El diario de Juanito

Salam Malicum hermanos…

El otro día estuve montando una red de unos 50 equipitos. Si todo marcha bien y las máquinas son parecidas, lo tienes todo montado en un par de días. Clonar la mayoría de máquinas, cambiarles el SID para que las máquinas no se peleen entre ellas, configurar permisos en el dominio y montar un ISA Server  como firewall  y proxy caché. Me creé un script sencillito para cambios de IP por si algún empleado interno necesitaba cambiar de dirección al cambiar de oficina. Y me encontré con un problema. Las tíldes. No me había dado cuenta, pero al crear el script en batch con la aplicación netsh, éste no acepta las tíldes ni los acentos, aunque vayan entre “”. Menos mal que los chicos del Scripting lo tienen todo bien documentadito..

http://www.microsoft.com/technet/scriptcenter/resources/qanda/may05/hey0511.mspx

Así que el script se queda así:

Const NETWORK_CONNECTIONS = &H31&
Set objShell = CreateObject(”Shell.Application”)
Set objFolder = objShell.Namespace(NETWORK_CONNECTIONS)
Set colItems = objFolder.Items
For Each objItem in colItems
   If objItem.Name = “Conexión de área local” Then
      objItem.Name = “Red”
   End If
  
Next

Como el dominio se creó con el principio del mínimo privilegio, los usuarios no pueden cambiar el nombre de red ni los parámetros TCP/IP. Así que lo único que había que hacer es alojar el script de inicio en el dominio, y crear una política de equipo que se encargase de cambiar el interface name. Para crear la regla hice lo siguiente:

En Windows 2003

Inicio –> Ejecutar –> dsa.msc

Se abre automáticamente la consola de usuarios y equipos del directorio activo.

Pincháis en el árbol de vuestro dominio tal y como aparece en la imagen:

Se os abrirá una nueva ventana con las propiedades. Pincháis en la pestaña directiva de grupo y editáis la que tengáis existente. Y automáticamente es como trabajar en local con la herramienta de políticas de usuario gpedit.msc.

Configuración de equipo –> Configuración de Windows –> Archivos de comandos –> Inicio

Lo mejor es que no tienes que tocar ninguna máquina cliente. Más seguro para tí y menos trabajoso para los empleados. No hay acentos, no hay problemas. Recordad que esta regla la podéis aplicar a todas las políticas que implementéis en un dominio (en grupo de trabajo también es válida). Tan solo tenéis que tener claro los cambios para los que se necesita tener privilegios de administrador y no, para colocar la directiva en equipo o en usuario.

Espero que os sirva

Saludos!

Una vez configurado nuestro Firewall para bloquear el puerto TCP 1214 y aceptar comunicaciones procedentes de la aplicación Office Communicator, procederemos a exportar la configuración del Firewall, para después poder importarla a cuantas máquinas queramos.

Estando en la consola de administración del Firewall de Windows Vista, procederemos a exportar la configuración, pulsando en Export Policy, tal y como aparece en la imagen

Podemos salvar las políticas en nuestro servidor, para tener un mayor control sobre ellas.

Acto seguido podemos ir máquina por máquina e importar la configuración. Lo único que tendremos que hacer es pulsar en Import Policy, tal y como viene en la imagen

Una vez importadas las directivas del Firewall, el asistente nos avisará de que las políticas han sido importadas correctamente

Y lo único que nos queda por hacer, es comprobar que las políticas están ahí

Recordad que todo esto también se puede realizar si estuviésemos bajo un controlador de dominio, pero esto ya lo veremos más adelante…

En este pequeño tip podréis ver lo dificilísimo que es configurar un par de reglas en el nuevo firewall de Windows Vista.

Escenario: Tienes a tu cargo una red de unos 20 equipos, todos ellos bajo un controlador de dominio. Necesitas instalar una aplicación llamada Microsoft Office Communicator en uno de los equipos, y para ello también debes asignarle una regla de acceso al firewall. La aplicación está alojada en el controlador de dominio, y su ruta es \\DC1\Sources\communicator.msi También te han pedido que debes bloquear el puerto TCP 1214, correspondiente a una aplicación P2P, la cual está terminando con el ancho de banda de tu red.

Como primer paso vamos a ir a una de las máquinas cliente, y en la caja de texto de búsqueda escribimos la ruta de instalación de la aplicación Office Communicator, tal y como está en la imagen:

Acto seguido nos saldrá el asistente de instalación de la aplicación. Como buen msi que es, no tiene mayor dificultad que ir siguiendo los pantallazos que nos va indicando.

Una vez que esté la aplicación instalada, salimos de la sesión y nos logueamos como administrador local de la máquina.

Y buscamos una consola de administración (Microsoft Management Console) para poder cargar nuestro Firewall.

Al querer abrir una consola de administración, el UAC (Control de cuentas de usuario) salta diciéndonos que para toda acción que pueda cambiar el sistema. Esta es una de las nuevas funcionalidades de Windows Vista. El sistema cumple el principio del menor número de privilegios posibles al lanzar una aplicación, sea el perfil que sea.

Pulsamos en Aceptar (Continue) y acto seguido se nos abrirá una bonita consola de administración, en la cual podremos añadir o quitar funcionalidades. Nosotros agregaremos la consola de administración de Firewall. Pulsamos en Archivo –> Agregar o quitar complemento y añadimos la consola de Firewall, tal y como viene en la imagen.

Con la consola de Firewall funcionando, crearemos una regla de acceso de entrada (Inbound Rule), y lo haremos de la siguiente manera:

Pulsaremos en Inbound Rule, y en la parte de la derecha de la consola, pulsaremos en New Rule (Añadir regla). Nos saldrá un asistente de creación de reglas de entrada.

Como vamos a crear una regla para una aplicación específica, crearemos la regla para un programa, tal y como aparece en la imagen superior. Pulsamos en Next.

Esta parte del asistente nos preguntará a qué aplicación le va a afectar esta regla. Tan sólo tendremos que poner la ruta en donde se encuentra la aplicación. Pulsamos Next.

Nos pregunta qué deseamos hacer con esta regla. Permitir, denegar, permitir bajo unas condiciones seguras, etc.. Nosotros marcaremos permitir todas las conexiones. Pulsamos Next.

A qué tipo de escenario va a afectar la regla? Como es un portátil, y sabemos que el que lo va a utilizar va a tener cierta movilidad, marcaremos los 3 escenarios posibles, dominio, red privada y red pública. Pulsamos Next.

Nos pide un nombre para la regla. En este caso he puesto Office Communicator, para no perderme. Pulsamos en Finish y tendremos nuestra regla creada!

Segunda parte

Tenemos que bloquear un determinado puerto TCP, por lo que crearemos una regla de salida para un puerto determinado. Esta vez pulsaremos con el ratón el apartado Outbound Rules y en la parte de la derecha pulsaremos New Rule. Nos saldrá un asistente parecido al anterior, pero esta vez de salida.

Como es un determinado puerto el que vamos a “capar”, marcaremos la opción Port. Pulsamos Next.

El asistente nos preguntará si el puerto es TCP o UDP, si la regla se aplica a todos los puertos o a alguno en específico. Sabemos que el número de puerto es el 1214 y es un puerto TCP. Marcamos las opciones y pulsamos Next.

La siguiente parte es para preguntarnos qué debemos hacer. Como queremos bloquear ese puerto, pulsamos Block. Acto seguido pulsamos Next.

Esta parte del asistente nos preguntará a qué tipo de escenario se le va a aplicar la regla. Marcaremos los 3 posibles y pulsaremos Next.

Definimos un nombre para la regla listo! Tenemos nuestra regla de salida configurada!!

En esta ocasión veremos lo difícil y complicado que resulta bloquear una lista de Webs a los usuarios de nuestro dominio con ISA Server 2006.

En primer lugar, accederemos al administrador del servidor ISA Server, tal y como aparece en la imagen

Una vez que accedamos a la consola de administración, nos situaremos en la pestaña directiva de firewall. Una vez que accedamos a dicha pestaña, nos debe de aparecer en la parte derecha de nuestra consola, tres pestañas más, las cuales son Herramientas, Tareas y Ayuda. Tipearemos sobre la pestaña Herramientas, buscaremos el folder Conjunto de direcciones URL, y con el botón derecho del ratón, marcaremos la opción Importar todos, tal y como se muestra en la imagen siguiente

Acto seguido nos saldrá el asistente para importación que nos ofrece ISA Server. 

Para que vayáis probando, he modificado la lista de Webs que ofrece el artículo escrito por Greg Mulholland y publicado en la Web isaserver.org. El artículo original, escrito y diseñado para ser utilizado en ISA Server 2004 está aquí:

http://www.isaserver.org/articles/2004firewallblocklist.html

Este archivo XML está modificado para ser utilizado en ISA Server 2006

BlackList (Guardar destino como…)

Una vez importada nuestra lista maligna de URLS, procederemos a crear la regla pertinente. Para ello, nos dirigiremos nuevamente sobre directiva de firewall, y con el botón derecho del ratón pulsaremos Nuevo -> Regla de acceso

El funcionamiento de una regla de acceso es muy sencillo, y podremos “complicarlo” tanto como queramos.

El primer paso del asistente es crear un nuevo nombre para esa regla de acceso. Yo por ejemplo la he llamado DenyUrlList.

La segunda acción de la regla nos permite elegir entre si queremos permitir o denegar dicha función. Como no queremos que estas Webs sean accesibles desde nuestro domain, pulsaremos en denegar.

Protolos seleccionados. Aquí cada maestrillo tiene su librillo :). Depende de lo que tengamos en esta lista de Webs, podremos elegir uno u otro. En esta regla he elegido tanto HTTP, como HTTPS como FTP. Tan solo tendremos que agregar los protocolos que consideremos necesarios y que afecten directamente a la lista de URLS que tengamos.

La siguiente pregunta que nos formulará el asistente es cómo se va a aplicar la regla. La regla tiene un origen y un destino. Como no queremos que ningún usuario de nuestro domain pueda accesar lícita o ilícitamente a ninguna de estas direcciones, el origen de nuestra regla es Toda la red interna (englobando tanto el host local como la red VPN si tuviésemos alguna), así que nos quedaría de la siguiente forma:

Y la regla la aplicamos cuando nuestras peticiones internas sean enviadas a las direcciones que tengamos en nuestra lista negra. Con lo que nos quedaría:

Para quién es válida esta regla? Depende de cómo tengamos configurado nuestro ISA pondremos una lista de usuarios, todos los usuarios, todos los autenticados, etc..

En mi caso, ya que mi ISA está bajo un dominio, y quiero que todos los usuarios del dominio no accedan a este tipo de URLS, he puesto, todos los usuarios autenticados.

Finalizaremos el asistente, actualizaremos nuestras reglas de acceso y acto seguido podréis comprobar y hacer las pruebas pertinentes con la regla de acceso.

Con este tip pretendo también que comprobéis lo fácil que le resultaría a un administrador de ISA 2004, migrar a ISA 2006. El funcionamiento es básicamente idéntico al anterior, como podréis comprobar leyendo el artículo de isaserver y este conjuntamente.

Y dicho lo dicho… Todavía os parece difícil securizar vuestra red? La tecnología está ahí.. Y ya no puedes decir que no sabes hacerlo…

1Saludo!

Imaginemos esta situación.
Hemos iniciado una sesión en Windows bajo una cuenta con permisos mínimos, llamada User10, y necesitamos cambiar los permisos del archivo C:\Conta\Conta2007.xls para poder escribir en él.
Lo primero que se nos ocurre es tener que cerrar la sesión, iniciar con una cuenta administrativa, cambiar los permisos en modo gráfico, cerrar la sesión, iniciarla de nuevo con la cuenta sin privilegios y poder escribir en el archivo, no? Qué rollo verdad??
Seguro que hay alguno de por aquí que me esté leyendo que lo quiere hacer al estilo Unix y hacerlo desde línea de comandos ehh? Estaría chulo verdad? Pues se puede! Windows incorpora un comando nativo llamado CACLS, y no es más que una herramienta que muestra o modifica la lista de control de acceso DACL.
Para realizar esta acción, tan sólo tendríamos que realizar dos pasos:

1) Iniciar una consola de comandos en modo administrador
2) Ejecutar la sintaxis del comando CACLS

Para el primer paso ejecutaremos una consola de comandos (cmd.exe) con credenciales administrativas, utilizando la herramienta nativa de Windows RunAs, con lo que nos quedaría:

runas /user:administrador cmd

Tipeamos la password de administrador y…. Vualá!! Tenemos shell con credenciales administrativas!

El siguiente paso es muy sencillo también, y para añadir a nuestro usuario (user10) a la lista de control de acceso, y con permiso de escritura, utilizaremos la siguiente sintaxis:

cacls “C:\Conta\Conta2007.xls” /E /G user10:W

Acto seguido, Windows procesará el comando y el archivo, y tendremos nuestro archivo listo para escribir en él y modificar cambios.
Una vez hayamos terminado, podemos utilizar el mismo método a la inversa, y dejar los cambios tal y como estaban.

1Saludete!

Imagina esta situación…
Un comercial que debe visitar 6 delegaciones en distintos puntos del país. Cada delegación tiene un rango de direcciones IP asociadas a ella, y todas diferentes entre sí.

Imagina esta otra…
Una empresa pequeña con un parque de 50 equipos es absorbida por una multinacional, a lo que ésta, decide integrar a esos 50 equipos en su dominio, y por tanto, cambiar también de direcciones IP.

O esta otra…
Quieres cambiar la dirección IP por línea de comandos porque te sale de los huevos, y quieres demostarle al mundo que Windows también se puede administrar por la shell…. guauuuuu….
Pues desde Windows puedes cambiar esto y muuuuuchas cosas más, a través del comando nativo de Windows XP netsh.
La sintaxis del comando para cambiar una dirección IP (sólo IP) es la siguiente:

set address [name=]InterfaceName [source=]{dhcp | static [addr=]
IPAddress [mask=]SubnetMask [gateway=]{none | DefaultGateway [[gwmetric=]GatewayMetric]}}

En donde..

[name =] Es el nombre de la Interfaz. Por defecto y con un Windows in spanish, es “Conexión de área local”

[source=] Aquí indicaremos si la dirección será estática o cogerá la configuración de algún servidor DHCP

[addr=] Aquí especificaremos la nueva dirección IP a cambiar

[mask=] En este apartado especificaremos la máscara de subred asociada a la dirección IP

[gateway=] Aquí pondremos la puerta de enlace o gateway

[gwmetric=] Especificaremos la métrica para la puerta de enlace

Supuesto práctico!

En el caso de que las direcciones IP fuesen estáticas, la sintaxis a seguir sería la siguiente:

netsh int ip set address “Conexión de área local” static 192.168.1.1 255.255.255.0 192.168.1.10 1

Espero que os haya gustado queridos lectores de las sombras, y ya sabéis, si sabéis de algún tip guapito, no dudéis en mailmiarme
Y recordad… No olvidéis vitaminarse y supermineralizarse!