Que me encanta ISA Server es una cosa conocida, pero la llegada del SP1 marca un nuevo hito en ISA.
Las mejoras incluyen algunas cosas realmente interesantes entre las que se destacan:
Seguimiento de los cambios de configuración: ya no podrá pasar eso de ¿quien ha cambiado la regla?, esto no estaba así!!!!, ahora se puede configurar ISA para guardar todos los cambios, quien los hizo, etc.
Pruebas de publicación: Con esta funcionalidad puedes verificar las reglas de publicación, está muy bien e incluso te aconseja mejoras.
Simulador de trafico para evaluar las reglas y las reacciones.
Consultas al registro de diagnostico: con esta ultima mejora yo creo que ISA pasa a ser el mejor firewall en cuanto a monitorización y logging.
También hay mejoras en cuanto a NLB ya que ahora se soporta de forma integrada el soporte para multicast con IGMP evitando así los desbordamientos de los switches por el trafico lanzado por el NLB en unicast.
El soporte para certificados SAN tan de moda y soporte para KCD en dominios con confianza.
Un compañero ha realizado un estupendo articulo paso a paso con capturas de pantalla, lo podéis ver en:
http://blogs.technet.com/isablog/archive/2008/05/23/isa-server-2006-service-pack-1-features.aspx
Mi ratón se estremece, tiembla cada vez que empiezo a tener la tentación de entrar en el blog de Enrique Dans, por un lado están esos posts sobre tendencias, internet, etc que me resultan interesantes este de acurdo o no, pero cada pocos días, Enrique se transforma.
Algo tiene que ser, ¿un problema con el nivel de litio?, ¿una gotera que no le deja dormir?, ¿usar Linux como SO de escritorio?, no lo sé el caso es que hay días que se levanta con la fobia.
Cuando llega la fobia a ese pozo de sabiduría tecnológica llamado Enrique Dans, el no puede reprimirse siente la inmensa tentación de criticar a Microsoft, lo cual no tiene nada malo, nuestros productos pueden mejorar en eso consiste la evolución del Software.
El problema es criticar yendo de la mano del dramatismo, la exageración y la falta de conocimiento, eso ya no me gusta.
En su último post en modo “fobia” Enrique arremete contra el UAC diciendo que sale cada dos por tres.
Yo al leerle caigo en una especie de shock, ¿seré yo?, ¿emanare una radiación especial que anula el UAC?, ¿Por qué yo no sufro esto, estando como estoy todo el día delante de ordenadores con Vista?
Cuando empiezas a usar un nuevo ordenador o después de reinstalarlo, los mensajes de UAC son frecuentes, pues necesitas tus privilegios de administrador todo el rato para instalar software, realizar cambios, etc.
Pero después de eso, para mi es raro verlo.
Y si me avisa el UAC es para protegerme, no para incordiarme, idéntico a las tecnologías Linux que hacen lo mismo.
Si alguien recibe muchos avisos de UAC es porque requiere demasiado de sus privilegios de administrador lo cual no solo no es normal, no es saludable, tal vez tengas que revisar que software usas o porque requieres alterar tan frecuentemente tu configuración.
Tal vez sea que yo solo uso el ordenador, para trabajar, estudiar, hacer pruebas, comunicarme, comprar, jugar, en fin para todo y ellos para algo más que sea eso que machaca tanto el UAC.
Algún comentarista del blog de Dans dice que le sale incluso cuando copia ficheros yo sigo pensando: ¿para que quiere alguien copiar frecuentemente ficheros a las carpetas del sistema de ficheros en la que sale el UAC?
Critica si, fobias no.
TMG (Threat Management Gateway) es el nombre que tendrá la siguiente versión de ISA Server, el producto esta aun en Beta 1 y apenas se pueden ver algunos aspectos de lo que será el producto final. Las siguientes betas nos irán trayendo las novedades.
Aun así la Beta 1 tiene especial interes dado que es una parte fundamental de la estrategia de Stirling (de la que hablare en un proximo Post).
Stirling es el nombre en clave de un nuevo producto, una consola que permitirá administrar centralizadamente todos los productos de la gama Forefront.
Stirling no solo permitirá avanzadas técnicas de administración si no que permitirá gracias a la integración de TMG, FCS y los Forefront For Servers reaccionar ante ataques en cualquier parte de nuestra red y poder correlacionar los eventos de seguridad que sean detectados.
Este tipo de detección se alimentara de la información que Microsoft distribuirá a través de Windows Update, esta opción será ofrecida a través de subscripción de pago.
La instalación de TMG varia un poco a la de ISA, y creo que los cambios son a bien, haciendo mas fácil la instalación para los escenarios más comunes.
El producto tiene multiples mejoras a parte de las que ya he contado tales como la inclusión de mejores herramientas de resolución de problemas, mejoras en la publicación, mejores y mas informes y por supuesto corre sobre Windows Server 2008.
Esta Beta es muy temprana y tiene algunos aspectos que teneis que saber antes de instalarla os recomiendo que os leais las release notes( http://technet.microsoft.com/en-us/library/cc487898.aspx)
Espero que la Beta 2 deje ver mas funcionalidades del producto.
Os dejo con las capturas de pantalla de la instalación, que hablan por si solas.
Y por fin la consola.
Technorati Tags:
TMG,
Stirling
Para aquellos para los que el modo core sea demasiado, un compañero Israeli ha sacado una herramienta con interface grafica para configurar los aspectos basicos del sistema sin ser un genio de la linea de comandos.
Mas info: http://blogs.microsoft.co.il/files/folders/guyt/entry68860.aspx
Para mas información sobre esta gran noticia ver el estupendo post de Hector Montenegro sobre el tema
http://blogs.technet.com/hectormontenegro
El siguiente video nos muestra como en el equipo de investigación de Microsoft están ensayando con robots que serán capaces de realizar tareas repetitivas en los datacenters o atender a usuarios.
Robots in the Data Center?
Atentos a la última mitad del video ;-) donde se habla de los problemas crossplatform y de siempre incomodo aspecto de la dominación del mundo.
Las técnicas de enfriamiento de memoria no son nuevas y otras técnicas de lectura de la memoria han sido usadas por la informática forense desde hace tiempo.
Evidentemente este tipo de ataques supone un problema si pensamos en que hay situaciones en las que los secretos pueden estar en la memoria.
En el siguiente video podéis ver como se aplican estas técnicas para “hackear” un equipo encriptado y como la memoria mantiene sus valores durante un periodo de tiempo que puede ser alargado enfriándola.
Bitlocker y Windows a través de las GPO nos permiten de mitigar estos riesgos evitando la suspensión de los equipos usando la configuración de gestión de energía de las GPO, otras GPO nos permiten controlar el comportamiento de los secretos con respecto a la memoria y finalmente el uso de un PIN evitara que alguien pueda acceder al equipo después de una hibernación, interrumpiendo de esta forma el arranque y la copia a la RAM.
Firmado:
El cansino del Bitlocker.
Bitlocker es un arma fantástica para mitigar algunos de los riesgos relativos a la seguridad de la información comunes en toda organización.
Uno de los procesos que no debe ser olvidado es aquel que tiene lugar cuando un disco duro tiene que ser “jubilado”.
Un simple formateo o un formateo a bajo nivel puede tener riesgos y un formateo en profundidad que llene el disco para garantizarse que la información ha sido sobrescrita es lento y además teóricamente también hay técnicas que permiten indagar en el disco y recuperar información de un estado anterior.
Bitlocker nos permite asegurarnos de que quien tenga que acceder al disco lo hará teniéndose que saltar la encriptación que puede ser hasta AES-CBC 256 Bits con Difusor lo cual está muy pero que muy difícil a día de hoy pensar que este algoritmo es usado por múltiples organismos militares para la información considerada como clasificada.
El siguiente comando permite forzar que siempre sea solicitada la contraseña de recuperación en el arranque:
Manage-bde –forcerecovery C:
Lo cual evitaría que un atacante pudiera usar el disco incluso desde otros sitemas o intentar ataques en remoto.
El comando Format ha sido modificado para ser compatible con Bitlocker, el formateo de una unidad destruye también las claves del volumen.
Existe también un método WMI denominado DeleteKeyProtector dentro de la clase Win32_EncryptableVolumeClass que puede ser usado para los mismos propósitos.
Mantener vuestra información segura!!!
Si con el fin de mejorar la seguridad del equipo en el que hemos activado Bitlocker hemos usado protectores adicionales como un PIN o una llave clave de inicio en un USB (algo que tienes o algo que sabes) es mas que posible que nuestros usuarios puedan olvidarse de ellas obligandonos a facilitarles las claves de recuperación como unica alternativa a desplazar a un tecnico hasta el puesto de trabajo del usuario.
Logicamente es conveniente que en el caso de tener que facilitar la clave de recuperación al usuario, se cambie la misma.
Para ello es posible usar el script de administración manage-bde.wsf que se puede encontrar en C:\Windows\system32.
No es posible cambiar la clave de recuperación directamente pero si es posible borrar la existente y generar una nueva.
Para borrar una clave de recuperación existente se puede usar la siguiente sintaxis:
manage-bde –protectors –delete c: -type RecoveryPassword
Para crear una nueva clave de recuperación usaremos el siguiente comando.
manage-bde –protectors –add c: -rp
Siempre recomiendo a mis clientes usar el AD para guardar las claves de recuperación, si hemos configurado las GPO adecuadamente este proceso de backup de la clave de recuperación en el AD no solo sera transparente para el usuario sino que ademas tendremos la seguridad de que si no se puede contactar con el AD tampoco se realizara la operación.
Obviamente para administrar Bitlocker hay que ser administrador de la maquina lo cual dificulta un poco la operativa de esta operación, la suerte es que el script manage-bde permite ser usado en remoto solucionando este problema.
El mismo procedimiento es el que se debe usar para cambiar el PIN del usuario usando para ello los parámetros relativos a la clave PIN.
Ya está disponible la actualización que permite usar la MMC de administración de Hyper-V en los equipos con Windows Vista SP1.
Usando esta herramienta os evitareis los problemas relativos al uso del ratón en maquinas virtuales sin las additions cuando usas la consola de Hyper-V por terminal.
x86: Update for Windows Vista (KB949758)
x64: Update for Windows Vista x64 Edition (KB949758)
 |
Lo cierto es que al principio no me llamaban mucho la atención los gadgets pero ahora me he aficionado y la verdad es que me permiten realizar acciones más rápido o ver información de una manera muy rápida.
Ahora cómo puedes ver en la imagen los que uso son:
-Un buscador (Live of course)
-Un visor de recursos (Procesador y Ram)
-Powershell
-Un gadget que me permite apagar, reiniciar o bloquear el equipo.
-La hora de Seattle J
-Terminal services (este permite favoritos, acceder por consola, etc)
-Un gadget que me permite ver el estado de algunos equipos (la versión gratuita solo 5 L )
-Accesos directos (muy útil)
-Y el calendario para saber en que día vivo J
Puedes encontrar todos estos y muchos más en:
http://gallery.live.com/ |
Fantastico articulo de Ponicke sobre como delegar permisos en Hyper-V.
He quedado asombrado por el nivel de granularidad posible y por lo bien que lo han diseñado usando AZMan.
Parte 1
Parte 2
Windows Server 2008 es para mí el MEJOR SISTEMA OPERATIVO de la historia y esto es así por una infinidad de cosas, pero ahora hay una más que me fascina completamente y son las Group Policy Preferences.
Os imagináis poder tener completo control de decenas de elementos de configuración tales como registro, impresoras, aspecto, acceso directos, menús, data sources, dispositivos, VPNs, tareas programadas, unidades de red, de todos vuestros ordenadores y de manera centralizada.
Os imagináis poder hacerlo GRATIS y con además opciones de targeting avanzado que os permitirán poder usar condiciones realmente complejas para aplicar políticas como por ejemplo rangos de MACs, conexiones, software instalado, horas, usuarios y decenas más.
Todo esto son las GPO Extensions y solo necesitáis instalar un software en vuestras maquinas clientes XP, Vista, Windows Server 2003 y ya esta. No hay que hacer nada en Windows Server 2008 para poder trabajar y editar las Extensions.
Fascinante verdad?, Para aprender mas podéis leer el whitepaper sobre esta tecnología`.
Para terminar aquí os dejo algunas capturas de pantalla para que podáis verlo más en detalle.
Imagen 1, Todas las extensions
Imagen 2, Configurando unidades de red.
Imagen 3, Configurando accesos directos.
Imagen 4, Configurando una VPN
Imagen 5, Menu de inicio.
Imagen 6, Opciones para filtrar el targeting.
Imagen 8, Configurando Impresoras.
Parece ser que es posible que en menos de tres meses tengamos una beta pública de Stirling.
Puede que muchos os estéis preguntando que es Stirling, pues bien este es el nombre en clave de la siguiente gama de productos Forefront (ISA, FFE, FFS, FCS, IAG, etc) más una nueva consola que permitirá administrar todos los productos desde ella misma y que además permitirá correlacionar todos los eventos de seguridad que sean detectados por los diferentes productos para orquestar reacciones ante ataques.
Parece que existirá también la posibilidad de usar Forefront a través de una solución hosteada por Microsoft.
Además Stirling estará integrado con System Center, NAP y tendra otras funcionalidades impresionantes que no puedo contar aun por ser NDA.
Tengo un montón de ganas de que salta para poder hablaros mas, pero de momento toca esperar.
El producto se supone que será RTM en la primera mitad del 2009.
Aunque el equipo de desarrollo comenta que intentaran que sea la última vez, la migración a RC0 nos obligara una vez más a reconfigurar nuestras maquinas virtuales.
Una vez descargada la actualización (KB949219) para x64 la podremos instalar en nuestro servidor pero antes tendremos que haber borrado todas las snapshots de nuestras maquinas virtuales así como las redes virtuales que tengamos.
Después borráis las maquinas apuntando antes su configuración.
Una vez hayáis actualizado recreareis las maquinas virtuales reutilizando los VHD que teníais de antes , en mi caso al arrancar las maquinas virtuales he tenido que reconfigurar las tarjetas de red virtuales ya que eran unas nuevas, esto ha sido lo más lioso para mí ya que tenía muchos firewalls, dc, etc.
Otra cosa importante es que tendréis que actualizar las additions, esto lo podeis hacer de la misma forma que las instalasteis, os dirá que ya las tenéis instaladas y que si queréis actualizarlas.
Para los que administréis en remoto desde una x86 existe también el mismo parque para estas maquinas pero que lógicamente solo incluye la consola.
Descarga x86 http://www.microsoft.com/downloads/details.aspx?FamilyID=b7464b44-821d-4a7c-9d9c-7d74ec14437c&DisplayLang=en
Descarga x64 http://www.microsoft.com/downloads/details.aspx?familyid=DDD94DDA-9D31-4E6D-88A0-1939DE3E9898&displaylang=en
Explicación detallada del proceso de migración de las VM: http://support.microsoft.com/kb/949222/
