Category Archives: Windows Server 2012 R2

Windows Server Core – Cambiar Aspecto de Interfaz


Hace ya un tiempo hice un par de notas sobre la instalación y configuración básica de la versión “Core” (sin interfaz gráfica) de Windows Server 2016, y en esta nota mostraré algunas formas de, sin aumentar el consumo de recursos en absoluto, hacer la interfaz más agradable o por lo menos adaptarla al administrador

Dejo los enlaces a las notas nombradas más arriba:

En esta nota mostraré algunos de los cambios que hago o que se pueden hacer para lograr una interfaz más agradable

Sigue leyendo

Actualizar – Migrar Dominio a Windows Server 2016 – Detallado


Aunque en general casi todos solemos usar el término “actualizar”, en realidad el proceso de pasar desde un Dominio con versión anterior a uno con versión más nueva de los Controladores de Dominio, suele hacerse mediante “migración”, que es algo diferente

La definición (de Microsoft) de actualizar, es hacer lo que se llama “upgrade-in-place”, esto es, sobre la misma instalación hacer una actualización del sistema operativo

Pero la opción recomendada es diferente y consiste en instalar Controladores de Dominio con la versión más nueva, para poder finalmente migrar el servicio

Iba a titular la nota con “Actualizar”, ya que es la terminología más usada, pero he agregado “Migrar” ya que es el término correcto

A diferencia de otras notas anteriores con otras versiones, en esta nota trataré de hacer el tema lo más detallado posible, consideraciones importantes que se deben tener en cuenta, tener un procedimiento que permita volver todo atrás en caso de problemas, y resaltar opciones importantes que debemos tener en cuenta

Sigue leyendo

Windows Server: Tarjetas Inteligentes Virtuales (“Virtual Smart Cards”)


Una de las preocupaciones de seguridad de todo administrador de sistemas es que independientemente de cualquier política de seguridad que implemente hay un eslabón de la cadena sobre el que tiene poco control: el cuidado que haga el usuario de su contraseña

Se pueden implementar directivas de contraseña con seguridad, pero todo dependerá de una buena concientización al usuario para que tome los recaudos necesarios para proteger su confidencialidad, algo que no es fácil en algunos casos

Para evitar esto existen varias opciones, una de las mejores es el uso de Tarjetas Inteligentes (“Smart Cards”), pero es una solución con un costo y complejidad que no todos pueden asumir

Hace unos días leyendo documentación en Internet, por accidente tengo que reconocerlo, llegué a un documento sobre la implementación de Tarjetas Inteligentes Virtuales (“Virtual Smart Cards”)

Por supuesto que no es lo mismo que el uso de tarjetas físicas, pero tiene sus ventajas y por supuesto el costo es mucho menor. Al estar la tarjeta inteligente dentro de la máquina, es una forma de vincular un usuario con uno o varios equipos determinados

Los requerimientos principales son:

  • El sistema operativo cliente sea por lo menos Windows 8
  • El hardware en la máquina cliente debe disponer TPM

Es relativamente fácil de implementar, por lo menos para un prueba conceptual que luego puede adaptarse al uso real

Sigue leyendo

Primer Inicio de Sesión por VPN


Trasladar una máquina de la red de la empresa fuera de la red, como todos sabemos, no causa problemas de inicio de sesión con una cuenta de usuario de Dominio, esto es así porque si el usuario ya había iniciado sesión en ese equipo, entonces localmente hay “cacheada” una copia de la contraseña, por lo cual no ofrece ningún problema inciar sesión con una cuenta del Dominio

Pero ¿qué sucede si se tratara de un usuario que nunca inció sesión anteriormente en dicho equipo? la respuesta es que no podrá hacerlo, ya que no se puede contactar a un Controlador de Dominio

La solución no es compleja: se debería poder tener una conexión VPN a la red del Dominio para permitir la autenticación y autorización del usuario, aún antes del incio de sesión

Esto implica tener que hacer un agregado a la pantalla de incio de sesión que permita el inicio a través de VPN

Sigue leyendo

Auditoría de Seguridad Simple de Inicio de Sesión


La auditoría de seguridad de Windows es muy poderosa, pero no es fácil de implementar, sobre todo para llevar un seguimiento, auditar lo que necesitemos y no bajar el rendimiento de la máquina

Por lo anterior, y sin necesidad de implementarla he visto una opción de Directiva de Grupo (GPO), que fácilmente nos permite conocer si alguien estuvo tratando de ingresar interactivamente por teclado a una máquina determinada

Mostraré cómo podemos implementar que al incio de sesión interactivo nos muestre cuál fue la última vez anterior, y si hubieron intentos fallidos donde no se ha colocado correctamente usuario y contraseña

Entiendo que no es una opción para implementar a todas las máquinas del Dominio, pero sí se puede hacer en máquinas que tengan información altamente sensible que quedaría sin la adecuada protección ante un inicio de sesión interactivo. En este caso la implementaré sobre los Controladores de Dominio, pero es muy simple sobre otra clase de servidores

Sigue leyendo

Fecha y Hora en Dominios Active Directory


En ambientes de Dominio Active Directory es fundamental que la fecha y hora de todas las máquinas que lo forman estén sincronizadas. Por omisión, si la fecha/hora de una máquina difiere en más de 5 minutos con el Controlador de Dominio que debe hacer la autenticación, esta fallará, e inclusive se puede suspender la replicación entre Controladores de Dominio

Lo anterior explica en parte el motivo por el cual no se puede cambiar en forma arbitraria la fecha y hora de un equipo que forma parte de un Dominio. Teniendo además en cuenta, que luego de un tiempo el sistema se sincronizará automáticamente sin aviso

Veremos primero cómo se realiza esta sincronización y si debemos hacer algún cambio en la configuración por omisión

Sigue leyendo

Windows Server 2016 (TP5): Multiboot con Windows 10


Aunque Windows 10 hace tiempo que está disponible, la versión Windows Server 2016 sigue demorándose, así que seguimos probando la versión más reciente que al día de hoy es la TP5 (“Technical Preview 5)

Los que disponemos de un ambiente para virtualizar no tenemos problemas para hacer las instalaciones necesarias de esta versión previa, pero todavía hay muchos que no disponen de esa posibilidad

Para los entusiastas que gusten probar esta versión previa, sin virtualizar, sin perder su instalación en uso, y sin necesidad de discos/volúmenes separados es que preparé esta nota

Lo que aprovecharé es la instalación en un disco/archivo VHDX, sin usar virtualización, y que además de las pruebas nos permitirá ver la compatibilidad de hardware, ya que se tratará de “multiboot” seleccionando cada sistema operativo durante el arranque

Importante: antes de hacer ese tipo de pruebas debemos asegurarnos tener copia de seguridad que podamos recuperar, ya sea una imagen del sistema opertivo, o por lo menos de los datos

Sigue leyendo

Informar Uso Aceptable del Equipo Informático


En toda organización que tenga administrado y controlado su equipamiento informático es importante que los que hacen uso del mismo sepan y acepten las condiciones de uso impuesto por el propietario, e inclusive hasta las medidas que pueden tomarse por mal uso del mismo

Esto es muy fácil de configurar, presentando al usuario un cuadro de diálogo donde se puede informar cuál es el uso aceptable y que obligatoriamente debe aceptarlo antes de poder iniciar sesión

Sigue leyendo

Remote Desktop – Escritorio Remoto: Resumen de notas


Estoy notando que en el blog se están sumando cada vez más, notas sobre el tema “Remote Desktop – Escritorio Remoto”, 40 hasta hoy. Y aunque se puede filtrar por categoría en el margen izquierdo, al haber varias que son la entrada a las demás he escrito este pequeño resumen

Sigue leyendo

Remote Desktop – Escritorio Remoto: Configuraciones Básicas para Limitar Usuarios


Continuando esta serie de notas sobre Remote Dekstop – Escritorio Remoto, y específicamente esta es continuación de “Remote Desktop – Escritorio Remoto: Configurar una GPO Para Limitar a Usuarios Excepto Administradores” vamos a ver algunas configuraciones básicas y típicas, para que las conexiones de usuario no afecten al servidor y por lo tanto a otros usuarios

Aunque por supuesto el sistema está protegido relativamente por los bajos privilegios que tiene un usuario normal, siempre viene bien evitar que tengan acceso a determinadas aplicaciones que pueden ser peligrosas

Veremos sólo algunas configuraciones que considero básicas, pero cada uno debe evaluar su entorno, y determinar cuáles pueden interesarles

Sigue leyendo

Remote Desktop – Escritorio Remoto: Ocultar Discos


Continuando con esta serie de notas para limitar usuarios en el acceso a Escritorio Remoto, y contribuir a la seguridad del servidor, en esta nota veremos las dos opciones que tenemos para ocultar los discos locales del servidor a los usuarios

La demostración de esta nota está basada en la configuración que he hecho sobre las dos anteriores

Hay dos opciones parecidas para esta nota, una que permite ocultar y otra que evita acceder a los discos, vamos a ver las diferencias y las consecuencias de cada una de ellas

Sigue leyendo

Remote Desktop – Escritorio Remoto: Configurar una GPO Para Limitar a Usuarios Excepto Administradores


Continuando con la nota anterior “Remote Desktop – Escritorio Remoto: Instalación Simple y Personalizada en Dominio” y con el objetivo de cómo podremos (en futuras notas) limitar las capacidades de un usuario cuando se conecta a un servidor utilizando Escritorio Remoto, lo primero es crear y vincular una GPO que tenga dos temas en cuenta:

  • Que las restricciones anteriores no se apliquen a los administradores
  • Que sean limitaciones específicas para cuando se conecte al servidor usando Escritorio Remoto, pero que no se apliquen a su máquina individual

Para cumplir con estos objetivos debemos denegar el permiso de aplicar la GPO a los administradores y además usar el procedimiento de aplicación de GPO de bucle invertido

Sigue leyendo

Remote Desktop – Escritorio Remoto: Instalación Simple y Personalizada en Dominio


Hace ya tiempo que he escrito notas sobre “Remote Desktop – Escritorio Remoto”, su instalación y configuración, pero he observado que en muchos casos se necesita una instalación más simple, o aún personalizada de la instalación

Esto es lo que haré en esta nota, y que luego aprovecharé en otras subsiguientes mostrando cómo podremos mejorar la seguridad y limitar muy específicamente qué aplicaciones y configuraciones podrán hacer los usuarios, como así también qué le podremos ocultar en la sesión  remota del servidor

Para el que quiera repasar el tema pongo los enlaces a las tres series anteriores en el blog:

 

Sigue leyendo

Remote Desktop – Escritorio Remoto: Configuración del Licenciamiento (RD-CALs) en Grupo de Trabajo (“Workgroup”)


Continuando la nota anterior “Remote Desktop – Escritorio Remoto: Instalación Básica en Grupo de Trabajo (“Workgroup”)” en esta vamos a proceder a la configuración del licenciamiento de Escritorio Remoto, que no es tan sencilla como en ambiente de Dominio Active Directory, una parte se hace a través de la Directiva Local de Seguridad

Además, al estar en Grupo de Trabajo, sólo se puede licenciar por dispositivo, y no por usuario

Recuerdo que Escritorio Remoto requiere licenciamiento aparte de las CALs (“Client Access Licenses”) que permiten acceder al servidor. Para Escritorio Remoto se deben adquirir RD-CALs (“Remote Desktop CALs”), y además instalar y activar el servicio de licenciamiento

Sigue leyendo

Remote Desktop – Escritorio Remoto: Instalación Básica en Grupo de Trabajo (“Workgroup”)


Muchas veces he visto la consulta sobre la utilización de Remote Dekstop – Escritorio Remoto en ambiente de Grupo de Trabajo. No es que no se pueda, sino que el procedimiento de instalación es diferente, y la funcionalidad reducida con respectoa a la implementación en ambiente de Dominio Active Directory

No se pueden utilizar los procedimientos “normales” de instalación y configuración denominados “Quick Start” y “Standard Deployment” que he documentado en notas anteriores, hay que hacerlo de forma diferente

Además veremos cómo podemos solucionar el mensaje de advertencia sobre el certificado no confiable del servidor que da por omisión

Sigue leyendo

Bitlocker en Controladores de Dominio: Configuración y Recuperación


Los Controladores de Dominio son máquinas que hay que asegurar de forma especial, ya que contienen “lo más valioso de la red” como son los usuarios y sus correspondientes contraseñas, ademas de informacio importante derl Dominio

Bitlocker es un método muy seguro para proteger los datos a nivel de volumen de disco, pero esta seguridad tienen un precio, ya que si no se implementa adecuadamente se corre el riesgo de justamente perder “lo más valioso de la red”

Complementando la informacion de esta nota pueden consultar: “Bitlocker: Recuperar Acceso a Datos

Como un ejercicio de práctica de laboratorio decidí hacer esta nota donde implementaré el cifrado del volumen en un Controlador de Dominio, y luego simulando una pérdida de la máquina, cómo deshabilitar Bitlocker en el disco en otro equipo de forma de poder transladar la información a una nueva máquina

Sigue leyendo

BGInfo – Mostrar Información en el Escritorio (GPO)


Por usar cada vez con más frecuencia Escritorio Remoto para administración de servidores y clientes, es muy útil que el fondo del escritorio muestre información de la máquina y que no se provoquen confusiones sobre en qué máquina estamos trabajando

Hay un utilitario, desde hace ya muchos años, que permite colocar información sobre el papel tapiz del escritorio, incluyendo datos de sistema operativo, red, usuario, y más

Este utilitario gratuito es BGInfo, que se puede utilizar gratuitamente y descargar desde: https://technet.microsoft.com/en-us/sysinternals/bginfo.aspx

Aunque está preparado para ejecutar individualmente en cada máquina vamos a ver cómo podemos implementarlo automáticamente en un conjunto de máquinas utilizando GPOs, y además centralizando su configuración

Sigue leyendo

Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo


Cuando en un ambiente de Dominio Active Directory se implementa una directiva de bloqueo de cuentas, suele suceder que alguna cuenta de usuario se bloquea sin que el usuario haya puesto mal la contraseña al iniciar sesión

Los motivos suelen ser variados, aunque generalmente se deben a que el usuario cambió su contraseña, pero quedaron conexiones de red que estaban hechas recordando la contraseña anterio. O inclusive a veces se debe a que hay servicios que se ejectuan con la cuenta de usuario

Cuando esto sucede es importante identificar la causa, y para eso debemos buscar el evento de seguridad que se genera cuando se bloquea la cuenta, para poder identificar desde qué máquina cliente se produjo el bloqueo

Sigue leyendo

Directivas de Grupo (“GPOs”) – Optimizar y Evitar Futuros Problemas


Entiendo que todos, o casi, los que estamos con el tema Active Directory conocemos cómo funcionan las Directivas de Grupo (“Group Policies” , “GPOs”), y sabemos que cada vez que ha salido un “Service Pack” o una versión nueva de un sistema operativo cambian las Plantillas Administrativas (“Administrative Templates”) con nuevas opciones de configuración

Hasta hace un tiempo era fácil mantener las versiones actualizadas de estas Plantillas Administrativas, ya sea porque los cambios no eran muy frecuentes, o porque la versión del sistema operativo de los clientes coincidia con la de los correspondientes servidores Controladores de Dominio

Pero esto ya no es así, hace varios meses que muchos están conviviendo con clientes Windows 10, pero sin embargo los Controladores de Dominio corresponden a versiones anteriores, en el mejor de los casos Windows Server 2012 R2

A lo anterior debemos sumarle que Windows 10 promete actualizaciones más seguidas en el tiempo aunque conserve su nombre. Un ejemplo típico es Windows 10 v1511

Y por último, dentro de unos meses estará disponible la versión definitiva de Windows Server 2016, que no descarto que tenga actualizaciones de la misma forma que Windows 10

Por lo tanto, es importante que veamos cómo podemos y podremos mantener actualizadas las Plantillas Administrativas de la forma más eficiente y con menos esfuerzo

Sigue leyendo

Configuración de Servicios Mediante GPOs


La seguridad de los servicios suele ser un tema que no es fácil de administrar, ya que generalmente éstos se ejecutan con cuentas que tienen privilegios muy amplios y elevados

Por lo dicho, es necesario que el administrador tenga el máximo control posible sobre los mismos

Aunque para una próxima nota dejaré el tema de “Group Managed Service Accounts”, en esta veremos dos opciones que pueden ser útiles:

  • Determinar el tipo de inicio del servicio y quién puede arrancar, pausar y detener un servicio de Windows
  • Configurar el tipo de inicio para un servicio No-Windows

Por supuesto que lo haremos mediante Directivas de Grupo (“GPOs”)

Sigue leyendo