March 2008 - Artículos
Las técnicas de enfriamiento de memoria no son nuevas y otras técnicas de lectura de la memoria han sido usadas por la informática forense desde hace tiempo.
Evidentemente este tipo de ataques supone un problema si pensamos en que hay situaciones en las que los secretos pueden estar en la memoria.
En el siguiente video podéis ver como se aplican estas técnicas para “hackear” un equipo encriptado y como la memoria mantiene sus valores durante un periodo de tiempo que puede ser alargado enfriándola.
Link video: http://www.youtube.com/watch?v=JDaicPIgn9U
Bitlocker y Windows a través de las GPO nos permiten de mitigar estos riesgos evitando la suspensión de los equipos usando la configuración de gestión de energía de las GPO, otras GPO nos permiten controlar el comportamiento de los secretos con respecto a la memoria y finalmente el uso de un PIN evitara que alguien pueda acceder al equipo después de una hibernación, interrumpiendo de esta forma el arranque y la copia a la RAM.
Firmado:
El cansino del Bitlocker.
Crossposting from blogs.technet.com/dmatey
Bitlocker es un arma fantástica para mitigar algunos de los riesgos relativos a la seguridad de la información comunes en toda organización.
Uno de los procesos que no debe ser olvidado es aquel que tiene lugar cuando un disco duro tiene que ser “jubilado”.
Un simple formateo o un formateo a bajo nivel puede tener riesgos y un formateo en profundidad que llene el disco para garantizarse que la información ha sido sobrescrita es lento y además teóricamente también hay técnicas que permiten indagar en el disco y recuperar información de un estado anterior.
Bitlocker nos permite asegurarnos de que quien tenga que acceder al disco lo hará teniéndose que saltar la encriptación que puede ser hasta AES-CBC 256 Bits con Difusor lo cual está muy pero que muy difícil a día de hoy pensar que este algoritmo es usado por múltiples organismos militares para la información considerada como clasificada.
El siguiente comando permite forzar que siempre sea solicitada la contraseña de recuperación en el arranque:
Manage-bde –forcerecovery C:
Lo cual evitaría que un atacante pudiera usar el disco incluso desde otros sitemas o intentar ataques en remoto.
El comando Format ha sido modificado para ser compatible con Bitlocker, el formateo de una unidad destruye también las claves del volumen.
Existe también un método WMI denominado DeleteKeyProtector dentro de la clase Win32_EncryptableVolumeClass que puede ser usado para los mismos propósitos.
Mantener vuestra información segura!!!
Crossposting from blogs.technet.com/dmatey
Si con el fin de mejorar la seguridad del equipo en el que hemos activado Bitlocker hemos usado protectores adicionales como un PIN o una llave clave de inicio en un USB (algo que tienes o algo que sabes) es mas que posible que nuestros usuarios puedan olvidarse de ellas obligandonos a facilitarles las claves de recuperación como unica alternativa a desplazar a un tecnico hasta el puesto de trabajo del usuario.
Logicamente es conveniente que en el caso de tener que facilitar la clave de recuperación al usuario, se cambie la misma.
Para ello es posible usar el script de administración manage-bde.wsf que se puede encontrar en C:\Windows\system32.
No es posible cambiar la clave de recuperación directamente pero si es posible borrar la existente y generar una nueva.
Para borrar una clave de recuperación existente se puede usar la siguiente sintaxis:
manage-bde –protectors –delete c: -type RecoveryPassword
Para crear una nueva clave de recuperación usaremos el siguiente comando.
manage-bde –protectors –add c: -rp
Siempre recomiendo a mis clientes usar el AD para guardar las claves de recuperación, si hemos configurado las GPO adecuadamente este proceso de backup de la clave de recuperación en el AD no solo sera transparente para el usuario sino que ademas tendremos la seguridad de que si no se puede contactar con el AD tampoco se realizara la operación.
Obviamente para administrar Bitlocker hay que ser administrador de la maquina lo cual dificulta un poco la operativa de esta operación, la suerte es que el script manage-bde permite ser usado en remoto solucionando este problema.
El mismo procedimiento es el que se debe usar para cambiar el PIN del usuario usando para ello los parámetros relativos a la clave PIN.
Crossposting from blogs.technet.com/dmatey
Ya está disponible la actualización que permite usar la MMC de administración de Hyper-V en los equipos con Windows Vista SP1.
Usando esta herramienta os evitareis los problemas relativos al uso del ratón en maquinas virtuales sin las additions cuando usas la consola de Hyper-V por terminal.
x86: Update for Windows Vista (KB949758)
x64: Update for Windows Vista x64 Edition (KB949758)
Crossposting from blogs.technet.com/dmatey
 |
Lo cierto es que al principio no me llamaban mucho la atención los gadgets pero ahora me he aficionado y la verdad es que me permiten realizar acciones más rápido o ver información de una manera muy rápida.
Ahora cómo puedes ver en la imagen los que uso son:
-Un buscador (Live of course)
-Un visor de recursos (Procesador y Ram)
-Powershell
-Un gadget que me permite apagar, reiniciar o bloquear el equipo.
-La hora de Seattle J
-Terminal services (este permite favoritos, acceder por consola, etc)
-Un gadget que me permite ver el estado de algunos equipos (la versión gratuita solo 5 L )
-Accesos directos (muy útil)
-Y el calendario para saber en que día vivo J
Puedes encontrar todos estos y muchos más en:
http://gallery.live.com/ |
Crossposting from blogs.technet.com/dmatey
Fantastico articulo de Ponicke sobre como delegar permisos en Hyper-V.
He quedado asombrado por el nivel de granularidad posible y por lo bien que lo han diseñado usando AZMan.
Parte 1
Parte 2
Crossposting from blogs.technet.com/dmatey
Windows Server 2008 es para mí el MEJOR SISTEMA OPERATIVO de la historia y esto es así por una infinidad de cosas, pero ahora hay una más que me fascina completamente y son las Group Policy Extensions.
Os imagináis poder tener completo control de decenas de elementos de configuración tales como registro, impresoras, aspecto, acceso directos, menús, data sources, dispositivos, VPNs, tareas programadas, unidades de red, de todos vuestros ordenadores y de manera centralizada.
Os imagináis poder hacerlo GRATIS y con además opciones de targeting avanzado que os permitirán poder usar condiciones realmente complejas para aplicar políticas como por ejemplo rangos de MACs, conexiones, software instalado, horas, usuarios y decenas más.
Todo esto son las GPO Extensions y solo necesitáis instalar un software en vuestras maquinas clientes XP, Vista, Windows Server 2003 y ya esta. No hay que hacer nada en Windows Server 2008 para poder trabajar y editar las Extensions.
Fascinante verdad?, Para aprender mas podéis leer el whitepaper sobre esta tecnología`.
Para terminar aquí os dejo algunas capturas de pantalla para que podáis verlo más en detalle.
Imagen 1, Todas las extensions
Imagen 2, Configurando unidades de red.
Imagen 3, Configurando accesos directos.
Imagen 4, Configurando una VPN
Imagen 5, Menu de inicio.
Imagen 6, Opciones para filtrar el targeting.
Imagen 8, Configurando Impresoras.
Crossposting from blogs.technet.com/dmatey
Parece ser que es posible que en menos de tres meses tengamos una beta pública de Stirling.
Puede que muchos os estéis preguntando que es Stirling, pues bien este es el nombre en clave de la siguiente gama de productos Forefront (ISA, FFE, FFS, FCS, IAG, etc) más una nueva consola que permitirá administrar todos los productos desde ella misma y que además permitirá correlacionar todos los eventos de seguridad que sean detectados por los diferentes productos para orquestar reacciones ante ataques.
Parece que existirá también la posibilidad de usar Forefront a través de una solución hosteada por Microsoft.
Además Stirling estará integrado con System Center, NAP y tendra otras funcionalidades impresionantes que no puedo contar aun por ser NDA.
Tengo un montón de ganas de que salta para poder hablaros mas, pero de momento toca esperar.
El producto se supone que será RTM en la primera mitad del 2009.
Crossposting from blogs.technet.com/dmatey
Aunque el equipo de desarrollo comenta que intentaran que sea la última vez, la migración a RC0 nos obligara una vez más a reconfigurar nuestras maquinas virtuales.
Una vez descargada la actualización (KB949219) para x64 la podremos instalar en nuestro servidor pero antes tendremos que haber borrado todas las snapshots de nuestras maquinas virtuales así como las redes virtuales que tengamos.
Después borráis las maquinas apuntando antes su configuración.
Una vez hayáis actualizado recreareis las maquinas virtuales reutilizando los VHD que teníais de antes , en mi caso al arrancar las maquinas virtuales he tenido que reconfigurar las tarjetas de red virtuales ya que eran unas nuevas, esto ha sido lo más lioso para mí ya que tenía muchos firewalls, dc, etc.
Otra cosa importante es que tendréis que actualizar las additions, esto lo podeis hacer de la misma forma que las instalasteis, os dirá que ya las tenéis instaladas y que si queréis actualizarlas.
Para los que administréis en remoto desde una x86 existe también el mismo parque para estas maquinas pero que lógicamente solo incluye la consola.
Descarga x86 http://www.microsoft.com/downloads/details.aspx?FamilyID=b7464b44-821d-4a7c-9d9c-7d74ec14437c&DisplayLang=en
Descarga x64 http://www.microsoft.com/downloads/details.aspx?familyid=DDD94DDA-9D31-4E6D-88A0-1939DE3E9898&displaylang=en
Explicación detallada del proceso de migración de las VM: http://support.microsoft.com/kb/949222/
Crossposting from blogs.technet.com/dmatey
Demasiado exitante como para esperar a tener un post mas completo.
Ya han liberado la RC0 de Hyper-V y espero actualizar mis maquinas de casa con Hyper-V ya mismo asi que en cuanto las tenga posteare con el proceso de actualización.
En cuanto a las novedades destacar que ya podemos tener Maquinas virtuales XP y Vista asi como Linux, dicen tambien que mas rendimiento (mas?).
En el siguiente enlace teneis información sobre el proceso de migración:
http://www.microsoft.com/windowsserver2008/en/us/hyperv-install.aspx
Crossposting from blogs.technet.com/dmatey
El Directorio Activo tiene una importancia tremenda en la implantación de bitlocker en las empresas.
El AD nos permite asegurarnos de que todas las claves de recuperación de las maquinas que tienen bitlocker activado han sido guardadas y que podremos acceder a ellas de forma rápida y segura.
Modificando las GPO conseguiremos que durante el proceso de activación de bitlocker la clave de recuperación sea guardada dentro del objeto de la maquina en el AD.
Para poder guardar esta información debemos extender el esquema del AD (Windows 2003) para ello usaremos un script LDIF que podemos encontrar al igual que todos los recursos que veremos en este articulo en este enlace .
En la siguiente imagen podéis ver la extensión del esquema a través de LDIFDE.
Después de esto, podremos usar el adsiedit o el editor de esquema para ver como se han incluido nuevos atributos.
Para que los usuarios puedan escribir en ese atributo hay que modificar los permisos del AD, esto lo haremos con otro script que también viene incluido en el enlace que os he comentado antes y que podéis ver en la siguiente imagen.
Ahora tendremos que configurar varias GPO.
(Open Computer Configuration, open Administrative Templates, open Windows Components, and then open BitLocker Drive Encryption)
(Open Computer Configuration, open Administrative Templates, open System, and then open Trusted Platform Module Services)
Ahora cada vez que activemos bitlocker en una maquina tendremos su clave de recuperación guardada en el AD.
En caso de que un equipo no pueda arrancar por alguna de las siguientes razones:
-Al usuario se le ha olvidado el PIN (si se ha escogido esa configuración).
-Se ha cambiado de placa madre o se ha cambiado el disco duro de ordenador.
-Al usuario se le ha olvidado o ha perdido el pen drive (si se ha escogido esa configuración)
Entonces el usuario vera una pantalla como la siguiente:
Entonces llamara a soporte y quien le atienda si tiene los permisos adecuados podría mirar la clave de recuperación en el AD y decírsela al usuario para que pueda entrar en su máquina.
Si estamos hablando de una empresa con contrato premier, entonces se podrá instalar la herramienta Bitlocker Recovery Password Viewer, que permite buscar en el AD las claves de recuperación de una forma rápida a través de la consola de usuarios y computadoras del Directorio Activo.
Tenéis mas información sobre esta herramienta en:
http://support.microsoft.com/?kbid=928202
Crossposting from blogs.technet.com/dmatey
En este articulo vamos a ver cómo podemos probar Bitlocker en una maquina virtual.
Desgraciadamente aun no existe una emulación del chip TPM por lo que tendremos que usar otro método para guardar la clave.
Para que el método que usemos sea válido para los tres productos de virtualización de maquinas de Microsoft nosotros nos vamos a basar en un disquete virtual para guardar la clave.
Es muy importante que configuréis la bios de la maquina virtual de forma que no arranque desde disquete.
Crear el disquete virtual es muy sencillo, asi que no lo explicare.
El paso más importante es el de preparar bien los discos para poder instalar bitlocker después.
Como sabéis bitlocker requiere dos particiones una para el sistema y otra para el “arranque”, es importante que instaléis Windows en la de sistema pero que la activa sea la de “arranque”.
Para hacerlo lo mejor es pulsar mayúsculas + F10 cuando Vista o Windows Server 2008 nos pidan que indiquemos el disco duro en el que queremos instalar el sistema operativo.
Cuando pulsemos esa combinación de teclas, nos aparecerá una ventana de MS-DOS en la que tendremos que poner exactamente los comandos que veis en las capturas de pantalla.
Después de esto instalamos el sistema operativo normalmente.
Antes de activar bitlocker tendremos que modificar las GPO para permitir al equipo usar bitlocker sin chip TPM.
Y listo, ya podréis activar bitlocker en vuestra maquina virtual usando el siguiente comando:
cscript c:\Windows\System32\manage-bde.wsf -on C: -rp -sk A:
Crossposting from blogs.technet.com/dmatey
Cuando nos referimos al interfaz de usuario de powershell podemos estar hablando de dos cosas bien diferentes e igual de interesantes.
Por un lado nos podemos referir a la posibilidad de editar o usar nuestros scripts desde un interfaz grafico diferente al notepad ;-)
Para este objetivo Microsoft ha añadido un editor de powershell en la versión beta de PowerShell 2.0.
Pero en Internet podremos encontrar algunas herramientas que no solo nos permitirán editar scripts si no acceder a su información de salida de una forma grafica, interaccionar con los resultados invocando a otros scripts, sacar informes o llamar a otras acciones, en este campo existe una herramienta gratuita denominada PowerGUI de Quest realmente interesante.
Podéis ver una screencast sobre este producto en el siguiente enlace:
http://www.powergui.org/shares/powergui/sbin/docs/PowerGUI_Introduction/PowerGUI_Introduction.html
Por otra parte si estuviéramos interesados en proveer a nuestros scripts PowerShell de una interfaz grafica para nuestros usuarios tendremos otras alternativas.
En la beta de PowerShell v2 nos encontramos con la funcionalidad de mostrar los resultados en un grid a través del nuevo cmdlet out-gridview.
Así por ejemplo el comando:
Get-Service | Out-Gridview
Nos mostrara un grid con toda la información permitiendo filtrar y ordenar los resultados.
Si queremos permitir que los usuarios introduzcan o interactúen con el script a través de un interfaz grafico, lo podemos hacer invocando a los objetos contenidos en el namespace System.Windows.Forms.
El problema es que no es que sea muy fácil ni intuitivo y requerira de un tiempo para adaptarse.
Al final tendríamos código como el que podeis ver en este articulo: http://www.microsoft.com/technet/scriptcenter/resources/pstips/default.mspx
De esta forma le podemos pedir al usuario información, mostrar cajas de texto, botones y cualquier control windows para .Net.
Otra opción es usar una herramienta denominada AdminScriptEditor que no es gratis L pero que tiene demo J (http://www.adminscripteditor.com/editor/download.asp )
Podéis ver una screencast muy interesante del producto en el siguiente enlace:
http://www.adminscripteditor.com/editor/sfd/quick1/ASE31_Posh_SFD_Quick1.html
Crossposting from blogs.technet.com/dmatey
Despues del rotundo exito de Softgrid con mas de 4.5 millones de licencias vendidas, Microsoft ha decidido aumentar su oferta de productos relacionados con la virtualización adquiriendo Kidaro.
No hace mucho Microsoft adquirio tambien la empresa Calista Technologies lo que permitira a Microsoft avanzar en el campo de los escritorios virtualizados pero con pleno soporte a 3D, Vista Aero WPF, Multimedia, etc todo ello sobre RDP y con un rendimiento asombroso semejante al que experimenta el usuario cuando esta en su propio PC.
Con respecto a Kidaro solo puedo decir que el producto es extenso y asombroso, muchas de sus features estan orientadas a hacer transparente al usuario el uso de maquinas virtuales.
De esta forma los usuarios ven las aplicaciones que corren en maquinas virtuales completamente integradas en su escritorio no siendo conscientes de que estan realmente corriendo en una maquina virtual en su puesto.
En la siguiente imagen podeis ver como las aplicaciones que corren en la maquina virtual (señaladas con un marco verde) corren sobre la misma sesión del usuario de forma transparente para el:
Kidaro tambien permite que los usuarios trabajen de forma transparente sobre una maquina virtual, que en caso de que queramos eliminara todos los cambios no relativos a las aplicaciones que haya realizado el usuario entre sesión y sesión garantizandonos asi la salud del equipo y el cumplimiento de las politicas corporativas.
Con Kidaro tambien podemos distribuir las maquinas virtuales a los puestos de los usuarios reduciendo el tiempo necesario para la descarga hasta en un 90% segun los datos de la web.
Evidentemente el producto esta integrado con el Active Directory y todos los permisos se realizan a traves de grupos del AD.
Kidaro tambien gestiona las librerias de maquinas virtuales de los escritorios y tiene funcionalidades que nos permiten incorporar todas estas tecnologias a nuestro plan de recuperación de desastres.
Es posible mandar las imagenes a traves de Web, DVD o incluso USB permitiendo usar las aplicaciones desde el USB y estando la maquina virtual encriptada.
Aun no esta claro ni el cuando ni el como, pero si parece que este producto se integrara en el MDOP.
El producto se apoya obviamente en Virtual PC y sera una gran herramienta para proyectosde vista en los que la compatibilidad de aplicaciones suponga un problema.
Crossposting from blogs.technet.com/dmatey
Hoy repasando algunos blogs que hace tiempo que no he podido ver, me he encontrado con un post sobre pruebas de rendimiento TPC de SQL Server 2008.
No solo es más rápido que 2005 si no que vuelve a quedar en el primer lugar en varios TPCs y entre los primeros en el resto.
Además las pruebas se han hecho sobre Windows 2003 o sea que cuando se hagan sobre 2008 serán aun mejores.
Podéis ver más información aquí. (Impresionante la máquina de NEC o la prueba sobre base de datos de 10Tb)
Que puedo decir, más barato, mas rápido, más seguro, deja de mirar bolas de cristal ;-) , !!El futuro esta aqui!!
Nota: Los TPC son pruebas independientes no vinculadas con Microsoft.
Crossposting from blogs.technet.com/dmatey
Aquellos que usamos nuestro portátil para hacer demos, no podemos resistirnos a la tentación de tener Windows Server 2008 x64 instalado en el portátil y así poder usar Hyper-V.
El precio a pagar a parte del de tener algunos problemas relacionados con Hyper-V y conceptos como la hibernación es que logicamente el interfaz es el de Windows Server 2008 y no el de Vista.
A mí me encanta el interface de 2008 pero para los servidores, para trabajar prefiero la sidebar y otros funciones y aspecto visual de vista.
En el siguiente enlace encontrareis una guía sobre como transformar el interface de 2008 en el de Vista. http://www.pronetworks.org/forum/about101245.html
Crossposting from blogs.technet.com/dmatey
Por desgracia de momento no ;-), pero mientras que no tengamos una solución nativa no debemos dejar que la necesidad de USBs o Serials bloqueen nuestros proyectos de virtualización.
Existen en el mercado varias soluciones que permiten acceder a través de red a los dispositivos USB conectados a otra máquina.
Estas soluciones tienen una parte servidora que se instala en la maquina que cuenta con el dispositivo USB conectado y otra parte cliente que instalaremos en nuestra maquina virtual.
Imagen 1, Funcionamiento del producto USB to Ethernet Connector de Eltima Network:
He estado realizando algunas pruebas y se de algún compañero que lo ha usado incluso con lectores de smartcards.
Imagen 2, Captura de pantalla de USB over Network de Fabulatech.
En unos fabricantes falta soporte para 64Bits y en otros para Vista y los precios varían de unos a otros.
Os dejo algunas alternativas, de las que mejor me han funcionado, aunque por supuesto tendréis que probarlas en vuestro entorno y ver si os funcionan adecuadamente:
http://www.fabulatech.com/usb-over-network-devices.html
http://www.virtualserialport.com/products/usb-over-network/
http://www.intellidriver.com/products_1.16.html
Crossposting from blogs.technet.com/dmatey