On the way to Virtualization

El concepto es tan sencillo como genial. Una solución robusta y económica cuya única pretensión es securizar o tunelizar, el protocolo RDP y su puerto 3389.

Lo más sorprendente…  que siga siendo «El gran desconocido», sobre todo cuando invertimos en tunelizar toda una red, con otras soluciones, a veces de forma innecesaria si empleáramos RDG o Puerta de enlace de Escritorio Remoto.

RDG, es un servicio de rol que permite a los usuarios remotos autorizados conectarse a los recursos de una red privada, desde cualquier dispositivo conectado a Internet que pueda ejecutar un cliente de Conexión a Escritorio remoto (RDC).

¿Cómo funciona?

Publicamos un Web Site y desde un cliente RDP estableceremos un canal SSL con nuestro sistema de balanceo, el que sea, por ejemplo, un F5, a través de nuestro Web Site y este a su vez se hablará con el RD Gateway, para tunelizar el puerto 3389 de RDP en un canal seguro.

Para que todo esto funcione la gracia está en que las root CAs que emiten los certificados de los extremos servidor estén dados de alta como CAs de confianza en los extremos clientes, es por eso que los certificados en el RD Gateway y en los servidores a los que nos conectaremos, se sugiere tengan un certificado valido para SSL (Server Authentication) que esté firmado por una CA pública (DigiCert) que los sistemas Windows reconocen.

RDG usa el Protocolo de escritorio remoto (RDP) sobre HTTPS para establecer una conexión cifrada y segura entre usuarios remotos en Internet y los recursos de red interna en los que se ejecutan sus aplicaciones de productividad.

Antes de esta versión de Windows Server, las medidas de seguridad impedían que los usuarios remotos se conectaran a recursos de la red interna a través de firewalls y NAT. Esto se debe a que el puerto 3389, el puerto usado para las conexiones RDP, suele estar bloqueado por razones de seguridad de la red.

La Puerta de enlace de Escritorio remoto transmite en su lugar el tráfico de RDP al puerto 443, usando un túnel HTTP de Seguridad de la capa de transporte/Capa de sockets seguros (SSL/TLS). Dado que la mayoría de las corporaciones abren el puerto 443 para permitir la conectividad desde Internet, la Puerta de enlace de Escritorio remoto aprovecha este diseño de red para proporcionar conectividad de acceso remoto a través de múltiples firewalls.

¿Qué ventajas aporta RDG?

• La Puerta de enlace de Escritorio remoto permite a los usuarios remotos conectarse a recursos de una red interna a través de Internet mediante una conexión cifrada, sin necesidad de configurar conexiones de VPN.
• Un modelo de configuración de seguridad completo para controlar el acceso a recursos de red interna específicos y una conexión RDP punto a punto, en lugar de permitir a los usuarios remotos acceso a todos los recursos de la red interna.
• RDG permite a la mayoría de los usuarios remotos conectarse a recursos de la red interna que están hospedados detrás de firewalls en redes privadas, atravesando NAT. Y además con RDG no tenemos que realizar una configuración adicional para el servidor de RDG o los clientes para este entorno.
• La Administrador de RDG permite configurar directivas de autorización para definir las condiciones que deben cumplirse para que los usuarios puedan conectarse a recursos de la red interna. Por ejemplo:
  • Quién puede conectarse a recursos de la red interna (es decir, los grupos de usuarios que pueden conectarse).
  • A qué recursos de la red (grupos de equipos) pueden conectarse los usuarios.
  • Si los equipos cliente deben ser miembros de grupos de seguridad de Active Directory.
  • Si se permite la redirección de dispositivos.
  • Si los clientes deben usar autenticación con tarjeta inteligente o autenticación con contraseña, o si pueden usar cualquiera de estos métodos.
• Si nos decidimos a instalar, no olvidemos de añadir IIS para que funcione la característica Proxy RPC sobre HTTP.

Microsoft ha mostrado las primeras imágenes del nuevo Menú de Inicio de Windows 9

Un componente presente desde Windows 95 y que fue retirado de Windows 8 ante la apuesta por el funcionamiento táctil y la nueva interfaz Modern UI. Interfaz que funciona a la perfección en equipos con pantallas táctil pero que algunos consideran inútil y hasta molesta para trabajos en escritorios por una buena parte de los usuarios.

Algunos de ellos ya se concretaron en Windows 8.1 y en la nueva actualización que el pasado 8 de abril de 2014 se publicó para «Windows 8.1 Update». En éste update y haciendo un inciso, la interfaz de usuario de Windows 8.1 Update 1 mejora la optimización de la RAM reduciendo el uso de memoria y el consumo de espacio en disco y aumentando el rendimiento general del equipo. El salto directo al escritorio sin pasar por la pantalla de inicio, la inclusión de un botón de inicio o las mejoras en la transición al escritorio clásico se encuentran entre ellas. También un botón de búsqueda y otro para reinicio y apagado del sistema en el menú de inicio o vista previa de las aplicaciones Modern UI que ahora pueden anclarse en la barra de tareas.

Lo próximo, (2015) será un Menú de Inicio híbrido entre el clásico presente en Windows 7 acompañado de otro marco para aplicaciones Modern UI que Microsoft continúa desarrollándolo y cuya implementación final llegaría en nuevas actualizaciones de Windows 8 o ya en Windows 9 que llegaría en 2015.

Para unos pocos una vuelta atrás sobre las innovaciones vistas en Modern UI y para otros muchos, una sabia rectificación para mejorar el trabajo en escritorio, superar la percepción tibia de Windows 8 y mejorar su adopción por un mayor número de usuarios y empresas.

Hablamos de una característica que podemos usar para replicar máquinas virtuales (en adelante VM) como parte de una solución de continuidad del negocio. Réplica de Hyper-V proporciona una replicación asincrónica de las máquinas virtuales de Hyper-V entre dos anfitriones o servidores host y lo más importante, no requiere almacenamiento compartido ni ningún hardware de almacenamiento en particular.

Antes de replicar una máquina virtual, hay que habilitar un servidor que ejecute Hyper-V como, «servidor de réplicas», el propósito, un servidor disponible para recibir la VM replicada.

Si ya lo tenemos, lo siento pero nos toca modificar la configuración de replicación del servidor. Desde el Administrador de Hyper-V, abrimos el Configuración de Hyper-V y vamos a la página Configuración de Hyper-V, seleccionamos Configuración de replicación y marcamos la opción, Habilitar éste equipo como servidor de réplicas.

Una vez habilitado el servidor de réplicas, podremos configurar una VM para replicación. A partir de aquí publicaré el paso a paso para configurar la replica de las VM en Hyper-V.

Conectar, arrancar y empezar… eso es Windows To Go

… y es que una de las características de Windows 8.1 en versión Enterprise, nos permite llevar nuestro sistema operativo con todos sus archivos y poderlo conectar en el USB de otro ordenador y seguir trabajando como si del ordenador de trabajo o de casa se tratase.

Desde prácticamente cualquier ubicación en la que elijamos trabajar. Solo tenemos que insertar una unidad en un equipo compatible y arrancarla en una imagen de Windows 8.1 personalizada donde no es necesario disponer de conectividad a la red.

¿Qué necesitamos?

• Imprescindible, una unidad USB      de arranque certificada, preferiblemente 3.0, con esto tendremos nuestra      propia imagen en un dispositivo USB http://technet.microsoft.com/es-es/library/hh831833.aspx#wtg_hardware
• Por supuesto un ordenador con      Windows 8 y puerto USB.
• ISO de Windows 8 (concretamente      el fichero \sources\install.wim)
• Windows 7 Automated      Installation Kit http://www.microsoft.com/es-es/download/details.aspx?id=5753

¿Qué funciona con Windows To Go?

Todas las tecnologías con las que trabaja con Windows 8.1 Enterprise: Group Policy, BitLocker, BranchCache, AppLocker, App-V, UE-V y DirectAccess.

Windows To Go es Windows 8.1 Enterprise en el bolsillo.

¿Cómo creo el Windows To Go USB?

1. Lo primero, formateamos el USB en NTFS y lo convertimos en principal, desde línea de comandos, utilizamos diskpart para preparar la unidad.

diskpart> list disk
diskpart> select disk x
diskpart> clean
diskpart>creation partition primary
diskpart>format fs=ntfs quick
diskpart> active
diskpart> assign
diskpart> exit

2. Copiamos el fichero install.wim en por ejemplo c:\temp

3. Utilizamos ImageX para desplegar la imagen. Abrimos una consola como administrador y ponemos los siguientes comandos

c:\temp>imagex /apply install.wim 1 x:\ (Donde X es la letra de mi unidad USB)

4. Ahora necesitamos crear un registro para el arranque (Boot) Para ello volvemos a abrir una consola como administrador y ponemos los siguientes comandos

c:> bcdboot.exe x:\windows /s x: /f all

El cliente de mensajería instantánea para smartphones, WhatsApp, añade un cifrado o encriptado de mensajes bastante cuestionable, donde la seguridad varía, dependiendo de si usamos WhatsApp en Android o en iOS

Las comunicaciones para Android se “protegen” con un ridículo hash MD5, cuyo fin en ningún caso es el de cifrar nada, sino el de comprobar que el contenido de un fichero informático es el mismo en origen y destino.

El cifrado de nuestras credenciales en Android se reduce a un simple hash MD5 del número IMEI del móvil puesto del revés, algo que se puede conseguir muy fácilmente. En el caso de iOS el cifrado se obtiene haciendo el mismo hash MD5 de la dirección MAC del terminal repetida dos veces. Para los que no lo sepan: un hash MD5 de un archivo genera un código alfanumérico que sirve para identificar o confirmar la integridad de dicho archivo. En cualquier caso, el cifrado utilizado por WhatsApp en otras plataformas como iOS tampoco es como para tirar cohetes. Es más, no cubre mucha de la información que WhatsApp toma del teléfono, que continúa enviándose en un documento XML.

Y eso no es todo: cuando WhatsApp revisa nuestra agenda de teléfonos móviles los datos siguen enviándose en un documento XML que muestra información de un usuario como su número, su estado o su cuenta de Jabber (Protocolo extensible de mensajería y comunicación de presencia) si consta en la agenda.

La seguridad de la misma cuenta de WhatsApp es tan irrisoria que usando una red Wi-Fi abierta se corre el riesgo de que la cuenta quede permanentemente hackeada, con acceso completo a tu cuenta.

La recomendación parece obvia… pero como no va a ser el caso,  si no estás por la labor de dejar un, por otra parte, comodísimo servicio como es WhatsApp, ten al menos cuidado de las redes en la que lo utilizas y por lo menos evita usar la aplicación para enviar/recibir contenido que consideres sensible de ser usado fraudulenta o maliciosamente.

La invitación de muchos blogs pasa por quejarnos, como medida para que los desarrolladores de aplicaciones se enteren bien de los fallos de su software, por ejemplo, redactar críticas y poner puntuaciones bajas en las tiendas  de aplicaciones, léase Marketplace, Google Play, App Store o Windows Store.

Leer más…

Cuidado.

Aunque ReFS este soportado, hay que deshabilitar las características de integridad de las bases de datos

La exigencia de integridad de los datos garantiza la calidad de los datos de la base de datos.

Por ejemplo, si se especifica para un empleado el valor de identificador de 123, la base de datos no debe permitir que ningún otro empleado tenga el mismo valor de identificador. Si tiene una columna employee_rating para la que se prevean valores entre 1 y 5, la base de datos no debe aceptar valores fuera de ese intervalo. Si en la tabla hay una columna dept_id en la que se almacena el número de departamento del empleado, la base de datos sólo debe permitir valores que correspondan a los números de departamento de la empresa.

Si las bases de datos que vamos a utilizar son para Exchange, NTFS a 64kb.

Para Exchange Server la deduplicación no está soportada.

Más información: http://technet.microsoft.com/en-us/library/ee832792(v=exchg.150).aspx

Importante, hasta la publicación del SP1 de Exchange Server 2013, no estará soportado el sistema operativo Windows 2012 R2.

1.- Desde una ventana de powershell instala los siguientes Roles y Features:

Install-WindowsFeature AS-HTTP-Activation, Desktop-Experience, NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, Web-Mgmt-Console, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation

2.- Instala Microsoft Unified Communications Managed API 4.0, Core Runtime 64-bit: http://www.microsoft.com/es-es/download/details.aspx?id=34992

3.- Instala Microsoft Office 2010 Filter Pack 64 bit: http://www.microsoft.com/es-es/download/details.aspx?id=17062

4.- Actualiza Microsoft Office 2010 Filter Pack SP2 64 bit: http://www.microsoft.com/es-es/download/details.aspx?id=39671

Se ha detectado un problema a la hora de acceder a OWA desde máquinas  Windows 8.1.

Por defecto y de forma obligatoria hay que acceder con la versión Ligth. Esto hace que la experiencia del usuario no sea nada buena.

El problema tiene que ver con la detección del navegador. Resulta que IE11 en su tarjeta de presentación ya no utiliza el UserAgent como las versiones anteriores. Esto hace que las aplicaciones que pregunten por la versión del navegador utilizando este método obtengan como respuesta que es un Netscape. Por tanto, Exchange considera que no puede ejecutar la versión pesada y marca como obligatoria la versión Ligth. Si se utilizan versiones del navegador anteriores o de terceros, funcionará sin problemas.

Hay un bug reportado y está resuelto. Para ello deberemos de actualizar las versiones de Exchange Server 2010 a sus respectivos SP2RU7 o SP3RU2 y en el caso de Exchange 2013 al CU2

Para aquellos que usamos con frecuencia Lync desde Outlook Web App en su versión 2013, nos detecta el estado, puedo recibir y enviar MI, pero en el panel izquierdo, al contrario que con OWA 2010, no tenemos los contactos de Lync.

Efectivamente esto es una nueva característica de la versión de Exchange 2013, en detrimento de OWA según mi opinión. Para tener un solo ‘contact store’ se recomienda hacer este cambio en el registry de cada cliente, os adjunto el siguiente enlace que explica como hacerlo:

http://technet.microsoft.com/en-us/library/jj721922.aspx

El Cumulative Update 3 para Exchange Server 2013 ya está aquí y lo puedes descargar desde: http://www.microsoft.com/en-us/download/details.aspx?id=41175