jueves, 1 de octubre de 2015

GPO. Insertar y renombrar usuario como administrador local.

Creo que lo que voy a explicar a continuación puede ser muy útil, tanto por motivos prácticos como de seguridad.



Haré lo siguiente:

- Poner en Enable el usuario administrador (por si está deshabilitado).

- Renombrar el usuario administrador por otro nombre no tan evidente.

- Añadir al grupo administradores locales un grupo de dominio de HelpDesk.

- Sacar todos los grupos y usuarios que estén en el grupo de administradores locales y dejar solo el administrador ya renombrado y el grupo de dominio de HelpDesk.




Aquí se me ocurren unos cuantos casos para sacar provecho a esta GPO:





CASO A:
En una organización el departamento de soporte o Help desk muchas veces necesita, por su trabajo, ser administrador local en todas las workstations. Con hacer esta GPO y asociarlo a las OU que queremos sería suficiente.

CASO B:
Añadir un usuario con privilegios administrativos para poder hacer rastreos o auditorias de seguridad.

CASO C:

Cambiar el nombre de administrador que viene por defecto en todas las máquinas por motivos de seguridad.

CASO D:

Tenemos un grupo de servidores que dan servicio a un aplicativo y los desarrolladores necesitan acceder.

CASO E:

Añadir un grupo de usuarios que hagan guardias.

etc ...


La GPO en cuestión es:




Para atenuar ataques y no facilitar el nombre de administador local por defecto que suele ser ADMINISTARDOR/ADMINISTRATOR una buena política es renombrarlo por uno no tan evidente.

Yo lo tengo así

En la primera línea esta la GPO de poner el Administrador en ENABLE. Con lo que solo toco GPO de Computadora

Pero sospecho que esta otra manera también funcionaría, en la que ya mezclo GPOs de usuario.

Ni mejor ni peor, diferente.

Desde hace un tiempo, por motivos de seguridad, Microsoft ha bloqueado que desde aquí se pueda cambiar la contraseña.

Esta GPO puede implementar poniendo que elimine cualquier otro usuario/grupo que no sea el que acabamos de poner.


Una herramienta que nos puede ayudar ha asegurar este trabajo podría ser:


GoN. Octubre 2015

miércoles, 30 de septiembre de 2015

WSUS agrupación / encademaniento de parches

Siempre he creído que bien configurado el WSUS casi no necesitaba ser gestionado, hoy he visto que no, afortunadamente lo he visto antes que mi jefe y el CISO :-)

Hasta que vi la siguiente pantalla:



Hay actualizaciones críticas sin aprobar!!!!

Cuando esta configurado que si que las apruebe automáticamente:




Buscando por internet y con la ayuda de mi compañero hemos dado con un artículo que nos ha ayudado "solucionar", por lo menos manualmente, el problema.

Añadiendo un campo más en la barra de columnas, el Supersedence, nos explica si hay un parche acumulativo, si hay un parche acumulativo pero ya ha salido otro superior o si hay un parche que sustituye a otros .



 Un parche que sustituye a todos.


Un parche que sustituye a otro pero ha salido otro que le sustituye.

 Un parque que ya ha sido sustituido por otro.


Con lo que he cogido todos los parches que ya tiene unos que lo sustituye y los he declinado. Si nos ponemos encima de ellos en la parte inferior no da algo de información





Y luego he aprobado los que estaban pendiente de aprobar.

Después no iría mal hacer una limpieza



Esta es una buena manera de gestionar el espacio que consume el almacenamiento de binarios que gestiona el WSUS. También es bueno, para liberar espacio, dejar de sincronizar binarios de programas, idiomas o sistemas operativos que ya no corran en la empresa.




REF: http://www.tecknowledgebase.com/43/how-to-identify-and-decline-superseded-updates-in-wsus/


by GoN | Published: September 2016 | Last Updated: 11, Janary 2017