Under C.P.D.

Hola.

Estoy metido de lleno en un script para lanzar bitocker y me surge la necesidad de saber si el disco está cifrado para crear un if en el script.

Pues bien, la forma más fiable de todas las posibles es encontrar la cadena 0% en la información que devuelve manage-bde, para ello he utilizando:

$status=manage-bde c: -status
$id = $status -match "0%" | Out-String

if ($id -like ‘* 0%*’) {
    entonces…
}

Saludos.

Hola.

Pongámonos en situación. Tenemos un equipo con bitlocker activado, en el que para volver a instalar windows y activar Bitlocker, hemos roto la partición y vuelvo a crear otra nueva.

La instalación la haremos sin problema, pero la activación de bitlocker ya no es tan fácil ya que el chip está en modo ON y la contraseña de acceso no la tenemos.

Ante una situación como la descrita y otras muchas donde no somos propietarios o hemos borrado el contenido y password del chip a través de la bios, la solución es la misma. Tenemos que hacernos propietarios de ese chip y para ello, el comando es el siguiente:

• manage-bde –tpm –takeownership PASSWORD

Para mí y para muchos, ya que he podido comprobar que los foros están repletos de dudas y pocas o ninguna solución, el problema que aprecio es que la password, en un script está en texto plano e incluso, si tienes un parque medianamente extenso, va a ser la misma en todos los equipos.

Es importante subrayar que esta password, no necesitamos conocerla, ya que podemos solucionar cualquier incidencia con la clave de bitlocker que habremos almacenado en archivos de texto o mejor aun, en directorio activo gracias a una gpo correctamente configurada.

Pues bien,  tras las pruebas realizadas :), el comando que os he mostrado anteriormente se puede sustituir por:

• manage-bde –tpm –takeownership %random%

Esto tiene un problema y es que el random puede ir des 0 a una cantidad de 4 crifras y como manage-bde te obliga a que la contraseña sea de 8 cifras, tampoco nos valdría con un %random%%random%

Pues bien, tras las pruebas realizadas (2), he optado por:

• manage-bde –tpm –takeownership %time%%random%%random%.

¿Ingenioso eh? :), así tenemos una contraseña fuerte a prueba de auditores quisquillosos.

Hola.

Un olvidado a la hora de aumentar la seguridad de nuestra red es el servicio de blocklist de nuestro DNS, este servicio es administrable en su totalidad e incorpora una lista de direcciones, que para no ahondar mucho más en él, podemos decir que no se resolverán aunque tengamos una entrada host , alias, etc. creada.

El ejemplo más claro lo vemos cuando queremos publicar un servicio proxy pac vía dns y creamos la entrada, que debería resolver wpad.dominio.local por ejemplo.

Captura donde podéis ver que no podemos hacer ping a la dirección:

Gestión de la Blocklist

Comandos comunes en la gestión de este servicio son:

• dnscmd servidor /info /globalqueryblocklist    – Nos enseña la lista de direcciones bloqueadas.
• dnscmd Servidor /config /globalqueryblocklist nombre nombre nombre …   – Añade una o varias direcciones
• dnscmd servidor /config /enableglobalqueryblocklist 0|1  – 0 Deshabilida  1 Habilita Blocklist
• dnscmd /config /globalqueryblocklist  – Vacia la lista de direcciones.

Por defecto tenemos en la lista wpad y Isatap:

Y tras el reseteo de la lista:

Saludos.

Hola.

Hoy se han presentado bastantes novedades de lo que va a ser el nuevo rol de Hyper-V dentro de Windows Server 2012 R2 y que junto a System Center 2012 R2, también se ha dicho que en Junio será pública una Release Candidate.

Nuevas funcionalidades:

1. Replica extendida. El servidor que recibe la réplica, podrá ser a su vez un emisor hacia otro servidor de backup = Server A replica a server B y a su vez, replica a server C. También podremos controlar el intervarlo de envío de los logs al servidor de réplica.

2. Máquinas virtuales de nueva generación. Este es un concepto que a todos nos resulta nuevo, pero a falta de una exhaustiva investigación , son máquinas virtuales sin relación con el hardware, no dispositivos legados, no bios, todo virtual y sin dependencias.

3.Remote Desktop Services integrado en el VM Bus, lo que le va a hacer, independiente del adaptador de red.

4.Redimensionamiento Online de VHDX. Creo que la descripción lo explica todo.

5.USB como pass-trough Hoy mismo lo he echado en falta .

6.Compatibilidad total con Azure ya que, según Microsoft, en Azure contaremos con la misma versión de host de la que ofrece el sistema operativo que adquiriremos.

7.Online VM Export. Podremos exportar máquinas virtuales sin interrupción.

8.Live migration más rápido. Se comprimirá los datos antes de ser migrados lo que acelerará la migración en vivo. A esto se suma que se podrá combinar con las ventajas que aporta SMB direct y las nuevas versiones de SMB.

9.Activación automática de VMS. Veremos como funciona pero sabiendo que las VMS ya se puede decir que se licencian gracias a la compra del host, lo que he leido está relacionado con la activación única del host (esto es una teoría personal a falta de analizar al 100% esta funcionalidad).

10. Qos para el almacenamiento. Podremos controlar y gestionar los I/o y peso de una VM en relación a la ocupación del almacenamiento. Lo que se suma al ya antiguo control del peso en cuanto al uso del procesador y control de la memoria que ofrecía Dynamic Memory.

Saludos.

Hola.

Las últimas semanas he estado trabajando mucho en relación a la publicación de proxy pac que está detrás de la opción “Detectar automáticamente la configuración” a la hora de que el equipo, encuentre la salida correcta por internet.

En los próximos días colgaré bastante información bajo la etiqueta Proxypac, la cual espero que os sea útil si tenéis que realizar pruebas y su posterior puesta en producción.

Por el momento quería dejar publicados los pasos necesarios para limpiar todo rastro de la caché del archivo proxy pac. Esta información es útil ya que como el S.O. cachea este archivo, comprobar cada cambio se convierte en una verdadera pesadilla:

Limpiar caché manualmente:

1. Borrar  por completo el historial del navegador .

2. Abrir un CMD como Administrador.

3. Ejecutar el comando: Del \wpad*.dat /s  (cuidado, borrará cualquier archivo proxy pac que tengáis en el disco.

4. Ejecutar el archiconocido: ipconfig /flushdns

5. Ejecutar: nbtstat –r

6. Abrir navegador.

También deciros que por mi experiencia, Firefox parece que al menos a mí, no me cachea el proxy pac, por lo que en producción va a resultar un tanto pesado, pero para hacer troubleshooting es ideal.

Si quisierais desactivar el cacheado del proxy en todo o parte del parque, os dejo un KB de Microsoft donde podéis ver como se hace, pero, de todas formas, yo limpiaría manualmente la caché en los equipos donde aunque hayáis aplicado esta política o modificación de registro, queráis estar completamente seguros que está cogiendo el proxy pac publicado.

http://support.microsoft.com/kb/271361/es

Saludos.

Hola.

Las últimas semanas he estado trabajando mucho en relación a la publicación de proxy pac que está detrás de la opción “Detectar automáticamente la configuración” a la hora de que el equipo, encuentre la salida correcta por internet.

En los próximos días colgaré bastante información bajot la etiqueda Proxypac, la cual espero que os sea útil si tenéis que realizar pruebas y su posterior puesta en producción.

Por el momento quería dejar publicados los pasos necesarios para limpiar todo rastro de la caché del archivo proxy pac. Esta información es útil ya que como el S.O. cachea este archivo, comprobar cada cambio se convierte en una verdadera pesadilla:

Limpiar caché manualmente:

1. Borrar  por completo el historial del navegador .

2. Abrir un CMD como Administrador.

3. Ejecutar el comando: Del \wpad*.dat /s  (cuidado, borrará cualquier archivo proxy pac que tengáis en el disco.

4. Ejecutar el archiconocido: ipconfig /flushdns

5. Ejecutar: nbtstat –r

6. Abrir navegador.

También deciros que por mi experiencia, Firefox parece que al menos a mí, no me cachea el proxy pac, por lo que en producción va a resultar un tanto pesado, pero para hacer troubleshooting es ideal.

Si quisierais desactivar el cacheado del proxy en todo o parte del parque, os dejo un KB de Microsoft donde podéis ver como se hace, pero, de todas formas, yo limpiaría manualmente la caché en los equipos donde aunque hayáis aplicado esta política o modificación de registro, queráis estar completamente seguros que está cogiendo el proxy pac publicado.

http://support.microsoft.com/kb/271361/es

Saludos.

Hola.

Cuando instaláis una  característica (Feature) o Rol en Windows Server 2012 o Windows 8, os podéis encontrar que sin conexión a internet o contando con una conexión filtrada a través de un proxy, no la activación de estas, no pueda realizarse.

Para solucionar este problema, debéis indicar una fuente de datos correcta ya que Internet, como tal, no es una posibilidad.

Por tanto:

1. Debéis descomprimir el Iso de Ws2012 y/o W8 o copiar el contenido del dvd en una carpeta.

2. Utilizar este comando para la activación de:

dism.exe /online /enable-feature /featurename:Feature /Source:Unidad:\sources\sxs /LimitAccess /all

Ejemplo .Net Framework:

dism.exe /online /enable-feature /featurename:NetFX3 /Source:e:\isos\sources\sxs /LimitAccess /all

Esta es una consulta más o menos común en los foros, pero atentos, pocas instrucciones dadas en estos, añaden la variable /all la cual habilita la activación de dependencias y por tanto, el comando falla fácilmente.

Saludos