Home
About
Archives
Contactenos
Ayuda | Help

04 2018

10 leyes inmutables de la administracion de seguridad

www.radians.com.arHace unos años Microsoft y Scott Culp (administrador de programa de seguridad en el Centro de respuesta de seguridad de Microsoft), publicaron una serie de leyes de seguridad en donde detallaba varios de los errores comunes o los temas donde puntualmente hay que tener cuidado y verificar que no realicemos los errores comunes. Hoy vamos a revisarla y darla a conocer ya que muchos no tenian idea de estas recomendaciones.

Generalmente los administradores tienen su propio conjunto de leyes inmutables, una que está completamente separada de la lista para los usuarios. Entonces, analizamos a los administradores de redes, gurús de seguridad y otras personas aquí en Microsoft, y desarrollamos la lista que sigue, que encapsula literalmente cientos de años de experiencia ganada con esfuerzo.

Como en el caso de las leyes inmutables para los usuarios, las leyes en esta lista reflejan la naturaleza básica de la seguridad, en lugar de cualquier problema específico del producto. No busquemos un parche de un proveedor, ya que estas leyes no son el resultado de un defecto tecnológico. En su lugar, debemos usar el sentido común y una planificación exhaustiva para convertirlos en su ventaja.

Ley # 1: Nadie cree que algo malo pueda sucederles, hasta que lo haga

www.radians.com.arMuchas personas son socios involuntarios en seguridad informática. Esto no se debe a que estén deliberadamente tratando de poner en peligro la red; simplemente tienen una agenda diferente a la suya. La razón por la que su empresa tiene una red es porque le permite a su compañía hacer negocios, y sus usuarios se enfocan en los negocios de su compañía más que en los caprichos de la seguridad informática. Muchos usuarios no pueden concebir por qué alguien se puede tomar la molestia de enviarles un correo electrónico malicioso o de intentar descifrar su contraseña, pero un atacante solo necesita encontrar un enlace débil para penetrar en su red.

Como resultado, depender de medidas voluntarias para mantener su red segura es probable que no sea un comienzo. Necesita la autoridad para exigir seguridad en la red. Trabaje con el equipo de administración de su empresa para desarrollar una política de seguridad que describa específicamente el valor de la información en su red y los pasos que la compañía está dispuesta a tomar para protegerla. Luego desarrolle e implemente medidas de seguridad en la red que reflejen esta política.

Ley # 2: La seguridad solo funciona si la forma segura también es la manera más fácil

Como discutimos en la Ley n. ° 1, necesita la autoridad para exigir seguridad en la red. Sin embargo, la otra cara de la moneda es que si conviertes la red en un estado policial, es probable que enfrentes un levantamiento. Si sus medidas de seguridad obstaculizan los procesos comerciales de su empresa, sus usuarios pueden incumplirlas. De nuevo, esto no se debe a que sean maliciosos, es porque tienen trabajos que hacer. El resultado podría ser que la seguridad general de su red sería en realidad menor después de implementar políticas más estrictas.

Hay tres cosas clave que puede hacer para evitar que sus usuarios se conviertan en cómplices involuntarios de los hackers.

  • Asegúrese de que la política de seguridad de su empresa sea razonable y logre un equilibrio entre seguridad y productividad. La seguridad es importante, pero si su red es tan segura que nadie puede realizar ningún trabajo, realmente no ha realizado un servicio para su empresa.
  • Busque maneras de hacer que sus procesos de seguridad tengan valor para sus usuarios. Por ejemplo, si tiene una política de seguridad que exige que las firmas de virus se actualicen una vez por semana, no espere que los usuarios hagan las actualizaciones manualmente. En cambio, considere usar un mecanismo de "empuje" para hacerlo automáticamente. A los usuarios les gustará la idea de tener escáneres de virus actualizados, y el hecho de que no tengan que hacer nada hace que sea doblemente popular.
  • En los casos en que debe imponer una medida de seguridad restrictiva, explique a sus usuarios por qué es necesario. Es increíble lo que la gente aguantará cuando saben que es por una buena causa.

Ley n. ° 3: si no se mantiene al día con las soluciones de seguridad, su red no será suya por mucho tiempo

www.radians.com.arEs una realidad: el software contiene errores. Algunos de estos errores involucran seguridad, y hay una gran cantidad de personas de mala reputación buscándolos activamente con la esperanza de usarlos en su contra. No importa cuán segura sea su red hoy en día, podría cambiar de la noche a la mañana si se descubre una vulnerabilidad particularmente grave. Incluso podría ocurrir si se descubren una serie de vulnerabilidades menos serias que se pueden usar en tándem, en un ataque que es mayor que la suma de sus partes. Es vital que te mantengas al tanto del mundo táctico de la seguridad y que bloquees los agujeros en tu armadura cada vez que encuentres una.

La buena noticia es que hay muchas herramientas para ayudarlo a hacer esto. Las listas de correo de seguridad como NTBugTraq , BugTraq y Win2kSecAdvice son una excelente forma de conocer los últimos ataques. Además, muchos proveedores de software (incluido Microsoft ) han desarrollado procesos de respuesta de seguridad para investigar y corregir vulnerabilidades. Asegúrese de verificar nuevos boletines con frecuencia. (Microsoft proporciona un servicio de notificación que permite a los suscriptores recibir todos los boletines de seguridad por correo electrónico minutos después de la publicación, y también ha desarrollado una herramienta que permite a los servidores de IIS 5.0 verificar constantemente que se instalen los últimos parches). Y no olvide los paquetes de servicios, son una de las mejores maneras de asegurarse de que esté lo más seguro posible.

Ley n. ° 4: no hace mucho bien instalar arreglos de seguridad en una computadora que nunca se aseguró para empezar

Imagina que eres un visigodo y estás explorando un castillo que tú y el resto de la horda planean saquear y saquear. Desde tu escondite en el bosque, ves que hay un verdadero ejército de siervos que realizan tareas de mantenimiento en las defensas del castillo: están reparando grietas en el mortero, afilando los puntos en el chevaux de frise y rellenando las cubas de aceite hirviendo . Ahora te escabulles hacia la parte trasera del castillo y descubres que ¡no hay parte trasera del castillo! ¡Nunca lo construyeron! ¿Cuánto va a hacer todo el mantenimiento en el frente del castillo cuando tú y la horda atacan por la retaguardia?

Del mismo modo, ¿de qué sirven los parches de seguridad si tiene una contraseña de administrador débil en su controlador de dominio? ¿O si has compartido el disco duro de tu servidor web con el mundo? ¿O si ha habilitado la cuenta de Invitado en el servidor de nómina de su compañía? El momento de bloquear una máquina es antes de que esté conectada a la red. Si esto parece demasiado trabajo, considere que, si un malo pasa por la máquina, tendrá que reconstruirlo de todos modos. Microsoft proporciona listas de verificación de seguridad que facilitan el bloqueo de sus máquinas, así como una herramienta de bloqueo de seguridad que puede usar para proteger automáticamente los servidores web de IIS 5.0. No es mucho más fácil que eso.

Ley # 5: La vigilancia eterna es el precio de la seguridad

De acuerdo, entonces lee las Leyes 3 y 4 y te da palmadas en la espalda. Has hecho todo bien: aseguraste tus máquinas antes de ponerlas en producción, tienes instalado el último Service Pack y has estado aplicando diligentemente parches de seguridad. Debes estar seguro, ¿verdad? Bueno, tal vez, pero tal vez no. Incluso en estas condiciones, un usuario malintencionado podría atacar su red. Por ejemplo, podría montar ataques de inundación y simplemente enviar un gran número de solicitudes legítimas a un servidor para utilizar todos sus recursos. O podría llevar a cabo ataques de adivinación de contraseñas con fuerza bruta. Ni los parches de seguridad ni las configuraciones de máquina pueden evitar totalmente ataques como estos, porque las actividades del tipo malo, aunque son maliciosas, no son inválidas.

Sin embargo, tienes un arma: los registros de eventos. Le darán información sobre quién está utilizando los recursos del sistema, qué están haciendo y si la operación tuvo éxito o falló. Una vez que sepa quién hace qué, puede tomar las medidas adecuadas. Si alguien está inundando su sistema, puede bloquear las solicitudes desde sus direcciones IP. Si alguien está tratando de usar fuerza bruta en sus cuentas, puede deshabilitar las que están en riesgo, configurar "trampas de miel" para atraparlo, o aumentar el intervalo de bloqueo en las cuentas. En resumen, el registro de eventos le permite medir el estado de sus sistemas y determinar el curso de acción correcto para mantenerlos seguros.

Tenga cuidado al configurar los registros de eventos: puede auditar fácilmente tantos eventos que excederá su capacidad de analizar los datos. Planifique cuidadosamente los eventos que necesita para iniciar sesión y si necesita auditar solo éxitos, fracasos o ambos. Las listas de verificación de seguridad incluyen configuraciones sugeridas a este respecto. Finalmente, tenga en cuenta que los datos no servirán de nada a menos que lo use. Establezca procedimientos para verificar regularmente los registros. Si tiene demasiadas máquinas para verificarlas todas usted mismo, considere comprar una herramienta de minería de datos de terceros que analizará automáticamente los registros de los indicadores conocidos de que su sistema está siendo atacado.

Ley n. ° 6: realmente hay alguien tratando de adivinar sus contraseñas

Las contraseñas son un ejemplo clásico de que su sistema es tan seguro como la parte más débil de sus defensas. Una de las primeras cosas que un atacante puede probar es la solidez de sus contraseñas, por dos razones:

  • Son extraordinariamente valiosos. Independientemente de las otras prácticas de seguridad que sigas, si un chico malo puede aprender solo la contraseña de un usuario, puede obtener acceso a tu red. Desde allí, tiene una posición perfecta desde la cual montar ataques adicionales.
  • Las contraseñas son "frutas bajas". La mayoría de las personas eligen contraseñas pésimas. Escogerán una palabra fácil de adivinar y nunca la cambiarán. Si se ve obligado a elegir una contraseña más difícil, muchos usuarios la escribirán. (Esto también se conoce como la vulnerabilidad "almohadilla adhesiva amarilla"). No es necesario ser un genio técnico para descifrar la cuenta de alguien si ya conoce su contraseña.

A menos que pueda aplicar una política de contraseña segura, nunca podrá proteger su red. Establezca la longitud mínima de la contraseña, la complejidad de la contraseña y las políticas de caducidad de la contraseña en su red. (Windows 2000, por ejemplo, le permitirá configurar estos como parte de la Política de grupo). Además, use el bloqueo de la cuenta y asegúrese de auditar los intentos fallidos de inicio de sesión. Finalmente, asegúrese de que sus usuarios comprendan por qué es una mala práctica escribir sus contraseñas. Si necesita una demostración, obtenga la aprobación de la administración para recorrer periódicamente las oficinas de sus usuarios y verifique la temida nota adhesiva con una contraseña escrita en ella. No haga una búsqueda intrusiva, solo revise el cajón superior del escritorio, la parte inferior del teclado y la mesa de escritura extraíble que se encuentra en muchos escritorios. Si su empresa es como la mayoría, se sorprenderá de la cantidad que encontrará.

Además de fortalecer las contraseñas en su sistema, también puede considerar el uso de una forma más sólida de autenticación que las contraseñas. Por ejemplo, las tarjetas inteligentes pueden mejorar significativamente la seguridad de su red, ya que la persona debe tener tanto un PIN como la posesión física de la tarjeta para poder iniciar sesión. La autenticación biométrica lleva esta seguridad a un nivel aún más alto, ya que el elemento que se usa para iniciar sesión (huella digital, retina, voz, etc.) es parte de usted y nunca se puede perder. Elija lo que elija, asegúrese de que su proceso de autenticación proporcione un nivel de seguridad acorde con el resto de las medidas de seguridad de su red.

Ley # 7: la red más segura es una bien administrada

www.radians.com.arLa mayoría de los ataques exitosos no implican un defecto en el software. En cambio, explotan configuraciones erróneas, por ejemplo, permisos que se redujeron durante la resolución de problemas pero nunca se restablecieron, una cuenta que se creó para un empleado temporal pero nunca se deshabilitó cuando salió, una conexión directa a Internet que alguien configuró sin aprobación, y así sucesivamente. Si sus procedimientos son descuidados, puede ser difícil o imposible hacer un seguimiento de estos detalles, y el resultado será más agujeros para que un chico malo se deslice.

La herramienta más importante aquí no es una herramienta de software, son los procedimientos. Tener procedimientos específicos y documentados es una necesidad absoluta. Como de costumbre, comienza con la política de seguridad corporativa, que debe detallar, en un nivel amplio, quién es responsable de cada parte de la red y la filosofía general que rige el despliegue, la gestión y el funcionamiento de la red. Pero no se detenga con la política corporativa de alto nivel. Cada grupo debe refinar la política y desarrollar procedimientos operativos para su área de responsabilidad. Cuanto más específicos sean estos procedimientos, mejor. ¡Y escríbelos! Si sus procedimientos existen solo como tradición oral, se perderán a medida que cambie su personal de TI.

A continuación, considere configurar un "Equipo rojo", cuyo único trabajo es buscar en la red posibles problemas de seguridad. Los Equipos Rojos pueden mejorar inmediatamente la seguridad aportando una nueva mirada al problema. Pero también puede haber un beneficio secundario. Es mucho más probable que los operadores de red piensen en seguridad en primer lugar si hay un Equipo Rojo al acecho, aunque solo sea porque nadie quiere que el Equipo Rojo se presente en su oficina para hablar sobre el último problema de seguridad que encontraron.

Ley # 8: la dificultad de defender una red es directamente proporcional a su complejidad

Esta ley está relacionada con la Ley # 7 -las redes más complejas son ciertamente más difíciles de administrar- pero va más allá de solo administrarla. El punto crucial aquí es la arquitectura misma. Aquí hay algunas preguntas que debe hacerse:

  • ¿Cómo son las relaciones de confianza entre los dominios de su red? ¿Son directos y fáciles de entender, o se parecen a los espaguetis? Si es el último, hay muchas posibilidades de que alguien pueda abusar de ellos para obtener privilegios que usted no pretende que tengan.
  • ¿Conoces todos los puntos de acceso a tu red? Si uno de los grupos en su empresa tiene, por ejemplo, configurar un FTP público o un servidor web, podría proporcionar una puerta trasera a su red.
  • ¿Tiene un acuerdo de asociación con otra empresa que permita que los usuarios de su red entren en su red? Si es así, la seguridad de su red es efectivamente la misma que la de la red asociada.

Adopte la frase "pocos y bien controlados" como su mantra para la administración de la red. Relaciones de confianza? Pocos y bien controlados. Puntos de acceso de red? Pocos y bien controlados. Usuarios? Pocos y bien controlados, ¡es broma! El punto es que no puedes defender una red que no entiendes.

Ley # 9: La seguridad no se trata de evitar riesgos; se trata de la gestión de riesgos

Uno de los tópicos más citados con más frecuencia en seguridad informática es que la única computadora verdaderamente segura es una que está enterrada en concreto, con la energía apagada y el cable de red cortado. Es verdad, cualquier cosa menos es un compromiso. Sin embargo, una computadora así, aunque segura, no ayuda a su empresa a hacer negocios. Inevitablemente, la seguridad de cualquier red útil será menos que perfecta, y debe tener esto en cuenta en su planificación.

Su objetivo no puede ser evitar todos los riesgos para la red; eso es simplemente irreal. En cambio, acepta y acepta estas dos verdades innegables:

  • Habrá ocasiones en que los imperativos comerciales entren en conflicto con la seguridad. La seguridad es una actividad de apoyo para su negocio en lugar de un fin en sí mismo. Tome los riesgos considerados y luego mitítelos en la mayor medida posible.
  • La seguridad de su red se verá comprometida. Puede ser un error menor o un desastre de buena fe, puede ser debido a un atacante humano o un acto de Dios, pero tarde o temprano su red se verá comprometida de alguna manera. Asegúrese de haber realizado planes de contingencia para detectar, investigar y recuperarse del compromiso.

El lugar para tratar estos dos problemas está en su política de seguridad. Trabaje con la administración corporativa para establecer las pautas generales con respecto a los riesgos que está dispuesto a asumir y cómo pretende gestionarlos. Desarrollar la política lo obligará a usted y a su gerencia corporativa a considerar escenarios en los que la mayoría de la gente preferiría no pensar, pero el beneficio es que cuando ocurre uno de estos escenarios, ya tendrá una respuesta.

Ley # 10: La tecnología no es una panacea

Si ha leído Las 10 leyes inmutables de la seguridad , reconocerá esta ley: es la última ley en esa lista también. La razón por la que está en ambas listas es porque se aplica igualmente bien a los usuarios de la red y a los administradores, y es igualmente importante que ambos tengan en cuenta.

La tecnología en sí misma no es suficiente para garantizar la seguridad. Es decir, nunca habrá un producto que simplemente pueda desempaquetar, instalar en su red y obtener una seguridad perfecta al instante. En cambio, la seguridad es el resultado tanto de la tecnología como de la política, es decir, es la forma en que se utiliza la tecnología que, en última instancia, determina si su red es segura. Microsoft ofrece la tecnología, pero solo usted y su administración corporativa pueden determinar las políticas correctas para su empresa. Plan de seguridad temprano. Comprenda qué quiere proteger y qué está dispuesto a hacer para protegerlo. Finalmente, desarrolle planes de contingencia para emergencias antes de que sucedan. Planifique minuciosamente con tecnología sólida y tendrá una gran seguridad.

Espero les sea de interes y utilidad. Saludos, Roberto Di Lello


04 2018

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 2016-2012r2-2012-2008r2 y sobre Windows 10-8.1. Les paso el link para que los vean; https://www.youtube.com/user/RadiansBlog

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


30  03 2018

Las mejores prácticas para Securizar nuestra arquitectura de Active Directory [Parte 2] – Camino al desastre [HowTo]

www.radians.com.arHoy vamos a continuar con la serie de notas sobre como securizar nuestra arquitectura de Active Directory. Obviamente este tema es un tema conocido por todos y nosotros vamos a cubrir muchoa de los aspectos y mejores practicas propuestas por Microsoft, ya que si bien son conocidos no siempre son aplicados.  Estas mejores practicas nos ayudaran mucho ya que nunca, por mas seguro que estemos, nadie esta 100% seguro frente a las amenazas existentes o por venir.  La primera nota la pueden encontrar Las mejores prácticas para Securizar nuestra arquitectura de Active Directory [Parte 1] [HowTo] y hoy veremos la segunda parte sobre las cosas comunes que nos afectan a nuestra seguridad.

En organizaciones que han experimentado eventos de compromiso catastróficos, las evaluaciones generalmente revelan que las organizaciones tienen una visibilidad limitada del estado real de sus infraestructuras de TI, que pueden diferir significativamente de sus estados "documentados". Estas variaciones introducen vulnerabilidades que exponen al entorno a un compromiso, a menudo con poco riesgo de descubrimiento hasta que el compromiso haya progresado hasta el punto en el cual los atacantes "poseen" efectivamente el entorno.

Las evaluaciones detalladas de la configuración de AD DS de estas organizaciones, infraestructuras de clave pública (PKI), servidores, estaciones de trabajo, aplicaciones, listas de control de acceso (ACL) y otras tecnologías revelan configuraciones erróneas y vulnerabilidades que, de ser corregidas, podrían haber evitado el compromiso inicial.

El análisis de la documentación, procesos y procedimientos de TI identifica las vulnerabilidades introducidas por las lagunas en las prácticas administrativas que fueron aprovechadas por los atacantes para eventualmente obtener privilegios que se utilizaron para comprometer completamente el bosque de Active Directory. Un bosque completamente comprometido es aquel en el que los atacantes no solo comprometen sistemas individuales, aplicaciones o cuentas de usuario, sino que escalan su acceso para obtener un nivel de privilegio en el que pueden modificar o destruir todos los aspectos del bosque. Cuando una instalación de Active Directory se ha visto comprometida hasta ese punto, los atacantes pueden realizar cambios que les permitan mantener una presencia en todo el entorno, o lo que es peor, destruir el directorio y los sistemas y cuentas que administra.

Aunque varias de las vulnerabilidades comúnmente explotadas en las descripciones que siguen no son ataques contra Active Directory, permiten a los atacantes establecer un punto de apoyo en un entorno que puede usarse para ejecutar ataques de escalada de privilegios y también para atacar y comprometer AD DS.

Esta sección de este documento se centra en describir los mecanismos que los atacantes generalmente utilizan para obtener acceso a la infraestructura y, finalmente, para lanzar ataques de elevación de privilegios. Ver también las siguientes secciones:

NOTA: Aunque este documento se centra en los sistemas de Active Directory y Windows que forman parte de un dominio de AD DS, los atacantes rara vez se centran únicamente en Active Directory y Windows. En entornos con una combinación de sistemas operativos, directorios, aplicaciones y repositorios de datos, es común encontrar que los sistemas que no son de Windows también se han visto comprometidos. Esto es particularmente cierto si los sistemas proporcionan un "puente" entre entornos Windows y no Windows, como servidores de archivos a los que acceden clientes de Windows y UNIX o Linux, directorios que proporcionan servicios de autenticación a múltiples sistemas operativos o metadirectorios que sincronizan datos en diferentes directorios.

AD DS está enfocado debido a las capacidades de administración de configuración y acceso centralizado que proporciona no solo a los sistemas Windows, sino a otros clientes. Cualquier otro directorio o aplicación que proporcione servicios de autenticación y gestión de configuración puede, y será dirigido por atacantes determinados. Aunque este documento se centra en las protecciones que pueden reducir la probabilidad de un compromiso de las instalaciones de Active Directory, todas las organizaciones que incluyen computadoras, directorios, aplicaciones o repositorios de datos que no son de Windows también deben prepararse para ataques contra esos sistemas.

Saludos, Roberto Di Lello.


27  03 2018

Windows Server 2019, disponible en Insiders Preview!

¡Hoy es un gran día para Windows Server! En nombre de todo el equipo de Windows Server, estoy encantado de anunciar que Windows Server 2019 estará generalmente disponible en la segunda mitad del año calendario 2018. A partir de ahora, puede acceder a la compilación de vista previa a través de nuestro programa Insiders

Qué hay de nuevo en Windows Server 2019?

Windows Server 2019 se basa en la sólida base de Windows Server 2016, que continúa teniendo un gran impulso en la adopción de clientes. Windows Server 2016 es la versión adoptada más rápida de Windows Server. Hemos estado ocupados desde su lanzamiento en Ignite 2016 sacando información de sus comentarios y de la telemetría de productos para hacer que esta versión sea aún mejor.

También pasamos mucho tiempo con los clientes para comprender los desafíos del futuro y hacia dónde se dirige la industria. Cuatro temas fueron consistentes: infraestructura híbrida, de seguridad, plataforma de aplicaciones e hiperconvergente. Traemos numerosas innovaciones sobre estos cuatro temas en Windows Server 2019.

Escenarios de nubes híbridas:

Sabemos que el paso a la nube es un viaje y, a menudo, un enfoque híbrido, que combina entornos locales y en la nube trabajando en conjunto, es lo que tiene sentido para nuestros clientes. La extensión de Active Directory, la sincronización de servidores de archivos y la copia de seguridad en la nube son solo algunos ejemplos de lo que los clientes ya están haciendo hoy para extender sus centros de datos a la nube pública. Además, un enfoque híbrido también permite que las aplicaciones que se ejecutan en las instalaciones aprovechen la innovación en la nube, como la Inteligencia Artificial y la IoT. La nube híbrida permite un enfoque a largo plazo a prueba del futuro, que es exactamente la razón por la que vemos que juega un papel central en las estrategias de la nube en el futuro previsible .

En Ignite, en septiembre de 2017, anunciamos la Vista previa técnica del Proyecto Honolulu : nuestra experiencia reinventada para la administración de Windows y Windows Server. Project Honolulu es una plataforma desplegable localmente flexible, ligera y basada en navegador y una solución para escenarios de gestión. Uno de nuestros objetivos con Project Honolulu es simplificar y facilitar la conexión de las implementaciones existentes de Windows Server a los servicios de Azure. Con Windows Server 2019 y Project Honolulu, los clientes podrán integrar fácilmente servicios de Azure como Azure Backup, Azure File Sync, recuperación de desastres y mucho más para que puedan aprovechar estos servicios de Azure sin interrumpir sus aplicaciones e infraestructura.

Figure1-1024x576
Figura 1: Panel de control de gestión del Proyecto Honolulu para Azure Backup en Windows Server 2019 Preview

Seguridad:

La seguridad continúa siendo una prioridad para nuestros clientes. El número de incidentes de seguridad cibernética continúa creciendo y el impacto de estos incidentes aumenta rápidamente. Un estudio de Microsoft muestra que los atacantes toman, en promedio, solo 24-48 horas para penetrar en un entorno después de infectar a la primera máquina. Además, los atacantes pueden permanecer en el entorno penetrado sin ser notados durante promedio de 99 días , según un informe de FireEye / Mandiant. Continuamos nuestro camino para ayudar a nuestros clientes a mejorar su postura de seguridad trabajando en funciones que reúnen los aprendizajes de la ejecución de centros de datos a escala global para Microsoft Azure, Office 365 y muchos otros servicios en línea.

Nuestro enfoque de seguridad tiene tres aspectos: proteger, detectar y responder. Traemos funciones de seguridad en las tres áreas en Windows Server 2019.

En el frente de Protect, presentamos las VM blindadas en Windows Server 2016, que nuestros clientes recibieron con entusiasmo. Las máquinas virtuales blindadas protegen las máquinas virtuales (VM) de los administradores comprometidos o maliciosos en el tejido, de modo que solo los administradores de máquinas virtuales puedan acceder a ellas en un tejido protegido conocido, sano y atestiguado. En Windows Server 2019, las máquinas virtuales blindadas ahora admitirán máquinas virtuales Linux. También estamos extendiendo VMConnect para mejorar la resolución de problemas de máquinas virtuales blindadas para Windows Server y Linux. Estamos agregando redes encriptadas que permitirán a los administradores encriptar segmentos de red, con solo presionar un interruptor para proteger la capa de red entre servidores.

En el frente Detectar y responder, en Windows Server 2019, incorporamos Windows Defender Advanced Threat Protection (ATP) que brinda protección preventiva, detecta ataques y exploits de día cero entre otras capacidades en el sistema operativo. Esto les brinda a los clientes acceso a sensores de kernel y memoria profundos, lo que mejora el rendimiento y la manipulación, y permite acciones de respuesta en máquinas servidor.

Figure2-1024x509
Figura 2: Windows Defender ATP protege una máquina que ejecuta Windows Server 2019 Preview

Plataforma de aplicaciones:

Un principio rector clave para nosotros en el equipo de Windows Server es un enfoque implacable en la experiencia del desarrollador. Dos aspectos clave para llamar a la comunidad de desarrolladores son las mejoras en los contenedores de Windows Server y el Subsistema de Windows en Linux (WSL).

Desde la introducción de los contenedores en Windows Server 2016, hemos visto un gran impulso en su adopción. De Docker Hub se han descargado decenas de millones de imágenes de contenedores. El equipo aprendió de los comentarios que un tamaño de imagen de contenedor más pequeño mejorará significativamente la experiencia de los desarrolladores y profesionales de TI que están modernizando sus aplicaciones existentes utilizando contenedores. En Windows Server 2019, nuestro objetivo es reducir la imagen del contenedor base de Server Core a un tercio de su tamaño actual de 5 GB. Esto reducirá el tiempo de descarga de la imagen en un 72%, optimizando aún más el tiempo de desarrollo y el rendimiento.

También continuamos mejorando las opciones disponibles cuando se trata de organizar las implementaciones de contenedores de Windows Server. El soporte de Kubernetes se encuentra actualmente en versión beta , y en Windows Server 2019, estamos presentando mejoras significativas para los componentes de computación, almacenamiento y redes de un clúster de Kubernetes.

Una respuesta que constantemente escuchamos de los desarrolladores es la complejidad en la navegación de entornos con implementaciones de Linux y Windows. Para abordar esto, extendimos previamente el Subsistema de Windows en Linux (WSL) en compilaciones internas para Windows Server, para que los clientes puedan ejecutar contenedores Linux lado a lado con los contenedores de Windows en un Servidor Windows. En Windows Server 2019, continuamos en este camino para mejorar WSL, ayudando a los usuarios de Linux a llevar sus scripts a Windows mientras usamos estándares de la industria como OpenSSH, Curl & Tar.

Kubernetes-managing-a-Windows-Server-2019-container-host-1024x767
Figura 3: Kubernetes administrando un host contenedor que ejecuta Windows Server 2019 Preview

Hyper-converged infrastructure (HCI):

Infraestructura hiperconvergente (HCI): HCI es una de las últimas tendencias en la industria de servidores de la actualidad. Según IDC, el mercado de HCI creció un 64% en 2016 y Gartner dice que será un mercado de $ 5 mil millones para 2019. Esta tendencia se debe principalmente a que los clientes entienden el valor de usar servidores x86 con discos locales de alto rendimiento para ejecutar sus necesidades de cómputo y almacenamiento al mismo tiempo. Además, HCI ofrece la flexibilidad para escalar fácilmente tales implementaciones.

Los clientes que buscan soluciones de HCI pueden usar Windows Server 2016 y el programa de Windows Server Software Defined hoy. Nos asociamos con proveedores de hardware líderes de la industria para proporcionar una solución HCI asequible y extremadamente robusta con un diseño validado. En Windows Server 2019 estamos construyendo sobre esta plataforma agregando escala, rendimiento y confiabilidad. También estamos agregando la capacidad de administrar implementaciones HCI en el Proyecto Honolulu, para simplificar la administración y las actividades cotidianas en entornos HCI.

Figure4
Figura 4: Panel de control de la infraestructura Hyper-converged (HCI) del Proyecto Honolulu en Windows Server 2019 Preview

Finalmente, los clientes de Windows Server que utilizan System Center estarán entusiasmados de saber que System Center 2019 se aproxima y que será compatible con Windows Server 2019.

Tenemos mucho más para compartir entre ahora y el lanzamiento más adelante este año. Vamos a traer más detalles sobre la bondad de Windows Server 2019 en una serie de blogs que cubrirá las áreas anteriores.

Regístrese en el programa Insiders para acceder a Windows Server 2019

Espero les sea de interes, ya proximamente estaremos hablando sobre mas cambios en esta nueva version de Windows Server. Saludos, Roberto Di Lello

Mas Informacion: Introducing Windows Server 2019 – now available in preview


26  03 2018

Resumen Semanal!

www.radians.com.arBuenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 2016-2012r2-2012-2008r2 y sobre Windows 10-8.1. Les paso el link para que los vean; https://www.youtube.com/user/RadiansBlog

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal

23  03 2018

Las mejores prácticas para Securizar nuestra arquitectura de Active Directory [Parte 1] [HowTo]

www.radians.com.arHoy vamos a empezar con una serie de notas sobre como securizar nuestra arquitectura de Active Directory. Obviamente este tema es un tema conocidos por todos y nosotros vamos a cubrir mucho de los aspectos y mejores practicas propuestas por Microsoft, ya que si bien son conocidad no siempre son aplicadas.  Estas mejores practicas nos ayudaran mucho ya que nunca, por mas seguro que estemos, nadie esta 100% seguro frente a las amenazas existentes o por venir. 

Los ataques contra las infraestructuras informáticas, ya sean simples o complejas, han existido siempre que las computadoras lo tengan. Sin embargo, en la última década, un número cada vez mayor de organizaciones de todos los tamaños, en todas partes del mundo, han sido atacadas y comprometidas de maneras que han cambiado significativamente el panorama de las amenazas. La guerra cibernética y el cibercrimen han aumentado a tasas récord. El "hacktivismo", en el cual los ataques son motivados por posiciones de activismo, ha sido reclamado como la motivación para una serie de violaciones destinadas a exponer la información secreta de las organizaciones, crear negaciones de servicio o incluso destruir infraestructura. Los ataques contra instituciones públicas y privadas con el objetivo de excretar la propiedad intelectual de las organizaciones se han vuelto omnipresentes.

Ninguna organización con una infraestructura de tecnología de la información (TI) es inmune a los ataques, pero si se implementan políticas, procesos y controles adecuados para proteger los segmentos clave de la infraestructura informática de una organización, la escalada de ataques desde la penetración hasta el compromiso completo podría prevenirse. Debido a que el número y la escala de los ataques provenientes de fuera de una organización ha eclipsado la amenaza interna en los últimos años, este documento a menudo analiza los atacantes externos en lugar del uso indebido del medio ambiente por parte de los usuarios autorizados. No obstante, los principios y recomendaciones proporcionados en este documento están destinados a ayudar a proteger su entorno contra atacantes externos y personas malintencionadas o mal intencionadas.

La información y las recomendaciones proporcionadas en este documento provienen de varias fuentes y se derivan de las prácticas diseñadas para proteger las instalaciones de Active Directory contra el riesgo. Aunque no es posible evitar ataques, es posible reducir la superficie de ataque de Active Directory e implementar controles que hacen que el compromiso del directorio sea mucho más difícil para los atacantes. Este documento presenta los tipos más comunes de vulnerabilidades que hemos observado en entornos comprometidos y las recomendaciones más comunes que hemos hecho a los clientes para mejorar la seguridad de sus instalaciones de Active Directory.

Naming Conventions para Cuentas y Grupos

La siguiente tabla proporciona una guía de las convenciones de denominación utilizadas normalmente para los grupos y las cuentas. En la tabla se incluye la ubicación de cada cuenta / grupo, su nombre y cómo se hace referencia a estas cuentas / grupos.

www.radians.com.ar

Como hemos dicho veremos varias cosas sobre algunas de las vulnerabilidades más comúnmente  y cómo se aprovechan para penetrar inicialmente en las infraestructuras de los clientes, propagar el compromiso entre sistemas adicionales y, finalmente, dirigirse a AD DS y controladores de dominio para obtener un control completo de los bosques de nuestra arquitectura.

Daremos algunas recomendaciones detalladas sobre cómo abordar cada tipo de vulnerabilidad, particularmente en las áreas en las que las vulnerabilidades no se utilizan para apuntar directamente a Active Directory. Sin embargo, para cada tipo de vulnerabilidad, tambien daremos enlaces a información adicional para que puedan ver en mayor detalle las mismas.

Veremos como reducir la superficie de ataque de Active Directory, revisaremos el contexto sobre cuentas y grupos privilegiados en Active Directory para proporcionar la información que ayuda a aclarar los motivos de las recomendaciones posteriores para proteger y administrar grupos y cuentas con privilegios. Analizaremos los enfoques para reducir la necesidad de utilizar cuentas con privilegios elevados para la administración diaria, que no requiere el nivel de privilegio otorgado a grupos como los Administradores de empresa (EA), Administradores de dominio (DA) y Grupos de administradores incorporados (BA) en Active Directory.

Veremos tambien las recomendaciones para el monitoreo de Active Directory en busca de señales de que nos han comprometido nuestra arquitectura. Generalmente en las empresas grandes se implementan applaiances y otros dispositivos de seguridad sólida y monitoreo de eventos (mas conocidos como SIEM) u otros mecanismos para monitorear la seguridad de la infraestructura, veremos aquellos eventos en sistemas Windows que pueden indicar que nuestra organización esta siendo atacado. Analizamos las políticas de auditoría tradicionales y avanzadas, incluida la configuración efectiva de subcategorías de auditoría en los sistemas operativos Windows 8 y Windows 10.

Espero les sea de interes y utilidad. Saludos. Roberto Di Lello.=


19  03 2018

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 2016-2012r2-2012-2008r2 y sobre Windows 10-8.1. Les paso el link para que los vean; https://www.youtube.com/user/RadiansBlog

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


16  03 2018

Como recuperar una particion de un disco que fue eliminada y recuperar todos los archivos sin perder un solo Byte! {HowTo–ScreenCast}

PartitionRecovery01Hoy vamos a ver como recuperar una particion que se ha dañado o que por error la hemos eliminado y obviamente no queriamos. Esta semana tuve un problema similar, ya que borre sin querer una particion de un disco USB que contenia mas de 5000 archivos de word, presentaciones y grabaciones en crudo del blog.

Gracias a esta Tool pude recuperar todo sin perder un solo byte. Muy recomendable y lo mas importante: ES GRATIS!

Espero les sea de interes y utilidad. Saludos, Roberto Di Lello.


14  03 2018

Microsoft lanza una nueva serie de parches para Meltdown y Spectre {Seguridad}

www.radians.com.arMicrosoft ha dado un paso más en su plan para fortalecer la seguridad de más de mil millones de PC en todo el mundo contra las vulnerabilidades de Meltdown y Spectre. El lanzamiento de “Patch Tuesday” de esta semana actualiza las PC que ejecutan versiones x86 de Windows 7 y 8.1 contra ambas amenazas, lo que significa que todas las versiones de Windows admitidas actualmente ahora incluyen una defensa contra esta vulnerabilidad.

La actualización también se encarga de la comprobación de compatibilidad del antivirus que había bloqueado las actualizaciones de seguridad anteriores en Windows 10. La verificación se ha levantado para “ampliar la gama de dispositivos Windows 10 que ofrecen actualizaciones acumulativas de seguridad de Windows, incluidas las protecciones de software para Spectre y Meltdown”.

Microsoft también indicó que planea continuar bloqueando las actualizaciones de seguridad en las PC con controladores antivirus incompatibles para “evitar cualquier problema”.

Vía: Engadget


12  03 2018

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 2016-2012r2-2012-2008r2 y sobre Windows 10-8.1. Les paso el link para que los vean; https://www.youtube.com/user/RadiansBlog

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal

03 2018

Como reparar los objetos persistentes -Lingering Object- de nuestra replicacion de Active Directory (Event IDs 1388, 1988, 2042) {HowTo}

Si un controlador de dominio de destino registra la ID de evento 1388 o la ID de evento 1988, se ha detectado un objeto persistente y existe una de las dos condiciones en el controlador de dominio de destino:

  • Event ID 1388: Inbound replication of the lingering object has occurred on the destination domain controller.
  • Event ID 1988: Inbound replication of the directory partition of the lingering object has been blocked on the destination domain controller.

Event ID 1388

Este evento indica que un controlador de dominio de destino que no tiene la coherencia de replicación estricta habilitada recibió una solicitud para actualizar un objeto que no reside en la copia local de la base de datos de Active Directory. En respuesta, el controlador de dominio de destino solicitó el objeto completo desde el socio de replicación de origen. De esta forma, un objeto persistente se replicaba en el controlador de dominio de destino. Por lo tanto, el objeto restante se reintrodujo en el directorio.

El texto del evento identifica el controlador de dominio de origen y el objeto desactualizado (persistente). El siguiente es un ejemplo del texto del evento:

www.radians.com.ar

Event ID 1988

Este evento indica que un controlador de dominio de destino que tiene una coherencia de replicación estricta habilitada recibió una solicitud para actualizar un objeto que no existe en su copia local de la base de datos de Active Directory. En respuesta, el controlador de dominio de destino bloqueó la replicación de la partición de directorio que contiene ese objeto de ese controlador de dominio de origen. El texto del evento identifica el controlador de dominio de origen y el objeto desactualizado (persistente). El siguiente es un ejemplo del texto del evento:

www.radians.com.ar

Diagnóstico

Un objeto que se ha eliminado permanentemente de AD DS (es decir, su piedra sepulcral se ha recolectado de forma incorrecta en todos los controladores de dominio conectados) permanece en un controlador de dominio desconectado. El controlador de dominio no recibió la replicación directa o transitiva de la eliminación del objeto porque se desconectó (está fuera de línea o experimentando un error de replicación de entrada) de la topología de replicación durante un período que excedió la duración de una lapida. El controlador de dominio ahora se vuelve a conectar a la topología y ese objeto se ha actualizado en el controlador de dominio, lo que provoca una notificación de replicación al socio de replicación de que una actualización está lista para la replicación. El socio de replicación respondió de acuerdo con su configuración de coherencia de replicación. Esta notificación se aplica al intento de replicación de un objeto modificable. También podría existir una copia del objeto persistente grabable en un servidor de catálogo global.

Resolución

Si se detecta la replicación de un objeto persistente, puede eliminar el objeto de AD DS, junto con las réplicas de solo lectura del objeto, identificando los controladores de dominio que pueden almacenar este objeto (incluidos los servidores de catálogo global) y ejecutando un comando repadmin para eliminar objetos persistentes en estos servidores (repadmin / removelingeringobjects). Este comando está disponible en controladores de dominio que ejecutan Windows Server 2008. También está disponible en controladores de dominio que no ejecutan Windows Server 2008 pero que ejecutan la versión de Repadmin.exe que se incluye con las herramientas de soporte de Windows en Windows Server 2003.

Para eliminar objetos persistentes, debemos hacer lo siguiente:

  • Usemos el texto del evento para identificar lo siguiente: La partición de directorio del objeto o El controlador de dominio de origen que intentó la replicación del objeto persistente
  • Utilicemos Repadmin para identificar el GUID de un controlador de dominio autorizado
  • Utilicemos Repadmin para eliminar objetos persistentes
  • Habilitemos la coherencia de replicación estricta, si es necesario
  • Asegúremonos de que la coherencia de replicación estricta esté habilitada para los controladores de dominio recién promocionados, si es necesario

Utilicemos Repadmin para identificar el GUID de un controlador de dominio autorizado

Para realizar el procedimiento que elimina los objetos persistentes, debemos identificar el identificador único global (GUID) de un controlador de dominio actualizado que tiene una réplica grabable de la partición de directorio que contiene el objeto persistente que se ha informado. La partición de directorio se identifica en el mensaje de evento.

El objeto GUID de un controlador de dominio se almacena en el atributo objectGUID del objeto NTDS Settings.

tenemos como requisitos ser miembros del gropu domain admins y tener la tool REPADMIN

www.radians.com.ar

Para usar Repadmin para eliminar objetos persistentes
Abra un símbolo del sistema como administrador: en el menú Inicio, haga clic con el botón derecho en Símbolo del sistema y luego haga clic en Ejecutar como administrador. Si aparece el cuadro de diálogo Control de cuenta de usuario, proporcione las credenciales Administradores de dominio o Administradores de empresa, si es necesario, y luego haga clic en Continuar.

www.radians.com.ar

  • Repita el paso 2 sin / advisory_mode para eliminar los objetos persistentes identificados de la partición del directorio.
  • Repita los pasos 2 y 3 para cada controlador de dominio que pueda tener objetos persistentes.

Espero les sea de utilidad. Saludos, Roberto Di Lello


03 2018

Usuarios de Android: 5 razones por las que amaras Microsoft Launcher {News}

Los teléfonos Android tienen una función de la que carecen los iPhones: permiten personalizar el “launcher” que aparece cuando se pulsa el botón de inicio del teléfono. Echa un vistazo al nuevo Microsoft Launcher para Android. Con solo deslizar rápidamente el dedo hacia la derecha, Microsoft Launcher ofrece una fuente personalizada de tus eventos importantes, las noticias más destacadas, las actividades recientes, los contactos favoritos y las aplicaciones usadas con mayor frecuencia. Creemos que es el iniciador más bonito (está basado en el diseño Fluent), personalizable y potente que existe. El nuevo Microsoft Launcher cambiará la forma en que utilizas tu dispositivo Android.

Dale un vistazo a nuestras cinco características favoritas de Microsoft Launcher:

www.radians.com.ar

1. Empezá en el teléfono y continúa en el PC

Estás haciendo cola en una cafetería y entrecierras los ojos para poder leer el texto del formulario web que estás rellenando. ¿No te gustaría que tu teléfono pudiera enviar mágicamente esa tarea a tu PC con Windows 10, donde podrías disfrutar de una pantalla grande y un teclado de hardware? ¡Ahora podés hacerlo! Microsoft Launcher vincula tu dispositivo Android y tu PC para que puedas abrir fotos o documentos al instante en una pantalla de mayor tamaño. Las aplicaciones que cuentan con la funcionalidad Continuar en PC incluyen Windows 10 Fall Creators Update.

2. Todo lo que tiene que ver contigo

Personalizá tu fuente para ver las noticias, los eventos, documentos y contactos que quieres ver, y quitá todo lo que no quieras. Ajustá las noticias que más te interesan, desde política a deportes pasando por entretenimiento y mucho más. Además, como ocurre en Windows 10, con Microsoft Launcher podés poner iconos de tus contactos favoritos en la pantalla de inicio para que estén disponibles rápida y fácilmente.

3. Elegí la apariencia

Microsoft Launcher te permite personalizar la apariencia del dispositivo, desde el fondo de pantalla hasta los colores de énfasis. Podés cambiar la apariencia de los iconos de las aplicaciones y ocultar las aplicaciones que no querés que nadie vea. La ventana de vista previa te permite saber cómo quedarán los cambios antes de aplicarlos.

4. Elegí el fondo de pantalla perfecto

Personaliza la pantalla Inicio de Android con bonitos fondos de pantalla de Bing que se actualizan a diario. Sugerencia profesional: probá a pulsar en el icono Fondo de pantalla de la pantalla Inicio para cambiar a un nuevo fondo de pantalla de Bing hasta que encuentres uno acorde con tu estado de ánimo.

5. ¡Encontrá lo que necesitás… rápidamente!

Estás mirando fijamente el teléfono mientras intentas recordar dónde guardaste una dirección, una invitación o el nombre de esa película que querías ver. En lugar de tener que buscar en todo el teléfono, Microsoft Launcher facilita la búsqueda de todo en un mismo lugar. Escribí en la barra de búsqueda en la parte superior de la pantalla Inicio para encontrar rápidamente archivos, aplicaciones y resultados web.

Obtené hoy mismo el Microsoft Launcher gratuito

www.radians.com.ar www.radians.com.ar www.radians.com.ar


03 2018

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 2016-2012r2-2012-2008r2 y sobre Windows 10-8.1. Les paso el link para que los vean; https://www.youtube.com/user/RadiansBlog

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal

03 2018

Windows Server 2016, relaciones de confianza {HowTo}

Hola, he recibido una consulta sobre las relaciones de confianza y como verificarlas en Windows Server 2016. Por lo tanto vamos a hablar del tema, y los animo a seguir preguntando sobre este y/o cualquier otro tema. Siempre es bueno proponer temas ya que me ayudan a que las notas sean mas variadas.

Vamos a hablar de algunos temas basicos primero asi hacemos memoria y quienes no lo saben pueden entender. Una relación de confianza es una relación establecida entre dos dominios de forma que permite a los usuarios de un dominio ser reconocidos por los Controladores de Dominio de otro dominio. Estas relaciones permiten a los usuarios acceder a los recursos de otro dominio, y a los administradores definir los permisos y derechos de usuario para los usuarios del otro dominio. Permite establecer comunicación entre varios controladores de dominio, con el fin de poder administrar desde un solo punto de la red a todos los usuarios y recursos que tengas.

Entonces, se pueden crear confianzas de Active Directory entre dominios de Active Directory y bosques de Active Directory. Una relacion de confianza nos permitira mantener una relación entre los dos dominios para garantizar que los usuarios puedan acceder a los recursos en los dominios. Todas las confianzas entre dominios en un bosque de Active Directory son trusts transitivos y bidireccionales. Por lo tanto, no es necesario crear una confianza entre dominios del mismo bosque de Active Directory, pero se le solicitará que creemos una relacion de confianza entre dominios de diferentes bosques de Active Directory si necesitamos permitir que los usuarios de un dominio accedan a recursos en otro dominio en un bosque diferente de Active Directory.

En Windows Server 2016 tenemos varios tipos de relaciones de confianza y podemos administrarlos utilizando las herramientas integradas que se incluyen al instalar Active Directory.

Tipos de confianzas de Active Directory

Como dijimos anteriormente hay cuatro tipos de relaciones de Active Directory disponibles: relaciones confianza externos, relaciones confianza de dominios, relaciones confianza de bosques y relaciones confianza de acceso directo.

  • relaciones confianza externa : es una confianza externa solo si los recursos están ubicados en un bosque diferente de Active Directory. Una relacion de confianza externa siempre es “no transitiva” y puede ser una confianza de ida o de dos vías.
  • relaciones de confianza de dominios (Realm trust): siempre se crean entre el bosque de Active Directory y un directorio Kerberos que no sea Windows, como eDirectory, Unix Directory, etc. Esta relacion puede ser transitiva y no transitiva, y la dirección de confianza puede ser unidireccional o bidireccional. Si está ejecutando directorios diferentes en su entorno de producción y necesitaremos permitir que los usuarios accedan a los recursos en cualquiera de los directorios, necesitaremos establecer una confianza de dominio.
  • relacion de confianza de bosques: deberemos crear este tipo de relaciones si necesitamos permitir que los recursos se compartan entre los bosques de Active Directory. Son siempre transitivos y la dirección puede ser unidireccional o bidireccional.
  • relaciones de confianza de acceso directo : es posible que necesitemos crear una relacion entre dominios del mismo bosque de Active Directory si necesitamos mejorar el inicio de sesión del usuario por ejemplo. Este tipo de relacion siempre es transitiva y la dirección puede ser unidireccional o bidireccional.

Al crear relaciones de confianza necesitamos tener permisos suficientes para realizar operaciones de creación de confianza. Como mínimo, se nos pedirá que formemos parte de los administradores de dominio o del grupo de seguridad de los administradores de la empresa.

Tambien podremos verificar la relacion de confianza entre dos destinos. La verificación se puede hacer mediante el uso de la consola  Active Directory Domains and Trusts o por línea de comandos usando Netdom.

Al crear confianzas externas o forestales, podemos seleccionar el Alcance de la Autenticación para los usuarios. La autenticación selectiva nos permite restringir el acceso solo a aquellas identidades en un bosque de confianza de Active Directory a quienes se les han otorgado permisos a los equipos de recursos al confiar en el bosque de Active Directory. El escenario de restricción de acceso se logra mediante el uso de la función Autenticación selectiva, que solo se aplica a confianzas externas y relaciones entre forests.

Por ejemplo, para crear una confianza externa usando la consola Active Directory Domains and Trusts, debemos seguir los pasos:

  1. ejecutamos Domain.msc
  2. Hacemos clic derecho en el nodo de dominio y luego haga clic en la acción Propiedades.
  3. En la pestaña Confianzas, hacemos clic en Confianza nueva y luego hacemos clic en Siguiente para mostrar los pasos.
  4. En el campo Nombre de la confianza, escribimos el nombre DNS del dominio y luego hacemos clic en el botón Siguiente.
  5. En el menú desplegable Tipo de confianza, seleccionamos el tipo de confianza que queremos crear, como estamos creando una confianza externa, seleccionamos Confianza externa y luego hacemos clic en el botón Siguiente.
  6. En la página donde dice "Dirección de la relacion", seleccionamos la dirección y luego solo debemos seguir los pasos en la pantalla para continuar creando la relacion de confianza.

www.radians.com.ar

www.radians.com.arwww.radians.com.arwww.radians.com.arwww.radians.com.arwww.radians.com.arwww.radians.com.arwww.radians.com.arwww.radians.com.arwww.radians.com.arwww.radians.com.arwww.radians.com.arwww.radians.com.arwww.radians.com.arwww.radians.com.arwww.radians.com.ar

Para crearla por medio de la línea de comandos solo debemos ejecutar lo siguiente: Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Add

donde <TrustingDomain> es el nombre de dominio DNS del dominio que confía y <TrustedDomain> es el nombre de dominio DNS del dominio que será de confianza en el trust.

www.radians.com.ar

Una vez que creada la relacion podemos verificarla utilizando la consola o tambien por línea de comandos, pero es mejor verificarlas utilizando la herramienta de línea de comandos de Netdom. Todo lo que necesitamos hacer es especificar los nombres de dominio DNS de los dominios Confiables y de Confianza y luego agregar el flag /verify. como se muestra en el siguiente comando:

Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Verify

Espero les sea de interes, voy a armar un video con este contenido pero me demandar un tiempo. Saludos. Roberto Di Lello


26  02 2018

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 2016-2012r2-2012-2008r2 y sobre Windows 10-8.1. Les paso el link para que los vean; https://www.youtube.com/user/RadiansBlog

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


« Previous PageNext Page »