Remote Desktop – Escritorio Remoto: Configuraciones Básicas para Limitar Usuarios


Continuando esta serie de notas sobre Remote Dekstop – Escritorio Remoto, y específicamente esta es continuación de “Remote Desktop – Escritorio Remoto: Configurar una GPO Para Limitar a Usuarios Excepto Administradores” vamos a ver algunas configuraciones básicas y típicas, para que las conexiones de usuario no afecten al servidor y por lo tanto a otros usuarios

Aunque por supuesto el sistema está protegido relativamente por los bajos privilegios que tiene un usuario normal, siempre viene bien evitar que tengan acceso a determinadas aplicaciones que pueden ser peligrosas

Veremos sólo algunas configuraciones que considero básicas, pero cada uno debe evaluar su entorno, y determinar cuáles pueden interesarles

Seguir leyendo

GPOs No Se Aplican (MS16-072 – KB3163622 y KB2919355)


En los últimos días he recibido varias consultas con un síntoma que aparentemente es extraño: algunas Directivas de Grupo (GPOs) que funcionaban perfectamente, dejaron de aplicarse

Son cosas que parecen raras, sólo algunas GPOs, y específicamente unas pocas, donde lo que tenían en común era que se había aplicado algún filtrado de seguridad, pero no en todas

Investigando y comentando con compañeros encontramos el motivo, todo fue provocado por una actualización de los sistemas operativos, todos desde Windows Vista hasta Windows Server 2012 R2

Seguir leyendo

Remote Desktop – Escritorio Remoto: Ocultar Discos


Continuando con esta serie de notas para limitar usuarios en el acceso a Escritorio Remoto, y contribuir a la seguridad del servidor, en esta nota veremos las dos opciones que tenemos para ocultar los discos locales del servidor a los usuarios

La demostración de esta nota está basada en la configuración que he hecho sobre las dos anteriores

Hay dos opciones parecidas para esta nota, una que permite ocultar y otra que evita acceder a los discos, vamos a ver las diferencias y las consecuencias de cada una de ellas

Seguir leyendo

Remote Desktop – Escritorio Remoto: Configurar una GPO Para Limitar a Usuarios Excepto Administradores


Continuando con la nota anterior “Remote Desktop – Escritorio Remoto: Instalación Simple y Personalizada en Dominio” y con el objetivo de cómo podremos (en futuras notas) limitar las capacidades de un usuario cuando se conecta a un servidor utilizando Escritorio Remoto, lo primero es crear y vincular una GPO que tenga dos temas en cuenta:

  • Que las restricciones anteriores no se apliquen a los administradores
  • Que sean limitaciones específicas para cuando se conecte al servidor usando Escritorio Remoto, pero que no se apliquen a su máquina individual

Para cumplir con estos objetivos debemos denegar el permiso de aplicar la GPO a los administradores y además usar el procedimiento de aplicación de GPO de bucle invertido

Seguir leyendo

Remote Desktop – Escritorio Remoto: Instalación Simple y Personalizada en Dominio


Hace ya tiempo que he escrito notas sobre “Remote Desktop – Escritorio Remoto”, su instalación y configuración, pero he observado que en muchos casos se necesita una instalación más simple, o aún personalizada de la instalación

Esto es lo que haré en esta nota, y que luego aprovecharé en otras subsiguientes mostrando cómo podremos mejorar la seguridad y limitar muy específicamente qué aplicaciones y configuraciones podrán hacer los usuarios, como así también qué le podremos ocultar en la sesión  remota del servidor

Para el que quiera repasar el tema pongo los enlaces a las tres series anteriores en el blog:

 

Seguir leyendo

Remote Desktop – Escritorio Remoto: Configuración del Licenciamiento (RD-CALs) en Grupo de Trabajo (“Workgroup”)


Continuando la nota anterior “Remote Desktop – Escritorio Remoto: Instalación Básica en Grupo de Trabajo (“Workgroup”)” en esta vamos a proceder a la configuración del licenciamiento de Escritorio Remoto, que no es tan sencilla como en ambiente de Dominio Active Directory, una parte se hace a través de la Directiva Local de Seguridad

Además, al estar en Grupo de Trabajo, sólo se puede licenciar por dispositivo, y no por usuario

Recuerdo que Escritorio Remoto requiere licenciamiento aparte de las CALs (“Client Access Licenses”) que permiten acceder al servidor. Para Escritorio Remoto se deben adquirir RD-CALs (“Remote Desktop CALs”), y además instalar y activar el servicio de licenciamiento

Seguir leyendo

Remote Desktop – Escritorio Remoto: Instalación Básica en Grupo de Trabajo (“Workgroup”)


Muchas veces he visto la consulta sobre la utilización de Remote Dekstop – Escritorio Remoto en ambiente de Grupo de Trabajo. No es que no se pueda, sino que el procedimiento de instalación es diferente, y la funcionalidad reducida con respectoa a la implementación en ambiente de Dominio Active Directory

No se pueden utilizar los procedimientos “normales” de instalación y configuración denominados “Quick Start” y “Standard Deployment” que he documentado en notas anteriores, hay que hacerlo de forma diferente

Además veremos cómo podemos solucionar el mensaje de advertencia sobre el certificado no confiable del servidor que da por omisión

Seguir leyendo

Bitlocker en Controladores de Dominio: Configuración y Recuperación


Los Controladores de Dominio son máquinas que hay que asegurar de forma especial, ya que contienen “lo más valioso de la red” como son los usuarios y sus correspondientes contraseñas, ademas de informacio importante derl Dominio

Bitlocker es un método muy seguro para proteger los datos a nivel de volumen de disco, pero esta seguridad tienen un precio, ya que si no se implementa adecuadamente se corre el riesgo de justamente perder “lo más valioso de la red”

Complementando la informacion de esta nota pueden consultar: “Bitlocker: Recuperar Acceso a Datos

Como un ejercicio de práctica de laboratorio decidí hacer esta nota donde implementaré el cifrado del volumen en un Controlador de Dominio, y luego simulando una pérdida de la máquina, cómo deshabilitar Bitlocker en el disco en otro equipo de forma de poder transladar la información a una nueva máquina

Seguir leyendo

BGInfo – Mostrar Información en el Escritorio (GPO)


Por usar cada vez con más frecuencia Escritorio Remoto para administración de servidores y clientes, es muy útil que el fondo del escritorio muestre información de la máquina y que no se provoquen confusiones sobre en qué máquina estamos trabajando

Hay un utilitario, desde hace ya muchos años, que permite colocar información sobre el papel tapiz del escritorio, incluyendo datos de sistema operativo, red, usuario, y más

Este utilitario gratuito es BGInfo, que se puede utilizar gratuitamente y descargar desde: https://technet.microsoft.com/en-us/sysinternals/bginfo.aspx

Aunque está preparado para ejecutar individualmente en cada máquina vamos a ver cómo podemos implementarlo automáticamente en un conjunto de máquinas utilizando GPOs, y además centralizando su configuración

Seguir leyendo

Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo


Cuando en un ambiente de Dominio Active Directory se implementa una directiva de bloqueo de cuentas, suele suceder que alguna cuenta de usuario se bloquea sin que el usuario haya puesto mal la contraseña al iniciar sesión

Los motivos suelen ser variados, aunque generalmente se deben a que el usuario cambió su contraseña, pero quedaron conexiones de red que estaban hechas recordando la contraseña anterio. O inclusive a veces se debe a que hay servicios que se ejectuan con la cuenta de usuario

Cuando esto sucede es importante identificar la causa, y para eso debemos buscar el evento de seguridad que se genera cuando se bloquea la cuenta, para poder identificar desde qué máquina cliente se produjo el bloqueo

Seguir leyendo

Directivas de Grupo (“GPOs”) – Optimizar y Evitar Futuros Problemas


Entiendo que todos, o casi, los que estamos con el tema Active Directory conocemos cómo funcionan las Directivas de Grupo (“Group Policies” , “GPOs”), y sabemos que cada vez que ha salido un “Service Pack” o una versión nueva de un sistema operativo cambian las Plantillas Administrativas (“Administrative Templates”) con nuevas opciones de configuración

Hasta hace un tiempo era fácil mantener las versiones actualizadas de estas Plantillas Administrativas, ya sea porque los cambios no eran muy frecuentes, o porque la versión del sistema operativo de los clientes coincidia con la de los correspondientes servidores Controladores de Dominio

Pero esto ya no es así, hace varios meses que muchos están conviviendo con clientes Windows 10, pero sin embargo los Controladores de Dominio corresponden a versiones anteriores, en el mejor de los casos Windows Server 2012 R2

A lo anterior debemos sumarle que Windows 10 promete actualizaciones más seguidas en el tiempo aunque conserve su nombre. Un ejemplo típico es Windows 10 v1511

Y por último, dentro de unos meses estará disponible la versión definitiva de Windows Server 2016, que no descarto que tenga actualizaciones de la misma forma que Windows 10

Por lo tanto, es importante que veamos cómo podemos y podremos mantener actualizadas las Plantillas Administrativas de la forma más eficiente y con menos esfuerzo

Seguir leyendo

Configuración de Servicios Mediante GPOs


La seguridad de los servicios suele ser un tema que no es fácil de administrar, ya que generalmente éstos se ejecutan con cuentas que tienen privilegios muy amplios y elevados

Por lo dicho, es necesario que el administrador tenga el máximo control posible sobre los mismos

Aunque para una próxima nota dejaré el tema de “Group Managed Service Accounts”, en esta veremos dos opciones que pueden ser útiles:

  • Determinar el tipo de inicio del servicio y quién puede arrancar, pausar y detener un servicio de Windows
  • Configurar el tipo de inicio para un servicio No-Windows

Por supuesto que lo haremos mediante Directivas de Grupo (“GPOs”)

Seguir leyendo

Windows Server: Grupos y Usuarios Temporarios


Todos conocemos, eso creo, que a las cuentas de usuario se les puede poner una fecha de expiración. Esto se usa fundamentalmente para usuarios temporarios para que luego de una fecha determinada la cuenta se desactive automáticamente

Pero en algunas ocasiones se necesita algo más específico, por ejemplo que una cuenta dure sólo unos minutos o algunas horas, o aún a una hora determinada sea eliminada

Inclusive esto que demostraré, se puede hacer sobre grupos, que no muestra cómo asignarle un día y hora determinados como límite de uso

Me he sorprendido, pues leo que está disponible desde Windows Server 2003. No lo conocía

Seguir leyendo

Windows Server 2016-TP5 – Descarga y Más Información


Además de la información que publiqué ayer sobre el tema, hoy he visto que ya está disponible para descarga desde el centro de evaluaciones:

Technet Evaluation Center:
https://www.microsoft.com/en-us/evalcenter/evaluate-windows-server-technical-preview

 

Además hay ya bastante información sobre las novedades:

What’s New in Windows Server 2016 Technical Preview 5:
https://technet.microsoft.com/en-us/library/dn765472%28v=ws.12%29.aspx

 

Un libro de descarga pública:

Free ebook: Introducing Windows Server 2016 Technical Preview | Microsoft Press blog:
https://blogs.msdn.microsoft.com/microsoft_press/2016/04/20/free-ebook-introducing-windows-server-2016-technical-preview/

 

Y por último, hasta han puesto para poder descargar las nuevas plantillas de GPOs (ADMXs)

Download Administrative Templates (.admx) for Windows Server 2016 Technical Preview 5 from Official Microsoft Download Center:
https://www.microsoft.com/en-us/download/details.aspx?id=51957

 

Es evidente que el tiempo se está acercando :)

 

Windows Server 2016 – Technical Preview 5


Para los que tengan susbscripción a MSDN, a partir de hoy tiene disponible para descarga la nueva versión beta de Windows Server 2016 TP5

 

Directivas de Grupo (GPO) – Filtrado de Seguridad


En la nota anterior “Directivas de Grupo (GPO) – Herencia, Forzar y Resolución de Conflictos” hemos visto algunas opciones que disponemos para aplicar las configuraciones de una GPO, ya sea en la forma normal, cortando la herencia o forzando la aplicación, como así también cómo se resuelven los conflictos de configuraciones entre diferentes GPOs aplicadas

En esta nota veremos otra opción que nos pemite seleccionar a qué usuario o grupo de usuarios aplicar o no una Directiva de Grupo (GPO)

La aplicación de Directivas de Grupo a grupos de seguridad de Active Directory ha resultado muy confusa para los que hablamos español, ya que la traducción de “Group Policy Object” a “Objeto Directiva de Grupo” a mi entender no es correcta

Seguir leyendo

Directivas de Grupo (GPO) – Herencia, Forzado y Resolución de Conflictos


Hace ya mucho tiempo, Febrero de 2011 para ser más exactos, escribí un nota explicando cómo se aplican las Directivas de Grupo, más conocidas por GPOs (“Group Policy Objects”), y las opciones más comunes para limitar o forzar la aplicación de las mismas

Cómo Funcionan las Directivas de Grupo (GPOs)

En esta primera parte de las dos notas que estoy preparando ahora, veremos con un ejemplo práctico, cómo funciona la herencia de GPOs, cómo se puede evitar esto, o cómo forzar que así no sea, y además cómo se resuelve cuando una GPO conflictua una configuración con otra

Seguir leyendo

Remote Desktop – Escritorio Remoto: Instalación y Activación de las Licencias (RD-CAL) (Nota 7)


Ahora que siguiendo las seis notas anteriores tenemos toda nuestra infraestructura objetivo instalada, configurada y probada, es el momento ideal para hacer el licenciamiento legal necesario

Es importante dejar este paso para el final, ya que tenedremos tiempo suficiente para hacer todas las pruebas de configuraciones que necesitemos usando las funcionalidades completas por un plazo de 90 días. Luego de ese plazo los clientes dejarán de poder conectarse; y además a los 120 días dejará de funcionar el servicio

La importancia radica en que una vez activado el servidor de licencias e instalada la clave de licencia de clientes, si hubiera que reactivar en una nueva instalación ya habría que ejecutar pasos adicionales

Seguir leyendo

Remote Desktop – Escritorio Remoto: Instalación y Configuración de “RD-Gateway” (Nota 6)


En esta sexta nota, y continuando con la serie, veremos la instalación y configuración de la funcionalidad “Remote Dekstop Gateway” (Puerta de Enlace de Escritorio Remoto), describiremos su funcionalidad y por supuesto demostraremos su utilización

Es muy importante tener en claro cuál es su funcionalidad, y qué tipo de acceso permite, y sobre todo las diferencias con “Remote Desktop Web Access” (Acceso Web a Escritorio Remoto) y el uso de cada uno

Además, y no tan conocido, es que “RD-Gateway” permite que se limite qué usuarios se podrán conectar y a qué equipos podrán acceder, entre otras cosas

Así que en este caso veremos primero que nada estas diferencias

Seguir leyendo

Remote Desktop – Escritorio Remoto: Quitar Advertencias y Preparación para “RD-Gateway” (Nota 5)


En esta quinta nota de la serie, vamos a comenzar a quitar las advertencias de seguridad que aún nos muestra cuando ingresamos por “RD Web Access”

Además y previendo que luego vamos a instalar y configurar “RD Gateway”, para permitir el acceso desde otras redes externas, vamos a hacer unos cambios sobre el certificado digital que identifica a la máquina “rd-wa-cb-gat”

Seguir leyendo

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 1.217 seguidores