julianrv.commi blog personal

En muchas ocasiones para analizar distintos problemas de software el fabricante nos puede solicitar que creemos un dump de memoria con el objeto de poder ver que es lo que exactamente pasa. Para poder obtenerlos a nuestra voluntad tendremos que agregar una clave al registro, primero deberemos abrir nuestro editor favorito del registro (regedit/regedt32/otros..hay para todos los gustos) y debemos ir a la siguiente ruta HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters y añadir una REG_DWORD con nombre CrashOnCtrlScroll y valor 1. Crearla es muy fácil simplemente hacer click no el botón derecho sobre el fondo como podéis ver en la imagen o bien ir a Edición -> Nuevo -> Valor DWORD.

Para configurar las opciones de configuración del dump tenemos que ir a Mi PC -> Propiedades -> Inicio y Recuperación -> Configuración y podremos seleccionar el tipo de dump además de la localización donde se almacene, el tipo de dump habitualmente será el “Volcado completo de la memoria” que es el que esta seleccionado por defecto pero también tenemos opcion de realizar un volcado de la memoria del nucleo y un volcado de la memoria pequeña (64kb/minidump) que también nos pueden ser necesarios en ciertos casos.

Una vez realizado el dump tendrá un tamaño equivalente a la memoria ram que tengamos instalada, por cierto debido a las traducciones con las teclas que realiza vmware no funciona en maquinas virtuales de vmware aparentemente por lo que no os puedo facilitar un bonito pantallazo azul.

Desde Windows Server 2003 SP1 tenemos la opción de instalar el componente Access-based Enumeration que lo que nos ofrece es la opción de no listar directorios y ficheros a los usuarios que no tengan permisos de acceso al estilo UNIX. Este componente se implanta individualmente en cada servidor de manera que independientemente del cliente que usemos no se verán los directorios sobre los que no tengamos permisos si en el servidor esta activado ABE.

Podemos
“>descargar ABE desde la web de Microsoft. La instalación es extremadamente sencilla, primero nos preguntara si queremos instalarlo solo para nuestro usuario o para todos y después nos dará opción de activarlo en todos los directorios o hacerlo manualmente.

En propiedades de los directorios nos aparecerá una nueva pestaña perteneciente a enumeration based access donde podremos ocultar los ficheros en los que los usuarios no tengan permisos en todos los directorios que cuelguen por debajo del que lo configuramos y también nos permite aplicar la elección de ocultarlos a nivel de todo el servidor. También dispondremos de la utilidad abecmd.exe para configurar el ABE desde la línea de comando.

Para fileservers que requieran un muy alto rendimiento no deberíamos instalar ABE ya que aunque crea poca sobrecarga en el servidor en entornos normales esta aumenta cuando haya que listar gran cantidad de ficheros (a partir de 15000 archivos). También debemos ser cuidadosos con los servicios de backup ya que pueden dar algún problema si no corren desde una cuenta de servicio que tenga permisos específicos para realizar backup.

Los paquetes de software pueden se pueden asignar tanto a usuarios como a equipos a diferencia de cuando los publicamos que solo pueden ser publicados a usuarios. La principal diferencia que tiene asignar (assign) paquetes a publicarlos (publish) es que se puede configurar de manera que se instalen durante el logon.

Lo primero que deberemos hacer una vez dentro del editor de GPO es seleccionar el paquete .msi, nos debemos asegurar que el .msi y resto de los ficheros necesarios para la instalación son accesibles para los usuarios a los que vamos a instalar el software. Puede ser bastante útil configurar un DFS para este tipo de tarea si se va a distribuir el software en mas de una localización y así ahorrar trafico wan.

Tras seleccionar el paquete se nos preguntara si queremos publicar, asignar y avanzada, elegiremos avanzada ya que esta opción nos dejara si queremos publicar o asignar el paquete mas tarde y además ver otras opciones de configuración en el siguiente paso, lo que nos mostrara es el dialogo de propiedades del paquete.

En las diferentes pestañas podemos completar

General: nos muestra la información del paquete msi como fabricante, nombre, versión.
Implementación: la opción de activación de la extensión del archivo lo que hace es que si abrimos algún fichero con una extensión de las que el paquete msi asigna a la aplicación que instala se instalara el paquete si aun no esta instalado a diferencia de cuando publicamos una aplicación cuando la asignamos siempre estará seleccionada esta opción, el resto de las opciones creo son bastante claras por si mismas así que me ahorro detallarlas.
Actualizaciones: nos permitirá seleccionar paquetes instalados anteriormente y que serán actualizados por este paquete.
Categorías: en esta pestaña podemos categorizar el software dentro del dialogo de Agregar nuevos programas.
Modificaciones: aquí podemos aplicar ficheros de modificación del paquete como ficheros .mst
Seguridad: como en una GPO podemos configurar varios paquetes, esto nos sirve por si queremos restringir la aplicación de alguno de ellos.

Finalmente para instalar las aplicaciones bien se hara automáticamente al hacer logon o bien si la aplicación esta asignada a usuario y no esta configurada para instalarse en el inicio de sesión tendremos la opción de instalarlo tal como si estuviera publicado, hay que ir a Panel de Control -> Agregar y quitar programas -> Agregar nuevos programas, y podremos seleccionar el paquete que queremos instalar.

Microsoft ha implementado el protocolo RADIUS (Remote Authentication Dial In User Service) en Windows 2000/2003 en lo que ha llamado el servicio IAS (Internet Authentication Service / Servicio de Autenticación de Internet). Habitualmente este servicio nos puede ser necesario si queremos poner en marcha una red wireless segura con WPA/WPA2 + RADIUS o bien un servidor de VPN tanto autentificando contra Directorio Activo o los usuarios locales de un servidor. Para usar este servicio si colocamos nuestro servidor detrás de un firewall debemos abrir los puertos con protocolo UDP 1812 y 1813 para que funcione correctamente.

Como de costumbre para poner en marcha este servicio tendremos que ir a Panel de Control -> Agregar o quitar programas -> Agregar o quitar componentes de Windows -> Servicios de Red y una vez en este apartado activar el “Servicio de autenticación de Internet”.

Para administrar el servicio debemos usar la consola Servicio de Autentificación de Internet (ias.msc), para añadir un nuevo cliente del servicio tenemos que hacer click con el botón derecho sobre el apartado Clientes RADIUS, donde tendremos que ir introducir la dirección IP o FQDN del cliente además de un secreto compartido (shared key). Aparte del RADIUS estándar también soporta otras implementaciones RADIUS de distintos fabricantes.

En el apartado Registro remoto tenemos la oportunidad de fijar el sistema almacenamiento de logs, podemos almacenarlos en local (por defecto) o bien en una base de datos SQL a través del correspondiente DSN (origen de datos OBDC).

En Directivas de acceso remoto podemos configurar una serie de condiciones de acuerdo con diversos parámetros para admitir o rechazar peticiones de autentificación, estas se procesan en el orden establecido y en caso de que no se cumpla ninguna el intento de autentificación será rechazado. Aparte de las directivas que podeis ver abajo que son las personalizadas, también existen otras que vienen ya definidas de acuerdo con los escenarios mas habituales de uso de IAS.

En Procesamiento de solicitud de conexión podremos crear proxies de RADIUS de forma que deleguemos la autentificación en un servidor de RADIUS remoto, esta opción esta solo soportada en Windows Server 2003. Para ciertas funcionalidades tales como implantar un servidor de VPN con RRAS donde es necesaria un integración con el Directorio Activo tenemos que registrar el servidor en el directorio, para ello debemos situarnos sobre el nodo raíz del menú y hacer click con el botón derecho sobre el o bien ir a Acciones donde también encontraremos la opción Registrar servidor en Active Directory.

En Windows Server 2003 en la versión Standard del sistema operativo estamos limitados a 50 clientes y 2 grupos remotos de acceso mientras que en Enterprise el numero es ilimitado, en Windows 2000 solo existe la función de servidor RADIUS y no hay limitaciones en ninguna versión.

Transferir los roles FSMO a través de las distintas consolas es un proceso bastante sencillo y homogéneo, por cierto este método nos será igualmente útil si lo que queremos es adivinar que servidor tiene cada rol. Este método solo es valido si el DC que contiene el rol a transferir esta online y funcional ya que si no es así tendríamos que realizar un seize (viene a significar algo así como confiscar) a través de ntdsutil.

En todas las consolas el primer paso será conectar al controlador de dominio al que queremos transferir el rol en cuestión. Desde la consola Usuarios y equipos de Active Directory podemos transferir los roles de maestro de RIP, emulador PDC y maestro de infraestructura, desde la consola de Dominios y confianzas de Active Directory se puede transferir el rol de maestro de nombres de dominio, mientras que para el rol de maestro de esquemas necesitaremos registrar una nueva consola que detallare mas adelante.

El siguiente paso será ir a “Acciones” y allí elegir la opción de Maestro de Operaciones, y nos aparecerá un dialogo con el servidor desde el que queremos transferir el rol al que queremos transferirlo, recordad que debéis estar conectados al controlador de dominio al que queréis transferir el rol.

Para transferir el rol de esquemas primero deberemos registrar un dll, esto se hace abriendo Inicio -> Ejecutar y allí ejecutaremos “regsvr32 schmmgmt.dll”.

Una vez hecho nos aparecerá un mensaje de registro con éxito en pantalla, volveremos a Inicio -> Ejecutar y una vez allí ejecutaremos “mmc” lo que nos abrirá una consola vacía, navegamos a Archivo -> Agregar o quitar complemento.. y seleccionar Esquema de Active directory.

Una vez ya abierta la consola de esquema, repetimos el mismo paso que en todas donde recibiremos un mensaje similar que a los casos anteriores.

También tened en cuenta los permisos necesarios para transferir estos roles, para el rol de esquema es necesario estar en el grupo Administradores del esquema, para transferir el rol de maestro de infraestructura, maestro de identidad relativa (RID) o emulador PDC necesitamos estar en el grupo Administradores del dominio y por ultimo necesitaremos estar en el grupo Administradores de organización (enterprise admins) para transferir el rol de maestro de nombres del dominio.

Una nueva característica de Windows Server 2003 es la opción de aplicar filtros WMI (Windows Management Instrumentation) en las directivas de grupo para que estas se apliquen solo en determinados equipos. Los filtros WMI solo están soportados en sistemas operativos posteriores a Windows XP, en sistemas operativos anteriores siempre se aplicara la GPO al ser ignorado el filtro. Además si no existe al menos un controlador de dominio con Windows 2003 no se mostrara la opción de filtro WMI en el GPMC (Group Policy Management Console).

A cada GPO solo le podemos asignar un filtro WMI pero este puede tener múltiples sentencias. Los filtros WMI agrupan sentencias WQL (WMI Query Language) que podemos elaborar fácilmente con la herramienta Scriptomatic
que nos proporciona un interfaz realmente sencilla para conseguir cualquier información sobre el sistema. El filtro se procesa en el equipo lo que provoca que su resolución sea en ocasiones bastante lenta por lo que debemos ser cuidadosos en la cantidad de condiciones con que se configura un filtro, también porque el filtro se reevaluara cada vez que se refresquen las directivas en un equipo, por ej. por defecto este parámetro para los controladores de dominio es cada 5 minutos.

Con WMI podemos extraer toda clase de información de un equipo, desde el fabricante del hardware a la versión del sistema operativo pasando por comprobaciones de si contiene o no ciertas claves de registro. Como he indicado anteriormente por la carga adicional que los filtros WMI suponen a los equipos se recomienda utilizarlos como mecanismos circunstanciales para el filtrado de directivas y no a largo plazo.

Como ya conté en el anterior articulo sobre distribución de software mediante GPO existen dos métodos, publicación y asignación. En este articulo voy a detallar como funciona la publicación, una de sus características esenciales es que solo podemos publicar software a usuarios no a equipos.

Lo primero que deberemos hacer una vez dentro del editor de GPO es seleccionar el paquete .msi, nos debemos asegurar que el .msi y resto de los ficheros necesarios para la instalación son accesibles para los usuarios a los que vamos a instalar el software. Puede ser bastante útil configurar un DFS para este tipo de tarea si se va a distribuir el software en mas de una localización y así ahorrar trafico wan.

Tras seleccionar el paquete se nos preguntara si queremos publicar, asignar y avanzada, elegiremos avanzada ya que esta opción nos dejara si queremos publicar o asignar el paquete mas tarde y además ver otras opciones de configuración en el siguiente paso, lo que nos mostrara es el dialogo de propiedades del paquete.

En las diferentes pestañas podemos completar

• General: nos muestra la información del paquete msi como fabricante, nombre, versión.
• Implementación: la opción de activación de la extensión del archivo lo que hace es que si abrimos algún fichero con una extensión de las que el paquete msi asigna a la aplicación que instala se instalara el paquete si aun no esta instalado, el resto de las opciones creo son bastante claras por si mismas así que me ahorro detallarlas.
• Actualizaciones: nos permitirá seleccionar paquetes instalados anteriormente y que serán actualizados por este paquete.
• Categorías: en esta pestaña podemos categorizar el software dentro del dialogo de Agregar nuevos programas.
• Modificaciones: aquí podemos aplicar ficheros de modificación del paquete como ficheros .mst
• Seguridad: como en una GPO podemos configurar varios paquetes, esto nos sirve por si queremos restringir la aplicación de alguno de ellos.

Finalmente para instalar las aplicaciones bien se hace automáticamente al abrir una de las extensiones de las que el paquete de software se asigna o hay que ir a Panel de Control -> Agregar y quitar programas -> Agregar nuevos programas, y allí podemos seleccionar el paquete que queremos instalar.

Tanto Windows XP como 2003 incluyen un componente que hace posible que nos podamos conectar a terminal services o el escritorio remoto mediante Internet Explorer gracias un control de ActiveX. También se puede instalar en Windows NT y 2000 si se dispone de un IIS instalado superior al 4.0 y nos descargamos el componente de conexión web a escritorio remoto. Su configuración y uso es bastante sencillo, en el caso que usemos el componente adicional con 2000 y NT este extraerá los ficheros al directorio tsweb dentro del directorio wwwroot y deberemos configurar las opciones del sitio web en IIS.

Si queremos instalarlo en XP y 2003 debemos ir a “Agregar o quitar programas” del Panel de control, allí iremos a la opción “Agregar o quitar componentes de Windows” y una vez allí si es Windows XP iremos dentro de la opción Servicios de Internet Information Services (IIS) y activaremos la opción de “Conexión web a escrito..”. Si se trata de un 2003 tendremos que ir a Servidor de Aplicaciones -> Internet Information Services -> Servicio World Wide Web y allí activar el servicio en ambos se caso también se activaran otros servicios de los que tiene dependencias.

Es recomendable que para un servicio como este dentro de la consola de IIS definamos algún tipo de autentificación no anónima y lo hagamos accesible solo a través de https si disponemos de algún tipo de infraestructura PKI en nuestro entorno. Su uso es de lo mas sencillo, abriremos el IE y accederemos a la dirección donde hemos configurado el site que por defecto es http(s)://direccionourldelservidor/tsweb/ y una vez allí recibiremos una notificación de instalación de un componente ActiveX.

Una vez instalado el componente ActiveX ya podremos usar el sitio para efectuar conexiones a nuestros terminal servers.

Esta herramienta nos proporciona la opción de elaborar reportes sobre la seguridad de nuestros sistemas, no solo analiza la configuración a nivel de seguridad del sistema operativo a partir de Windows 2000 sino que también revisa la configuración de IE5/6, SQL Server 7.0 y 2000, Office 2000/XP/2003 e Internet Information Server (IIS) 5 y 6.

Además de escanear los parámetros de seguridad mas comunes como passwords débiles, servicios innecesarios también puede comprobar si los equipos tienen todas las actualizaciones al día ya sea comprobándolo con un servidor WSUS o SUS local o bien desde Microsoft Update. Hay que decir que la herramienta es un poco lenta así que lo mas conveniente es que la dejéis por la noche escaneando y así no interferirá con el uso habitual de la red y servicios, también a veces los grados de severidad que da son un poco exagerados pero bueno mas vale prevenir que curar.

El uso de la herramienta es de lo mas sencillo ya que nos presentara la opción de escanear una maquina o varias si le facilitamos un rango de ips o dominio, después tenemos que seleccionar los distintos parámetros que queremos comprobar y. Los informes que nos ofrecerá son bastante detallados y vistosos, además MBSA los ira archivando por si queremos consultarlos en cualquier momento. Aparte de la herramienta grafica también se nos ofrece su homologa de la línea de comando, MSACLI.exe, que podremos encontrar en el directorio de instalación de MBSA.

Un elemento opcional bastante útil es el conector para Visio gracias al cual obtendremos los reportes es forma de diagrama de red de Visio y clickando sobre cada maquina veremos el reporte de la maquina en cuestión. También de acuerdo con la severidad de las deficiencias nos colorea las maquinas de un color u otro.

Este nuevo servicio de Windows 2003 nos trae principalmente dos ventajas, por un lado la realización de copias de seguridad de ficheros en uso que aprovechan para implementar esta funcionalidad tanto la utilidad nativa de Windows para backup, NTBackup, como aplicaciones de terceros tales como Symantec LiveState o Veritas Netbackup.

La otra funcionalidad que nos aporta este nuevo servicio son las shared folder shadow copies, lo que en castellano han traducido por Instantáneas de carpetas compartidas que aunque una traducción correcta me suena muy mal por lo que usare el termino Shadow Copies en este articulo. Gracias a esta novedad se pueden realizar snapshots periodicos automaticos o manuales de los directorios compartidos y tambien permite que los usuarios recuperen sus propias copias de seguridad.

Por un lado para que los clientes puedan usar esta funcionalidad si son sistemas operativos anteriores a Windows Server 2003 deben instalar el llamado cliente de versiones anteriores que también podemos encontrar en el directorio de instalación de Windows 2003 en la ruta system32\clients\twclient.

Por otro lado en el servidor tenemos que ir a las propiedades del volumen en que queremos habilitar las shadow copies ya que funcionan a nivel de volumen y no de carpeta lo que es un inconveniente importante ya que tal vez haya carpetas sobre las que no queremos realizarlas. Cuando habilitemos las shadow copies en el volumen se realizara el primer snapshot. La opción revertir realizara un rollback de los archivos, es decir que sobrescribirá los archivos actuales con el backup.

 

También tenemos que tener en cuenta que si queremos almacenar las copias en un volumen distinto, que es lo mas recomendable, debemos configurar esa opción antes de habilitar las shadow copies o bien borrar todas las shadow copies presentes y entonces cambiar el volumen ya que si hay copias realizadas no nos dejara cambiar el volumen de almacenamiento.

 

Si damos al botón de configuración nos aparecerá un dialogo en el cual podemos elegir configurar varias programaciones para realizar las instantáneas y que permiten una gran flexibilidad, por defecto vienen un par de programaciones configuradas de ejemplo. También deciros que no es posible almacenar mas de 64 snapshots de un volumen y que una vez alcance esa cifra comenzara a borrar las mas antiguas automáticamente así que si queréis guardar algún snapshot antiguo hay que borrar manualmente. Lo mismo ocurre si nos quedamos sin espacio en el volumen de almacenamiento de las copias, se borraran automáticamente las mas antiguas.

En el cliente el uso es bastante sencillo e intuitivo, simplemente tenemos que ir a las propiedades del fichero o carpeta en cuestión y allí nos encontraremos una pestaña llamada Versiones anteriores en la cual aparecerán los distintos snapshots realizados. Solo tenemos que seleccionar la versión que queremos, haciendo click en copiar se copiara esa versión del fichero a una ruta que nosotros elijamos, con la opción “Ver” visualizaremos esa versión del fichero o veremos los contenidos de la carpeta y con la opción “Restaurar” sobrescribiremos la versión actual del fichero con la seleccionada. Tened en cuenta que para realizar estas acciones el usuario debe tener los distintos permisos de lectura, escritura o modificación sobre los distintos ficheros o directorios.