Home
About
Archives
Contactenos
Ayuda | Help

19  09 2018

Como cambiar SID en Windows Server 2012 R2 cuando clonamos una VM ya que el NewSid no es una opcion {HowTo}

www.radians.com.arHola, como ya sabemos hace mucho tiempo el NewSID no funciona mas con las ultimas versiones de windows. Esto no es nuevo, de hecho ni me acuerdo cuando dejo de funcionar, pero fue hace mucho mucho tiempo.

La solucion que tenemos es utilizar el SysPrep. Generalmente el problema de SID duplicados ocurre cuando clonar el VHDx porque por alguna razon (no vagancia) no queremos o podemos realizar una instala nueva.

Recordamos que SYSPREP es una herramienta de preparación del sistema es una tecnología que puede utilizar con otras herramientas de implementación para instalar el SO de Windows con la intervención mínima de un administrador, y  nos permite tambien realizar instalaciones desatendidas. Sysprep se suele utilizar durante los deployments a gran escala cuando sería demasiado lento y costoso realizarlo de forma interactiva instalar el sistema operativo en equipos individuales.

El procedimiento es el siguiente:

www.radians.com.ar

Lo primero que hacemos es verificar el SID que tiene nuestro equipo. Para esto utilizamos el PSGetSID de sysinternals.

www.radians.com.ar

Luego vamos a la carpeta C:\windows\system32\sysprep\sysprep.exe

www.radians.com.ar

Ahora seleccionamos Enter System Out-of-Box Experience (OOBE), recuerden tildar la opcion Generalize y luego la opcion que deseen. Si ponen reboot el equipo reiniciara autimaticamente si ponen Quit terminara el proceso y luego deberemos reiniciar el equipo manualmente.

www.radians.com.ar

www.radians.com.ar

Al reiniciar nos pedira que ingresemos el password de la cuenta administrator y que aceptemos la licencia.

www.radians.com.ar

www.radians.com.ar

www.radians.com.ar

www.radians.com.ar

www.radians.com.ar

Despues de reiniciar, ejecutamos nuevamente el comando PSGetSID y podemos verificar que el procedimiento funciono correctamente y el SID de la maquina cambio.

Espero les sea de utilidad. Saludos Roberto Di Lello


17  09 2018

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 2016-2012r2-2012-2008r2 y sobre Windows 10-8.1. Les paso el link para que los vean; he tenido varios problemas con la cuenta vieja ya que como era una cuenta youtube no se podía linkear al nuevo formato desde que fue adquirida por Google; funciono bastante bien durante un tiempo pero últimamente traía muchos problemas por lo que fue migrada a :

youtube.com/c/RobertoDiLello

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


14  09 2018

Azure AD Tenant, que es el Inquilino de Azure AD?

www.radians.com.arEn Azure Active Directory (Azure AD), un inquilino es un representante de una organización. Se trata de una instancia dedicada del servicio de Azure AD que recibe una organización y que posee cuando registra un servicio en la nube de Microsoft, como Azure, Microsoft InTune u Office 365. Cada inquilino de Azure AD es distinto e independiente de los demás inquilinos de Azure AD.

Un inquilino aloja los usuarios de una empresa y la información sobre ellos: sus contraseñas, datos de perfil de usuario, permisos, etc. También contiene grupos, aplicaciones y otra información relativa a una organización y su seguridad.

Para permitir que los usuarios de Azure AD inicien sesión en su aplicación, debe registrar la aplicación en un inquilino que elija. La publicación de una aplicación en un inquilino de Azure AD es totalmente gratis. De hecho, la mayoría de programadores creará varios inquilinos y aplicaciones para fines de experimentación, desarrollo, almacenamiento provisional y prueba. Las organizaciones que se registren y consuman la aplicación pueden elegir opcionalmente adquirir licencias si desean aprovechar las características avanzadas de directorio.

Por lo tanto, ¿cómo obtiene un inquilino de Azure AD? El proceso puede ser poco diferente si:

Uso de una suscripción de Office 365 existente

Si dispone de una suscripción a Office 365, ya tiene un inquilino de Azure AD. Puede iniciar sesión en Azure Portal con su cuenta de Office 365 y empezar a usar Azure AD.

Uso de una suscripción de MSA Azure

Si se ha registrado anteriormente en una suscripción de Azure con una cuenta Microsoft individual, ya dispone de un inquilino. Cuando inicie sesión en Azure Portal, se registrará automáticamente en su inquilino predeterminado. Pueden usa este inquilino como considere oportuno, pero es posible que desee crear una cuenta de administrador organizativo.

Para hacerlo, siga estos pasos: También es posible que quiera crear a un nuevo inquilino y crear un administrador en ese inquilino siguiendo un proceso similar.

  1. Inicie sesión en Azure Portal con su cuenta individual.
  2. Navegue a la sección "Azure Active Directory" del portal (que se encuentra en la barra de navegación izquierda, en Más servicios)
  3. Debería iniciar sesión automáticamente en el "directorio predeterminado". Si no, puede cambiar de directorio haciendo clic en el nombre de cuenta en la esquina superior derecha.
  4. En la sección Tareas rápidas, elija Agregar un usuario.
  5. En el formulario para agregar usuario, proporcione la siguiente información:

    • Nombre: (elija un valor apropiado)
    • Nombre de usuario: (elija un nombre de usuario para este administrador)
    • Perfil: (rellene los valores apropiados en Nombre, Apellidos, Puesto y Departamento)
    • Rol: administrador global
  6. Cuando haya completado el formulario de adición de usuario y reciba la contraseña temporal para el nuevo usuario administrativo, asegúrese de registrar esta contraseña, puesto que tendrá que iniciar sesión con este nuevo usuario para cambiar la contraseña. También puede enviar la contraseña directamente al usuario mediante un correo electrónico alternativo.
  7. Haga clic en Crear para crear el nuevo usuario.
  8. Para cambiar la contraseña temporal, inicie sesión en https://login.microsoftonline.com con esta nueva cuenta de usuario y cambie la contraseña cuando se le solicite.

Uso de una suscripción de Azure organizativa

Si se ha registrado anteriormente en una suscripción de Azure con la cuenta organizativa, ya dispone de un inquilino. En Azure Portal debe buscar un inquilino cuando navegue a "Más servicios" y "Azure Active Directory". Pueden usar a este inquilino como considere oportuno.

Comienzo desde cero

Si todo lo anterior es un galimatías para usted, no se preocupe. Simplemente visite https://account.windowsazure.com/organization para registrarse en Azure con una nueva organización. Cuando haya completado el proceso, tendrá su propio inquilino de Azure AD con el nombre de dominio que elija durante el registro. En Azure Portal puede buscar el inquilino navegando a "Azure Active Directory" en panel de la izquierda.

Como parte del proceso de registro en Azure, se le solicitará que proporcione la información de tarjeta de crédito. Puede continuar con confianza: no se le cobrará por publicar aplicaciones en Azure AD o crear nuevos inquilinos.

Mas Info: Microsoft Docs Active Directory to Tenant

Saludos, Roberto Di Lello


12  09 2018

Azure, creando una cuenta trial GRATUITA de u$s200 {Step-by-Step}

Hoy vamos a ver como configurar una cuenta gratuita en Azure como para probar alguna de sus funcionalidades. Tambien les recomiendo ver el material de Microsoft Virtual Academy Windows Azure for IT Pros Jump Start

Como ya hemos visto con Windows Azure, podemos implementar y ejecutar fácilmente máquinas virtuales Windows Server y Linux en su propia red virtual en la nube. Con Infraestructura como servicio (IaaS) nos encargamos de la plataforma y de gestionar las máquinas virtuales. Esto puede ser muy bueno en muchos escenarios, tales como: la creación de entornos virtuales de laboratorio, la puesta a prueba de nuevos programas en la nube, e incluso podemos cargar nuestras propias máquinas virtuales (los VHD) y ejecutarlos en la nube.

Vamos a recibir $200 de créditos de Windows Azure con la prueba gratuita. La opción ahora es nuestra sobre cómo usamos los créditos de Windows Azure. Podemos utilizarlo en máquinas virtuales, sitios web, servicios en la nube, servicios móviles, almacenamiento, base de datos SQL, red de distribución de contenido, HDInsight, servicios de medios, lo que necesitemos.

Aquí hay algunos ejemplos de escenarios de uso que consumen no más de $ 200 en un mes:

  • Ejecutar 2 instancias de Virtual Machine pequeñas para todo el mes, o
  • Almacenar 800 GB de datos en Almacenamiento, o
  • Desarrollar y probar una aplicación web utilizando Cloud Services, con 3 funciones web y 2 roles de trabajo en instancias medias, durante 10 horas al día, 5 días a la semana o
  • Ejecutar una base de datos SQL de 100 GB para todo el mes

Como podemos ver tenemos varias alternativas que valen la pena.

Sign up for a FREE Trial of Windows Azure

a01

Hacemos clic en Start Trial, y luego nos pedira logearnos con nuestra cuenta. Luego veremos la siguiente pantalla en donde debemos seleccionar “SignUp for a free Trial”.

aa1

aa2

Todo lo que necesitamos es una cuenta de Microsoft y una tarjeta de crédito o telefono. Esta información se utiliza sólo para validar su identidad y su tarjeta de crédito no se cargará, a menos que convierta explícitamente su cuenta de prueba gratuita a una suscripción pagada en un momento posterior.

aa3

Hacemos esto estableciendo un límite de gastos, para protegernos de los cargos por uso involuntarios más allá de la cantidad de oferta incluida, establecemos la característica Límite de gastos por defecto en un límite de $ 0, asi si usamos más de los $ 200 de crédito, nuestros servicios sólo se detendrán, sin generar cargo.

Y aqui veremos nuestro estado de crédito.

a02

Espero que les sea de interes y utilidad. Saludos. Roberto Di Lello.


10  09 2018

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 2016-2012r2-2012-2008r2 y sobre Windows 10-8.1. Les paso el link para que los vean; https://www.youtube.com/user/RadiansBlog

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal

09 2018

Que es Intune for Education?

Hoy vamos a hablar de Intune for Education que les permite a sus maestros y estudiantes ser productivos y proteger los datos de su escuela. Intune es un servicio de gestión de movilidad empresarial (EMM) basado en la nube que es la base de Intune for Education.

image

Intune for Education le permite administrar dispositivos con Windows 10 e iOS utilizando las capacidades completas de MDM disponibles en Intune. La experiencia de administración completa del dispositivo le permite administrar dispositivos Windows, iOS y Android.

Intune for Education se puede usar solo o en forma conjunta con la experiencia completa de administración de dispositivos disponible en Intune . También se puede usar junto con el resto de las herramientas disponibles en Microsoft Education , lo que facilita el uso con otras herramientas educativas útiles de Microsoft.

Aca pueden ver un video en donde se explica de forma muy simple este concepto. Esta en ingles, pero pueden ponerle los substitulos en español.

Con Intune e Intune for Education, podemos hacer lo siguiente:

  • Administrar los dispositivos móviles que su personal y estudiantes usan para acceder a los datos.
  • Administrar las aplicaciones móviles a las que los usuarios acceden todos los días.
  • Protejer nuestra información organizacional al ayudar a controlar la forma en que sus usuarios acceden y la comparten.
  • Asegurarnos de que los dispositivos y las aplicaciones cumplan con los requisitos de seguridad.

Les recomiendo aprovechar la oportunidad para conocer mas de este producto con con una prueba gratuita de Intune de 90 días . Si ya tiene acceso, puede is a la consola para empezar a utilizarlo:  https://intuneeducation.portal.azure.com

Si quiere leer mas sobre esta utilidad les recomiendo ver el siguiente link: comenzar a utilizar Intune for Education .

Espero les sea de interes y utilidad. Saludos. Roberto Di Lello.


09 2018

Habilitacion de SSO entre aplicaciones en Android mediante ADAL en Azure AD {Azure}

www.radians.com.arLos clientes esperan que se proporcione un inicio de sesión único (SSO) para que los usuarios solo tengan que escribir sus credenciales una sola vez y esas credenciales automáticamente funcionen en otras aplicaciones. La dificultad de escribir el nombre de usuario y contraseña en una pantalla pequeña, a menudo combinado con un factor adicional (2FA) como una llamada de teléfono o un código de mensaje de texto, provoca una rápida insatisfacción si el usuario tiene que hacer esto más de una vez para su producto.

Además, si aplica una plataforma de identidad que puedan usar otras aplicaciones, como cuentas Microsoft o una cuenta de trabajo de Office 365, los clientes esperan que las credenciales estén disponibles para todas sus aplicaciones, independientemente del proveedor.

La plataforma de Microsoft Identity, junto con los SDK correspondientes, se ocupa de este trabajo ingrato y le ofrece la posibilidad de satisfacer a sus clientes con el inicio de sesión único, ya sea dentro de su propio conjunto de aplicaciones o, como sucede con nuestra funcionalidad de agente y las aplicaciones de Authenticator, en todo el dispositivo.

Este tutorial le indicará cómo configurar nuestro SDK dentro de la aplicación para proporcionar esta ventaja a sus clientes.

Este tutorial se aplica a:

  • Azure Active Directory
  • Azure Active Directory B2C
  • Azure Active Directory B2B
  • Acceso condicional de Azure Active Directory

En el documento anterior se considera que tiene conocimientos acerca de cómo aprovisionar aplicaciones en el portal heredado para Azure Active Directory y que ha integrado su aplicación con el SDK de Android de Microsoft Identity.

Conceptos de inicio de sesión único en la plataforma de Microsoft Identity

Agentes de Microsoft Identity

Microsoft proporciona aplicaciones para todas las plataformas móviles que permiten el traspaso de credenciales entre aplicaciones de distintos proveedores, y habilita características mejoradas especiales que requieren un único lugar seguro desde el que validar las credenciales. A estas aplicaciones las llamamos agentes. En iOS y Android, estos agentes se consiguen a través de aplicaciones descargables que los clientes instalan de forma independiente o bien se insertan en el dispositivo gracias a una empresa que administra el dispositivo de manera total o parcial para sus empleados. Gracias a estos agentes, es posible administrar la seguridad de solo unas aplicaciones o bien del dispositivo en su totalidad, en función de lo que decidan los administradores de TI. En Windows, esta funcionalidad se proporciona mediante un selector de cuentas integrado en el sistema operativo, que se conoce técnicamente como agente de autenticación web.

Para más información sobre el uso que hacemos de estos agentes y la percepción que tendrán de ellos sus clientes durante el proceso de inicio de sesión para la plataforma Microsoft Identity, siga leyendo.

Patrones para iniciar sesión en dispositivos móviles

El acceso a credenciales en los dispositivos sigue dos patrones básicos para la plataforma Microsoft Identity:

  • Inicios de sesión no asistidos por agente
  • Inicios de sesión asistidos por agente
Inicios de sesión no asistidos por agente

Los inicios de sesión no asistidos por agente son experiencias de inicio de sesión que ocurren en línea con la aplicación y usan el almacenamiento local en el dispositivo para esa aplicación. Este almacenamiento puede compartirse entre las aplicaciones, pero las credenciales están estrechamente vinculadas a la aplicación o al conjunto de aplicaciones que usan esa credencial. Probablemente haya experimentado esto en muchas aplicaciones móviles en las que escribe un nombre de usuario y una contraseña en la propia aplicación.

Estos inicios de sesión tienen las siguientes ventajas:

  • La experiencia de usuario se desarrolla por completo dentro de la aplicación.
  • Las credenciales se pueden compartir entre aplicaciones que estén firmadas por el mismo certificado, proporcionando una experiencia de inicio de sesión único para el conjunto de aplicaciones.
  • Se proporciona el control de la experiencia de inicio de sesión a la aplicación antes y después del inicio de sesión.

Estos inicios de sesión tienen las siguientes desventajas:

  • El usuario no puede experimentar el inicio de sesión único entre todas las aplicaciones que usan una identidad de Microsoft Identity, solo en aquellas identidades de Microsoft Identity que su aplicación ha configurado.
  • La aplicación no se puede usar con las características empresariales más avanzadas, como el acceso condicional, ni utilizar el conjunto de aplicaciones de InTune.
  • La aplicación no admite la autenticación basada en certificados para usuarios empresariales.

A continuación se representa el funcionamiento de los SDK de Microsoft Identity con el almacenamiento compartido de sus aplicaciones para habilitar el inicio de sesión único:

www.radians.com.ar

Inicios de sesión asistidos por agente

Los inicios de sesión asistidos por agente son experiencias de inicio de sesión que se producen dentro de la aplicación del agente y usan el almacenamiento y la seguridad del agente para compartir las credenciales entre todas las aplicaciones del dispositivo que se aplican a la plataforma Microsoft Identity. Esto significa que las aplicaciones dependen del agente para que los usuarios inicien sesión. En iOS y Android, estos agentes se consiguen a través de aplicaciones descargables que los clientes instalan de forma independiente o bien se insertan en el dispositivo gracias a una empresa que administra el dispositivo para sus usuarios. Un ejemplo de este tipo de aplicación es la aplicación Microsoft Authenticator en iOS. En Windows, esta funcionalidad se proporciona mediante un selector de cuentas integrado en el sistema operativo, que se conoce técnicamente como agente de autenticación web. La experiencia varía según la plataforma y a veces puede ser problemática para los usuarios si no se administra correctamente. Quizá este modelo le resulte más familiar si tiene instalada la aplicación Facebook y usa Facebook Connect desde otra aplicación. La plataforma Microsoft Identity utiliza este mismo modelo.

En el caso de iOS, esto da lugar a una animación de "transición" en la que la aplicación se envía a un segundo plano y las aplicaciones de Microsoft Authenticator vienen al primer plano para que el usuario seleccione la cuenta en la que quiere iniciar sesión.

En el caso de Android y Windows, el selector de cuentas se muestra sobre la aplicación, lo cual interrumpe menos la experiencia del usuario.

¿Cómo se invoca el agente?

Si se instala un agente compatible en el dispositivo, como la aplicación Microsoft Authenticator, los SDK de Microsoft Identity se ocuparán automáticamente de la tarea de invocar al agente cuando un usuario indique que quiere iniciar sesión con alguna de las cuentas de la plataforma Microsoft Identity. Esta cuenta podría tratarse de una cuenta personal de Microsoft, una cuenta profesional o educativa o una cuenta que especifique y hospede en Azure mediante nuestros productos B2C y B2B.

Cómo se garantiza que la aplicación es válida

La necesidad de asegurar la identidad de una llamada de la aplicación al agente es fundamental para la seguridad que proporcionamos en los inicios de sesión asistidos por agente. Ni IOS ni Android exigen identificadores únicos que solo son válidos para una aplicación determinada, por lo que aplicaciones malintencionadas pueden "suplantar" un identificador de la aplicación legítima y recibir los tokens destinados a la aplicación legítima. Para asegurarse de que siempre se comunica con la aplicación correcta en tiempo de ejecución, le pedimos al desarrollador que proporcione un redirectURI personalizado al registrar su aplicación con Microsoft. A continuación se describe cómo deben diseñar los desarrolladores este URI de redirección. Este URI de redirección personalizado contiene la huella digital del certificado de la aplicación y se asegura de que es único para la aplicación por Google Play Store. Cuando una aplicación llama el agente, este solicita al sistema de operativo Android que le proporcione la huella digital del certificado que llama el agente. El agente proporciona esta huella digital del certificado a Microsoft en la llamada a nuestro sistema de identidad. Si la huella digital del certificado de la aplicación no coincide con la huella digital del certificado proporcionada por el desarrollador durante el registro, se denegará el acceso a los tokens para el recurso que está solicitando la aplicación. Esta comprobación asegura que solo la aplicación registrada por el desarrollador recibe los tokens.

El desarrollador tiene la opción de elegir si el SDK de Microsoft Identity llama al agente o usa el flujo sin asistencia del agente. Sin embargo, si el desarrollador decide no usar el flujo asistido por agente, no podrá beneficiarse del uso de las credenciales de SSO que el usuario puede ya haber agregado en el dispositivo; además, impide que la aplicación se use con las características empresariales que Microsoft proporciona a sus clientes, como el acceso condicional, las funcionalidades de administración de Intune y la autenticación basada en certificados.

Estos inicios de sesión tienen las siguientes ventajas:

  • El usuario experimenta el inicio de sesión único en todas sus aplicaciones, con independencia del proveedor.
  • La aplicación puede usar las características empresariales más avanzadas, como el acceso condicional, o usar el conjunto de productos de InTune.
  • La aplicación puede admitir la autenticación basada en certificados para los usuarios empresariales.
  • La experiencia de inicio de sesión es mucho más segura, ya que tanto la identidad de la aplicación como el usuario se verifican por parte de la aplicación de agente con algoritmos de seguridad y sistemas de cifrado adicionales.

Estos inicios de sesión tienen las siguientes desventajas:

  • En iOS, el usuario pasa por un proceso externo a la experiencia de la aplicación mientras se eligen las credenciales.
  • Se pierde la capacidad de administrar la experiencia de inicio de sesión para los clientes dentro de la aplicación.

A continuación se representa el funcionamiento de los SDK de Microsoft Identity con las aplicaciones de agente para habilitar el inicio de sesión único:

www.radians.com.ar

Una vez que disponga de toda esta información, probablemente pueda entender e implementar mejor el inicio de sesión único en la aplicación mediante los SDK y la plataforma Microsoft Identity.

Habilitación del SSO entre aplicaciones mediante ADAL

Ahora vamos a usar el SDK de Android de ADAL para:

  • Activar el SSO no asistido por agente para su conjunto de aplicaciones
  • Activar la compatibilidad para el SSO asistido por agente
Activación del SSO para el SSO no asistido por agente

En el caso del SSO entre aplicaciones no asistido por agente, los SDK de Microsoft Identity administran automáticamente gran parte de la complejidad que entraña este proceso. Esto incluye la búsqueda del usuario adecuado en la memoria caché y el mantenimiento de una lista de usuarios que han iniciado sesión en la que se pueden realizar consultas.

Para habilitar el SSO entre aplicaciones de las que es el propietario debe hacer lo siguiente:

  1. Garantizar que todas las aplicaciones utilizan el mismo identificador de cliente o aplicación
  2. Garantizar que todas las aplicaciones tienen el mismo conjunto de SharedUserID.
  3. Garantizar que todas las aplicaciones comparten el mismo certificado de firma de Google Play Store para que puedan compartir el almacenamiento.
Paso 1: Uso del mismo identificador de cliente o aplicación para todas las aplicaciones de su conjunto

A fin de que la plataforma Microsoft Identity sepa que puede compartir tokens entre las aplicaciones, es necesario que todas ellas compartan el mismo identificador de cliente o aplicación. Se trata del identificador único que se le suministró al registrar su primera aplicación en el portal.

Quizás se pregunte cómo se puede identificar a las diferentes aplicaciones en el servicio Microsoft Identity si todas utilizan el mismo identificador. Pues bien, esto es posible gracias a los URI de redirección. Cada aplicación puede tener varios URI de redirección registrados en el portal de incorporación. Cada una de las aplicaciones de su conjunto tendrá diferentes URI de redirección. A continuación se muestra un ejemplo típico de su aspecto:

URI de redirección de la aplicación 1: msauth://com.example.userapp/IcB5PxIyvbLkbFVtBI%2FitkW%2Fejk%3D
URI de redirección de la aplicación 2: msauth://com.example.userapp1/KmB7PxIytyLkbGHuI%2UitkW%2Fejk%4E
URI de redirección de la aplicación 3: msauth://com.example.userapp2/Pt85PxIyvbLkbKUtBI%2SitkW%2Fejk%9F
….

Estos están anidados en el mismo identificador de cliente o aplicación y se consultan en función del URI de redirección que nos devuelve en su configuración del SDK.

www.radians.com.ar

Tenga en cuenta que el formato de estos URI de redirección se explica a continuación. Puede usar cualquier URI de redirección, a menos que desee utilizar el agente, en cuyo caso debe tener un aspecto como el anterior

Paso 2: Configuración del almacenamiento compartido en Android

La definición de SharedUserID está fuera del ámbito de este documento, pero se puede aprender en la documentación de Google Android, en el Manifiesto. Lo importante es que decida cómo desea llamar a su sharedUserID y usar ese nombre en todas sus aplicaciones.

Una vez que tiene SharedUserID en todas las aplicaciones, estará listo para utilizar SSO.

www.radians.com.ar

Eso es todo. El SDK de Microsoft Identity ahora compartirá las credenciales entre todas sus aplicaciones. La lista de usuarios también se compartirá entre las instancias de la aplicación.

Activación del SSO para el SSO asistido por agente

La capacidad de una aplicación de usar cualquier agente que esté instalado en el dispositivo está desactivada de forma predeterminada. Para poder utilizar la aplicación con el agente debe realizar algunos pasos de configuración adicionales y agregar código a la aplicación.

Los pasos que debe seguir son los siguientes:

  1. Habilitar el modo de agente en la llamada al código de la aplicación para el SDK de Microsoft
  2. Establecer un nuevo URI de redirección e indicarlo tanto en la aplicación como en el registro de la aplicación
  3. Configurar los permisos correctos en el manifiesto de Android
Paso 1: Habilitar el modo de agente en la aplicación

La capacidad de la aplicación de utilizar el agente se activa al crear la configuración inicial de la instancia de autenticación. Para ello, configure el tipo de ApplicationSettings en el código:

AuthenticationSettings.Instance.setUseBroker(true);
Paso 2: Establecer un nuevo URI de redirección con el esquema de dirección URL

Para garantizar que siempre se devuelvan los tokens de credencial a la aplicación correcta, es necesario asegurarse de que se llama a la aplicación de tal manera que el sistema operativo Android pueda verificarla. El sistema operativo Android utiliza el hash del certificado en Google Play Store. Este sistema no se puede suplantar por ninguna aplicación malintencionada. Por lo tanto, se aprovecha este elemento junto con el URI de la aplicación de agente para garantizar que los tokens se devuelven a la aplicación correcta. Es necesario establecer este URI de redirección único en la aplicación y configurarlo como URI de redirección en nuestro portal para desarrolladores.

Para ser correcto, el URI de redirección debe presentar el formato siguiente: msauth://packagename/Base64UrlencodedSignature

Por ejemplo: msauth://com.example.userapp/IcB5PxIyvbLkbFVtBI%2FitkW%2Fejk%3D

Este URI de redirección debe especificarse en el registro de la aplicación mediante Azure Portal. Para más información sobre el registro de aplicaciones de Azure AD, consulte Integración con Azure Active Directory.

Paso 3: Configurar los permisos correctos en la aplicación

Nuestra aplicación de agente en Android utiliza la característica de administrador de cuentas del SO Android para administrar las credenciales entre aplicaciones. Para utilizar el agente en Android el manifiesto de la aplicación debe tener permisos para usar cuentas del administrador de cuentas. Esto se explica en detalle en la documentación de Google para el administrador de cuentas que puede encontrar aquí

En concreto, estos permisos son:

  • GET_ACCOUNTS
  • USE_CREDENTIALS
  • MANAGE_ACCOUNTS
Ya ha configurado el SSO.

Ahora, el SDK de Microsoft Identity compartirá automáticamente las credenciales entre las aplicaciones e invocará al agente si está presente en su dispositivo.

Mas Info: Microsoft Docs – Azure Active Directory

Saludos. Roberto Di Lello


09 2018

Resumen Semanal!

www.radians.com.arBuenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 2016-2012r2-2012-2008r2 y sobre Windows 10-8.1. Les paso el link para que los vean; https://www.youtube.com/user/RadiansBlog

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


31  08 2018

Como agregar la proteccion del navegador de Windows Defender a Chrome {Intune}

www.radians.com.arHoy quería compartir con ustedes esta nota donde veremos como agregar la proteccion de Windows defender a Chrome utilizando nuestro Intune. Hace poco huvo una publicación de Martin Bengtsson sobre la utilización de Configuration Manager (SCCM) para forzar la instalación de la extensión de Windows Defender Browser Protection para Chrome. De ahi que esta nota es diferente pero similar, en donde podremos implementar la extensión utilizando un script de PowerShell implementado a través de Microsoft Intune.

Para obtener más información sobre la Protección del navegador de Windows Defender para Google Chrome, les recomiendo ver la nota https://chrome.google.com/webstore/detail/windows-defender-browser/bkbeeeffjjeopflfhgeknacdieedcoml

Para esta nota se asume que nuestro Windows 10 esta enrolado en nuestro Intune.

El siguiente script de PowerShell creado por para agregar la extensión Defender Chrome como una entrada de registro:

New-Item -Path HKLM:\Software\Policies\Google\Chrome -Name ExtensionInstallForcelist –Force
$RegKey ="HKLM:\Software\Policies\Google\Chrome\ExtensionInstallForcelist"
Set-ItemProperty -path $RegKey -name 1 -value "bkbeeeffjjeopflfhgeknacdieedcoml;https://clients2.google.com/service/update2/crx"

Hay que guardar el script como un archivo .ps1 y lo agregarlo a Intune utilizando los pasos a continuación:

image

Damos un nombre la secuencia de comandos, carguamosy guardamos:

image

Asignamos el script a un grupo:

image

Sincronizamos el dispositivo de Windows 10 con Intune

image

Sincronizamos el dispositivo con Intune

image

Vemor el Registro antes de la sincronización

image

Chrome sin protección del navegador Defender

image

Verificamos el registro despues de la sincronizacion con Intune y vemos que aparecen los cambios.

Registro después de la sincronización

image

Podemos verificar que el Chrome con protección de navegador Defender, una vez que se inicia, la extensión se descarga automáticamente al directorio de extensión y se agrega a Chrome.

image

Si verificamos el subdirectorio en donde se guarda las extensiones del Chrome podemos ver que se encuentra la carpeta que corresponde a Windows Defender.

image

Saludos, Roberto Di Lello.


29  08 2018

Microsoft detecto cinco paginas web falsas creadas por piratas rusos para penetrar instituciones estadounidenses {Seguridad}

El objetivo aparente de estas páginas web, entre otros, era piratear los ordenadores de aquellas personas que las visitaran erróneamente.

Microsoft ha cerrado hasta cinco sitios web falsos, incluidos algunos pertenecientes al Senado de EEUU y centros de pensamiento estadounidenses, creados por un grupo de piratas informáticos vinculados supuestamente con el Gobierno ruso, informó la compañía de tecnología.

El objetivo aparente de estas páginas web era piratear los ordenadores de aquellas personas que las visitaran erróneamente.

Según Microsoft, dichos sitios "online" fueron creados por el grupo de hackers APT28, que ha sido públicamente vinculado a una agencia de inteligencia rusa e interfirió activamente en las elecciones presidenciales de 2016, según investigadores de EEUU.

(Getty Images)
(Getty Images)

La revelación de Microsoft llega tras meses de sospechas y advertencias por parte de funcionarios estadounidenses por la posible injerencia rusa en las elecciones legislativas que tendrán lugar este noviembre en el país.

La Unidad de Delitos Digitales de Microsoft asumió el papel principal en la búsqueda y desactivación de los sitios, y la compañía está tomando medidas para proporcionar una mayor protección de seguridad cibernética a campañas y equipos electorales que usan productos de la marca.

Entre las instituciones afectadas se encuentra el Instituto Hudson, un centro de pensamiento conservador con sede en Washington que ha participado de forma activa en las investigaciones sobre la injerencia en Rusia; y el Instituto Republicano Internacional (IRI), un grupo sin fines de lucro que promueve la democracia en todo el mundo.

Las otras tres páginas falsas fueron diseñadas para aparecer como si estuvieran afiliadas al Senado, y el quinto sitio web no tenía contenido político, pero falsificó los propios productos en línea de Microsoft.

Con información de EFE


27  08 2018

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 2016-2012r2-2012-2008r2 y sobre Windows 10-8.1. Les paso el link para que los vean; https://www.youtube.com/user/RadiansBlog

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


24  08 2018

Descubrio una vulnerabilidad en Windows 10 y la publico en Twitter en lugar de reportarla a Microsoft {Seguridad}

El hacker esquivó el proceso convencional que, a cambio de una recompensa, otorga entre 60 y 90 días a la empresa para solucionar el problema antes de hacerlo público.

image

Un usuario de Twitter bajo el seudónimo SandboxEscaper descubrió una vulnerabilidad en Windows 10 y optó por una forma de proceder poco convencional: en lugar de reportarla a Microsoft a cambio de una recompensa, la publicó en Twitter diciendo que "ya no le importaba la vida".

Normalmente, cuando los hackers identifican este tipo de fallas de seguridad, ofrecen a la empresa afectada un período de 60 o 90 días para buscar una solución antes de hacerla pública. En este caso, la decisión de SandboxEscaper expone a todos los usuarios de Microsoft, que debe parchear la vulnerabilidad lo antes posible en todos los sistemas operativos afectados, incluyendo Windows 7, 8.1 y 10.

Here is the alpc bug as 0day: https://t.co/m1T3wDSvPX I don’t fucking care about life anymore. Neither do I ever again want to submit to MSFT anyway. Fuck all of this shit.

— SandboxEscaper (@SandboxEscaper) August 27, 2018

Así comenzó el último ataque de día cero a la empresa: un ataque contra una aplicación o sistema que tiene como objetivo la ejecución de código malicioso gracias al conocimiento de vulnerabilidades que aún no hayan sido arregladas.

Will Dormann, analista de vulnerabilidades en el CERT/CC, verificó la vulnerabilidad y confirmó que funciona pocas horas después de la publicación de SandboxEscaper.

image

"He confirmado que esto funciona bien en una una versión completamente actualizada de Windows 10 de 64 bits", tuiteó.

Microsoft afirmó que están al tanto de la vulnerabilidad y que están trabajando contra reloj para parchearla lo antes posible.


22  08 2018

Alerta por Dark Tequila, un malware que roba credenciales bancarias {Seguridad}

Se propaga a través de dispositivos USB y técnicas de engaño conocidas como spear phishing. Se cree que los responsables detrás de este ciberataque están en América Latina.

imageDark Tequila es el nombre de una compleja red de ciberataque que tiene como blanco las credenciales bancarias y datos personales de usuarios. Afectó a varios usuarios en México y se estima que podría expandirse en América Latina y el resto del mundo.

Se trata de un código malicioso que se propaga a través de dispositivos USB afectados y técnicas de engaño conocidas como spear phishing, que son básicamente correos o mensajes que emulan ser de una entidad reconocida para engañar al usuario y lograr que éste le provea sus datos. Usualmente el correo incluye un link que redirige a la persona a un sitio falso donde se le solicita que ingrese su contraseña, número de tarjeta, etc.

Este malware se centra en robar información financiera, pero una vez dentro de la computadora, también obtiene credenciales de sitios web, registros de dominio, archivos y cuentas de almacenamiento para luego ser vendidos o utilizados en otros ataques, según informó Kaspersky Lab.

Dark Tequila está activo al menos desde 2013 y se estima que los cerebros detrás de este complejo entramado estarían en América Latina.

"Esta campaña ha estado activa durante varios años y todavía se siguen encontrando nuevas muestras. Hasta la fecha, solo ha atacado objetivos en México, pero su capacidad técnica es adecuada para atacar objetivos en cualquier parte del mundo", dijo Dmitry Bestuzhev, jefe del Equipo Global de Investigación y Análisis, América Latina de la compañía.

Una vez dentro de una computadora, el malware se comunica con su servidor de mandos para recibir instrucciones. La carga útil se entrega a la víctima sólo cuando se cumplen ciertas condiciones. Si el malware detecta que hay una solución de seguridad instalada, monitoreo de la red o signos de que la muestra se ejecuta en un entorno de análisis (por ejemplo, una sandbox virtual), detiene su rutina de infección y se autoelimina del sistema, según detalló la empresa en un comunicado.

Cuando no hay una solución de este tipo en el entorno, el malware activa la infección, que se distribuye a través de la red de la víctima aunque ésta no esté conectada a la web e incluso cuando haya varios segmentos que no estén conectados entre sí.

Cuando se conecta otro dispositivo USB a la computadora con el malware, éste se infecta automáticamente y así puede llegar a otros equipos. El implante malicioso contiene todos los módulos necesarios para operar, incluyendo un detector de pulsaciones en el teclado y el módulo vigilante en Windows para capturar detalles de inicio de sesión y otra información personal, según se detalla en el comunicado.

Cuando el servidor de mandos envía el comando, nuevos módulos se instalan y activan. Todos los datos robados de la víctima luego se transmiten al servidor del atacante, de manera cifrada.

Qué medidas de precaución tomar:

  1. Evitar ingresar a links que llegan por correo. Es mejor tipear directamente la dirección del supuesto sitio en el navegador
  2. Deshabilitar la ejecución automática desde dispositivos USB
  3. Verificar las unidades USB con su solución antimalware antes de abrirlas
  4. Evitar conectar dispositivos y memorias USB desconocidas al equipo
  5. Mantener el sistema operativo actualizado
  6. Utilizar una solución de seguridad integral para prevenir este tipo de amenazas

20  08 2018

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 2016-2012r2-2012-2008r2 y sobre Windows 10-8.1. Les paso el link para que los vean; https://www.youtube.com/user/RadiansBlog

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


17  08 2018

Windows Intune, que es?

imageHoy vamos a empezar a hablar sobre Windows Intune en el blog, ya que es una parte fundamental para Ënterprise Mobility”. Lo primero seria saber que es Windows Intune?, es una solución que ayuda a administrar y proteger los equipos de un entorno a través de una combinación de servicios en la nube de Windows y la actualización de licencias. Todo basado en la nube junto con funcionalidades de seguridad a través de una única consola administrativa basada en web. De esta manera se pueden administrar equipos desde prácticamente cualquier lugar.

La consola del administrador de Windows Intune.

La Consola organiza las tareas de administración en once áreas de trabajo, las cuales se pueden acceder desde prácticamente cualquier explorador que admita Microsoft Silverlight:

  1. Información general del sistema. Ofrece un punto de partida para evaluar el estado general de todos los equipos de la organización, identificar problemas y realizar tareas de administración básicas.
  2. Equipos. Permite organizar los grupos de la forma que mejor se ajuste a las necesidades de la organización y mover los equipos entre los grupos, para mejorar la flexibilidad organizativa.
  3. Actualizaciones. Admite y favorece las prácticas recomendadas para la administración de actualizaciones. El que una actualización sea aplicable se determina por el hardware y el software que está instalado en el equipo administrado.
  4. Protección contra malware. Contribuye a mejorar la seguridad de los equipos administrados al proporcionar protección en tiempo real contra amenazas potenciales, mantener actualizadas las definiciones de software malintencionado y ejecutar exámenes automáticamente.
  5. Alertas. Identifica problemas potenciales o reales y ayuda a adoptar medidas adecuadas para prevenir o minimizar sus efectos negativos sobre las operaciones empresariales.
  6. Software. Presenta una lista de los programas que están instalados en todos los equipos “cliente” que se administren con Windows Intune, permitiendo ordenar el inventario por publicador de software, nombre, recuento de instalaciones o categoría.
  7. Licencias. Administra la información sobre los términos de licencia del software y permite determinar los derechos de licencia que corresponden a un conjunto de contratos de licencias por volumen.
  8. Directiva. Permite establecer directivas de Windows Intune que administren la configuración de Actualizaciones, Protección contra malware, Firewall de Windows y Windows Intune Center en los equipos.
  9. Informes. Permite obtener informes detallados así como imprimir o exportar la información de actualizaciones, software y licencias.
  10. Administración. Sirve para descargar la versión más reciente del software “cliente”, ver los detalles de su cuenta de Windows Intune, y agregar administradores a la cuenta.
  11. Asistencia remota. Proporciona una herramienta clave para solucionar problemas que se producen en los equipos administrados.

Para ser notificado y ser de los primeros en probar la versión de prueba gratuita de 30 días, regístrate en el sitio web: Windows Intune Latinoamérica, asi podemos probar esta solución para la administración de PCs y dispositivos.

Espero les sea de interes y utilidad. Saludos. Roberto Di Lello.


Next Page »