Category Archives: Seguridad

Azure Azure Stack AzureAD Seguridad

Como crear tu rol RBAC personalizado para Azure.

Published by:

Buenos dias,

Hace poco en una visita a un buen cliente me comentó que determinados usuarios eran capaces de gestionar las máquinas virtuales que tenia en producción, reiniciarlas, cambiarlas el tamaño, etc., asi como trastear con las bases de datos de Azure SQL, y realmente nos dimos cuenta que un usuario con un rol administrativo, que solo se tenia que encargar de gestionar los servicios IaaS y PaaS,  podria darse la casualidad de que accediese al contenido de una base de datos.

En ese momento nos surgió la duda sobre qué permisos tenia asignados ese usuario en concreto y cuales eran los permisos que realmente tenia que tener, una situación algo mas habitual de lo que pensamos.

Azure Active Directory, desde que estamos en ARM (v2 de Azure), disponemos de toda la potencia del Control de Acceso basado en Roles, vamos lo que conocemos por RBAC y, en el caso de no encontrar un Rol creado por defecto con las caracterísitcas que necesitamos pues …….. lo creamos y personalizamos……. sin olvidarnos de las premisas ya aprendias de los principios básicos de «minimos privilegios»

¿Que tareas y accesos necesitamos que tenga nuestro usuario administrador de PaaS e IaaS?

  • Poder apagar, reiniciar, VMs,
  • Realizar un Resizing de IaaS.
  • Gestionar las copias de seguridad de las mismas.
  • Gestionar los Servidores de Azure SQL.
  • Gestión de las bases de datos de Azure SQL
  • No tener acceso al contenido de las bases de datos de Azure SQL.
  • …..

Estos roles se pueden asociar tanto a usuarios como a grupos, recordar, siempre mejor asignar roles a grupos y posteriormante incluir al usuario dentro del grupo, Best Practices. Ademas, podemos aplicar estos privilegios de acceso tanto a nivel de la suscripción como a nivel de Grupos de Recursos, lo que se conoce como ámbito de aplicación.  Un detalle a tener en cuenta es que la aplicación de estos privilegios conlleva a la suma de los mismos, en el caso de que haya múltiples pertenencias a grupos.

Hay que decir que tenemos muchos roles RBAC predefinidos que, probablemente, cumplan con nuestras necesidades, para muestra un boton ….

Podemos sacar un listado de ellos con el siguiente cmdlet:
# Listar roles RBAC
Get-AzureRmRoleDefinition | Format-Table Name, Description
Ademas, podemos ver las características de los roles que, en principio, se acercan a cubrir nuestras necesidades:
Get-AzureRmRoleDefinition «Virtual Machine Contributor»
Get-AzureRmRoleDefinition «SQL Server Contributor»

Creación del rol personalizado.

Lo hacemos via Powershell, ese gran amigo. Como primer paso tenemos que definir tanto el Nombre del rol personalizado, Descirpción del mismo, Actions, NotActions y, muy importante, ámbitro de aplicación del rol a traves de la generación de un fichero .json, que, para nuestro ejemplo, denominaremos JordiCustomRBACAzureADRole.json
{
«Name»: «Jordi custom Role»,
«Id»: null,
«IsCustom»: true,
«Description»: «Lets you manage virtual machines, but not access to them, and not the virtual network or storage account they’re connected to, and Lets you manage SQL servers and databases, but not access to them, and not their security -related policies.»,
«Actions»: [
«Microsoft.Authorization/*/read»,
«Microsoft.Compute/availabilitySets/*»,
«Microsoft.Compute/locations/*»,
«Microsoft.Compute/virtualMachines/*»,
«Microsoft.Compute/virtualMachineScaleSets/*»,
«Microsoft.DevTestLab/schedules/*»,
«Microsoft.Insights/alertRules/*»,
«Microsoft.Network/applicationGateways/backendAddressPools/join/action»,
«Microsoft.Network/loadBalancers/backendAddressPools/join/action»,
«Microsoft.Network/loadBalancers/inboundNatPools/join/action»,
«Microsoft.Network/loadBalancers/inboundNatRules/join/action»,
«Microsoft.Network/loadBalancers/probes/join/action»,
«Microsoft.Network/loadBalancers/read»,
«Microsoft.Network/locations/*»,
«Microsoft.Network/networkInterfaces/*»,
«Microsoft.Network/networkSecurityGroups/join/action»,
«Microsoft.Network/networkSecurityGroups/read»,
«Microsoft.Network/publicIPAddresses/join/action»,
«Microsoft.Network/publicIPAddresses/read»,
«Microsoft.Network/virtualNetworks/read»,
«Microsoft.Network/virtualNetworks/subnets/join/action»,
«Microsoft.RecoveryServices/locations/*»,
«Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/*/read»,
«Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/read»,
«Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/write»,
«Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/write»,
«Microsoft.RecoveryServices/Vaults/backupPolicies/read»,
«Microsoft.RecoveryServices/Vaults/backupPolicies/write»,
«Microsoft.RecoveryServices/Vaults/read»,
«Microsoft.RecoveryServices/Vaults/usages/read»,
«Microsoft.RecoveryServices/Vaults/write»,
«Microsoft.ResourceHealth/availabilityStatuses/read»,
«Microsoft.Resources/deployments/*»,
«Microsoft.Resources/subscriptions/resourceGroups/read»,
«Microsoft.Sql/locations/*/read»,
«Microsoft.Sql/servers/*»,
«Microsoft.Storage/storageAccounts/listKeys/action»,
«Microsoft.Storage/storageAccounts/read»,
«Microsoft.Support/*»
],
«NotActions»: [
«Microsoft.Sql/servers/auditingPolicies/*»,
«Microsoft.Sql/servers/auditingSettings/*»,
«Microsoft.Sql/servers/databases/auditingPolicies/*»,
«Microsoft.Sql/servers/databases/auditingSettings/*»,
«Microsoft.Sql/servers/databases/auditRecords/read»,
«Microsoft.Sql/servers/databases/connectionPolicies/*»,
«Microsoft.Sql/servers/databases/dataMaskingPolicies/*»,
«Microsoft.Sql/servers/databases/extendedAuditingSettings/*»,
«Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*»,
«Microsoft.Sql/servers/databases/securityAlertPolicies/*»,
«Microsoft.Sql/servers/databases/securityMetrics/*»,
«Microsoft.Sql/servers/databases/sensitivityLabels/*»,
«Microsoft.Sql/servers/databases/vulnerabilityAssessments/*»,
«Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/*»,
«Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/*»,
«Microsoft.Sql/servers/extendedAuditingSettings/*»,
«Microsoft.Sql/servers/securityAlertPolicies/*»
],
«DataActions»: [
],
«NotDataActions»: [
],
«AssignableScopes»: [
«/subscriptions/XXXX-xxxx-XXXXX-xxxxx/resourceGroups/Desktops«
]
En el he tratado de recoger todas las tareas a realizar por nuestro rol personalizado «Jordi» a nivel Iaas sobre las máquinas virtuales asi como PaaS, nuestros servidores y bases de datos Azure SQL.

Aplicación del Rol personalizado.

En el paso anterior solo hemos definido el rol, ahora vamos a crearlo y aplicarlo al ámbito deseado ¿cómo? lo mas facil, a través de la aplicación del siguiente cmdlet:

Comprobación de la creación del rol personalizado

Como últimos pasos, primero vamos a comprobar que el rol se ha creado en Azure, que com podeis ver, tiene un icono distinto al resto de los precreados:
Y, segundo, la comprobación de que realmente nuestro usuario Jordi no puede acceder, por ejemplo a Dynamic Data Masking 😉

Perfecto!!!!! Esto es lo que queriamos!!!!!

Aqui os dejo un video muy interesantes, del gran Paco Sepulveda (@FMSepulveda), tomar nota y apuntaros su Twitter y su gran blog:

Un abrazo,

Roberto

Azure Directorio Activo Seguridad

Azure y el [G]ran [D]olor de las [P]ersonas [R]esponsables de IT– Track de Azure BootCamp 2018.

Published by:

Buenos dias,

Ya han pasado un par de semanas del Azure BootCamp de este año 2018, y aqui os dejo el Track en el que participé, Azure y el Gran Dolor de las Personas Responsables de IT, donde os contamos las distintas herramientas que Microsoft Azure nos proporciona para el cumplimiento de la nueva normativa europea, GDPR.

Como podeis ver, nuevamente estoy muy bien acompañado, en este caso de mi compañero del InsightIberiaTeam (@InsightIberia), Carlos de Nova (@cnova29) bitácora andante de Azure y Office 365. El gran Evangelista y Showman Paulo Dias (@ratocego) por motivos personales no pudo estar con nosotros. Le echamos de menos 😉

Si os interesa la PPT que utilizamos en el Track podeis acceder desde este link: PPT de Azure BootCamp 2018.

Buen fin de semana,

Roberto

Azure Azure Security Center Formacion Seguridad

Sesion Azure Security Center, me siento seguroooo!!!

Published by:

Buenas noches a todos,

Se que es tarde pero aprovecho para adelantaros mi primera sesión para el nuevo año «Azure Security Center, me siento segurooo!!!!».

Dar las gracias al organizador de la misma, el Microsoft MVP Data Platform Juan Carlos Gilaranz desde su blog www.mundosql.es (@_juankar_), no dejeis de seguirle.

Hablaré sobre ¿Que es Azure Security Center?¿Que nos ofrece en sus dos versiones, la Free y la Estándar?¿Qué son las recomendaciones de seguridad?¿Que recursos de Azure supervisa este servicio?¿Qué son las directivas de seguridad?, etc., vamos, un paseo claro y conciso. Espero que os guste y os sea útil.

Si este post lo pongo mañana, no me ibais a creer, ¿cierto?

Besos y abrazos,

Administración Azure OMS Seguridad System Center

Serie OMS – VI – Despliegue de soluciones: Automation & Control.

Published by:

Buenos dias,

Continuamos con los escenarios de despliegue básico de soluciones de OMS. Ya hemos visto Insight & Analytics y Security & Compliance. Pues vamos con  Automatización & Control.

¿Que nos proporciona esta solución?. Pues entre otras cosas:

  • Simplificar la gestión de nuestra nube o entorno Hibrido a traves de la automatización de procesos.
  • Lo que todos queremos, crear, monitorizar, administrar y desplegar recursos en nuestros entornos mientras reducimos errores y aumentamos la eficiencia,
  • Administración de los cambios realizados en nuestros servicios.
  • Implementación, actualización automática y supervisión constante de nuestros recursos IT.
  • Sin olvidarnos de la reducción de costes operativos.

Una vez sabemos que nos puede aportar, vamos a desplegarla sobre nuestro Workspace.

Automatización & Control.

Nuevamente, vamos de compras … a la “Galeria de Soluciones” ….

Añadimos la que deseamos…

En este caso y para la solución de Change Tracking necesitamos una cuenta de automatización de Azure, que podemos utilizar una ya existente que no esté asignada a otro Workspace de OMS o crearla automáticamente.

Ahora ya podemos desplegar nuestra solución:

Este paquete nos ofrece el despliegue de las siguientes soluciones: “Change Tracking ” y “Update Management“. Asi es como ya tenemos nuestro Cuadro de Mandos …. Como ha mejorado!!

Vayamos a ver cada solución individualmente.

1 Update Management.- Nos va a aportar una evaluación del malware existente en aquellos servidores en los que hayamos desplegado OMS y conectado a nuestro workspace.

De un simple vistazo nos aporta información sobre:

  • Equipos examinados.- Nos lista que equipos necesitan actualizaciones ya sean críticas, de seguridad o de otro tipo. También nos dice qué equipos están completamente actualizados.
  • Actualizaciones pendientes.- Nos muestra un listado de las actualizaciones que están pendientes de aplicar en nuestra infraestructura, ya sean cr´citas, de seguridad u otras.

2 Change Tracking.- Nos va a aportar una evaluación del malware existente en aquellos servidores en los que hayamos desplegado OMS y conectado a nuestro workspace.

Nos muestra

  • Cambios realizados en nuestra infraestructura, ya sean Daemos, ficheros, cambios en el registro, de software, cambios en los servicios e Windows, todo ellos registrados en tiempo real.
  • Cambios ordenados por tipo de configuración.- Si han sido por Software, por servicios, etc.
  • Cambios de Software.- programas o aplicaciones que se han añadido, eliminado o modificadas por equipo
  • Numero de aplicaciones y cambios realizados.- Que aplicaciones han sufrido alguna actualización.
  • …….

Vamos que ya tenemos nuestro Cuadro de Mandos repleto de información que nos permitirá tener super contralodos y centrados todos los cambios realizados en cualquier equipo monitorizado por OMS

Y para terminar hoy, os dejo con un Webinar sobre esta solución:

Que tengais una gran semana ….

Un abrazo,

Administración Azure Backup Cloud Computing OMS Seguridad System Center

Serie OMS – V – Despliegue de soluciones: Security & Compliance.

Published by:

Buenos dias,

Continuamos con los escenarios de despliegue de soluciones de OMS. Ya hemos visto Insight & Analytics. Pues vamos con Security & Compliance.

¿Que nos proporciona esta solución?. Pues entre otras cosas:

  • Prevenir y detectar amenazas, pudiendo responderlas.
  • Control de seguridad centralizado.
  • Definición de directivas que supervisen y recomienden configuraciones base de seguridad.
  • Identificar actulizaciones de los sistemas gestionados,
  • Estado del malware,
  • Recopilación de eventos relacionados con la seguridad
  • Realización de análisis forenses.

Una vez sabemos que nos puede aportar, vamos a desplegarla sobre nuestro Workspace de Demo.

Security & Compliance.

Nuevamente, vamos de compras … a la “Galeria de Soluciones” ….

Añadimos la que deseamos…

En este caso, este paquete nos ofrece el despliegue de las siguientes soluciones: “Antimalware Assessment” y “Security and Audit“, en un principio. Ya veremos que podemos incluir alguna mas. Una vez terminado este proceso,vemos como ha quedado nuestro panel

Al contrario que en el despliegue de soluciones anterior, no hay que hacer ninguna configuración adicional. Y en menos de 5 minutos ya tenemos una visualización inicial de los examenes que está realizando:

Vayamos a ver cada solución individualmente.

1 Antimalware Assessment.- Nos va a aportar una evaluación del malware existente en aquellos servidores en los que hayamos desplegado OMS y conectado a nuestro workspace.

Como podeis ver, en mi entorno de Demo, la verdad es que hay poca información relevante. Pero en otros entornos que he visitado suele aportar mas información:

Donde vemos que hay equipos sin protección real, que se controla si la firma de los motores de antivirus está o no actualizada, el tipo de antivirus/antimalware utilizado en cada equipo, amenazas detectadas, etc.

2  Security and Audit.- Esta segunda solución nos informa de la seguridad en nuestra red, en el acceso e identidad, en los equipos/servidores, etc., Esto es parte del dashboard:

Nada mas acceder, una vez instalado, nos sugerirá que creamos una serie de alertas que nos mantendrán informados de los principales problemas de seguridad:

Como podeis observar se divide en varios paneles, os voy comentando:

Security Domains.- Nos proporciona accesos a otros paneles como «Inteligencia de amenzas», donde nos muestra un mapa mundial y la ubicación de las amenazas mas recientes. Acceso al panel de Antimalware Assesment, acceso a los eventos de seguridad de los equipos monitorizados, …

…. Hasta tenemos accso a Azure Security Center, donde se nos hacen una serie de recomendaciones de severidad Alta y media, en mi caso:

Notable Issues.- Este panel nos desglosa las actualizaciones que están pendientes de instalar en nuestros equipos asi como por ejemplo, cuentas que han tenido errores a la hora de hacer «log on»:

Y para terminar hoy, os dejo este interesante vídeo sobre esta solución:

ADFS Azure Seguridad

Cambio del hash de firma del algoritmo para usuarios de confianza de Office 365 en ADFS.

Published by:

Buenos dias,

Empezamos la semana con una «Pildora» sobre Active Directory Federation Services (ADFS), Azure Active Directory y Office 365.

Por defecto ADFS firma sus tokens en Azure AD para asegurarse que no se pueden modificar o alterar, obviamente, la seguridad es lo primero. Esta firma se basa en varios algoritmos de cifrado públicos, concretamente en SHA1 (Secure Hash Algorithm), o en SHA256.

Cuando desplegas un servicio de ADFS desde cero, o ya lo tienes desplegado, y te dispones a crear una delegación de confianza en un tercero, como pueda ser office 365 y quien está por detras que sabemos que es Azure Active Directory, la opción que se configura por defecto como Algoritmo de Hash Seguro es SHA1.

Como buena práctica lo habitual es cambiarlo a SHA256. Nos dirigimos a «Relying Party Trust, seleccionamos «Microsoft Office 365 Identity Platform», propiedades, vamos a la pestaña de «Advanced» y cambiarmos de uno a otro. Así de sencillo.

Buena semana a todos,

Roberto

Antivirus Seguridad Windows 2012 R2

Como actualizar Microsoft Security Essentials en un Windows Server 2012 R2.

Published by:

Hace poco hablamos de «Como instalar Microsoft Security Essentials en un Windows Server 2012 R2.«, detalle poco habitual el de instalar un antivirus «StandAlone» en nuestros servidores, sin consola de gestión etc. Pusimos como ejemplo un servido en la nube,

He recibido algún mensaje comentándome que llegado a un punto, al actualizar dicho antivirus con el Update 4.9.218.0 (KB3140527) de febrero de este año, daba el siguiente error.

Bien, pues vamos a solucionar este problema.

Nos situamos en la ruta c:\windows\softwaredistribution\download donde podemos encontrar el fichero descargado del Update del antivirus:

Pero no lo logra ejecutar dicha actualización. Ya vimos en el anterior post que hay que realizarlo de forma manual, por compatibilidad con Windows 7 y desde línea de comando con un Switch especial. Vamos a copiar este fichero denominado d2230a….. a una carpeta que tengamos privilegios, por ejemplo, c:\tmp y lo vamos a renombrar como update.exe. Si os fijais es el mismo fichero en la captura de abajo:

Botón derecho sobre el fichero renombrado y seleccionaremos, como ya hemos comentado, el modo de compatibilidad con Windows 7.

Ahora, al igual que hicimos con la instalación inicial, dese una consola con privilegios de administrador local, lanzamos la actualización con el switch /disableoslimit

Aparece el asistente de instalación de la actualización del Antivirus, seleccionamos «upgrade» ..

y ….

Tachan!!!!! Actualizado.

Espero que os sea útil.

Me despido por hoy, última semana del año, felices fiestas y el viernes … último y primer post sobre Operational Manager Suite (OMS), la caña.

Besos y abrazos.

Azure CA Seguridad SSL

Securiza tus dominios de tus Web Apps de Azure con HTTPS.

Published by:

Buenos dias,

Una práctica habitual es la de securizar los dominios de nuestras aplicaciones web a través de un certificado SSL. Hoy vamos a ver cómo habilitar HTTPS para nuestra aplicación web con dominio personalizado.

¿Qué necesitamos?

  • Configurar el dominio personalizado en nuestra Web App de Azure.- Desde el portal de Azure, Web Apps, «Custom domains» o dominios personalizados …. aqui tenemos que tener nuestro dominio, por ejemplo: www.xyz.es …

generateCSRAzure000

  • Tener un Plan de Servicio acorde a las necesidades.- Me refiero que hay que tener o escalar a un plan de servicio que soporte certificados SSL. Podemos ver en este linnk los precios y características de ls Service Plans de Azure: https://azure.microsoft.com/en-us/pricing/details/app-service/plans/

generateCSRAzure000a

  • Obtener un certificado SSL.-Si no lo tenemos, necestiaremos un certificado SSL emitido por una Entidad  Certificadora oficial con los siguientes requerimientos:
    • Que esté firmado por una Entidad Certificadora Oficial.
    • Que contenga la clave privada (importante).
    • Que esté creado en formato de intercambio de claves y sea exportable, vamos .PFX.
    • Que utilice, como mínimo, un cifrado de 2048 bits.
    • Que el nombre del asunto coincida con el del dominio personalizado (no entrea a valorar certificados Wildcard *).
    • Que combine todos los certificados intermedios utilizados. Para que no haya ningún salto de confiabilidad.

Y eso es lo que os voy a explicar …

Step 1. Creación de Petición para la CA (Certificate request = csr).

Vamos a realizar este paso directamente desde nuestro equipo utilizando la herramienta Certreq.exe.

  • Creamos un fichero de texto con todos los datos importantes que va a contener la petición como el nombre del certificado, Unidad Organizativa, cifrado, exportable y, sobre todo el OID para «Server Authentication»

Le damos un mobre a nuestro fichero, por ejemplo, NewRequest.txt

  • Abriremos una consola (CD) y ejecutaremos el siguiente comando:

certreq -new \path\to\myrequest.txt  \path\to\create\myrequest.csr

siguiendo con nuestro ejemplo, ejecutaremos:

generateCSRAzure0002

Vemos que nos ha generado nuestro fichero csr que es el que tenemos que enviar a la Entidad Certificadora para que nos devuelva el certificado a desplegar en nuestro Web Site

generateCSRAzure0003

  • Enviar a la Entidad Certificadora (CA) nuestro fichero newrequest.csr  para que nos devuelva el certificado SSL a desplegar en nuestro Web Site. En unos casos habrá que cargar el archivo en un formulario web y en otros enviarlo por correo y esperar respuesta.

No hay que olvidarse de que si la CA utilizada Entidades Certificadoras Intermediarias, habrá que bajarse toda la cadena de certificados.

Step 2. Instalación de Certificado expedido por la CA.

Si abrimos una consola (mmc), con el Snap-in de Certificados, podemos observar que estamos a la espera de recibir el fichero, normalmente en formato .P7b, de la entidad Certificadora del certificado que hemos generado:

generateCSRAzure0010

Una vez la CA nos ha respondido guardamos dicho fichero en nuestro directorio de trabajo y ejecutaremos el siguiente comando

certreq -Accept C:\temp\Certs\cert.p7b

Este comando almacenará el certificado en el almacén de certificados de Windows. A través de nuestra consola (mmc) podemos observar que la solicitud de certificados ha desaparecido y se ha convertido en un Certificado SSL:

generateCSRAzure0011

Step 3: Exportación del Certificado.

Ahora, lo que necesitamos es exportar este cerfificado con formato .pfx, clave pública y clave privada. Desde la misma consola de Certificados, nos situamos encima del certificado, botón derecho, Todas las tareas, Exportar Certificado. Nos lanzara un asistente de exportación. Siguiente, y seleccionaremos que queremos exportar la clave privada:

Despues, seleccionaremos que se incluya toda la cadena de certificados en el mismo fichero y que se exporten todas las propiedades del mismo:

introduciremos una contraseña….

Y, para finalizar, escribimos el nombre del certificado.

Step 4: Importación en Azure.

Ahora, desde el portal de azure (https://portal.azure.com), accederemos a las Web Apps, al Web Site que queremos importar el certificado

generateCSRAzure0012

Accederemos a Certificados SSL y seleccionaremos «Cargar certificado«. Seleccionaremos nuestro certificado (archivo .pfx) y especificaremos la contraseña del paso 3. Una vez cargado el certificado tenemos que enlazarlo a nuestro Web App

generateCSRAzure0013

Agregaremos el enlace SSL y utilizaremos los menus desplegables para seleccionar el nombre de dominio que va a proteger con SSL, así como el certificado que pretende utilizar. Es posible que también queramos seleccionar el uso de Indicación de nombre de servido (SNI) o SSL basada en IP, dependiendo de nuestras necesidades.

Las principales diferencias entre uno y otro,  SSL basada en IP asocia un certificado a un nombre de dominio mediante la asignación de una dirección IP pública dedicada del servidor al nombre de dominio.En este caso es necesario que cada nombre de dominio (contoso.com, fabrikam.com, etc.) asociado a un servicio tenga una dirección IP dedicada. Este es el método tradicional de asociación de certificados SSL a un servidor web, y SSL basada en SNI es una extensión de SSL y TLS que permite que varios dominios compartan la misma dirección IP con certificados de seguridad independientes para cada dominio. Los exploradores más modernos (entre los que se incluyen Internet Explorer, Chrome, Firefox y Opera) son compatibles con la extensión SNI.

Solo nos quedaría comprobar que nuestra Web App ya tiene acceso por HTTPS.

Links interesantes:

Que tengais una buena semana.

Antivirus Azure Seguridad Windows 2012 R2

Como instalar Microsoft Security Essentials en un Windows Server 2012 R2.

Published by:

Microsoft_Security_EssentialsHola a todos,

Una de las situaciones mas habituales cuando tienes servidores standalone es decidir qué antivirus le instalo. En entornos empresariales te encuentras que ya tienes este servicio cubierto con productos con Kaspersky, Panda, McAfee, etc., que cubren la mayoría de los supuestos. pero, como he dicho,  ¿qué hacemos con aquellos servidores que están en lugares donde no puedo implementar este tipo de soluciones? por ejemplo en servidores en la nube (AWS o Azure).

Pues nada, sabemos que Microsoft tiene un Antivirus que funciona bastante bien y que podemos instalarlo en Windows 7, 8 y Windows 10 sin problemas, pero ¿se puede instalar en Windows Server 2012 R2? No vamos a entrar en debatir si está bien o no, si es el mejor antivirus gratuito o no, etc., Tenemos la necesidad de securizar un servidor hoy mismo, y esta es la respuesta.

Por defecto, si procedemos a lanzar la instalación sobre nuestro Servidor nos dará diversos errores asi que os dejo aqui una guia Step by Step de la instalación en un Windows Server 2012 R2.

installmse0000

Descarga.

Nos descargamos Microsoft Security Essentials desde este link y vemos que únicamente está designado para windows 7, Windows 8, Windows RT y Windows 10, tanto Security Essentials como Windows Defender y tenemos versión de 32 y 64 bits.

installmse0001

Instalación.

Como nos hemos descargado el fichero de instalación, por ejemplo en la ruta c:\temp, botón derecho del ratón sobre el fichero mseinstall.exe y obtenemos las propiedades del mismo. En la pestaña de «Compatibilidad», seleccionaremos que se ejecute en Modo de Compatibilidad para Windows 7.

installmse0002

Volvemos a lanzar la instalación de Essentials y ahora nos da otro error distinto:

installmse0003

Para solucionar la no soportabilidad de la instalación en modo de compatibilildad de Essentials, abriremos una consola como administrador, nos posicionaremos en la ruta donde hemos descargado el instalable y lanzaremos la instalación con el siguiente flag /disableoslimit :

installmse0004

Ahora si!!!! Siguiente,

Una vez instalado, es recomendable realizar un primer análisis de nuestro servidor así como chequear si hay alguna actualización del producto y de las bases de datos de definiciones de virus

Para terminar, como ya he comentado, este producto no está soportado pero ante situaciones no controladas, por falta de presupuesto, falta de toma de decisión, etc., ya sabeis, hay que actuar.

Y, como colofón a este artículo, aprovechar la aparición de Windows Server 2016 que si tiene un antivirus desplegado en su interior ……

installmse0005Buena semana a todos.

Azure Directorio Activo Office Seguridad

Conectar Directorios Activos de nuestras suscripciones de Azure y Office 365.

Published by:

Buenos dias, empezamos la semana hablando de las bondades de Azure Directorio Activo (AAD).

Hoy queria mostraros cómo conectar los Directorios Activos asociados a nuestras suscripciones de Azure y de Office 365. ¿Para qué? Imaginaros que tenemos replicado nuestro Directorio Activo On-Premises con Office 365, algo habitual, y lo que necesitamos es asignar determinados privilegios sobre servicios que están en Azure a usuarios de nuestro Directorio Activo On-Premises. Vamos, lo mas normal.

Os expongo ambos entornos para que quede todo claro:

1 Azure. Esta es nuestra suscripción de Azure donde tenemos nuestro Azure Active Directory (AAD1)

Connect_00001

Nuestro AAD se denomina Roberto Azure AD y solo tenemos un usuario, que, obviamente tiene el rol de Global Administrator (GA).

Connect_00002

2 Office 365. Esta es nuestra suscripción de Office 365 donde también tenemos nuestro Azure Active Directory (AAD2). Como bien sabeis cada suscripción de O365 tiene asociado su AAD. En este caso tenemos sincronizado nuestro Directorio Activo On-Premises con la suscripción de O365 con AAD Connect, una situación cada día mas habitual.

Connect_00003

El nombre de Nuestro Azure AD de la suscripción de Office 365 cuyo nombre es «Trasto», con las siguientes cuentas, que, como ya he comentado, vienen sincronizadas del Directorio Activo On-Premises:Connect_00004b

El objetivo es conectar ambos Directorios Activos para poder asignar permisos sobre los servicios de Microsoft Azure a los usuarios de Directorio Activo On-Premises.

Step by Step

1 Añadir nuevo Directorio Activo.- Dentro de la suscripción de AAD1 seleccionamos añadir Directorio. Pulsaremos en el botón de Connect_00004c

Nos vamos moviendo sobre Active Directory, Directory, Custom Create …

Connect_00005

En añadir directorio, seleccionaremos «Usar Directorio existente». Tenemos que tener preparadas las credenciales de Global Administrator (GA)  de la suscripción de O365 y seguir las instrucciones.

Connect_00006

2 Introducimos credenciales.- En cuanto aceptamos nos informará de que es muy buena idea el cerrar todos los browsers que tengamos abiertos:

Connect_00007

Introducimos credenciales de GA de AAD2 en AAD1 para conectar ambos Directorios Activos.

Connect_00009

Y, atención, somos informados de lo que vamos a realizar, introduciremos la cuenta GA de la suscripción de Azure (AAD1) como  Administrador Global del Directorio Activo asociado a la suscripción de O365 (AAD2).

Connect_00010

O sea, que somos los «Masters» de la suscripción de O365!!!!! con nuestra cuenta de Azure.

Connect_00011

 

3 Comprobación de acceso.- Como podemos observar desde nuestro AAD1, hemos conectado AAD2 y vemos todos sus usuarios, grupos, etc.,

Connect_00013

Asimismo, vemos que la cuenta GA de AAD1 está como Global Administrator de AAD2.

Connect_00015

4 Añadir nuevo usuario.- En este punto añadiremos un usaurio de AAD2 a AAD1. Desde AAD1, añadimos usuario. De las cuatro opciones que tenemos seleccionamos «Usuario en otro Directorio de Microsoft Azure AD.

Connect_00017

 

Escribimos el usuario y esperamos el visto bueno de Azure AD. Le asignaremos el rol de «Usuario», simple, sin mas pretensiones.

Connect_00018

Verificamos que ya aparece el usuario en AAD1

Connect_00019

5 Asignamos recursos.- Para terminar y alcanzar nuestro objetivo, asignaremos permisos de «Contribuidor» al usuario de AAD2, por ejemplo, sobre un Resource Group de Azure. Accedemos a nuestro Resource Group, en mi ejemplo es RG_WebAppTest, Usuarios, añadir acceso, hemos seleccionado «Contributor» y como usuarios …… Tachán!!!! aparece nuestro usuario de AAD2:

Connect_00023

Prueba superada.

Aqui os dejo un video que lo explica muy bien:

Que tengais un gran semana,

Roberto