Latest Entries »

FortiGate Equilibrio de carga/balanceo de carga  WAN

La Sincronización de tiempo es un aspecto importante para todos los equipos de la red . De forma predeterminada , los equipos cliente obtienen su hora desde un controlador de dominio y el controlador de dominio obtiene su tiempo de operación de maestro PDC del dominio.  Una recomendacion es sincronizar el PDC con una fuente externa . Yo suelo usar los servidores que aparecen en el sitio web de Project Pool NTP. Recuerden que para que esto funciona es necesario  abrir el puerto 123 UDP por defecto ( entrada y salida) en el Firewall

  1. Saber cual es el PDC , correr el siguiente comando en un Domain controller:   netdom /query fsmo
  2. Logearse al Domain Controller que es PDC.
  3. Stopear el servicio   net stop w32time
  4. Configurar la fuente externa  w32tm /config /syncfromflags:manual /manualpeerlist:0.uk.pool.ntp.org,1.uk.pool.ntp.org /update /reliable:yes
  5. Configurar disponibilidad: w32tm /config /reliable:yes
  6. Prender el servicio nuevamente: net start w32time
  7. Chequear configuracion:  w32tm /query /configuration

Microsoft me ha premiado como “Microsoft® Community Contributor” por mi participación en diferentes foros oficiales de Microsft

312128_268557293191265_1269807853_n

El distintivo de Microsoft Community Contributor se entrega a las personas que realizan contribuciones sobresalientes en las comunidades en línea de Microsoft como, por ejemplo, TechNet, MSDN y la Comunidad Microsoft.

Los participantes que colaboran voluntariamente con su tiempo y energía para mejorar la experiencia de la comunidad en línea para otros realzan enormemente el valor de estos recursos

Cada día en todo el mundo, los miembros que reciben el premio de Microsoft Community Contributor colaboran con las comunidades técnicas en línea de Microsoft

https://www.microsoftcommunitycontributor.com

Mi perfil en TechNet: http://social.technet.microsoft.com/profile/maxi%20moretti

pd: CUando ganare la lotería? jaja

En este post veremos como configurar políticas de contraseñas granuladas por grupo o usuario. Por ejemplo si por políticas de seguridad necesitamos que el área de Ingenieros, tenga una contraseña mínima de 10 caracteres, que caduque cada 7 días, que solo se permitan 2 bad logons… Entre otras cosas

Para mas info: http://technet.microsoft.com/en-us/library/cc770842(WS.10).aspx

-Entramos a “Active Dirctory Administrative Center”

– Luego navegamos el Active directory seleccionamos un usuario y en la derecha seleccionamos “View Resultant Password Settings”

windows-server-password-policy-e-2012-ad-2012-000032

Nos responde que el usuario test no tiene asignada ninguna política de password granulada: windows-server-password-policy-e-2012-ad-2012-000033

Luego sobre la derecha expandimos el dominio en mi caso es morettimaxi.local luego vamos a “system”

windows-server-password-policy-e-2012-ad-2012-000034

Luego a “Password Setting COntainer”windows-server-password-policy-e-2012-ad-2012-000035

Seleccionamos new Password Setting

windows-server-password-policy-e-2012-ad-2012-000036

Por ultimo seleccionamos la política y en Directly apply to, colocamos el grupo al cual queremos que se aplique la política.windows-server-password-policy-e-2012-ad-2012-000037

Este es el primer Post sobre Windows Server 2012. Hace un tiempo que lo vengo probando pero estoy con poco tiempo para subir material.

Hoy veremos como activar la Papelera de Reciclaje para Elementos del AD de Windows server 2012.

EL primer Paso es abrir el ¨Active Directory Administrative center¨

windows-server-papelera-reciclaje-2012-ad-2012-000020

Para que funcione es necesario que el Domain  y el Forest level sea 2012, vamos a realizar el Raise:

windows-server-papelera-reciclaje-2012-ad-2012-000021

Nos dice que teníamos el nivel funcional del forest en 2008 r2, seleccionamos el Raise a 2012:

 

 

windows-server-papelera-reciclaje-2012-ad-2012-000024

 

windows-server-papelera-reciclaje-2012-ad-2012-000025

Seleccionamos  enable Recicly BIn

 

windows-server-papelera-reciclaje-2012-ad-2012-000026

 

Confirmamos windows-server-papelera-reciclaje-2012-ad-2012-000027

 

Nos pide que refresquemos la consola:

windows-server-papelera-reciclaje-2012-ad-2012-000028

 

Nos aparece “Deleted Objects” windows-server-papelera-reciclaje-2012-ad-2012-000029

Para verificar su funcionamiento, elimine un usuario llamado test y el mismo ahora aparece en la papelera:

windows-server-papelera-reciclaje-2012-ad-2012-000030

 

Para restaurarlo botón derecho y luego restore. windows-server-papelera-reciclaje-2012-ad-2012-000031

El DSRM permite restuarar un Active Directory desde un Backup. Para poder iniciarlo hay que iniciar el Servidor apretando f8 y leugo seleecionar iniciar en DSRM.

Para poder iniciar en este modo, es necesario conocer la contraseña de DSRM, la cual puede que no coincida con la cuenta de administrator del dominio, la misma se define la primera vez que se instala el AD.

Para poder tener un PLan de Disaster Recovery es encesario documentar dicha contraseña, si no se la tuviera, el procedimiento para cambairla es el siguiente:

Logearse en el AD ,abrir un cmd con privilegios de administrador y correr:

ntdsutil
  1. luego:
set dsrm password
  1. para resetear la pass de DSRm del servidor al que se esta logeado:
reset password on server null

  1. Para  reset password de otro servidor correr:

reset password on server

Con el siguien logon script se puede cambiar si las pcs tienen ip fija a dinamica (DHCP) de forma automatica:

 

netsh interface ip set address “Local Area Connection” dhcp

 

SI ademas queres cambair los dns”

netsh interface ip delete dns “Local Area Connection” all

Por qué es importante mejorar la seguridad de las cuentas de administrador

Es esencial que las cuentas de administrador sean tan seguras como sea posible para garantizar la protección total de los activos de la red de la organización. Deberá proteger todos los equipos que pueda utilizar un administrador (controladores de dominio, servidores y las estaciones de trabajo que éste utilice). El grupo de TI de su empresa debe garantizar la seguridad de los controladores de dominio y servidores de entidad emisora de certificados, pues se consideran activos de máxima confianza. También deberán protegerse los equipos de escritorio y móviles de los administradores como activos de confianza, pues los administradores los utilizan para administrar de forma remota el bosque, el dominio y la infraestructura.

Por qué no debe iniciar una sesión en su equipo como administrador

Si normalmente inicia la sesión en su equipo como administrador para llevar a cabo las tareas comunes basadas en aplicaciones, hará que el equipo sea vulnerable ante software malintencionado y otros riesgos para la seguridad pues el software malintencionado se ejecutará con los mismos privilegios que se utilizaron para iniciar la sesión. Si visita un sitio de Internet o abre un archivo adjunto a un mensaje de correo, puede dañar el equipo ya que podría descargarse y ejecutarse en su equipo código malintencionado.

Si inicia la sesión como administrador en un equipo local, el código malintencionado podría, entre otras acciones, formatear la unidad de disco duro, eliminar archivos y crear una nueva cuenta de usuario con privilegios administrativos. Si inicia la sesión como miembro del grupo Administradores de dominio, el grupo Administradores de organización o el grupo Administradores de esquema en el servicio de directorio Active Directory®, el código malintencionado podría crear una nueva cuenta de usuario de dominio con acceso administrativo y poner en peligro los datos de dominio, configuración o esquema.

En un equipo local, deber agregar su cuenta de usuario de dominio sólo al grupo Usuarios (y no al grupo Administradores) para llevar a cabo tareas rutinarias como ejecutar programas o visitar sitios de Internet. Cuando sea necesario llevar a cabo tareas administrativas en un equipo local o en Active Directory, utilice el comando Ejecutar como para iniciar un programa con credenciales administrativas.

 

Existen varios grupos y cuentas de usuario administrativo cuyas credenciales pueden utilizarse para iniciar la sesión en un equipo o dominio. Entre las cuentas administrativas del dominio de Active Directory se incluyen las siguientes:

    • La cuenta Administrador, que se crea con la instalación de Active Directory en el primer controlador del dominio. Es la cuenta con más privilegios. La persona encargada de instalar Active Directory en el equipo crea la contraseña de esta cuenta durante la instalación. . De forma predeterminada, la primera cuenta de administrador creada en cada dominio es también el Agente de recuperación de datos (DRA) para el Sistema de cifrado de archivos (EFS) en cada dominio.
    • Las cuentas que cree posteriormente y a las que asigne directamente privilegios administrativos o coloque en un grupo con privilegios administrativos.

 

El número de grupos administrativos en un dominio Active Directory varía según los servicios instalados. Entre los grupos utilizados específicamente para la administración de Active Directory se incluyen:

  • Grupos administrativos que ya existen en el contenedor Builtin; por ejemplo, operadores de cuentas y operadores de servidores. Tenga en cuenta que los grupos del contenedor Builtin no se pueden cambiar de ubicación.
  • Grupos administrativos que ya existen en el contenedor Usuarios; por ejemplo, Administradores de dominio y Propietarios del creador de directivas de grupo.
  • Los grupos que se creen posteriormente y se incluyan en un grupo con privilegios administrativos o a la que se asignen directamente estos privilegios.

Las cuentas y los grupos administrativos predeterminados de un entorno de dominio son:

  • Administradores de organización (existen sólo en los dominios raíz del bosque)
  • Administradores de dominio (existen en todos los dominios)
  • Administradores de esquema (existen sólo en los dominios raíz del bosque)
  • Propietarios del creador de directivas de grupo (existen sólo en los dominios raíz del bosque)
  • Grupo Administradores
  • Cuenta de administrador
  • Cuenta de administrador del modo de restauración de SD (disponible sólo en Modo de restauración de servicios de directorio. Esta cuenta es local para el controlador de dominio y no es una cuenta de todo el dominio. La contraseña para esta cuenta se establece al instalar Active Directory en el equipo).
Tipos de cuenta de administrador

Existen básicamente tres categorías de cuentas de administrador para iniciar la sesión en un equipo o dominio. Cada categoría tiene privilegios y capacidades exclusivas.

  • Cuentas de administrador local. Esta categoría incluye la cuenta de administrador integrada que crea y utiliza Windows Server la primera vez que se instala en un equipo. Esta categoría también incluye cualquier otra cuenta de usuario que posteriormente cree y agregue al grupo Administradores local integrado. Los miembros de este grupo tienen acceso completo sin restricciones al equipo local.
  • Cuentas de administrador de dominio. Esta categoría incluye la cuenta de administrador de dominio integrada que crea y utiliza Active Directory la primera vez que se instala. Esta categoría también incluye cualquier otra cuenta de usuario que posteriormente cree y agregue al grupo Administradores local integrado o al grupo Administradores de dominio. Los miembros de estos grupos tienen acceso completo sin restricciones al dominio y, si no se protegen adecuadamente, a todo el bosque.
  • Cuentas de administrador de bosque. Esta categoría incluye la cuenta de administrador de dominio integrada del primer dominio creado en el bosque, que se denomina dominio raíz del bosque, porque la cuenta de administrador del dominio raíz del bosque se agrega automáticamente al grupo Administradores de organización al instalar Active Directory. Esta categoría también incluye cualquier otra cuenta de usuario que posteriormente cree y agregue al grupo Administradores de organización. Los miembros del grupo Administradores de organización tienen acceso completo sin restricciones a todo el bosque. Los administradores de organización también pueden instalar entidades emisoras de certificados, que pueden utilizarse para suplantar a cualquier usuario del bosque.

Principios para mejorar la seguridad de las cuentas de administrador

Al planear cómo proteger mejor sus cuentas administrativas, debe:

  • Aplicar el principio de privilegios mínimos
  • Seguir las directrices de prácticas recomendadas para mejorar la seguridad de las cuentas de administrador
Principio de privilegios mínimos

. El principio es simple y el efecto de aplicarlo correctamente aumenta considerablemente la seguridad y reduce los riesgos. El principio especifica que todos los usuarios deben iniciar la sesión con una cuenta de usuario que sólo tenga los permisos mínimos necesarios para llevar a cabo la tarea actual. Ésta es una forma de protección contra código malintencionado, entre otros ataques. Este principio es válido para los equipos y para los usuarios de dichos equipos.

 

Debe otorgar a todos los usuarios administradores de dominio sus privilegios de dominio según el concepto de privilegios mínimos. Por ejemplo, si un administrador inicia la sesión con una cuenta con privilegios e inintencionadamente ejecuta un programa de virus, el virus tendrá acceso administrativo al equipo local y a todo el dominio. Si el administrador hubiera iniciado la sesión con una cuenta sin privilegios (no administrativa), el virus sólo afectaría al equipo local pues se ejecuta como usuario del equipo local.

Prácticas recomendadas para mejorar la seguridad de las cuentas de administrador

Entre las directrices de prácticas recomendadas que debe seguir para mejorar la seguridad de las cuentas administrativas en Windows Server   incluyen:

  • Separar las funciones Administrador de dominio y Administrador de organización.
  • Separar las cuentas de usuario y administrador.
  • Utilizar el servicio de inicio de sesión secundario.
  • Ejecutar una sesión independiente de Servicios de Terminal Server para administración.
  • Cambiar el nombre de la cuenta Administrador predeterminada.
  • Crear una cuenta Administrador señuelo.
  • Crear una cuenta de administrador secundaria y deshabilitar la cuenta Administrador integrada.
  • Habilitar el bloqueo de la cuenta para inicios de sesión de administrador remotos.
  • Crear una contraseña de administrador segura.
  • Detectar automáticamente contraseñas poco seguras.
  • Utilizar credenciales administrativas sólo en equipos de confianza.
  • Auditar las cuentas y contraseñas periódicamente.
  • Prohibir la delegación de cuentas.
  • Controlar el proceso de inicio de sesión administrativa.

Capítulo 3: Directrices para mejorar la seguridad de las cuentas de administrador

Descripción general de las directrices para mejorar la seguridad de las cuentas de administrador.
Separar las cuentas de usuario y administrador

Para cada usuario que desempeñe una función de administrador, debe crear dos cuentas: una cuenta de usuario normal para las tareas cotidianas típicas, como correo electrónico y otros programas, y una cuenta administrativa únicamente para las tareas administrativas. No debe habilitar estas cuentas administrativas para el correo electrónico, utilícelas para ejecutar programas estándar o explorar Internet. Cada cuenta debe disponer de una contraseña única. Si adopta estas precauciones simples, contribuirá a reducir considerablemente la exposición de las cuentas a los riesgos externos y la cantidad de tiempo que las cuentas administrativas están activas en un equipo o dominio.

Utilizar el servicio de inicio de sesión secundario

En Microsoft Windows® se pueden ejecutar programas como un usuario distinto del que ha iniciado la sesión actualmente. En Windows 2000, el servicio Ejecutar como proporciona esta capacidad, mientras que en Windows XP y Windows Server 2003, se denomina servicio de inicio de sesión secundario. Los servicios Ejecutar como e Inicio de sesión secundario son el mismo pero con nombres distintos.

El inicio de sesión secundario permite a los administradores iniciar sesión en el equipo con una cuenta no administrativa y, sin cerrar la sesión, llevar a cabo tareas administrativas mediante la ejecución de programas administrativos de confianza en contextos administrativos.

Para cambiar el nombre de la cuenta Administrador predeterminada en un dominio

  1. Inicie sesión como miembro del grupo de administradores de dominio (pero no la cuenta Administrador integrada) y, a continuación, abra Usuarios y equipos de Active Directory.
  2. En el árbol de consola, haga clic en Users.
  3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en Administrador y, a continuación, haga clic en Cambiar nombre.
  4. Escriba un nombre y unos apellidos ficticios y, a continuación, presione Entrar.
  5. En el cuadro de diálogo Cambiar nombre de usuario, modifique los valores de los campos Nombre completo, Nombre, Apellidos, Nombre para mostrar, Nombre de inicio de sesión de usuario y Nombre de inicio de sesión de usuario (anterior a Windows 2000) para que coincidan con los de la cuenta ficticia y, a continuación, haga clic en Aceptar.
  6. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el nuevo nombre y, a continuación, haga clic en Propiedades.
  7. Haga clic en la ficha General. En el cuadro Descripción, elimine Cuenta para la administración del equipo o dominio y, a continuación, escriba una descripción similar a las demás cuentas de usuario (en muchas organizaciones este valor está en blanco).
  8. Haga clic en Aceptar.

Para cambiar el nombre de la cuenta Administrador local predeterminada

  1. Inicie sesión como miembro del grupo Administradores local (pero no la cuenta Administrador integrada) y abra la herramienta de complemento Usuarios locales y grupos en la consola Administración de equipos.
  2. En el árbol de consola, expanda Usuarios locales y grupos y, a continuación, haga clic en Usuarios.
  3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en Administrador y, a continuación, haga clic en Cambiar nombre.
  4. Escriba un nombre y unos apellidos ficticios y, a continuación, presione Entrar.
  5. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el nuevo nombre y, a continuación, haga clic en Propiedades.
  6. Haga clic en la ficha General. En el cuadro Nombre completo, escriba el nuevo nombre completo. En el cuadro Descripción, elimine Cuenta para la administración del equipo o dominio y, a continuación, escriba una descripción similar a las demás cuentas de usuario (en muchas organizaciones este valor está en blanco).
  7. Haga clic en Aceptar.

Cc162797.note(es-es,TechNet.10).gifNota: también existe una configuración de objeto de directiva de grupo (GPO) que puede utilizar para cambiar el nombre de la cuenta Administrador predeterminada en gran cantidad de equipos. No obstante, esta configuración no permite modificar la descripción predeterminada. Para obtener más información, consulte el artículo de Knowledge Base HOW TO: Rename the Administrator and Guest Account in Windows Server 2003 en http://support.microsoft.com/default.aspx?scid=kb;en-us;816109.

Crear una cuenta Administrador señuelo

La creación de una cuenta Administrador señuelo agrega un nivel adicional de protección. Puede engañar a un atacante que planee un ataque de contraseña en la cuenta Administrador para que lo haga en una cuenta que no tenga privilegios especiales, por lo que es muy poco probable que el atacante descubra que ha cambiado el nombre de la cuenta Administrador. También es aconsejable para detener a un atacante, asegurándose de que esta cuenta señuelo no se bloquea y estableciendo una contraseña segura. Después de crear la cuenta señuelo, debe asegurarse de que no es miembro de ningún grupo de seguridad con privilegios y, a continuación, supervise el uso de la cuenta por si se produce alguna actividad inesperada, como errores de inicio de sesión. Para obtener más información, consulte Seguridad en grupos administrativos y cuentas de Active Directory en http://www.microsoft.com/technet/security/topics/networksecurity/sec_ad_admin_groups.mspx.

Para crear una cuenta Administrador señuelo en un dominio

  1. Inicie sesión como miembro del grupo Admins. del dominio y abra Usuarios y equipos de Active Directory.
  2. Haga clic con el botón secundario del mouse (ratón) en el contenedor Users, seleccione Nuevo y, a continuación, haga clic en Usuario.
  3. En los cuadros Nombre y Nombre de inicio de sesión de usuario, escriba Administrador y, a continuación, haga clic en Siguiente.
  4. Escriba una contraseña y confírmela.
  5. Desactive la casilla de verificación El usuario debe cambiar la contraseña al iniciar una sesión de nuevo y, a continuación, haga clic en Siguiente.
  6. Compruebe que la información de la cuenta señuelo es correcta y, a continuación, haga clic en Finalizar.
  7. En el panel de detalles, haga clic con el botón secundario del mouse en Administrador y, a continuación, haga clic en Propiedades.
  8. Haga clic en la ficha General. En el cuadro Descripción, escriba Cuenta para la administración del equipo o dominio y, a continuación, haga clic en Aceptar.

Para crear una cuenta Administrador señuelo local

  1. Inicie sesión como miembro del grupo Administradores local y abra la herramienta de complemento Usuarios locales y grupos en la consola Administración de equipos.
  2. En el árbol de la consola, amplíe Usuarios locales y grupos.
  3. Haga clic con el botón secundario del mouse (ratón) en la carpeta Usuarios y, a continuación, haga clic en Nuevo usuario.
  4. En el cuadro Nombre de usuario, escriba Administrador. En el cuadro Descripción, escriba Cuenta para la administración del equipo o dominio.
  5. Escriba una contraseña y confírmela.
  6. Desactive la casilla de verificación El usuario debe cambiar la contraseña al iniciar una sesión de nuevo.
  7. Haga clic en Crear.
Crear una contraseña de administrador segura

Utilice una contraseña segura para la cuenta Administrador integrada. Una contraseña segura minimiza la amenaza de que un atacante averigüe la contraseña y obtenga las credenciales de la cuenta Administrador. Una contraseña de cuenta de administrador segura debe:

  • Contener 15 caracteres como mínimo.
  • No contener un nombre de cuenta, nombre real o nombre de compañía.
  • No contener una palabra de diccionario completa, ni siquiera de argot o jerga, en ningún idioma.
  • Ser considerablemente distinta de las contraseñas anteriores. Las contraseñas que incluyen un incremento (Contraseña1, Contraseña2, Contraseña3, …) no son seguras.
  • Contener caracteres, como mínimo, de tres de los cinco grupos enumerados en la tabla siguiente.

Con este comando de Powershell podran obtener un reporte de todas sus computadores y servidores y su sistema operativo, como asi tambien Services Packs y demas.

Get-ADComputer -Filter * -Properties * | Select-Object name, operating* | fl

Ejemplo de  Output:

name                       : SERVER2 OperatingSystem            : Windows Server 2003 OperatingSystemHotfix      : OperatingSystemServicePack : Service Pack 2 OperatingSystemVersion     : 5.2 (3790)

name                       : server3 OperatingSystem            : Windows Server 2008 R2 Enterprise OperatingSystemHotfix      : OperatingSystemServicePack : Service Pack 1 OperatingSystemVersion     : 6.1 (7601)

En este Post veremos Un VB Script, el cual deben guardarlo como *.vbs, deben colocarlo por gpo como logon Script. El mismo permite,
• Mapear la home folder de cada usuario,
•Mapear una carpeta publica
•Dependiendo a que grupo pertenezca le creara una unidad de red. Por ejemplo si un usuario pertenece al grupo ventas, le mapeara una unidad de red definida en el Script
•Segun el grupo de Pertenencia le mapeara una Impresora.

—————————————————————————————————————————————————–

' Se debe cambiar cn=ventas por el grupo de AD al que pertenece el usuario.

' Obtener informacion del usario:

Set ADSysInfo = CreateObject("ADSystemInfo")

Set CurrentUser = GetObject("LDAP://" & ADSysInfo.UserName)

strGroups = LCase(Join(CurrentUser.MemberOf))

' Mapear la Home folder de cada usuario.

Set wshNetwork = CreateObject("WScript.Network")

wshNetwork.MapNetworkDrive "H:", "\\servidor\homefolders\" & wshNetwork.UserName

'Mapeo de Share publico:

wshNetwork.RemoveNetworkDrive "P:"

wshNetwork.MapNetworkDrive "P:", \\servidor\Public

'Mapeo segun Grupo de pertenencia

If InStr(strGroups, "cn=Ventas,") Then

wshNetwork.MapNetworkDrive "V:", \\servdidor\ventas

End if

If InStr(strGroups, "cn=rrhh,") Then

wshNetwork.MapNetworkDrive "R:", \\servidor\RRHH

End if

'Mapeo de Impresora segun grupo de pertenencia mapea y pone 'como impresora por default la printer1

If InStr(strGroups, ventas) Then

wshNetwork.AddWindowsPrinterConnection "\\printserver\printer1"

wshNetWork.SetDefaultPrinter "\\printserver\printer1"

End if

 

Si les da el siguiente error, cuando intentan mapear una unidad de red que ya esta en uso:

The local device name is already in use.

Se debe utilizar la siguiente condicion:

Dim objFSO, strDrive, strShare
Set objFSO = CreateObject(“Scripting.FileSystemObject”)
strDrive = “H:”
strShare = “\\fileserver\novellmain”
If objFSO.DriveExists(strDrive) = True Then
objNetwork.RemoveNetworkDrive strDrive
End If
objNetwork.MapNetworkDrive strDrive, strShare