuraciones de Kerberos más restrictivas para cuentas de usuario o servicio específicas y posibilita utilizar claims de DAC para definir las condiciones que deben cumplir los usuarios, cuentas de servicio y / o dispositivos durante la conexión.

Los requisitos son:

• Todos los Domain controllers deben ser Windows Server 2012 R2 o superior.
• El nivel funcional del dominio debe ser al menos Windows Server 2012 R2.
• Los DCs deben soportar Dynamic Access Control DAC.
• Los equipos deben ser configurados para soportar DAC.

Al configurar una directiva de autenticación se puede configurar los siguientes parámetros:

• Nombre de la política de autenticación y Descripción.
• Si la política debe aplicarse (predeterminada) o si desea validar la política solo mediante restricciones de directiva de auditoría.
• Cuentas a las que debe aplicarse la política. Las cuentas están en la configuración de la política de autenticación.

En las cuentas de usuario, servicio y equipo, se puede definir por separado:

• El tiempo de vida TGT de la cuenta y Condiciones de control de acceso mediante claims de DAC para definir qué usuarios o servicios pueden utilizar qué dispositivos.

Las configuraciones se pueden realizar en las propiedades de cuenta de usuario del Centro de administración de Active Directory o las propiedades de la directiva de autenticación. Independientemente de dónde se configuren, se guardan en la directiva de autenticación.

• Una vez configurado, se inicia sesión en un dispositivo o aparece el mensaje "Su cuenta está configurada para evitar que utilice este PC". En ambos casos, se registra un suceso.

Authentication policy silos: 

Los silos de políticas de autenticación permiten a los administradores configurar usuarios, cuentas de servicio y equipos dentro del mismo ámbito de seguridad para aplicar la misma política de autenticación.
Los Policy Silos permiten restringir el acceso a ciertas estructuras de archivos a identidades validadas por un Silo, al igual que las directivas de autenticación se pueden configurar en modo Auditoría o modo restrictivo.

• Objeto AD DS.
• Aplica directivas de autenticación centralizada para múltiples objetos.
• Permite a los administradores configurar acceso a los archivos por Silo.

En el siguiente video tenéis la demostración paso a paso para configurar Microsoft Dynamic Access Control o DAC, trabajar con Claims y el sistema de permisos, crear Authentication Policy y Authentication Policy Silos.

 

Seguridad a lo Jabalí para Todos!!

Detecting Group Policy Health Issues

La administración de configuraciones de forma centralizada con Objetos de Directiva de Grupo o GPOs es frecuente en un entorno de Dominio o Active Directory, pero en entornos complejos donde hay varias GPOs, filtros de seguridad, filtros WMI y una jerarquía grande de Unidades Organizativas, Dominio y Sitios puede dificultar cómo se están aplicando configuraciones para un determinado usuario, en un equipo especifico o una OU en concreto.

Microsoft dispone de varias herramientas para ayudarnos con la monitorizan de la infraestructura de GPOs y las configuraciones que se aplican.

El comando GPResult nos permite verificar las configuraciones que se están aplicando a nivel de usuario y de equipo:  

GPResult /R .Muestra por pantalla las configuraciones aplicadas.

GPResult /h Informe.html .Genera un informe en HTML.

Desde la consola de administrador de Objetos de Directiva de Grupo también podemos ejecutar el asistente Group Policy Results Wizard, para generar informes de configuración.

Detecting Group Policy Health Issues

Desde esta consola de administración, seleccionando el dominio se puede ver el estado de salud de la propia infraestructura de las GPOs, replicación, estado de los controladores de dominio, etc:

Examining Group Policy Event Logs

Ademas el funcionamiento de las GPOs genera registros en el sistema que podemos monitorizar desde el visor de eventos:

Todas estas herramientas nos permiten monitorizar el buen funcionamiento de las configuraciones que aplicamos mediante GPO.

Seguridad a lo Jabalí para Todos!!

PassWord Settings Objects Step By Step PSO

En Windows Server se pueden definir varias políticas de contraseñas en un dominio utilizando Fine-grained Password Policies, Windows crea un contenedor especifico para las configuraciones de contraseñas en System, este contenedor almacena los Objetos de Configuración de Contraseñas PSOs a los que se puede vincular grupos de seguridad o usuarios.

Fine-grained password policies se aplica a objetos de usuario, objetos InetOrgPerson o grupos de seguridad globales. Al vincular una PSO a un usuario o un grupo modifica un atributo denominado msDS-PSOApplied, que está vacío de forma predeterminada. Este enfoque trata la configuración de bloqueo de contraseña y cuenta no como requisitos de todo el dominio, sino como atributos de un usuario o grupo específico. Solo los administradores de dominio pueden configurar Password Settings objects o PSOs utilizando cmdlets de Windows PowerShell o el Centro Administrativo del Directorio Activo en System.

Password Settings Object PSO se puede crear y asignar desde Windows PowerShell

#Crear PSO
New-ADFineGrainedPasswordPolicy -Name "DomainUsersPSO" -Precedence 500 -ComplexityEnabled $true -Description "The Domain Users Password Policy" -DisplayName "Domain Users PSO" -LockoutDuration "0.12:00:00" -LockoutObservationWindow "0.00:15:00" -LockoutThreshold 10

#Asocia PSO al grupo IT

Add-ADFineGrainedPasswordPolicySubject DomainUsersPSO -Subjects IT

El valor de precedencia definido en el atributo msDS-PasswordSettingsPrecedence determina el resultado de la aplicación de multiples PSOs sobre el mismo objeto, indicando la preferencia o prioridad el valor más bajo.

Microsoft: Fine-Grained Password Policy step-by-step 

Seguridad a lo Jabalí para Todos!!

Seguridad en el protocolo DHCP

El servicio de DHCP es aquel que permite asignar direcciones de red IPv4 o IPv6 de forma automatizada, este es un servicio critico en cualquier organización y debe protegerse de forma adecuada. Una suplantación de identidad de este servicio podría configurar los adaptadores de red de los equipos de forma que facilitaría otros ataques conocidos y la posibilidad de interceptar la información enviada o recibida por dichos equipos.
El problema con el protocolo DHCP es el mismo que comparten otros servicios y protocolos de comunicación, se diseñaron pensando en funcionar de forma eficiente dentro de un entorno seguro, en muchos casos la Red Local de una organización.
Microsoft proporciona una serie de tecnologías que permiten implementar mejoras en la seguridad de un entorno que utilice asignación de direcciones mediante DHCP.

Autorización de Servidores DHCP

El servicio DHCP requiere autorización dentro de una infraestructura de Directorio Activo, si un servidor que forma parte de un Dominio de Microsoft instala el rol de DHCP necesita autorización de una cuenta con privilegios en Active Directory para iniciar el Servicio DHCP.

DHCP Cluster

Windows Server 2016 permite configurar un Clúster de Servidores DHCP, al utilizar dos o más servidores se evita la pérdida del servicio por la “caída” de uno de los equipos, gracias al Clúster se mantiene la totalidad del Pool de direcciones disponibles, además la característica DHCP Clúster permite optimizar las Cargas de trabajo entre los Servidores que componen el Clúster.

Protección de Nombres DNS en DHCP

El servicio de DHCP permite asociar identificadores del servidor DHCP a los registros DNS que se crean en las actualizaciones de los registros de equipo que reciben la configuración del adaptador de red con DHCP, utilizando este ID se puede proteger la suplantación de nombres en las Zonas DNS por parte de un equipo que no disponga de este identificador de DHCP y trate de suplantar el registro del nombre de equipo en el DNS.

El Uso de Credenciales para las actualizaciones dinámicas de los registros DNS desde el Servidor de DHCP es otra medida de seguridad que es interesante configurar

Habilitar DHCP Guard

En los entornos virtualizados se puede habilitar DHCP Guard, esta medida evita que las máquinas virtuales suplanten servidores DHCP, el servidor descartara todo el tráfico DHCP de Servidores no autorizados. LA configuración de esta característica es muy sencilla, tanto desde el entorno gráfico de la consola de administración de Hyper-V en características avanzadas del Adaptador de Red como por línea de comandos con Windows PowerShell como se aprecia en la siguiente imagen.

El Servicio de DHCP es indispensable para cualquier organización, una correcta administración de este servicio permite incrementar la seguridad de toda la Red y otros servicios relacionados como DNS. Además los registros de la actividad de DHCP pueden ayudar a detectar intrusiones y accesos no autorizados a la red.

Otros dispositivos de red como Routers o Switch deben ser configurados para completar la seguridad de la Red y el servicio de DHCP en este excelente artículo de Borja Merino se explica con detalle:

Defensas frente a ataques DHCP by Borja Merino

https://www.securityartwork.es/2012/03/07/defensas-frente-a-ataques-dhcp

Seguridad a lo Jabalí para Todos!!

Las 5 Configuraciones de Windows Indispensables para Proteger Identidades en un Entorno de Microsoft

Proteger las identidades de una organización no es una tarea sencilla, los entornos actuales son cada vez mas complejos, la gestión de identidades, procesos de autenticación y autorización es clave para mantener una infraestructura en unos niveles aceptables de seguridad.

A continuación vamos a explicar cinco configuraciones de Windows que debes conocer para mejorar considerablemente la seguridad de una infraestructura informática... 

Gestión de Grupos de Administración Local 

La gestión de las cuentas de usuarios locales de los equipos puede ser un problema de seguridad para cualquier organización, Microsoft dispone de soluciones especificas para administrar de forma adecuada las cuentas de usuarios locales de los equipos de forma eficiente y segura.

Grupos Restringidos

La directiva de Grupos Restringidos permite administrar la pertenencia y configuración de grupos de ámbito de seguridad local, se habilita en la siguiente ruta:
ComputerConfiguration/Policies/Windows Settings/SecuritySettings/RestrictedGroups

Esta directiva No permite gestionar cuentas de Dominio, solo cuentas locales de equipo. Una vez configurada la directiva de Grupos Restringidos se puede controlar la administración de los equipos locales y la gestión de pertenencia a los diferentes grupos de forma segura. Configuración de Grupos Restringidos en Windows Server.

Local Administrator Password Solution LAPS
Otra solución para la administración de cuentas locales es Local Administrator Password Solution LAPS una herramienta de libre descarga publicada por Microsoft para la administración centralizada de las contraseñas de las cuentas locales de equipos unidos a un dominio.

¿Cómo funciona LAPS?
LAPS determina si la contraseña de la cuenta del administrador local ha caducado. Si la contraseña ha caducado, LAPS realiza los siguientes pasos:

• Cambia la contraseña del administrador local a un nuevo valor aleatorio.
• Transmite la nueva contraseña y la fecha de caducidad a Active Directory, donde se almacena en un atributo confidencial especial asociado con la cuenta de equipo de la computadora.

En el siguiente enlace dispones de la guía paso a paso para instalar y configurar Local Administrator Password Solution LAPS Step by Step

Protección de Grupos con Privilegios
La protección de las identidades con privilegios dentro de Active Directory es otro factor muy relevante para mejorar la seguridad de nuestra infraestructura informática.

Protected Users Security Group
Microsoft dispone de un grupo de seguridad denominado Protected Users Security Group o Usuarios Protegidos, los usuarios de este grupo No tienen permitido utilizar de protocolos para la gestión de credenciales, sensibles de ser atacados. Esta disponible para equipos con Windows Server 2012R2, Windows 8.1 y versiones posteriores del sistema operativo con controladores de dominio Windows Server 2012R2.

Los usuarios protegidos por la pertenencia a este grupo tienen las siguientes restricciones:

• El dominio debe admitir el cifrado Advanced Encryption Standard AES. Kerberos no usará los tipos de cifrado Data Encryption Standard DES o RC4. Tampoco admite delegación restringida o sin restricciones de Kerberos.
• No está permitida la autenticación con NTLM, Digest authentication o Credential Security Support Provider CredSSP.
• Las contraseñas no se almacenan en caché, por lo que los dispositivos que utilizan uno de estos proveedores de soporte de seguridad SSP, no podrán autenticarse en un dominio.
• El valor vida útil de los tickets de Kerberos TGTs, por defecto de cuatro horas, se puede configurar utilizando Políticas de autenticación y Silos.

Disponible información de esta característica en Protected Users Security Group

Credential Guard

Credential Guard es una nueva característica de seguridad que permite aislar mediante virtualización las credenciales basadas en contraseñas NTLM y los tickets de Kerberos. Los sistemas Windows almacenan con Local Security Authority LSA las credenciales en la memoria del proceso, Credential Guard protege las credenciales en un nuevo componente denominado isolated LSA, un proceso que permanece aislado del resto del sistema operativo mediante virtualización.

El proceso de isolated LSA solo contiene un pequeño conjunto de binarios firmados con un certificado de confianza, necesarios para su funcionamiento y se comunica con LSA mediante RPC. Credential Guard se administra con WMI, PowerShell o símbolo del sistema, para la implementación se deben cumplir los siguientes requisitos:

• Arquitectura x64. 
• Firmware UEFI versión 2.3.1 
• Trusted Platform Module, versión 1.2 o 2.0 TPM 
• Sistemas Windows Server 2016, Windows Enterprise IoT, Windows 10 Enterprise o Education. 
• Extensiones de Virtualizacion Intel VT-x o AMD-V y Second Level Address Translation SLAT. 
• Proceso de actualización segura de firmware. 
• Securing Boot, Secure MOR, Firmware con soporte para SMM protection y actualización de Firmware mediante Windows Update. 
• La opción de Protección de DMA y arranque seguro en la configuración de directiva de grupo requiere Hardware compatible con IOMMU input/output memory management unit.

Credential Guard no permite la delegación de Kerberos sin restricciones, ni cifrado DES, tampoco admite los siguientes protocolos NTLMv1, MS-CHAPv2, Digest y CredSSP. Credential Guard se puede habilitar con directivas de grupo en la siguiente ruta: Computer Configuration/Administrative Templates/System/Device Guard

Seleccionando Enabled with UEFI lock o Enabled without lock  para permitir apagar Credential Guard de forma remota. Step By Step Credential Guard

Remote Credential Guard

Remote Credential Guard ayuda a proteger las credenciales en una conexión de escritorio remoto, las credenciales de usuario permanecen en el lado cliente y no se exponen en el servidor, también proporciona inicio de sesión único para conexiones a escritorio remoto. Cuando el usuario inicia la conexión, la solicitud de Kerberos se redirige de nuevo al host de origen para la autenticación, de forma que no se entregan credenciales en el host remoto.

Los requisitos para implementar Remote Credential Guard son:

• Entorno en el mismo dominio de Active Directory o un dominio con una relación de confianza. 
• Autenticación Kerberos. 
• Sistemas operativos Windows 10, versión 1607 o Windows Server 2016. 
• Remote Desktop Universal Windows Platform no está soportado con RCG.

Remote Credential Guard se habilita en la siguiente ruta del registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

La configuración de esta característica esta disponible mediante objetos de directiva de grupo o GPO aprende a Configurar Remote Credential Guard 

Seguridad a lo Jabalí para Todo!!

Windows PowerShell DSC Desired State Configuration

En Windows Server 2016 aparece una nueva característica de Windows PowerShell muy interesante, sin embargo, en mi experiencia profesional como Microsoft Certified Trainer MCT, Windows PowerShell DSC o Desired State Configuration sigue siendo una herramienta muy desconocida.

Desired State Configuration está basado en estándares y se basa en el modelo Open Management Infrastructure OMI, no precisa que los sistemas estén alojados en un dominio y puede administrar cualquier sistema operativo con un servidor Common Information Model CIM, compatible con OMI.

PowerShell DSC es un componente introducido en Windows Management Framework con la versión PowerShell 4.0, permite administrar componentes básicos de Windows, como servicios, archivos y configuración del Registro, los elementos utilizados para crear las configuraciones se basan en esos recursos, además se pueden crear recursos propios para aplicaciones y componentes. Las configuraciones desplegadas mediante DSC se pueden aplicar de forma automatizada a intervalos definidos, que detectan si el sistema no cumple el estado deseado.

Los pasos para desplegar Desired State Configuration en el entorno de una organización son los siguientes:

• DSC se basa en Windows Remote Management WinRM para la configuración de los sistemas, por lo tanto, se requiere habilitar la administración remota, este paso puede configurarse mediante directivas de grupo o con el cmdlet: Set-WSManQuickConfig 
• El agente de Local Configuration Manager LCM procesa las configuraciones DSC, se puede configurar el LCM utilizando un archivo Managed Object Format MOF  especial que establece parámetros específicos de Local Configuration Manager como: RefreshFrequencyMins, ConfigurationModeFreqencyMins, ConfigurationMode o RefreshMode entre otros y después aplicar la configuración con Windows PowerShell: Set-DscLocalConfiguration 
• Los módulos desarrollados para Desired State Configuration están disponibles en la Galería de PowerShell de Windows ubicada en www.powershellgallery.com y para su descarga se requiere el módulo PowerShellGet. 
• Los scripts de configuración son una plantilla, cualquier editor de texto o Windows PowerShell permite crear los scripts que se utilizan para compilar un archivo MOF, el agente LCM empuja o extrae estos, del sistema de destino, y posteriormente se llamaran como una función para compilar los datos de configuración en los archivos MOF por cada nodo definido. 
• El cmdlet Start-DscConfiguration invoca al agente LCM para procesar la configuración y, si es necesario, realizar cambios en el nodo de destino. 

Start-DscConfiguration –Wait –Verbose –Path C:\DSC –ComputerName SRV01

La siguiente imagen muestra el código de un script de configuración de PowerShell DSC
 

El comando de PowerShell Test-DscConfiguration permite verificar si el nodo destino está en el estado deseado.

Al ejecutar el script de configuración, este crea:

• Una carpeta en el directorio actual con el mismo nombre que la configuración.
• Un archivo denominado NodeName.mof en el directorio ConfigurationName, donde NodeName es el nombre del nodo de destino. Si se segmenta más de un nodo, se creará un archivo MOF para cada nodo.

Si el script de configuración utiliza un parámetro, el parámetro debe proporcionarse en tiempo de compilación: SecureDscConfiguration -NodeName 'SVR01'

En Windows Server 2016 con DSC v2 la configuración parcial permite dividir una configuración en fragmentos de configuración más pequeños distribuidos en varios archivos, luego el LCM en cada servidor de destino es responsable de combinar todos los fragmentos en una sola configuración. Las configuraciones parciales también se pueden aplicar de forma independiente como una configuración completa. En cualquier caso, DSC debe funcionar en modo DSC push and pull.

Windows PowerShell DSC Desired State Configuration

Seguridad a lo Jabalí para Todos!!

Microsoft Group Managed Service Accounts

En entornos empresariales es habitual la necesidad de emplear identidades que están asociadas al funcionamiento de un Rol, Servicio o Aplicación, gestionar estas identidades en bajo una infraestructura de Active Directory todavía es mas complejo y en algunas ocasiones los administradores terminan utilizando cuentas de usuario con contraseñas que no caducan nunca, con el consiguiente riesgo de seguridad asociado.

Microsoft propone la utilización de cuentas de servicio administradas para solucionar los desafíos de estos escenarios, la principal ventaja de estas identidades es que Windows se encarga del mantenimiento y actualización de las propiedades de estas cuentas, incluida la renovación periódica de la contraseña de la identidad.

Los requisitos para utilizar Group Managed Service Accounts son los siguientes:

• El esquema de Active Directory en el bosque del dominio debe actualizarse a Windows Server 2012.
• El valor del atributo CN=Esquema,CN=Configuración,DC=Dominio,DC=Com debe ser 52.
• Un grupo de seguridad para la nueva cuenta gMSA provisionada.
• Si first master root key for Active Directory no se implementa en el dominio o no se ha creado, debe crearse. El resultado se puede verificar KdsSvc Operational log, Event ID 4004
• Para crear Key Distribution Services KDS Root Key

Click en la imagen para ampliar...

La sintaxis para crear la cuenta desde Windows PowerShell es la siguiente:

• New-ADServiceAccount [-Name] -DNSHostName [-KerberosEncryptionType ] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] -SamAccountName -ServicePrincipalNames <string[]>

Para luego añadir miembros se utilizara la siguiente sintaxis:

• Get-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword
• Set-ADServiceAccount [-Name] ITFarm1-PrincipalsAllowedToRetrieveManagedPassword Host1,Host2

Para ampliar información consultar los siguientes enlaces:

Group Managed Service Accounts

Getting Started with Group Managed Service Accounts

Create Key Distribution Services KDS Root Key

Service User Accounts

Seguridad a lo Jabalí para Todos!!

Delegación de Funciones en Windows Server 2016

Una de las funciones mas interesantes de una estructura de Active Directory en entornos Microsoft es la delegación de funciones de administración, esta característica permite a un usuario o grupo determinado asumir algunas funciones de administración en aquellos elementos contenidos en una Unidad Organizativa OU, sin la necesidad de agregarlo a un grupo con privilegios elevados.

El procedimiento es muy sencillo, seleccionamos la OU que deseamos administrar y configuramos la delegación.... hacer click en cualquier imagen para ampliar.

Un asistente nos guiara durante todo el proceso de configuración.

Indicamos el usuario o grupo al que asignaremos las funciones de administración.

Y seleccionamos la función o funciones que permitiremos configurar a ese grupo o usuario. En este caso la administrador de objetos equipo siempre dentro de la Unidad Organizativa OU.

Los permisos pueden configurarse de forma muy especifica, lo que permite ser muy selectivos en la asignación de privilegios.

La administración delegada permite una excelente distribución de roles dentro de una organización sin la necesidad de elevar privilegios a un determinado tipo de usuarios.

Mas información en:

Delegar la administración mediante el uso de objetos de la OU

Seguridad a lo Jabalí para Todos!!

Monitorizar Servicios desde Server Manager

El panel de Server Manager permite una excelente administración centralizada de nuestro entorno informático, en esta ocasión vamos a verificar como monitorizar los servicios asociados a los roles desplegados en nuestro sistema informático.

Necesitamos una máquina con Windows Server y el rol de Active Directory instalado, en la consola de administración de DNS apagaremos el servicio de DNS.

Click en la imagen para ampliar

Como se aprecia en la siguiente imagen, Server Manager informa del error del servicio, en este caso asociado a los roles de Active Directory y DNS.

 

Pulsando sobre Services se accede a información detallada sobre el suceso y permite solucionar el problema, reiniciar o arrancar el servicio, etc...

Una manera cómoda y eficaz de monitorizar los servicios asociados a las diferentes funciones o servicios desplegados en los servidores de Microsoft.

Dispones de información publicada en Microsoft para ampliar conocimientos sobre el panel del Administrador del Servidor en Microsoft Server Manager

Seguridad a lo Jabalí para Todos!!

Specials Identities and Microsoft Active Directory Security Groups

Microsoft dispone de una serie de identidades especiales y grupos creados para ejecutar una serie de tareas especificas, estos grupos permiten asignar permisos para realizar ciertas tareas con los privilegios apropiados para dicha función. Entender como funcionan estas identidades especiales o estos grupos ayuda a mejorar significativamente la seguridad de un entorno Windows.

Las Identidades Especiales de Microsoft son las siguientes:

• Anonymous Logon
• Authenticated User
• Batch
• Creator Group
• Creator Owner
• Dialup
• Digest Authentication
• Enterprise Domain Controllers
• Everyone
• Interactive
• Local Service
• LocalSystem
• Network
• Network Service
• NTLM Authentication
• Other Organization
• Principal Self
• Remote Interactive Logon
• Restricted
• SChannel Authentication
• Service
• Terminal Server User
• This Organization
• Window Manager\Window Manager Group

La descripción de cada una de estas identidades especiales esta muy bien explicadas en la propia documentación de Microsoft en Special Identities en la imagen puedes apreciar la interesante descripción que muestra el listado de cada una de las identidades especiales.

Una forma sencilla de saber si un grupo de Microsoft sirve a nuestros propósitos es verificar la descripción desde Active Directory Administrative Center como se muestra en la siguiente imagen...

click en la imagen para ampliar

La información detallada de los Grupos de Seguridad del Directorio Activo están documentados en el enlace de Microsoft Active Directory Security Groups

Para añadir un Special Groups a Built-In Groups esta disponible el comando:

net localgroup users "nt authority\authenticated users" /add

Espero que este post ayude a entender y utilizar todas estas identidades que Microsoft a diseñado para configurar entornos o sistemas informáticos mas seguros.

Microsoft Special Identities

Active Directory Security Groups

How to Add Special Groups to Built-In Groups

Seguridad a lo Jabalí para Todos!!

Windows Vs Ransomware

Los sistemas operativos van adaptándose a las necesidades de los usuarios con el paso del tiempo y tratan de ofrecer soluciones para los riesgos de seguridad que van surgiendo, no es ningún secreto, que el ransomware (secuestro de datos o equipos críticos, para extorsionar posteriormente a los propietarios) ha sido y en muchos casos sigue siendo una amenaza que puede hacer peligrar la continuidad de negocio de muchas organizaciones.

Es curioso por que la mejor medida de protección frente al Ransomware es una buena política de respaldo de datos o backup, una tecnología muy madura hoy en día, que puede casi anular el efecto de un ataque de ransomware. 

En las ultimas versiones de Windows disponemos ademas de otra herramienta muy interesante para luchar contra este malware, en el Centro de Seguridad de Windows Defender, la sección de Protección antivirus y contra amenazas tiene una característica muy interesante contra el Ransomware.

Click en la imagen para aumentar

Una vez habilitada la función de Protección contra ransomware el sistema protege de cambios no deseados una serie de carpetas, ademas se pueden respaldar estar carpetas para replicar los datos en OneDrive y asegurarnos evitar la perdida de datos.

Click en la imagen para aumentar

Entre las opciones disponibles de esta característica esta la posibilidad de añadir nuestras propias carpetas, para que estén a salvo del ransomware ...

Click en la imagen para aumentar

En el caso de necesitar que una aplicación o programa tenga acceso a las carpetas protegidas, se pueden configurar excepciones para dichos elementos, lo que permite adaptar la herramienta a las necesidades especificas de nuestro entorno.

Una nueva funcionalidad de nuestros sistemas operativos Windows muy práctica y fácil de utilizar que nos puede evitar mas de un susto.

Seguridad a lo Jabalí para Todos!!