Category: varios


La idea de este post es poder  realizar copias de seguridad del  contenido y la configuración de IIS con la frecuencia que querramos, teniendo en cuenta las necesidades de cada entorno .

Copia de seguridad de contenido IIS

Se  incluir el comando xcopy en un simple script para copiar y hacer copias de seguridad de IIS . Xcopy ofrece parámetros útiles para los permisos de copia, la configuración de auditoría, y la copia de archivos ocultos.

Para poder ejecutar scripts y programarlos debe el usario debe ser administrador local del equipo . Microsoft, por cuestiones de seguridad recomendia logearse al equipo con un usuario con los permisos minimos y luego abrir las herramientas que necesitemos usar con el comando “”run as””

x copy sintaxis:

xcopy Source Destination [/o] [/x] [/e] [/h] [/y] [c]

Table 9.11 Xcopy Parameters
Parameter Description
Source Specifies the name of the source server.
Destination Specifies the name of the destination server.
o Copies ACLs.
x Copies auditing settings (used with /o).
e Copies the empty directories.
h Copies the hidden directories.
y Overwrites without prompting.
c Continues to copy even if errors occur.

Copia de seguridad de configuración de IIS

Para realizar copias de seguridad de la metabase, se puede ejecutar el comando

Con Iisback.vbs script  y el parametro /backup , crea una respaldo de la metabase en:  \ System32 \ inetsrv \ metaback.

A continuación, sde be copiar los respaldo generados en  \ System32 \ Inetsrv MetaBack \. Los archivos que se crean tienen extension:  ** .MD   y *.SC,

Ejemplo:

set server=myserver
set name=%date%-%server%
iisback /backup /b %name% /e %password%
xcopy %windir%\system32\inetsrv\metaback\%name%.* \\mybackupserver\share$\%server%  
xcopy /o /x /e /h /y /c c:\web \\mybackupserver\share$\%server
%password%  Se debe reemplazar por la contrasena que deseen
c:\web debe reemplazarse por la ubicacion fisica de los direcions del IIS (generaalmente: inetpub\wwwroot) 


Luego guardar este script como .bat y crear una tarea programada. Para mas informacion les dejo un link: http://support.microsoft.com/kb/308569/es

Shadow copy y seguridad forense

Introducción

Volume Shadow Copy Service, VSS, es una herramienta de Control de versiones que forma parte de Microsoft Visual Studio. Por ejemplo,es posible recuperar versiones anteriores de un determinado fichero con extrema comodidad. Desde el punto de vista del usuario, VSS es como una pequeña máquina del tiempo integrada en el sistema que permite retroceder y obtener información generada en el pasado.

shadow copy forensics

Esto es posible ya que VSS ejecuta copias en un determinado volumen, en un momento específico del tiempo a intervalos regulares, permitiendo que el usuario restaure versiones previas con suma comodidad. Aunque, desde el punto de vista forense, VSS podría ser mirado con otros ojos: el analista forense, en caso de querer recuperar material, no necesita realizar carving del espacio no asignado, ni reconstrucciones específicas de bloques del sistema de ficheros, ni nada parecido. Podría bastarle con acceder a una shadow copydeterminada, y recuperar allí cómodamente lo que se anda buscando.

Estos servicios se implementaron originalmente en Windows XP SP2, si bien en aquel entonces el concepto era totalmente distinto, habida cuenta que las copias que se producen en dicho sistema no son persistentes. Las primeras funcionalidades de copia persistente, es decir, la que no desaparece aunque se reinicie el sistema, se remontan a Windows 2003, y desde entonces todas las versiones, Vista, Windows 7 y 2008 han ido añadiendo soporte a los servicios VSS no persistentes, con ligeras variaciones. Windows 7 es el primer sistema que además de incorporar servicios nativos VSS, dispone de un interfaz gráfico para su gestión.

Determinación del proveedor de servicio VSS y presencia de copiasshadow

Para identificar la presencia de VSS recurrimos al comando vssadmin, que permite enumerar los proveedores existentes:

shadow copy forensics

Como se puede apreciar, esta máquina dispone de servicios VSS, con lo que el siguiente paso sería determinar si VSS ha generado copias, para lo cual también usaremos vssadmin:

shadow copy forensics

En la última captura, el sistema me informa de la existencia de dos copiasshadow en mi sistema. Existirá siempre una traducción entre el volumen original y la shadow copy correspondiente, en este caso, el volumen original es (C:)\\?\Volume{b072baad-d0ae-11df-ae4c-806e6f6e6963}\ y dicho volumen tiene asociadas dos copias, \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1 y \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2

Extracción forense de las copias shadow

Para ilustrar cómo se analizan las copias vamos a ejecutar la extracción en el sistema en ejecución. Por favor, hay que tener  en cuenta que cuando se hace una adquisición en un sistema que está en ejecución, cualquier cosa que ejecutemos provocará cambios en el sistema, especialmente si traemos herramientas externas al sistema. . En este caso, para simplificar el proceso, emplearemos dd.exe para Windows desde el propio sistema, aunque esta operación es posible realizarla por ejemplo, desde una máquina Unix de análisis forense conectada en red con la máquina a analizar. Al ser volúmenes, desde un punto de vista de dd, es posible realizar una copia bit a bit de dichos volúmenes al igual que las haríamos en otro volumen convencional. El único requisito que tenemos que tener presente es que las copias sólo son accesibles con el sistema en ejecución, es decir, los volúmenes no pueden ser consultados si el sistema que las genera no está cargado.

Para realizar la copia, necesitaremos recordar la nomenclatura de los dispositivos que hemos identificado anteriormente. Tampoco perder de vista que al extraer una copia shadow, obtendremos una imagen del sistema a analizar, independientemente de que el método de conservación se base en detecciones incrementales de cambios, con lo que es de esperar un tamaño elevado, especialmente en las versiones modernas de Windows, que suelen tener un tamaño base importante. Y tamaño elevado siempre implica tiempo elevado, especialmente en unidades de disco que no son de estado sólido:

C:\forensics>dd if=\\.\HarddiskVolumeShadowCopy2 of=c:\forensics\shadow.dd

Esta copia puede ser después montada en la estación forense para realizar las tareas habituales, tales como generación de una línea temporal, búsqueda de cadenas, y carving de ficheros eliminados. Una vez extraída no sufriremos la dependencia del sistema operativo que las ha generado, y podemos aplicar las técnicas de análisis que estimemos oportunas.

Examen mediante enlaces simbólicos

Es posible realizar un examen en el sistema en ejecución mediante enlaces simbólicos. Este método puede ser útil si lo que se desea es acceder a los contenidos de la copia shadow para una inspección visual rápida. Para esta operativa se emplea el comando nativo mklink con la opción -d que indica que queremos realizar un enlace mediante un directorio:

C:\windows\system32>mklink /d c:\copiashadow \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\
symbolic link created for c:\copiashadow < <===>> \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\

No olvidés cerrar el volumen con \, de lo contrario, no podréis acceder a los contenidos. Una vez creado el enlace se puede analizar cómodamente. Aquí se muestra un ejemplo de la segunda copia shadow, que además, incluye otros enlaces simbólicos creados anteriormente. Este directorio es totalmente navegable, y por defecto, montado en sólo lectura.
shadow copy forensics

Implicaciones forenses

Las implicaciones prácticas de las shadow copies son inmediatas. Puedo eliminar un fichero del sistema, e instantáneamente, recuperarlo de la copia. En este ejemplo eliminamos el fichero Thumbs.db en el volumen anfitrión, pero ese fichero está disponible en la shadow copy que hemos enlazado:

shadow copy forensics

Planteamientos como la extremadamente fácil recuperación forense de información en volúmenes de este tipo, cabe preguntarse si merece la pena emplearlos o no. Desde el punto de vista del usuario en la mayoría de las ocasiones sólo se apreciará lo cómodo que es recuperar un fichero borrado o sobreescrito accidentalmente, pero no todo el mundo es consciente de la cantidad de trazas que están dejando tras de sí, lo que pone en bandeja al analista forense la recuperación de información. Ni que decir tiene que ese analista forense podría ser también un usuario malicioso con acceso al disco.

Estan activados mis equipos de la red?

Existen 2 tipos de activaciones:

  •  MAK (Múltiple Activation Keys) Que se activan directamente contra el servidor de Microsft
  •  KMS (Key Management Service), para lo que deberíamos definir el servidor interno. 

Para mas info: Volume Activation en la TechNet Library

La instalación de claves y activación remota pueden hacerse con ayuda del script SLMGR.VBS, en particular:

  • slmgr.vbs <equipo remotorio> <contraseña> –ipk >clave de producto>
  • slmgr.vbs <equipo remotorio> <contraseña> –ato

Pero a medida que crece la infraestructura  va creciendo se complica: la gestión remota, el inventariado y la monitorización del estado de los sistemas y su estado de activación:

La VAMT 2.0 nos permite en minutos, hacer consultas a del estado de nuestros equipos, por conjunto de IPs, Directorio Activo, Grupo de trabajo o repositorio LDAP, y almacenar las claves de los productos para usarlas en caso de tener que instalarlas y activarlas remotamente::

image

Hacemos una consulta al dominio para obtener el estado de todos los equipos:

image

Obtenemos que algunos equipos no están correctamente activados:

image

Seleccionamos uno de ellos, le introducimos la clave correspondiente de las que tenemos almacenadas;

imageimage          image

y lo activamos de manera remota:

image

Sin título

Mas información:

Se vera en un ambiente de dominio con Windows Server 2008R2 y Windows 7, donde se desarrollará una configuración simple demostrando el uso de la tan desaprovechada Asistencia Remota, para que que el personal de soporte de usuarios pueda ver y tomar control remoto de máquinas de usuarios y solucionar problemas remotamente. Y sin utilizar aplicaciones de terceras partes.

El motivo por el cual menciono que esta potente opción es tan desaprovechada, se debe principalmente a la complejidad de la implementación inicial, según la cual el usuario que necesita ayuda debía entrar en la Ayuda del sistema y crear una Invitación que luego debía enviar por correo, Messenger o dejar en una carpeta compartida, donde el soporte debía acceder.

Con el procedimiento que demostraremos alcanza con que el usuario pida ayuda al soporte de cualquier forma humana de comunicarse, ya sea telefónicamente o cualquier otro medio.

Tanto los nombres de máquina utilizados como las direcciones IP pueden ser cambiados con tal que se respete el procedimiento. La configuración inicial de partida es muy simple, ya que se trata de un Controlador de Dominio Windows Server 2008R2 Enterprise Edition, y dos clientes Windows Vista 7 Ultimate unidos al dominio.

1.- Procedimientos Iniciales

En el controlador del dominio  en nivel funcional Nativo Windows 2008R2. Igualmente el nivel funcional del Bosque. Por supuesto, tiene instalado el servicio DNS y es Catálogo Global ya que es el único controlador de dominio del dominio en un único Bosque.

Preparación de la Estructura del Dominio

  • Abrimos Active Directory Users and Computers
  • Creamos una Unidad Organizativa “Clientes” donde tendremos la cuenta de máquina “cl1” que recibirá el soporte y una cuenta de usuario normal que pedirá luego ayuda, y yo llamaré “User Uno” . Esta cuenta de usuario podría estar creada en otra Unidad Organizativa

  • Creamos otra Unidad Organizativa “Soporte” donde crearemos la cuenta de máquina “cl2” desde donde se brindará el soporte
  • Dentro de esta última Unidad Organizativa, creamos una cuenta de usuario normal, que para este caso yo llamaré “Soporte Uno”  y un grupo global que yo llamaré “SoporteUsuarios-GG”. El usuario “s1″ pertenece al grupo “SoporteUsuarios-GG” Este usuario y el grupo podrían estar en cualquier otra Unidad Organizativa

Creación y Configuración de Directiva de Grupo para Asistencia Remota No Solicitada

  • Desde Group Policy Management creamos una directiva enlazada a la Unidad Organizativa Clientes, que yo llamaré “Clients-GPO” y configurando las siguientes opciones
    • Computer Configuration / Policies / Administrative Templates / System / Remote Assistance
      • Solicited Remote Assistance: Enabled
        Offer Remote Assistance de acuerdo a la figura

Verificación de Configuración por Omisión y Aplicación de Directivas

  • Debemos verificar que en “cl1” está permitida la Asistencia Remota; esto es así por omisión

  • Como medida precautoria debemos estar seguros que cada cuenta de máquina se encuentra en la respectiva Unidad Organizativa, y además que está recibiendo la directiva de grupo, por lo cual no es mala idea que reiniciemos el equipo “cl1”.

2.- Demostración

Para esta demostración, vamos a suponer que User Uno tiene dificultad en ejecutar una tarea y se comunica telefónicamente con Soporte  para que lo asista.

Desde “cl2” que es donde está trabajando Soporte Uno, lo único que tiene que conocer es el nombre de máquina del usuario que pide ayuda, “cl1” en nuestro caso. A partir de ese momento, en el cuadro de búsqueda del menú inicio escribeMSRA y ejecuta Microsoft Remote Assistance, seleccionando las opciones:

  • Help someone who has invited you
  • Advanced conection option for help desk (es un enlace)
  • Ingresar el nombre del equipo al cual se quiere acceder
  • En el equipo que solicita ayuda, en nuestro caso “cl1” se mostrará un cuadro de diálogo, preguntando si deja acceder al soporte a ver el escritorio
  • A partir que el usuario acepte que el soporte vea el escritorio, éste podrá observar en forma directa la pantalla del otro equipo
  • Y si fuera necesario, puede tomar control remoto del mismo, previa aprobación del usuario
Material de: Guillermo DelPlato

Bueno este es un post bastante pobre, pero son comandos que nos ayuden a agilizar el trabajo, y ademas si nos estan observando pareciera que sabemos 🙂

Consola

Comando
AD Domains and Trusts domain.msc
Active Directory Management admgmt.msc
AD Sites and Services dssite.msc
AD Users and Computers dsa.msc
ADSI Edit adsiedit.msc
Authorization manager azman.msc
Certification Authority Management certsrv.msc
Certificate Templates certtmpl.msc
Cluster Administrator cluadmin.exe
Computer Management compmgmt.msc
Component Services comexp.msc
Configure Your Server cys.exe
Device Manager devmgmt.msc
DHCP Management dhcpmgmt.msc
Disk Defragmenter dfrg.msc
Disk Manager diskmgmt.msc
Distributed File System dfsgui.msc
DNS Management dnsmgmt.msc
Event Viewer eventvwr.msc
Indexing Service Management ciadv.msc
IP Address Manage ipaddrmgmt.msc
Licensing Manager llsmgr.exe
Local Certificates Management certmgr.msc
Local Group Policy Editor gpedit.msc
Local Security Settings Manager secpol.msc
Local Users and Groups Manager lusrmgr.msc
Network Load balancing nlbmgr.exe
Performance Monitor perfmon.msc
PKI Viewer pkiview.msc
Public Key Management pkmgmt.msc
QoS Control Management acssnap.msc
Remote Desktops tsmmc.msc
Remote Storage Administration rsadmin.msc
Removable Storage ntmsmgr.msc
Removable Storage Operator Requests ntmsoprq.msc
Routing and Remote Access Manager rrasmgmt.msc
Resultant Set of Policy rsop.msc
Schema management schmmgmt.msc
Services Management services.msc
Shared Folders fsmgmt.msc
SID Security Migration sidwalk.msc
Telephony Management tapimgmt.msc
Terminal Server Configuration tscc.msc
Terminal Server Licensing licmgr.exe
Terminal Server Manager tsadmin.exe
UDDI Services Management uddi.msc
Windows Management Instrumentation wmimgmt.msc
WINS Server manager

winsmgmt.msc