Mes: marzo 2008

Las técnicas de enfriamiento de memoria no son nuevas y otras técnicas de lectura de la memoria han sido usadas por la informática forense desde hace tiempo.

Evidentemente  este tipo de ataques supone un problema si pensamos en que hay situaciones en las que los secretos pueden estar en la memoria.

En el siguiente video podéis ver como se aplican estas técnicas para “hackear” un equipo encriptado y como la memoria mantiene sus valores durante un periodo de tiempo que puede ser alargado enfriándola.

 

Link video: http://www.youtube.com/watch?v=JDaicPIgn9U

Bitlocker y Windows a través de las GPO nos permiten de mitigar estos riesgos evitando la suspensión de los equipos usando la configuración de gestión de energía de las GPO, otras GPO nos permiten controlar el comportamiento de los secretos con respecto a la memoria y finalmente el uso de un PIN evitara que alguien pueda acceder al equipo después de una hibernación, interrumpiendo de esta forma el arranque y la copia a la RAM.

Firmado:

El cansino del Bitlocker.

Crossposting from blogs.technet.com/dmatey

Bitlocker es un arma fantástica para mitigar algunos de los riesgos relativos a la seguridad de la información comunes en toda organización.

Uno de los procesos que no debe ser olvidado es aquel que tiene lugar cuando un disco duro tiene que ser  “jubilado”.

Un simple formateo o un formateo a bajo nivel puede tener riesgos y un formateo en profundidad que llene el disco para garantizarse que la información ha sido sobrescrita es lento y además teóricamente también hay técnicas que permiten indagar en el disco y recuperar información de un estado anterior.

Bitlocker nos permite asegurarnos de que quien tenga que acceder al disco lo hará teniéndose que saltar la encriptación que puede ser hasta AES-CBC 256 Bits con Difusor lo cual está muy pero que muy difícil a día de hoy pensar que este algoritmo es usado por múltiples organismos militares para la información considerada como clasificada.

El siguiente comando permite forzar que siempre sea solicitada la contraseña de recuperación en el arranque:

Manage-bde –forcerecovery C:

Lo cual evitaría que un atacante pudiera usar el disco incluso desde otros sitemas o intentar ataques en remoto.

El comando Format ha sido modificado para ser compatible con Bitlocker, el formateo de una unidad destruye también las claves del volumen.

Existe también un método WMI denominado DeleteKeyProtector dentro de la clase Win32_EncryptableVolumeClass que puede ser usado para los mismos propósitos.

Mantener vuestra información segura!!!

Crossposting from blogs.technet.com/dmatey

Si con el fin de mejorar la seguridad del equipo en el que hemos activado Bitlocker hemos usado protectores adicionales como un PIN o una llave clave de inicio en un USB (algo que tienes o algo que sabes) es mas que posible que nuestros usuarios puedan olvidarse de ellas obligandonos a facilitarles las claves de recuperación como unica alternativa a desplazar a un tecnico hasta el puesto de trabajo del usuario.

Logicamente es conveniente que en el caso de tener que facilitar la clave de recuperación al usuario, se cambie la misma.

Para ello es posible usar el script de administración manage-bde.wsf que se puede encontrar en C:Windowssystem32.

No es posible cambiar la clave de recuperación directamente pero si es posible borrar la existente y generar una nueva.

Para borrar una clave de recuperación existente se puede usar la siguiente sintaxis:

manage-bde –protectors –delete c: -type RecoveryPassword

Para crear una nueva clave de recuperación usaremos el siguiente comando.

manage-bde –protectors –add c: -rp

Siempre recomiendo a mis clientes usar el AD para guardar las claves de recuperación, si hemos configurado las GPO adecuadamente este proceso de backup de la clave de recuperación en el AD no solo sera transparente para el usuario sino que ademas tendremos la seguridad de que si no se puede contactar con el AD tampoco se realizara la operación. 

Obviamente para administrar Bitlocker hay que ser administrador de la maquina lo cual dificulta un poco la operativa de esta operación, la suerte es que el script manage-bde permite ser usado en remoto solucionando este problema.

El mismo procedimiento es el que se debe usar para cambiar el PIN del usuario usando para ello los parámetros relativos a la clave PIN.

Crossposting from blogs.technet.com/dmatey

Ya está disponible la actualización que permite usar la MMC de administración de Hyper-V en los equipos con Windows Vista SP1.

 

Usando esta herramienta os evitareis los problemas relativos al uso del ratón en maquinas virtuales sin las additions cuando usas la consola de Hyper-V por terminal.

 

x86: Update for Windows Vista (KB949758)
x64: Update for Windows Vista x64 Edition (KB949758)

 

 

Crossposting from blogs.technet.com/dmatey

Lo cierto es que al principio no me llamaban mucho la atención los gadgets pero ahora me he aficionado y la verdad es que me permiten realizar acciones más rápido o ver información de una manera muy rápida. Ahora cómo puedes ver en la imagen los que uso son: -Un buscador (Live of course) -Un visor de recursos (Procesador y Ram) -Powershell -Un gadget que me permite apagar, reiniciar o bloquear el equipo. -La hora de Seattle J -Terminal services (este permite favoritos, acceder por consola, etc) -Un gadget que me permite ver el estado de algunos equipos (la versión gratuita solo 5 L ) -Accesos directos (muy útil) -Y el calendario para saber en que día vivo J Puedes encontrar todos estos y muchos más en: http://gallery.live.com/

Crossposting from blogs.technet.com/dmatey

Fantastico articulo de Ponicke sobre como delegar permisos en Hyper-V.

He quedado asombrado por el nivel de granularidad posible y por lo bien que lo han diseñado usando AZMan.

Parte 1

Parte 2

Crossposting from blogs.technet.com/dmatey

Windows Server 2008 es para mí el MEJOR SISTEMA OPERATIVO de la historia y esto es así por una infinidad de cosas, pero ahora hay una más que me fascina completamente y son las Group Policy Extensions.

Os imagináis poder tener completo control de decenas de elementos de configuración tales como registro, impresoras, aspecto, acceso directos, menús, data sources, dispositivos, VPNs, tareas programadas, unidades de red, de todos vuestros ordenadores y de manera centralizada.

Os imagináis poder hacerlo GRATIS y con además opciones de targeting avanzado que os permitirán poder usar condiciones realmente complejas para aplicar políticas como por ejemplo rangos de MACs, conexiones, software instalado, horas, usuarios y decenas más.

Todo esto son las GPO Extensions y solo necesitáis instalar un software en vuestras maquinas clientes XP, Vista, Windows Server 2003 y ya esta. No hay que hacer nada en Windows Server 2008 para poder trabajar y editar las Extensions.

Fascinante verdad?,  Para aprender mas podéis leer el whitepaper sobre esta tecnología`.

Para terminar aquí os dejo algunas capturas de pantalla para que podáis verlo más en detalle.

Imagen 1, Todas las extensions

Imagen 2, Configurando unidades de red.

Imagen 3, Configurando accesos directos.

Imagen 4, Configurando una VPN

Imagen 5, Menu de inicio.

Imagen 6, Opciones para filtrar el targeting.

Imagen 8, Configurando Impresoras.

Crossposting from blogs.technet.com/dmatey

Parece ser que es posible que en menos de tres meses tengamos una beta pública de Stirling.

Puede que muchos os estéis preguntando que es Stirling, pues bien este es el nombre en clave de la siguiente gama de productos Forefront (ISA, FFE, FFS, FCS, IAG, etc) más una nueva consola que permitirá administrar todos los productos desde ella misma y que además permitirá correlacionar todos los eventos de seguridad que sean detectados por los diferentes productos para orquestar reacciones ante ataques.

Parece que existirá también la posibilidad de usar Forefront a través de una solución hosteada por Microsoft.

Además Stirling estará integrado con System Center, NAP  y tendra otras funcionalidades impresionantes que no puedo contar aun por ser NDA.

Tengo un montón de ganas de que salta para poder hablaros mas, pero de momento toca esperar.

El producto se supone que será RTM en la primera mitad del 2009.

Crossposting from blogs.technet.com/dmatey

Aunque el equipo de desarrollo comenta que intentaran que sea la última vez, la migración a RC0 nos obligara una vez más a reconfigurar nuestras maquinas virtuales.

Una vez descargada la actualización (KB949219) para x64 la podremos instalar en nuestro servidor pero antes tendremos que haber borrado todas las snapshots de nuestras maquinas virtuales así como las redes virtuales que tengamos.

Después borráis las maquinas apuntando antes su configuración.

Una vez hayáis actualizado recreareis las maquinas virtuales reutilizando los VHD que teníais de antes , en mi caso al arrancar las maquinas virtuales he tenido que reconfigurar las tarjetas de red virtuales ya que eran unas nuevas, esto ha sido lo más lioso para mí ya que tenía muchos firewalls, dc, etc.

Otra cosa importante es que tendréis que actualizar las additions, esto lo podeis hacer de la misma forma que las instalasteis, os dirá que ya las tenéis instaladas y que si queréis actualizarlas.

Para los que administréis en remoto desde una x86 existe también el mismo parque para estas maquinas pero que lógicamente solo incluye la consola.

Descarga x86 http://www.microsoft.com/downloads/details.aspx?FamilyID=b7464b44-821d-4a7c-9d9c-7d74ec14437c&DisplayLang=en

Descarga x64 http://www.microsoft.com/downloads/details.aspx?familyid=DDD94DDA-9D31-4E6D-88A0-1939DE3E9898&displaylang=en

Explicación detallada del proceso de migración de las VM: http://support.microsoft.com/kb/949222/

Crossposting from blogs.technet.com/dmatey

Demasiado exitante como para esperar a tener un post mas completo.

Ya han liberado la RC0 de Hyper-V y espero actualizar mis maquinas de casa con Hyper-V ya mismo asi que en cuanto las tenga posteare con el proceso de actualización.

En cuanto a las novedades destacar que ya podemos tener Maquinas virtuales XP y Vista asi como Linux, dicen tambien que mas rendimiento (mas?).

En el siguiente enlace teneis información sobre el proceso de migración:

http://www.microsoft.com/windowsserver2008/en/us/hyperv-install.aspx

Crossposting from blogs.technet.com/dmatey