Como Moverse con Seguridad en Internet

Dejaría abierta la puerta de su casa? entregaría información de las cosas que están en su hogar a desconocidos o a donde va el fin de semana? entregaría su tarjeta y sus credenciales a la gente en la calle esto esta ocurriendo cuando?

Ud. agrega a una persona desconocida a sus redes sociales favoritas nunca acepte una invitación de alguien que no conozca en ese momento esta abriendo una puerta de información.

Lo mismo ocurre cuando Ud. habré un correo de un desconocido o conocido sospechoso o no deseado esta poniendo en riesgo su maquina los link contenidos en estos pueden instalar programas espías que ira registrando todo lo que digita y será enviado a los delincuentes. por lo mismo no use computadoras en cibercafés de uso masivo.

Siempre actualice su maquina en windowsupdate y use un antivirus.

también fíjese en la URL o dirección hay muchos sitios con el propósito de suplantar a el original para obtener su usuario y contraseña. 

un banco en chile a compartido una serie de imágenes con sugerencia y ejemplos de tipo de estafas http://www.facebook.com/media/set/?set=a.10150130096504866.298571.153982419865&type=1

así como dice el adagio “uno es dueño de lo que calla y esclavo de lo que dice” una versión en nuestra cibercasa seria “uno es dueño de la información que no comparte y esclavo de la que comparte”.

Operación S.H.I.E.L.D

AntiPhishingShield

script este lo uso para borrar llaves de registro

script este lo uso para borrar llaves de registro

‘Script para borrar las impresoras mapeadas del perfil del usuario

Const ForAppending = 8
Const HKEY_CURRENT_USER = &H80000001

On Error Resume Next
strComputer = "."

Set oReg=GetObject("winmgmts:\" & _
strComputer & "rootdefault:StdRegProv")

strKeyPath = ""

oReg.EnumKey HKEY_CURRENT_USER, strKeyPath

path = "PrintersConnections"
oReg.EnumKey HKEY_CURRENT_USER, path, impresoras
For Each conexion In impresoras
Borrarimpresora = path & "" & conexion
oReg.DeleteKey HKEY_CURRENT_USER, borrarimpresora

Next

Restaura WMI

SI el servicio WMI esta malo no se pueden hacer instalaciones remotas. también sirve para otros servicios

ReparaWMI.cmd

@echo off

sc config winmgmt start= disabled

net stop winmgmt /y

%systemdrive%

cd %windir%system32wbem

for /f %%s in (‘dir /b *.dll’) do regsvr32 /s %%s

regsvr32 %windir%system32tscfgwmi.dll /s

wmiprvse /regserver

winmgmt /regserver

net start winmgm

El Mundo de las estaciones rebeldes

Mas de alguna vez haciendo un despliegue de algún cliente de software con un política GPO o aplicando una política como la de wsus siempre queda un grupo de maquinas rebeldes algo así de un 20% por consecuencia de esto no podemos dar termino a una tarea en un 99.9%.

creo que ocurre esto por que viene un consultor incluye sus políticas después viene otro otras mas y hay poca documentación o traspasó de conocimiento de quien es la culpa del chancho o el afrecho yo creo que que la responsabilidad es de quien se queda con el problema el cliente final.

recomiendo nunca incluir políticas en la raíz del árbol están son delicadas y si la hay tienen que ser muy bien manejadas y documentadas. la política tiene que estar lo mas cerca de la OU a aplicar es tan simple como linquiarla mientras mas políticas tenemos mas se demora en aplicarse no repitamos políticas.

en una política de grupo tenemos dos grandes grupos unas que se aplican a las maquinas y otras que se aplican a los usuarios teniendo en cuenta esto debemos dividir nuestro árbol de directorio en dos ramas una para maquinas y otras para usuarios. Usando modelos compuestos de regiones o departamentos dividir en maquinas y usuarios.

ahora volviendo a las maquinas rebeldes veamos porque no se podría estar aplicando una política lo que hago creo un pequeño paquete.msi y creo una política para desplegarlo con otra política tengo un contador que va pasando los nombres de las maquinas a un .txt que no tienen este paquete instalado así identifico a los rebeldes.

una vez identificados la mayoría no esta en la OU donde aplico la política.

otros están por algún motivo fuera del dominio con quitarla la maquina y agregarla se resuelve.

Con GPUPDATE / FORCE pueden obligar y con GPResult pueden ver que políticas se están aplicando en esa maquina.

Otro problemas es que este mal configurado los dns que el primero apunte hacia un router y no a un controlador de dominio. generalmente mal configurado en el DHCP.

Base de datos de GPO dañada usar este procedimiento

1- Abrir la carpeta %SystemRoot%\Security, y crear una carpeta “Security.back”.
2- Mover todos los archivos que terminan en .log de la carpeta %SystemRoot%\Security a la carpeta security.bak.
3-Buscar el archivo secedit.sdb de la carpeta %systemroot%SecurityDatabase y cambiarle por “Secedit.bak”.
5- Hacer clic en inicio, en ejecutar, y escribir mmc y dar aceptar.Hacer clic en consola, y después en Agregar o quitar complemento. Y después agregar el complemento Configuración y análisis de seguridad.
6- Dar con el botón secundario del ratón en configuración y análisis de seguridad y a continuación hacer clic en abrir base de datos.
7-Ir a la carpeta %Systemroot%SecurityDatabase, escribir Secedit.sdb en el cuadro de nombre de archivo y a continuación hacer clic en Abrir
Cuando pida que importemos una plantilla, hacer clic en Setup Security.inf y después dar abrir.
8-Si se recibe un mensaje de “acceso denegado ” se puede omitir, no hay ningún riego.
nota: una vez realizado este proceso, las directivas locales, volveran a los valores iniciales de instalación

Hay maquinas que han sido clonadas con el mismo identificador SID hay que clonar con SysPrep para que se genere un SID nuevo.

Microsoft hace algún tiempo esta creando herramientas automáticas que resuelven problemas este fix aplica a politicas y wsus http://support.microsoft.com/mats/windows_update/es-es

Ahora también puede estar dañado el componente de Windows Installer reinstalarlo

y por ultimo si nada funciona reinstale el sistema operativo en estas maquinas.

 

Imaged clients with a
duplicate client ID will only appear once in the WSUS Admin Console. Each AU
client must have a unique id which is created for each individual install. When
imaging systems it is recommended always to use SysPrep. The WSUS admin console
will only display one client for each unique ID. If you have multiple clients
created from one image which are sharing the same ID, only one will appear in
the WSUS admin console. All clients will check in and download updates, but only
one will appear and display status in the WSUS admin console. In cases where
clients are not checking in, and they were created from images without running
SysPrep, the following steps will reset the existing duplicative client IDs.

a. Run regedit and go to
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate
b.
Delete the PingID, SUSClientID and the AccountDomainSID values
c. Stop and
start the Wuauserv Service
d. From the command prompt run: wuauclt
/resetauthorization /detectnow

http://gallery.technet.microsoft.com/scriptcenter/9faf2085-f8ca-4799-8d45-b0e654da71f7

 

espero que les ayude si tienen información sobre este problema la comparten y vamos agregando mas a las posibles soluciones.

fixit_logo

Usar antivirus en un Smartphone

Esta inquietud me nace de las cosas que leo sobre que por ejemplo Linux no necesita antivirus es como esas leyendas urbanas lo que ocurre es que no es un target masivo para atacar pensando como un creador de virus mi ámbito objetivo seria el sistema operativo mas usado ósea Windows.

en algún día que alguna distribución de linux se haga mas atractiva para un atacante por su uso mas masivo esta será doblemente vulnerable por su nivel de desprotección por esta creencia.

entonces porque no instalaríamos un antivirus en nuestros móviles que hay si bajamos una aplicación con algún malware no crean que porque lo bajan de Market están protegidos un antivirus no solo protege de virus sino que también de desbordes de una aplicación.

bajamos una variedad de aplicaciones de poca utilidad porque no bajar un antivirus.

en otra mano esta la información y los accesos automáticos que estos permiten a nuestras redes y información personal no seria interesante poder borrarla en forma remota.

yo recomiendo y es la que estoy usando AVG Mobilation permite rastrear si es que tiene GPS, bloquear, limpiar el teléfono en caso de perdida o hurto.

les dejo la pelota en el área chica.

1600ct_2002