Home
About
Archives
Contactenos
Ayuda | Help

17  07 2017

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 10 TP, Windows 10 TP, Windows Server 2012 R2 y sobre Windows 8.1. Les paso el link para que los vean; he tenido varios problemas con la cuenta vieja ya que como era una cuenta youtube no se podía linkear al nuevo formato desde que fue adquirida por google; funciono bastante bien durante un tiempo pero últimamente traía muchos problemas por lo que fue migrada a :

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


13  07 2017

Como cambiar SID en Windows Server 2012 R2. NewSid nunca mas.

www.radians.com.arHola, como ya sabemos hace mucho tiempo el NewSID no funciona mas con las ultimas versiones de windows. Esto no es nuevo, de hecho ni me acuerdo cuando dejo de funcionar, pero fue hace mucho mucho tiempo.

La solucion que tenemos es utilizar el SysPrep. Generalmente el problema de SID duplicados ocurre cuando clonar el VHDx porque por alguna razon (no vagancia) no queremos o podemos realizar una instala nueva.

Recordamos que SYSPREP es una herramienta de preparación del sistema es una tecnología que puede utilizar con otras herramientas de implementación para instalar el SO de Windows con la intervención mínima de un administrador, y  nos permite tambien realizar instalaciones desatendidas. Sysprep se suele utilizar durante los deployments a gran escala cuando sería demasiado lento y costoso realizarlo de forma interactiva instalar el sistema operativo en equipos individuales.

El procedimiento es el siguiente:

www.radians.com.ar

Lo primero que hacemos es verificar el SID que tiene nuestro equipo. Para esto utilizamos el PSGetSID de sysinternals.

www.radians.com.ar

Luego vamos a la carpeta C:\windows\system32\sysprep\sysprep.exe

www.radians.com.ar

Ahora seleccionamos Enter System Out-of-Box Experience (OOBE), recuerden tildar la opcion Generalize y luego la opcion que deseen. Si ponen reboot el equipo reiniciara autimaticamente si ponen Quit terminara el proceso y luego deberemos reiniciar el equipo manualmente.

www.radians.com.ar

www.radians.com.ar

Al reiniciar nos pedira que ingresemos el password de la cuenta administrator y que aceptemos la licencia.

www.radians.com.ar

www.radians.com.ar

www.radians.com.ar

www.radians.com.ar

www.radians.com.ar

Despues de reiniciar, ejecutamos nuevamente el comando PSGetSID y podemos verificar que el procedimiento funciono correctamente y el SID de la maquina cambio.

Espero les sea de utilidad. Saludos Roberto Di Lello

www.radians.com.ar


10  07 2017

MVP Directory Services 2017-2018! Gracias a todos!

imagesQuería compartir con ustedes esta noticia que es muy importante para mi. Microsoft me nombro MVP en Directory Services por noveno año consecutivo. Aprovecho la oportunidad para agradecerles a todos quienes con su apoyo, preguntas o repuestas colaboraron con este logro y con el crecimiento del blog a lo largo de estos 9 años que llevo en este emprendimiento.

Lamentablemente estas dos ultimas semanas tuve que alejarme un poco por temas laborales y de salud, pero estare retomando las actividades del blog paulatinamente. Les pido paciencia y gracias a todos por ayudarme a seguir adelante con este blog que empezo hace 10 años.

Muchas gracias a todos! Saludos, Roberto DL

—————————————————————————————————————-
Microsoft se complace en reconocerle como profesional más valioso (MVP) de Microsoft por sus excepcionales contribuciones y compromiso con las comunidades técnicas de todo el mundo durante el año pasado
—————————————————————————————————————-

I wanted to share with you this news which is very important to me. I was recognized by Microsoft as MVP in Directory Services for nine year. I take this opportunity to thank all of you who give me their support, questions or answers that contributed to get this achievement and make the blog grow along these 8 years I’ve been in this blog and my career.
—————————————————————————————————————-
Microsoft is pleased to recognize you as a Microsoft Most Valuable Professional for your exceptional contributions and commitment to technical communities worldwide over the past year.
—————————————————————————————————————-


27  06 2017

ESET detiene a Petya, WannaCryptor, WannaCry y EternalBlue. Use la herramienta gratuita para asegurarse de que las vulnerabilidades de Windows se encuentren parcheadas

p1ESET se encuentra rastreando un brote de Win32/Diskcoder.C Trojan, probablemente relacionado a la familia de Petya. ESET LiveGrid bloquea la amenaza desde el 27/06/2017 a las 13:30 CEST. ESET detecta y bloquea esta amenaza y sus variantes (por ejemplo WannaCryptor.D) Identificamos el malware como  Filecoder.WannaCryptor.

En sistemas no protegidos por ESET, una vulnerabilidad denominada EternalBlue puede emplearse para infiltrar la amenaza WannaCryptor. Recomendamos que considere las siguientes sugerencias para garantizar el mayor nivel de seguridad en su equipo:

p2

ESET ha lanzado una herramienta gratuita para ayudarle a determinar si su equipo con sistema operativo Windows posea las últimas actualizaciones de seguridad que resuelven la vulnerabilidad EternalBlue.

  1. Descargue el archivo de instalación para la herramienta desde el siguiente enlace: https://help.eset.com/eset_tools/ESETEternalBlueChecker.exe Haga doble clic sobre el instalador para ejecutar la herramienta.
  2. Si la herramienta encuentra una vulnerabilidad en su sistema debido a la ausencia de parches de seguridad de Microsoft, aparecerá la leyenda Your computer is vulnerable.
    eset-01
  3. Presione cualquier tecla para abrir la página de Microsoft Windows update. Haga clic en Microsoft Update Catalog dentro del apartado "Method 2: Microsoft update Catalog section".
    eset-02
  4. En la página Catálogo de Microsoft Update, localice su sistema operativo dentro de la columna Productos haga clic en el botón Descargar correspondiente a su sistema.
    eset-03
  5. Haga clic sobre el enlace de la ventana de Descarga para que la actualización de seguridad sea descargada en su equipo. eset-04
  1. Luego de que la actualización de seguridad haya sido instalada, reinicie su equipo.
  2. Luego del reinicio del sistema, ejecute ESETEternalBlueChecker.exe nuevamente para verificar que la actualización se haya instalado correctamente y que el equipo no se encuentre expuesto al riesgo. De haberse efectuado cada paso correctamente, debería aparecer el mensaje Your computer is safe, Microsoft security update is already installed.

  • Advierta a colegas que frecuentemente reciben correos electrónicos de parte de fuentes externas – por ejemplo, el departamento de finanzas o de recursos humanos.
  • Realice periódicamente una copia de seguridad de su información. En caso de una infección, le permitirá recuperar toda o una parte importante de ella. No conserve medios extraíbles utilizados para almacenar información conectados a sus equipos para eliminar riesgos de infectar las copias de seguridad.
  • Deshabilite o restrinja el acceso a Remote Desktop Protocol (RDP) (vea las mejores prácticas contra ataques en Remote Desktop Protocol).
  • Deshabilite macros en Microsoft Office.
  • Si utiliza Windows XP, deshabilite SMBv1.

Para obtener mayor información detallada sobre cómo usar ESET para proteger sus sistemas frente a infecciones de ransomware, acceda al siguiente artículo:

Recomiendo: Los Servicios de soporte de ESET

Mas Info: ESET.com

Saludos. Roberto Di Lello


26  06 2017

Resumen Semanal!

calendario2017Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 10 TP, Windows 10 TP, Windows Server 2012 R2 y sobre Windows 8.1. Les paso el link para que los vean; he tenido varios problemas con la cuenta vieja ya que como era una cuenta youtube no se podía linkear al nuevo formato desde que fue adquirida por google; funciono bastante bien durante un tiempo pero últimamente traía muchos problemas por lo que fue migrada a :

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


23  06 2017

Google ya no revisara los correos electronicos de Gmail para vender publicidad

El buscador informó que dejará de escudriñar las conversaciones de sus usuarios del servicio de email con fines publicitarios a partir de fin de año.

googleGoogle dejará de escudriñar los correos electrónicos de sus usuarios de Gmail a partir de fin de año, informó el viernes la compañía. Google realiza dicha práctica con fines publicitarios desde que puso Gmail en servicio en 2004, algo que había suscitado preocupaciones entre grupos defensores de la privacidad.

A fin de contribuir a la financiación del correo gratuito, Google revisa las interacciones entre los usuarios de Gmail y después les exhibe anuncios relacionados con temas de los que hayan conversado. Por ejemplo, si alguien escribía sobre correr podría ver anuncios de calzado de las marcas Nike o Asics.

Google tiene previsto continuar exhibiendo anuncios a los usuarios de Gmail. Pero en lugar de escudriñar el contenido de los correos, el programa informático de la compañía recurrirá a otras señales para determinar qué anuncios podrían ser los más atractivos para cada uno de sus 1.200 millones de usuarios de Gmail.google1

La compañía con sede en Mountain View, California, afirma que ha cambiado de curso para que su servicio gratuito de Gmail funcione más como la versión de suscripción que ha vendido a más de tres millones de compañías.

El Gmail pagado no incluye publicidad, así que la compañía nunca ha intentado escudriñar el contenido de esos correos para insertarles anuncios.

Sin embargo, algunos clientes empresariales quizá creyeron incorrectamente que Google también les examinaba las cuentas.

Con el cese del escudriñamiento de correos, Google pretende sosegar las preocupaciones sobre la práctica y vender el servicio a un número mayor de compañías.

Gmail está catalogado como el servicio de correo electrónico más grande del mundo, indicio de que a la mayoría de la gente no le han importado los métodos de escudriñamiento de Google.


21  06 2017

5 indicios de que su telefono fue hackeado

Cómo reconocer si el celular fue vulnerado y cómo solucionarlo. Además, qué medidas de precaución tomar para evitar caer en las manos de ciberdelincuentes. Por Desiree Jaimovich 22 de junio de 2017 – djaimovich@infobae.com

¿Su celular está demasiado lento? ¿Consume más datos y batería de lo habitual? Eso podría indicar que el smartphone fue hackeado y que usted está siendo espiado. Algunos de los indicios más habituales para saber si la seguridad del teléfono fue vulnerada: 

1. Las ventanas emergentes o pop ups. Estas "invasiones digitales" suelen ser un claro indicador de que algo no anda bien. Usualmente redirigen al usuario a otra aplicación o bien lo invitan a hacer click en algún link para llevarlos a otra pantalla.

2. Mensajes desconocidos. Si los contactos del usuario comienzan a recibir mensajes que éste no envió entonces es muy probable que haya algún malware en el teléfono intentando viralizar contenido engañoso (usualmente por medio de links) para afectar a otros móviles.

3. Compras sospechosas. Si el teléfono hackeado tiene datos de pago cargados es probable que los hackers utilicen esa información para realizar compras. Es fundamental que el usuario tenga control sobre sus transacciones para evitar que esto suceda.

4. Mayor consumo. Si el celular fue intervenido es probable que exista alguna aplicación maliciosa consumiendo más datos de lo usual porque está corriendo continuamente en segundo plano.

Para saber qué aplicaciones están instaladas en el equipo y cuántos datos consumen se debe ir, en el caso de Android, hasta Ajustes/Aplicaciones y allí ingresar en cada una de las apps listadas. En el caso de iOS hay que ingresar a Configuración/ General/ Almacenamiento y uso de iCloud/Administrar almacenamiento.

5. Sobrecalentamiento. Esto también podría ser un síntoma de que hay una aplicación maliciosa corriendo continuamente en segundo plano.

Es habitual que el teléfono se descargue con mayor rapidez pasado un año o año y medio de uso. Pero si la caída de energía es muy drástica y repentina, entonces podría tratarse de un virus.

Qué hacer si el equipo fue hackeado

1. Se puede instalar un antivirus y tratar de identificar el malware. A veces es posible removerlo de este modo, aunque no siempre funciona.

2. Denunciar el robo de identidad a las diferentes redes sociales o incluso dar de baja la tarjeta de crédito en caso de se registren compras no autorizadas.

3. En caso de que se haya identificado un comportamiento sospechoso de alguna aplicación, hay que ingresar a Configuración y desinstalarla.

4. Si ninguna de las opciones anteriores funciona, se puede restablecer la configuración de fábrica del equipo.

En el caso de Android, hay que ir hasta Ajustes/Acerca del dispositivo y seleccionar la opción Restablecer. La ubicación de esta opción puede variar según la versión de sistema operativo con que se cuente. En iOS, se debe ir hasta Configuración/general y presionar donde dice Restablecer.

Cómo evitar ser víctima de este ciberdelito:

Evitar usar Wi Fi pública. Las conexiones gratuitas y abiertas suelen ser empleadas por los hackers para acceder a los teléfonos. Se aconseja evitar conectarse a estas redes ya que el usuario queda totalmente desprotegido ante un posible ataque.

Usar antivirus. Si bien muchos usuarios acostumbran tener instalado algún tipo de antivirus en sus computadoras de escritorio o personales, usualmente olvidan tomar esta precaución cuando se trata de sus teléfonos. Sin embargo, es una medida que se debería implementar especialmente en los móviles, ya que estos dispositivos contienen todo tipo de información personal: desde fotos, documentos y cuentas de mails hasta, en algunos casos, datos de tarjetas de crédito.

Mantener el sistema operativo actualizado. Es fundamental tener todas las actualizaciones instaladas. Cuando llega una nueva versión del sistema operativo el usuario recibe un mensaje en su teléfono con este aviso. Basta con aceptar la solicitud para instalar la nueva versión. Esto es importante porque con cada actualización se lanzan soluciones de errores, bugs y diferentes vulnerabilidades que podrían afectar el correcto funcionamiento del celular.

Usar tiendas oficiales. Descargar aplicaciones sólo de las tiendas oficiales como Apple Store o Google Play y evitar bajar contenido de terceros o de sitios desconocidos.

Ser selectivo con los links y archivos. Evitar descargar archivos adjuntos de usuarios desconocidos o hacer click en links que dirigen hacia supuestas ofertas que puedan resultar demasiado tentadoras.

Fuente: InfoBAE.com


19  06 2017

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 10 TP, Windows 10 TP, Windows Server 2012 R2 y sobre Windows 8.1. Les paso el link para que los vean; he tenido varios problemas con la cuenta vieja ya que como era una cuenta youtube no se podía linkear al nuevo formato desde que fue adquirida por google; funciono bastante bien durante un tiempo pero últimamente traía muchos problemas por lo que fue migrada a :

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


06 2017

Azure Active Directory, su arquitectura

Azure Active Directory (Azure AD) le permite administrar de forma segura el acceso a los servicios y recursos de Azure para sus usuarios. Con Azure AD tenemos incluido un conjunto completo de capacidades de administración de identidades.

Con Azure AD, puede crear y administrar usuarios y grupos y habilitar permisos para permitir y denegar el acceso a los recursos empresariales.

Arquitectura Azure AD

La arquitectura distribuida geográficamente de Azure AD combina un amplio monitoreo, un redireccionamiento automatizado, un failover y capacidades de recuperación que nos permiten ofrecer disponibilidad y rendimiento a nivel de empresa a nuestros clientes.

Los siguientes elementos de arquitectura se tratan en este artículo:

  • Diseño de arquitectura de servicios
  • Escalabilidad
  • Disponibilidad continua
  • Data centers

Diseño de arquitectura de servicios

La forma más común de construir un sistema escalable, altamente disponible y rico en datos es a través de bloques de construcción independientes o unidades de escala para el nivel de datos Azure AD, las unidades de escala se llaman particiones .

El nivel de datos tiene varios servicios front-end que proporcionan capacidad de lectura-escritura. El diagrama siguiente muestra cómo los componentes de una partición de un solo directorio se distribuyen a través de centros de datos distrubuidos geográficamente.

active-directory-architecture

Los componentes de la arquitectura Azure AD incluyen una réplica primaria y réplicas secundarias.

Réplica primaria

La réplica primaria recibe todas las escrituras para la partición a la que pertenece. Cualquier operación de escritura se replica inmediatamente a una réplica secundaria en un centro de datos diferente antes de devolver el éxito a la persona que llama, garantizando así la durabilidad geo-redundante de las escrituras.

Replicas secundarias

Todas las lecturas de directorio se reparan desde réplicas secundarias , que se encuentran en centros de datos que están físicamente ubicados en diferentes geografías. Hay muchas réplicas secundarias, ya que los datos se replican asincrónicamente. Las lecturas de directorios, como las solicitudes de autenticación, son atendidas desde centros de datos cercanos a nuestros clientes. Las réplicas secundarias son responsables de la escalabilidad de lectura.

Escalabilidad

Escalabilidad es la capacidad de un servicio para expandirse para satisfacer las crecientes demandas de rendimiento. Escalabilidad de escritura se logra mediante la partición de los datos. La escalabilidad de lectura se logra replicando datos de una partición a múltiples réplicas secundarias distribuidas en todo el mundo.

Las solicitudes de aplicaciones de directorio generalmente se encaminan al centro de datos al que están físicamente más cercanas. Las escrituras son redireccionadas de forma transparente a la réplica primaria para proporcionar coherencia de lectura y escritura. Las réplicas secundarias amplían significativamente la escala de las particiones, ya que los directorios suelen estar publicando lecturas la mayor parte del tiempo.

Las aplicaciones de directorio se conectan a los datacenters más cercanos. Esto mejora el rendimiento y, por lo tanto, la ampliación es posible. Dado que una partición de directorio puede tener muchas réplicas secundarias, las réplicas secundarias se pueden situar más cerca de los clientes del directorio. Sólo los componentes de servicio de directorio interno que son de escritura intensiva orientan la réplica primaria activa directamente.

Disponibilidad continua

Disponibilidad (o tiempo de actividad) define la capacidad de un sistema para realizar ininterrumpido. La clave para la alta disponibilidad de Azure AD es que nuestros servicios pueden cambiar rápidamente el tráfico a través de múltiples centros de datos distribuidos geográficamente. Cada centro de datos es independiente, lo que permite los modos de fallo de correlación.

El diseño de la partición Azure AD se simplifica en comparación con el diseño AD de la empresa, que es crítico para ampliar el sistema. Hemos adoptado un diseño de un solo maestro que incluye un proceso de conmutación por error de réplica primario cuidadosamente orquestado y determinista.

Tolerancia a fallos

Un sistema está más disponible si es tolerante a fallas de hardware, red y software. Para cada partición en el directorio, existe una réplica maestra altamente disponible: La réplica primaria.  Sólo se realizan escrituras en la partición en esta réplica. Esta réplica se está supervisando continuamente y de cerca y las escrituras pueden ser cambiadas inmediatamente a otra réplica (que se convierte en la nueva primaria) si se detecta un fallo. Durante la conmutación por error, podría haber una pérdida de la disponibilidad de escritura normalmente de 1-2 minutos. La disponibilidad de lectura no se ve afectada durante este tiempo.

Las operaciones de lectura (que superan en número a las escrituras por muchos órdenes de magnitud) sólo van a réplicas secundarias. Dado que las réplicas secundarias son idempotentes, la pérdida de una réplica en una partición dada se puede compensar fácilmente dirigiendo las lecturas a otra réplica, normalmente en el mismo centro de datos.

Durabilidad de los datos

Una escritura está comprometida de forma duradera con al menos dos centros de datos antes de que se reconozca. Esto ocurre al confirmar primero la escritura en el primario y luego replicar inmediatamente la escritura en al menos otro centro de datos. Esto garantiza que una posible pérdida catastrófica del centro de datos que aloje el primario no resulte en pérdida de datos.

Azure AD mantiene un objetivo de cero Recovery Time Objective (RTO) para la emisión de token y lecturas de directorios y en el orden de minutos (~ 5 minutos) RTO para escrituras de directorios. También mantiene el objetivo de cero  Recovery Point Objective (RPO) y no perderemos datos sobre failovers.

Centros de datos

Las réplicas de Azure AD se almacenan en centros de datos ubicados en todo el mundo. Azure AD opera a través de centros de datos con las siguientes características:

  • Autenticación, Gráfico y otros servicios de AD residen detrás del servicio de puerta de enlace. La puerta de enlace gestiona el equilibrio de carga de estos servicios. Hará failover automáticamente si se detectan servidores no saludables usando sondas de salud transaccionales. Sobre la base de estos sondeos de salud, la pasarela dinámicamente el tráfico de rutas a centros de datos saludables.
  • Para lecturas , el directorio tiene réplicas secundarias y servicios front-end correspondientes en una configuración activo-activo que funciona en múltiples centros de datos. En caso de un fallo de un centro de datos entero, el tráfico se encaminará automáticamente a un centro de datos diferente.
  • Para las escrituras, el directorio pasará por la réplica primaria (maestra) de conmutación por error a través de los centros de datos a través de los procedimientos planificados (los nuevos primarios se sincronizarán con primarios antiguos) o de emergencia. La durabilidad de los datos se logra replicando cualquier commit a al menos dos centros de datos.

Consistencia de los datos

El modelo de directorio es de consistencia eventual. Un problema típico con sistemas de replicación asincrónicos distribuidos es que los datos devueltos de una réplica "particular" pueden no estar actualizados.

Azure AD proporciona coherencia de lectura y escritura para las aplicaciones que apuntan a una réplica secundaria, enrutando sus escrituras a la réplica primaria y transfiriendo de forma síncrona las escrituras a la réplica secundaria. Las escrituras de aplicaciones que utilizan la Graph API de Azure AD se abstraen de mantener la afinidad con una réplica de directorio para la coherencia de lectura y escritura. El servicio Azure AD Graph mantiene una sesión lógica, que tiene afinidad con una réplica secundaria utilizada para lecturas; La afinidad se captura en un "token de réplica" que el servicio de gráfico almacena en caché utilizando una caché distribuida. Este token se utiliza entonces para operaciones posteriores en la misma sesión lógica.

Protección de copia de seguridad

El directorio implementa borrados suaves, en lugar de eliminaciones duras, para usuarios y inquilinos para una fácil recuperación en caso de borrados accidentales por parte de un cliente. Si el administrador de su inquilino borra accidentalmente a los usuarios, puede deshacer y restaurar fácilmente los usuarios eliminados.

Azure AD implementa copias de seguridad diarias de todos los datos y, por lo tanto, puede restaurar los datos de forma autoritaria en caso de cualquier supresión o corrupción lógica. Nuestro nivel de datos emplea códigos de corrección de errores, de modo que puede comprobar errores y corregir automáticamente determinados tipos de errores de disco.

Métricas y monitores

La ejecución de un servicio de alta disponibilidad requiere métricas de nivel mundial y capacidades de monitoreo. Azure AD analiza e informa continuamente las métricas clave de salud de servicio y los criterios de éxito para cada uno de sus servicios. Desarrollamos y sintonizamos continuamente métricas, monitoreo y alertas para cada escenario, dentro de cada servicio Azure AD y en todos los servicios.

Si cualquier servicio Azure AD no funciona como se espera, inmediatamente tomamos medidas para restaurar la funcionalidad lo más rápido posible. La pista métrica más importante de Azure AD es la rapidez con que podemos detectar y mitigar un problema de cliente o sitio en vivo. Invertimos mucho en el monitoreo y las alertas para minimizar el tiempo de detección (objetivo TTD: <5 minutos) y la preparación operativa para minimizar el tiempo para mitigar (objetivo TTM: <30 minutos).

Operaciones seguras

Empleamos controles operativos tales como autenticación de múltiples factores (MFA) para cualquier operación, así como auditoría de todas las operaciones. Además, utilizamos un sistema de elevación just-in-time para conceder el acceso temporal necesario para cualquier tarea operativa bajo demanda en forma continua.

Para mas información les dejo un video sobre el tema que es super interesante. Saludos. Roberto Di Lello

Fuentes: What is Windows Azure Active Directory? & Microsoft Azure Site


06 2017

Qua es un ataque de "ransomware" y como prevenirlo

La propagación del virus se produce aprovechando vulnerabilidades de sistemas operativos que no están debidamente actualizados.

b1

Cuando el virus de este viernes infecta una computadora, aparece esta imagen en la pantalla

Este viernes se perpetró un ataque masivo de ransomware que afectó a computadoras con Windows en 74 países, bloqueando el acceso a los archivos en sus discos duros y en las unidades de red a las que estaban conectadas.

La infección y la propagación del virus se producen aprovechando una vulnerabilidad del sistema operativo Windows no está debidamente actualizado. En el caso de las entidades afectadas este viernes, el ramsonware que ha infectado el primer equipo ha llegado a través de un archivo adjunto descargado que ha explotado la debilidad de un ordenador.

El virus en cuestión es una variante de versiones anteriores de WannaCry, que ataca especialmente a sistemas con Windows y que, tras infectar y cifrar los archivos, solicita un importe para desbloquear el equipo. El programa Wanna Decryptor es conocido entre los expertos informáticos como un ransomware, una clase de virus informático que puede ocultarse tras enlaces de correo electrónico de apariencia inofensiva. Ese software codifica los ficheros del ordenador y amenaza con borrarlos si no se paga en pocos días una cantidad en bitcoins, una moneda electrónica.

Los sistemas afectados que disponen de una actualización de seguridad son:

-Microsoft Windows Vista SP2
-Windows Server 2008 SP2 y R2 SP1
-Windows 7
-Windows 8.1
-Windows RT 8.1
-Windows Server 2012 y R2
-Windows 10
-Windows Server 2016

Según el Centro Criptológico Nacional de España (CCN), las medidas de prevención y mitigación de este virus son:

-Actualizar los sistemas a su última versión o parchear según informa el fabricante.
-Para los sistemas sin soporte o parche, se recomienda aislar de la red o apagar según sea el caso.
-Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes de las organizaciones.
-Descubrir qué sistemas, dentro de su red, pueden ser susceptibles de ser atacados a través de la vulnerabilidad de Windows, en cuyo caso deben ser aislados, actualizados y/o apagados.

El CCN dispone de un Informe de Medidas de Seguridad contra el Ransomware en el que se incluyen pautas y recomendaciones generales y en el que se detallan los pasos del proceso de desinfección y las principales herramientas de recuperación de los archivos para este tipo de ataques.

Tal y como se indica en el informe de amenazas de ransomware, efectuar el pago por el rescate del equipo no garantiza que los atacantes envíen la utilidad y/o contraseña de descifrado, sólo premia su campaña y los motiva a seguir distribuyendo masivamente este tipo de código dañino.

En el caso de haberse visto afectado por este ataque y no disponer de copias de seguridad, se recomienda conservar los ficheros que hayan sido cifrados por la muestra de ransomware antes de desinfectar la máquina, ya que no es descartable que en un futuro aparezca una herramienta que permita descifrar los documentos que se hayan visto afectados.


06 2017

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 10 TP, Windows 10 TP, Windows Server 2012 R2 y sobre Windows 8.1. Les paso el link para que los vean; he tenido varios problemas con la cuenta vieja ya que como era una cuenta youtube no se podía linkear al nuevo formato desde que fue adquirida por google; funciono bastante bien durante un tiempo pero últimamente traía muchos problemas por lo que fue migrada a :

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


06 2017

Microsoft Azure, para empezar a entender

Microsoft Azure (anteriormente Windows Azure y Azure Services Platform) es una plataforma ofrecida como servicio y alojada en los Data Centers de Microsoft. Originariamente fue anunciada en el Professional Developers Conference de Microsoft (PDC) del 2008 en su versión beta, pasó a ser un producto comercial el 1 de enero del 2010. Básicamente, es una plataforma general que tiene diferentes servicios para aplicaciones, desde servicios que alojan aplicaciones en alguno de los centros de procesamiento de datos de Microsoft para que se ejecute sobre su infraestructura (Cloud Computing) hasta servicios de comunicación segura y federación entre aplicaciones.

Dentro de los servicios que hay disponible encontraremos los siguientes:

  • Web sites – High density hosting of web sites. Los clientes pueden crear sitios en PHP, ASP.NET, Node.js, or Python, o seleccionar aplicaciones open source desde una cantidad de fuentes para implementar. Esto ofrece una solucion Platform as a Service (PaaS).
  • Virtual machines – esto cumple con el concepto de Infrastructure as a Service (IaaS) y es ofrecido por Microsoft para la nube publica. Los clientes podemos crear una Virtual Machine, de la que tendremos absoluto control y que se ejecutan en los Data Centers de Microsoft. Las Virtual Machines soportan Windows Server 2008 y 2012 como sistea operativo y algunas distribuciones de Linux.
  • Cloud services – Antiguamente llamado "Hosted Services", la Nube de Servicios (Cloud Services) para Windows Azure cumple con el concepto de PaaS ofrecdo desde Windows Azure Platform. Estos Cloud Services son contenedores de aplicaciones hosteadas. Estas aplicaciones pueden estar publicadas en internet como aplicaciones web (como podría ser web sites o soluciones de e-commerce), o simplemente ser herramientas internas que utilizamos en nuestra empresa.
  • Los desarrolladores pueden escribir código para la nube o Cloud Services en distintos lenguajes, de todas formas hay varios software development kits (SDKs) provistos por Microsoft para Python, Java, Note.js y .NET. También hay otros lenguajes Open Source. Incluso Microsoft ha publicado código ejemplo para las librerías de clientes en GitHub.
  • Data management
    • SQL Database
    • Tables
    • BLOB Storage
  • Business Analytics
    • SQL Reporting
    • Data Marketplace
    • Hadoop
  • Identity
    • Active Directory
    • Rights Management
    • Access Control Service
  • Messaging
    • Microsoft Azure Service Bus
    • Queues
  • Media Services
  • Mobile Services

Se acabó esperar por servidores o infraestructura

Podemos aprovisionar al instante máquinas virtuales, aplicaciones e infraestructura de Windows y Linux desde centros de datos administrados por Microsoft en todo el mundo.

Azure00

Desarrolle aplicaciones increíbles

Desarrolle soluciones de Azure formidables en .NET, Java, PHP, Node.js, Python o Ruby. Las herramientas integradas de Visual Studio permiten agilizar los trabajos de desarrollo, depuración e iteración de las aplicaciones.

Azure01

Ahorre dinero y sea ágil

Azure03 Gracias a la facturación por minuto y el escalado automático integrado, pagará solo por la infraestructura que realmente necesita, y podrá arrancar o detener recursos de forma automática en función del uso real.

Use lo que ya conoce

Azure02Empiece por los conocimientos que ya tiene y el software con el que ya está familiarizado. Visual Studio, .NET, Window Server, Active Directory, SQL Server, SharePoint y BizTalk funcionan mejor con Azure y todos ellos cuentan con el respaldo del soporte técnico empresarial completo de Microsoft.

Integración de aplicaciones y datos locales

Utilice Active Directory para administrar los recursos en la nube de una forma segura y permitir a los usuarios acceder a las aplicaciones con sus credenciales corporativas actuales.

Un tema importante a tener en cuenta es que Microsoft ha definido, que por la ley denominada “USA Patriot Act”, el gobierno de los Estados Unidos pueden tener acceso a los datos incluso si la compañía no es americana y los datos residen afuera de USA. De todas formas, Microsoft Azure es compliant con la ley E.U. Data Protection Directive (95/46/EC). Para administrar todo lo relacionado con la Privacidad y Seguridad, Microsoft ha creado “Microsoft Azure Trust Center” http://azure.microsoft.com/en-us/support/trust-center/ y los productos ofrecidos son compliance con ISO 27001:2005 and HIPAA.

Esto es como para empezar con Microsoft Azure y entender que es lo que podemos hacer con la nube. Saludos, Roberto Di Lello.


26  05 2017

Windows Server, como agregar los drivers de la controladora SCSI a nuestra ISO y no morir en el intento

www.radians.com.arHola, hoy vamos a volver a hablar de como instalar un Windows Server 2016 desde un USB, ya hemos visto el proceso de como hacer un USB booteable en la nota Como instalar Windows Server 2008 R2 / Windows 7 desde un Pendrive {HowTo} lo unico que cambiaria seria los archivos del ISO que copiamos una vez armado el boot sector.

ahora que pasa si es un servidor nuevo? que tiene una controladora SCSI y la instalacion no ve los discos? la semana pasada he tenido varias consultas sobre este tema y finalmente hemos podido resolverlo, pero les aconsejo tener en cuenta un par de cosas para evitar dolores de cabeza y trasnochar debido a que pudieron instalar el sistema operativo.

Algo importante es utilizar un puerto USB que no sea 3.0, ya que generalmente estos puertos necesitan drivers, como no tenemos OS no funcionara. Usualmente los puertos del frente funcionan muy bien para instalar el OS.

Otra cosa a tener en cuenta que es si tenemos una controladora SCSI con la cual vamos a necesitar los drivers de la misma. Usualmente armamos RAIDS con la controladora.

Para solucionar esto, podemos agregar los drivers a la imagen de Windows Server 2016, tal como se hacia antiguamente. Ahora es un poco mas facil, gracias a powershell.

Lo que si vamos a necesitar son el ISO de Windows Server 2016 y Kit de instalación automatizada de Windows® (AIK) para Windows® 7 (https://www.microsoft.com/es-es/download/details.aspx?id=5753). Recordemos que

El Kit de instalación automatizada de Windows (AIK) para Windows 7 le ayuda a instalar, personalizar e implementar Microsoft Windows 7 y la familia de sistemas operativos de Windows Server 2008 R2, 2012, 2012R2 y 2016.

Iniciamos la linea de comandos de instalación de Windows AIK desde el menú Inicio y montamos el archivo install.wim desde C:\temp\WindowsServerISO to C:\temp\wim: imagex /mountrw C:\temp\WindowsServerISO \SOURCES\install.wim 1 C:\temp\wim

Ahora agregamos los drivers:

CD C:\temp\drivers\iSCI\RAIDController-RS2BL080\x64

dism /image:C:\temp\wim /add-driver /driver:. /recurse

ahora lo que debemos hacer es desmontar el archivo WIM y crear nuevamente el archivo ISO, para eso debemos escribir lo siguiente:

imagex /unmount /commit C:\temp\wim

oscdimg -n -m -b C:\temp\WindowsServerISO\boot\etfsboot.com 
C:\temp\WindowsServerISO C:\temp\NEW-WindowsServerISO.iso

Espero que les sea de interes y utilidad. Se de por lo menos una persona que va a amar este post ya que estuvimos trabajando juntos la semana pasada a la noche para resolverle un problema. Saludos. Roberto DL


22  05 2017

Sexo, terrorismo y violencia: que se puede poner en Facebook y que esta prohibido, segun un documento filtrado

Los moderadores pueden permitir una transmisión de un joven causándose daños a sí mismo, muertes violentas o abusos físicos de niños, pero deben prohibir amenazas contra Donald Trump o reportar cualquier semejanza con la serie "13 reasons why". Los videos de abortos están permitidos, siempre y cuando no haya desnudez.

Documentos internos de Facebook revelaron cómo la red social modera temas sensibles como el discurso de odio, el terrorismo, la pornografía y la autoflagelación en su plataforma, reportó el diario The Guardian en base a directrices de la empresa a las que tuvo acceso.

Nuevos desafíos como la "pornovenganza" han abrumado a los moderadores de Facebook que con frecuencia tienen sólo 10 segundos para tomar una decisión. Muchos de los moderadores de contenido de la compañía tienen preocupaciones sobre la inconsistencia y naturaleza peculiar de algunas de las políticas. Aquellas sobre el contenido sexual, por ejemplo, serían las más complejas y confusas.

Según la política de la empresa, hay tres señales de una posible pornovenganza: una imagen subida en privado, que muestra a una persona desnuda o en actividad sexual y sin su consentimiento. Este último punto se confirma mediante un contexto de venganza o por otras fuentes.

Las directivas también explican por qué permiten mostrar a una persona causándose daño físico. Según explican las autoridades, "no queremos censurar o castigar a personas que sufren o que están intentando suicidarse". El contenido sería removido "una vez que ya no hay oportunidad de ayudar a la persona", aunque el diario añade que el post podría mantenerse si tiene algún interés noticioso en particular.

Sin embargo, los moderadores han recibido la indicación de reportar a sus superiores cualquier contenido relacionado a la exitosa serie "13 reasons why", que trata sobre el suicidio de una adolescente, por temores a una posible conducta de imitación.

Las indicaciones también mencionan que, por ejemplo, un estado que diga "alguien debería matar a Donald Trump" debe ser eliminado, ya que como un jefe de Estado pertenece a una categoría protegida. Sin embargo, si alguien comenta "púdrete y muérete", no debe ser tomado como una amenaza creíble.


Ejemplos puestos por Facebook de personalidades sujetas a amenazas creíbles (imagen: The Guardian)

En cuanto a las muertes violentas, deberán ser marcadas como "contenido perturbador", pero no necesariamente eliminadas, ya que pueden "crear conciencia sobre temas tales como enfermedades mentales". Abusos físicos de niños podrían no ser borrados, siempre y cuando no sea un ataque sexual, sádico o celebratorio.

a3
Los principios de una amenaza creíble: armas, locación, tiempo, recompenza o detalles del método de violencia (The Guardian)

En cuanto a los abortos, Facebook indica que un video del mismo está permitido, pero será borrado si muestra a la mujer desnuda. La compañía de Mark Zuckerberg no hizo comentarios específicos sobre el reporte, pero dijo que la seguridad es su preocupación primordial.

"Mantener a la gente segura en Facebook es lo más importante que hacemos. Trabajamos duro para hacer que Facebook sea lo más seguro posible al tiempo que permite la libertad de expresión. Esto requiere mucha reflexión sobre interrogantes detalladas y, a menudo, difíciles, y hacerlo bien es algo que tomamos muy en serio", dijo en un comunicado la jefa de política de productos de Facebook, Monica Bickert.

Facebook confirmó que está utilizando software para interceptar contenido gráfico antes de que se publique en el sitio de internet, pero todavía está en sus primeras etapas.

Fuente: InfoBAE.com


17  05 2017

Las razones de la rapida propagacion del ransomware "WannaCry"

aaaRehizner Kother contó en ADN los métodos que hubieran evitado el impacto del ataque.

A raíz de la aparición del virus del tipo ransomware llamado "WannaCry", la Prueba de ADN conversó con el ejecutivo jefe de Kerberos Chile, Rehizner Kother, quien manifestó los alcances y el daño que provocó el ciberataque.

A su parecer, si bien la vulnerabilidad se conoce desde 2011, el método de propagación se aprovecha una filtración de los sistemas operativos de Microsoft, que con tal solo conocer la dirección IP de los equipos se podía tomar control de estos.

Por otro lado, Kother recuerda que el soporte para sistemas operativos antiguos ya no corren, y que si bien Windows 10 es el más seguro, los encargados de seguridad de las diversas instituciones que sufrieron el ataque debieron actualizar los equipos, que seguramente en su mayoría contaban con versiones más antiguas del software.

"Eso no hubiera evitado que alguien abriera un adjunto infectado, pero no hubiese sido tan grande el impacto", comentó.

Fuente: http://www.adnradio.cl/noticias/sociedad/las-razones-de-la-rapida-propagacion-del-ransomware-wannacry/20170516/nota/3465406.aspx


Next Page »