Home
About
Archives
Contactenos
Ayuda | Help

16  05 2018

Microsoft Cloud Security para arquitectos profesionales

Lo que los arquitectos de TI necesitan saber sobre la seguridad y la confianza en las plataformas y los servicios en la nube de Microsoft.

Introducción a la seguridad en un mundo habilitado para la nube

La seguridad de los servicios en la nube de Microsoft es una asociación entre usted y Microsoft.

image

Principios de la nube de confianza de Microsoft

image

Las responsabilidades y los controles para proteger aplicaciones y redes varían según el tipo de servicio:

image

image

Pueden bajar el PDF completo en el siguiente link: Haz clic aquí para descargar manualmente

Espero les sea de interés y utilidad. Saludos, Roberto DL


14  05 2018

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 2016-2012r2-2012-2008r2 y sobre Windows 10-8.1. Les paso el link para que los vean; https://www.youtube.com/user/RadiansBlog

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


11  05 2018

Windows Server 2016 NANO, menos parches y actualizaciones y mayor rapidez {Video}

Hoy quería compartir con ustedes este video de Windows Server 2016 NANO en el cual tendremos menos parches y actualizaciones, reinicios más rápidos, seguridad más estricta = servidor Nano. Saludos, Roberto Di Lello.

Mire para aprender:


05 2018

Nuevas capacidades para Microsoft Enterprise Mobility + Security (EMS)

Hoy queria compartir etsa nota de Andrew Conway, Gerente general, seguridad de Microsoft 365, publicada en ingles en el sitio de Microsoft. A medida que el año 2016 llega a su fin, nos gustaría agradecerle por elegir Microsoft Enterprise Mobility + Security (EMS) para proteger y proteger a sus empleados a medida que continúa transformando digitalmente sus organizaciones. Más de 37,000 clientes y más de la mitad de los Fortune 500 ahora han elegido EMS.

Con EMS, continuamos desarrollando la identidad en el centro de la solución para maximizar la productividad de sus empleados y al mismo tiempo proporcionar las capacidades necesarias en seguridad, administración de dispositivos y aplicaciones, y protección de la información para garantizar que sus datos críticos de la empresa estén protegidos. . Hoy estamos ampliando estas capacidades aún más con:

  • La autenticación PassThrough con Azure Active Directory , disponible hoy en la vista previa, permite el inicio de sesión único seguro a los recursos en la nube sin requerir la sincronización de contraseñas a la nube o la modificación de la infraestructura de red local existente.
  • La nueva Consola de administración de Microsoft Intune en Azure , implementada en vista previa, facilita aún más la configuración de escenarios integrados de seguridad y administración en todos los servicios de EMS.
  • Actualizaciones de Azure Information Protection que proporcionan una mayor flexibilidad y seguridad para proteger los datos a nivel de archivos. Estas actualizaciones incluyen compatibilidad con más tipos de archivos, integración con su red de clave de encriptación local y nuevas opciones para crear políticas de clasificación y protección.

Aquí hay más sobre estas nuevas capacidades y cómo nuestros clientes se beneficiarán de estas innovaciones:

Autenticación PassThrough con Azure Active Directory

La autenticación PassThrough ahora en la vista previa permite a los usuarios iniciar sesión de forma segura en los recursos de la nube al validar su contraseña en su Active Directory local más fácilmente que nunca. Esta característica permite a los clientes que no pueden o no desean almacenar contraseñas en la nube (incluso encriptadas) en Azure Active Directory y Office 365 sin tener que modificar su infraestructura de red corporativa e instalar productos como Servicios de federación de Active Directory (AD FS) o soluciones de federación de terceros similares. La autenticación de paso a través se configura a través de la experiencia de administración de Azure AD Connect como la segunda opción para la autenticación junto con Password Sync y AD FS.

Azure Active Directory Connect User Sign in

Además, con esta nueva actualización, las opciones de autenticación "Pass-through authentication" y "Password Synchronization" ahora proporcionarán inicio de sesión único sin problemas a las aplicaciones conectadas a Azure AD desde dispositivos Windows.

Vista previa de la consola de administración de Microsoft Intune en Azure

La nueva experiencia de administración de Intune en Azure comienza a desplegarse en la vista previa pública para inquilinos nuevos y de prueba. La nueva consola, integrada en Azure, proporciona una administración potente e integrada de las soluciones de seguridad EMS centrales, como el acceso condicional a recursos corporativos basados ​​en dispositivos, usuarios o riesgos, lo que permite la configuración y administración de políticas entre Intune y Azure Active Directory. Esta nueva experiencia de administrador hace que sea más fácil que nunca proteger decenas de miles de dispositivos móviles.

Actualizaciones de Azure Information Protection

Proteger los datos en el nivel de archivo durante todo su ciclo de vida, desde la creación hasta el intercambio y el seguimiento y la revocación, independientemente de dónde se almacene o acceda, es una prioridad clave para nuestros clientes y una parte única de la solución EMS. Desde el lanzamiento de Azure Information Protection en octubre , hemos estado escuchando los comentarios de los clientes y estamos lanzando varias nuevas capacidades. A continuación se incluyen algunos de los aspectos más destacados:

  • Ofrezca a los usuarios finales opciones de clasificación y protección más enfocadas con políticas basadas en la membresía grupal.
  • Soporte para más tipos de archivos que no sean de Office y etiquetado masivo de datos en reposo.
  • Integre la protección con claves locales con Hold Your Own Key (HYOK).
Enterprise Mobility + Security Historias de clientes

A medida que más y más clientes eligen EMS, quisimos compartir con ustedes algunos ejemplos de clientes recientes que lo han implementado y lo han utilizado con éxito:

  • Whole Foods está adoptando una seguridad basada en la identidad con EMS para proteger las aplicaciones
  • Avanade equilibra la seguridad de los datos y la privacidad de los empleados con EMS

Comience con su propia implementación de Enterprise Mobility + Security.


05 2018

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 2016-2012r2-2012-2008r2 y sobre Windows 10-8.1. Les paso el link para que los vean; https://www.youtube.com/user/RadiansBlog

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal

05 2018

Phising: De qué se trata el misterioso círculo negro de WhatsApp y por qué no deberías tocarlo

Hoy vamos a hablar de seguridad, y de una nueva forma de phising ahora en WhatsApp.

Para empezar repasemos rapidamente que significa Phishing, generalmente es conocido como suplantación de identidad o simplemente suplantador, es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña, información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

Ahora en Whatsapp podes recibir un mensaje viral que viene acompañado de un mensaje: "Si tocas el círculo negro WhatsApp se te quedará pillado". Así se lee en el mensaje que se comenzó a viralizar por el servicio de mensajería y que viene acompañado con un círculo negro y el mensaje "Don´t touch here" (no toques aquí).

www.radians.com.ar

Al presionar el misterioso círculo negro, el servicio deja de responder. La única forma de solucionar este problema es salir de la aplicación y volver a ingresar. Y si no se logra hacer eso, bastará con reiniciar el celular.

Se trata de una broma que se hizo muy popular en los últimos días y que se propagó por la plataforma con gran rapidez. La buena noticia es que no sería un virus, sin apenas un engaño para trabar el sistema.

El bloqueo ocurre porque detrás del texto "Don´t touch here" se oculta un código con miles de caracteres que el sistema no logra procesar y así es que "se cuelga".

Lo mejor es borrar el mensaje ni bien se lo reciba y no presionar en él. Y en caso de que ya se haya caído en el engaño entonces, tal como se mencionó anteriormente, hay que salir de la aplicación y, en caso de ser necesario, reiniciar el equipo.

Fuente: InfoBAE.com


05 2018

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 2016-2012r2-2012-2008r2 y sobre Windows 10-8.1. Les paso el link para que los vean; https://www.youtube.com/user/RadiansBlog

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


27  04 2018

Novedades en el FailOver Cluster en Windows Server 2016 {HowTo}

www.radians.com.arHoy vamos a hablar de las novedade en cuanto a Failover Clusters en Windows Server 2016. Para no cansarlos con una nota enorme, la voy a dividir en dos partes. Espero les sea de interes y utilidad. Saludos, Roberto Di Lello.

Actualización continua del sistema operativo del clúster

Una nueva característica en Failover Clustering, actualización continua del sistema operativo del clúster, permite a un administrador actualizar el sistema operativo de los nodos del clúster de Windows Server 2012 R2 a Windows Server 2016 sin detener las cargas de trabajo de Hyper-V o del servidor de archivos Scale-Out. Al utilizar esta función, se pueden evitar las penalizaciones por tiempo de inactividad contra los acuerdos de nivel de servicio (SLA).

¿Qué valor agrega este cambio?

La actualización de un clúster de Servidor de archivos Hyper-V o Scale-Out de Windows Server 2012 R2 a Windows Server 2016 ya no requiere tiempo de inactividad. El clúster continuará funcionando a nivel de Windows Server 2012 R2 hasta que todos los nodos del clúster ejecuten Windows Server 2016. El nivel funcional del clúster se actualiza a Windows Server 2016 utilizando el cmdlt Update-ClusterFunctionalLevel Windows PowerShell.

¿Qué funciona de manera diferente?

Un clúster de conmutación por error de Hyper-V o Scale-Out File Server ahora se puede actualizar fácilmente sin tiempo de inactividad o necesita construir un nuevo clúster con nodos que ejecutan el sistema operativo Windows Server 2016. La migración de clústeres a Windows Server 2012 R2 implicaba desconectar el clúster existente y reinstalar el nuevo sistema operativo para cada nodo, y luego volver a poner el clúster en línea. El viejo proceso era engorroso y requería tiempo de inactividad. Sin embargo, en Windows Server 2016, el clúster no necesita desconectarse en ningún momento.

Los sistemas operativos del clúster para la actualización en fases son los siguientes para cada nodo en un clúster:

  • El nodo se pausa y se vacía de todas las máquinas virtuales que se ejecutan en él.
  • Las máquinas virtuales (u otra carga de trabajo del clúster) se migran a otro nodo en el clúster. Las máquinas virtuales se migran a otro nodo en el clúster.
  • Se elimina el sistema operativo existente y se realiza una instalación limpia del sistema operativo Windows Server 2016 en el nodo.
  • El nodo que ejecuta el sistema operativo Windows Server 2016 se vuelve a agregar al clúster.
  • En este punto, se dice que el clúster se está ejecutando en modo mixto, porque los nodos del clúster ejecutan Windows Server 2012 R2 o Windows Server 2016.
  • El nivel funcional del clúster permanece en Windows Server 2012 R2. En este nivel funcional, las nuevas características en Windows Server 2016 que afectan la compatibilidad con versiones anteriores del sistema operativo no estarán disponibles.
  • Eventualmente, todos los nodos se actualizan a Windows Server 2016.
  • El nivel funcional del clúster se cambia a Windows Server 2016 utilizando el cmdlet de Windows PowerShell Update-ClusterFunctionalLevel . En este punto, puede aprovechar las características de Windows Server 2016.

Réplica de almacenamiento

Storage Replica es una nueva característica que permite la replicación sincrónica, a nivel de bloques y agnóstica del almacenamiento entre servidores o clusters para la recuperación de desastres, así como la ampliación de un clúster de conmutación por error entre sitios. La replicación sincrónica permite la duplicación de datos en sitios físicos con volúmenes coherentes para asegurar una pérdida de datos cero en el nivel del sistema de archivos. La replicación asincrónica permite la extensión del sitio más allá de los rangos metropolitanos con la posibilidad de pérdida de datos.

¿Qué valor agrega este cambio?

Storage Replica le permite hacer lo siguiente:

  • Proporcione una solución de recuperación de desastres de un solo proveedor para las interrupciones planificadas y no planificadas de las cargas de trabajo de misión crítica.

  • Utilice el transporte SMB3 con confiabilidad, escalabilidad y rendimiento comprobados.

  • Estire los clústeres de conmutación por error de Windows a distancias metropolitanas.

  • Utilice el software de Microsoft de principio a fin para el almacenamiento y la agrupación en clústeres, como Hyper-V, Réplica de almacenamiento, Espacios de almacenamiento, Clúster, Servidor de archivos escalado, SMB3, Desduplicación de datos y ReFS / NTFS.

  • Ayude a reducir los costos y la complejidad de la siguiente manera:

    • Es independiente del hardware, sin necesidad de una configuración de almacenamiento específica como DAS o SAN.

    • Permite el almacenamiento de productos básicos y tecnologías de red.

    • Ofrece la facilidad de administración gráfica para nodos y clústeres individuales a través de Failover Cluster Manager.

    • Incluye opciones integrales de scripting a gran escala a través de Windows PowerShell.

  • Ayuda a reducir el tiempo de inactividad y aumenta la fiabilidad y la productividad intrínseca de Windows.

  • Proporcione compatibilidad, métricas de rendimiento y capacidades de diagnóstico.

Testigo de la nube

Cloud Witness es un nuevo tipo de testigo de quórum de clúster de conmutación por error en Windows Server 2016 que aprovecha Microsoft Azure como punto de arbitraje. El Cloud Witness, como cualquier otro testigo de quórum, obtiene un voto y puede participar en los cálculos de quórum. Puede configurar el testigo de la nube como un testigo de quórum utilizando el Asistente para configurar un quórum de clúster.

¿Qué valor agrega este cambio?

Utilizar Cloud Witness como testigo de quórum de clúster de conmutación por error proporciona las siguientes ventajas:

  • Aprovecha Microsoft Azure y elimina la necesidad de un tercer centro de datos separado.

  • Utiliza el almacenamiento de blobs Microsoft Azure estándar disponible públicamente que elimina la sobrecarga de mantenimiento adicional de las máquinas virtuales alojadas en una nube pública.

  • La misma cuenta de almacenamiento de Microsoft Azure se puede usar para varios clústeres (un archivo de blob por clúster, id único de clúster utilizado como nombre de archivo de blob).

  • Proporciona un costo muy bajo para la Cuenta de almacenamiento (datos muy pequeños escritos por archivo blob, archivo blob actualizado solo una vez cuando cambia el estado de los nodos del clúster).

Mas Informacion: Microsoft.com


25  04 2018

Nuevo GMail – Google lanzo nuevo cliente de correo

gmailLa compañía detalló la renovación del servicio de correo, que incorpora una gran cantidad de nuevas funciones.

Este miércoles, Google reveló como será el nuevo Gmail, que suma nuevas características y unifica su diseño para que sea similar en el escritorio y en sus apps móviles. El servicio de correo electrónico es actualmente el más popular del mundo, siendo elegido por millones de personas desde su lanzamiento en 2004.

Entre las nuevas funciones se encuentran herramientas para mejorar la administración de la bandeja de entrada, como los botones de acción para correos electrónicos individuales. A partir de ahora aparecerán botones para borrar, archivar y posponer cuando se coloque el cursor sobre un mensaje. Además, los adjuntos aparecerán en una carpeta debajo del asunto del correo, por lo que podrán abrirse desde la pantalla principal de Gmail.

Respecto a la función de respuesta inteligente, que ya estaba disponible en móviles, finalmente llegará a la web, para que sea mucho más rápido y sencillo contestar un correo. También se suma una nueva función de “desuscripción asistida” que avisará cuando se reciben varios correos promocionales de un mismo remitente y nunca son abiertos. Además, los mensajes considerados como spam serán destacados con un gran cartel rojo cuando sean abiertos.

Pasando a la barra lateral, ahora se podrá agregar el calendario, por lo que no habrá que switchear entre ambas pestañas si se está trabajando con los dos servicios. Asimismo, se podrán agregar notas de Google Keep o una lista de tareas. Así, Gmail suma interesantes funciones para mejorar la productividad sin necesidad de salir del servicio.

Del mismo modo que hay aspectos de la gran actualización de Gmail que serán útiles para todos, hay algunas funciones nuevas diseñadas específicamente para las cuentas corporativas de G Suite. Algunas están destinadas a aumentar la productividad, como la opción de suspender temporalmente todas las notificaciones push, excepto las más importantes. Google detectará cuándo un correo electrónico es urgente y se lo hará saber al usuario; de lo contrario, no emitirá ninguna notificación. Esto, seguramente, será muy útil en su app móvil.

Nudging es otra característica nueva y automatizada, con la que los algoritmos de Google detectarán correos electrónicos que necesiten una respuesta rápida. Gmail ‘empujará’ estos correos electrónicos a la parte superior de la bandeja de entrada y agregará una pequeña nota que recuerda que deben ser respondidos. Del mismo modo, si se envió un correo electrónico que no recibió respuesta, se marcará para que se pueda enviar un seguimiento si es necesario.

Posiblemente la mejor noticia de todas sea soporte nativo fuera de línea. Gmail ahora sincroniza los últimos 90 días de actividad y si bien, como es lógico, no se puede enviar ni recibir correos electrónicos, se puede administrar la bandeja de entrada y poner en cola las respuestas cuando se retome la conexión.

Hay también un nuevo “modo confidencial” para los correos electrónicos que un remitente no quiere que permanezcan permanentemente en su bandeja de entrada. El remitente puede establecer una fecha de vencimiento para cualquier comunicación sensible, o autodestruirla manualmente cada vez que lo desee. Se puede incluso habilitar la autenticación de dos factores, lo que significa que el destinatario debe solicitar un código de acceso a través de SMS antes de poder acceder a los contenidos.

Además, estos correos electrónicos tendrán controles especiales de administración de derechos, desactivando efectivamente la capacidad del destinatario para copiar, reenviar, descargar o imprimir un correo electrónico. Esto no detendrá a alguien que realmente quiere filtrar información confidencial, ya que siempre se puede tomar una captura de pantalla, o tomar una foto de un correo electrónico con un teléfono, pero agrega un poco más de seguridad, por lo menos en primera instancia.

La nueva actualización comenzará a llegar de manera gradual a todos los usuarios a partir de hoy. Para comenzar a probarla, se puede ingresar a la configuración y habilitar el botón “prueba el nuevo Gmail”.

Vía: Google


23  04 2018

Resumen Semanal!

www.radians.com.arBuenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 2016-2012r2-2012-2008r2 y sobre Windows 10-8.1. Les paso el link para que los vean; https://www.youtube.com/user/RadiansBlog

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


20  04 2018

Active Directory Domain Services (ADDS) como verificar los puertos de comunicacion del Domain Controller {HowTo}

SecurityEsta semana he recibido varias consultas por este tema y generalmente es algo que siempre hay que chequear cuando uno tiene varias oficinas y por algun motivo no todas tienen una domain controller, ya que cuando tenemos algun problema de red, ya sea de un router, un firewall o incluso nuestro proveedor ISP, podemos tener problemas para validar nuestros usuarios y sus equipos en nuestra red.

Como sabemos la comunicación de Active Directory se lleva a cabo utilizando varios puertos. Estos puertos son requeridos tanto por las computadoras cliente como por los controladores de dominio. Como ejemplo, cuando una computadora cliente intenta encontrar un controlador de dominio, siempre envía una consulta DNS a través del puerto 53 para encontrar el nombre del controlador de dominio en el dominio.

La siguiente es la lista de servicios y sus puertos utilizados para la comunicación de Active Directory:

  • Puerto UDP 88 para autenticación Kerberos
  • Puerto UDP y TCP 135 para controladores de dominio a controlador de dominio y operaciones de controlador de dominio a cliente
  • Puerto TCP 139 y UDP 138 para el servicio de replicación de archivos entre los controladores de dominio
  • Puerto UDP 389 para que LDAP maneje las consultas normales desde las computadoras cliente a los controladores de dominio
  • Puerto TCP y UDP 445 para el servicio de replicación de archivos
  • Puerto TCP y UDP 464 para cambio de contraseña de Kerberos
  • Puerto TCP 3268 y 3269 para el Catálogo global del cliente al controlador de dominio.
    Puerto TCP y UDP Puerto 53 para DNS del cliente al controlador de dominio y controlador de dominio a controlador de dominio.

Si se abren los puertos en Firewall entre las computadoras cliente y los controladores de dominio, o entre los controladores de dominio, Active Directory funcionará correctamente.

Tambien los podemos chequear por medio de un script. Para esto vamos a utilizar el PortQry Command Line Port Scanner Version 2.0 que podemos bajar del sitio de Microsoft https://www.microsoft.com/en-us/download/details.aspx?id=17148 

Espero les sea de interes y utilidad. Saludos, Roberto Di Lello

:::::::::::::::::::::::::::: BEGIN SCRIPT :::::::::::::::::::::::::
@ECHO OFF
:: NAME: DCPortTest.CMD v1.0
:: PURPOSE:  Test connectivity from one DC to one or more remote DCs
:: using PORTQRY utility.
:: The SERVERS.TXT contains a list of servers (one server per line)
:: to check connectivity to.

ECHO DATE: %DATE% > DC_PORTQRY.TXT
ECHO TIME: %TIME% >> DC_PORTQRY.TXT
ECHO USER: %USERNAME% >> DC_PORTQRY.TXT
ECHO COMPUTER: %COMPUTERNAME% >> DC_PORTQRY.TXT
ECHO. >> DC_PORTQRY.TXT
ECHO. >> DC_PORTQRY.TXT
ECHO. >> DC_PORTQRY.TXT
FOR /F "tokens=1" %%i in (servers.txt) DO (
  ECHO ::::::::::::::::::::::  %%i  :::::::::::::::::::::::::: >> DC_PORTQRY.TXT
  ECHO Testing %%i
  ECHO. >> DC_PORTQRY.TXT
  PORTQRY -n %%i -e 88 -p TCP | findstr /i "88"  >> DC_PORTQRY.TXT
  PORTQRY -n %%i -e 445 -p TCP | findstr /i "445" >> DC_PORTQRY.TXT
  PORTQRY -n %%i -e 389 -p TCP | findstr /i "389" >> DC_PORTQRY.TXT
  PORTQRY -n %%i -e 3268 -p TCP | findstr /i "3268"  >> DC_PORTQRY.TXT
  PORTQRY -n %%i -e 135 -p TCP | findstr /i "135" >> DC_PORTQRY.TXT
  ECHO. >> DC_PORTQRY.TXT 
  ECHO. >> DC_PORTQRY.TXT 
)
:::::::::::::::::::::::: END SCRIPT :::::::::::::::::::::::::

Y la salida o el resultado seria un txt con esta informacion:

DATE: Mon 04/20/2018
TIME: 12:15:28.37
USER: a_robertoDL01
COMPUTER: RADWKS001
 
::::::::::::::::::::::  RADSRVDS001  :::::::::::::::::::::::::: 
TCP port 88 (kerberos service): LISTENING
TCP port 445 (microsoft-ds service): LISTENING
TCP port 389 (ldap service): LISTENING
Sending LDAP query to TCP port 389…
TCP port 3268 (msft-gc service): LISTENING
Sending LDAP query to TCP port 3268…
TCP port 135 (epmap service): LISTENING

www.radians.com.ar


18  04 2018

Microsoft confirma que los headset VR podran correr en computadoras modestas

www.radians.com.arLa compañía, que trabaja con sus socios de hardware en dispositivos de realidad virtual de 300 dólares, reveló las specs en un evento de desarrolladores.

Este lunes, en un evento para desarrolladores, Microsoft reveló las especificaciones técnicas que deberán tener las computadoras que funcionen en conjunto con sus dispositivos de realidad virtual, que están siendo desarrollados por sus socios de hardware y tendrán un valor inferior a los 299 dólares.

El gran problema de los headsets de VR actuals es que no solo son caros, sino que además requieren de computadoras de alta gama para poder funcionar correctamente. Microsoft promete terminar con esta tendencia, ya que los requerimientos mínimos para utilizar su tecnología son los siguientes:

  • 4GB de RAM
  • Un conector USB 3.0
  • Placa gráfica con soporte para DirectX 12
  • CPU quad-core o dual-core con Hyperthreading

Estas specs, presentes en cualquier laptop actual, permitirán que la tecnología de realidad virtual llegue a un espectro mayor de usuarios. De todas maneras, resta saber qué tipo de Apps y juegos serán capaces de soportar.

Alex Kipman, jefe del proyecto HoloLens de Microsoft, agregó al respecto que la próxima gama de dispositivos VR ofrecerá diferentes tipos de experiencias dependiendo del precio. En este sentido, explicó que “hay una diferencia si se quiere jugar Halo o si se quiere jugar a Solitario. La entrada para jugar cualquier título era, hasta ahora, una PC de 1.500 dólares; eso lo hemos  bajado”.

Personalmente sigo extrañando el KINECT de xbox y toda la funcionalidad que este podia tener, y los buenos desarrollos que dejaron de hacer. Saludos, Roberto DI Lello

Vía: TheNextWeb


16  04 2018

Resumen Semanal!

www.radians.com.arBuenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 2016-2012r2-2012-2008r2 y sobre Windows 10-8.1. Les paso el link para que los vean; https://www.youtube.com/user/RadiansBlog

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


13  04 2018

Las mejores prácticas para Securizar nuestra arquitectura de Active Directory [Parte 3] – Como reducir la superficie de ataque de Active Directory {Seguridad}

Esta sección se centra en los controles técnicos que se implementarán para reducir la superficie de ataque de la instalación de Active Directory. La sección contiene la siguiente información:

  • La implementación de modelos administrativos de mínimos privilegios se centra en identificar el riesgo que presenta el uso de cuentas con privilegios altos para la administración diaria, además de proporcionar recomendaciones para implementar a fin de reducir el riesgo de que las cuentas privilegiadas se presenten.
  • La implementación de Hosts Administrativos Seguros describe los principios para la implementación de sistemas administrativos dedicados y seguros, además de algunos enfoques de muestra para una implementación de host administrativo seguro.
  • Asegurar controladores de dominio contra ataque analiza políticas y configuraciones que, aunque similares a las recomendaciones para la implementación de hosts administrativos seguros, contienen algunas recomendaciones específicas del controlador de dominio para ayudar a garantizar que los controladores de dominio y los sistemas utilizados para administrarlos estén bien protegidos.

Cuentas y grupos privilegiados en Active Directory

Esta sección proporciona información básica sobre las cuentas y grupos privilegiados en Active Directory con la intención de explicar los aspectos comunes y las diferencias entre las cuentas y grupos privilegiados en Active Directory. Al comprender estas distinciones, ya sea que implemente las recomendaciones en Implementación de modelos administrativos de mínimo privilegio al pie de la letra o elija personalizarlas para su organización, tiene las herramientas que necesita para proteger cada grupo y cuenta de manera adecuada.

Cuentas y grupos privilegiados incorporados

Active Directory facilita la delegación de administración y respalda el principio de privilegio mínimo al asignar derechos y permisos. Los usuarios "normales" que tienen cuentas en un dominio pueden, por defecto, leer gran parte de lo que está almacenado en el directorio, pero solo pueden cambiar un conjunto muy limitado de datos en el directorio. Los usuarios que requieren privilegios adicionales pueden obtener membresía en varios grupos "privilegiados" que están integrados en el directorio para que puedan realizar tareas específicas relacionadas con sus roles, pero no pueden realizar tareas que no son relevantes para sus funciones. Las organizaciones también pueden crear grupos que se adaptan a las responsabilidades específicas del trabajo y se les otorgan derechos y permisos detallados que permiten al personal de TI realizar las funciones administrativas cotidianas sin otorgar derechos y permisos que excedan lo que se requiere para esas funciones.

Dentro de Active Directory, tres grupos integrados son los grupos de privilegios más altos en el directorio: Administradores de empresa, Administradores de dominio y Administradores. La configuración y las capacidades predeterminadas de cada uno de estos grupos se describen en las siguientes secciones:

Los grupos de privilegios más altos en Active Directory

Administradores de la empresa

Los Administradores de empresa (EA) son un grupo que existe solo en el dominio raíz del bosque y, de manera predeterminada, es un miembro del grupo Administradores en todos los dominios del bosque. La cuenta de administrador integrada en el dominio raíz del bosque es el único miembro predeterminado del grupo de EA. A los EA se les otorgan derechos y permisos que les permiten implementar cambios en todo el bosque (es decir, cambios que afectan a todos los dominios del bosque), como agregar o eliminar dominios, establecer confianzas forestales o elevar los niveles funcionales del bosque. En un modelo de delegación correctamente diseñado e implementado, la membresía EA se requiere solo cuando se construye el bosque por primera vez o cuando se realizan ciertos cambios en todo el bosque, como el establecimiento de una confianza forestal saliente. La mayoría de los derechos y permisos otorgados al grupo EA se pueden delegar a usuarios y grupos con menores privilegios.

Administradores del dominio

Cada dominio en un bosque tiene su propio grupo Administradores de dominio (DA), que es miembro del grupo Administradores de ese dominio y miembro del grupo Administradores local en cada computadora que se une al dominio. El único miembro predeterminado del grupo DA para un dominio es la cuenta de administrador integrada para ese dominio. Los DA son "todopoderosos" dentro de sus dominios, mientras que los EA tienen privilegios en todo el bosque. En un modelo de delegación correctamente diseñado e implementado, la membresía de Administradores de Dominio debería ser requerida solo en escenarios de "interrupción" (como situaciones en las que se necesita una cuenta con altos niveles de privilegios en cada computadora del dominio). Aunque los mecanismos de delegación nativos de Active Directory permiten la delegación en la medida en que es posible usar cuentas DA solo en situaciones de emergencia, construir un modelo de delegación efectivo puede llevar mucho tiempo, y muchas organizaciones aprovechan las herramientas de terceros para agilizar el proceso.

Administradores

El tercer grupo es el grupo de administradores locales de dominio (BA) en el que están anidados los DA y los EA. A este grupo se le otorgan muchos de los derechos y permisos directos en el directorio y en los controladores de dominio. Sin embargo, el grupo Administradores para un dominio no tiene privilegios en los servidores miembro o en las estaciones de trabajo. Es a través de la membresía en el grupo de administradores locales de las computadoras que se concede el privilegio local.

Nota: Aunque estas son las configuraciones predeterminadas de estos grupos con privilegios, un miembro de cualquiera de los tres grupos puede manipular el directorio para ganar membresía en cualquiera de los otros grupos. En algunos casos, es trivial obtener membresía en los otros grupos, mientras que en otros es más difícil, pero desde la perspectiva del privilegio potencial, los tres grupos deben considerarse efectivamente equivalentes.

Administradores de esquema

Un cuarto grupo privilegiado, Schema Admins (SA), existe solo en el dominio raíz del bosque y solo tiene la cuenta de administrador incorporada de ese dominio como miembro predeterminado, similar al grupo Administradores de la empresa. El grupo de administradores de esquema está destinado a poblarse solo de forma temporal y ocasional (cuando se requiere la modificación del esquema de AD DS).

Aunque el grupo SA es el único grupo que puede modificar el esquema de Active Directory (es decir, las estructuras de datos subyacentes del directorio como objetos y atributos), el alcance de los derechos y permisos del grupo SA es más limitado que los grupos descritos anteriormente. También es común encontrar que las organizaciones han desarrollado prácticas apropiadas para el manejo de la membresía del grupo de SA porque la membresía en el grupo generalmente se necesita con poca frecuencia, y solo por cortos períodos de tiempo. Esto también es técnicamente cierto para los grupos EA, DA y BA en Active Directory, pero es mucho menos común encontrar que las organizaciones hayan implementado prácticas similares para estos grupos como para el grupo SA.

Cuentas y grupos protegidos en Active Directory

Dentro de Active Directory, un conjunto predeterminado de cuentas y grupos privilegiados llamados cuentas y grupos "protegidos" se protegen de forma diferente que otros objetos en el directorio. Cualquier cuenta que tenga membresía directa o transitiva en cualquier grupo protegido (independientemente de si la membresía proviene de grupos de seguridad o distribución) hereda esta seguridad restringida.

Por ejemplo, si un usuario es miembro de un grupo de distribución que, a su vez, es miembro de un grupo protegido en Active Directory, ese objeto de usuario se marca como una cuenta protegida. Cuando una cuenta se marca como una cuenta protegida, el valor del atributo adminCount en el objeto se establece en 1.

Nota: Aunque la membresía transitiva en un grupo protegido incluye distribución anidada y grupos de seguridad anidados, las cuentas que son miembros de grupos de distribución anidados no recibirán el SID del grupo protegido en sus tokens de acceso. Sin embargo, los grupos de distribución se pueden convertir a grupos de seguridad en Active Directory, por lo que los grupos de distribución se incluyen en la enumeración de miembros de grupos protegidos. Si un grupo de distribución anidado protegido alguna vez se convierte a un grupo de seguridad, las cuentas que son miembros del grupo de distribución anterior recibirán posteriormente el SID del grupo protegido principal en sus tokens de acceso en el siguiente inicio de sesión.

La siguiente tabla enumera las cuentas y grupos protegidos predeterminados en Active Directory por versión de sistema operativo y nivel de paquete de servicio.

Cuentas y grupos protegidos predeterminados en Active Directory mediante el sistema operativo y la versión del Service Pack (SP)

www.radians.com.ar

AdminSDHolder y SDProp

En el contenedor Sistema de cada dominio de Active Directory, se crea automáticamente un objeto llamado AdminSDHolder. El objetivo del objeto AdminSDHolder es garantizar que los permisos en las cuentas y grupos protegidos se apliquen sistemáticamente, independientemente de dónde estén ubicados los grupos protegidos y las cuentas en el dominio.

Cada 60 minutos (de forma predeterminada), se ejecuta un proceso conocido como Propagador de descriptores de seguridad (SDProp) en el controlador de dominio que contiene la función Emulador de PDC del dominio. SDProp compara los permisos en el objeto AdminSDHolder del dominio con los permisos en las cuentas y grupos protegidos en el dominio. Si los permisos en cualquiera de las cuentas y grupos protegidos no coinciden con los permisos del objeto AdminSDHolder, los permisos en las cuentas y grupos protegidos se restablecen para que coincidan con los del objeto AdminSDHolder del dominio.

La herencia de permisos está deshabilitada en grupos y cuentas protegidas, lo que significa que incluso si las cuentas o grupos se mueven a diferentes ubicaciones en el directorio, no heredan los permisos de sus nuevos objetos principales. La herencia también está deshabilitada en el objeto AdminSDHolder para que los permisos cambien a los objetos principales no cambien los permisos de AdminSDHolder.

Nota: Cuando se elimina una cuenta de un grupo protegido, ya no se considera una cuenta protegida, pero su atributo adminCount permanece establecido en 1 si no se cambia manualmente. El resultado de esta configuración es que SDProp ya no actualiza las ACL del objeto, pero el objeto aún no hereda los permisos de su objeto principal. Por lo tanto, el objeto puede residir en una unidad organizativa (OU) a la que se han delegado permisos, pero el objeto anteriormente protegido no heredará estos permisos delegados.

Propiedad de AdminSDHolder

La mayoría de los objetos en Active Directory son propiedad del grupo BA del dominio. Sin embargo, el objeto AdminSDHolder es, de forma predeterminada, propiedad del grupo DA del dominio. (Esta es una circunstancia en la que los DA no derivan sus derechos y permisos a través de la membresía en el grupo Administradores para el dominio).

En las versiones de Windows anteriores a Windows Server 2008, los propietarios de un objeto pueden cambiar los permisos del objeto, lo que incluye otorgarse permisos que originalmente no tenían. Por lo tanto, los permisos predeterminados en el objeto AdminSDHolder de un dominio impiden que los usuarios que son miembros de grupos BA o EA cambien los permisos para el objeto AdminSDHolder de un dominio. Sin embargo, los miembros del grupo Administradores para el dominio pueden tomar posesión del objeto y otorgarse permisos adicionales, lo que significa que esta protección es rudimentaria y solo protege el objeto contra modificaciones accidentales por usuarios que no son miembros del grupo DA en el dominio . Además, los grupos BA y EA (cuando corresponda) tienen permiso para cambiar los atributos del objeto AdminSDHolder en el dominio local (dominio raíz para EA).

Nota: Un atributo en el objeto AdminSDHolder, dSHeuristics, permite la personalización (eliminación) limitada de grupos que se consideran grupos protegidos y se ven afectados por AdminSDHolder y SDProp. Esta personalización debe considerarse cuidadosamente si se implementa, aunque existen circunstancias válidas en las cuales la modificación de dSHeuristics en AdminSDHolder es útil.

Aunque los grupos más privilegiados en Active Directory se describen aquí, hay una cantidad de otros grupos a los que se les han otorgado niveles elevados de privilegios. Estos otros grupos podemos chequearlos en el sitio oficial de Microsoft: Appendix B: Privileged Accounts and Groups in Active Directory.

Espero les sea de interes y utilidad. Saludos. Roberto Di Lello


04 2018

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 2016-2012r2-2012-2008r2 y sobre Windows 10-8.1. Les paso el link para que los vean; https://www.youtube.com/user/RadiansBlog

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


Next Page »