Aprende Informatica Conmigo

Por 1 comentario

Windows Server 2008 – Configurar permisos y auditoria

Para llevar a cabo esta tarea utilizaremos el directorio “importante” que tenemos en “c:\compartido\importante“.

Lo seleccionamos y pulsamos el boton derecho. Seleccionamos “Properties“. Seleccionamos la pestaña “Security“.

Nos muestra la siguiente pantalla:

El siguiente cuadro de dialogo se muestra tras pulsar sobre el botón “Edit“:

Pulsamos el boton “Add…“.

Escribimos “compras” y pulsamos sobre el boton “Check Names“.

Nos muestra dos coincidencias con “compras“. Nosotros seleccionamos el grupo “compras” y pulsamos sobre el boton “OK“.

Ahora dejamos los permisos como se ven en las dos capturas de pantalla siguientes:

Tipico mensaje en el que pulsamos sobre “yes“.

Ahora hacemos lo mismo con el grupo “ventas“, pero en este caso queremos saber cuando se les permite acceder al directorio en cuestión.

Una vez que hemos configurado los permisos, ahora configura configuraremos la auditoria.

Para ello, pulsamos en el boton “advanced” en la siguiente pantalla:

Seleccionamos la pestaña “Auditing” y pulsamos sobre el boton “Edit“:

Pulsamos sobre el boton “Add...”:

Lo que hacemos ahora es añadir los grupos que queremos auditar. En nuestro caso son “ventas” y “compras“.

Una vez finalizada la configuración, nos apareceran dos entradas mas en la pestaña “Auditing“.

Tened en cuenta que aparecen dos entradas, una por cada auditoria.

Con esto ya tenemos definido lo que queremos auditar.

Ahora nos queda la parte de habilitar la politica de auditoria que lo veremos en el siguiente tutorial.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por 1 comentario

Windows Server 2008 – Comprobacion de la actualizacion de software por GPO

En el tutorial anterior sobre 2008 configuramos la politica “Despliegue firefox” para que se actualizara con otra version de firefox.

En este tutorial simplemente confirmamos que todo ha salido bien.

Pare ello, cojemos el equipo “infor01” y lo encendemos.

Como de costumbre, es muy posible que la primera vez que arrancamos el equipo no pase nada porlo que hay que volver a reiniciar.

Despues de reiniciar y antes de que aparezca la pantalla para hacer login, nos aparecera un mensaje como  el siguiente. Este mensaje aparece durante un rato pero hay que estar atento para poder verlo.

Comprobamos que Firefox esta en el menu inicio –> Todos los programas.

Ejecutamos Firefox y en el menu ayuda disponemos de la opicon “acerca de“. La seleccionamos para que nos muestre la siguiente pantalla:

Nos fijamos en que ahora efectivamente esta instalada la verion 3.6.10 que se corresponde con el msi que configuramos en el tutorial anterior.

Facil, verdad.

Venga, en el proximo tutorial sobre Windows Server 2008 tocaremos asuntos de Auditoria.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por 2 comentarios

Windows Server 2008 – Actualizar una aplicacion desplegada por GPO

Si os acordais, hace poco decicabamos un tutorial a configurar una GPO para desplegar el Firefox en varios equipos de nuetra empresa. Bien, lo que vamos a hacer ahora es actualizar la versionde Firefox mediante un nuevo msi que es una version mas actualizada.

Antes de nada, muestro en la captura siguiente, la version que tenemos instalada actualmente en los equipo del grupo “informatica“. Como podeis ver es la 3.0.17.

Creamos otro directorio dentro de \\neointecdc1\SDP\ con el nombre de “Firefox-3.6.10-es-Es“.

Copiamos dentro el msi correspondiente.

Ahora en “Group Policy Management” seleccionamos “Group Policy Objects“, nos posicionamos en la GPO “Despliegue Firefox“, pulsamos boton derecho del raton y seleccionamos “Edit…“.

Expandir el arbol por “Computer configuration –> Policies –> Software Settings –> Software Installation“.

Posicionados en esta ultima, pulsamos boton derecho del raton y seleccionamos “Package” dentro de “New“.

Introducimos el path hasta el msi que nos interesa: “\\neointecdc1\sdp\Firefox-3.6.10-es-ES.msi“.

Seleccionamos el msi y pulsamos en el boton “Open“.

Aprarece el cuadro de dialogo “Deploy Software” donde seleccionamos “Assigned” y pulsamos “OK“.

Ya aparece en la lista.

El nombre se lo podemos cambiar pero bueno, tambien nos sirve este.

Abrir las propiedades del nuevo paquete que acabamos de crear.

En la pestaña General podemos modificar el nombre.

Si nos posicionamos en la pestaña “Deployment” procedemos a activar el check correspondiente a “Uninstall this application when it falls out of the scope of management“.

Pasamos a la pestaña “Upgrades“.

Pulsamos el boton “Add…“.

Aqui es donde configuramos el nuevo paquete.

Nosotros vamos a establecer las opciones que veis a continuacion.

Ya lo tenemos preparado…

Ya esta todo listo para probarlo.

Lo probaremos en el siguiente tutorial. De nuevo con el equipo infor01.

Hasta entonces.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por 3 comentarios

Windows Server 2008 – Comprobacion del despliegue de software por GPO

Nos toca comprobar que la gpo en la que hemos configurado el despliegue de Firefox se aplica correctamente.

Para ello hacemos logon en un equipo del departamento de informatica. Nos vale infor01.

Puede suceder que la primera vez que hacemos logon despues de la aplicacion de la GPO no se aplique el cambio porque necesite otro reinicio de la maquina.

Cuando inicia la maquina nos saldra durante un ratito este mensaje antes de la pantalla para hacer logon:

Bien, observamos que si aparece. Nos crea un icono en el escritorio ademas de en el menu.

Ha funcionado bien la GPO.

Ahora abrimos “Active directory users and computers” en nuestro controlador de dominio.

Movemos el equipo a otra OU. Yo la he movido a la OU “equipos“.

Este cambio es temporal para que veamos que pasa.

Tipico mensaje de advertencia:

Ya lo veis…

Reiniciamos el equipo “infor01

Al igual que he comentado antes, tal vez tengamos que reiniciar dos veces.

En definitiva, nos debe salir un mensaje como el siguiente cuando arranca el equipo:

Ahora podemos ver que ha desaparecido el Firefox.

Esto es porque al sacar la cuenta de equipo de la OUinformatica” no se le aplica la GPO.

Tambien pasaria lo mismo si deshabilitamos la GPO o el enlace de la GPO y por supuesto si eliminamos la misma.

Espero que lo entais bien porque nos puede ayudar mucho en nuestro trabajo diario.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por 2 comentarios

Windows Server 2008 – Crear GPO de despliegue de software

En este tutorial vamos a crear una GPO para desplegar Firefox en los equipos del dominio.

Para empezar, en la pagina http://www.frontmotion.com/Firefox/ diponeis de msis ya creados para estos menesteres. Hay versiones en muchos idiomas.

Para el ejemplo que nos ocupa yo voy a instalar la version de Firefox 3.0.17-es-ES con su correspondiente msi.

Hay otra version posterior, pero yo voy a instalar esa porque en otro tutorial veremos como lo actualizamos, tambien por GPO.

Poniendonos en situacion, como decia, nos descargargamos el msi en cuestion, creamos un directorio dentro del “punto de distribucion de software” que en mi caso es SDP con el nombre del software a desplegar y pegamos en este ultimo directorio el msi de Firefox.

Al tema…

Abrimos “Group Policy Management“.

Creamos una nueva GPO pulsando el boton derecho del raton sobre “Group Policy Objects” y seleccionando “New“:

Especificamos un nombre para esta GPO. Yo la he designado como “Despliegue Firefox“.

Pulsamos “OK“.

Ahora seleccionamos la GPO que acabamos de crear. Pulsamos boton derecho y seleccionamos “Edit…“.

Vamos desplegando el arbol por “Computer Configuration –> Policies –> Software Settings –> Software installation” y nos posicionamos en este ultimo.

Aqui tengo que decir que he decidido hacer el ejemplo asignando la aplicacion por equipo y no por usuario. Es simplemente un ejemplo pero en un caso real teneis que pensar bien como lo vais a realizar teniendo en cuenta la forma de trabajar en vuestro entorno.

Bien, en la parte derecha o sobre “Software installation” pulsamos boton derecho del raton y seleccionamos “New –> Package…“.

En la siguiente captura, no hagais caso al msi de “Infra Recorder” que aparece ahí porque es de otras pruebas y no nos interesa para nada.

Bueno, en “Filename:” escribimos la ruta de red para llegar al msi que queremos desplegar.

En mi caso sera: \\neointecdc1\SDP\firefox-3.0.17-es-ES.msi.

Ahora seleccionamos el msi y pulsamos “Open“.

A continuacion nos mostrara la siguiente pantalla.

Yo he seleccionado “Advanced” pero tambien podriamos seleccionar “Assigned“.

Una apreciacion. Notareis que la opcion “Published” no la podemos escoger y eso es porque solo se pueden publicar aplicaciones a los usuario.

Por haber seleccionado “Advanced” nos muestra la suiguiente pantalla en la que dentro de la pestaña “General” podemos modificar el nombre del paquete.

En la pestaña “Deployment” seleccionamos la opcion “Uninstall this aplication when it falls out of the scope of management“.

Ahora, en la pestaña “Security” nos aseguramos de que el grupo “Authenticated Users” tiene permisos de lectura.

Si pulsamos advanced podemos ver mas detalladamente los permisos.

Bueno, en un ratito aparece el paquete en el lugar correspondiente.

Salimos de “Group Policy Management Editor“.

Ahora, en “Group Policy Management” nos posicionamos en la OUNeointec –> Equipos –> Informatica“, pulsamos el boton derecho del raton y seleccionamos la opcion “Link an Existing GPO…

Seleccionamos “Despliegue Firefox“.

Ya vemos que aparece bien.

Hemos creado una GPO para desplegar Firefox.

En el siguiente tutorial veremos si funciona realmente en un equipo del departamento de informatica, que es donde hemos asignado la GPO.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Dejar un comentario

Windows Server 2008 – Crear un punto de distribucion de software (SDP)

Bueno, llegamos a una parte del curso de Windows Server 2008 que me gusta mucho.

El despligue de software a traves de GPO me parece de lo mas util.

En este primer tutorial vamos a crear un “SDP” o “Punto de Distribucion de Software“, que no es mas que una carpeta compartida en la que configuraresmos los permisos necesarios para que los usuarios puedan leer y ejecutar los msis.

Bueno, en nuestro servidor “NEOINTECDC1” creamos un directorio en C:\ con el nombre “SDP“.

Le podeis poner el nombre que querais.

Tras realizar esto, pulsamos el boton derecho del raton sobre la carpeta “SDP” y seleccionamos “Share with –> Specific people…“.

Nos muestra la siguiente pantalla con los permisos de que dipone ahora.

En el menu desplegable, seleccionamos “Everyone” que viene a ser lo mismo que “Todos“.

Bien, ahora seleccioamos las propiedades del directorio.

Esto es mas completo que lo anterior.

En la pestaña “Sharing” pulsamos “Advanced Sharing…“.

Nos muestra lo siguiente…

Pulsamos sobre el boton “Permisions” para añadir o modificar permisos.

Vemos que “Everyone” tiene demasiados permisos y esto no nos interesa.

Queremos que solo tenga “lectura y ejecucion“. en esta pesaña dejamos activado solo “Read” y pulsamos “OK“.

Ahora, en la pestaña “Security” comprobamos los permisos efectivos el grupo “Everyone“.

Veo que esta correcto.

Pues ya tenemos preparado nuestro “Punto de Distribucion de Software“.

En el siguiente tutorial instalaremos “Firefox” a traves de GPO.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Dejar un comentario

Windows Server 2008 – Utilizando scwcmd

Vamos a utilizar el comando “scwcmd” para transformar una politica de seguridad en una Politica de Grupo o GPO.

Cosa interesante en ciertas situaciones, osea que tomad nota.

En primer lugar, desde una consola de comandos nos posicionamos en el directorio “c:\windows\security\msscw\policies“.

Para ver la ayuda de este comando ejecutamores, como es costumbre: scwcmd transform /?

Nosotros vamos a utilizar el modificador “/transform” pero si queremos ver las otras posibilidades de “scwcmd” ejetucaremos: scwcmd /?

Bueno llego la hora de realizar la transformacion.

Ejecutamos el comando: “scwcmd transform /p:”politica seguridad DC.xml” /g:”politica seguridad

Explico un poco lo cada apartado:

/transform es el modificador para indicara a scwcmd que queremos transformar la plantilla a otro formato.

/p:”” Entre comillas escribimos la plantilla “origen” que quermos transformar.

/g:”” Entre comillas escribimos el nombre que queremos que tenga la politica.

Vamos a comprobarlo.

Abrimos “Group Policy Management“.

Buscamos en “Group Policy Objects” la GPO “politica seguridad” que acabamos de transformar.

Ya la vemos, ¿no?

Seleccionamos la pestaña “Settings” y expandimos el apartado “Security Settings“.

Ahora vemos la configuracion que es exactamente la misa de la plantilla.

Bueno, aqui acaban los tutoriales dedicados a las politicas de seguridad local.

En el siguiente tutorial veremos algo que me gusta mucho y que es de gran utilidad como es la gestion de software a traves de GPOs.

Hasta entonces.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Dejar un comentario

Windows Server 2008 – Utilizar el asistente para configuracion de seguridad – Parte 2

Continuamos el tutorial donde lo habiamos dejado.

Ahora le toca el turno a “Registry Settings“:

Dejamos la configuracion por defecto y pulsamos “Next“.

Tened en cuenta que yo solo estoy intentando mostrar las diferentes opciones del asistente.

Vosotros podeis revisar un poco las opciones y lo que podeis sacar de ellas.

Muestra el resumen de la configuracion del registro.

Ahora “Audit Policy“.

Seleccionamos “Audit succesfull activities“.

Nos muestra el resultado:

Ahora toca guardar la politica de seguridad.

Buscamos la politica del tutorial anterior “politica seguridad DC“.

Seleccionamos la politica y pulsamos “open“.

Ya esta incluida.

Pulsamos “OK“.

Ahora pulsamos en el boton “View Security Policy“.

Pulsamos “Yes“.

De nuevo, examinamos la configuracion.

Seleccionamos “Apply later” y pulsamos “Next“.

Completamos pulsando Finish.

Este asistente es de mucha utilidad pero ya os habreis fijado que hay muchisimas opciones asi que poco a poco podeis ir familiarizandoos con algunas de ellas, por lo menos para que os suenen.

Sin mas, saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por 1 comentario

Windows Server 2008 – Utilizar el asistente para configuracion de seguridad – Parte 1

Continuando con temas de seguridad y politicas locales, en este tutorial vamos a ver como usar y para que sirve el Asistente para Configuracion de Seguridad o “Security Configuration Wizard“.

Abrimos “Security Configuration Wizard” desde “Administrative Tools“.

Pantalla de bienvenida en la que se explica que este asistente nos ayudara a crear una politica de seguridad que podremos aplicar a cualquier servidor en nuestra red.

Tambien dice que la politica de seguridad configura servicios y seguridad basada en red en el rol del servidor asi como configuracion de auditoria y de registro.

El asistente detecta los puertos de entrada que estan escuchando en este servidor. Antes de configurarlo hay que estar seguros de que todas las aplicaciones que utilizan puertos de entrada estan ejecutandose.

Pulsamos en “Next“.

En la siguiente pantalla tenemos varias opciones para elegir entre las cuales esta “Create a new security policy” que es la que nosotros queremos porque vamos a crear una nueva politica de seguridad. Seleccionamos esa y pulsamos “Next“.

En esta pantalla tambien disponemos de opciones como “editar una politica de seguridad existente“, “aplicar una politica de seguridad existente” y “Deshacer la aplicacion de la ultima politica de seguridad“.

Aceptamos el servidor por defecto que en este caso es “NEOINTECDC1

En la pantalla anterior podemos pulsar sobre el boton “View Configuration Database“.

Pulsamos “Yes” en el siguiente cuadro de dialogo.

Ahora muestra la configuracion de la base de datos de seguridad.

Podeis echar un vistazo en las diferentes secciones para asimilarlo.

Cerramos esa ventana y seguimos hacia adelante.

Ahora nos muestra el panel de comienzo de “Role-Based Service Configuration“.

En la siguiente pantalla estan seleccionados “Installed Roles“.

Podemos seleccionar otras opciones en el menu desplegable.

Ahora “Select Administration and Other Options“.

Ya veis que hay muchisimas opciones que podemos configurar.

Seleccionamos “Do not change the startup mode of the service“.

En la siguiente pantalla vemos los servicios y su estado.

Podemos y debemos inspeccionar un poco los servicios.

Ahora es el turno de “Network Security“.

El funcionmiento es siempre el mismo durante todo el asistente.

Aqui termina la primera parte de este tutorial.

Nos vemos en la segunda parte.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Dejar un comentario

Windows Server 2008 – Analizar la configuracion de la plantilla de seguridad – Parte 2

Continuamos donde lo habiamos dejado.

Activamos la casilla correspondiente a “Administrators” y “Database Setting“.

En la consola, pulsamos boton derecho del raton y seleccionamos “Save“. Esto guarda la base de datos de seguridad.

Volvemos a hacer lo mismo pero esta vez seleccionamos “Export Template…“.

Seleccionamos “Acceso Remoto”  y pulsamos en “Save“.

Con esto reemplaza la plantilla que creamos en el tutorial correspondiente con la configuracion definida en la base de datos de “Security Configuration and Analysis“.

Salimos de la consola.

Por supuesto guardamos los cambios.

Volvemos a entrar en la consola y navegamos hasta “User Rights Assignement“.

Seleccionamos la politica con la que hemos estado trabajando hasta ahora y pulsamos doble-click.

Efectivamente, tanto “Administrators” como “NEOINTEC\soporte” estan en la lista, y eso es bueno.

Click en el boton derecho del raton sobre “Security Configuration and Analysis” y seleccionar “Configure Computer Now…“.

Pulsamos “Ok” para confirmar.

Abrimos “Local Security Policy“.

Navegamos por “Security Settings –> Local Policies –> User Rights Assignement” y nos posionamos el la politica “Allow log on though Remote Desktop Services“.

Podemos ver bajo la columna “Security Setting” que ahora aparecen los dos grupos.

Al hacer doble click sobre la politica vemos de nuevo que estan los dos grupos.

Hemos terminado por ahora.

Este tema de seguridad es bastante complejo, muy extenso y con una cantidad de posibilidades inmensas osea que no esta de mas que os familiariceis un poco con las diferentes opciones que hay.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática