NOTA PREVIA: Porque todos tenemos uno, disculpe el ávido navegante en busca de información técnica por la perorata que sigue a continuación, mas propia de PadreParada, ya afortunadamente de vuelta de su convalecencia y medio recuperado de sus lesiones óseas.

Como si de "Cuento de Navidad" se tratara, el Espíritu del Pasado ha estado visitándome durante las últimas tres semanas de la Gira TechNet. Sin embargo, al contrario que le sucediera a Ebenezer Scrooge, el que escribe estas líneas no se arrepiente, al menos por ahora, de las decisiones tomadas si bien es cierto que no puede uno evitar a veces mirar atrás con un poquito de añoranza.

Primeramente, durante el evento en Tenerife alguien nos preguntó al final acerca de un comportamiento algo raro que le estaba sucediendo en su infraestructura WSUS. Le pedimos que nos lo enviara por correo electrónico y unos días después José María Catalá se puso en contacto con nosotros para terminar de resolver el problema. Resulta que José María trabaja en el Gran Telescopio de Canarias, un importante proyecto científico que está financiado al 90% con capital español. Un instrumento con un espejo segmentado de 10.4 metros de diámetro, situado en uno de los lugares del planeta con mejor cielo para la observación astronómica: el Roque de los Muchachos, en la Isla de La Palma, la Isla Bonita.Y es que resulta que durante mi último año de facultad, cursando la especialidad de Astrofísica en la facultad de Ciencias Físicas de la Universidad Complutense de Madrid, tuve la ocasión de conocer a Don Francisco Sanchez, Director del Instituto de Astrofísica de Canarias. Fue tomando una cerveza en la sede central de CSIC, antes de asistir a una conferencia que impartía Álvaro de Rújula, físico español del CERN (lugar de nacimiento del HTML y de la WWW) y genio y figura de la divulgación de la Física Teórica. Y recuerdo que por aquellos entonces nos contaba lo ocupado que estaba impulsando el proyecto, que afortunadamente se puso finalmente en marcha dejándonos este precioso artefacto que verá su "primera luz" durante este año y entrará en funcionamiento en 2006. A los interesados en el tema, les recomiendo visitar GTCDigital. Esta foto la saqué hace un par de años cuando visité la isla con unos amigos con la ocasión de la boda de uno de ellos. Iba por los peñascos del Roque que rodean a la impresionante Caldera del Taburiente, deslomado con mi hija a cuestas. Y ella no me hubiese acompañado seguramente en aquel momento de alucinación si me hubiese empeñado en seguir la senda de una de las disciplinas de la llamada investigación básica más atractivas, importantes, interesantes e inútiles comercialmente hablando, siempre con el permiso de Carl Sagan, pero que yo tuve la suerte de estudiar.

Un par de semanas después TechNet viajó a Vigo y tuve la ocasión de volver a cenar con Xosé Ramón Nóvoa, Catedrático del Departamento de Enxeñería Química de la Universidad de Vigo. A Ramón le conocí hace unos años cuando estudiaba la viabilidad de aplicar una técnica que él y su equipo usan para el estudio de la corrosión en materiales para tratar de inferir la porosidad del hormigón. Este es un factor importante en la durabilidad del mismo y por tanto un tema harto interesante desde el punto de vista de la ingeniería civil. Por aquella época era yo becario del Instituto Eduardo Torroja de Ciencias de la Construcción, perteneciente al CSIC (Eduardo Torroja fue un eminente Ingeniero e Investigador en el campo de las estructuras, además de ser el abuelo de Ana Torroja, la cantante de Mecano). El equipo para medir impedancias en cuestión era y todavía es controlado por un ordenador con Windows 3.11. Recuerdo que aquello dio lugar a un buen debate, ya que eran tiempos de Windows 95, NT 3.51 y uno ya invertía sus buenas horas instalando aquello más todo lo que la red ponía en mis manos, en particular la última versión de aquellos entonces de NetBSD, con la que aprendí mucho pero con la que nunca fui capaz de sacar una eñe por pantalla. Hoy más consciente de lo que significa tener algo importante en producción y no tener tiempo ni presupuesto para demasiadas florituras, le recomendé a Ramón cuidar mucho aquel viejo ordenador. Porque a ver quien es el guapo que se instala hoy ese tinglado basado en DOS en un equipo moderno. Ya veremos, si en algún momento no queda más remedio, cómo pasar el código Fortran 77 y el sistema de toma de datos a tecnologías más de este siglo. Además de con un buen entrecot a la salsa de queso de tetilla, de la cena me volví con el reto de tratar de encontrar algo que le pueda servir a Ramón para ajustar con Excel números complejos a una cierta función matemática. Si hay alguien que sepa de algo al respecto (y no vale decir el Maple 10), su consejo será bienvenido.

La relación con Ramón se ha mantenido después de que entrara yo a trabajar en Microsoft, ya que esporádicamente contactábamos para resolver algunos problemillas técnicos que le iban surgiendo en el laboratorio. Y es que mi pasado más reciente ha consistido en pasar ocho años en el departamento de Soporte Técnico, muy en contacto con los productos y tecnologías de los que ahora toca ir hablando por ahí. Pero sin duda lo mejor de todo ese tiempo no ha sido el conocimiento específico adquirido, sino la oportunidad de trabajar, aprender y divertirse con las personas que han formado parte del departamento. Creo sinceramente que va a ser difícil tener la suerte de trabajar con un grupo tan numeroso de gente en un ambiente tan bueno, sobre todo teniendo en cuenta el nivel de estrés al que suelen estar sometidos. Por respeto a ellos, creo que me pensaré muy mucho el decir aquello, de "tengo mucho trabajo" y por supuesto espero que este Espíritu del Pasado me visite lo más frecuentemente posible. Debéis saber además que el tejido de profundo conocimiento técnico que conforman es extremadamente potente (por eso tiene un coste acceder al nivel de servicio que ofrecen), aunque ellos muchas veces no lo quieran reconocer.

Comoquiera que ya he estrenado los dos regalitos de despedida que me hicieron cuando me cambié de tercio y me metí de lleno en esto del Evangelismo es justo ir pagando las cervezas que uno debe. La computadora de buceo de la gente de mi equipo de Plataforma se sumergió por primera vez en El Cabrón, en memorable aventura que compartí con Olvido Nicolas durante la semana de los eventos de Canarias. El DVD portátil de los demás compañeros hace las delicias de los pasajeros infantiles en los viajes largos. A ver si puede ser el viernes que viene, a la vuelta del evento de Sevilla. Ya pasaré detalles, pero solo a los que lean el Blog y se hayan enterado. Creo que a esto lo llaman Marketing Indirecto. La de cosas que aprende uno

David

Hola

Al igual que he hecho para WSUS, abro este apartado para comentar las cuestiones que se van planteando sobre este tema durante la Gira TechNet y que no podemos responder en el momento, o las preguntas que nos vayáis haciendo llegar a través de los comentarios del propio Blog.

En Barcelona nos han preguntado si la versión de IAS (RADIUS) de Windows 2000 permite llevar a cabo la definición de políticas Wireless tal y como mostramos en la demo con Windows Server 2003.

En este enlace sobre las novedades introducidas en este servicio en Windows Server 2003 se destacan precisamente muchas funcionalidades necesarias para aplicarse a las redes Wireless, como por ejemplo el uso de puertos tipo Wireless (802.11), el uso de varios tipos EAP simultáneamente o el soporte de PEAP para 802.1X con Wireless.

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/58429446-79c2-4fe5-ab08-e2777d7b54bc.mspx

Asi es que me temo que con un IAS en Windows 2000 estaremos más limitados a la hora de implementar la solución Wireless segura que demostramos durante la sesión de la Gira.

NOTA POSTERIOR: Esto no quiere decir que no podamos montarlo. En el asistente de IAS en Windows 2000 SP4 deberemos poner manualmente las condiciones de la directiva (NAS-Port-Type= Wireless-Other or Wireless-IEEE 802.11 y Windows-Groups=Usuarios Wireless). En lo tocante a los métodos de autenticación podremos elegir entre MD5 (no recomendado) y PEAP con MS-CHAP-v2. Teneis más información en:

318710 How to support wireless connections in a Windows 2000 domain

http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wificomp.mspx

Saludos 

David

Hola

En las sesiones que hacemos deste TechNet acerca de la seguridad es raro encontrar alguna en la que no aparezca el triangulito rojo con el que explicamos que ésta, depende de tres factores, personas, procesos y tecnología, y que la cadena se romperá por el lado o el vértice más débil (para escuchar el discurso completo, puedes ver y escuchar esta WebCast grabada, de las disponibles en http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.asp).

Lo cierto es que para este tipo de cosas es frecuente encontrar información técnica detallada para cubrir la parte tecnológica, como la que os adjunto más abajo, pero no lo es tanto encontrar herramientas que nos ayuden a identificar riesgos en los otros dos lados. Hace poco se ha puesto a vuestra disposición la Microsoft Security Assestment Tool (MSAT), completamente traducida al español, que ha sido diseñada para ayudar a las empresas de menos de 1000 empleados a detectar las vulnerabilidades de seguridad de su actual entorno, permitiéndoles identificar los procesos, recursos y tecnologí­as necesarios para promover una buena planificación de seguridad y unas prácticas adecuadas de reducción de riesgos. La podeis descargar gratuitamente de https://www.securityguidance.com, asi como leer las sus preguntas y respuestas más frecuentes. 

Para la parte relacionada con la tecnología, y aprovechando que se acaba de anunciar la última versión de la Guía de Securización de Windows XP con SP2, os adjunto también las existentes actualmente para los sistemas operativos Windows 2000 y Windows Server 2003. Recordad que los esfurzos para hacer cualquier infrastructura más segura comienzan por la fortificación del popio sistema operativo en el que los servicios están corriendo.

Windows XP Security Guide v.2.1: http://www.microsoft.com/technet/security/prodtech/windowsxp/secwinxp/default.mspx

Windows Server 2003 Security Guide: http://www.microsoft.com/technet/security/prodtech/windowsserver2003/w2003hg/sgch00.mspx

Windows 2000 Security Guide: http://www.microsoft.com/technet/security/prodtech/windows2000/secwin2k/default.mspx

Windows 2000 Hardening Guide: http://www.microsoft.com/technet/security/prodtech/windows2000/win2khg/default.mspx

Podeis encontrar más guías de este tipo en http://www.microsoft.com/technet/security/default.mspx y en castellano en http://www.microsoft.com/spain/technet/seguridad/default.mspx

Saludos

David

El pasado jueves durante nuestra sesión en Vigo, Carlos nos preguntó acerca de un software de Microsoft llamado Virtual WIFI, que permite agregar tarjetas de red inalámbricas virtuales que se apoyan en la real del equipo y que funcionan simultáneamente conectándose a diferentes redes Wireless disponibles. Tras volver a la oficina, comprobé que semejante virguería es el resultado de un proyecto de Microsoft Research, cuyos fuentes y binarios pueden descargarse desde la siguiente dirección:

http://research.microsoft.com/netres/projects/virtualwifi/

A fecha de hoy, el software no soporta ni siquiera WEP o autenticación 802.1x, por lo que cualquiera de los esfuerzos por asegurarlo que vemos en las sesiones será inútil. No obstante, seguramente a más de uno de vosotros os apetezca probarlo para poderos conectar a varias redes abiertas o conexiones ad-hoc a la vez. En este artículo de Eweek hablaron también acerca de sus aplicaciones.

Microsoft Reseach es una división de Microsoft en la que se cuecen algunas de las tecnologías y funcionalidades que luego se incluyen en los productos. Podéis ver algunos casos particulares en éste enlace. Para abrir nuevas vías de investigación se usan las peticiones y sugerencias que nos hacen llegar los clientes, se colabora con grupos de investigación externos, Universidades, etc. En su página web podéis ver algunas de las áreas de investigación que tienen abiertas y la posibilidad de poder descargar y probar algunas de las cosas que van haciendo. Hoy por hoy tienen laboratorios en Pekín, Cambridge, Bangalore, Redmond, San Francisco y Silicon Valley.

La última vez que estuve mirando algo producido por gente de MS Reseach fue preparando una sesión que hacemos acerca de Rootkits, Spyware y troyanos (Malware). Yi-Ming Wang et. al. están trabajando en un prometedor proyecto llamado Strider GhostBuster, y tienen publicados algunos artículos al respecto que seguramente interesarán a los aficionados en estas peligrosas amenazas.

Me ha parecido un tema interesante, así es que paso a exponer el proceso completo:

1.- Crear una carpeta para almacenar los binarios (p.e. c:\winxp_pro)

        md C:\WinXP_PRO

2.- Copiar el contenido del CD de Windows XP a la carpeta anterior (asumiendo que D: es la unidad de CD/DVD)

        xcopy /E /I /V C:\WinXP_PRO

3.- Integrar el SP2. Para ello usaremos el modificador /integrate que admiten los ejecutables que contienen todas las actualizaciones basadas en update.exe

        XPSP2.exe /integrate:E:\WinXP_PRO

4.- Obtener la lista de actualizaciones aparecidas en Microsoft Update desde el lanzamiento del SP2 (o el SP1 de Windows Server 2003, o desde la RTM -Release to Market- , etc.). Tenemos dos opciones:

a) Usar el catálogo de Windows Update. Usad la opción "Buscar Actualizaciones para Microsoft Windows". En el desplegable buscad Sistema operativo y versión, y como resultado tendréis la lista de actualizaciones aplicables por categoría, que podréis descargar directamente desde ahí.

b) Buscar en la siguiente página solamente los boletines de seguridad aparecidos desde una fecha concreta: http://www.microsoft.com/technet/security/current.aspx

4.- Integrar una actualización cualquiera post-SP2 (XXXXXX representa el número del artículo de la KB correspondiente)

        WindowsXP-KBXXXXXX-x86-ESN.exe /integrate:E:\WinXP_PRO

5.- Con la carpeta resultante podemos hacer dos cosas:

b) Usarla para desplegar el sistema operativo mediante alguna técnica de instalación automatizada

c) Crearnos nuestro propio CD/DVD de instalación. Si lo queréis de arranque, solo tenéis que usar alguna herramienta para extraer el sector de arranque del CD original utilizado en el primer paso y usarlo en el momento de crear el CD siguiendo las instrucciones de vuestra herramienta favorita.

 

A mi, personalmente, siempre me ha gustado más el método de preparar y distribuir imágenes con Sysprep. De hecho es lo que uso a la hora de preparar las máquinas virtuales con Virtual Server 2005 o Virtual PC. Estoy esperando encontrar un par de días para jugar más a fondo con la tecnología que traerá Windows Vista para estos temas. Aquí tenéis un avance:

http://www.microsoft.com/technet/windowsvista/deploy/depguide.mspx

REFERENCIAS:

http://www.microsoft.com/resources/documentation/Windows/XP/all/reskit/en-us/Default.asp?url=/resources/documentation/Windows/XP/all/reskit/en-us/prbd_std_vzku.asp

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/deployment/winupdte.mspx

http://support.microsoft.com/default.aspx?scid=kb;en-us;828930

http://support.microsoft.com/default.aspx?scid=kb;en-us;262841

Hola

Como veis, he movido el Post original a una nueva categoría para que sea más sencilla de manejar. Veamos las respuestas a vuestras preguntas:

1.- "Compruebe la configuración de su servidor. No se puede establecer contacto con al menos un componente de Update Services. Compruebe el estado del servidor y asegúrese de que Windows Server Update Services se esté ejecutando. Servicios que no están en ejecución: SelfUpdate"

Seguramente esto venga acompañado de un Evento 506 en el Visor de Sucesos, y de una entrada similar a esta en el log de IIS:

W3svc log errors: 2005-08-09 20:25:56 128.231.210.123 GET /selfupdate/iuident.cab - 80 - 128.231.210.123 - 403 6 0

El problema radicará seguramente en la configuración del directorio virtual correspondiente en IIS. Habría que comprobar las restricciones de IP y los permisos de ese directorio virtual (IUSR_MACHINENAME deberá poder acceder y tener derechos de inicio de sesión local). Resumiendo, el problema es de la configuración de IIS en lo tocante a los directorios virtuales que monta WSUS

2.- No se detectan las actualizaciones de Office

Lo más probable es que estemos hablando de una instalación Administrativa de Office. Por el momento, WSUS no es capaz de actualizar este tipo de instalaciones. También puede suceder que tengas un servicio de Office deshabilitado (Ose.exe). En este par de artículos están las opciones que podemos seguir para resolver la situación:

903773 No updates are displayed when you scan for updates by using Microsoft
http://support.microsoft.com/?id=903773

903774 Some Microsoft Office updates are not successfully installed on certain
http://support.microsoft.com/?id=903774

3.- Ordenadores que no salen en los reportes de WSUS

La causa más frecuente de este problema es que los clientes hayan sido desplegados usando técnicas de clonación. En ese caso, hay unas claves del registro que serán comunes a todos los clientes. Una de ellas se llama y que se llama SUSClientID. Te imaginarás lo que pasa cuando el servidor recibe el estado de todos esos equipos con claves comunes... no los distingue.

La solución pasa por borrar esas ramas. Está todo documentado en:

903262 A Windows XP-based computer that was set up by using a Windows XP image
http://support.microsoft.com/?id=903262

4.- Esta pregunta nos la hicieron ayer en directo en Vigo al término de la presentación. ¿Es posible que los servidores de réplica no almacenen el contenido de las actualizaciones en local y que en su lugar redirijan a los clientes a descargarse las actualizaciones directamente de MIcrosoft Update?

Bien, cuando un servidor está en modo réplica, hereda parte de la configuración y opciones de administración del "servidor de arriba". Sin embargo seguimos teniendo libertad de especificar:

- Membresía de los equipos a los Target Groups. Aunque estos vienen predefinidos, tenemos libertad de distribuir los equipos que ataquen al servidor de réplica como queramos

- Agenda de sincronización y servidor Proxy a utilizar

- Por supuesto, opciones de monitorización y generación de informes

- Puede cambiarse la fuente desde la que se descargan las actualizaciones, que puede ser otro servidor que aquel del cual somos réplica.

Sin embargo, este último punto no implica que podamos cambiar la estrategia de almacenamiento de las actualizaciones, es decir, si las queremos descargar o dejar en Microsoft Update. Mientras estamos en modo réplica, no podemos especificar nada en este sentido y seguimos la directiva establecida en el servidor principal. Para más información, consultad la Guía de Operaciones de WSUS

Seguiremos contestando aquí las dudas que vayan surgiendo

Hola

Se han detectado algunos problemas al desplegar esta actualizacion en equipos que no tienen los permisos por defecto en la carpeta %windir%\Registration, entre los que podemos destacar

No arranca el servicio de Firewall
No arranca el servicio de Windows Installer
La carpeta "Conexiones de Red" aparece vacía
El sevicio COM+ y aplicaciones relacionadas no arrancan
IIS devuelve errores 500 cuando se le solicitan páginas ASP

El problema radica a que antes de instalar esta actualización no se requieren permisos explicitos en el catálogo de COM+ (archivos .clb), que es lo que reside en la carpeta mencionada. Esta carpeta y los ficheros que contiene deben tener al menos permisos de control total para Administradores y SYSTEM, y de lectura para Todos

En estos enlaces podeis encontrar información más detallada al respecto:

http://www.microsoft.com/technet/security/advisory/909444.mspx
http://support.microsoft.com/kb/909444

Hola

Por un problema de configuración cuando cree este blog no era posble agregar comentarios en los posts. Ya los he habilitado. Lamento si alguien había querido poner algo y no le había sido posible. Espero que lo haga ahora

Gracias a Miguel Angel Vigara que me ha advertido del problema

Abro este apartado para ir comentando en él las cuestiones que se van planteando sobre este tema durante la Gira TechNet y que no podemos responder en el momento, o las preguntas que nos vayáis haciendo llegar y que complementan las FAQ publicadas en la Web del producto:

Esto es lo que teníamos apuntado hasta el momento:

1.- Reporte unificado del estado de equipos y parches en un escenario con jerarquía, ya sea padre/hijo o con servidores de réplica.

Hoy por hoy, cada servidor de WSUS mantiene su propia base de datos SQL en el que almacena los informes. Por tanto, cada una de ellas ofrece una vista exclusiva de los clientes registrados contra ese servidor.

Existe un ejemplo de una herramienta desarrollada sobre las API de WSUS que recolecta la información de reporting todos los servidores y la consolida. Está también el código fuente por lo que puede ser fácilmente modificada a voluntad. Aquí tenéis los enlaces:

Readme: http://download.microsoft.com/download/8/1/a/81a41962-cff5-4396-a567-0d2f87d8f67a/Readme.htm

WSUSRollupSample: http://download.microsoft.com/download/e/a/c/eac857ba-3051-472b-a8a3-0b4179660dd8/WSUSRollupSample.EXE

2.- ¿Que sucede si elimino un producto, una categoría o un idioma en las opciones de sincronización?. ¿Se elimina el contenido correspondiente del repositorio de ficheros del disco duro del servidor WSUS?

Elegir no sincronizar determinados idiomas, productos o categorías no supone el borrado del contenido del disco ni eliminar la información que hay contenida al respecto en base de datos.

Si teneis cualquier duda o comentario (o solución) sobre Windows Server Update Services, no dudeis en agregar un comentario a este post.

Tras la vuelta del viaje en el que la Gira TechNet visitó las Islas Afortunadas me encuentro con un correo de uno de vosotros en el que se nos pide consejo ante lo que podríamos llamar último grito en ataques de “fuerza bruta”. Te fuerzan la entrada por cualquier método bien conocido (butrón, “alunizaje”, etc.) y se te llevan los servidores, con todos sus datos dentro sin necesidad de ninguna virguería tecnológica. Ya se utilizarán estas posteriormente con absoluta tranquilidad.

Este escenario es de hecho mucho más corriente en el mundo del ordenador portátil, por razones obvias. La pérdida o robo de estos equipos lleva mucho tiempo preocupando a los fabricantes de software y hardware ya que supone un no despreciable porcentaje de los escenarios de robo de datos y espionaje industrial.

Aquí podéis encontrar un par de enlaces útiles que hablan de este tema y que explican las medidas que se pueden implementar desde el propio sistema operativo:

5-Minute Security Advisor - Basic Physical Security

http://www.microsoft.com/technet/archive/community/columns/security/5min/5min-203.mspx

The Case of the Stolen Laptop: Mitigating the Threats of Equipment Theft

http://www.microsoft.com/technet/community/columns/secmgmt/sm0205.mspx

Sin embargo, la tecnología llamada a resolver estos problemas es la especificación Trusted Platform Module (TPM) creada por el Trusted Computing Group y que, resumiendo mucho, se basa en un Chipset que provee de servicios criptográficos al sistema operativo y aplicaciones instaladas en ese equipo para garantizar integridad y privacidad, siempre y cuando estos estén diseñados para ello. Esta es la idea en la que se basan futuras tecnologías de Microsoft como Secure Startup, que estarán presentes en Windows Vista y Windows Longhorn Server, y es ya utilizada en algunos productos en el mercado.

Otra opción válida es usar productos basados en lo que se denomina un Hardware Security Module, con  un esquema de funcionamiento similar al anterior, y gracias a los que se pueden implementar también grados de seguridad muy respetables.