Directivas de Grupo (GPO) – Filtrado de Seguridad

En la nota anterior “Directivas de Grupo (GPO) – Herencia, Forzar y Resolución de Conflictos” hemos visto algunas opciones que disponemos para aplicar las configuraciones de una GPO, ya sea en la forma normal, cortando la herencia o forzando la aplicación, como así también cómo se resuelven los conflictos de configuraciones entre diferentes GPOs aplicadas

En esta nota veremos otra opción que nos pemite seleccionar a qué usuario o grupo de usuarios aplicar o no una Directiva de Grupo (GPO)

La aplicación de Directivas de Grupo a grupos de seguridad de Active Directory ha resultado muy confusa para los que hablamos español, ya que la traducción de “Group Policy Object” a “Objeto Directiva de Grupo” a mi entender no es correcta

Sigue leyendo →

Directivas de Grupo (GPO) – Herencia, Forzado y Resolución de Conflictos

Hace ya mucho tiempo, Febrero de 2011 para ser más exactos, escribí un nota explicando cómo se aplican las Directivas de Grupo, más conocidas por GPOs (“Group Policy Objects”), y las opciones más comunes para limitar o forzar la aplicación de las mismas

“Cómo Funcionan las Directivas de Grupo (GPOs)”

En esta primera parte de las dos notas que estoy preparando ahora, veremos con un ejemplo práctico, cómo funciona la herencia de GPOs, cómo se puede evitar esto, o cómo forzar que así no sea, y además cómo se resuelve cuando una GPO conflictua una configuración con otra

Sigue leyendo →

Configurar Office con Directivas de Grupo (“Office GPOs”)

Esta vez es una nota sencilla, y la hago porque veo que muchos no conocen que a través de Directivas de Grupo (“GPOs”) es posible la configuración de Office

Los enlaces de descargas que indicaré permiten hacer la configuración de Office 2010, Office 2013 y Office 2016

Sigue leyendo →

Instalar y Configurar Google Chrome con GPOs

El tema de cuál navegador es mejor que otro es algo largamente discutido e inclusive en muchos casos con argumentos que a veces no son técnicos. A mi entender cada uno tiene sus ventajas y sus inconvenientes, y aunque para determinados sitios es mejor uno u otro, en mi caso prefiero siempre tener dos, el que viene con el sistema operativo y uno más, Chrome es mi preferencia

Dos ejemplos: hay sitios que requieren sí o sí un determinado navegador así que no hay alternativa; y otro motivo por el que prefiero tener dos: si estamos accediendo a un sitio con autenticación de usuario, y necesitamos abrir otra ventana, ésta se abre con la misma autenticación pero necesitamos que sea con otro usuario o directamente que no informe datos de usuario

En esta nota veremos tres temas:

• Instalar Chrome en forma desatendida
• Configurar Chrome como navegador por omisión, que no es tan directo
• Configurar Chrome mediante Plantillas Administrativas de GPO

Sigue leyendo →

El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 5)

Y ya finalizando esta serie de notas sobre el servicio DNS, en esta última veremos una opción muy poco conocida, y por ese motivo poco usada como es la utilización de “Stub Zones”. La traducción al español creo que no ha sido muy buena, han sido llamadas “Zonas de Código Auxiliar” lo cual no aclara mucho su utilidad. Hace tiempo pude oír a alguien llamarlas “delegación con esteroides” y realmente dice mucho sobre su utilidad :)

Recuerdo la infraestructura creada, y que en esta nota agregaremos a “DNS6.dom3.der”

Sigue leyendo →

El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 4)

En esta serie de notas sobre el servicio DNS, en esta ocasión veremos específicamente el uso, configuración y diferencias entre “Reenviadores” y “Reenviadores Condicionales”

Recuerdo la figura correspondiente a la serie de notas que estamos haciendo

En esta nota agregaré “DNS5.dom2.izq” y veremos cómo configurar la resolución de nombres con la infraestructura ya creada, usando “Reenviadores” y “Reenviadores Condicionales”

Sigue leyendo →

El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 3)

Siguiendo con esta serie de notas sobre la configuración del servicio DNS, y habiendo ya visto en las dos anteriores la resolución de nombres internos y externos, como la configuración de zonas secundarias, y las condiciones para la tolerancia a fallas del servicio, en esta ocasión comenzaré con el tema de la administración de subdominios, tanto con como sin delegación

• El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 1)
• El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 2)

A partir de este momento la infraestructura se torna un poco más compleja, e iré agregando más máquinas virtuales de acuerdo al progreso del tema en esta y futuras notas, así que lo mejor es agregar una simple figura que muestra la infraestructura que estamos construyendo los que seguimos esta serie de notas

Hasta ahora ya tenemos configurados DNS1 y DNS2, para esta demostración agregaré otras dos máqunas virtuales DNS3 y DNS4. En una futura nota agregaré a DNS5 y DNS6

Sigue leyendo →

El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 2)

Continuando con esta serie de notas, y a partir de la configuración hecha en “El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 1)”, en esta agregaré otra máquina, con configuración similar, con la que veremos cómo podemos resolver nombres externos e internos, crearemos una Zona Secundaria, y veremos cómo permitir la transferencia de zona y la configuración necesaria

Sigue leyendo →

El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 1)

En este blog trato principalmente temas referidas a Active Directory, el cual se apoya fuertemente en la resolución de nombres del servicio DNS, pero veo que en muchos casos hay desconocimiento sobre su funcionamiento y las diferentes configuraciones que se pueden hacer para llegar a una corecta configuración que sea optimizada e inclusive tolerante a fallas

Por esto he decidido un poco volver a las fuentes para comprender las diferentes posibilidades de configuración, desde lo más básico hasta opciones avanzadas

Lo haré de la forma más “primitiva”, esto es, con servidores en grupo de trabajo, sin actualizaciones dinámicas ni seguras; y abarcará desde la resolución de nombres públicos de Internet, hasta un ambiente de múltiples dominos con múltiples Árboles

Al finalizar la serie de notas los objetivos son demostrar:

• Resolución de nombres públicos de Internet con dos opciones diferentes
• Resolución de nombres internos
• Tolerancia a fallas
• Zonas Secundarias y configuración de transferencias de zona
• Resolución de nombres de Subdominio, con y sin delegación de zona
• Reenviadores Condicionales
• Uso de “Stub Zones” (Zonas de Código Auxiliar), esas desconocidas :)

Sigue leyendo →

Hyper-V: Los Diferentes Clases de Redes – Diagrama de Conectividad

En cualquier sistema de virtualización se pueden crear diferentes clases de redes, y aunque todos ofrecen características muy similares, hay diferencia en la forma de nombrarlas. Específicamente los que cambiamos de VMware a Hyper-V, o quizás sólo a mí, una de las dificultades fue el cambio de “network” a “switch”

Aún hoy en día, y luego de ya varios años en el tema, sigo recibiendo consultas sobre en qué clase de red conectar cada máquina virtual para que pueda … (reemplazar los puntos suspensivos por el caso de cada uno)

Así que con no poco trabajo hice un diagrama de conectividad de las diferentes clases de redes en Hyper-V

Sigue leyendo →

Windows Server Core – Cambiar Aspecto de Interfaz

Hace ya un tiempo hice un par de notas sobre la instalación y configuración básica de la versión “Core” (sin interfaz gráfica) de Windows Server 2016, y en esta nota mostraré algunas formas de, sin aumentar el consumo de recursos en absoluto, hacer la interfaz más agradable o por lo menos adaptarla al administrador

Dejo los enlaces a las notas nombradas más arriba:

• Windows Server 2016 – Instalación Versión Core | WindowServer
  https://windowserver.wordpress.com/2016/10/06/windows-server-2016-instalacin-versin-core/
• Windows Server 2016 – Lab – Configurar Servidor (“Core”) | WindowServer
  https://windowserver.wordpress.com/2016/10/11/windows-server-2016-lab-configurar-servidor-core/

En esta nota mostraré algunos de los cambios que hago o que se pueden hacer para lograr una interfaz más agradable

Sigue leyendo →

Primer Inicio de Sesión por VPN

Trasladar una máquina de la red de la empresa fuera de la red, como todos sabemos, no causa problemas de inicio de sesión con una cuenta de usuario de Dominio, esto es así porque si el usuario ya había iniciado sesión en ese equipo, entonces localmente hay “cacheada” una copia de la contraseña, por lo cual no ofrece ningún problema inciar sesión con una cuenta del Dominio

Pero ¿qué sucede si se tratara de un usuario que nunca inció sesión anteriormente en dicho equipo? la respuesta es que no podrá hacerlo, ya que no se puede contactar a un Controlador de Dominio

La solución no es compleja: se debería poder tener una conexión VPN a la red del Dominio para permitir la autenticación y autorización del usuario, aún antes del incio de sesión

Esto implica tener que hacer un agregado a la pantalla de incio de sesión que permita el inicio a través de VPN

Sigue leyendo →

Auditoría de Seguridad Simple de Inicio de Sesión

La auditoría de seguridad de Windows es muy poderosa, pero no es fácil de implementar, sobre todo para llevar un seguimiento, auditar lo que necesitemos y no bajar el rendimiento de la máquina

Por lo anterior, y sin necesidad de implementarla he visto una opción de Directiva de Grupo (GPO), que fácilmente nos permite conocer si alguien estuvo tratando de ingresar interactivamente por teclado a una máquina determinada

Mostraré cómo podemos implementar que al incio de sesión interactivo nos muestre cuál fue la última vez anterior, y si hubieron intentos fallidos donde no se ha colocado correctamente usuario y contraseña

Entiendo que no es una opción para implementar a todas las máquinas del Dominio, pero sí se puede hacer en máquinas que tengan información altamente sensible que quedaría sin la adecuada protección ante un inicio de sesión interactivo. En este caso la implementaré sobre los Controladores de Dominio, pero es muy simple sobre otra clase de servidores

Sigue leyendo →

Informar Uso Aceptable del Equipo Informático

En toda organización que tenga administrado y controlado su equipamiento informático es importante que los que hacen uso del mismo sepan y acepten las condiciones de uso impuesto por el propietario, e inclusive hasta las medidas que pueden tomarse por mal uso del mismo

Esto es muy fácil de configurar, presentando al usuario un cuadro de diálogo donde se puede informar cuál es el uso aceptable y que obligatoriamente debe aceptarlo antes de poder iniciar sesión

Sigue leyendo →

Remote Desktop – Escritorio Remoto: Resumen de notas

Estoy notando que en el blog se están sumando cada vez más, notas sobre el tema “Remote Desktop – Escritorio Remoto”, 40 hasta hoy. Y aunque se puede filtrar por categoría en el margen izquierdo, al haber varias que son la entrada a las demás he escrito este pequeño resumen

Sigue leyendo →

Remote Desktop – Escritorio Remoto: Configuraciones Básicas para Limitar Usuarios

Continuando esta serie de notas sobre Remote Dekstop – Escritorio Remoto, y específicamente esta es continuación de “Remote Desktop – Escritorio Remoto: Configurar una GPO Para Limitar a Usuarios Excepto Administradores” vamos a ver algunas configuraciones básicas y típicas, para que las conexiones de usuario no afecten al servidor y por lo tanto a otros usuarios

Aunque por supuesto el sistema está protegido relativamente por los bajos privilegios que tiene un usuario normal, siempre viene bien evitar que tengan acceso a determinadas aplicaciones que pueden ser peligrosas

Veremos sólo algunas configuraciones que considero básicas, pero cada uno debe evaluar su entorno, y determinar cuáles pueden interesarles

Sigue leyendo →

GPOs No Se Aplican (MS16-072 – KB3163622 y KB2919355)

En los últimos días he recibido varias consultas con un síntoma que aparentemente es extraño: algunas Directivas de Grupo (GPOs) que funcionaban perfectamente, dejaron de aplicarse

Son cosas que parecen raras, sólo algunas GPOs, y específicamente unas pocas, donde lo que tenían en común era que se había aplicado algún filtrado de seguridad, pero no en todas

Investigando y comentando con compañeros encontramos el motivo, todo fue provocado por una actualización de los sistemas operativos, todos desde Windows Vista hasta Windows Server 2012 R2

Sigue leyendo →

Remote Desktop – Escritorio Remoto: Ocultar Discos

Continuando con esta serie de notas para limitar usuarios en el acceso a Escritorio Remoto, y contribuir a la seguridad del servidor, en esta nota veremos las dos opciones que tenemos para ocultar los discos locales del servidor a los usuarios

La demostración de esta nota está basada en la configuración que he hecho sobre las dos anteriores

• “Remote Desktop – Escritorio Remoto: Instalación Simple y Personalizada”
• “Remote Desktop – Escritorio Remoto: Configurar una GPO Para Limitar a Usuarios Excepto Administradores”

Hay dos opciones parecidas para esta nota, una que permite ocultar y otra que evita acceder a los discos, vamos a ver las diferencias y las consecuencias de cada una de ellas

Sigue leyendo →

Remote Desktop – Escritorio Remoto: Configurar una GPO Para Limitar a Usuarios Excepto Administradores

Continuando con la nota anterior “Remote Desktop – Escritorio Remoto: Instalación Simple y Personalizada en Dominio” y con el objetivo de cómo podremos (en futuras notas) limitar las capacidades de un usuario cuando se conecta a un servidor utilizando Escritorio Remoto, lo primero es crear y vincular una GPO que tenga dos temas en cuenta:

• Que las restricciones anteriores no se apliquen a los administradores
• Que sean limitaciones específicas para cuando se conecte al servidor usando Escritorio Remoto, pero que no se apliquen a su máquina individual

Para cumplir con estos objetivos debemos denegar el permiso de aplicar la GPO a los administradores y además usar el procedimiento de aplicación de GPO de bucle invertido

Sigue leyendo →

Remote Desktop – Escritorio Remoto: Instalación Simple y Personalizada en Dominio

Hace ya tiempo que he escrito notas sobre “Remote Desktop – Escritorio Remoto”, su instalación y configuración, pero he observado que en muchos casos se necesita una instalación más simple, o aún personalizada de la instalación

Esto es lo que haré en esta nota, y que luego aprovecharé en otras subsiguientes mostrando cómo podremos mejorar la seguridad y limitar muy específicamente qué aplicaciones y configuraciones podrán hacer los usuarios, como así también qué le podremos ocultar en la sesión  remota del servidor

Para el que quiera repasar el tema pongo los enlaces a las tres series anteriores en el blog:

• Windows Server 2012: Remote Desktop – Quick Start (Parte 1)
  https://windowserver.wordpress.com/2012/10/05/windows-server-2012-remote-desktop-quick-start-parte-1/
• Windows Server 2012: Remote Desktop – Standard Deployment (Parte 1 – Instalación)
  https://windowserver.wordpress.com/2012/10/18/windows-server-2012-remote-desktop-standard-deployment-parte-1-instalacin/
• Remote Desktop – Escritorio Remoto: De Principio a Fin (Nota 1)
  https://windowserver.wordpress.com/2016/03/01/remote-desktop-escritorio-remoto-de-principio-a-fin-nota-1/
• Remote Desktop – Escritorio Remoto: Instalación Básica en Grupo de Trabajo (“Workgroup”)
  https://windowserver.wordpress.com/2016/06/14/remote-desktop-escritorio-remoto-instalacin-bsica-en-grupo-de-trabajo-workgroup/

 

Sigue leyendo →