Privilegios de Usuario En Active Directory

Group-icon

Cuando hacemos la promoción de un nuevo dominio hay muchas cosas que debemos tomar en cuenta una vez que dcpromo haya finalizado…

Una de las cosas mas frecuentes que en mi experiencia se pasan por alto es la verificación de los privilegios que tienen los usuarios autenticados por ejemplo, el privilegio necesario para agregar equipos al dominio en mi opinión esta tarea debe quedarse en manos del equipo de soporte técnico en su defecto en el administrador de dominio, pero nunca en manos del usuario final, ya que al no tener conocimiento de lo que están haciendo podrían hacer algo inesperado.

En mi humilde opinión, deberíamos de delegar esta función al equipo de soporte técnico por lo que en este post veremos como hacer los cambios necesarios.

Nota: para llevar acabo esta tarea usaremos Group Policy Management y Adsiedit ambas son herramientas poderosas y también se deben manejar mucho cuidado un cambio no deseado con estas herramientas y podemos afectar todo el funcionamiento de nuestra organización AD DS, es recomendado tener un respaldo de las políticas y de nuestro ambiente antes de hacer cualquier cambio sugerido en este tutorial.

1. Editando el Default Domain Policy:

Ingresa al Group Policy Management escribiendo gpmc.msc desde la opción ejecutar, navegaremos por las opciones Forest > Domains acá seleccionamos el dominio con el que queremos trabajar y lo expandimos hasta encontrar la opción que dice Default Domain Policy luego hacemos clic derecho y seleccionamos la opción Edit.

En la nueva ventana llamada Group Policy Management Editor navegamos por las opciones Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment acá hacemos clic derecho > propiedades sobre Add Workstation to domain (a la derecha de la pantalla).

 

User Rights

En la nueva ventana llamada Add Workstation to domain Properties marcamos un check la opción Define these policy settings lo que nos habilitará la opción de agregar o remover usuarios y grupos de esta caracteristica, haciendo clic sobre Add User or Group nos desplegara la ventana clásica de búsqueda de AD DS para seleccionar el usuario o grupo de usuarios a los que les vamos a asignar este privilegio.

 

User Rights2

Bueno hasta acá le asignamos los privilegios a un usuario o grupo predeterminado para agregar maquinas al dominio, obviamente esto no excluye a los domain admin que ya por default cuentan con este privilegio.

 

2. Editando el número máximo de equipos:

En nuestro esquema existe una atributo llamado ms-DS-MachineAccountQuota con el cual controlamos el numero máximo de equipos que el usuario o grupo de usuarios al que le dimos privilegios anteriormente pueden unir a nuestro dominio.

Para editar este atributo desde el menú ejecutar digitamos adsiedit.msc y nos conectamos al default naming context y hacemos clic derecho sobre nuestro nombre de dominio seleccionando la opción de propiedades, en el tab Attribute Editor buscamos la opción que les mencione anteriormente (ms-DS-MachineAccountQuota) luego hacemos clic sobre el botón edit y ponemos el valor que deseamos permitir, por defecto es 10.

 

User Rights3

 

Con estos pasos podemos “personalizar” un poco nuestro directorio activo y así evitarnos algunos dolores de cabeza Sonrisa.

A continuación pueden encontrar mas información:

http://support.microsoft.com/kb/243327/en-us

http://technet.microsoft.com/en-us/library/dd349804(WS.10).aspx

 

Hasta la próxima !!!

Anuncios
Etiquetado , ,

Update 1 Para Forefront TMG 2010 Service Pack 2

El pasado 11 de enero, Microsoft publico el Rollup 1 para TMG Service Pack 2 el cual resuelve unos 12 problemas entre ellos:

 

RU1_TMGSP2

Para obtener mayor información: http://support.microsoft.com/kb/2649961/en-us

 

Hasta la próxima !!!

Etiquetado , ,

WSUS en Ambientes No Active Directory

enable-server-icon

En algunas ocasiones será muy común encontrar ambientes “Mixtos” donde algunas PC’s forman parte de un dominio en AD DS y algunas otras a un grupo de trabajo.

Lo mas importante es que todas las PC’s que estén bajo nuestra red o sub redes se mantengan actualizadas según la políticas que tengamos que aplicar para ese ambiente determinado.

Hoy quisiera compartir una nota rápida acerca de las opciones que tenemos para que nuestros clientes se reporten contra el servidor WSUS:

1. Mediante Política de Grupo (AD DS)

2. Mediante Política de Grupo (Local)

3. Mediante el Registro de Windows

Para este post específico quisiera compartir información general y mas adelante voy a preparar un paso a paso con las opciones mencionadas.

http://technet.microsoft.com/en-us/library/cc720539(WS.10).aspx

http://technet.microsoft.com/en-us/library/cc708449(WS.10).aspx

Me gusta mucho la idea de que para los equipos que no sean miembros del dominio podríamos hacer un Script en VB y aplicarlo de forma masiva con Psexec Sonrisa pero bueno eso será en otra ocasión.

Hasta la próxima !!!

Etiquetado , ,

Vulnerabilidad ASP.Net

File-Types-asp-icon

Desde el paso 29 de diciembre se publico el boletín MS11-100 por parte de Microsoft el cual contiene información sobre varias vulnerabilidades que afectan todas las versiones de .Net Framework, una de ellas permite la ejecución de código, así como la denegación de servicio por medio de peticiones HTTP.

La buena noticia es que si tenemos nuestro servicio de ASP.Net publicado a través de Forefront TMG 2010 y tenemos NIS activado hay una firma que detecta este ataque y lo detiene, tal como se muestra en el siguiente pantallazo:

CVE-2011-3414 1

 

CVE-2011-3414 2

Sin embargo, por defecto la política viene deshabilitada, cosa que se puede corregir haciendo clic derecho sobre la política Configure Signature Properties > General > Override > Enable > Response: Block

Con estos simples pasos ya estaríamos protegiendo todos los servicios que estén detrás de TMG y corran sobre ASP.Net.

Información Adicional:

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3414

http://technet.microsoft.com/en-us/security/bulletin/ms11-100

http://technet.microsoft.com/en-us/security/advisory/2659883

 

Hasta la próxima !!!

Etiquetado , ,

Troubleshooting: Best Practices Analyzer TMG 2010

Como les había comentado en mi articulo anterior ¿Como hacer Troubleshooting? el analizador de mejores practicas es una herramienta que nos permite comprar nuestro ambiente de producción contra una serie de pruebas recomendadas por Microsoft para determinado producto, en este caso especifico Forefront TMG 2010.

Instalación

El instalador lo podemos conseguir en el Download Center de Microsoft.

Paso Uno: ejecutamos el instalador, con doble clic y nos presenta la pantalla de bienvenida, el cual nos da una pequeña introducción a la herramienta.

BPAStep1

 

Paso Dos: aceptamos los términos del contrato y pulsamos siguiente.

BPAStep2

Paso Tres: quizá este es el paso mas importante de la instalación ya que nos pide que aceptemos o no el método de actualización automática que se realiza cada vez que iniciamos la aplicación, la recomendación es marcar la opción en “si” y continuar con la instalación.

BPAStep3

Paso Cuatro: en este paso, el instalador nos pregunta si queremos enviar información a Microsoft para ayudar a mejorar la herramienta, mi recomendación es que marquemos la opción de participar y continuemos con el asistente.

BPAStep4

 

Paso Cinco: acá estaríamos listos para instalar la herramienta, así que pulsamos la opción “Install”.

BPAStep5

 

Una vez que finalice el instalador nos presenta la pantalla de finalización y nos muestra la opción de iniciar la herramienta de lo contrario tenemos un acceso directo en Inicio > Programas > Microsoft Forefront TMG > TMG Tools.

En mi experiencia el mejor momento para correr una análisis con el BPA es luego de concluir la instalación y configuración del servidor, sin embargo hay escenarios donde el problema que se nos presente es poco “tradicional” y un análisis con BPA es un excelente sitio para empezar a buscar… Así que veamos como usamos esta herramienta:

En el panel principal tenemos dos opciones, select options for a new scan y select a best practices scan to view con la primera realizaremos un análisis según los filtros que selecciones y con la segunda opción veremos los reportes generados anteriormente.

Select options for a new scan:

BPAStep6

Luego de seleccionar la opción mencionada, veremos la pantalla para iniciar con la pruebas, básicamente tenemos tres datos que debemos darle al asistente:

Scan Label: se refiere al nombre (etiqueta) que le podremos a la pruebas que realizaremos.

AD Server: algún controlador de dominio disponible en mismo sitio donde se encuentra TMG.

Scan Type: se refiere a las pruebas que vamos a realizar.

BPAStep7

En la siguiente pantalla veremos la opción para ver el reporte generado luego de las pruebas que seleccionamos.

BPAStep8

 

Luego veremos una lista de todos los problemas que tenemos en nuestro ambiente, tal como se muestra en la siguiente pantalla.

BPA_FTMG_2010

 

A groso modo esta es la funcionalidad principal del BPA para TMG, en algunos casos se muestra un link “Tell me more about this issue and how to resolve it” donde podremos encontrar información adicional acerca del problema encontrado… sin embargo me gustaría comentar un poco mas acerca de dos aplicaciones mas que vienen con la instalación del BPA

1. Forefront TMG Data Packager: desde mi punto personal es una herramienta que no puede faltar en la consola de administración de todos los administradores de TMG, esta aplicación nos permite recopilar información y empaquetarla para su posterior análisis (muy útil para los consultores)

Acá un pantallazo de la venta principal, una vez instalado el BPA lo podemos encontrar en Inicio > Programas > Microsoft Forefront TMG > TMG Tools > TMG Data Packager.

BPA2_FTMG_2010

Podríamos seleccionar dos opciones: un reporte “estático” de información como eventos del servidor, performance, logs entre otros… o también contamos con la opción de recopilar información según sea necesario, por ejemplo: VPN, Web Proxy & Web Publishing, Firewall Policy, entre otros… y si esto aun no fuera lo que buscamos tenemos una muy buena opción de personalizar la recopilación, con las opciones de la siguiente pantalla:

BPA3_FTMG_2010

Como ven Data Packager es una excelente para hacer Troubleshooting…

2. BPA to Visio: como su nombre lo dice, es una extensión de Visio para poder exportar nuestra topología a Visio y tener así un pequeño diagrama de la misma.

 

Bueno hasta acá hemos visto un poco de BPA y sus extras como lo son Data Packager y BPA2Visio, realmente el tema es muy amplio y nos daría casi para tener un blog exclusivo acerca de ello, solo espero que disfruten esta herramienta haciendo Troubleshooting Sonrisa 

Información adicional:

http://blogs.technet.com/b/isablog/archive/2007/07/22/using-bpa2visio.aspx

http://blogs.technet.com/b/isablog/archive/2009/12/24/using-forefront-tmg-isa-server-bpa-for-documenting-your-deployment.aspx

Hasta la proxima !!!

Etiquetado , ,

¿Como hacer Troubleshooting?

Troubleshooting1

Sin lugar a duda, una de las cosas mas difíciles para los administradores de sistemas es la resolución de problemas que se puedan presentar en la infraestructura que administren.

Mi experiencia dice que no hay una formula mágica para solucionar un problema ya que hay diferentes formas de hacerlo.

Sin embargo creo que hay una serie de pasos “sistemáticos” que se podrían aplicar para llegar a una resolución pronta y acertada.

Uno de los mejores métodos que he visto y aplico diariamente es un proceso desarrollado por el equipo Support Escalation Engineers de Microsoft, dicho proceso fue publicado en el blog de LATAM Team blog por Diana Hernández – Technical Support Lead, pueden encontrar el articulo en esta dirección: http://blogs.technet.com/b/latam/archive/2011/05/09/metodolog-237-a-de-resoluci-243-n-de-problemas.aspx

En Forefront TMG, tenemos una gama amplia de herramientas para solucionar problemas entre ellas nos encontramos:

1. Best Practices Analyzer (BPA): es una herramienta diseñada para ejecutar una serie de pruebas predeterminadas a la configuración del servidor TMG y como salida obtenemos un reporte con alertas, advertencias o errores críticos, siempre tomando en cuenta las mejores practicas para el servicio.

Esta herramienta cuenta con dos aplicaciones para complementarse, el TMG Data Packager quien se encarga de crear un archivo .cab con información necesaria para hacer un diagnostico y por otro lado tenemos el BPA2Visio con el cual podemos ver de forma grafica la topología de red que compone TMG.

También cabe destacar que existe una versión para TMG y otra para ISA Server.

2. Forefront TMG Configuration Changes: con esta herramienta podemos hacer un seguimiento de las cosas que hayan cambiando en la configuración, además nos muestra la información sobre el usuario que hizo los cambios, así como su fecha y hora. Como dato adicional hay que mencionar que esta característica esta disponible desde el services pack 1 de ISA Server 2006.

3. Forefront TMG Alerts: con esta herramienta TMG controla una serie de  eventos predeterminados que ocurren con los servicios de TMG, pudiendo generar notificaciones de forma personalizadas.

4. Traffic Simulator: con esta herramienta podemos simular determinado trafico y ver todo el tratamiento que se aplica a ese determinado “paquete”, por ejemplo ver cuales reglas son evaluadas, así como cual lo permitió o denegó.

Un dato adicional que se puede mencionar es que esta herramienta vendría a ser la homologa del packet tracer del ASA en CISCO.

5. Diagnostic Logging: con esta herramienta podemos hacer una “captura” del trafico que ha sido procesado por el servidor TMG según una serie de parámetros o filtros que se pueden definir.

Como hemos visto hay una amplísimo abanico de opciones para hacer Troubleshooting en nuestro servidor Forefront, en futuras entradas escribiré de forma mas amplia el uso y escenarios para utilizar cada una de ellas.

 

Hasta la próxima !!!

Etiquetado

¡ A trabajar mas duro !

Avatar

Desde hace unos días comparto la dicha de formar parte del equipo de Moderadores en los foros de Protección y acceso (Edge Security / ISA Server) del sitio TechNet de Microsoft.

Como siempre muchas gracias a todos los que reconocen el esfuerzo que hacemos muchas personas por compartir conocimiento y experiencias con la comunidad, especialmente a Ismael Borche (Moderador Global de los Foros en Español) ya que siempre ha reconocido mi trabajo.

¡ A Trabajar Mas Duro !

 

Hasta la próxima !!!

Etiquetado ,

Windows PowerShell Command Builder for Microsoft SharePoint

Folder-Sharepoint-Folder-icon

Hace unos días me encontré con esta herramienta Windows PowerShell Command Builder for Microsoft SharePoint basada en un entorno Web, específicamente Silverlight.

Desde este site podemos crear scripts en un GUI muy amigable para luego poder aplicarlos a SharePoint 2010, SharePoint Foundation o Office 365.

 

Mi experiencia con la aplicación a sido muy satisfactoria ya que fácil y rápido he podido automatizar tareas como respaldos (entre otras) con rutinas en PowerShell.

Para descargar un pequeño documento con información adicional por favor visiten este link:

http://download.microsoft.com/download/5/5/C/55CBF854-D7FD-43D9-B6F0-813AB33AC360/Windows-PowerShell-command-builder-guide.pdf

Que lo disfruten,

 

Hasta la próxima !!!

Etiquetado , ,

SSL Sobre un Puerto no Estándar

https-background

Un problema muy común que nos encontramos los administradores de ISA Server / Forefront TMG es la apertura de puertos no estándares para el uso de SSL a través del Web Proxy, esto ya que por defecto los únicos puertos permitidos son 443 para SSL y 593 para NNTP.

 

Síntomas:

Cuando estamos frente a una denegación de SSL ya que intentamos salir por un puerto diferente al 443, veremos en los log algo similar a estos eventos: “The specified Secure Sockets Layer (SSL) port is not allowed. Forefront TMG is not configured to allow SSL requests from this port.

 ssl1

Solución:

Bueno como dice mi amigo daemonRoot: “como todos sabemos en el mundo de la informática hay mil y una formas de solucionar un problema… o hacerlo más grande” veremos dos métodos para solucionar este inconveniente.

Método 1:

Este es mi método favorito ya que tendremos que utilizar la línea de comandos, se basa en el uso de un script llamado ISA Tunnel Port Tool básicamente estos serian los pasos:

1. Descargar el script ISA Tunnel Port tool.

2. Desde la consola ejecutamos el siguiente comando: script isa_tpr.js /add Port4443 4443 

3. Reiniciamos el servicio de Firewall.

Acá dejo un PRTSC con la lista de parámetros que podemos usar en isa_tpr.js

isa_tpr_help

 

Método 2:

El segundo método que quisiera compartir con ustedes se basa en una Interface Grafica (GUI) llamado LISSA 2004 desarrollado por la gente de Informática64 acá les dejo un excelente paso a paso de como usar la aplicación escrito por el equipo de Seguros con Forefront: http://www.forefront-es.com/?tag=/lissa

Bueno como hemos visto hay varios métodos para abrir puertos a través del Web Proxy, solo me queda compartir con ustedes unos links con información adicional acerca de estos procedimientos:

http://support.microsoft.com/kb/283284

http://technet.microsoft.com/en-us/library/cc302450.aspx

 

Hasta la próxima !!!

Etiquetado , , ,

Tipos de Reglas en ISA Server / Forefront TMG

FWPolicy1

Un tema que muchas veces causa confusión entre las personas que se inician en Forefront TMG o sus predecesores es cuales tipos de reglas existen, como puedo crearlas y sobre todo, sobre que escenario debo usar una u otra.

Para aclarar un poco este tema, voy a escribir un poco acerca de las opciones que tenemos disponibles para administrar la configuración o políticas de nuestra red.

Inicialmente quisiera aclarar que tanto ISA Server como Forefront TMG son Firewall de tipo Top-Down lo que significa que se evalúan las reglas de arriba hacia abajo (por eso es importante el orden en que se encuentren las reglas ) y una vez que se encuentre alguna regla que permita o deniegue el trafico las demás reglas no son evaluadas.

Básicamente vamos a tener cuatro tipos de reglas con las que podremos interactuar en nuestro ambiente: Reglas de Acceso, Reglas de Publicación, Reglas del Sistema y Reglas de Red.

1. Reglas de Acceso: estas reglas controlan el acceso entre las redes que tengamos definidas en el servidor Forefront TMG / ISA Server y en conjunto con las reglas de red, definirán que y como compartimos los recursos entre las mismas.

2. Reglas de Publicación: estas reglas controlan el acceso de trafico entrante (Inbound) a los servidores que tengamos publicados detrás de ISA Server / Forefront TMG en esta clasificación tenemos varios sub-tipos de reglas como son: publicaciones web, publicaciones Exchange, publicaciones SharePoint o publicaciones de servidores no web como FTP o DNS.

3. Reglas del Sistema: estas son un conjunto de reglas predeterminadas que controlan el acceso desde y hacia la red Local Host (ósea el propio servidor ISA Server / Forefront TMG) además habilitan la infraestructura necesaria para administrar la conectividad y la seguridad de la red.

4. Reglas de Red: acá básicamente se define la relación entre dos redes que pertenezcan a ISA Server / Forefront TMG, estas relaciones pueden ser de tipo Ruta o Traducción (NAT).

Mas Información:

http://technet.microsoft.com/es-ar/library/dd897107.aspx

http://technet.microsoft.com/es-es/library/dd440991.aspx

http://technet.microsoft.com/es-ar/library/bb794729.aspx

 

Hasta la próxima !!!

Etiquetado , ,