Mostrando entradas con la etiqueta The Security Sentinel. Mostrar todas las entradas
Mostrando entradas con la etiqueta The Security Sentinel. Mostrar todas las entradas

viernes, 28 de febrero de 2020

Windows Server DNS Security Step By Step

Microsoft proporciona una serie de características que permiten implementar mejoras en la seguridad de un entorno que utilice resolución de recursos mediante el protocolo DNS, la siguiente imagen resume las características de seguridad que podemos implementar en Windows Server:


En el siguiente video se explica como configurar todas estas características con detalle, un video paso a paso que te enseña a configurar un servidor DNS de forma segura, espero que os guste.


Para monitorizar la actividad de nuestro servidor DNS, Microsoft proporciona varias opciones de configuración desde la consola de administración:



Seguridad a lo Jabalí para Todos!!
Publicado por en 16:57 0 comentarios
Etiquetas: , , , , , , , , , , ,

viernes, 27 de diciembre de 2019

PassWord Settings Objects Step By Step PSO

En Windows Server se pueden definir varias políticas de contraseñas en un dominio utilizando Fine-grained Password Policies, Windows crea un contenedor especifico para las configuraciones de contraseñas en System, este contenedor almacena los Objetos de Configuración de Contraseñas PSOs a los que se puede vincular grupos de seguridad o usuarios.

Fine-grained password policies se aplica a objetos de usuario, objetos InetOrgPerson o grupos de seguridad globales. Al vincular una PSO a un usuario o un grupo modifica un atributo denominado msDS-PSOApplied, que está vacío de forma predeterminada. Este enfoque trata la configuración de bloqueo de contraseña y cuenta no como requisitos de todo el dominio, sino como atributos de un usuario o grupo específico. Solo los administradores de dominio pueden configurar Password Settings objects o PSOs utilizando cmdlets de Windows PowerShell o el Centro Administrativo del Directorio Activo en System.


Password Settings Object PSO se puede crear y asignar desde Windows PowerShell

#Crear PSO
New-ADFineGrainedPasswordPolicy -Name "DomainUsersPSO" -Precedence 500 -ComplexityEnabled $true -Description "The Domain Users Password Policy" -DisplayName "Domain Users PSO" -LockoutDuration "0.12:00:00" -LockoutObservationWindow "0.00:15:00" -LockoutThreshold 10

#Asocia PSO al grupo IT
Add-ADFineGrainedPasswordPolicySubject DomainUsersPSO -Subjects IT

El valor de precedencia definido en el atributo msDS-PasswordSettingsPrecedence determina el resultado de la aplicación de multiples PSOs sobre el mismo objeto, indicando la preferencia o prioridad el valor más bajo.



Seguridad a lo Jabalí para Todos!!
Publicado por en 9:00 0 comentarios
Etiquetas: , , , , , , , , , , , ,

martes, 24 de diciembre de 2019

Seguridad en el protocolo DHCP

El servicio de DHCP es aquel que permite asignar direcciones de red IPv4 o IPv6 de forma automatizada, este es un servicio critico en cualquier organización y debe protegerse de forma adecuada. Una suplantación de identidad de este servicio podría configurar los adaptadores de red de los equipos de forma que facilitaría otros ataques conocidos y la posibilidad de interceptar la información enviada o recibida por dichos equipos.
El problema con el protocolo DHCP es el mismo que comparten otros servicios y protocolos de comunicación, se diseñaron pensando en funcionar de forma eficiente dentro de un entorno seguro, en muchos casos la Red Local de una organización.
Microsoft proporciona una serie de tecnologías que permiten implementar mejoras en la seguridad de un entorno que utilice asignación de direcciones mediante DHCP.

Autorización de Servidores DHCP
El servicio DHCP requiere autorización dentro de una infraestructura de Directorio Activo, si un servidor que forma parte de un Dominio de Microsoft instala el rol de DHCP necesita autorización de una cuenta con privilegios en Active Directory para iniciar el Servicio DHCP.


DHCP Cluster
Windows Server 2016 permite configurar un Clúster de Servidores DHCP, al utilizar dos o más servidores se evita la pérdida del servicio por la “caída” de uno de los equipos, gracias al Clúster se mantiene la totalidad del Pool de direcciones disponibles, además la característica DHCP Clúster permite optimizar las Cargas de trabajo entre los Servidores que componen el Clúster.

Protección de Nombres DNS en DHCP
El servicio de DHCP permite asociar identificadores del servidor DHCP a los registros DNS que se crean en las actualizaciones de los registros de equipo que reciben la configuración del adaptador de red con DHCP, utilizando este ID se puede proteger la suplantación de nombres en las Zonas DNS por parte de un equipo que no disponga de este identificador de DHCP y trate de suplantar el registro del nombre de equipo en el DNS.


El Uso de Credenciales para las actualizaciones dinámicas de los registros DNS desde el Servidor de DHCP es otra medida de seguridad que es interesante configurar


Habilitar DHCP Guard
En los entornos virtualizados se puede habilitar DHCP Guard, esta medida evita que las máquinas virtuales suplanten servidores DHCP, el servidor descartara todo el tráfico DHCP de Servidores no autorizados. LA configuración de esta característica es muy sencilla, tanto desde el entorno gráfico de la consola de administración de Hyper-V en características avanzadas del Adaptador de Red como por línea de comandos con Windows PowerShell como se aprecia en la siguiente imagen.


El Servicio de DHCP es indispensable para cualquier organización, una correcta administración de este servicio permite incrementar la seguridad de toda la Red y otros servicios relacionados como DNS. Además los registros de la actividad de DHCP pueden ayudar a detectar intrusiones y accesos no autorizados a la red.

Otros dispositivos de red como Routers o Switch deben ser configurados para completar la seguridad de la Red y el servicio de DHCP en este excelente artículo de Borja Merino se explica con detalle:

Defensas frente a ataques DHCP by Borja Merino

Seguridad a lo Jabalí para Todos!!
Publicado por en 9:00 0 comentarios
Etiquetas: , , , , , , , , ,

jueves, 5 de diciembre de 2019

Las 5 Configuraciones de Windows Indispensables para Proteger Identidades en un Entorno de Microsoft

Proteger las identidades de una organización no es una tarea sencilla, los entornos actuales son cada vez mas complejos, la gestión de identidades, procesos de autenticación y autorización es clave para mantener una infraestructura en unos niveles aceptables de seguridad.

A continuación vamos a explicar cinco configuraciones de Windows que debes conocer para mejorar considerablemente la seguridad de una infraestructura informática... 

Gestión de Grupos de Administración Local 
La gestión de las cuentas de usuarios locales de los equipos puede ser un problema de seguridad para cualquier organización, Microsoft dispone de soluciones especificas para administrar de forma adecuada las cuentas de usuarios locales de los equipos de forma eficiente y segura.

Grupos Restringidos
La directiva de Grupos Restringidos permite administrar la pertenencia y configuración de grupos de ámbito de seguridad local, se habilita en la siguiente ruta:
ComputerConfiguration/Policies/Windows Settings/SecuritySettings/RestrictedGroups


Esta directiva No permite gestionar cuentas de Dominio, solo cuentas locales de equipo. Una vez configurada la directiva de Grupos Restringidos se puede controlar la administración de los equipos locales y la gestión de pertenencia a los diferentes grupos de forma segura. Configuración de Grupos Restringidos en Windows Server.

Local Administrator Password Solution LAPS
Otra solución para la administración de cuentas locales es Local Administrator Password Solution LAPS una herramienta de libre descarga publicada por Microsoft para la administración centralizada de las contraseñas de las cuentas locales de equipos unidos a un dominio.

¿Cómo funciona LAPS?
LAPS determina si la contraseña de la cuenta del administrador local ha caducado. Si la contraseña ha caducado, LAPS realiza los siguientes pasos:
  • Cambia la contraseña del administrador local a un nuevo valor aleatorio.
  • Transmite la nueva contraseña y la fecha de caducidad a Active Directory, donde se almacena en un atributo confidencial especial asociado con la cuenta de equipo de la computadora.

En el siguiente enlace dispones de la guía paso a paso para instalar y configurar Local Administrator Password Solution LAPS Step by Step

Protección de Grupos con Privilegios
La protección de las identidades con privilegios dentro de Active Directory es otro factor muy relevante para mejorar la seguridad de nuestra infraestructura informática.

Protected Users Security Group
Microsoft dispone de un grupo de seguridad denominado Protected Users Security Group o Usuarios Protegidos, los usuarios de este grupo No tienen permitido utilizar de protocolos para la gestión de credenciales, sensibles de ser atacados. Esta disponible para equipos con Windows Server 2012R2, Windows 8.1 y versiones posteriores del sistema operativo con controladores de dominio Windows Server 2012R2.

Los usuarios protegidos por la pertenencia a este grupo tienen las siguientes restricciones:
  • El dominio debe admitir el cifrado Advanced Encryption Standard AES. Kerberos no usará los tipos de cifrado Data Encryption Standard DES o RC4. Tampoco admite delegación restringida o sin restricciones de Kerberos.
  • No está permitida la autenticación con NTLM, Digest authentication o Credential Security Support Provider CredSSP.
  • Las contraseñas no se almacenan en caché, por lo que los dispositivos que utilizan uno de estos proveedores de soporte de seguridad SSP, no podrán autenticarse en un dominio.
  • El valor vida útil de los tickets de Kerberos TGTs, por defecto de cuatro horas, se puede configurar utilizando Políticas de autenticación y Silos.

Disponible información de esta característica en Protected Users Security Group

Credential Guard
Credential Guard es una nueva característica de seguridad que permite aislar mediante virtualización las credenciales basadas en contraseñas NTLM y los tickets de Kerberos. Los sistemas Windows almacenan con Local Security Authority LSA las credenciales en la memoria del proceso, Credential Guard protege las credenciales en un nuevo componente denominado isolated LSA, un proceso que permanece aislado del resto del sistema operativo mediante virtualización.

El proceso de isolated LSA solo contiene un pequeño conjunto de binarios firmados con un certificado de confianza, necesarios para su funcionamiento y se comunica con LSA mediante RPC. Credential Guard se administra con WMI, PowerShell o símbolo del sistema, para la implementación se deben cumplir los siguientes requisitos:
  • Arquitectura x64. 
  • Firmware UEFI versión 2.3.1 
  • Trusted Platform Module, versión 1.2 o 2.0 TPM 
  • Sistemas Windows Server 2016, Windows Enterprise IoT, Windows 10 Enterprise o Education. 
  • Extensiones de Virtualizacion Intel VT-x o AMD-V y Second Level Address Translation SLAT. 
  • Proceso de actualización segura de firmware. 
  • Securing Boot, Secure MOR, Firmware con soporte para SMM protection y actualización de Firmware mediante Windows Update. 
  • La opción de Protección de DMA y arranque seguro en la configuración de directiva de grupo requiere Hardware compatible con IOMMU input/output memory management unit.
Credential Guard no permite la delegación de Kerberos sin restricciones, ni cifrado DES, tampoco admite los siguientes protocolos NTLMv1, MS-CHAPv2, Digest y CredSSP. Credential Guard se puede habilitar con directivas de grupo en la siguiente ruta: Computer Configuration/Administrative Templates/System/Device Guard

Seleccionando Enabled with UEFI lock o Enabled without lock  para permitir apagar Credential Guard de forma remota. Step By Step Credential Guard

Remote Credential Guard
Remote Credential Guard ayuda a proteger las credenciales en una conexión de escritorio remoto, las credenciales de usuario permanecen en el lado cliente y no se exponen en el servidor, también proporciona inicio de sesión único para conexiones a escritorio remoto. Cuando el usuario inicia la conexión, la solicitud de Kerberos se redirige de nuevo al host de origen para la autenticación, de forma que no se entregan credenciales en el host remoto.

Los requisitos para implementar Remote Credential Guard son:
  • Entorno en el mismo dominio de Active Directory o un dominio con una relación de confianza. 
  • Autenticación Kerberos. 
  • Sistemas operativos Windows 10, versión 1607 o Windows Server 2016. 
  • Remote Desktop Universal Windows Platform no está soportado con RCG.
Remote Credential Guard se habilita en la siguiente ruta del registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

La configuración de esta característica esta disponible mediante objetos de directiva de grupo o GPO aprende a Configurar Remote Credential Guard 

Seguridad a lo Jabalí para Todo!!
Publicado por en 8:00 2 comentarios
Etiquetas: , , , , , , , , ,

viernes, 15 de noviembre de 2019

Local Administrator Password Solution LAPS Step By Step

Microsoft dispone de una herramienta de descarga gratuita para la administración centralizada de las contraseñas de las cuentas locales de equipos unidos a un dominio, Local Administrator Password Solution LAPS


LAPS tiene las siguientes características:
  • Las contraseñas de los administradores locales son únicas en cada computadora que administra LAPS.
  • LAPS genera las contraseñas de forma aleatoria para los administradores locales con regularidad.
  • LAPS almacena las contraseñas y secretos de los administradores locales de forma segura dentro de AD DS.
  • Permisos configurables para acceso a contraseñas y secretos.Las contraseñas que recupera LAPS se transmiten al cliente de manera segura y cifrada. 
 
¿Cómo funciona LAPS?
LAPS determina si la contraseña de la cuenta del administrador local ha caducado. Si la contraseña ha caducado, LAPS realiza los siguientes pasos:
  • Cambia la contraseña del administrador local a un nuevo valor aleatorio. 
  • Transmite la nueva contraseña y la fecha de caducidad a Active Directory, donde se almacena en un atributo confidencial especial asociado con la cuenta de equipo de la computadora.

Requisitos
  • LAPS funciona con cualquier equipo cliente o servidor con Windows x86 o x64 de un dominio.
  • Requiere Nivel funcional de dominio Windows Server 2003 o superior en Active Directory.
  • Debe extender el esquema de Active Directory para usar LAPS.
  • Instalar el cliente LAPS en los PCs administrados.
  • Requiere .NET Framework 4.0 y Windows PowerShell 2.0 o posterior.

Administrar contraseñas con LAPS
  • Añadir la cuenta de equipo a una OU y habilite la OU para usar LAPS con Windows PowerShell.
  • Configure las propiedades de la contraseña usando la Directivas de Grupo GPOs:
  • Complejidad de la contraseña.
  • Longitud de la contraseña.
  • Caducidad de la contraseña.
  • Ver contraseñas utilizando Windows PowerShell, Usuarios y equipos de Active Directory o la aplicación de interfaz de usuario LAPS.
Local Administrator Password Solution (LAPS)

Autor: Angel A. Núñez, MCT Microsoft Certified Trainer, Microsoft MVP Cloud and Datacenter Management, Microsoft Certified Azure Architect Expert y Autor del libro Windows Server 2016. Editorial 0xWord 

Seguridad a lo Jabalí para Todos!!
Publicado por en 19:47 0 comentarios
Etiquetas: , , , , , , , , ,

martes, 12 de noviembre de 2019

Configuración de Grupos Restringidos en Windows Server

La gestión de las cuentas de usuarios locales de los equipos puede ser un problema de seguridad para cualquier organización, Microsoft dispone de soluciones especificas para administrar de forma adecuada las cuentas de usuarios locales de los equipos de forma eficiente y segura.

La directiva de Grupos Restringidos permite administrar la pertenencia y configuración de grupos de ámbito de seguridad local, se habilita en la siguiente ruta:

ComputerConfiguration/Policies/Windows Settings/SecuritySettings/RestrictedGroups

Esta directiva No permite gestionar cuentas de Dominio, solo cuentas locales de equipo. Una vez creado el grupo restringido es necesario configurar los parámetros desde el panel de administración como se muestra en la imagen:

En esta consola se debe definir los miembros incluidos en este grupo y la pertenencia de este grupo a otros grupos teniendo en cuenta lo siguiente:
  • Members of this group: Restrictivo, el grupo seleccionado incluirá exclusivamente los grupos definidos en esta sección, con la excepción de la cuenta de administrador local del equipo. 
  • This group is a member of: No Restrictivo, agrega cuentas al grupo, conservando la pertenencia a otros grupos.
Una vez configurada la directiva de Grupos Restringidos se puede controlar la administración de los equipos locales y la gestión de pertenencia a los diferentes grupos de forma segura.

Seguridad a lo Jabalí para Todos!!
Publicado por en 19:42 0 comentarios
Etiquetas: , , , , , , , ,

viernes, 23 de noviembre de 2018

BlackFriday en The Security Sentinel

Este año tienes un 50% de descuento en todos los cursos The Security Sentinel gracias al cupón descuento #blackfriday2018. Podrás aprovechar esta oferta hasta el próximo 27 de noviembre.

Recuerda que también esta disponible en esta oferta nuestro curso de Hardening de Servidores Windows.




¡No te lo pierdas!!

Código de descuento:  #blackfriday2018

Seguridad a lo Jabalí para Todos!!
Publicado por en 13:30 0 comentarios
Etiquetas: , , , , , , , ,

lunes, 1 de octubre de 2018

Pack Experto en Windows de 0xWord

Desde la publicación del libro Windows Server 2016: Administración, Seguridad y Operaciones de la editorial 0xWord, no han parado de generarse recursos y ofertas para ampliar conocimientos sobre los sistemas operativos de Microsoft, como el Video Book de Windows Server 2016 o la Edición del Curso de Hardening de Servidores Windows HCHSW en The Security Sentinel.

Además ahora el libro Windows Server 2016 esta incluido dentro del Pack Experto Windows, para todos los que quieran una formación muy completa de seguridad con tecnologías de Microsoft.




Contenido del pack
Máxima Seguridad en Windows: Secretos Técnicos
Autor: Sergio de los Santos
 
Pentesting con PowerShell
Autor: Pablo González
 
Windows Server 2016: Administración, seguridad y operaciones
Autor: Angel A. Núñez
 
Microsoft Forefront Threat Management Gateway TMG 2010
Autor: Juan Luis García Rambla
 
Hacking Windows: Ataques a sistemas y redes Microsoft
Autor: Carlos García, Valentín Martín y Pablo González

Para mi los autores de estos libros son una referencia en el ámbito profesional, es un orgullo que mi libro se incluya en el Pack de estos enormes profesionales.


Seguridad a lo Jabalí par a Todos!!
Publicado por en 14:41 0 comentarios
Etiquetas: , , , , , , , , , , , , ,

lunes, 2 de octubre de 2017

Curso The Security Sentinel

Nuevo Curso Online de Hardening de Servidores Windows en The Security Sentinel, en este caso soy el instructor de la formación, Angel A. Núñez, desarrollo labores profesionales como consultor e instructor de sistemas y seguridad informática, reconocido como Microsoft MVP Cloud and Datacenter Management y #MIEExpert Microsoft Innovative Educator Experts.

Dispongo de varias certificaciones profesionales de Microsoft entre las que destacan:
  • Microsoft Certified Azure Solutions Architect.
  • MCSE Cloud Platform and Infrastructure
  • MCSD Azure Solutions Architect
  • MCSA Cloud Platform, Server 2012, Server 2008, Windows 7

Y también en el ámbito docente:
  • MCT Microsoft Certified Trainer & MCE Microsoft Certified Educator.

Si quieres aprender a fortificar una infraestructura con tecnología Microsoft, te esperamos en el curso de Fortificacion de Sistemas Windows en The Security Sentinel.

Ficha del Profesor: Angel A. Núñez.

Seguridad a lo Jabalí para Todos!!
Publicado por en 22:03 0 comentarios
Etiquetas: , , , , , , , ,
Suscribirse a: Entradas (Atom)

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias