Archivo de la etiqueta Microsoft

Script para la recolección de eventos de Microsoft windows remotamente

Este script lo desarrollé para un cliente y permite recoger eventos de una o varias máquinas corriendo Microsoft Windows. Se ha probado con Microsoft Windows Server 2003 pero posiblemente funcione bien en otras versiones. A continuación inserto la documentación creada para el cliente, que explica en detalle el funcionamiento.

Descarga el script Remote-Events_log-retriever

Integrar un servidor GNU/Linux a un directorio activo de Microsoft

Estos son los pasos a seguir para integrar un servidor RedHat a un AD de Microsoft y poder iniciar sesión con usuarios de AD en RedHat.

Excepto los pasos de instalación de paquetes, el resto de pasos deben servir para el resto de distribuciones de GNU/Linux y para los Unix en general.

  • Instalar y configurar NTP para que sincronice con el ad
    • yum install ntp
    • editar /etc/ntp.conf y agegar la línea “server ip_del_DC
  • Instalar samba
    • yum install samba
    • Samba debe estar compilado con las opciones: «–with-shared-modules=idmap_ad,idmap_rid», para comprobarlo ejecutar los comandos
      • grep idmap_ad $(which smbd)
      • grep idmap_rid $(which smbd)
  • Configurar PAM (Plugable Authentication Modules)

Guía de bastionado de Microsoft Windows Server

Esta es una guía que he desarrollado para un cliente, por lo tanto hay aspectos que se adaptan a sus necesidades (como el cortafuegos). Pero ha grandes rasgos puede ser utilizada en cualquier ámbito.

1.     Principios genéricos

A la hora de instalar, configurar y administrar un servidor, se debe:

  • Cifrar todos los datos que se transmiten a través de la red, son particularmente importante los datos relativos a nombres de usuario y contraseñas
  • Minimizar la cantidad de programas y servicios instalados y en ejecución para minimizar el riesgo potencial ante vulnerabilidades
  • Utilizar medidas de seguridad adicionales, como: antivirus, cortafuegos a nivel de host o antimalware
  • Auditar los elementos críticos y/o de mayor riesgo de cada servidor
  • Minimizar la instalación de varios servicios en un mismo servidor, para reducir el riesgo de que un servicio comprometido afecte a otros servicios
  • Realizar un buen seguimiento de las cuentas de usuario, seguir una política de contraseñas sólida y forzar su uso así como eliminar las cuentas de usuarios innecesarias o que ya no se utilicen
  • Revisar los logs de sistema y de aplicación de manera rutinaria. Enviar los logs a un servidor de logs
  • Minimizar el uso de usuarios locales
  • Utilizar la metodología del menor privilegio en todos los ámbitos

Conectar Microsoft SCCM a ISA Server 2006

Al intentar conectar Microsoft Service Center Configuration Manager (SCCM) con Microsoft ISA server las conexiones RPC eran denegadas, al intentar conectar mediante wmi desde la administración del sistema tampoco se podía conectar. Buscando un poco se encuentran varias soluciones como: agregar el servidor SCCM al conjunto de equipos «Equipos de administración remota» o desactivar la comprobación estricta de RPC. Pero la única que me ha funcionado a mi ha sido añadir una excepción a la regla del sistema que gestiona la administración remota y crear una que la sustituya para el servidor SCCM añadiendole el rango de puertos 1024-6535 para las conexiones RPC. Los pasos son.

  1. Abrir la sección de Directiva de firewall
  2. Añadir un protocolo para los puertos de salida 1024 a 65535, lo llamaré «Puertos > 1024 salida», en el panel derecho: Herramientas>Protocolos>Nuevo>Protocolo. Añadir los puertos 1024 a 65535 TCP de salida. Si no se desea abrir todo el rango superior al 1024 hay que configurar el RPC en el sistema para que use unos puertos concretos en lugar de uno aleatorio por encima del 1024, seguir los pasos descritos en este articulo de la KB de Microsoft: http://support.microsoft.com/kb/154596/en-us/
  3. Añadir una regla nueva, la llamaremos sccm en el ejemplo
  4. La regla sccm debe permitir el tráfico de los protocolos: Control de Firewall de Microsoft, Datagrama NetBios, RPC (todas las interfaces), Servicio de nombre NetBios, Sesión NetBios y el protocolo creado en el punto anterior Puertos > 1024 salida
  5. La regla se debe aplicar al trafico que venga del servidor SCCM y la red Host local y enviado a los destinos Host local y al servidor SCCM, debe permitirse al conjunto de usuarios Todos los usuarios
  6. Una vez creada la regla pulsar el botón derecho sobre ella, seleccionar la opción Configurar protocolo RPC y deseleccionar el checkbox Hacer cumplir la comprobación RPC estricta
  7. Ahora tan solo queda añadir una excepción para el servidor SCCM en la directiva del sistema, seleccionar la pestaña Tareas del panel derecho y pulsar sobre la opción Mostrar reglas de directivas del sistema
  8. Doble click sobre la directiva Permitir la administración remota desde equipos seleccionados que usan MMC, seleccionar la pestaña «De» y añadir el servidor SCCM en el apartado excepciones, cerrar, aplicar los cambios y voila!! funciona
  9. Para finalizar recomiendo que se añada la regla al final de las permisivas para que no se solape con una regla ya existente, debido a que se aplica a todos los puertos.

Una vez comprobado que todo funciona como debe (se puede acceder los recursos compartidos, hacer peticiones WMI remotas) se puede restringir más el acceso de esta regla, ya sea por usuarios o por origenes de la petición.

Byte byte my nerds 😉