Edgard Hersen

Saturday, October 04, 2008

Nuevo Blog para Microsoft Forefront CLient Security

Se ha creado un nuevo blog para los seguidores, implementadores y/o administradores del antivirus Microsoft Forefront Client Security, aqui podrás suscribirte al Feed y seguir las últimas noticias o POSTs agregados, tener a la mano herramientas, procedimientos ayudas y demás que pueda ser útil.

http://FCSenEspanol.blogspot.com

Sunday, December 16, 2007

Instalación de Microsoft Forefront Client Security en StandAlone

Microsoft actualmente tiene una solución contra malware y virus muy efectivo, de fácil administración, actualización y desempeño, estas cualidades lo ha llevado a ser uno de los principales competidores del mercado teniendo poco tiempo.

En efectividad, otras soluciones solo se detectan virus, hoy en día y con el auge que ha tenido Internet proporcionando cada vez más velocidad y permitiendo transmitir mas flujo de datos, han desarrollado y cargado pequeñas aplicaciones que tienen como finalidad atacar al tráfico de la red, recopilar información de la navegación y comportamiento del usuario en Internet, ubicar información confidencial y otras amenazas que el atacante necesitaría para llevar a cabo una tarea específica, no encontradas en un virus.

Fácil administración, al entrar en la consola de Microsoft Forefront Client Security verán lo simple del diseño y manejo, en la sección Herramientas encontraremos:

  • Las opciones del comportamiento de FCS ante amenazas, la programación del escaneo del PC y las exclusiones
  • La comunidad de Microsoft encargada de recopilar toda la información que es enviada por los usuarios y centros de seguridad
  • Los ítems en cuarentena, las amenazas encontradas pero no se tiene una acción para eliminarlas o limpiarlas, estas son almacenadas en un archivo seguro y a pruebas de ataques
  • Explorador de Aplicaciones, muchos han trabajado con la herramienta msconfig o editado el registro para eliminar programas del arranque de Windows, muchas veces deteniendo aplicaciones necesarias para el desarrollo de una empresa por no saber de que se encarga, con esta opción de FCS podrá tener visión de las aplicaciones que ejecuta Windows al iniciar y así encontrar fácilmente malware “escondidos” que se ejecutan al iniciar, también podrá saber aquellos que estén usando tu conexión de red, lo actualmente ejecutándose y los que estén usando WinSOCK
  • Los ítem permitidos, para aquellos que trabajan von VNC o DameWare, FCS los detecta como troyanos y son eliminados, pero si son permitidos entraran en esta clasificación
  • El sitio web de Microsoft CLient Security, para tener más información del producto

Las actualizaciones de FCS son dadas a través del serivicio de “Actualizaciones Automáticas” de Windows, pero para que funcione en una instalación standalone o sin servidor es necesario instalar el cliente de Microsoft Update, este puede ver todo los productos de Microsoft y actualizarlos a diferencia de Windows Update que solo ve a Windows y Office.

El desempeño de FCS toma ventaja por utilizar las API que ya tiene el Sistema Operativo para la búsqueda de archivos, a diferencia de otros que necesitan desarrollarlas ocasionando mas carga para la memoria y procesador.

Para la instalación de FCS en modo standalone, primero es necesario tener el instalador “CLIENTESETUP.EXE”, se puede conseguir en la capeta “Client” de la media de instalación para servidores y teniendo instalado el cliente de Microsoft Update, se puede descargar del sitio http://update.microsoft.com/microsoftupdate, luego el procedimiento es el siguiente:

  1. Ejecutar la línea de comandos, para esto diríjase a Inicio > ejecutar y escriba cmd luego presione aceptar
  2. Desde la línea de comandos, navegue hasta donde esté ubicado el instalador de Microsoft FCS, ejemplo: C:\>Cd Client
  3. Estando de la carpeta donde está ubicado el instalador de Microsoft FCS, escriba el comando ClientSetup.exe /NOMOM, con esto iniciara la instalación
  4. Listo

Si llegara a tener errores durante la instalación, FCS genera un archivo de texto contentivo de la solución, este se encuentra en la ruta %ProgramFiles%\Microsoft Forefront\Client Security\Client\Logs\ClientSetup.log

Sunday, June 17, 2007

Contraseña de administrador olvidada de un DC, cómo cambiarla?

Requisitos:
  • Tener instalado en el controlador de dominio el kit de recursos de Windows Server 2003
  • Si no se tiene la contraseña de la consola de recuperación de Directorio Activo, entonces se debe descargar un BootDisk de reinicio de contraseña, se puede descargar una gratis del link: http://home.eunet.no/~pnordahl/ntpasswd/

Procedimiento:

  1. Luego de haber establecido la contraseña de la consola de recuperación de Directorio Activo.
  2. Antes de iniciar Windows presione la tecle F8, en el menú seleccione Consola de Recuperación de Directorio Activo
  3. Al iniciar Windows, navegue hasta la carpeta de instalación del kit de recursos de Windows Server 2003, C:\Program Files\Windows Resource Kits\Tools
  4. Se necesita copiar estos tres archivos: Autoexnt.exe, Servmess.dll, and Instexnt.exe a la carpeta C:\Windows\system32, en el controlador de dominio.
  5. Luego de haber copiado los tres archivos, se debe crear un script de ejecución por lotes:

    notepad %systemroot%\system32\Autoexnt.bat
  6. En el archivo de texto escriba:

    net user Administrador contraseña /domain

    En contraseña colocar la nueva contraseña
    Al colocar la nueva contraseña, hay que tener presente si está habilitada la política de complejidad de contraseña.

    Ejemplo:
    Net user Administrador P@ssw0rd /DOMAIN
  7. Cierre y salve los cambios.
  8. Ahora se debe instalar el servicio AutoExNT, para hacer esto ejecute la consola de comandos y escriba instexnt install:

    C:\> instexnt install
    CreateService AutoExNT SUCCESS
    with InterActive Flag turned OFF.

    Por defecto el estado de inicio del servicio es Automático

  9. Ahora reinicie el Controlador de Dominio, el script de ejecución por lotes establecerá la contraseña de la cuenta de usuario al iniciar Windows.
  10. Al iniciar Windows, ejecute la consola de comandos y escriba instexnt remove, para remover el servicio instalado anteriormente y que ya no hará falta.

    C:\> instexnt remove
    DeleteService SUCCESS
  11. Ya con esto está listo el cambio de contraseña de la cuenta de usuario del dominio de Administrador
  12. Referencia: http://mcpmag.com/columns/article.asp?editorialsid=1369

Wednesday, June 06, 2007

Cambiar el Shell de Windows

Por defecto Windows, en cualquiera de sus versiones, carga el programa explorer.exe. Este programa posee una interfaz de usuario muy amigable para poder hacer nuestras tareas diarias, pero cuando queremos implementar estaciones de trabajo como kioscos o computadores para el acceso del público, puede ser necesario tener que cambiar el Shell de explorer.exe por uno que será útil para los usuarios, por ejemplo Internet Explorer.

El procedimiento para hacer este cambio es:

  1. Inicie el Editor de Registro, Menú Inicio > Ejecutar > regedit > Aceptar
  2. Estando dentro del Editor de Registro se debe cambiar los siguientes valores:

    1. Para el usuario que actualmente está con la sesión iniciada:

      Ruta: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

      Nombre de valor: Shell, en caso de no estar se debe crear un valor de tipo "String"

      Valor: la ruta del programa al cual queremos que inicie
    2. Para el equipo o para cualquier usuario que inicie sesión en la estación de trabajo:

      Ruta: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

      Nombre de valor: Shell

      Valor: la ruta del programa al cual queremos que inicie
  3. Cierre sesión e iníciela de nuevo.

En ambientes de dominio es posible hacerlo a trvaés de Políticas de grupo, la ruta es User Configuration\Administrative Templates\System\Custom User Interface, aqui solo la habilitas y especificas la ruta del archivo que hará de shell de Windows, por ejemplo Internet Explorer c:\Program Files\Internet Explorer\iexplore.exe -k.

Para hacerlo con cualquier otra aplicaicón hay que recordar tener a la mano como cerrar sesión o apagar el computador, una manera puede ser crear un script como shel de Windows que abra la aplicación y que al cerrarla cierre la sesión o apague el computador.

También es muy útil la herramienta Tweak UI de Windows que permite hacer cambios al SO muy interesantes que no están expuestos de forma natural a los usuarios, para poder descargarlo o tener mas información: http://www.microsoft.com/windowsxp/downloads/powertoys/xppowertoys.mspx

ISA Server 2004 SP3

El nuevo Service Pack de ISA Server 2004, no solo tendrá un compendio de HotFixes sino también encontraremos nuevas y excelentes herramientas para la resolución de problemas de performance o conectividad, entre ellas tenemos:

  • Visor mejorado de los log
  • Filtro mejorado de log
  • Mejorada administración de filtro de log
  • Registro de diagnósticos
  • Integración con ISA Best Practice Analyser

Para más información: http://www.isaserver.org/tutorials/Overview-ISA-2004-SP3.html

Visor mejorado de los log
Ahora tendrá un nuevo panel de lectura, el cual lo llaman "Log Viewer pane", donde se detallará por Log type, Status, Rule, Source, Destination, Protocol, User e información adicional: Number of bytes sent, Processing time, Original client IP address y Client Agent.


Filtro mejorado de log
Como habrás notado en la figura anterior los colores que tienen cada registro, para una mejor lectura de los log, se podrá colocarle color a cada tipo, por ejemplo:
  • Verdes
    Conexiones permitidas
  • Negro
    Conexiones cerradas
    Conexión iniciada
  • Rojos
    Conexión denegada
    Intento de conexión fallida
  • Naranja
    Tiempo acabado de cuarentena

El color por defecto está en la imagen siguiente:

Mejorada administración de filtro de log

Después de SP3, los filtros podrán ser guardados e importados desde la ventana de Edición de Filtro, en los dos nuevos botones que podemos observar en la imagen de abajo


También nuevas funciones de búsqueda o consulta como "Not One OF" y "One Of"

Registro de diagnósticos
La más impresionante característica implementada en el SP3 es la nueva herramienta de diagnostico, es posible tener información detallada de del tráfico en tiempo real pudiendo evaluar la aplicación de cada regla y de los componentes de la conexión.

Hay dos tipos de eventos donde se pueden tomar registros:
  • Políticas de Firewall, información acerca de las reglas de firewall, incluyendo el tráfico proxy web

  • Autenticación, información acerca de de autenticación en cada regla de firewall

Para más información: http://www.isaserver.org/tutorials/Using-ISA-2004-Firewalls-Diagnostic-Log-Viewer.html




Integración con ISA Best Practice Analyzer
ISA Server Best Practice Analyzer es una herramienta que puede ser descargada desde el sitio http://Microsoft.com/isaserver, ahora con SP3 está integrado en la consola en una nueva sección denominada "Troubleshooting".


Friday, June 01, 2007

Herramientas para WSUS

Aquí podrás encontrar herramientas muy útiles para la resolución de problemas de WSUS, por ejemplo al implementarlo en ambientes standalone o cuando los clientes o Agentes de Actualizaciones Automáticas esta en un servidores fuera del dominio o de la aplicación de Objetos de Políticas de Grupo.

El link es:
http://www.microsoft.com/technet/windowsserver/wsus/20/downloads/tools/default.mspx

Para la herramienta de Diagnostico de Cliente de WSUS:
http://download.microsoft.com/download/9/7/6/976d1084-d2fd-45a1-8c27-a467c768d8ef/WSUS%20Client%20Diagnostic%20Tool.EXE

Wednesday, May 16, 2007

Windows Server Longhorn ya tiene nombre

“Windows Server 2008” será el nombre del siguiente lanzamiento de Microsoft en Sistema Operativo para servidores. Recientemente tenía el nombre código “Longhorn” y siguiente la secuela de “Windows 200 Server” y “Windows Server 2003” decidieron darle por nombre “Windows Server 2008”, se espera que esta semana se de el anuncio oficial en el marco del WinHec, su lanzamiento se espera para finales de este año o principios del 2008.

Tuesday, May 01, 2007

Ya está liberado la versión final de WSUS 3


El 30 de Abril de este año fue liberado la versión final de WSUS 3.0 y a partir del 23 de Mayo será una actualización para el WSUS 2.0 a través de Windows Update o Microsoft Update Services, con nuevas características como:
Instalación Sencilla
Upgrade in sitio de WSUS 2.0.
Nuevo Asistente de para la instalación y configuración.
Experiencia Administrativa
Ahora es una consola MMC, puede ser instalada en equipos remotos como consolas administrativas.
Vistas personalizables y filtrado de resultados.
Vista de Reportes solo a los miembros del grupo Administradores.
Asistente de limpieza de contenido vencido y notificación por correo electrónico.
Múltiples reglas de auto-aprobación.
Mejorado concepto de Grupos de Destino incluyendo jerarquías para aprobaciones heredadas o bloqueadas.
Soporte para el despliegue de actualizaciones en oficinas remotas
Sincronización por hora vs por día.
Replica de origen de contenido independiente por Microsoft Update Services o UpStream Server.
Soporte para Sub-Configuración de lenguaje en DownStream Server.
Mejoras de desempeño
50% de mejora en la creación de reportes, la vista de reportes solo para los miembros del grupo de Administradores.
Soporte nativo para plataformas de 64Bits.
Soporte de NLB y Cluster de SQL.
Soporte de MOM Management Pack para alertas proactivas en el estado de salud de los servidores.
Más acceso de contenido y sincronización bajo demanda de los clientes
Fácil acceso a drivers y Hot Fixes.
Catálogos personalizables para las necesidades de descargas.
Soporte de cliente de rápido chequeo y descarga de aprobaciones de actualizaciones pendientes.

Para mas información: http://www.microsoft.com/technet/windowsserver/wsus/default.mspx