Microsoft Lync Server
Header

Author Archives: Santiago Buitrago

Skype anuncia una caída de su servicio

octubre 7th, 2015 | Posted by Santiago Buitrago in skype for business - (0 Comments)

Hoy Skype no está disponible para los servicios de llamadas de Voz, además parece que los contactos no aparecen conectados, pero si podemos enviarles mensajes. Aquí os dejo la fuente de la noticia: http://heartbeat.skype.com/2015/09/skype_presence_issues.html?cm_mmc=SMTW_7001B1-Skype%20-%20Support

Issues_with_Skype_status_and_calling.PNG
Espero que  se resuelva pronto, porque seguro que muchos ahora se darán cuenta de la importancia de las comunicaciones y servicios de Voz como Skype. Que aún siendo gratuito ofrece un servicio excepcional a los usuarios y que a buen seguro ahora muchos echarán de menos mientras no se restablezca el servicio. Si queréis estar enterados de como van los acontecimientos podéis hacerlo mediante la cuenta de Twitter de soporte  de Skype: @SkypeSupport
 
Además, ahora mismo y en mi caso no puedo ni iniciar sesión (hace una hora sin problema, tenía el problema que comenta la gente de soporte de Skype, pero podía iniciar sesión)Issues_with_Skype_status_and_calling_0.PNG
Tocar esperar, esperemos que se resuelvan pronto los problemas (No me gustaría formar parte del equipo de soporte  de Skype en estos momentos 🙂 )

Cómo crear una Directiva de Restricción de Software para bloquear CrytpoLocker

octubre 7th, 2015 | Posted by Santiago Buitrago in skype for business - (0 Comments)

​A día de hoy creo que ni mucho menos ha pasado desapercibido el problema que ha causado un malware llamado CrytpoLocker (https://es.wikipedia.org/wiki/CryptoLocker). He visto algunos artículos muy interesantes en donde explican que debemos hacer para "evitar" en la medida de lo posible este temido malware, el cual ha causado estragos en muchas empresas. Voy  a tratar de explicar como podéis configurar una Directiva de Grupo aplicando las Directivas de Restricción de Software, la cual utilizaremos para "evitar" la ejecución de aplicaciones no permitidas (CryptoLocker entre ellas) en zonas de seguridad en los perfiles de usuarios. Lo primero que haremos será crear una Directiva de Grupo la cual vincularemos la OU en donde tengamos los equipos que tenemos en nuestro dominio. Lo que tenemos que hacer es evitar la ejecución de aplicaciones desde las siguientes zonas que os expongo:

Ruta: %AppData%\*.exe
Nivel de Seguridad: No Permitido
Descripción: Bloquear la ejecución de aplicaciones desde %AppData%

Ruta: %AppData%\*\*.exe
Nivel de Seguridad: No Permitido
Descripción: DBloquear la ejecución de aplicaciones desde %AppData% y subcarpetas
 
Windows XP: %UserProfile%\Local Settings\Temp\Rar*\*.exe
Windows Vista/7/8: %LocalAppData%\Temp\Rar*\*.exe
Nivel de Seguridad: No Permitido
Descripción: Bloquear la ejecución de aplicaciones desde ficheros descomprimidos con WinRar
 
Windows XP: %UserProfile%\Local Settings\Temp\7z*\*.exe
Windows Vista/7/8: %LocalAppData%\Temp\7z*\*.exe
Nivel de Seguridad: No Permitido
Descripción: Bloquear la ejecución de aplicaciones desde ficheros descomprimidos con 7Zip
 
Windows XP: %UserProfile%\Local Settings\Temp\wz*\*.exe
Windows Vista/7/8: %LocalAppData%\Temp\wz*\*.exe
Nivel de Seguridad: No Permitido
Descripción: Bloquear la ejecución de aplicaciones desde ficheros descomprimidos con WinZip
 
Windows XP: %UserProfile%\Local Settings\Temp\*.zip\*.exe
Windows Vista/7/8: %LocalAppData%\Temp\*.zip\*.exe
Nivel de Seguridad: No Permitido
Descripción: Bloquear la ejecución de aplicaciones desde ficheros descomprimidos con Windows Zip
Dicho esto, vamos a editar la Directiva de Grupo y nos vamos a la sección de Configuración del Equipo Configuración de WindowsConfiguración de Seguridad y pulsamos con el botón secundario encima de Directivas de Restricción de Software  para pulsar en Nuevas directivas de restricción de software
GPO_para_bloquear_CryptoLocker_0.png
Ahora en la sección de Reglas Adicionales debemos hacer clic con el botón secundario del ratón y pulsar en Relga de nueva ruta de acceso …
GPO_para_bloquear_CryptoLocker_1.png
Y ahora debemos introducir las rutas una a una que he expuesto anteriormente, y en base a los sistemas operativos que tengáis en el dominio debéis crear las distintas reglas para Windows XP (SP2), Windows7/8/10. Yo sólo me centraré en las de Windows 7 y superiores, así que las imágenes solo representarán las configuraciones para estos Sistemas Operativos (espero que nadie tenga ya Windows XP en su dominio)
 
Descripción: Bloquear la ejecución de aplicaciones desde %AppData%
Ruta: %AppData%\*.exe
Nivel de Seguridad: No Permitido
GPO_para_bloquear_CryptoLocker_3.png
Descripción: DBloquear la ejecución de aplicaciones desde %AppData% y subcarpetas
Ruta: %AppData%\*\*.exe
Nivel de Seguridad: No Permitido
GPO_para_bloquear_CryptoLocker_4.png
Descripción: Bloquear la ejecución de aplicaciones desde ficheros descomprimidos con WinRar
Windows XP: %UserProfile%\Local Settings\Temp\Rar*\*.exe
Windows Vista/7/8: %LocalAppData%\Temp\Rar*\*.exe
Nivel de Seguridad: No Permitido
GPO_para_bloquear_CryptoLocker_5.png
Descripción: Bloquear la ejecución de aplicaciones desde ficheros descomprimidos con 7Zip
Windows XP: %UserProfile%\Local Settings\Temp\7z*\*.exe
Windows Vista/7/8: %LocalAppData%\Temp\7z*\*.exe
Nivel de Seguridad: No Permitido
GPO_para_bloquear_CryptoLocker_7.png
Descripción: Bloquear la ejecución de aplicaciones desde ficheros descomprimidos con WinZip
Windows XP: %UserProfile%\Local Settings\Temp\wz*\*.exe
Windows Vista/7/8: %LocalAppData%\Temp\wz*\*.exe
Nivel de Seguridad: No Permitido
GPO_para_bloquear_CryptoLocker_8.png

Descripción: Bloquear la ejecución de aplicaciones desde ficheros descomprimidos con Windows Zip

Windows XP: %UserProfile%\Local Settings\Temp\*.zip\*.exe
Windows Vista/7/8: %LocalAppData%\Temp\*.zip\*.exe
Nivel de Seguridad: No Permitido
GPO_para_bloquear_CryptoLocker_9.png

Estas configuraciones se establecen como valores en la siguiente clave de registro de los equipos: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths, cada una de las subclaves son las rutas que hemos definido a nivel de la Directiva de Grupo:

GPO_para_bloquear_CryptoLocker_16.png
Pues ahora sólo nos tocar probar que funciona bien, para ello voy a realizar dos pruebas sencillas:
 
1. Intentar ejecutar el TeamViewer en %Appdata%
GPO_para_bloquear_CryptoLocker_11.png

Cada vez que se evite la ejecución de una aplicación dentro de cualquier carpeta  dentro de %AppData%\*\*.exe nos dejará un eventod con el ID 886

GPO_para_bloquear_CryptoLocker_12.png
2. Intentar ejecutar el TeamViewer dentro de un fichero RAR: aquí os muestro el fichero .RAR el error que muestra y la ruta en donde se ha descomprimido para ejecutarse (%LocalAppData%\Temp\Rar*\*.exe)
GPO_para_bloquear_CryptoLocker_17.png
Si volvemos a revisar el Visor de Eventos, tendremos otro ID 886 y la información del evento:
GPO_para_bloquear_CryptoLocker_18.png
Con esto ya tenemos algo de camino recorrido, pero aún así creo que deberíamos también proteger más directorios porque sino al final el usuario podrá lanzar ejecutables en cualquier otra ruta de su perfil:
  • %localAppData%
  • %userprofile%\appdata\LocalLow
Si bien es cierto que logramos "cierta seguridad", también es igual de cierto que estamos evitando que otras muchas aplicaciones legítimas se puedan ejecutar desde alguna de las ubicaciones del perfil del usuario. Para ello, debemos añadir las rutas legítimas al igual que hemos hecho con las que hemos bloqueado. Buscando un poco por internet he encontrado esta lista de rutas que son de aplicaciones legítimas (Adobe, Java, etc..):
 
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{01d5f53f-211b-4752-b566-b7da678ce4e7}]
"LastModified"=hex(b):b3,13,3c,fe,e3,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
  61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
  00,2d,00,37,00,75,00,35,00,35,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
  73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
  00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{0671b2d9-593f-4967-b6ca-fdc4ae53e3cc}]
"LastModified"=hex(b):8f,54,b7,f7,e1,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
  61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
  00,2d,00,37,00,75,00,34,00,39,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
  73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
  00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{131ba471-b59a-4142-b9df-da8ec68e5a77}]
"LastModified"=hex(b):d3,8a,d6,04,e4,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
  61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
  00,2d,00,37,00,75,00,35,00,36,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
  73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
  00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{18eeabc8-5831-4ade-a899-0853e763b638}]
"LastModified"=hex(b):88,b0,9e,1c,e4,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
  61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
  00,2d,00,37,00,75,00,35,00,39,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
  73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
  00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{3765e50f-ae33-45a8-9f7c-12ccdb95ec68}]
"LastModified"=hex(b):e8,e6,92,cd,e1,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
  61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
  00,2d,00,37,00,75,00,34,00,35,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
  73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
  00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{3f6dee77-c701-48b2-8d5e-36ce2d84fadc}]
"LastModified"=hex(b):e5,b7,62,24,e4,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
  61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
  00,2d,00,37,00,75,00,36,00,30,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
  73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
  00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{45a9d349-78dc-4e85-8498-91b4ea6db8c8}]
"LastModified"=hex(b):65,9d,47,15,e4,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
  61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
  00,2d,00,37,00,75,00,35,00,38,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
  73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
  00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{55c67795-adc4-43d8-b2ee-a10876b38d00}]
"LastModified"=hex(b):7e,c0,73,da,e1,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
  61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
  00,2d,00,37,00,75,00,34,00,36,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
  73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
  00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{56cd4e55-d82e-46e2-9e49-eb563616abe4}]
"LastModified"=hex(b):55,87,aa,12,e2,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
  61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
  00,2d,00,37,00,75,00,35,00,32,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
  73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
  00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{66ce3ec0-b8fb-45bc-8aaa-5315697121cf}]
"LastModified"=hex(b):24,50,e8,ff,e1,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
  61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
  00,2d,00,37,00,75,00,35,00,30,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
  73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
  00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{72cc4a35-bc4c-4a56-9521-b8dc88296eb2}]
"LastModified"=hex(b):6f,83,63,62,e4,d0,ce,01
"Description"="Spotify exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,41,00,70,00,70,00,44,00,61,00,74,00,61,00,25,00,5c,00,\
  53,00,70,00,6f,00,74,00,69,00,66,00,79,00,5c,00,73,00,70,00,6f,00,74,00,69,\
  00,66,00,79,00,2e,00,65,00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{80b78737-b5bc-435d-99f2-0e72a0089350}]
"LastModified"=hex(b):94,27,c3,0b,e2,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
  61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
  00,2d,00,37,00,75,00,35,00,31,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
  73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
  00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{9003f67f-c01d-4cc6-96d9-e32465d29ec0}]
"LastModified"=hex(b):1e,d4,20,19,e2,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
  61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
  00,2d,00,37,00,75,00,35,00,33,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
  73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
  00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{cc9cef1c-e950-4c38-ae69-c588dcd33a15}]
"LastModified"=hex(b):02,95,83,ec,e1,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
  61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
  00,2d,00,37,00,75,00,34,00,38,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
  73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
  00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{ce4603aa-0db5-4a98-931d-609f913490ed}]
"LastModified"=hex(b):0a,dc,76,34,e4,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
  61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
  00,2d,00,37,00,75,00,34,00,37,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
  73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
  00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{cec6609e-86f1-4060-90c9-dcd452d4fde2}]
"LastModified"=hex(b):04,cc,4e,27,e2,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
  61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
  00,2d,00,37,00,75,00,35,00,34,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
  73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
  00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{e67a6085-83bb-4d42-a385-616492f8452c}]
"LastModified"=hex(b):06,b4,4f,0d,e4,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
  61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
  00,2d,00,37,00,75,00,35,00,37,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
  73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
  00,78,00,65,00,00,00
 
Simplemente debéis copiar estas rutas en un fichero de texto y guardarlo con la extensión .reg y ejecutarlo en algún equipo de prueba para que ver funcionan y se pueden ejecutar dichas aplicaciones. Yo no las he visto todas, así que ya es cosa vuestra probarla o no. Luego, si queréis aplicar estas configuraciones al resto de estaciones de trabajo vía GPO, podéis crear otra Directiva que cree estas claves de registro para todos los equipos. Aquí os dejo un artículo de este blog de como crear claves de registro desde una GPO: GPO: Asignación de Sitios a Zonas en IE (20-01-2014) y aquí otro ejemplo con la importación de las claves a crear en otros equipos desde un equipo "base": Deshabilitar IM en Lync 2013 (Parte II)
 
Si queréis agregar aplicaciones legítimas de forma manual, tendréis que hacerlo igual que para denegar su ejecución pero cambiando el Nivel de Seguridad de No Permitido a Usuario o Ilimitado (en base a como tengáis la configuración)
GPO_para_bloquear_CryptoLocker_19.png

De esta forma, ya se podrá ejecutar el TeamViewer desde %appdata% y a buen seguro tendréis que configurar varias aplicaciones legítimas para que los usuarios puedan ejecutarlas, pero no escatiméis el esfuerzo de hacerlo y dar carta blanca, la seguridad conlleva un esfuerzo incial, pero luego os veréis recompensados, vosotros y los usuarios.

 
Por últimos comentaros que, en las Directivas de Restricción de Software podemos definir de forma global a quien se le aplican dichas restricciones, para ello modificaremos la opción de Cumplimiento y definimos a que usuarios se aplica dichas restricciones:
GPO_para_bloquear_CryptoLocker_20.png
Ahora os toca a vosotros realizar vuestras propias configuraciones y adaptaciones, pero creo que una GPO de este estilo es necesaria para securizar nuestro dominio. El que tengamos problemas en nuestros clientes por ficheros cifrados es un auténtico problema, sobre todo porque al final es el usuario final que por desconocimiento o "atrevimiento" ejecuta o abre correos electrónicos que no debería. Si bien es cierto, que yo personalmente los cosas que he visto de CryptoLocker verían de usuarios que  habían ejecutado el fichero que venía  vía correo electrónico suplantando a la Oficina de Correos. El usuario de empresa es muy común que esté esperando algún paquete de la oficina de correos, por lo que recibir un fichero de correos especificando que tiene un paquete pendiente de recibir .. no es algo extraño para ellos. El problema, es que si se ejecuta el fichero … al momento se empiezan a cifrar tus datos locales, los que tengas en la red y todo (o casi) a lo que tenga acceso el malware. El problema es que a lo mejor cuando te das cuenta, ya te ha cifrado un % muy alto de información. Luego para recuperarla tenemos varias vías:
  • Backup
  • Backup
  • Backup
  • o … Backup

Esto de forma "normal", porque en todo caso podéis pagar un "rescate" a la gente que lo ha creado previo pago de xxxx de Euros. El cual a  menos que no os quede otra yo no haría, puesto que sino al final estamos colaborando con este tipo de "gentuza". Está claro, que si tu empresa no tiene un sistema de backup adecudado a sus necesidades, etc … empezarás a sudar en frío.

Desde ASIR hemos enviado un documento  de "Buenas Prácticas de Utilización del Correo Electrónico", el cual os dejo aquí por si alguien quiere tenerlo: Recomendaciones de seguridad para el uso de correo electrónico.pdfRecomendaciones de seguridad para el uso de correo electrónico.pdf. En el documento hacemos referencia a los últimos ataques que tienen como vía de expansión el correo electrónico, y sobre todo buscando informar al usuario que tenga cuidad con lo que descarga y como identificar la legitimidad de los correos que recibe. Lo que buscamos es que se pare a pensar que hacer frente a un correo que no ve clara su finalidad y sino lo tiene claro … que lo borre directamente sin abrir.

Por último, comentaros que también es cierto que a los usuarios que he visto con el problema del CryptoLocker y que le ha venido por el correo electrónico, tenían como plataforma de correo sisteas low-cost, el Anti-SPAM sin activar, etc … porque empresas que tienen Office 365 o algún proveedor especializado en Anti-SPAM, etc.. no hemos tenido problema alguno, es que ni hemos visto ese correo en nuestros buzones.

Al final, la seguridad es responsabilidad de todos!! El usuario final que no ejecute lo que no debe y los de IT que tengamos las medidas necesarias para que los usuarios ya no tengan que tomar este tipo de decisiones (que a veces son complejas). Para los que vivimos el dia a día con estas cosas lo vemos muy sencillo (que no lo es), pero para un usuario normal no es tan sencillo de identificar.

Espero que os sea de utilidad!!!

Fuente para recopilar información para este artículo: Cryptolocker Ransomware Prevention

Microsoft Security Bulletin MS15-104: Actualización para Skype for Business Server 2015 y Lync Server 2013 (Septiembre 2015)

octubre 7th, 2015 | Posted by Santiago Buitrago in skype for business - (0 Comments)

Microsoft ha publicado​ (8 de Septiembre de 2015) una nueva actualización para Lync Server 2013 y Skype For Business Server 2015, la cual corrige una serie de problemas de seguridad los cuales podrían ser aprovechador por un atacante para elevarse privilegios: https://technet.microsoft.com/library/security/ms15-104:

The following software versions or editions are affected. Versions or editions that are not listed are either past their support life cycle or are not affected. To determine the support life cycle for your software version or edition, see Microsoft Support Lifecycle.
The severity ratings indicated for each affected software assume the potential maximum impact of the vulnerability. For information regarding the likelihood, within 30 days of this security bulletin’s release, of the exploitability of the vulnerability in relation to its severity rating and security impact, please see the Exploitability Index in the September bulletin summary.
Affected Software                              
Updates Replaced*
Microsoft Lync Server 2013
Microsoft Lync Server 2013
(Web Components Server)
(3080353)
Important
Information Disclosure
Important
Information Disclosure
Important
Elevation of Privilege
2982390 in MS14-055
Skype for Business Server 2015
Important
Information Disclosure
Not applicable
Important
Elevation of Privilege
None
*The Updates Replaced column shows only the latest update in any chain of superseded updates. For a comprehensive list of updates replaced, go to the Microsoft Update Catalog, search for the update KB number, and then view update details (updates replaced information is provided on the Package Details tab).

En mi caso ese mismo día ya he actualizado mi Skype For Business Server 2015, además de por temas de seguridad, esta actualización me viene muy bien para mostraros cómo debéis hacer para actualizar un pool con dos servidores Front-END. En la tabla anterior, tenéis las descargas directas de los paquetes de actualización que se corresponden con cada versión. Antes de seguir, os dejo aquí dos artículos que había subido en su momento, de como actualizar las distintas versiones de Lync y Skype For Business:

Pues ahora vamos a aprovechar la conyuntura y veamos como podemos aplicar  una actualización a un Skype for Business Server 2015 Enterprise con un pool de únicamente dos servidores:

  1. Parar los servicios del Front-END: Stop-CsWindowsService
  2. Instalar actualización: ejecutar el instalador del paquete acumulativo: SkypeServerUpdateInstaller.exe
  3. Reiniciar (si lo solicita)
  4. Verificar que todos los servicios están operativos: Get-CsWindowsService

Esto mismo debemos hacerlo en cada servidor, lo suyo es hacer primero uno y luego el otro. Si todo funcionaba se espera, los usuarios se desconectarán del Front-END que hemos iniciado el proceso de actualización durante unos 10 segundos y se conectarán al siguiente Front-END (), por lo que el corte será mínimo. Una vez que hemos finalizado todos los pasos en el primer Front-END y estamos seguros de que ya puede recibir sesiones de usuario, iniciamos el proceso de actualización con el segundo Front-END. Los pasos son los mismos:

  1. Parar los servicios del Front-END: Stop-CsWindowsService
  2. Instalar actualización: ejecutar el instalador del paquete acumulativo: SkypeServerUpdateInstaller.exe
  3. Reiniciar (si lo solicita)
  4. Verificar que todos los servicios están operativos: Get-CsWindowsService

Una vez que el segundo servidor se ha reiniciado y con todos los servicios iniciados, es recomendable ejecutar el siguiente cmdlet: Reset-CsPoolRegistrarState -PoolFqdn «<Nombre_Pool>» -ResetType ServiceReset, el cual restablece los servicios de registrador y Windows Fabric para el grupo de servidores Front-END especificado. Y por último ejecutamos el nuevo cmdlet introducido con Skype For Business Server 2015: Start-CsPool -PoolFqdn <Nombre_Pool>, el cual iniciará todos los servicios de todos los servidores Front-END del Pool y con esto damos por concluido el proceso de actualización de nuestro pool. Ahora os lo voy a mostrar con capturas de pantalla:

1. Parar los servicios del Front-END: Stop-CsWindowsServiceSkype_Empresarial_Server 2015_KB3080355-KB3080352_1.png

2. Instalar actualización: ejecutar el instalador del paquete acumulativo: SkypeServerUpdateInstaller.exeSkype_Empresarial_Server 2015_KB3080355-KB3080352_0.png
3. Reiniciar Servidor

4. Verificar que todos los servicios están iniciados: Get-CsWindowsServiceSkype_Empresarial_Server 2015_KB3080355-KB3080352_2.png

Ahora una vez reiniciados ambos servidores Front-END, como os había comentado, ejecutaremos el cmdlet: Reset-CsPoolRegistrarState -PoolFqdn «<Nombre_Pool>» -ResetType ServiceReset

Skype_Empresarial_Server 2015_KB3080355-KB3080352_4.png

Y por último iniciaremos todos los servicios de los servidores de  nuestro Pool: Start-CsPool -PoolFqdn <Nombre_Pool>Skype_Empresarial_Server 2015_KB3080355-KB3080352_5.png
Skype_Empresarial_Server 2015_KB3080355-KB3080352_7.pngSkype_Empresarial_Server 2015_KB3080355-KB3080352_9.png

En esta última captura nos muestra el estado de los servidores sobre los cuales hemos ejecutado el Start-CsPool. Todo ha finalizado correctamente y todos los servicios están operativos, y si queremos verlo ejecutamos el siguiente cmdlet: Get-CsWindowsService -Computer <FQDN_Front-END>

Skype_Empresarial_Server 2015_KB3080355-KB3080352_10.png
Con esto ya hemos actualizado nuestros Front-END, pero ahora debemos actualizar el resto de servidores de la topología. Estos son mucho más sencillos y sobre todo en Skype For Business Server 2015, básicamente ejecutamos el instalador y esperamos que se complete el proceso:

EDGE

Skype_Empresarial_Server 2015_KB3080355-KB3080352_EDGE.png
CHAT PERSISTENTE

Skype_Empresarial_Server 2015_KB3080355-KB3080352_PS.png
SERVIDOR DE MEDIACIÓN

Skype_Empresarial_Server 2015_KB3080355-KB3080352_PS.png

Una vez que se finalice la actualización, debería mostraros una pantalla similar a esto (esta captura es de un Front-END, pero simplemente es para mostraros que los iconos en rojo los ha pasado a verde):

Skype_Empresarial_Server 2015_KB3080355-KB3080352_FE01.png
Y con esto sí que hemos finalizado la actualización de nuestra topología con un pool de dos servidores Front-END. Comentaros que debido a la criticidad de esta actualización debéis valorar su instalación cuanto antes, si os interesa mi feedback sobre esta actualización es que .. no me ha dado ningún problema!! Vamos, que no he tenido problemas con la actulización en su instalación y luego todos los servicios han funcionado (y siguen funcionando) con normalidad. Entiendo que alguno de vosotros quiera esperar unos días más a realizar la instalación, no es bueno ser el «banco de pruebas» para todo, pero en este caso ya os digo que todo ha ido perfectamente.

Espero que os sea de utilidad!!!

 

 

 

LLamar a Lync/Skype4B como opción por defecto .. Siempre!!

octubre 7th, 2015 | Posted by Santiago Buitrago in Lync Server | skype for business - (0 Comments)

Es muy común que cuando llamamos a un usuario desde nuestro cliente Lync/Skype4B lo hagamos como una llamada de cliente a cliente, por lo que  no tendrá coste alguno. Pero si en alguna ocasión hemos llamado al usuario a través de tu número de teléfono, cuando volvamos a intentar llamarle de forma directa sin elegir el tipo de llamada lo haga directamente por el último método que hemos usado:

Evitar_Llamadas_PSTN_0.png

También sabemos que podemos poner que por defecto todas las llamadas sean de cliente a cliente, así os lo había comentado en este artículo: LLamar a Lync como opción por defecto. En este artículo había explicado como configurar un política que definiese que por defecto las llamadas fuesen llamadas de VoIP (EnableVOIPCallDefault), hasta aquí todo perfecto, pero el problema viene cuando además hemos llamado al usuario a su número de trabajo, etc…  puesto que las siguientes llamadas sino elegimos el tipo de llamada utilizará el último utilizado. Esta configuración ya no la podemos controlar desde el servidor de Lync/Skype4B, puesto que esta información se almacena en una clave de registro en la sesión del usuario:
 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Lync\sbuitrago@asirsl.com\ContactStateCacheU
 
Como podéis apreciar en la imagen anterior, vemos que debajo de la clave HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Lync tendremos  el nombre de usuario (más bien la dirección SIP del usuario) con el que hemos iniciado sesión, luego una clave con el nombre ContactStateCacheU  que es donde se almacena la información o caché de las últimas llamadas realizadas desde nuestro cliente Lync/Skype4B. En la imagen vemos que debajo de la clave  ContactStateCacheU  tenemos la dirección de los usuarios a los que hemos llamado (no tienen porque ser todos usuarios de Lync/Skype4B y sí contactos de nuestra agenda de Outlook) y dentro la siguiente información:
  • ClickToCall: número de teléfono al que hemos llamado
  • Name: nombre de usuario al que hemos llamado

Esta información es la que utilizará nuestro cliente Lync/Skype4B para realizar la siguiente llamada, aquí os muestro una captura de una llamada (he borrado parte del número de mi móvil y en la captura de pantalla anterior lo he sustituido por XXXXXX, pero vamos, ahí tenéis un número de teléfono seguro)

Evitar_Llamadas_PSTN_1.png

Esto hará que hagamos  una llamada a un usuario que tiene Lync/Skype4B y está disponible para llamarlo vía VoIP, pero sin embargo la llamada la enviaremos a su móvil (con el consiguiente coste que tendrá). Lo que queremos es que la llamada sea a su cliente Lync/Skype4B:

Evitar_Llamadas_PSTN_2.png

Esta llamada también queda reflejada en el registro del usuario y quedaría así:

Evitar_Llamadas_PSTN_3.png

Dicho todo esto, el problema que tenemos es claro, la última llamada que hagamos a un usuario será la que quede en caché para volver a utilizarla a menos que explícitamente elijamos el tipo de llamada. Tenemos  varias soluciones para evitar esto y todas a nivel de cliente:

  • Eliminar todas las claves que están dentro de ContactStateCacheU: podemos hacerlo con un script de powershell o cmd, pero el problema que tienes que una vez que el usuario vuelva a llamar volverá a crear dichas claves. Esto no nos sirve, porque tendríamos que tener el script de borrado de las claves ejecutándose cada minuto en la sesión del usuario
  • Cambiar los permisos de la clave ContactStateCacheU: con esto evitamos que el cliente Lync/Skype4B acceda y cree nuevas claves en cada llamada, esto si nos sirve. Para ello crearemos un script con POwerShell que busque la clave ContactStateCacheU y le quite los permisos al usuario que ha iniciado sesión, de esta forma el cliente Lync/Skupe4b siempre utilizará la configuración que hemos establecido a nivel de directiva de usuario (LLamar a Lync como opción por defecto)

Como creo que la segunda opción es la más acertada y la más fiable, aquí os dejo un script que hemos creado desde ASIR (gracias Amandio por tu ayuda!!)

Evitar_Llamadas_PSTN_4.png
Aquí os dejo el código del script para copiar – pegar:

# Buscar Claves que incluyan la palabra Contac dentro la clave HKCU:\SOFTWARE\Microsoft\Office\15.0\Lync
$keys = Get-ChildItem -Path HKCU:\SOFTWARE\Microsoft\Office\15.0\Lync -Include Contact* -Recurse | Select-Object Name 
foreach ($key in $keys){ 
    # Leemos el valor Name
    $keyRoot = $key.Name 
    # Reemplazamos el valor por HKCU 
    $PSKeyRoot = $keyRoot.Replace("HKEY_CURRENT_USER","HKCU:") 
    # Leemos los permisos actuales
    $acl = Get-Acl $PSKeyRoot
    # Creamos los permisos necesarios
    $ace = New-Object System.Security.AccessControl.RegistryAccessRule("$env:username","FullControl", "ContainerInherit", "None", "Deny")
            
    # Añadimos la regla a la ACL  
    $acl.AddAccessRule($ace) 
    # Establecemos los permisos sobre la clave de registro que habíamos puesto en la variable PSKeyRoot 
    Set-Acl -Path "$PSKeyRoot" -acl $acl 
}

El proceso del script es sencillo y aquí os lo dejo documentado por fases:

  1. Buscamos una clave de registro dentro de HKCU:\SOFTWARE\Microsoft\Office\15.0\Lync que empiece por Contact (solo existe la que buscamos: ContactStateCacheU) y tenemos su valor en una variable
  2. El valor que nos devuelve comienza por HKEY_CURRENT_USER\SOFTWARE y debemos cambiarlo por HKCU: , y así lo hacemos
  3. Establecemos los permisos que vamos a aplicar sobre el usuario que ha iniciado sesión ($env:username): queremos denegar el Control Total sobre la clave ContactStateCacheU y las subclaves (son las que representan a los usuarios llamados)
  4. Establecemos el valor de dichos permisos sobre la clave de registro que habíamos capturado, puesto en un variable,  cambiado el nombre y lo más importante

Esto lo que permitirá es que denegaremos el acceso a la clave HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Lync\$env:username\ContactStateCacheU y subclaves al usuario que ha iniciado sesión:

Evitar_Llamadas_PSTN_5.png

Y con esto el cliente Lync/Skype4B no podrá leer el contenido de la clave ContactStateCacheU ni las subclaves, lo que hará que siempre llame utilizando VoIP (EnableVOIPCallDefault), lo que mediante la directiva de cliente que habíamos configurado desde el servidor. El que no pueda acceder a la clave ContactStateCacheU no impide el correcto funcionamiento del cliente Lync/Skype4B, simplemente que no almacenará en caché las últimas llamadas y por lo tanto siempre utilizará las llamadas de VoIP que es lo que queremos.
 
Por último lo que nos queda es aplicar este script a todos los usuarios que queramos, para ello simplemente nos creamos una GPO con la siguiente configuración:
Evitar_Llamadas_PSTN_6.png
Básicamente en la directiva de grupo, editamos la configuración de usuario, nos vamos a Configuración de Windows – Scripts (inicio de sesión o cierre de sesión ) y configuramos el script como inicio de sesión, se lo agregamos como Scripts de PowerShell. Una vez configurada nuestra directiva se la vinculamos a la OU en donde tenemos los usuarios y en el próximo inicio de sesión se le aplicará dicha directiva.
 
Con esta configuración los usuarios ya no podrán leer la clave ContactStateCacheU y con esto ya tenemos lo que queremos, que todos los usuarios a los cuales se haya aplicado la GPO tendrá siempre la llamada de VoIP por defecto.
 
Espero que os sea de utilidad!!

Core Concepts of Skype for Business Server 2015 (Exam 70-334)

octubre 7th, 2015 | Posted by Santiago Buitrago in skype for business - (0 Comments)

Para los que estéis pensando en certificaros en Skype For Business 2015 aquí os dejo lo que necesitáis para preparar el 70-334 (Core Solutions of Microsoft Skype for Business 2015): https://www.microsoft.com/learning/en-us/exam-70-334.aspx

Y aquí tenéis el curso de MVA (Microsoft Virtual Academy): https://www.microsoftvirtualacademy.com/en-US/training-courses/core-concepts-of-skype-for-business-server-2015-10599

MVA_Skype4B.PNG

Ahora ya no tenéis excusa para formaros en Skype For Business 2015, y para los que ya tengáis formación e implementaciones en Lync 2013 para migrar aquí os dejo dos artículos de este blog de como migrar a Skype for Business 2015:

Espero que os sea de utilidad!!