Category Archives: Planificacion

Planificacion Seguridad Tools

Microsoft Security Compliance Manager (SCM) – Securizando nuestra infraestructura.

Published by:

Buenos dias,

A partir de hoy, vamos a ver durante varios dias una herramienta que nos ayudará a administrar más eficazmente la seguridad y el proceso de cumplimiento de las tecnologías de Microsoft, se llama Microsoft Security Compliance Manager, (SCM) que ya está en su versión 3.0.

Ademas, esta herramienta gratuita, a través de una sencilla consola gráfica, nos permitirá planificar, implementar, operar y administrar las baselines o bases de referencia de la seguridad de nuestra organización para clientes, servidores y aplicaciones de Microsoft, facilitándonos la gestión del Hardening o bastionado de nuestros sistemas, sin olvidarnos, como viene siendo habitual, del acceso a guias de securización así como todo tipo de documentación adicional.

Características y Beneficios de MSCM.

  • Integration with the System Center 2012 Process Pack for IT GRC: Integración con System Center 2012 proporcionando supervisión y presentación de informes de actividades de cumplimiento.
  • Gold master support: Importación y ventajas sobre nuestras Directivas de Grupo existentes pudiendo crear snapshots o instantáneas de una máquina referencia para poner en marcha nuestro proyecto.
  • Configure stand-alone machines: Implementar nuestras configuraciones a equipos que no están metidos en dominio con una nueva característica denominada GPO Pack.
  • Updated security guidance: Aprovechar la experiencia en seguridad y las mejores prácticas de las guias de seguridad completamente actualizadas, asi como libros de referencia para reducri los riegos mas importantes.
  • Centralized Management of Your Baseline Portfolio: Consola de gestión centralizada que nos permite  planificar, personalizar y exportar líneas base de seguridad. También nos proporciona un acceso completo a una completa cartera de líneas base recomendadas para sistemas operativos tanto cliente como servidor de Microsoft, así como aplicaciones, como pueden ser Office o Internet Explorer.
  • Security Baseline Customization: Nos permite personalizar, comparar, fusionar y revisar todas nuestras configuraciones de políticas sencillamente. Podemos duplicar cualquier Política de cumplimiento y realizar modificaciones sobre ella que se adapten a nuestra infraestructura o empresa.
  • Multiple Export Capabilities: Nos permite exportar lineas base en diferentes formatos, como SLX, GPO, paquetes de Configuración Deseada (DCM), o Security Content Automation Protocol (SCAP) para permitirnos la implemantición y monitorización del cumplimiento.
  • Plantillas de Líneas Base Disponibles.- Inicialmente se incluyen las siguientes:
  1. WindowsServer 2012,
  2. Windows Server 2008 R2 SP1,
  3. Windows Server 2008 SP2,
  4. Windows Server 2003 SP2,
  5. Hyper-V,
  6. Windows 8,
  7. Windows 7 SP1,
  8. Windows Vista SP2,
  9. Windows XP SP3,
  10. BitLocker Drive Encryption,
  11. Windows Internet Explorer 10,
  12. Windows Internet Explorer 9,
  13. Windows Internet Explorer 8,
  14. Microsoft Office 2010 SP1,
  15. Microsoft Office 2007 SP2,
  16. Exchange Server 2010 SP2
  17. Exchange Server 2007 SP3.

Instalación.

Una vez lanzado el ejecutable realiza un chequeo  de actualización de la versión así como si tenemos instalado .Net Framework 4.0 y Microsoft Visual C++ 2010 x86 Redistributable:

MSCM000002

Nos aparecerá el asistente de instalación y vemos que, por defecto, está seleccionado que Siempre hago un chequeo para encontrar nuevas actualizaciones de las baselines.

MSCM000003

Siguiente y aceptaremos los términos de la licencia.

MSCM000004

Nos propone una ruta por defecto de instalación del producto:

MSCM000005

Y nos indica que necesita una base de datos para gestionar la herramienta, por defecto nos instalará Microsoft SQL Server 2008 Express.

MSCM000006

Aceptaremos esta vez los términos de la licencia de la instalación de SQL Express

MSCM000007

Y, ya está preparado para instalar los siguientes productos:

MSCM000008

manos a la obra ….

MSCM000009

Se acabó. Instalación terminada satisfactoriamente.

MSCM000010

Llegados a este punto SCM se inicia automáticamente realzando una descarga inicial de todas las Lineas Base definidas en la herramienta por defecto. Es un proceso largo, no lo olvideis.

MSCM000011

Y ya tenemos nuestra herramienta SCM 3.0:

MSCM000012

Como veis muy sencilla la consola de gestión donde, cada vez que la inicies realizará un chequeo para ver si hay paquetes para descarga nuevos. Nos informará, como es el caso, de que si los hay, estas cuatro en concreto, dos de Office 2013 y dos de SQL 2012:

MSCM000013

Seleccionaremos aquellos que queramos descargar y pulsaremos siguiente. Nos mostrará información detallada sobre cada una de las líneas base a descargar, a qué producto hace referencia, etc.,

MSCM000014

Y realiza la descarga.

MSCM000015

Una vez terminada, ya nos aparecerá en el panel de la izquierda aquellas lineas base nuevas, como en nuestro ejemplo:

MSCM000016

En el próximo post securizaremos un servicio de escritorios remotos sobre una plataforma Windows Server 2012.

Lecturas y descargas recomendadas.

· Link de Descarga.

· Más información sobre Seguridad Compliance Manager.

· Videos cortos.

Blog del Bujarra 3.0.

Security By Default.

Planificacion Seguridad Servicios Windows Windows 2012 Windows 2012 R2

Migrar servicio WSUS desde Windows Server 2003 a Windows Server 2012 R2. Fase 2: Ejecución.

Published by:

Buenos dias, por fin es viernes.

Hoy vamos a ver el paso a paso y el resultado de la migración de nuestro servicio WSUS.

Ya vimos en el post anterior denominado «Planificación» tanto los prerequisitos necesarios como los pasos que vamos a seguir, asi que  …….  Rock & Roll.

1 Usuarios y Grupos Locales.

Recordamos que el servicio WSUS trabaja con usuarios/grupos locales así que tendremos que tenerlos en cuenta en la migración.

En nuestro caso todo lo gestiona un grupo de seguridad del Grupo de Atención al Usuario, tanto los Administradores como los Iformes. (tomamos nota).

Upgradewsus000003

2 Backup de la base de datos de WSUS. 

Desde nuestro Microsoft SQL Server Management Studio Express del servidor origen, realizaremos la copia de seguridad. Seguiremos los siguientes pasos:

  1. Nos conectamos a la instancia del servidor en el Explorador de Objetos de nuestra consola.
  2. Expandimos la bases de datos (DDBB) y seleccionamos la DDBB denominada SUSDB (como puede verse en la captura).
  3. Botón derecho, seleccionaremos Tareas (Tasks) y despues Back UP, donde tendremos que seleccionar los siguientes parámetros para nuestro backup: Base de Datos, tipo, que será Completo y ruta donde almacenar nuestra copia de seguridad.
  4. Pulsaremos OK y ya tendremos nuestra copia de seguridad.

Upgradewsus000008

3 Instalación Microsoft SQL Express & Management Studio en el servidor destino. 

Como ya hemos comentado, lo primero es tener instalado Microsoft SQL Express & Management Studio, asi que me pongo manos a la obra. Ya os facilité los diferentes links de descarrgas de las versiones así que os dejo un par de capturas de la instalación, el Wizard:

Upgradewsus000006

Y seleccionaremos las herramientas de gestión:

Upgradewsus000007

Os dejo abajo un link mucho mas exhaustivo y detallado de cómo instalar SQL Express Management Studio en las lecturas recomendadas.

Por cierto, al realizar la instalación de la versión 2012, probablemente os aparezca el siguiente error si no teneis instalado el .Net Framework 3.5

Upgradewsus00000

Lo solucionaremos como vimos hace poco en este post «No puedo instalar .Net Framework 3.5 en Windows Server 2012 y Windows Server 2012 R2. Una solución quiero!»

 

Upgradewsus000011B

4 Restauración de la base de datos de WSUS en el servidor destino. 

Pasos a seguir:

  1. Abrimos Microsoft SQL Management Studio y lo conectamos a la instancia local instalada en el punto anterior.
  2. Expandimos las bases de datos.
  3. Botón derecho sobre bases de datos y seleccionamos «Restaurar base de datos».
  4. Seleccioanremos l
  5. Se realiza la restauración.
  6. Chin pun, finiquito.

Upgradewsus000012

Insisito, fácil

Upgradewsus000014

5 Instalación del Rol WSUS en el servidor destino.

Necesitaremos las siguientes características para la instalación del rol:

  • .NET Framework. (ya la hemos instalado en puntos anteriores).Upgradewsus000015
  • Background Intelligent Transfer Service (BITS) 2.0.
  • Microsoft Internet Information Services (IIS).

Podemos instalarlas via PowerShell (PS) con el siguiente cmdlet:

Import-Module ServerManager

Add-WindowsFeature Bitstransfer IISUpgradewsus000017

O desde el Server Manager, al libre albedrío.

Despues, continuaríamos con los siguientes pasos:

  1. ServerManager.
  2. Añadir Roles y Características, donde seleccionamos WSUS.
  3. Automáticamente nos aparecen los Roles y las Características necesarias para la instalación de WSUS, que os resumo

Upgradewsus000018bUpgradewsus000020b

4. Configuración inicial para la instalación del servicio WSUS.

5. Seleccionaremos, en nuestro caso, los siguientes roles:

6. Seleccionaremos la ruta donde se almacenarán las actualizaciones:

Upgradewsus000021

7. Apuntamos la conexión a la base de datos que acabamos de restaurar:

Upgradewsus00002

Se lanza la instalación de todos estos roles y características. Si os fijais, ya nos indica que existen unas tareas que tendremos que configurar una vez se haya terminado dicha instalación:

Upgradewsus000022

Una vez terminada la instalación, con o sin reinicio, realizamos las tareas post-despliegue:

Upgradewsus000023

8. Conectaremos la base de datos y el almacenamiento para las descargas del servicio WSUS:

Upgradewsus000026

Comprobaremos que todo ha sido correcto:

Upgradewsus000027

9. Se lanza el asistente de configuración del servicio WSUS (como si fuese la primera vez pero no lo es)

Upgradewsus000028

Siguiente:

Upgradewsus000029

10. Elegiremos de dónde nos vamos a descargar los parches (al igual que el Servidor origen).

Upgradewsus000030

11. Comprobaremos credenciales, si son necesarias, para el acceso a internet:

Upgradewsus000031

Y ya estaría instalado el servicio

7 Cambio de WSUS server Identity

Como ya comentamos, nuestra intención es que los usuarios finales, ya sean servidores o clientes, no se vean afectados por este cambio. Ya sabemos que el servicio WSUS le asigna a cada servidor un GUID distinto al de AD y trabaja con él, lo que tenemos que hacer es que al cambiar de servidor y base de datos, el cliente final no se vea afectado perdiendo la conexión con el servicio WSUS.

1. En el nuevo servidor abriremos consola de PowerShell con privilegios de administrador.

2. Importaremos el módulo de WSUS.

2. Ejecutaremos el siguiente script:

$updateServer = get-wsusserver

$config = $updateServer.GetConfiguration()

$config.ServerId = [System.Guid]::NewGuid()

$config.Save()

Todo de una vez, para verlo mas claro:

Upgradewsus000032

4. Tan pronto la identidad haya cambiado, ejecutaremos el siguiente comando para generar una nueva clave de encriptación: WSUSUTIL.exe Postinstall

 

8 Usuarios y Grupos Locales.

Recordamos los usuarios que pertenecían a los gurpos de gestión del servicio WSUS y los introducimos desde el Server Manager:

Upgradewsus000061

9 Apuntar a todos los clientes a la nueva dirección del servidor WSUS.

Desde la consola gpmc.msc de gestión de Políticas de Grupo de Directorio Activo actualizaremos el Servidor que realiza las tareas de WSUS (Specify intranet Microsoft update service policy) en cada una de las GPOs de actualización de parches que existan:

Upgradewsus000034

Luego, para forzar a los clientes a detectar el nuevo servidor destino, desde una consola podemos ejecutar los siguientes comandos:

  • wuauclt.exe /resetauthorization /detectnow
  • GPUpdate /Force.

 

10 Verificar la configuración del servidor destino.

Comprobarermos el correcto funcionamiento de nuestro nuevo servidor. ¿cómo? realizando las siguientes comprobaciones desde la consola de gestión del servicio WSUS:

  • Expandiremos Equipos y verificaremos las últimas conexiones o reportes de cada equipo, si empiezan a actualizarse es que todo está correcto.

Upgradewsus000062

  • Realizaremos una sincronización con Microsoft Windows Update y verificaremos si es correcta.

Upgradewsus0000101

  • Verificar si existen servidores réplica a los que nuestro nuevo servidor distribuye parches ya actualizaciones de seguridad:

Upgradewsus000063

11 Verificación de la funcionalidad del servicio WSUS en los clientes.

Podremos comprobar el funcionamiento correcto del servicio en el log que deja WSUS en cada cliente en la ruta%WinDir%\WindowsUpdate.log

 

Lecturas recomendadas:

Lo se, vaya ladrillo, pero ya sabeis que la realidad supera la ficción y la planificación.

Buen fin de semana.

Planificacion Seguridad Servicios Windows Windows 2012 Windows 2012 R2

Migrar servicio WSUS desde Windows Server 2003 a Windows Server 2012 R2. Fase 1: Planificación.

Published by:

Otro de los muchos proyectos en los que estoy involucrado es la migración de todos los servicios que tengo instalados sobre Windows 2003 Server a Windows Server 2012 o Windows Server 2012 R2. En este caso voy a comentar los pasos a realizar para migrar el servicio Windows Server Update Services (WSUS). En este primero post vamos a planificar (ese gran desconocido) la migración, ya en un segundo post lo veremos mas a fondo, paso a paso,  y, sobre todo, veremos el resultado.

Upgradewsus000002

Necesidades

Crear un nuevo servidor virtual con la siguiente configuración de Hardware:

  • SO: Windows Server 2012 o Windows Server 212 R2 Standard Edition
  • Memoria RAM: 2 GB (minimo).
  • vCPUs: 4
  • Discos: 2 discos, uno para el sistema operativo y otro para el servicio WSUS que suele crecer bastante si  no lo gestionamos bien.

Preprequisitos

  • Recolectar información sobre los servidores involucrados, dirección IP, nombre e instancia de la base de datos WSUS, servicios y usuarios involucrados, etc.
  • Descargar e instalar Microsoft SQL Server Management Studio en los servidores Origen (Servidor A) y destino (Servidor B).
  • No lanzar la instalación inicial del rol WSUS sobre el servidor destino.
  • Verificar que no vamos a instalar el servicio sobre un Controlador de Dominio,
  • Que el servidor destino esté en dominio y sincronizado en hora con el PDC.
  • Tener los permisos necesarios tanto en origen como en destino para realizar todas estas tareas.

Los pasos planificados a seguir son los siguientes:

1 Usuarios y Grupos Locales.Upgradewsus000003

El servicio WSUS trabaja con usuarios/grupos locales así que tendremos que tenerlos en cuanta en la migración.

2 Backup de la base de datos de WSUS.

Desde nuestro Microsoft SQL Server Management Studio Express, podremos realizar la copia de seguridad de la base de datos de WSUS (Links de descargar version 2005, 2008 y 2012).

3 Restauración de la base de datos de WSUS en el servidor destino. 

Es el paso inverso al anterior. En principio no tiene porque darnos ningún problema.

4 Instalación del Rol WSUS en el servidor destino.

Ya en el servidor destino con Windows Server 2012 o Windows Server 2012 R2, necesitaremos las siguientes características para la instalación del rol:

  • .NET Framework. (ya la hemos instalado en puntos anteriores).
  • Background Intelligent Transfer Service (BITS) 2.0.
  • Microsoft Internet Information Services (IIS).

5 Cambio de WSUS server Identity

La intención es que los usuarios finales, ya sean servidores o equipos clientes, no se vean afectados por este cambio. Ya sabemos que el servicio WSUS le asigna a cada servidor un GUID distinto al de AD y trabaja con él, lo que tenemos que hacer, a través de un script de Powershell, cambiar la identidad del servidor WSUS y generar una nueva clave de cifrado.

6 Apuntar a todos los clientes a la nueva dirección del servidor WSUS.

Se trataría de cambiar la URL en las distintas GPOs que tengamos configuradas en nuestros dominios. Muy sencillo.

7 Verificar la configuración del servidor destino.

Comprobar el correcto funcionamiento de nuestro nuevo servidor.

8 Verificación de la funcionalidad del servicio WSUS en los clientes.

Podremos comprobar el funcionamiento correcto del servicio en el log que deja WSUS en cada cliente en la ruta%WinDir%\WindowsUpdate.log

 

Y poco mas. Como veis son 8 pasos bastante sencillos. Me gustaría tener el segundo post para finales de esta semana, ya se verá.

Lecturas recomendadas:

Y también os dejo este video, espero que os sea util:

Planificacion vida

Papeleo que hacer cuando nace un niño – Resultado final.

Published by:

Una vez revisado todo el papeleo que hay que hacer cuando tienes un niño, os dejo el resultado final del mismo para que no cometais los mismos errores que yo.

1. Registro Civil.

Suele ser la primera de las gestiones, inscribir en el Registro Civil Central o de tu localidad al recien nacido.

  • Documentación necesaria.-
    • Informe médico o Parte médico del alumbramiento.- Impreso que nos facilitan en el hospital donde ha nacido el churumbel. Consejo, rellenar bien los datos o, al menos, verificar que son correctos antes de salir hacia el Registro.
    • Información estadística.- Custionario a rellenar que te entregan en el Registro.
    • Solucitud de inscripción en el Registro. Normalmente lo rellena el funcionario que te atiende.
    • Libro de familia.- O documento que acredite que el matrimonio está legalizado. En el caso de parejas de hecho y similares se tendrán que presentar personalmente aportando la misma documentación. En caso de divorcio de uno o los dos padres,  hay que aportar los papeles de dicho divorcio.
    • DNI.- Puede ser que os lo pidan, aunque con el Libro de familia suele valer.
  • Plazo.- Se puede realizar desde las 24 horas del nacimiento hasta los ocho dias después.

2. Seguridad Social.

En la SS tendremos que realizar varias gestiones:

  • Inscripción al INSS.- Esta gestión la realizaremos en la Oficina del INSS que nos corresponda (ver aqui) y os sugiero que hagais la solicitud de cita previa cuanto antes mejor. A mi, en Madrid, me han dado cita mas de dos semanas después y al ir al Ambulatorio me equparaban el «estado» del recien nacido con el de un mendigo sin tarjeta média, vamos, al menos sorprendente.
    • Documentación necesaria.-
      • Certificado de la inscripción en el Registro Civil (ver punto anterior) o Libro de familia.
      • Cartilla de la Seguridad Social del padre/madre que se hará beneficiario del bebé. Normalmente será aquel que disponga de mas tiempo para ir al médico, que son unas cuantas veces. No confundir con la tarjeta de la SS.
      • Formulario P1, que ya se puede descargar de internet, acceder a través de la Sede Electronica o rellenarlo directamente en las oficinas de la SS. No os preocupeis si veis que es un documento para «Pensionistas», son las cosas de la vida.howToBebe0001
    • Plazo.- Aqui no tenemos un plazo determinado pero conviene realizarlo lo antes posible, por la asignación de pediatra.
  • Solicitud de prestación/permiso por maternidad y parternidad.- Las madres trabajadoras tienen derecho a 16 semanas y el padre a 15 (13+2) dias del 100% de su salario. Ambas se gestionan en las oficinas del INSS.
    • Documentación necesaria.-
      • Cumplimentar formulario de solicitud de maternidad/paternidad.- Lo podemos descargar desde aqui.
      • Original y Fotocopia DNI de ambos.
      • Certificado de la empresa informando de la situación del trabajador/a.- Incluirá la fecha de inicio de la maternidad y/o paternidad, datos de cotización y jsifiticación de estar al corriente de pago de las cuotas. Tenemos que tener en cuenta en este punto situaciones especiales como funcionarios que no están incluidos en la SS, familias numerosas, autónomos, etc., que requerirá, probablemente, certificados o documentación adicional. También lo podemos descargar desde aqui.
      • Informe médico de maternidad.- Esto ya nos lo facilitaron al nacer la criatura. Solo para la solicitud de prestación por maternidad.
      • Libro de familia o Certificado de Inscripción en el Registro Civil.
    • Plazo.- Tampoco tenemos plazo estipulado aunque recomiendo que se haga cuanto antes. Primero habrá que acercarse a la empresa/as para recoger el certificado y luego al INSS.

  • Solicitud de Tarjeta Sanitaria.- Una vez inscritos, nos vamos a nuestro Centro de Salud para solicitar la tarjeta sanitaria al pitufo y nos asignen un pediatrá que podrá verificar y controlar el crecimiento del cachorro.
    • Documentación necesaria.-
      • Documento que nos habrá facilitado en el INSS de inscripción del pequeño.
      • Tarjeta de la Seguridad Social del padre/madre que se hará beneficiario del bebé. Tengo que confirmar si también una fotocopia de la misma.
    • Plazo.- Tampoco tenemos plazo. La única prisa es la asignación de pediatra al niño.

3. Empadronamiento.

En muchos ayuntamientos ya desde el Registro Civil lo comunican inscribiendo al bebé en el domicilio en el que estén empadronados ambos padres o dándo preferencia al domicilio de la madre, en el caso de que no coincidan. Suele ocurrir que viendo la rapidez de los trámites burocráticos, en general y en particular, de este pais, los padres decidan adelantarse e inscribir al niño.

  • Documentación necesaria.-
    • Certificado de. Registro Civil.- Que ya lo tenemos del primer punto, o Libro de familia.
    • Original y Fotocopia DNI de la persona que va a inscribirlo.
  • Plazo.- Tampoco tenemos un plazo estipulado.

4. Hacienda. «Ayuda» de cien euros por ser madre trabajadora.

El Ministerio de Hacienda proporciona una ayuda de 100 euros mensuales por hijo a las madres trabajadoras con niños menores de 3 años. Eso os lo que nos venden, aunque realmente es una deducción en el impuesto sobre la renta anual de 1200€, o con un pago mensual de 100€. Se trata de una dedución a las madres que trabjen fuera del hogar, por cada hijo biológico o adoptado que tenga menos de 3 años. Sólo es necesario trabajar y estar dada de alta en la Seguridad Social.

  • Documentación necesaria.- Se puede realizar telefónicamente llamando al 901 200 345 (pulsando el 1 te pasan directamente a la gestión de este servicio), a través de Internet www.aeat.es, o en una Delegación de Hacienda. En este caso, ha sido impresionante la rapidez y facilidad de la tramitación.
  • Plazo.- Tampoco tenemos un plazo estipulado.

Refelexión de la España del WakaWaka.

Resumiendo, cuando tuve a mi primer hijo tarde 3 dias en hacer todos estos papeles, hace algo mas de dos años. Hoy, siglo XXI, año 2013, España (de momento), Comunidad de Madrid, he tardado mas de 18 dias en realizar todas las gestiones. Será por los recortes en Sanidad? Será por que todo el dinero se lo estan llevando los políticos? ¿Desidia en la Administración?. Sinceramente, tercermundista es lo que me parece.

Feliz año nuevo 2014.