Archivo del sitio

Ver los LOG del Firewall de Windows en tiempo REAL

FIREWALL de Windows el gran desconocido, viene a ser lo mismo que Avilés en Asturias 😉

Vamos a comprobar en tiempo REAL lo que esta maquinando nuestro FIREWALL de Windows y además vamos a usar una herramienta de LINUX muy muy MOLONA.Os aconsejo quedaros hasta el final del post y probarlo.

Si comprobasteis los eventos, os habréis dado cuenta que no vemos nada, para activar los LOG debemos hacer lo que nos muestra la imagen:


Podéis por ejemplo bloquear todos los accesos de salida para que no salga el internet explorer como hicimos en el post anterior e intentar navegar con la finalidad de crear un log. A posterior vamos a ver el log del descarte, por supuesto no es en tiempo real, simplemente abrimos el fichero:

.

Probarlo.

Podemos ver el log en tiempo REAL, pero necesitamos unas herramientas, geniales, de ellas utilizaremos el comando tail. Este comando esta en más paquetes de aplicaciones, como en las unxutils.

Descarga de aquí: http://www.cygwin.com/

Maravilloso es como tener un LINUX en nuestro windows .ohhhhhhhhhhhhhhhhh!!!.

Solo necesitamos el .exe, dejo una captura de la instalación, solo vamos a seleccionar los paquetes que necesitamos para el comando tail, lo pongo en la búsqueda (search) y ahora selecciono las utils.

Pinchando sobre la palabra Skip nos marca lo que queremos instalar, en este podemos instalar xtail, pero tail ya está en la instalación básica.


Cuando tengamos nuestra selección le damos a siguiente.


Su consola en C:\cygwin\bin\mintty.exe


Ahora para montar nuestro directorio de windows donde están los log del firewall actualizándose en tiempo real hacemos:


Una pasada ehhhh !!!!

Como veis usamos para ver los logs la línea tail -f /cygdrive/loquesea , yo no lo hacía así, movía el fichero del log del firewall dentro del directorio de instalación del cygwin, no podía salir del directorio desde el Shell o la consola que veis más arriba.

Gracias al blog de FLU –PROYECT y a sus integrantes que nos deleitan con grandes post pude averiguar como se podía hacer sin cambiar la ubicación del fichero, llegue a su blog por casualidad.

Así que agradecimientos a http://www.flu-project.com/ en este caso no sé el nombre del autor del post. Podéis hacerles alguna visita, tienen cosas muy que muy interesantes.

El último drop de la captura anterior es un intento de actualización del flash, tenemos permitida la navegación por el puerto 80 al iexplorer en una regla del firewall, pero no a otras aplicaciones a traves de ese puerto, de ahí la importancia de bloquear por programa y no por puerto, evitando malware que quiera aprovecharse del puerto 80 que siempre tenemos abierto en nuestros equipos.

Si sale un Reject significa que deniega el paso de ese paquete, manda un ICMP como destino inalcanzable mientras que Drop deniega el paso del paquete y no manda respuesta de la denegación, es lo mejor para no dar pistas.

Con tail pues como en Linux, vemos el número de secuencia, el puerto, el tipo de paquete, el tamaño de la ventana, protocolo, los flags TCP, las últimas líneas son para el tipo de icmp, etc.


COÑO !! tengo habilitado IPv6 además fe80 mmmmmmmmmmm que agujero de seguridaddddd !!, lo que da uno cuenta.

Para el que le gustará esta pequeña maravilla de aplicación, perdón de conjunto de herramientas Linux, que se puede usar en windows, tiene más información sobre Cygwin en:

http://www.vicente-navarro.com/blog/2007/07/06/instalar-un-cygwin-portable-en-una-memoria-usb/

http://www.juanluperez.com/index.php/2011/02/instalacion-y-configuracion-de-cygwinx-1-7-7-portable-en-volumen-cifrado-truecrypt/

Probar el comando dd 😉

Por finalizar el post:

“”Windows 7 and Windows Server 2008 R2 introduce the new netsh wfp context that enables you to capture diagnostic trace sessions”” Lo dejamos ahí por si alguien lo necesita y quiere investigar la línea, pero normalmente se usa por si tienes problemas como por ejemplo al implementar ipsec con aplicaciones propias a la hora de pasar por el antivirus, aunque es usado más para desarrollo e investigación, en resumen para que Microsoft te aporte la solución.

Ya sabemos un poco más del firewall de Windows.


Anuncios

Habilitar Firewall por GPO

Vamos aplicar una regla de firewall en todas las estaciones de trabajo de la empresa.

La GPO la aplicamos a la OU en la que estén los equipos cliente de la empresa. Lo suyo es tener una OU por lo menos, la mía se llama equiposcliente

Hay 2 posibilidades:

A-Generar la regla directamente en la política de grupo.

B-Generar la regla de firewall en un equipo cliente y exportarla en .wfw a la política de grupo que vamos aplicar en el controlador de dominio, además este método me permite en el cliente comprobar que las reglas funcionan antes de distribuir la GPO.

Vamos hacer el método B), para mi es el único factible ya que para hacerlo por el método A, debería instalar el Skype en un Servidor y no me apetece mucho tener el Skype en el servidor.

La regla la vamos hacer de entrada y de salida para el fichero ejecutable de la aplicación, es decir sobre el .exe

No hacemos las reglas por puerto ya que siempre se pueden cambiar, de esta manera la regla es mucho más restrictiva.

Cuando activemos la regla de salida “OUT” habremos cortado el resto de tráfico en esa dirección, viene implícito permitir en nuestro caso la salida del Skype pero cortar todo lo demás por que deberemos activar nuevas reglas para el resto de programas, como el emule J pobre emule … ande andaras …

Primero instalar el Skype J.

Botón derecho sobre regla de entrada y nueva regla.

Vamos hacer las reglas de entrada y salida, solo os dejo la captura de una:


Ahora necesitamos introducir la ruta de instalación de ahí usar en mi caso una máquina virtual de W7 para las pruebas:

%programfiles%\Skype\Phone\Skype.exe”




Si hay portátiles a ellos les podemos hacer una especial que les permita conectarse en casa, por ejemplo privado, aunque lo suyo sería que como mínimo se conectaran en dominio desde casa por VPN.

Ya están creadas las dos, echamos un poco de imaginación. Ahora exportamos la directiva entera.

Botón derecho sobre Firewall de …, lo que está marcado en la imagen y exportar directiva.


Una vez exportada nos la llevamos al servidor a la GPO que citábamos al principio.



Mensaje que nos dice que vamos bien, me recuerda al mensaje, póngase en contacto con su administrador y te preguntas pero si soy cojones !!!! En este caso vamos a depositar la confianza de siempre en Microsoft y vamos comprobar que las reglas están, así que este mensajito sobraba.



Siii, están, bueno pues acabamos, el resto ya lo sabéis. Lo único que tengáis cuidado ya que no importasteis unas reglas sino que importasteis todas las reglas del cliente, tener eso en cuenta para jugar con otras GPOs del dominio, pero ya sabéis que las grises no están habilitadas.

Auditar y mirar siempre las auditorias del firewall usando los filtros, son fáciles de usar, echarles un buen vistazo.


Si seguimos bajando en el árbol:


-Ahora hacer vosotros el método A, sobre una aplicación que elijáis.

Imaginemos ahora que tenemos una usuaria que nos cae bien, una compañera de trabajo J y tenemos la nave nodriza inutilizada, solo nos queda tirar todas nuestras naves contra sus acantilados y que se vayan ahí destruyendo entre todos sus tácticas de contra-ataque, pero seguimos intentándolo, así que vamos a su equipo en local e instalamos el Utorrent, que pueda disfrutar un poco de lo que es trabajar en una empresa.

Introducimos nuestras vacilonas credenciales de administradores y:


MERDAAAA…, ya casi no me quedan naves de combate, más concentración …


Conseguidooo, yeeeeeeaaaaaaaaaaahhhhhhhhhhh !!!!!


Los otros utorrent que se ven son de experimentos 😉


Nos viene bien la línea de comandos sobre todo en un windows server core.

Otro ejemplo sería: Agregar una regla de entrada que requiera seguridad y cifrado para el
tráfico TCP del puerto 80:
netsh advfirewall firewall add rule name=”Requerir cifrado para el tráfico TCP/80 entrante”
protocol=TCP dir=in localport=80 security=authdynenc action=allow

Si todavía no tenemos todo el tráfico bloqueado lo podemos hacer en las propiedades con botón derecho en Firewall de Windows con seguridad avanzado.

Conexiones salientes bloquear:


Solo se permiten los que aparecen en las reglas.


Ahora os toca a vosotros habilitar la navegación, ya sabéis.

Podemos pinchar en Configuración en el botón de personalizar como ves dos imágenes más arriba.

Nos aparece esta ventana y cambiamos Mostrar una notificación a Sí.

Según el mensaje de Microsoft nos va avisar cada vez que bloquea una recepción, pero no es así, es un mensaje mal escrito, únicamente nos avisa si alguien o algo se intenta conectar contra nosotros.


No olvidéis activar la salida para el antivirus.

Otro día más sobre Firewall de Windows.

Cambiar la imagen del fondo de pantalla de login en Windows 7 desde una GPO

Creamos la política de grupo nos apoyaremos de las preferencias que Windows 2008 R2 nos proporciona para configurar los equipos, recordaros que en 2008 no las había no la podíais haberla hecho de esa manera, hubierais tenido que usar un Script.

Y ya qué estamos con preferencias recordar que las directivas de seguridad se aplican a las máquinas pero las privilegios sobre los usuarios o grupos.

Comenzamos creado la ubicación en la que pondremos la imagen.

En la sección de preferencias, en la sección de “FOLDERS” si lo tenéis en español carpetas, guiaros por el dibujo del Icono.

Imagen 3

La ubicación de la imagen debe ser: %WindowsDir%\System32\oobe\info\backgrounds si no existe la creáis.

La imagen no puede tener más de 256kbs.

2.  Ahora copiamos el archivo de la ubicación de origen a la carpeta destino.  Es importante hacer mención que debes de poner el nombre del archivo destino como “BackgroundDefault.jpg” y que los permisos en la carpeta origen debe de tener por lo menos al grupo “equipos del dominio” para que pueda leer y copiar el archivo. Para ellos usamos el icono que está justo encima de carpetas

La dirección de archivos de origen, debería decir algo estilo \\dc\walpaper\BackgroundDefault.jpg y no c:\

Comprobar que llegáis hasta el recurso compartido desde ejecutar.

3.  Ahora nos vamos a la sección de “POLITICAS” y vamos a: Administrative templates / System / Logon / Always use custom logon background y lo habilitamos.

Listo, ahora aplicamos la política a una OU o al dominio y esperamos que las políticas se actualicen por sí mismas o damos un gpupdate /force para probarla en un equipo.

Si no os acaba de funcionar e hicisteis todo lo anterior debeis comprobar si se están aplicando las políticas:

Si se genera un error no tenéis comunicación con el servidor.

Si todo va bien:

Omitir la comprobación de recorrido ¿ agujero de seguridad ?

Hoy vamos hacernos una práctica:

La práctica consiste en dejar permisos por ahí perdidos en ficheros o carpetas de niveles inferiores que no tienen los superiores, es decir los directorios padres. Por ejemplo por haber jugado con las herencias en las carpetas.

-Desde un usuario administrador creamos en el raíz del volumen una carpeta llamada datos y le damos permisos a un usuario (podría ser a un grupo entero) lola de lectura y escritura.

Lola es un usuario estándar o autenticado en el dominio.

Tener cuidado con la herencia al crear la carpeta del volumen donde lo hagáis, ya que por defecto lo más seguro es que tengáis al grupo “Todos” dentro de la pestaña de seguridad, por lo que es lo primero a eliminar, pretendemos que solo lola herede al resto de carpetas que crearemos dentro. Echándole imaginación sería lo mismo que si pretendemos poder que todos los usuarios puedan entrar a ver datos, pero solo los administradores en admin, que lo crearemos a continuación.


-Dentro de datos creamos dos carpetas llamadas secretos y ficherosCSV_Ficheros.

-Dentro de secretos creamos una carpeta llamada admin.

-Dentro de admin creamos un fichero que se llame claves.txt, lo editamos y escribimos mi clave. (aquí va tener acceso lola ya que fue heredando desde datos)

-Después a la carpeta secretos le quitamos los permisos de lectura y escritura a lola pero quitando la herencia, sino no va dejar además necesitamos que secretos siga albergando a lola. A esto se puede llegar de distintas maneras, pero así es una forma rápida para llegar a entender lo que queremos demostrar.

-Si nos logamos como lola debería impedir entrar en admin, por lo tanto no podemos bajar más en el nivel de carpetas.



Sin embargo si entramos escribiendo la ruta completa del fichero porque la sepa el usuario, por ejemplo desde línea de comandos y usando el comando notepad.exe, vamos a poder abrir claves.txt

-Ojo con los usuarios heredados del volumen al hacer la carpeta padre.


Y se nos abrirá el fichero aun no teniendo permisos en una carpeta padre.

Se puede evitar con la GPO Omitir la comprobación de recorrido -> si activamos esta GPO si no tenemos permisos sobre una carpeta padre no podemos acceder al fichero, esto por supuesto afecta al grupo “Todos” y puede ser un problema por ejemplo en casos de aplicaciones de empresa o servidores Web, en donde tienes que tener acceso a la carpeta que te muestra la web pero no a las superiores. Ejemplo: \inetpu\recursos\miweb\index.hmtl

La gpo está un poco escondida:


Saludos …

Preparar un inicio personalizado como aviso empresarial de LOPD

Importante sin el Service Pack instalado no funciona. Son de esas cosas de Microsoft que te alegras de saber de otros sistemas operativos (gratuitos).

Son dos GPO a tocar en el servidor de dominio:



Y estaría. Ya sabéis aplicarla al dominio como os enseñaron.



Evitar malware o inyecciones de código – DEP

(Durante el post, podéis pinchar en las imagenes para verlas con mejor claridad)

Con la llegada de los nuevos sistemas operativos desconocemos las nuevas facetas de las que disponemos, es decir no tenemos ni pajolea idea de manejar las nuevas herramientas en los relativamente ya nuevos Sistemas Operativos, no nos molestamos en aprender a usar una herramienta de trabajo y diversión como es nuestro windows 7, total para que ??? si puedo tener un antivirus por la cara, me lo pirateo de las típicas web y sino pues el Avast que es gratuito o el Microsoft Security Essentials no? (el colmo ya son las empresas que tienen el Avast gratuito como versión Home y no pagan la licencia enterprise, so ratas !!!!!), pues bien de poco os sirven hoy en día contra los Malware, estoy reventado de que me llamen los amigos para que les solucione el virus de la policia u otros similares, hay que escapar de los tópicos de los antivirus, nosotros y nuestras técnicas son la mejor protección.

En nuestros PC usados para la empresa no usamos antivirus, sabemos usar nuestro sistema operativo, conocemos los servicios que están en ejecución y no instalamos cualquier aplicación de terceros y lo que es más importante podemos recuperanos de un fallo en menos de lo que canta un pollo, ocurra lo que ocurra, bueno lo retiro, pero en la mayoría de los casos.

En casa todo es muy fácil pero en las empresas en servidores en producción la cosa cambia, explicale al director que hay que parar una producción o al informático que ha metido la gamba e igual es tu jefe o la persona que te ha contratado … hay que hacer lo imposible con tal de no formatear y reinstalar, tonto el primero en formatear, incluso en casa …

Que hace DEP?, bueno pues evitar ese desbordamiento de memoría que tanto nos suena a ataque hacker, (odio la palabra hacker, pobrecitos que cruz les dejaron si eran programadores) o mejor dicho evitar que nos inyecten instrucciones cuando la CPU esta ejecutando un proceso, dicho proceso debe procesar por ciclo de reloj los datos asociados a ese proceso y a veces esos datos se convierten en instrucciones por culpa de algun malware que anteriormente se ha instalado en nuestro Windows 7,  haciendo que ahora nuestro procesador ejecute esas instrucciones que nos van a llevar a otros datos que no son los que nos tocaba procesar por ese proceso y ya estamos infectados.

En la memoría de paginación se guarda todo lo que nuestro preceso necesita, como deberiais saber para que un proceso pueda funcionar debe hacerlo en memoría de paginación (para eso está) , ahí están los datos, la pila, las instrucciones que necesita y un indice que va colocado en al principio de la pila.

Para que se usa este indice?, en realidad el proceso no esta en la paginación la paginación se translada a la memoría ram real, y lo que hace es trocear todo lo que necesita el proceso para trabajar, colocando su datos, pila e instrucciones en distintos sitios de la memoria real. El exploit generado por el malware se aprovecha de esto para apoderarse de ese indice y así decirle al proceso que vaya a otra direccion de memoria donde ya no esta el código de este proceso y donde estaran nuestra instrucciones metidas en la variable datos, pues bien DEP IMPIDE QUE LEA ESTAS INSTRUCCIONES y que solo lea datos de la variable datos y no instrucciones que introduce el malware en dicha variable, en pocas palabras el procesador ya no es tonto o mejor dicho distingue datos de instrucciones.

Como se hace esta cabronada por parte del malware?, pues inyectando código hexadecimal a fuego 🙂 aprovechando excepciones de aplicaciones que … y bla bla bla, bueno ya valio de teoría, esta resuelto para que vale DEP, al lio.

Vamos a usar DEP, como medida preventiva y repito solo preventiva tenemos una nueva opción y digo nueva solo desde el punto de vista que viene incluida en windows 7 por defecto que es Data Execution Prevention (DEP), esta medida recibe diferentes nombres dependiendo del fabricante que la implemente. En servidores se puede activar por Bios, que se hace indispensable.

Suele venir en las nuevas placas base que vienen con EFI en vez de Bios (el que no sepa lo que es EFI ahh se siente a mirar Wikipedia y donar aunque sea un dolar.)

DEP lo podemos activar desde Windows 7 y se llamaría hardware DEP, ya que nuestro procesador lo permite si es compatible.

En la imagen al seleccionar DEP podemos ver como nos dice que es compatible, si no lo es también hay DEP por software pero ese no tengo ganas de explicar lo que hace, además no me gusta, por software tengo la teoría de que influye en el rendimiento pero no puedo asegurarlo, ya tendría que explicarlo un Guru de estos temas.

Si os fijáis en la imagen de más abajo, selecciono la opción segunda para añadir una excepción y no habilitar DEP en la aplicación Alcohol 120%, descarto aplicaciones de grabación de DVD porque estamos en crisis, no quiero tener que tirar ningun DVD por un fallo de grabación, que por suerte ya no tengo que pagar la ESTAFA del CANON de la sociedad de autores por copiarme un DVD con mis propias aplicaciones o fotos, pero tambien es cierto que ya lo pague cuando compre la grabadora de DVD el año pasado.

Buff, bueno volvamos a lo que estabamos que se nos va en la IRA, la imagen (pinchar en ella para verla mejor) ahí activamos el DEP:

pcompatible

Donde tenemos esta opción que vemos en la imagen anterior?, pues en rendimiento en el botón de configuración:

rendimientoY después?, pues ya esta funcionando y  para comprobarlo vamos a inserta esa colunma en nuestro administrador de tareas para ver que aplicaciones lo tienen habilitado y cuales no, ya que las propias aplicaciones algunas pudieran ser incompatibles y si nos dan algún problema podemos sacarlas del DEP poniendolas como el alcohol en la excepción.

monitor

Como vemos en la siguiente imagen la aplicacion de copiado de DVD el Alcohol 120%, nos marca como deshabilitada, lo vemos en la marcada en azul donde dice Prevención de ejecución de datos (español) 🙂

alcohol

También podemos analizar nuestras aplicaciones para ver si tienen soporte para DEP, para ello deben de haber sido compiladas con una opción determinada usando así las librerías necesarias, ahora mismo no recuerdo cuales son, pero las podemos buscar si tenemos curiosidad con San Google.

Yo por ejemplo voy analizar una aplicación que uso mucho, el battlefiel 3 🙂

ntcore

He usado la aplicación que descargue de http://www.ntcore.com y lo que hago es darle abrir y seleccionar el .exe que contiene los binarios, es decir me he ido a la carpeta donde tengo instalado el juego y he seleccionado el fichero ejecutable el battlefield.exe

La aplicación me hace un analisis muy completo, pero lo que me interesa esta vez es irme a donde dice en el explorador de la izquierda: optional header. Una vez pinchada esta opción, en la lista que me muestra en el panel de la derecha busco DllCharacteristics y una vez encontrada me fijo en el tercer campo de esa fila, que dice:8000 creo que se refiere al valor del registro 0x8100.

A su derecha nos dice Click here, pues hacemos eso pinchamos ahí y nos sale un nuevo panel con las características.

En mi caso como ven salen dos marcados, uno de ellos es: “Image is NX compatible”, bien pues eso significa non execute es decir que es compatible con DEP. Nx es un bit que se usa para marcar como no executable en el procesador, es lo mismo que XN,XD,ND, marketing … nada el que quiera saber más sobre NX que mire este enlace:

http://en.wikipedia.org/wiki/NX_bit

Por lo tanto battlefield 3 es compatible con DEP, tengo protección.

También podemos usar otras aplicaciones, en el caso de PeStudio nos lo ponen más visual, va imagen:

pestudioPara ver las DllCharacteristics en este caso hay que marcar la casilla que veis abajo en la imagen, como veis esta marcado con una estrella el DEP support.

Como anotación curiosa de las dos aplicaciones podemos ver que en este caso tiene marcado el SEH usage, y en CFF Explorer de NT core, es decir la imagen anterior no lo tiene marcado.  Si nos fijamos si estuviera marcada sería que no usa SEH, es decir dice justo lo contrario, por eso no esta marcada así que las dos aplicaciones nos muestran lo mismo pero visto desde otro punto de vista.

Y ahora si en vez de ir a la pestaña superior de Optional Header vamos a la pestaña Idicators, nos cercioramos al ver la opción que esta marcada en azul.

pestudio2

Deciros por último que algunos juegos pueden generar algún error por culpa de DEP, caso de ello fueron los SIM2 en la época del VISTA, pero que en ningún momento hemos experimentado lentitud en el juego por estar activada esta funcionalidad y hemos visto fallo en otras aplicaciones.

Recordar, DEP solo es una medida más contra los malwares ya que cada vez hay códigos más trabajados y que son verdaderas obras de arte, ahí es donde reside el dinero.

Otro día os comento algo que nos empieza a preocupar a la comunidad, la cantidad de peticiones html que recibimos por http siempre que publicamos algo sin dns, son ip 85 que curiosamente es la ip de CHINA …

Saludos a todos y que os traigan mucho los reyes magos y a los que estáis fuera de España y nos leeis, también 🙂

Hola de nuevo, he vuelto a editar el tema debido a varias preguntas recibidas a nuestro correo que figura en la parte superior del Blog. ¿Que es un PE?, supongo que la mayoría quiso preguntar que es un fichero PE.

Si os fijais en los programas usados en este artículo tienen nombre como PE estudio.

Para saber a fondo lo que es un fichero PE podeis leer el documento en español (para mi el mejor explicado) que hay colgado en este enlace https://www.box.com/shared/4156t5rfv8tr5v4bgo19 el autor es @The_Swash y ha juntado sus conocimientos mas el de sus colaboradores nombrados al final del mismo.

Nueva característica Data Deduplication en windows server 2012

Enlace a la explicación de technet de esta nueva característica que podeís copiar a vuestro Windows7:
http://blogs.technet.com/b/filecab/archive/2012/05/21/introduction-to-data-deduplication-in-windows-server-2012.aspx

Aplicación creada para ahorrar espacio y gastar menos dinero en Gigas o Teras.

Se puede decir que esta aplicación ahora mismo disponible desde poweshell, es muy valida para aquellas empresas que tenga gran cantidad de datos en Teras y quieran retrasar la compra de nuevas unidades de almacenamiento, ya que aprovecha partes compartidas de ficheros, como por ejemplo los metadatos. Imaginemos un Word, el word probablemente comparta varias partes iguales a los otros word, simplemente por eso, por ser un word, aunque el contenido del texto sea distinto, pues bien, esto es lo Deduplication hace, si tenemos varias partes iguales en ambos ficheros, A,B y C,(en ambos ficheros) pues solo necesita una A una B y una C no la de ambos y luego almacena las partes distintas de cada unos de ellos la parte D de uno y la parte D del otro, con lo que ahorramos espacio.
Simplemente imaginaros un directorio de Windows con las imagenes del sistema operativo en varios idiomas, que absurdo es guardar todas las partes si tenemos una aplicación que elimina los datos redundantes porque sabe cuales son. Así funciona de modo generico Deduplication, pero podemos usarlo con nuetros PC particular de casa, aunque el motivo del post en realidad es dedicado a los administradores de Red que sufrimos constantemente las tonterias de nuestros jefes, ya que siempre hay algún jefe por algún lado, independientemente del sitio donde nos ubiquemos.

Deduplication se pueden gestionar desde el administrador del servidor o desde PowerShell
No es una herramienta gratuita “ddpeval.exe” viene con Windows 2012 para evaluar la cantidad de espacio que se ahorraría si hacemos posible la deduplicacion. Podemos copiarlo a otro equipo (2008 o de la familia W7) y ejecutarlo.

Nosotros usamos 2012 Release Candidate Built 8400
Sólo es compatible con sistema de archivos NTFS (De momento)
Para mis pruebas he copiado 2 archivos install.wim de 2,9 GB cada uno a la unidad F

Habilitar deduplication haciendo clic derecho en el volumen y la selección configuracion de deduplicación o “enable-dedupvolume f:”
A continuación, fije un horario cuando se desea ejecutar el proceso deduplication
Si quieres empezar a ejecutar inmediatamente run “start-dedupjob f: -type optimization”

Después de terminar el trabajo aquí está la captura de pantalla y del administrador del servidor que muestra la cantidad de espacio que ahorramos. Podemos usar “get-dedupstatus”
Buufffffffffffffff!!! ahorramos el 49%, es impresionante 😉

Entender permisos NTFS de Windows – 5

Cambiar la propiedad de los archivos y carpetas

Cuando un usuario crea un archivo o una carpeta de Windows 2003 o 2008 asigna automáticamente permisos de control total para el creador / propietario. Esto permite al usuario asignar permisos a otros usuarios de los archivos que él o ella crea. Esto significa que además de las ACL, archivos y carpetas deben incluir información acerca de quién es el propietario del archivo. Por defecto, es la cuenta que crea el archivo o la carpeta o el grupo Administradores.
Por diversas razones puede ser que necesitamos cambiar la propiedad de un archivo o carpeta. Por ejemplo, si un usuario deja la empresa, la propiedad de los archivos de sus carpetas pueden necesitar ser transferidos a otros usuarios.

Podemos tomar posesión de un archivo mediante la sustitución del propietario con nuestra propia cuenta o con una del grupo del que somos miembro.

Debemos tener control total o permisos especiales de tomar posesión para poder tomar posesión de un archivo o carpeta.(valga la redundancia)

Los usuarios que tiene el privilegio restaurar archivos y directorios pueden asignar la propiedad a cualquier usuario o grupo.

Si nos fijamos en la ventana veremos que es del 2003 en vez del 2008 pero es lo mismo, no tenia ganas de hacer una captura y arrancar una VMachine 🙂 y la saque de las imagenes de google que para algo están lol

Mover y copiar ficheros protegidos

Cuando se copia un fichero o archivo protegido a una carpeta en un volumen diferente o en el mismo, hereda los permisos de la carpeta de destino. Al mover un archivo protegido a otro volumen NTFS, el archivo hereda los permisos de la carpeta de destino. Un movimiento entre los volúmenes se considera realmente una copia, el archivo de origen se elimina después de que se copia en el volumen de destino.

Sin embargo, al mover un archivo protegido a una ubicación diferente en el mismo volumen, el archivo conserva su permiso. Cuando los datos se mueven dentro del mismo volumen, los datos no se trasladan, simplemente se cambia el puntero y por eso se conservan las ACL.

 

COMPARTIR CARPETAS:

Una carpeta compartida es una carpeta o volumen entero que se publica en la red y se puede acceder de forma remota por otros usuarios. La carpeta compartida se puede utilizar como si se tratara de una carpeta local, para almacenar datos, e incluso para ejecutar aplicaciones desde la red. Los miembros del grupo built-in group Administrators, Server Operators and Power Users (usuarios avanzados) pueden compartir carpetas. Por lo menos se necesitan permisos (OJO!!!) NTFS de lectura para poder acceder a una carpeta local, independientemente de los permisos del recurso compartido que le demos.

Los métodos más comunes para la creación de carpetas compartidas no lo describo en este artículo ya que damos por sentado que no es motivo del artículo, ya debéis saber que se puede hacer por interface gráfico de dos maneras y por línea de comandos.

Podéis ver e investigar algunos de los recursos compartidos ocultos que hay por defecto en vuestro equipo, usando la consola de administración de equipos y ahí en carpetas compartidas.

Finalizamos ya con esto los permisos de seguridad de NTFS.

Os dejamos unos enlaces a technet para algunas dudas que os puedan aparecer al trabajar con seguridad, o que sucede  Cuando la casilla de verificación Aplicar estos permisos a objetos y/o contenedores sólo dentro de este contenedor está desactivada o Cuando la casilla de verificación Aplicar estos permisos a objetos y/o contenedores sólo dentro de este contenedor está activada

http://technet.microsoft.com/es-es/library/cc776140%28v=ws.10%29.aspx

http://technet.microsoft.com/es-es/library/cc771309.aspx

Entender permisos NTFS de Windows – 4

Permitir contra Denegar permisos

Al establecer los permisos, es necesario especificar si la entrada debe tener acceso (Permitir) o no (deny) al recurso. La autoridad de seguridad local (LSASS) controla el acceso al recurso, basado en el identificador de seguridad (SID) que se coloca en la ACL y el SID colocado en el token de seguridad que se le da al usuario al iniciar sesión.

Si el SID asociado con el usuario se encuentra en la ACL, el LSASS debe determinar si el acceso está configurado para permitir o denegar. El permitir y denegar permisos posteriormente se heredan a través de la estructura como se describe anteriormente en la sección sobre la herencia.

Recibirás las advertencias desde el editor de ACL cuando creas entradas denegadas, como se muestra en la Figura4:

Figura 4: Denegar las entradas de la ACL hacen que el sistema nos muestre una advertencia sobre el acceso limitado que estamos proporcionando.

No es común configurar recursos con permisos Denegados, debido a la naturaleza de cómo se evalúan los permisos. Es más común de excluir al usuario o grupo de la ACL en lugar de configurar que tengan permisos Denegados explícitos. El hecho de que el SID del usuario o el grupo no esté en la ACL tendrá el mismo resultado de “Sin acceso” al recurso.

En el raro caso de que a un usuario o grupo se le deba denegar el acceso de forma explícita, nosotros deberemos configurar los permisos de denegación. Denegar acceso a los recursos mediante una ACL, por omisión es más fácil de solucionar, gestionar y configurar.

Permiso de precedencia

Oigo todo el tiempo de los administradores de red, profesores o estudiantes (incluso el cuadro de diálogo en la Figura 4) que denegar los permisos tienen prioridad sobre los permisos, yo mismo lo digo por regla general, pero desafortunadamente no es siempre así.

Para probar lo que digo, echemos un vistazo a un escenario que podéis realizar a la ver que lees estas líneas.

En nuestro escenario, vamos a ver una carpeta C:\Datos\HR, que contiene los archivos públicos y privados. Hemos permitido que el directorio C:\Datos\HR herede los permisos de C:\Datos, que incluye sólo permisos básicos de la carpeta raíz. También hemos incluido el grupo de HR en la ACL, dándole al grupo permisos Permitir Leer y ejecutar. La última entrada en la ACL explícita es para el grupo no_HR, que se da Denegar Control total.

Por debajo de la carpeta de recursos humanos colocamos dos archivos: Public.doc y Private.doc. El permiso de la carpeta pública sólo permite permisos normales de herencia, así que no hay permisos especiales añadidos a la ACL. Sin embargo, el archivo privado tiene algunos permisos explícitos agregados a la ACL. Desde el grupo executives debe ser capaces de leer el contenido de la carpeta privada, este grupo se le añaden permisos explícitos de permitir lectura y ejecución. El resultado de esta configuración se muestra en la Figura 5, muestra claramente que permitir (allow) para el grupo ejecutivo tiene una prioridad más alta que el permiso Denegar asociado con el grupo de non-HR. Dado que todos los ejecutivos se incluye en ambos grupos, se puede ver que aquí un caso en el que los permisos de ALLOW tienen prioridad sobre los permisos de DENY. Os recuerdo que estas ACL como en cisco se hacen de arriba abajo.

Figura 5: Los permisos Permitir pueden tener prioridad sobre los permisos de denegación.

El escenario demuestra que hay una jerarquía de permisos NTFS para los recursos 5.0. La jerarquía de precedencia de los permisos se pueden resumir de la siguiente manera, con los permisos de nivel superior de prioridad que figuran en la parte superior de la lista:

Denegar explícitos
Permitir explícitos
Denegar heredados
Permitir heredados

 

Effective Permissions, permisos efectivos

En la ficha Permisos efectivos de la configuración de seguridad avanzada para un archivo o carpeta, puede seleccionar un usuario o grupo y ver los permisos efectivos. Estos son los resultados de los permisos asignados directamente al archivo o carpeta y los permisos heredados de las carpetas principales.

Como habíamos comentado en post anteriores los permisos van sumándose.

Entender permisos NTFS de Windows – 3

Permisos avanzados (ver antes los anteriores post)
Permisos avanzados, son los mismos permisos pero más detallados y vienen agrupados o seguidos para crear un permiso estándar de los que vimos en la pantalla anterior figura 1.

Dado que los permisos avanzados se utilizan en combinación para crear los permisos por defecto, hay más cantidad. Esta sería la lista para un archivo:
Control total
Recorrer carpeta / Ejecutar archivo
Listar carpeta / Leer datos
Leer atributos
Leer atributos extendidos
Crear archivos / Escribir datos
Crear carpetas / Anexar datos
Escribir atributos
Escribir atributos extendidos
Borrar
Permisos de lectura
Cambiar permisos
Toma de posesión o hacerse propietario
Por ejemplo, los permisos específicos avanzados que se utilizan para crear el permiso estándar de Lectura son:
Listar carpeta / Leer datos
Leer atributos
Leer atributos extendidos
Permisos de lectura
Al evaluar los permisos avanzados para una carpeta, son idénticos a los de un archivo. Sin embargo, cuando se investigan los permisos avanzados de una impresora o claves del registro, son completamente diferentes.
A primera vista se calculan más de 10.000 permisos individuales avanzadas que se pueden establecer dentro de una unidad organizativa variando los objetos que contiene dentro, dejo una vista parcial en la figura 2.

Figura de arriba. Permisos avanzados para una unidad organizativa en el Active Directory

Herencia contra Permisos explícitos o si fuera esto el Street Figther sería Herencia VS Permisos.

Hay dos variaciones de los permisos que se pueden ver por una sola entrada de un usuario, equipo o grupo que figuran en la lista de las listas (valga la redundancia) de control de acceso (ACL).
Si nos fijamos en la unidad raíz, C:, podemos agregar o modificar los permisos para cualquier entrada en una ACL. Si creamos una nueva carpeta en el raíz C: por ejemplo una nueva carpeta llamada datos (C: \ Datos), no seremos capaces de modificar los permisos para las entradas existentes. Se debe a que los permisos de C: son heredados hacia abajo o en la cadena a todas las subcarpetas y archivos de forma automática. Si no desea que los permisos de C: sean heredados a la carpeta C: \ Datos, pero aún así queremos que hereden hasta otras subcarpetas debajo de C:, debemos configurar el directorio C:\Datos para detener la herencia mediante la eliminación del check box “Heredar del objeto principal las entradas de permisos que se aplican a los objetos hijo”” stop inheriting by removing the check from the “Inherit from parent the permission entries that apply to child objects”. Como aconseje en clase eso no lo haría, ya que se nos puede volver todo en una casa de neones …, lo mejor es hacer grupos o OU y denegar aquello que no queramos que tengan permisos, puesto que la denegación prevalece sobre el permitir, al tener ordenadas las OU en el AD o las carpetas en este caso se supone que poco vamos a tener que variar esos permisos.
Figura 3


Figura 3: Podemos controlar los permisos heredados en cualquier carpeta o archivo
En cualquier nivel dentro de la estructura de recursos, siempre se puede añadir nuevas entradas a la ACL. Estas entradas, que son específicas para un recurso, se denominan permisos explícitos, ya que se configuran directamente en el recurso.
Si la herencia por defecto está habilitada para las subcarpetas y archivos, estos permisos explícitos heredarán hacia abajo, hacia los recursos posteriores, como los permisos originales hicieron de C: \ hasta C: \ Data. Es fácil notar la diferencia entre permisos heredados y permisos explícitos por la marca del check box de la figura 3 para la entrada que tengamos seleccionada en el caso de la imagen los administradores. Si el cheque no está marcado de color gris, los permisos son explícitos.