SIDs, GUIDs, DACLs, ACEs ¿Qué Son y Cómo Se Relacionan?

A diferencia de la mayoría de las notas de este blog esta vez no voy a mostrar ningún procedimiento paso a paso, sino que vamos a revisar algunos conceptos básicos de seguridad en ambiente de red

Me enfocaré en los conceptos, términos y siglas de ambiente Microsoft ya que es lo que conozco con un poco de profundidad

Conocer cómo funcionan los procesos de autenticación y autorización en ambiente Microsoft es fundamental para comprender ciertos procesos y no incurrir en errores básicos como por ejemplo que “si se llama igual” es “el mismo”

Además de comprender algunos funcionamientos servirá para interpretar algunas de las siglas y términos usados comunmente

Sigue leyendo →

Olvidé la Contraseña ¿Y ahora?

No es muy común, pero a veces sucede, y no sólo a un usuario hogareño, sino que hasta lo he visto más de una vez con el administrador de un Dominio

Todo se puede solucionar, pero primero hablemos de lo que en realidad es importante: la seguridad física

Si no hay seguridad física en cuanto al acceso a una máquina, todo lo demás que se pueda hacer se puede volver inservible

Si el problema le sucede a un usuario normal de Dominio es muy fácil de resolver con el procedimiento normal, pero si en cambio le sucede a un usuario hogareño que tiene un único usuario administrador, estará en problemas, hasta ahora :-)

Como comentaba antes, también le sucede a algún administrador de Dominio que no sigue las buenas prácticas, como son no usar la cuenta predefinida de administrador, o tener una única cuenta con privilegios administrativos sobre el Dominio

Mostraré el proceso en el caso más grave como es la del administrador de Dominio, pero con una pequeña modificación sirve para administradores locales de máquina

Sigue leyendo →

Windows Server: Tarjetas Inteligentes Virtuales (“Virtual Smart Cards”)

Una de las preocupaciones de seguridad de todo administrador de sistemas es que independientemente de cualquier política de seguridad que implemente hay un eslabón de la cadena sobre el que tiene poco control: el cuidado que haga el usuario de su contraseña

Se pueden implementar directivas de contraseña con seguridad, pero todo dependerá de una buena concientización al usuario para que tome los recaudos necesarios para proteger su confidencialidad, algo que no es fácil en algunos casos

Para evitar esto existen varias opciones, una de las mejores es el uso de Tarjetas Inteligentes (“Smart Cards”), pero es una solución con un costo y complejidad que no todos pueden asumir

Hace unos días leyendo documentación en Internet, por accidente tengo que reconocerlo, llegué a un documento sobre la implementación de Tarjetas Inteligentes Virtuales (“Virtual Smart Cards”)

Por supuesto que no es lo mismo que el uso de tarjetas físicas, pero tiene sus ventajas y por supuesto el costo es mucho menor. Al estar la tarjeta inteligente dentro de la máquina, es una forma de vincular un usuario con uno o varios equipos determinados

Los requerimientos principales son:

• El sistema operativo cliente sea por lo menos Windows 8
• El hardware en la máquina cliente debe disponer TPM

Es relativamente fácil de implementar, por lo menos para un prueba conceptual que luego puede adaptarse al uso real

Sigue leyendo →

GPOs No Se Aplican (MS16-072 – KB3163622 y KB2919355)

En los últimos días he recibido varias consultas con un síntoma que aparentemente es extraño: algunas Directivas de Grupo (GPOs) que funcionaban perfectamente, dejaron de aplicarse

Son cosas que parecen raras, sólo algunas GPOs, y específicamente unas pocas, donde lo que tenían en común era que se había aplicado algún filtrado de seguridad, pero no en todas

Investigando y comentando con compañeros encontramos el motivo, todo fue provocado por una actualización de los sistemas operativos, todos desde Windows Vista hasta Windows Server 2012 R2

Sigue leyendo →

Bitlocker en Controladores de Dominio: Configuración y Recuperación

Los Controladores de Dominio son máquinas que hay que asegurar de forma especial, ya que contienen “lo más valioso de la red” como son los usuarios y sus correspondientes contraseñas, ademas de informacio importante derl Dominio

Bitlocker es un método muy seguro para proteger los datos a nivel de volumen de disco, pero esta seguridad tienen un precio, ya que si no se implementa adecuadamente se corre el riesgo de justamente perder “lo más valioso de la red”

Complementando la informacion de esta nota pueden consultar: «Bitlocker: Recuperar Acceso a Datos»

Como un ejercicio de práctica de laboratorio decidí hacer esta nota donde implementaré el cifrado del volumen en un Controlador de Dominio, y luego simulando una pérdida de la máquina, cómo deshabilitar Bitlocker en el disco en otro equipo de forma de poder transladar la información a una nueva máquina

Sigue leyendo →

Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo

Cuando en un ambiente de Dominio Active Directory se implementa una directiva de bloqueo de cuentas, suele suceder que alguna cuenta de usuario se bloquea sin que el usuario haya puesto mal la contraseña al iniciar sesión

Los motivos suelen ser variados, aunque generalmente se deben a que el usuario cambió su contraseña, pero quedaron conexiones de red que estaban hechas recordando la contraseña anterio. O inclusive a veces se debe a que hay servicios que se ejectuan con la cuenta de usuario

Cuando esto sucede es importante identificar la causa, y para eso debemos buscar el evento de seguridad que se genera cuando se bloquea la cuenta, para poder identificar desde qué máquina cliente se produjo el bloqueo

Sigue leyendo →

Enumeración Basada en el Acceso (ABE = “Access Based Enumeration”)

La opción que un usuario no pueda ver las carpetas compartidas sobre las cuales no tiene permiso de lectura, es algo que lo he visto solicitado muchas veces, y es muy fácil de conseguir, el tema es que no es tan fácil de encontrar dónde se configura

¿Será porque hay tantas formas de crear y configurar carpetas compartidas?, y además cada una configura de diferente manera los permisos. Hay por lo menos siete formas diferentes de compartir carpetas:

• Explorador de Archivos: Compartir / Compartir
• Explorador de Archivos: Compartir / Uso Compartido Avanzado
• Explorador de Archivos: Compartir con / Usuarios Específicos
• Administración de Equipos
• Administrador del Servidor
• CMD: NET SHARE
• PowerShell: New-SMBShare

Sigue leyendo →

Autoridad Certificadora – Automatizar el Otorgamiento de Certificados Digitales Personalizados a Usuarios

En toda esta serie de notas, hemos visto cómo crear una Autoridad Certificadora Raíz para uso en nuestro laboratorio de pruebas, cómo distribuir su certificado en ambiente de Dominio Active Directory, luego cómo crear una Autoridad Certificadora Subordinada Enterprise en nuestro Dominio, y en la anterior hemos personalizado las plantillas de certificados de usuario de forma tal que se puedan recuperar las claves en caso de pérdida de las mismas. Así que concluyendo esta serie de notas, en esta veremos cómo podemos hacer para que los usuarios del Dominio reciban, automáticamente y sin ninguna intervención de su parte, certificados de usuario de acuerdo a la personalización que le hemos hecho

Sigue leyendo →

Autoridad Certificadora – Implementación de un Agente Recuperador de Claves

En la nota anterior con la instalación de una Autoridad Certificadora – Instalación y Configuración de una Autoridad Certificadora Subordinada Enterprise ya estamos en condiciones para configurar nuestra infraestructura interna de clave pública (PKI = Public Key Infrastructure)

Uno de los objetivos que tengo pensado demostrar, es asegurarme que los certificados de usuario que otorgaremos, se puedan recuperar en caso de pérdida. Es una medida de seguridad importante, ya que esta pérdida puede producirse de muchas formas a veces inpensadas, como pueden ser desde un cambio o reinstalación de máquina sin haber previamente exportado las claves, hasta la eliminación del perfil local de usuario

Para poder recuperar las claves de un usuario, debemos crear una cuenta de usuario con el privilegio de poder recuperar las claves de otras cuentas en caso de pérdida, configurar la Autoridad Certificadora adecuadamente y además personalizar las plantillas de certificados de los usuarios para que se puedan recuperar las claves

Sigue leyendo →

Autoridad Certificadora – Instalación y Configuración de una Autoridad Certificadora Subordinada Enterprise

Resumiendo lo que hemos hecho hasta ahora en esta serie de notas: hemos instalado una Autoridad Certificadora Raíz de tipo “Standalone” que emula una Autoridad Certificadora comercial. El certificado de esta Autoridad Certificadora lo hemos distribuido a todos los clientes del Dominio Active Directory, como si se tratara de una entidad comercial que participa del programa de Microsoft de Autoridades Certificadoras

En esta ocasión instalaremos una Autoridad Certificadora subordinada a la raíz, pero integrada en Active Directory (“Enterprise Subordinate CA”). Con este tipo de implementación tenemos varias ventajas, sobre un Autoridad Certificadora de tipo “Standalone”, por ejemplo el poder usar plantillas personalizadas, y además al ser propia, tener el control total sobre la misma

Sigue leyendo →

Autoridad Certificadora – Distribuir un Certificado de Autoridad Certificadora en Ambiente de Dominio Active Directory

En las notas anteriores hemos instalado una Autoridad Certificadora de tipo Raíz que emula una entidad comercial, y que usaremos en nuestro laboratorio de pruebas

Como nuestra Autoridad Certificadora, por supuesto, no está incluida en las actualizaciones de Windows Update, debemos instalar el certificado de esta Autoridad Certificadora en todas las máquinas que que formen parte de nuestro laboratorio de pruebas

Esto lo podremos hacer fácilmente a través de Directivas de Grupo (GPOs)

Sigue leyendo →

Autoridad Certificadora – Crear un Sitio Web Seguro (HTTPS)

Aprovechando la infraestructura que hemos creado en las notas anteriores:

• Autoridad Certificadora para Laboratorio y Pruebas – Servicios Básicos
• Autoridad Certificadora para Laboratorio y Pruebas – Instalación y Configuración de la Autoridad Certificadora
• Autoridad Certificadora para Laboratorio y Pruebas – Configuración de la Autoridad Certificadora para “Web Enrollment”

En esta nota veremos cómo configurar un servidor web en modo seguro con HTTPS, y que nos servirá para futuras demostraciones y pruebas

Para que un sitio web seguro (HTTPS) sea confiable para cualquier cliente que se conecte, el certificado digital del servidor debe ser otorgado por una Autoridad Certificadora que el cliente considere confiable.

Y ya que tenemos de las notas anteriores, una Autoridad Certificadora de tipo Raíz, que emula ser de tipo comercial, vamos a mostrar el procedimiento, tanto de obtener los certificados de la Autoridad Certificadora, como uno para el servidor y que será asociado al sitio web

Sigue leyendo →

Autoridad Certificadora para Laboratorio y Pruebas – Configuración del Cliente para “Web Enrollment”

Y continuando nuestra prueba de laboratorio, en esta nota veremos la configuración de una máquina para que solicite y obtenga un certificado digital de máquina a través de la interfaz web (“Web Enrollment”)

Para esta demostración, además del servidor que venimos utilizando desde el principio y que es la Autoridad Certificadora, necesitaremos otra máquina para usar como solicitante

Esta última podría tener cualquier sistema operativo, pero me he decidido por un Windows 8.1, el último al día de hoy, porque cada nueva versión mejora la seguridad, y eso suele traer nuevos inconvenientes :-)

Recuerdo que tenemos que tener configurada la Autoridad Certificadora adecuadamente para este procedimiento. Pueden verlo en Autoridad Certificadora para Laboratorio y Pruebas – Configuración de la Autoridad Certificadora para “Web Enrollment”

Sigue leyendo →

Autoridad Certificadora para Laboratorio y Pruebas – Configuración de la Autoridad Certificadora para “Web Enrollment”

Y siguiendo con esta serie de notas, en esta veremos las configuraciones adicionales que debemos hacer en la Autoridad Certificadora, para que los que soliciten un certificado digital lo puedan hacer a través de la interfaz web con un explorador

Cualquier duda sobre cómo está la configuración actual, pueden consultar: «Autoridad Certificadora para Laboratorio y Pruebas – Instalación y Configuración de la Autoridad Certificadora»

Esto que parece a primera vista tan sencillo, no lo es

Para solicitar un certificado a través de “Web Enrollment” la conexión debe hacerse por HTTPS, pero la Autoridad Certificadora no se otorga un certificado automáticamente a sí misma para HTTPS

Sigue leyendo →

Windows Server 2012: Instalando una Autoridad Certificadora Subordinada de Tipo Enterprise (Integrada con Active Directory)

Luego de la nota anterior (Windows Server 2012: Instalando una Autoridad Certificadora Raíz (Root Certification Authority) de Tipo Standalone) de donde hemos dejado preparada la infrestructura necesaria, en esta nota veremos la instalación y configuración de una Autoridad Certificadora Subordinada de Tipo Enterprise

El hecho de integrar la Autoridad Certificadora con Active Directory nos facilitará enormemente no sólo el otorgamiento de certificados, sino que además podremos personalizar las plantillas de los certificados, automatizar el otorgamiento, controlar la seguridad, recuperar claves perdidas, y mucho más

Sigue leyendo →

Windows Server 2012: Instalando una Autoridad Certificadora Raíz (Root Certification Authority) de Tipo Standalone

El uso de Certificados Digitales para probar la autenticación o autentificación, basado en un esquema de Clave Pública (PKI = Public Key Infrastructure) es uno de esos temas casi desconocidos y que a diario puedo observar los inconvenientes que produce su falta de comprensión

En esta ocasión comenzaré una serie de notas relacionadas al tema nombrado, y que sin intentar hacer una descripción completa de los que es una infraestructura de Clave Pública, ayudará a comprender su aplicación en el ámbito de una organización

Si alguien quiere ver una pequeña base para comprender cómo funciona un esquema de Clave Pública, en forma muy resumida puede consultar:
Criptografía e Infraestructura de Clave Pública (PKI)

Veamos primero dos conceptos importantes …

Sigue leyendo →

Uso Recomendado de Grupos en Dominios Windows Server

De acuerdo a mi experiencia, uno de los temas menos comprendido, y a veces mal usado, en ambiente Active Directory (Directorio Activo) es la utilización de grupos, tanto por su tipo, como por un problema fundamental como es la denominación de los mismos

Así que me propongo aclarar en esta nota las mejores prácticas en cuanto a su uso, y algo muy importante como es la necesidad de usar una buena convención de nombres adapatada a cada organización

Sigue leyendo →

Windows Server 2012: Instalación Simple de Autoridad Certificadora (Certificate Authority) Enterprise Root

En esta ocasión vamos a ver el proceso de instalación de una Autoridad Certificadora que nos permitirá tanto a los usuarios como a los equipos obtener Certificados Digitales, necesarios para varias configuraciones de seguridad

Haré una instalación simple, que aunque no cumple con los requisitos recomendados de seguridad, nos servirá para nuestras prácticas y demostraciones, así como para que practiquemos su instalación y funcionamiento

Será simple, porque una de las prácticas recomendadas es tener por lo menos dos niveles: una Autoridad Certificadora Raíz mantenida “offline” (por seguridad) que le otorga un Certificado Digital a otra Autoridad Certificadora Subordinada, que es la que entrega los certificados a usuarios y máquinas.

También, por simplicidad la crearé de tipo Enterprise, esto es, integrada en Active Directory, lo que nos permite muchas más configuraciones, desde la personalización de las plantillas de certificados, hasta la automatización de la obtención de los mismos a través de Directivas de Grupo (GPO)

En primera instancia utilizaré esta instalación para la siguiente demostración que escribiré sobre VPN con NAP (Network Access Protection)

Sigue leyendo →

Demostración Rights Management Services (RMS) en Ambiente de Prueba

Una de las mayores preocupaciones de seguridad en la actualidad es qué hace una persona con la información interna a la que accede.

Por más que protegamos la información con controles de acceso y permisos, una vez que alguien acede a una información, nada impide que pueda diseminarla, por ejemplo copiando la información a otro documento, imprimirla, o aún enviarla por correo.

Justamente para tratar de evitar ese tipo de fuga de información es que nos ayuda Rights Management Services.

En esta nota haremos una demostración simple en un ambiente de prueba lo más sencillo posible para que puedan ver el servicio en funcionamiento.

Sigue leyendo →

Laboratorio: Creando un Failover Cluster Virtualizado [Actualizado]

En esta ocasión vamos a ver cómo podemos crear un Failover Cluster en máquinas virtuales, que luego podremos usar para otras experiencias.

Una ventaja importante de hacerlo con máquinas virtuales, es que podemos congelar estados (snapshots) con lo que podremos usar la instalación para diferentes pruebas. O inclusive animarnos a hacer esas experiencias de las que no estamos seguros de los resultados, ya que podremos recuperar fácil y rápidamente la configuración anterior.

[Actualización] He preparado una serie de notas para armar un Failover Cluster sobre Windows Server 2012. Esta nueva demostración puede aplicarse tanto en real, como en máquinas virtuales

Agrego los enlaces:

Windows Server 2012: Failover Cluster para Hyper-V (Parte 1 – Creando la Infraestructura)

Windows Server 2012: Failover Cluster para Hyper-V (Parte 2 – Configurando la SAN)

Windows Server 2012: Failover Cluster para Hyper-V (Parte 3 – Configurando los iSCSI Initiators)

Windows Server 2012: Failover Cluster para Hyper-V (Parte 4 – Instalando la funcionalidad Failover Cluster e Hyper-V

Windows Server 2012: Failover Cluster para Hyper-V (Parte 5 – Creando y Configurando el Failover Cluster)

Windows Server 2012: Failover Cluster para Hyper-V (Parte 6 – Creando una Máquina Virtual con Alta Disponibilidad)

 

Sigue leyendo →