Be Geek My Friend

Sesión tecnica: ¿Quien ha virtualizado mi solución?

El proximo Miercoles sere el ponente de una sesión tecnica organizada por el MAD.NUG, sobre la virtualización.

Si te interesa el tema y tienes un rato, espero verte alli.

 Titulo:

¿Quién ha virtualizado mi solución?

Fecha:  Miercoles 14 de Octubre 2009

Lugar: Oficinas de Microsoft en Madrid (La Finca)

 Web registro: http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032426695&Culture=es-ES

 Resumen:

La virtualización está aquí para quedarse, esta sesión tratara de ayudar a los profesionales de IT, desarrolladores y DBAs a adaptarse a esta cambio y sacarle partido.

 Algunos de los aspectos que se trataran serán:

·         Principios de diseño de arquitecturas de virtualización de servidores con gestión avanzada,

o   Como mejorar la escalabilidad y disponibilidad de tus aplicaciones usando la virtualización.

·         Buenas prácticas de virtualización de soluciones

o   Virtualizando SQL Server

o   Virtualizando Servidores Web

o   Buenas prácticas generales

·         La virtualización dentro del ciclo de vida del desarrollo :

o   VSTS 2010 Lab Management.

o   Liándola parda con Powershell V2

Webcast mañana dia 30 sobre alta disponibilidad con Hyper-V

Mañana tendre la suerte de poder impartir una webcast sobre escenarios de alta disponibilidad usando Hyper-V.

Veremos un monton de cosas como Geoclustering, buenas practicas, dimensionamiento de nodos, repasaremos conceptos relacionados con la HA como los de almacenamiento, redes y clusteres en Windows Server 2008.

Finalmente hablaremos tambien de como combinar la alta disponibilidad de las maquinas virtuales con alta disponibilidad dentro de las maquinas virtuales como por ejemplo la que podriamos encontrar al querer virtualizar un cluster de servidores de ficheros u otros servicios.

Tambien haremos una demo sobre como crear una maquina virtual en alta disponibilidad usando SCVMM y daremos un vistazo a la configuración de una maquina ya creada.

http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032387661&EventCategory=4&culture=es-ES&CountryCode=ES

 Espero veros en la webcast ;-)

ISA 2006 SP1

Que me encanta ISA Server es una cosa conocida, pero la llegada del SP1 marca un nuevo hito en ISA.

Las mejoras incluyen algunas cosas realmente interesantes entre las que se destacan:

Seguimiento de los cambios de configuración: ya no podrá pasar eso de ¿quien ha cambiado la regla?, esto no estaba así!!!!, ahora se puede configurar ISA para guardar todos los cambios, quien los hizo, etc.

Pruebas de publicación: Con esta funcionalidad puedes verificar las reglas de publicación, está muy bien e incluso te aconseja mejoras.

Simulador de trafico para evaluar las reglas y las reacciones.

Consultas al registro de diagnostico: con esta ultima mejora yo creo que ISA pasa a ser el mejor firewall en cuanto a monitorización y logging.

También hay mejoras en cuanto a NLB ya que ahora se soporta de forma integrada el soporte para multicast con IGMP evitando así los desbordamientos de los switches por el trafico lanzado por el NLB en unicast.

El soporte para certificados SAN tan de moda y soporte para KCD en dominios con confianza.

Un compañero ha realizado un estupendo articulo paso a paso con capturas de pantalla, lo podéis ver en:

 http://blogs.technet.com/isablog/archive/2008/05/23/isa-server-2006-service-pack-1-features.aspx

Fobias No: Hoy toca: "UAC"

Mi ratón se estremece, tiembla cada vez que empiezo a tener la tentación de entrar en el blog de Enrique Dans, por un lado están esos posts sobre tendencias, internet, etc que me resultan interesantes este de acurdo o no, pero cada pocos días, Enrique se transforma.

Algo tiene que ser, ¿un problema con el nivel de litio?, ¿una gotera que no le deja dormir?, ¿usar Linux como SO de escritorio?, no lo sé el caso es que hay días que se levanta con la fobia.

Cuando llega la fobia a ese pozo de sabiduría tecnológica llamado Enrique Dans, el no puede reprimirse siente la inmensa tentación de criticar a Microsoft, lo cual no tiene nada malo, nuestros productos pueden mejorar en eso consiste la evolución del Software.

El problema es criticar yendo de la mano del dramatismo, la exageración y la falta de conocimiento, eso ya no me gusta.

En su último post en modo “fobia” Enrique arremete contra el UAC diciendo que sale cada dos por tres.

Yo al leerle caigo en una especie de shock, ¿seré yo?, ¿emanare una radiación especial que anula el UAC?, ¿Por qué yo no sufro esto, estando como estoy todo el día delante de ordenadores con Vista?

Cuando empiezas a usar un nuevo ordenador o después de reinstalarlo, los mensajes de UAC son frecuentes, pues necesitas tus privilegios de administrador todo el rato para instalar software, realizar cambios, etc.

Pero después de eso, para mi es raro verlo.

Y si me avisa el UAC es para protegerme, no para incordiarme, idéntico a las tecnologías Linux que hacen lo mismo.

Si alguien recibe muchos avisos de UAC es porque requiere demasiado de sus privilegios de administrador lo cual no solo no es normal, no es saludable,  tal vez tengas que revisar que software usas o porque requieres alterar tan frecuentemente tu configuración.

Tal vez sea que yo solo uso el ordenador, para trabajar, estudiar, hacer pruebas, comunicarme, comprar, jugar, en fin para todo y ellos para algo más que sea eso que machaca tanto el UAC.

Algún comentarista del blog de Dans dice que le sale incluso cuando copia ficheros yo sigo pensando: ¿para que quiere alguien copiar frecuentemente ficheros a las carpetas del sistema de ficheros en la que sale el UAC?

Critica si, fobias no.

Instalando Forefront TMG Beta 1 (Siguiente versión de ISA Server)

TMG (Threat Management Gateway) es el nombre que tendrá la siguiente versión de ISA Server, el producto esta aun en Beta 1 y apenas se pueden ver algunos aspectos de lo que será el producto final. Las siguientes betas nos irán trayendo las novedades.

Aun así la Beta 1 tiene especial interes dado que es una parte fundamental de la estrategia de Stirling (de la que hablare en un proximo Post).

Stirling es el nombre en clave de un nuevo producto, una consola que permitirá administrar centralizadamente todos los productos de la gama Forefront.

Stirling no solo permitirá avanzadas técnicas de administración si no que permitirá gracias a la integración de TMG, FCS y los Forefront For Servers reaccionar ante ataques en cualquier parte de nuestra red y poder correlacionar los eventos de seguridad que sean detectados.

Este tipo de detección se alimentara de la información que Microsoft distribuirá a través de Windows Update, esta opción será ofrecida a través de subscripción de pago.

La instalación de TMG varia un poco a la de ISA, y creo que los cambios son a bien, haciendo mas fácil la instalación para los escenarios más comunes.

El producto tiene multiples mejoras a parte de las que ya he contado tales como la inclusión de mejores de herramientas de resolución de problemas, mejoras en la publicación, mejores y mas informes y por supuesto corre sobre Windows Server 2008.

Esta Beta es muy temprana y tiene algunos aspectos que teneis que saber antes de instalarla os recomiendo que os leais las release notes( http://technet.microsoft.com/en-us/library/cc487898.aspx)

Espero que la Beta 2 deje ver mas funcionalidades del producto.

Os dejo con las capturas de pantalla de la instalación, que hablan por si solas.

Y por fin la consola.

Descafeinando Windows Server 2008 Core

Para aquellos para los que el modo core sea demasiado, un compañero Israeli ha sacado una herramienta con interface grafica para configurar los aspectos basicos del sistema sin ser un genio de la linea de comandos.

Mas info: http://blogs.microsoft.co.il/files/folders/guyt/entry68860.aspx

Bueno para MS bueno para todos; OpenXML ya es estandar ISO

Para mas información sobre esta gran noticia ver el estupendo post de Hector Montenegro sobre el tema

http://blogs.technet.com/hectormontenegro

Microsoft anuncia robots para automatizar las tareas repetitivas en los datacenters

Atentos a la última mitad del video ;-) donde se habla de los problemas crossplatform y de siempre incomodo aspecto de la dominación del mundo.

Bricolaje: Video de cómo romper la encriptación de volúmenes y por supuesto también como evitarlo con Bitlocker.

Las técnicas de enfriamiento de memoria no son nuevas y otras técnicas de lectura de la memoria han sido usadas por la informática forense desde hace tiempo.

Evidentemente  este tipo de ataques supone un problema si pensamos en que hay situaciones en las que los secretos pueden estar en la memoria.

En el siguiente video podéis ver como se aplican estas técnicas para “hackear” un equipo encriptado y como la memoria mantiene sus valores durante un periodo de tiempo que puede ser alargado enfriándola.

Link video: http://www.youtube.com/watch?v=JDaicPIgn9U

Bitlocker y Windows a través de las GPO nos permiten de mitigar estos riesgos evitando la suspensión de los equipos usando la configuración de gestión de energía de las GPO, otras GPO nos permiten controlar el comportamiento de los secretos con respecto a la memoria y finalmente el uso de un PIN evitara que alguien pueda acceder al equipo después de una hibernación, interrumpiendo de esta forma el arranque y la copia a la RAM.

Firmado:

El cansino del Bitlocker.

"Jubilando" un disco duro de forma segura con Bitlocker.

Bitlocker es un arma fantástica para mitigar algunos de los riesgos relativos a la seguridad de la información comunes en toda organización.

Uno de los procesos que no debe ser olvidado es aquel que tiene lugar cuando un disco duro tiene que ser  “jubilado”.

Un simple formateo o un formateo a bajo nivel puede tener riesgos y un formateo en profundidad que llene el disco para garantizarse que la información ha sido sobrescrita es lento y además teóricamente también hay técnicas que permiten indagar en el disco y recuperar información de un estado anterior.

Bitlocker nos permite asegurarnos de que quien tenga que acceder al disco lo hará teniéndose que saltar la encriptación que puede ser hasta AES-CBC 256 Bits con Difusor lo cual está muy pero que muy difícil a día de hoy pensar que este algoritmo es usado por múltiples organismos militares para la información considerada como clasificada.

El siguiente comando permite forzar que siempre sea solicitada la contraseña de recuperación en el arranque:

Manage-bde –forcerecovery C:

Lo cual evitaría que un atacante pudiera usar el disco incluso desde otros sitemas o intentar ataques en remoto.

El comando Format ha sido modificado para ser compatible con Bitlocker, el formateo de una unidad destruye también las claves del volumen.

Existe también un método WMI denominado DeleteKeyProtector dentro de la clase Win32_EncryptableVolumeClass que puede ser usado para los mismos propósitos.

Mantener vuestra información segura!!!

Cambiar la clave de recuperación o el PIN de usuario en Bitlocker

Si con el fin de mejorar la seguridad del equipo en el que hemos activado Bitlocker hemos usado protectores adicionales como un PIN o una llave clave de inicio en un USB (algo que tienes o algo que sabes) es mas que posible que nuestros usuarios puedan olvidarse de ellas obligandonos a facilitarles las claves de recuperación como unica alternativa a desplazar a un tecnico hasta el puesto de trabajo del usuario.

Logicamente es conveniente que en el caso de tener que facilitar la clave de recuperación al usuario, se cambie la misma.

Para ello es posible usar el script de administración manage-bde.wsf que se puede encontrar en C:\Windows\system32.

No es posible cambiar la clave de recuperación directamente pero si es posible borrar la existente y generar una nueva.

Para borrar una clave de recuperación existente se puede usar la siguiente sintaxis:

manage-bde –protectors –delete c: -type RecoveryPassword

Para crear una nueva clave de recuperación usaremos el siguiente comando.

manage-bde –protectors –add c: -rp

Siempre recomiendo a mis clientes usar el AD para guardar las claves de recuperación, si hemos configurado las GPO adecuadamente este proceso de backup de la clave de recuperación en el AD no solo sera transparente para el usuario sino que ademas tendremos la seguridad de que si no se puede contactar con el AD tampoco se realizara la operación. 

Obviamente para administrar Bitlocker hay que ser administrador de la maquina lo cual dificulta un poco la operativa de esta operación, la suerte es que el script manage-bde permite ser usado en remoto solucionando este problema.

El mismo procedimiento es el que se debe usar para cambiar el PIN del usuario usando para ello los parámetros relativos a la clave PIN.

Por fin!! Administra Hyper-V desde Windows Vista SP1.

Ya está disponible la actualización que permite usar la MMC de administración de Hyper-V en los equipos con Windows Vista SP1.

Usando esta herramienta os evitareis los problemas relativos al uso del ratón en maquinas virtuales sin las additions cuando usas la consola de Hyper-V por terminal.

x86: Update for Windows Vista (KB949758)
x64: Update for Windows Vista x64 Edition (KB949758)

Gadgetizate!!

Lo cierto es que al principio no me llamaban mucho la atención los gadgets pero ahora me he aficionado y la verdad es que me permiten realizar acciones más rápido o ver información de una manera muy rápida. Ahora cómo puedes ver en la imagen los que uso son: -Un buscador (Live of course) -Un visor de recursos (Procesador y Ram) -Powershell -Un gadget que me permite apagar, reiniciar o bloquear el equipo. -La hora de Seattle J -Terminal services (este permite favoritos, acceder por consola, etc) -Un gadget que me permite ver el estado de algunos equipos (la versión gratuita solo 5 L ) -Accesos directos (muy útil) -Y el calendario para saber en que día vivo J Puedes encontrar todos estos y muchos más en: http://gallery.live.com/

Delegando permisos en Hyper-V

Fantastico articulo de Ponicke sobre como delegar permisos en Hyper-V.

He quedado asombrado por el nivel de granularidad posible y por lo bien que lo han diseñado usando AZMan.

Parte 1

Parte 2

Que grande!!!!, Group Policy Preferences

Windows Server 2008 es para mí el MEJOR SISTEMA OPERATIVO de la historia y esto es así por una infinidad de cosas, pero ahora hay una más que me fascina completamente y son las Group Policy Extensions.

Os imagináis poder tener completo control de decenas de elementos de configuración tales como registro, impresoras, aspecto, acceso directos, menús, data sources, dispositivos, VPNs, tareas programadas, unidades de red, de todos vuestros ordenadores y de manera centralizada.

Os imagináis poder hacerlo GRATIS y con además opciones de targeting avanzado que os permitirán poder usar condiciones realmente complejas para aplicar políticas como por ejemplo rangos de MACs, conexiones, software instalado, horas, usuarios y decenas más.

Todo esto son las GPO Extensions y solo necesitáis instalar un software en vuestras maquinas clientes XP, Vista, Windows Server 2003 y ya esta. No hay que hacer nada en Windows Server 2008 para poder trabajar y editar las Extensions.

Fascinante verdad?,  Para aprender mas podéis leer el whitepaper sobre esta tecnología`.

Para terminar aquí os dejo algunas capturas de pantalla para que podáis verlo más en detalle.

Imagen 1, Todas las extensions

Imagen 2, Configurando unidades de red.

Imagen 3, Configurando accesos directos.

Imagen 4, Configurando una VPN

Imagen 5, Menu de inicio.

Imagen 6, Opciones para filtrar el targeting.

Imagen 8, Configurando Impresoras.

La beta publica de Stirling esta próxima!!!

Parece ser que es posible que en menos de tres meses tengamos una beta pública de Stirling.

Puede que muchos os estéis preguntando que es Stirling, pues bien este es el nombre en clave de la siguiente gama de productos Forefront (ISA, FFE, FFS, FCS, IAG, etc) más una nueva consola que permitirá administrar todos los productos desde ella misma y que además permitirá correlacionar todos los eventos de seguridad que sean detectados por los diferentes productos para orquestar reacciones ante ataques.

Parece que existirá también la posibilidad de usar Forefront a través de una solución hosteada por Microsoft.

Además Stirling estará integrado con System Center, NAP  y tendra otras funcionalidades impresionantes que no puedo contar aun por ser NDA.

Tengo un montón de ganas de que salta para poder hablaros mas, pero de momento toca esperar.

El producto se supone que será RTM en la primera mitad del 2009.

Actualizándose a Hyper-V RC0.

Aunque el equipo de desarrollo comenta que intentaran que sea la última vez, la migración a RC0 nos obligara una vez más a reconfigurar nuestras maquinas virtuales.

Una vez descargada la actualización (KB949219) para x64 la podremos instalar en nuestro servidor pero antes tendremos que haber borrado todas las snapshots de nuestras maquinas virtuales así como las redes virtuales que tengamos.

Después borráis las maquinas apuntando antes su configuración.

Una vez hayáis actualizado recreareis las maquinas virtuales reutilizando los VHD que teníais de antes , en mi caso al arrancar las maquinas virtuales he tenido que reconfigurar las tarjetas de red virtuales ya que eran unas nuevas, esto ha sido lo más lioso para mí ya que tenía muchos firewalls, dc, etc.

Otra cosa importante es que tendréis que actualizar las additions, esto lo podeis hacer de la misma forma que las instalasteis, os dirá que ya las tenéis instaladas y que si queréis actualizarlas.

Para los que administréis en remoto desde una x86 existe también el mismo parque para estas maquinas pero que lógicamente solo incluye la consola.

Descarga x86 http://www.microsoft.com/downloads/details.aspx?FamilyID=b7464b44-821d-4a7c-9d9c-7d74ec14437c&DisplayLang=en

Descarga x64 http://www.microsoft.com/downloads/details.aspx?familyid=DDD94DDA-9D31-4E6D-88A0-1939DE3E9898&displaylang=en

Explicación detallada del proceso de migración de las VM: http://support.microsoft.com/kb/949222/

Ya tenemos Hyper-V RC0!!!!!!!!

Demasiado exitante como para esperar a tener un post mas completo.

Ya han liberado la RC0 de Hyper-V y espero actualizar mis maquinas de casa con Hyper-V ya mismo asi que en cuanto las tenga posteare con el proceso de actualización.

En cuanto a las novedades destacar que ya podemos tener Maquinas virtuales XP y Vista asi como Linux, dicen tambien que mas rendimiento (mas?).

En el siguiente enlace teneis información sobre el proceso de migración:

http://www.microsoft.com/windowsserver2008/en/us/hyperv-install.aspx

Bitlocker y el Directorio Activo.

El Directorio Activo tiene una importancia tremenda en la implantación de bitlocker en las empresas.

El AD nos permite asegurarnos de que todas las claves de recuperación de las maquinas que tienen bitlocker activado han sido guardadas y que podremos acceder a ellas de forma rápida y segura.

Modificando las GPO conseguiremos que durante el proceso de activación de bitlocker la clave de recuperación sea guardada dentro del objeto de la maquina en el AD.

Para poder guardar esta información debemos extender el esquema del AD (Windows 2003) para ello usaremos un script LDIF que podemos encontrar al igual que todos los recursos que veremos en este articulo en este enlace .

En la siguiente imagen podéis ver la extensión del esquema a través de LDIFDE.

Después de esto, podremos usar el adsiedit o el editor de esquema para ver como se han incluido nuevos atributos.

Para que los usuarios puedan escribir en ese atributo hay que modificar los permisos del AD, esto lo haremos con otro script que también viene incluido en el enlace que os he comentado antes y que podéis ver en la siguiente imagen.

Ahora tendremos que configurar varias GPO.

(Open Computer Configuration, open Administrative Templates, open Windows Components, and then open BitLocker Drive Encryption)

(Open Computer Configuration, open Administrative Templates, open System, and then open Trusted Platform Module Services)

Ahora cada vez que activemos bitlocker en una maquina tendremos su clave de recuperación guardada en el AD.

En caso de que un equipo no pueda arrancar por alguna de las siguientes razones:

-Al usuario se le ha olvidado el PIN (si se ha escogido esa configuración).

-Se ha cambiado de placa madre o se ha cambiado el disco duro de ordenador.

-Al usuario se le ha olvidado o ha perdido el pen drive (si se ha escogido esa configuración)

Entonces el usuario vera una pantalla como la siguiente:

Entonces llamara a soporte y quien le atienda si tiene los permisos adecuados podría mirar la clave de recuperación en el AD y decírsela al usuario para que pueda entrar en su máquina.

Si estamos hablando de una empresa con contrato premier, entonces se podrá instalar la herramienta Bitlocker Recovery Password Viewer, que permite buscar en el AD las claves de recuperación de una forma rápida a través de la consola de usuarios y computadoras del Directorio Activo.

Tenéis mas información sobre esta herramienta en:

http://support.microsoft.com/?kbid=928202

¿Probar Bitlocker con Virtual PC/Server o Hyper-V?

En este articulo vamos a ver cómo podemos probar Bitlocker en una maquina virtual.

Desgraciadamente aun no existe una emulación del chip TPM por lo que tendremos que usar otro método para guardar la clave.

Para que el método que usemos sea válido para los tres productos de virtualización de maquinas de Microsoft nosotros nos vamos a basar en un disquete virtual para guardar la clave.

Es muy importante que configuréis la bios de la maquina virtual de forma que no arranque desde disquete.

Crear el disquete virtual es muy sencillo, asi que no lo explicare.

El paso más importante es el de preparar bien los discos para poder instalar bitlocker después.

Como sabéis bitlocker requiere dos particiones una para el sistema y otra para el “arranque”, es importante que instaléis Windows en la de sistema pero que la activa sea la de “arranque”.

Para hacerlo lo mejor es pulsar mayúsculas + F10 cuando Vista o Windows Server 2008 nos pidan que indiquemos el disco duro en el que queremos instalar el sistema operativo.

Cuando pulsemos esa combinación de teclas, nos aparecerá una ventana de MS-DOS en la que tendremos que poner exactamente los comandos que veis en las capturas de pantalla.

Después de esto instalamos el sistema operativo normalmente.

Antes de activar bitlocker tendremos que modificar las GPO para permitir al equipo usar bitlocker sin chip TPM.