viernes, 25 de diciembre de 2015

Trabajando con carpetas. CHECSUM - DIRMON - DIRSIZE


Ya he comentado alguna vez la herramienta de este interesante paquete de utilidades, ahora comentaré las que me han parecido más útiles gestionando ficheros y/o directorios.


Lo podremos encontrar en la web de EVENTSENTRY





Si necesitamos generar el checksum de alguno de nuestros ficheros, lo podemos hacer con CHECKSUM





Si queremos monitorizar ciertos movimientos de documentos en alguna carpeta en especial (crear, modificar y borrar) en tiempo real, podemos usar el DIRMON







Propiedades de carpetas con DIRSIZE



Nos son las únicas utilidades que hay, así que si tenéis curiosidad estaría bien probar el resto.


GoN. Dic 2015


miércoles, 23 de diciembre de 2015

Como hacer un "ping" o monitorizar un texto en una pagina Web


Ha veces nos interesa monitorizar o saber si cierto link está funcionando o si aparece cierto texto en alguna página web. Con comando checkurl podemos controlar esto.




Su funcionamiento es muy sencillo:







Si añadimos si contiene una cadena de texto específico:











Esta herramienta es de EVENTSENTRY y la podemos descargar en: http://www.eventsentry.com/sysadmintools



GoN. Dic 2015

martes, 22 de diciembre de 2015

fping. host y puertos vivos

Nuestro primer throbleshooting en comunicaciones siempre es el uso de nuestro famoso PING. Navegando por internet he encontrado una casa, EVENTSENTRY, que tiene una variante gratis muy interesante de esta utilidad.

Para empezar hace lo mismo que el PING de toda la vida pero bastante más rápido, casi el doble en las pruebas que he hecho. Esta herramienta es su FPING



Una opción muy interesante es que permite preguntar por puertos de un hosts:



En esta pantalla verificamos si tiene abierto el puerto 53 que es el DNS.

Alguna de las opciones que nos deja hacer



Nos lo podemos descargar en: http://www.eventsentry.com/sysadmintools


GoN. Dic2015

miércoles, 2 de diciembre de 2015

Reset password Multiples PCs & Servers

Nos encontramos en el momento de cambio de contraseña de ciertos usuarios locales genéricos. Ha veces es difícil encontrar una manera rápida de hacer las cosas sin poner en peligro la seguridad o la facilidad trabajar. Aquí voy a explicar una manera muy sencilla de hacer este cambio que puede servir mientras no se tengas nada más automático.

En este ejemplo voy a poner una contraseña nueva al administrador local de los PCs o de los Servidores (que no sean controladores de domio).El usuario administrador local que estoy hablando lo tengo renombrado por motivos de seguridad. 

Hay muchas maneras de hacer este cambio, desde muy sencillas a bastante elaboradas como (https://code.msdn.microsoft.com/windowsapps/Solution-for-management-of-ae44e789).

En este caso usaremos un comando de SysInternals llamado PsPasswd (https://technet.microsoft.com/en-us/sysinternals/bb897543.aspx )

Yo lo voy a ejecutar desde un servidor con mi usuario con privilegios de administrador de dominio, así no tendré problemas de permisos en las workstations o servidores independientes.

Una recomendación es renombar el usuario administrador local por otro nombre para no ponerlo muy fácil a posibles ataques.

Para un host y un usuario concreto, necesitamos en nombre del servidor, nombre del usuario a cambiar la contraseña y la nueva contraseña:




Lo podemos hacer a una lista de hosts

pspasswd \\PC1,PC2,PC3 Usuario_Administrador “Nueva contraseña”


Si lanzo: "C:\TMP\PSTools>pspasswd.exe \\* pepito Hola2015." se lo cambio a todos los de mi domino de broadcast.



Hay que tener presente que para que esto funcione los hosts deben estar encendidos.



Una vez hecho esto ya podríamos entrar con nuestro usuario con privilegios en la máquinas, antes nos tendríamos que asegurar que no lo tengamos deshabilitado.


Otra opción a tener encuentra es Password Assistant de EventSentry, esta tiene un entorno más amigable que la opción anterior


Te la puedes descargar en: http://www.eventsentry.com/sysadmintools



GoN. Dic 2015

lunes, 2 de noviembre de 2015

GPO. Filtrar usuarios - grupos - computers

Se ha dado en caso en el que he tenido que aplicar una GPO para que a todo el mundo le aparezca nada más entrar en su PC, la pagina de RRHH para que puedan fichar.

El problema es que hay personas como yo que tenemos dos usuarios, el normal de dominio y otro con privilegios administrativos para entrar en los servidores. 

Al aplicar la GPO a todos nos pasaba que también se aplicaba a los usuarios especiales administradores de dominio, y era un poco engorroso que cada vez que entrar en un servidor te este molestando esta ventana.

Una posibilidad era quitar la herencia o de alguna manera quitar el link de estas OUs, pero en mi caso esta solución no era la más óptima. Con lo que he buscado el sistema que sin tocar nada no se les abra en el inicio la página de RRHH. Seguro que hay más maneras de hacerlo pero esta es bastante sencilla.

Los pasos que he seguido han sido los siguientes:

[1] Desde el  Server Manager o ejecutando el comando GPMC.MSC editaremos la GPO en cuestión.

[2] Vamos a la parte de "Group Policy Objects" y seleccionamos la GPO que nos interesa


[3] Añadimos el grupo que queremos filtrar en la parte de "Security Filtering" en este caso "Admins. del dominio"


[4] Nos vamos a la pestaña "Delegation", seleccionamos el grupo a filtrar y le damos al botón de "Advanced..."


[5]  Seleccionamos el grupo a filtrar y en la parte inferior de permisos marcamos el "Deny" en "Apply group policy"


Nos saldrá esta ventana de advertencia


Ya debería funcionar. Veréis que desaparecerá este usuario/grupo de la pantalla del paso [3] de la opción "Security Filtering"


                                                                                                               GoN. Noviembre 2015

jueves, 29 de octubre de 2015

PS. WSUS. Script exportar computers

En este post voy a poner un sencillo script para exportar a un fichero todos los hosts que tiene gestionados nuestro servidor de parches WSUS. 

Esta claro que con pequeñas modificaciones se le puede sacar mucho rendimiento


Crearemos un fichero Nombre.ps1 con el siguiente código:



$WSUSserver="Nombre_servidorWSUS"

function Get-WSUSComputers()
{
[void][reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::getUpdateServer($WSUSserver,$false,8530)
$wsus.GetComputerTargets() 
}
Get-WSUSComputers |  Export-CSV 'C:\tmp\superseded.csv' -Append -Notype -Force


Y listo. Ejecutar desde una ventana de Power Shell

Depende el puerto donde tengáis la gestión del WSUS tendréis que sustituir el puerto 8530 por 80 o el que tengais.

Funciona ejecutándolo desde el propio servidor de parches.


Gon Octubre 2015

martes, 27 de octubre de 2015

VMWare. Exportar / copiar una VM del disco

En ocasiones tenemos máquinas virtuales apagadas que no usamos. Si no vamos muy sobrados de espacio es importante disponer de el y darle un buen uso, con lo  que estos hosts se podrían pasar fuera de nuestra estructura, muchas veces los discos son muy rápidos y caros, con lo que no es práctico tener máquinas sin usar. Otro motivo sería transportar nuestra máquina a otra localización para hacer pruebas o lo que sea.

Aquí voy a explicar como llevarnos una máquina fuera de nuestro sistema de VMWare:

[1]  Seleccionamos el servidor:


De las características nos apuntamos la parte de "Storage" a la derecha de las características

Vamos a los almacenes que usa nuestra estructura y navegamos por el disco


Seleccionamos la carpeta que guarda nuestra máquina y usamos las opciones que nos dan


Gon Octubre2015

jueves, 22 de octubre de 2015

Mr.Robot

Hoy no os voy a hablar de nada técnico, sino de una serie que ha cautivado mi atención. Se llama Mr.Robot.




Creo que no hay película en el cine, ni serie de TV que haya tratado este género y haya conseguido tocar el tema hacker/informatico de una manera tan cautivadora. Reoconozco que el objetivo de los protagonistas es un tanto inalcanzable, o eso parece, pero el camino que sigue no dista de lo que podría ser una realidad de un circulo de gente con ese tipo de conocimientos.

Espero que os guste tanto como a mi.

GoN. Octubre 2015

miércoles, 21 de octubre de 2015

Localizar Administradores Locales

Hoy hablaré de otra herramienta de la casa CJWDEV que nos servirá para detectar cuantos usuarios están en el grupo de "Administradores locales" de nuestro parque de PC y servidores de una manera muy visual y fácil. Esto es algo que a nivel de seguridad deberíamos tener MUY controlado.

Nos la podemos descargar gratis en :



Hay que ejecutarla con un usuario que tenga acceso a la información que necesitamos consultar, podría ser tanto una administrador de dominio, como un administrador local (para las estaciones de trabajo). Hace lo que parece que hace y no tiene muchos parámetros que configurar, mi búsqueda a sido la siguiente


Nos deje elegir el host a consular o elegir la Unidad Organizativa que queramos:


Con lo que tendremos unos resultado similares a:


Esta herramienta nos puede ser muy útil cuando hacemos trabajos del estilo: 

GoN. Octubre 2015.

jueves, 1 de octubre de 2015

GPO. Insertar y renombrar usuario como administrador local.

Creo que lo que voy a explicar a continuación puede ser muy útil, tanto por motivos prácticos como de seguridad.



Haré lo siguiente:

- Poner en Enable el usuario administrador (por si está deshabilitado).

- Renombrar el usuario administrador por otro nombre no tan evidente.

- Añadir al grupo administradores locales un grupo de dominio de HelpDesk.

- Sacar todos los grupos y usuarios que estén en el grupo de administradores locales y dejar solo el administrador ya renombrado y el grupo de dominio de HelpDesk.




Aquí se me ocurren unos cuantos casos para sacar provecho a esta GPO:





CASO A:
En una organización el departamento de soporte o Help desk muchas veces necesita, por su trabajo, ser administrador local en todas las workstations. Con hacer esta GPO y asociarlo a las OU que queremos sería suficiente.

CASO B:
Añadir un usuario con privilegios administrativos para poder hacer rastreos o auditorias de seguridad.

CASO C:

Cambiar el nombre de administrador que viene por defecto en todas las máquinas por motivos de seguridad.

CASO D:

Tenemos un grupo de servidores que dan servicio a un aplicativo y los desarrolladores necesitan acceder.

CASO E:

Añadir un grupo de usuarios que hagan guardias.

etc ...


La GPO en cuestión es:




Para atenuar ataques y no facilitar el nombre de administador local por defecto que suele ser ADMINISTARDOR/ADMINISTRATOR una buena política es renombrarlo por uno no tan evidente.

Yo lo tengo así

En la primera línea esta la GPO de poner el Administrador en ENABLE. Con lo que solo toco GPO de Computadora

Pero sospecho que esta otra manera también funcionaría, en la que ya mezclo GPOs de usuario.

Ni mejor ni peor, diferente.

Desde hace un tiempo, por motivos de seguridad, Microsoft ha bloqueado que desde aquí se pueda cambiar la contraseña.

Esta GPO puede implementar poniendo que elimine cualquier otro usuario/grupo que no sea el que acabamos de poner.


Una herramienta que nos puede ayudar ha asegurar este trabajo podría ser:


GoN. Octubre 2015

miércoles, 30 de septiembre de 2015

WSUS agrupación / encademaniento de parches

Siempre he creído que bien configurado el WSUS casi no necesitaba ser gestionado, hoy he visto que no, afortunadamente lo he visto antes que mi jefe y el CISO :-)

Hasta que vi la siguiente pantalla:



Hay actualizaciones críticas sin aprobar!!!!

Cuando esta configurado que si que las apruebe automáticamente:




Buscando por internet y con la ayuda de mi compañero hemos dado con un artículo que nos ha ayudado "solucionar", por lo menos manualmente, el problema.

Añadiendo un campo más en la barra de columnas, el Supersedence, nos explica si hay un parche acumulativo, si hay un parche acumulativo pero ya ha salido otro superior o si hay un parche que sustituye a otros .



 Un parche que sustituye a todos.


Un parche que sustituye a otro pero ha salido otro que le sustituye.

 Un parque que ya ha sido sustituido por otro.


Con lo que he cogido todos los parches que ya tiene unos que lo sustituye y los he declinado. Si nos ponemos encima de ellos en la parte inferior no da algo de información





Y luego he aprobado los que estaban pendiente de aprobar.

Después no iría mal hacer una limpieza



Esta es una buena manera de gestionar el espacio que consume el almacenamiento de binarios que gestiona el WSUS. También es bueno, para liberar espacio, dejar de sincronizar binarios de programas, idiomas o sistemas operativos que ya no corran en la empresa.




REF: http://www.tecknowledgebase.com/43/how-to-identify-and-decline-superseded-updates-in-wsus/


by GoN | Published: September 2016 | Last Updated: 11, Janary 2017