Archivo de la categoría: Seguridad

Serie OMS – VI – Despliegue de soluciones: Automation & Control.


Buenos dias,

Continuamos con los escenarios de despliegue básico de soluciones de OMS. Ya hemos visto Insight & Analytics y Security & Compliance. Pues vamos con  Automatización & Control.

¿Que nos proporciona esta solución?. Pues entre otras cosas:

  • Simplificar la gestión de nuestra nube o entorno Hibrido a traves de la automatización de procesos.
  • Lo que todos queremos, crear, monitorizar, administrar y desplegar recursos en nuestros entornos mientras reducimos errores y aumentamos la eficiencia,
  • Administración de los cambios realizados en nuestros servicios.
  • Implementación, actualización automática y supervisión constante de nuestros recursos IT.
  • Sin olvidarnos de la reducción de costes operativos.

Una vez sabemos que nos puede aportar, vamos a desplegarla sobre nuestro Workspace.

Automatización & Control.

Nuevamente, vamos de compras … a la “Galeria de Soluciones” ….

Añadimos la que deseamos…

En este caso y para la solución de Change Tracking necesitamos una cuenta de automatización de Azure, que podemos utilizar una ya existente que no esté asignada a otro Workspace de OMS o crearla automáticamente.

Ahora ya podemos desplegar nuestra solución:

Este paquete nos ofrece el despliegue de las siguientes soluciones: “Change Tracking ” y “Update Management“. Asi es como ya tenemos nuestro Cuadro de Mandos …. Como ha mejorado!!

Vayamos a ver cada solución individualmente.

1 Update Management.- Nos va a aportar una evaluación del malware existente en aquellos servidores en los que hayamos desplegado OMS y conectado a nuestro workspace.

De un simple vistazo nos aporta información sobre:

  • Equipos examinados.- Nos lista que equipos necesitan actualizaciones ya sean críticas, de seguridad o de otro tipo. También nos dice qué equipos están completamente actualizados.
  • Actualizaciones pendientes.- Nos muestra un listado de las actualizaciones que están pendientes de aplicar en nuestra infraestructura, ya sean cr´citas, de seguridad u otras.

2 Change Tracking.- Nos va a aportar una evaluación del malware existente en aquellos servidores en los que hayamos desplegado OMS y conectado a nuestro workspace.

Nos muestra

  • Cambios realizados en nuestra infraestructura, ya sean Daemos, ficheros, cambios en el registro, de software, cambios en los servicios e Windows, todo ellos registrados en tiempo real.
  • Cambios ordenados por tipo de configuración.- Si han sido por Software, por servicios, etc.
  • Cambios de Software.- programas o aplicaciones que se han añadido, eliminado o modificadas por equipo
  • Numero de aplicaciones y cambios realizados.- Que aplicaciones han sufrido alguna actualización.
  • …….

Vamos que ya tenemos nuestro Cuadro de Mandos repleto de información que nos permitirá tener super contralodos y centrados todos los cambios realizados en cualquier equipo monitorizado por OMS

Y para terminar hoy, os dejo con un Webinar sobre esta solución:

Que tengais una gran semana ….

Un abrazo,

Serie OMS – V – Despliegue de soluciones: Security & Compliance.


Buenos dias,

Continuamos con los escenarios de despliegue de soluciones de OMS. Ya hemos visto Insight & Analytics. Pues vamos con Security & Compliance.

¿Que nos proporciona esta solución?. Pues entre otras cosas:

  • Prevenir y detectar amenazas, pudiendo responderlas.
  • Control de seguridad centralizado.
  • Definición de directivas que supervisen y recomienden configuraciones base de seguridad.
  • Identificar actulizaciones de los sistemas gestionados,
  • Estado del malware,
  • Recopilación de eventos relacionados con la seguridad
  • Realización de análisis forenses.

Una vez sabemos que nos puede aportar, vamos a desplegarla sobre nuestro Workspace de Demo.

Security & Compliance.

Nuevamente, vamos de compras … a la “Galeria de Soluciones” ….

Añadimos la que deseamos…

En este caso, este paquete nos ofrece el despliegue de las siguientes soluciones: “Antimalware Assessment” y “Security and Audit“, en un principio. Ya veremos que podemos incluir alguna mas. Una vez terminado este proceso,vemos como ha quedado nuestro panel

Al contrario que en el despliegue de soluciones anterior, no hay que hacer ninguna configuración adicional. Y en menos de 5 minutos ya tenemos una visualización inicial de los examenes que está realizando:

Vayamos a ver cada solución individualmente.

1 Antimalware Assessment.- Nos va a aportar una evaluación del malware existente en aquellos servidores en los que hayamos desplegado OMS y conectado a nuestro workspace.

Como podeis ver, en mi entorno de Demo, la verdad es que hay poca información relevante. Pero en otros entornos que he visitado suele aportar mas información:

Donde vemos que hay equipos sin protección real, que se controla si la firma de los motores de antivirus está o no actualizada, el tipo de antivirus/antimalware utilizado en cada equipo, amenazas detectadas, etc.

2  Security and Audit.- Esta segunda solución nos informa de la seguridad en nuestra red, en el acceso e identidad, en los equipos/servidores, etc., Esto es parte del dashboard:

Nada mas acceder, una vez instalado, nos sugerirá que creamos una serie de alertas que nos mantendrán informados de los principales problemas de seguridad:

Como podeis observar se divide en varios paneles, os voy comentando:

Security Domains.- Nos proporciona accesos a otros paneles como “Inteligencia de amenzas”, donde nos muestra un mapa mundial y la ubicación de las amenazas mas recientes. Acceso al panel de Antimalware Assesment, acceso a los eventos de seguridad de los equipos monitorizados, …

…. Hasta tenemos accso a Azure Security Center, donde se nos hacen una serie de recomendaciones de severidad Alta y media, en mi caso:

Notable Issues.- Este panel nos desglosa las actualizaciones que están pendientes de instalar en nuestros equipos asi como por ejemplo, cuentas que han tenido errores a la hora de hacer “log on”:

Y para terminar hoy, os dejo este interesante vídeo sobre esta solución:

Cambio del hash de firma del algoritmo para usuarios de confianza de Office 365 en ADFS.


Buenos dias,

Empezamos la semana con una “Pildora” sobre Active Directory Federation Services (ADFS), Azure Active Directory y Office 365.

Por defecto ADFS firma sus tokens en Azure AD para asegurarse que no se pueden modificar o alterar, obviamente, la seguridad es lo primero. Esta firma se basa en varios algoritmos de cifrado públicos, concretamente en SHA1 (Secure Hash Algorithm), o en SHA256.

Cuando desplegas un servicio de ADFS desde cero, o ya lo tienes desplegado, y te dispones a crear una delegación de confianza en un tercero, como pueda ser office 365 y quien está por detras que sabemos que es Azure Active Directory, la opción que se configura por defecto como Algoritmo de Hash Seguro es SHA1.

Como buena práctica lo habitual es cambiarlo a SHA256. Nos dirigimos a “Relying Party Trust, seleccionamos “Microsoft Office 365 Identity Platform”, propiedades, vamos a la pestaña de “Advanced” y cambiarmos de uno a otro. Así de sencillo.

Buena semana a todos,

Roberto

Como actualizar Microsoft Security Essentials en un Windows Server 2012 R2.


Hace poco hablamos de “Como instalar Microsoft Security Essentials en un Windows Server 2012 R2.“, detalle poco habitual el de instalar un antivirus “StandAlone” en nuestros servidores, sin consola de gestión etc. Pusimos como ejemplo un servido en la nube,

He recibido algún mensaje comentándome que llegado a un punto, al actualizar dicho antivirus con el Update 4.9.218.0 (KB3140527) de febrero de este año, daba el siguiente error.

Bien, pues vamos a solucionar este problema.

Nos situamos en la ruta c:windowssoftwaredistributiondownload donde podemos encontrar el fichero descargado del Update del antivirus:

Pero no lo logra ejecutar dicha actualización. Ya vimos en el anterior post que hay que realizarlo de forma manual, por compatibilidad con Windows 7 y desde línea de comando con un Switch especial. Vamos a copiar este fichero denominado d2230a….. a una carpeta que tengamos privilegios, por ejemplo, c:tmp y lo vamos a renombrar como update.exe. Si os fijais es el mismo fichero en la captura de abajo:

Botón derecho sobre el fichero renombrado y seleccionaremos, como ya hemos comentado, el modo de compatibilidad con Windows 7.

Ahora, al igual que hicimos con la instalación inicial, dese una consola con privilegios de administrador local, lanzamos la actualización con el switch /disableoslimit

Aparece el asistente de instalación de la actualización del Antivirus, seleccionamos “upgrade” ..

y ….

Tachan!!!!! Actualizado.

Espero que os sea útil.

Me despido por hoy, última semana del año, felices fiestas y el viernes … último y primer post sobre Operational Manager Suite (OMS), la caña.

Besos y abrazos.

Securiza tus dominios de tus Web Apps de Azure con HTTPS.


Buenos dias,

Una práctica habitual es la de securizar los dominios de nuestras aplicaciones web a través de un certificado SSL. Hoy vamos a ver cómo habilitar HTTPS para nuestra aplicación web con dominio personalizado.

¿Qué necesitamos?

  • Configurar el dominio personalizado en nuestra Web App de Azure.- Desde el portal de Azure, Web Apps, “Custom domains” o dominios personalizados …. aqui tenemos que tener nuestro dominio, por ejemplo: http://www.xyz.es

generateCSRAzure000

generateCSRAzure000a

  • Obtener un certificado SSL.-Si no lo tenemos, necestiaremos un certificado SSL emitido por una Entidad  Certificadora oficial con los siguientes requerimientos:
    • Que esté firmado por una Entidad Certificadora Oficial.
    • Que contenga la clave privada (importante).
    • Que esté creado en formato de intercambio de claves y sea exportable, vamos .PFX.
    • Que utilice, como mínimo, un cifrado de 2048 bits.
    • Que el nombre del asunto coincida con el del dominio personalizado (no entrea a valorar certificados Wildcard *).
    • Que combine todos los certificados intermedios utilizados. Para que no haya ningún salto de confiabilidad.

Y eso es lo que os voy a explicar …

Step 1. Creación de Petición para la CA (Certificate request = csr).

Vamos a realizar este paso directamente desde nuestro equipo utilizando la herramienta Certreq.exe.

  • Creamos un fichero de texto con todos los datos importantes que va a contener la petición como el nombre del certificado, Unidad Organizativa, cifrado, exportable y, sobre todo el OID para “Server Authentication”
[NewRequest]
Subject = "CN=<your-domain>"  ; E.g. "CN=www.contoso.com", or "CN=*.contoso.com" for a wildcard certificate
Exportable = TRUE
KeyLength = 2048              ; Required minimum is 2048
KeySpec = 1
KeyUsage = 0xA0
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
HashAlgorithm = SHA256

[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1         ; Server Authentication

Le damos un mobre a nuestro fichero, por ejemplo, NewRequest.txt

  • Abriremos una consola (CD) y ejecutaremos el siguiente comando:

certreq -new pathtomyrequest.txt  pathtocreatemyrequest.csr

siguiendo con nuestro ejemplo, ejecutaremos:

generateCSRAzure0002

Vemos que nos ha generado nuestro fichero csr que es el que tenemos que enviar a la Entidad Certificadora para que nos devuelva el certificado a desplegar en nuestro Web Site

generateCSRAzure0003

  • Enviar a la Entidad Certificadora (CA) nuestro fichero newrequest.csr  para que nos devuelva el certificado SSL a desplegar en nuestro Web Site. En unos casos habrá que cargar el archivo en un formulario web y en otros enviarlo por correo y esperar respuesta.

No hay que olvidarse de que si la CA utilizada Entidades Certificadoras Intermediarias, habrá que bajarse toda la cadena de certificados.

Step 2. Instalación de Certificado expedido por la CA.

Si abrimos una consola (mmc), con el Snap-in de Certificados, podemos observar que estamos a la espera de recibir el fichero, normalmente en formato .P7b, de la entidad Certificadora del certificado que hemos generado:

generateCSRAzure0010

Una vez la CA nos ha respondido guardamos dicho fichero en nuestro directorio de trabajo y ejecutaremos el siguiente comando

certreq -Accept C:tempCertscert.p7b

Este comando almacenará el certificado en el almacén de certificados de Windows. A través de nuestra consola (mmc) podemos observar que la solicitud de certificados ha desaparecido y se ha convertido en un Certificado SSL:

generateCSRAzure0011

Step 3: Exportación del Certificado.

Ahora, lo que necesitamos es exportar este cerfificado con formato .pfx, clave pública y clave privada. Desde la misma consola de Certificados, nos situamos encima del certificado, botón derecho, Todas las tareas, Exportar Certificado. Nos lanzara un asistente de exportación. Siguiente, y seleccionaremos que queremos exportar la clave privada:

Despues, seleccionaremos que se incluya toda la cadena de certificados en el mismo fichero y que se exporten todas las propiedades del mismo:

introduciremos una contraseña….

Y, para finalizar, escribimos el nombre del certificado.

Step 4: Importación en Azure.

Ahora, desde el portal de azure (https://portal.azure.com), accederemos a las Web Apps, al Web Site que queremos importar el certificado

generateCSRAzure0012

Accederemos a Certificados SSL y seleccionaremos “Cargar certificado“. Seleccionaremos nuestro certificado (archivo .pfx) y especificaremos la contraseña del paso 3. Una vez cargado el certificado tenemos que enlazarlo a nuestro Web App

generateCSRAzure0013

Agregaremos el enlace SSL y utilizaremos los menus desplegables para seleccionar el nombre de dominio que va a proteger con SSL, así como el certificado que pretende utilizar. Es posible que también queramos seleccionar el uso de Indicación de nombre de servido (SNI) o SSL basada en IP, dependiendo de nuestras necesidades.

Las principales diferencias entre uno y otro,  SSL basada en IP asocia un certificado a un nombre de dominio mediante la asignación de una dirección IP pública dedicada del servidor al nombre de dominio.En este caso es necesario que cada nombre de dominio (contoso.com, fabrikam.com, etc.) asociado a un servicio tenga una dirección IP dedicada. Este es el método tradicional de asociación de certificados SSL a un servidor web, y SSL basada en SNI es una extensión de SSL y TLS que permite que varios dominios compartan la misma dirección IP con certificados de seguridad independientes para cada dominio. Los exploradores más modernos (entre los que se incluyen Internet Explorer, Chrome, Firefox y Opera) son compatibles con la extensión SNI.

Solo nos quedaría comprobar que nuestra Web App ya tiene acceso por HTTPS.

Links interesantes:

Que tengais una buena semana.

Como instalar Microsoft Security Essentials en un Windows Server 2012 R2.


Microsoft_Security_EssentialsHola a todos,

Una de las situaciones mas habituales cuando tienes servidores standalone es decidir qué antivirus le instalo. En entornos empresariales te encuentras que ya tienes este servicio cubierto con productos con Kaspersky, Panda, McAfee, etc., que cubren la mayoría de los supuestos. pero, como he dicho,  ¿qué hacemos con aquellos servidores que están en lugares donde no puedo implementar este tipo de soluciones? por ejemplo en servidores en la nube (AWS o Azure).

Pues nada, sabemos que Microsoft tiene un Antivirus que funciona bastante bien y que podemos instalarlo en Windows 7, 8 y Windows 10 sin problemas, pero ¿se puede instalar en Windows Server 2012 R2? No vamos a entrar en debatir si está bien o no, si es el mejor antivirus gratuito o no, etc., Tenemos la necesidad de securizar un servidor hoy mismo, y esta es la respuesta.

Por defecto, si procedemos a lanzar la instalación sobre nuestro Servidor nos dará diversos errores asi que os dejo aqui una guia Step by Step de la instalación en un Windows Server 2012 R2.

installmse0000

Microsoft Security Essentials cannot be installed on your operating system.

Your version of the Windows operating system is not supported by this program.

Error code:0x8004FF04

Descarga.

Nos descargamos Microsoft Security Essentials desde este link y vemos que únicamente está designado para windows 7, Windows 8, Windows RT y Windows 10, tanto Security Essentials como Windows Defender y tenemos versión de 32 y 64 bits.

installmse0001

Instalación.

Como nos hemos descargado el fichero de instalación, por ejemplo en la ruta c:temp, botón derecho del ratón sobre el fichero mseinstall.exe y obtenemos las propiedades del mismo. En la pestaña de “Compatibilidad”, seleccionaremos que se ejecute en Modo de Compatibilidad para Windows 7.

installmse0002

Volvemos a lanzar la instalación de Essentials y ahora nos da otro error distinto:

installmse0003

Microsoft Security Essentials cannot be installed on your operating system. 

Windows Program Compatibility mode is not supported by this program.

Error code:0x8004FF71

Para solucionar la no soportabilidad de la instalación en modo de compatibilildad de Essentials, abriremos una consola como administrador, nos posicionaremos en la ruta donde hemos descargado el instalable y lanzaremos la instalación con el siguiente flag /disableoslimit :

installmse0004

Ahora si!!!! Siguiente,

Una vez instalado, es recomendable realizar un primer análisis de nuestro servidor así como chequear si hay alguna actualización del producto y de las bases de datos de definiciones de virus

Para terminar, como ya he comentado, este producto no está soportado pero ante situaciones no controladas, por falta de presupuesto, falta de toma de decisión, etc., ya sabeis, hay que actuar.

Y, como colofón a este artículo, aprovechar la aparición de Windows Server 2016 que si tiene un antivirus desplegado en su interior ……

installmse0005Buena semana a todos.

Conectar Directorios Activos de nuestras suscripciones de Azure y Office 365.


Buenos dias, empezamos la semana hablando de las bondades de Azure Directorio Activo (AAD).

Hoy queria mostraros cómo conectar los Directorios Activos asociados a nuestras suscripciones de Azure y de Office 365. ¿Para qué? Imaginaros que tenemos replicado nuestro Directorio Activo On-Premises con Office 365, algo habitual, y lo que necesitamos es asignar determinados privilegios sobre servicios que están en Azure a usuarios de nuestro Directorio Activo On-Premises. Vamos, lo mas normal.

Os expongo ambos entornos para que quede todo claro:

1 Azure. Esta es nuestra suscripción de Azure donde tenemos nuestro Azure Active Directory (AAD1)

Connect_00001

Nuestro AAD se denomina Roberto Azure AD y solo tenemos un usuario, que, obviamente tiene el rol de Global Administrator (GA).

Connect_00002

2 Office 365. Esta es nuestra suscripción de Office 365 donde también tenemos nuestro Azure Active Directory (AAD2). Como bien sabeis cada suscripción de O365 tiene asociado su AAD. En este caso tenemos sincronizado nuestro Directorio Activo On-Premises con la suscripción de O365 con AAD Connect, una situación cada día mas habitual.

Connect_00003

El nombre de Nuestro Azure AD de la suscripción de Office 365 cuyo nombre es “Trasto”, con las siguientes cuentas, que, como ya he comentado, vienen sincronizadas del Directorio Activo On-Premises:Connect_00004b

El objetivo es conectar ambos Directorios Activos para poder asignar permisos sobre los servicios de Microsoft Azure a los usuarios de Directorio Activo On-Premises.

Step by Step

1 Añadir nuevo Directorio Activo.- Dentro de la suscripción de AAD1 seleccionamos añadir Directorio. Pulsaremos en el botón de Connect_00004c

Nos vamos moviendo sobre Active Directory, Directory, Custom Create …

Connect_00005

En añadir directorio, seleccionaremos “Usar Directorio existente”. Tenemos que tener preparadas las credenciales de Global Administrator (GA)  de la suscripción de O365 y seguir las instrucciones.

Connect_00006

2 Introducimos credenciales.- En cuanto aceptamos nos informará de que es muy buena idea el cerrar todos los browsers que tengamos abiertos:

Connect_00007

Introducimos credenciales de GA de AAD2 en AAD1 para conectar ambos Directorios Activos.

Connect_00009

Y, atención, somos informados de lo que vamos a realizar, introduciremos la cuenta GA de la suscripción de Azure (AAD1) como  Administrador Global del Directorio Activo asociado a la suscripción de O365 (AAD2).

Connect_00010

O sea, que somos los “Masters” de la suscripción de O365!!!!! con nuestra cuenta de Azure.

Connect_00011

 

3 Comprobación de acceso.- Como podemos observar desde nuestro AAD1, hemos conectado AAD2 y vemos todos sus usuarios, grupos, etc.,

Connect_00013

Asimismo, vemos que la cuenta GA de AAD1 está como Global Administrator de AAD2.

Connect_00015

4 Añadir nuevo usuario.- En este punto añadiremos un usaurio de AAD2 a AAD1. Desde AAD1, añadimos usuario. De las cuatro opciones que tenemos seleccionamos “Usuario en otro Directorio de Microsoft Azure AD.

Connect_00017

 

Escribimos el usuario y esperamos el visto bueno de Azure AD. Le asignaremos el rol de “Usuario”, simple, sin mas pretensiones.

Connect_00018

Verificamos que ya aparece el usuario en AAD1

Connect_00019

5 Asignamos recursos.- Para terminar y alcanzar nuestro objetivo, asignaremos permisos de “Contribuidor” al usuario de AAD2, por ejemplo, sobre un Resource Group de Azure. Accedemos a nuestro Resource Group, en mi ejemplo es RG_WebAppTest, Usuarios, añadir acceso, hemos seleccionado “Contributor” y como usuarios …… Tachán!!!! aparece nuestro usuario de AAD2:

Connect_00023

Prueba superada.

Aqui os dejo un video que lo explica muy bien:

Que tengais un gran semana,

Roberto

Actualización Acumulativa (CU) de Septiembre y Octubre para Sharepoint 2013 disponibles.


Buenos dias,

El mes pasado me lo salté, mucho lio y la que se me viene encima. Asi que este mes, doble o nada. Nos toca la actualización acumulativa del mes de septiembre y octubre.

SEPTIEMBRE

Información relativa a los artículos de la Base de Datos de Conocimiento (KB):

  • KB 2883087 – SharePoint Foundation 2013 September 2014 CU
  • KB 2883068 – SharePoint Server 2013 September 2014 CU
  • KB 2883072 – SharePoint Server 2013 with Project Server September 2014 CU
  • Este mes no hay Office Web Apps Server 2013 CU para descarga.

SharepointCU000001

Links de descarga para las diferentes versiones:

OCTUBRE

Información relativa a los artículos de la Base de Datos de Conocimiento (KB):

  • KB 2889946 – SharePoint Foundation 2013 October 2014 CU
  • KB 2899469, KB 2880962, KB 2880485 – SharePoint Server 2013 October 2014 CU
  • KB 2752098 – Fix for SharePoint 2013 Indexing Connector for Documentum (if installed)
  • KB 2889959 – Project Server 2013 October 2014 CU
  • KB 2889898 – Office Web Apps Server 2013 October 2014 CU

SharepointCU000002

Links de descarga para las diferentes versiones:

  • Download SharePoint Foundation 2013 October 2014 CU: 2889946
  • Download SharePoint Server 2013 October 2014 CU: 2899469, 2880962, 2880485
  • Download SharePoint 2013 Indexing Connector for Documentum October 2014 CU: 2752098
  • Download Project Server 2013 October 2014 CU: 2889959
  • Download Office Web Apps Server 2013 October 2014 CU: 2889898

Consejos:

Un par de consejos adicionales a los habituales. La actualización de octubre 2014 requiere tener instalado lo siguiente:

Tambien recordar que la instalación de Actualizacones Acumulativas si no resuelven ningún problema en nuestra granja se tienen que obviar y esperar a un Service Pack. Ya nos ha pasado que al instalar una CU ha dejado de funcionar algún componente de SharePoint, asi que, con mucho cuidado.

Por otro lado, la nueva política de actualizaciones que viene llevando Microsoft con este producto me tiene un poco despistado por no decir que me he perdido. Stefan GoBner lo trata de exsplicar en este post de agosto 2014. Diferenciar entre los Actualizaciones Acumulativas (CUs), los “Uber Packages” o algo parecido a mini Service Pack, las Actualizaciones Públicas (Public updates -PUs), etc., etc.

Para terminar, despues de isntalar las actualizaciones, tendremos que ejecutar el asistente de configuración en todos y cada uno de los servidores de nuestra granja. No olvidarlo.

También, tener cuado ya que hay que instalar los paquetes de solución de problemas de SharePoint Foundation en nuestros productos SharePoint Server  así como Project Server. Ojo, que esto solo lo he encontrado en el Blog de Stefan GoBner.

El CU de septiembre nos deja una versión 15.0.4649.1001.

Lecturas recomendadas:

Blog de Juan Carlos Gonzalez.

Blog de Stefan GoBner.

Que tengais una buena semana.

Grupos de Seguridad en Directorio Activo – Recordatorio de su uso.


Buenas tardes, último día de curro!! y os dejo con una perlita informativa.

Uno de los temas menos comprendido y que mas confusión genera en Directorio Activo (AD), es la utilización de los distintos grupos de seguridad y su ámbito o alcance. Ayer mismo me preguntaban por qué no se podía añadir un usuario de otro forest a un Grupo de Seguridad que tiene acceso a carpetas compartidas….. pregunté ¿Es un grupo de Dominio Local? …. es un grupo, yo que sé, fue la respueta. Voy a tratar de explicarlo y, sobre todo, dejarlo claro, eso espero.

Existen los siguientes tipos de grupo, según se define en la documentación de Microsoft Windows Server 2012:

  • Grupos Locales.- Son grupos de ámbito exclusivamente local que se crean en servidores independientes (fuera de dominio), o en servidores perteneciente a un dominio sin ser Controladores de Dominio (DC). Estos grupos solo afectan al servidor en el que existen. Como por ejemplo son los grupos que se crean para gestionar servicios tales como DHCP, WSUS, o los Administradores locales de un servidor. ¿Quien puede pertenecer a este tipo de grupos?
  • Cualquier entidad de seguridad (Security Principal) del dominio al que corresponda, o sea, usuarios, equipos, grupos globales o grupos de dominio local del dominio al que corresponda.
  • Usuarios, equipos y grupos globales de cualquier dominio del bosque y cualquier dominio en el que se confie (exista relación de confianza).
  • Grupos Universales definidos en cualquier dominio del Bosque.
  • Grupos de Dominio Local.- Su uso principal es para gestionar tanto el acceso a recursos como para asignar y gestionar permisos dentro del Dominio en el que está definido. ¿Quien puede acceder a este tipo de grupos?
  • Cualquier entidad de seguridad del dominio al que corresponda, o sea, usuarios, equipos, grupos globales o grupos de dominio local del dominio al que corresponda.
  • Usuarios, equipos y grupos globales de cualquier dominio del bosque y cualquier dominio en el que se confie (exista relación de confianza).
  • Grupos Universales definidos en cualquier dominio del Bosque.
  • Grupos Globales.- Su uso es para consolidar usuarios que tienen las mismas características, como pueden ser pertenecer al mismo departamento, tener la misma ubicación geográfica o necesidades similares de acceso a la red. Asignar permisos y habilidades en todo el Bosque en el que esté creado ¿Quien puede acceder a este tipo de grupo?
  • Usuarios, equipos y grupos globales del dominio en el que se haya creado.

  • Grupos Universales.- Combina las características de los grupos globales y de dominio local pudiendo asignar permisos y habilidades en cualquier dominio del bosque. Ideal para escenarios multidominio y para agrupar Grupos Globales de diferentes dominios.
  • Usuarios, equipos y grupos globales de cualquier dominio del bosque.
  • Grupos Universales definidos en cualquier dominio del Bosque.

Una de sus principales virtudes es la propagación de los grupos universales en todos los servidores con el rol de Catálogo Global (GC).

Aqui os dejo esta tabla que lo explica mejor que yo:

Espero que os haya sido util.

Me voy de vacaciones. Pasadlo bien y hasta Septiembre.

 

Actualización Acumulativa (CU) de Agosto para Sharepoint 2013 disponible. Ahora CU mensuales.


Buenos dias,

Como ya comentamos el mes pasado el grupo de productos de Microsoft Sharepoint ha puesto a nuestra disposición la última actualización acumulativa, que ahora son mensuales. En este caso nos toca la del mes de Agosto. Aqui nadie descansa.

Información relativa a los artículos de la Base de Datos de Conocimiento (KB):

  • KB 2817517 – SharePoint Foundation 2013 August 2013 CU
  • KB 2817616 – SharePoint Server 2013 August 2013 CU
  • KB 2817615 – SharePoint Server 2013 with Project Server August 2013 CU
  • KB 2817521 – Office Web Apps Server 2013 August 2013 CU

Sharepoin2013CUagosto20140001

Links de descarga para las diferentes versiones:

Consejos:

Vuelvo a insistir en estos pequeños detalles. Recordar, como ya hemos comentado en anteriores Posts de actualizaciones de Sharepoint 2013, de que para instalar este CU es necesario tener antes instaldo o el SP1 de SharePoint 2013 o el PU de Marzo 2013 y, probar en un entorno de test antes que en Producción. También es recomendable tener instaladas todas las Actualizaciones Acumulativas anteriores, o sea, tener hasta la de Julio instalada.

UpdateSharepoint2013000101

Una vez instalado este CU, probablemente tengamos que ejecutar el asistente de configuración del SharePoint 2013 en cada servidor de la Granja Sharepoint, no hay ningún problema.

No olvidar el procedimiento de instalación de CU en este tipo de Servicios, hay que ser muy metódico con determinados productos. Recordar, pararemos los siguientes servicios en este orden para, una vez instalado el CU, arrancarlos en orden inverso:

  • SPTimerV4
  • OSearch15
  • SPSearchHostController

La versión que se nos queda es la 15.0.4353.1000, para vuestra información.

Que tengais una buena semana y mejores vacaciones.

masrobeznoquenunca

Comparto lo que hago y lo que veo.

El camino de un ITPro

El camino de un ITPro

adumont

Just another WordPress.com weblog

Marco Antonio's space

Una mirada dentro de mis ratos libres...

Marcelo Ruiz

Network and SocialMedia

A Digital Frontier...

Blog personal de Robert Garrandés Simancas ("Versión Beta")

enero11

Literatura para romper el tiempo.

A %d blogueros les gusta esto: