Edgard Hersen

Nuevo Blog para Microsoft Forefront CLient Security

2008-10-04T18:49:00.001-04:30

Se ha creado un nuevo blog para los seguidores, implementadores y/o administradores del antivirus Microsoft Forefront Client Security, aqui podrás suscribirte al Feed y seguir las últimas noticias o POSTs agregados, tener a la mano herramientas, procedimientos ayudas y demás que pueda ser útil.

http://FCSenEspanol.blogspot.com

Instalación de Microsoft Forefront Client Security en StandAlone

2007-12-16T12:36:00.000-04:30

Microsoft actualmente tiene una solución contra malware y virus muy efectivo, de fácil administración, actualización y desempeño, estas cualidades lo ha llevado a ser uno de los principales competidores del mercado teniendo poco tiempo.

En efectividad, otras soluciones solo se detectan virus, hoy en día y con el auge que ha tenido Internet proporcionando cada vez más velocidad y permitiendo transmitir mas flujo de datos, han desarrollado y cargado pequeñas aplicaciones que tienen como finalidad atacar al tráfico de la red, recopilar información de la navegación y comportamiento del usuario en Internet, ubicar información confidencial y otras amenazas que el atacante necesitaría para llevar a cabo una tarea específica, no encontradas en un virus.

Fácil administración, al entrar en la consola de Microsoft Forefront Client Security verán lo simple del diseño y manejo, en la sección Herramientas encontraremos:

Las opciones del comportamiento de FCS ante amenazas, la programación del escaneo del PC y las exclusiones
La comunidad de Microsoft encargada de recopilar toda la información que es enviada por los usuarios y centros de seguridad
Los ítems en cuarentena, las amenazas encontradas pero no se tiene una acción para eliminarlas o limpiarlas, estas son almacenadas en un archivo seguro y a pruebas de ataques
Explorador de Aplicaciones, muchos han trabajado con la herramienta msconfig o editado el registro para eliminar programas del arranque de Windows, muchas veces deteniendo aplicaciones necesarias para el desarrollo de una empresa por no saber de que se encarga, con esta opción de FCS podrá tener visión de las aplicaciones que ejecuta Windows al iniciar y así encontrar fácilmente malware “escondidos” que se ejecutan al iniciar, también podrá saber aquellos que estén usando tu conexión de red, lo actualmente ejecutándose y los que estén usando WinSOCK
Los ítem permitidos, para aquellos que trabajan von VNC o DameWare, FCS los detecta como troyanos y son eliminados, pero si son permitidos entraran en esta clasificación
El sitio web de Microsoft CLient Security, para tener más información del producto

Las actualizaciones de FCS son dadas a través del serivicio de “Actualizaciones Automáticas” de Windows, pero para que funcione en una instalación standalone o sin servidor es necesario instalar el cliente de Microsoft Update, este puede ver todo los productos de Microsoft y actualizarlos a diferencia de Windows Update que solo ve a Windows y Office.

El desempeño de FCS toma ventaja por utilizar las API que ya tiene el Sistema Operativo para la búsqueda de archivos, a diferencia de otros que necesitan desarrollarlas ocasionando mas carga para la memoria y procesador.

Para la instalación de FCS en modo standalone, primero es necesario tener el instalador “CLIENTESETUP.EXE”, se puede conseguir en la capeta “Client” de la media de instalación para servidores y teniendo instalado el cliente de Microsoft Update, se puede descargar del sitio http://update.microsoft.com/microsoftupdate, luego el procedimiento es el siguiente:

Ejecutar la línea de comandos, para esto diríjase a Inicio > ejecutar y escriba cmd luego presione aceptar
Desde la línea de comandos, navegue hasta donde esté ubicado el instalador de Microsoft FCS, ejemplo: C:\>Cd Client
Estando de la carpeta donde está ubicado el instalador de Microsoft FCS, escriba el comando ClientSetup.exe /NOMOM, con esto iniciara la instalación
Listo

Si llegara a tener errores durante la instalación, FCS genera un archivo de texto contentivo de la solución, este se encuentra en la ruta %ProgramFiles%\Microsoft Forefront\Client Security\Client\Logs\ClientSetup.log

Contraseña de administrador olvidada de un DC, cómo cambiarla?

2007-06-17T15:41:00.000-04:00

Requisitos:

Tener instalado en el controlador de dominio el kit de recursos de Windows Server 2003
Si no se tiene la contraseña de la consola de recuperación de Directorio Activo, entonces se debe descargar un BootDisk de reinicio de contraseña, se puede descargar una gratis del link: http://home.eunet.no/~pnordahl/ntpasswd/

Procedimiento:

Luego de haber establecido la contraseña de la consola de recuperación de Directorio Activo.
Antes de iniciar Windows presione la tecle F8, en el menú seleccione Consola de Recuperación de Directorio Activo
Al iniciar Windows, navegue hasta la carpeta de instalación del kit de recursos de Windows Server 2003, C:\Program Files\Windows Resource Kits\Tools
Se necesita copiar estos tres archivos: Autoexnt.exe, Servmess.dll, and Instexnt.exe a la carpeta C:\Windows\system32, en el controlador de dominio.
Luego de haber copiado los tres archivos, se debe crear un script de ejecución por lotes:

notepad %systemroot%\system32\Autoexnt.bat
En el archivo de texto escriba:

net user Administrador contraseña /domain

En contraseña colocar la nueva contraseña
Al colocar la nueva contraseña, hay que tener presente si está habilitada la política de complejidad de contraseña.

Ejemplo:
Net user Administrador P@ssw0rd /DOMAIN
Cierre y salve los cambios.
Ahora se debe instalar el servicio AutoExNT, para hacer esto ejecute la consola de comandos y escriba instexnt install:

C:\> instexnt install
CreateService AutoExNT SUCCESS
with InterActive Flag turned OFF.

Por defecto el estado de inicio del servicio es Automático

Ahora reinicie el Controlador de Dominio, el script de ejecución por lotes establecerá la contraseña de la cuenta de usuario al iniciar Windows.
Al iniciar Windows, ejecute la consola de comandos y escriba instexnt remove, para remover el servicio instalado anteriormente y que ya no hará falta.

C:\> instexnt remove
DeleteService SUCCESS
Ya con esto está listo el cambio de contraseña de la cuenta de usuario del dominio de Administrador

Referencia: http://mcpmag.com/columns/article.asp?editorialsid=1369

Cambiar el Shell de Windows

2007-06-06T14:58:00.001-04:00

Por defecto Windows, en cualquiera de sus versiones, carga el programa explorer.exe. Este programa posee una interfaz de usuario muy amigable para poder hacer nuestras tareas diarias, pero cuando queremos implementar estaciones de trabajo como kioscos o computadores para el acceso del público, puede ser necesario tener que cambiar el Shell de explorer.exe por uno que será útil para los usuarios, por ejemplo Internet Explorer.

El procedimiento para hacer este cambio es:

Inicie el Editor de Registro, Menú Inicio > Ejecutar > regedit > Aceptar
Estando dentro del Editor de Registro se debe cambiar los siguientes valores:
1. Para el usuario que actualmente está con la sesión iniciada:
  
  Ruta: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
  
  Nombre de valor: Shell, en caso de no estar se debe crear un valor de tipo "String"
  
  Valor: la ruta del programa al cual queremos que inicie
2. Para el equipo o para cualquier usuario que inicie sesión en la estación de trabajo:
  
  Ruta: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  
  Nombre de valor: Shell
  
  Valor: la ruta del programa al cual queremos que inicie
Cierre sesión e iníciela de nuevo.

En ambientes de dominio es posible hacerlo a trvaés de Políticas de grupo, la ruta es User Configuration\Administrative Templates\System\Custom User Interface, aqui solo la habilitas y especificas la ruta del archivo que hará de shell de Windows, por ejemplo Internet Explorer c:\Program Files\Internet Explorer\iexplore.exe -k.

Para hacerlo con cualquier otra aplicaicón hay que recordar tener a la mano como cerrar sesión o apagar el computador, una manera puede ser crear un script como shel de Windows que abra la aplicación y que al cerrarla cierre la sesión o apague el computador.

También es muy útil la herramienta Tweak UI de Windows que permite hacer cambios al SO muy interesantes que no están expuestos de forma natural a los usuarios, para poder descargarlo o tener mas información: http://www.microsoft.com/windowsxp/downloads/powertoys/xppowertoys.mspx

ISA Server 2004 SP3

2007-06-06T13:30:00.001-04:00

El nuevo Service Pack de ISA Server 2004, no solo tendrá un compendio de HotFixes sino también encontraremos nuevas y excelentes herramientas para la resolución de problemas de performance o conectividad, entre ellas tenemos:

Visor mejorado de los log
Filtro mejorado de log
Mejorada administración de filtro de log
Registro de diagnósticos
Integración con ISA Best Practice Analyser

Para más información: http://www.isaserver.org/tutorials/Overview-ISA-2004-SP3.html

Visor mejorado de los log
Ahora tendrá un nuevo panel de lectura, el cual lo llaman "Log Viewer pane", donde se detallará por Log type, Status, Rule, Source, Destination, Protocol, User e información adicional: Number of bytes sent, Processing time, Original client IP address y Client Agent.

Filtro mejorado de log
Como habrás notado en la figura anterior los colores que tienen cada registro, para una mejor lectura de los log, se podrá colocarle color a cada tipo, por ejemplo:

Verdes
Conexiones permitidas
Negro
Conexiones cerradas
Conexión iniciada
Rojos
Conexión denegada
Intento de conexión fallida
Naranja
Tiempo acabado de cuarentena

El color por defecto está en la imagen siguiente:

Mejorada administración de filtro de log

Después de SP3, los filtros podrán ser guardados e importados desde la ventana de Edición de Filtro, en los dos nuevos botones que podemos observar en la imagen de abajo

También nuevas funciones de búsqueda o consulta como "Not One OF" y "One Of"

Registro de diagnósticos
La más impresionante característica implementada en el SP3 es la nueva herramienta de diagnostico, es posible tener información detallada de del tráfico en tiempo real pudiendo evaluar la aplicación de cada regla y de los componentes de la conexión.

Hay dos tipos de eventos donde se pueden tomar registros:

Políticas de Firewall, información acerca de las reglas de firewall, incluyendo el tráfico proxy web

Autenticación, información acerca de de autenticación en cada regla de firewall

Para más información: http://www.isaserver.org/tutorials/Using-ISA-2004-Firewalls-Diagnostic-Log-Viewer.html

Integración con ISA Best Practice Analyzer
ISA Server Best Practice Analyzer es una herramienta que puede ser descargada desde el sitio http://Microsoft.com/isaserver, ahora con SP3 está integrado en la consola en una nueva sección denominada "Troubleshooting".

Herramientas para WSUS

2007-06-01T11:15:00.000-04:00

Aquí podrás encontrar herramientas muy útiles para la resolución de problemas de WSUS, por ejemplo al implementarlo en ambientes standalone o cuando los clientes o Agentes de Actualizaciones Automáticas esta en un servidores fuera del dominio o de la aplicación de Objetos de Políticas de Grupo.

El link es:
http://www.microsoft.com/technet/windowsserver/wsus/20/downloads/tools/default.mspx

Para la herramienta de Diagnostico de Cliente de WSUS:
http://download.microsoft.com/download/9/7/6/976d1084-d2fd-45a1-8c27-a467c768d8ef/WSUS%20Client%20Diagnostic%20Tool.EXE

Windows Server Longhorn ya tiene nombre

2007-05-16T12:18:00.000-04:00

“Windows Server 2008” será el nombre del siguiente lanzamiento de Microsoft en Sistema Operativo para servidores. Recientemente tenía el nombre código “Longhorn” y siguiente la secuela de “Windows 200 Server” y “Windows Server 2003” decidieron darle por nombre “Windows Server 2008”, se espera que esta semana se de el anuncio oficial en el marco del WinHec, su lanzamiento se espera para finales de este año o principios del 2008.

Para mas información: http://www.microsoft.com/windowsserver2008/default.mspx

Ya está liberado la versión final de WSUS 3

2007-05-01T13:04:00.000-04:00

El 30 de Abril de este año fue liberado la versión final de WSUS 3.0 y a partir del 23 de Mayo será una actualización para el WSUS 2.0 a través de Windows Update o Microsoft Update Services, con nuevas características como:

Instalación Sencilla
Upgrade in sitio de WSUS 2.0.
Nuevo Asistente de para la instalación y configuración.
Experiencia Administrativa
Ahora es una consola MMC, puede ser instalada en equipos remotos como consolas administrativas.
Vistas personalizables y filtrado de resultados.
Vista de Reportes solo a los miembros del grupo Administradores.
Asistente de limpieza de contenido vencido y notificación por correo electrónico.
Múltiples reglas de auto-aprobación.
Mejorado concepto de Grupos de Destino incluyendo jerarquías para aprobaciones heredadas o bloqueadas.
Soporte para el despliegue de actualizaciones en oficinas remotas
Sincronización por hora vs por día.
Replica de origen de contenido independiente por Microsoft Update Services o UpStream Server.
Soporte para Sub-Configuración de lenguaje en DownStream Server.
Mejoras de desempeño
50% de mejora en la creación de reportes, la vista de reportes solo para los miembros del grupo de Administradores.
Soporte nativo para plataformas de 64Bits.
Soporte de NLB y Cluster de SQL.
Soporte de MOM Management Pack para alertas proactivas en el estado de salud de los servidores.
Más acceso de contenido y sincronización bajo demanda de los clientes
Fácil acceso a drivers y Hot Fixes.
Catálogos personalizables para las necesidades de descargas.
Soporte de cliente de rápido chequeo y descarga de aprobaciones de actualizaciones pendientes.

Para mas información: http://www.microsoft.com/technet/windowsserver/wsus/default.mspx

Liberación de Windows Server Longhorn BETA 3

2007-04-30T14:13:00.000-04:00

Windows Server Longhorn, es la próxima evolución del Sistema Operativo para servidor de Microsoft, Windows Server, ahora más seguro, simple y con las nuevas tecnologías que Microsoft ha estado liberando en los últimos meses, como Windows Power Shell, .NET Framework 3, Microsoft Managemente Console 3, IIS 7 y otras nuevas como Read-Only Domain Controller (RODC) y otras que podremos encontrar al probar el producto.

Para descargar la versión BETA:
http://www.microsoft.com/windowsserver/longhorn/default.mspx

Lanzamiento de Microsoft Forefront Client Security

2007-04-29T17:09:00.000-04:00

Ya pocos de nosotros conoce la nueva Suite de Microsoft Forefront, dedicado a los productos de seguridad que Microsoft tiene y estará liberando en los próximos meses, entre estos está Microsoft Forefront Client Security, actualmente en BETA y descargable de manera gratuita y libre, es un producto que provee protección unificada para estaciones de trabajo, laptops y servidores con un simple control de administración, protegiendo contra amenazas emergentes como Spyware y Rootkits y amenazas tradicionales como virus, gusanos y troyanos.

El lanzamiento está pautado para el 2 de mayo en los EEUU.

Podemos descargar la versión BETA del sitio:

http://www.microsoft.com/technet/prodtechnol/beta/forefront/default.mspx

Página oficial de los productos de la Suite de Microsoft Forefront:
http://www.microsoft.com/forefront/default.mspx

Video de presentación de la Suite de Microsoft Forefront:
http://switch.atdmt.com/action/mrtpro_FY07ForefrontBrandQ31221WatchthePresenta_4

Microsoft Malware Protection Center Portal

2007-04-29T16:51:00.000-04:00

Microsoft a pincipios de Julio del año pasado, abrio "Microsoft Malware Protection Center Portal" un sitio dedicado con información de los últimos malware encontrados, descargas y enlaces a sitios relacionado con temas de seguridad y productos de la Suite de Microsoft Forefront. http://www.microsoft.com/security/portal/

Reconstruir las zonas MSDCS del DNS

2007-04-05T21:19:00.000-04:00

Reconstruir las zonas MSDCS del DNS

Cuando se crea el dominio de raíz DNS de un bosque de Active Directory nuevo en un controlador de dominio basado en Windows Server 2003, se crea dos zona DNS automáticamente. Se crea una zona para el dominio de raíz de bosque; esta zona se replica entre todos los controladores de aquel dominio. Se crea la otra zona para el subdominio NombreDeBosque _msdcs.; esta zona se almacena en la partición de todo bosque de directorio de aplicaciones DNS. Esta partición se replica en todos los controladores de dominio basado en Windows Server 2003 del bosque que ejecutan el servicio de Servidor DNS Windows Server 2003. Cuando estas zonas son eliminadas, se restauran de la siguiente manera:
1. Crear la zona primaria _msdcs.NombreDeDominio
2. detener los servicios "DNS Server" y "Net Logon"
3. Renombrar los archivos "netlogon.dns" y "netlogon.dnb", estan ubicados en c:\Windows\System32\Config
4. Inicia los servicios "DNS Server" y "Net Logon"
Ya con los 4 pasos anteriores se restaura los subdominios de la zona primaria _msdcs.NombreDeDominio.