Microsoft Lync Server
Header

GPO: Asignar un dominio predeterminado para iniciar sesión

diciembre 9th, 2013 | Posted by Santiago Buitrago in Directivas de Grupo - (0 Comments)

Desde Windows Vista (de forma nativa) tenemos una opción muy interesante para especificar el dominio predeterminado para iniciar sesión desde una GPO de nuestro dominio. Esto es muy interesante cuando tenemos varios dominios o cuando hemos configuración una relación de confianza entre dominios de distintas empresas. Es posible que existan nombres de usuarios que sean iguales en ambos dominios, por iguales me refiero únicamente al nombre del usuario excluyendo la parte del dominio. Desde Windows Vista ya no elegimos el dominio al que nos queremos conectar al iniciar sesión, simplemente introducimos nuestro nombre de usuario y si existe en local tratará de iniciar sesión con esta cuenta local o sino existe con el dominio por defecto a menos que escribamos el nombre de dominio con el formato de correo electrónico, ahí sabrá perfectamente a que dominio nos queremos conectar. Pero para evitar confusiones por parte de los clientes cuando se da la circustancia de que el último usuario que ha iniciado sesión en el equipo lo haya hecho en local o bien que se haya conectado a otro dominio de los disponibles, es posible que querramos establecer el dominio predeterminado para iniciar sesión, para esto tenemos la siguiente directiva a nivel de equipo: Asignar un dominio predeterminado para iniciar sesión bajo la siguiente ruta de la directiva: Configuración del equipo – Plantilas administrativas – Sistema – Inicio de sesión. Debemos escribir el nombre del dominio al cual por defecto se conectará el usuario que puede ser diferente al que se ha unido el equipo:

GPO_Dominio_predeterminado_para_iniciar_sesion_1.png
 
Si esto mismo queremos configurarlo para los equipos en Windows XP debemos crear la siguiente clave en el registro vía GPO:
 
Key: HKLM\software\microsoft\windows nt\currentversion\winlogon\
Value: defaultdomainname (REG_SZ)
Data: NOMBRE_DOMINIO
 
GPO_Dominio_predeterminado_para_iniciar_sesion_2.png
GPO_Dominio_predeterminado_para_iniciar_sesion_3.png
 
Cada una de las directivas de las aplicaremos a las OU en donde tenemos los equipos a los cuales queremos aplicar esta configuración, de esta forma los usuarios tendrán el dominio por defecto al que se tienen que contectar.
 
Espero que os sea de utilidad!!!

GPO: Error de actualización de directivas de grupo remota

septiembre 12th, 2013 | Posted by Santiago Buitrago in Directivas de Grupo - (1 Comments)

Una de la novedades que presentaba Windows Server 2012, era la posibilidad de forzar la actualización de las directivas de grupo de forma remota a equipos nivel de OU. De esta forma nos evitamos el tener que ejecutar de forma manual el comando gpupdate o gpupdate /force  en cada equipo  o tener que reiniciarlo. Esto desde luego ayuda mucho a forzar que se apliquen las directivas casi de forma immediata, pero también nos podemos encontrar con el siguiente problema

Actualizacion_GPO_Remoto_1.png
Esto ocurre porque tenemos alguna configuración por defecto en el firewall de los equipos, o bien la hemos modificado pero no nos hemos dado cuenta de que necesitamos tener abiertos ciertos puertos para que podamos forzar la ejecución del gpupdate de forma remota desde las consola de Administración de directivas de Grupo. Para solucionar este problema, debemos crear una nueva directiva, pero debemos seleccionar como GPO de incio de origen la plantilla Puertos de firewall de actualización remota de directiva de grupo:
Actualizacion_GPO_Remoto_6.png
La configuración esta plantilla es la siguiente, de ahí que ya no tenemos que hacer nada más sobre la directiva (únicamente asignarla)
Actualizacion_GPO_Remoto_7.png
Si queremos crear esta directiva vía PowerShell aquí tenéis el cmdlet: New-GPO –Name «Configurar Firewall Actualizacion Remota GPO» –StarterGpoName «Group Policy Reporting Firewall Ports»
Ahora que ya hemos creado nuestra GPO y asignado a la OU correspondiente, debemos esperar a que se aplique en segundo plano cada 90 minutos o en intervalos de 30. Sino deseamos esperar, pues iniciamos sesión en cada equipo y ejecutamos gpupdate. Una vez que la directiva se haya aplicado, volvemos a intentar aactualizar la directiva de grupo a la OU deseada y veremos como los equipos ya no aparecen con errores en la siguiente ventana:
Actualizacion_GPO_Remoto_2.png
Si bien es cierto que en función de que se vaya aplicando la directiva de Firewall configurada para permitir la actualización remota de las directivas, vamos viendo como los equipos que aún seguíamos sin poder actualizar de forma remota ya es posible hasta que por fin se complete sin errores:
Actualizacion_GPO_Remoto_3.png
Como podemos apreciar, es muy sencillo solucionar el problema inicial.  Aquí os dejo la URL de Microsoft por si queréis ampliar más información: http://technet.microsoft.com/es-es/library/jj572986.aspx
Espero que os sea de utilidad!!!

NPS: Autenticación 802.1x para nuestra red inalámbrica

abril 16th, 2013 | Posted by Santiago Buitrago in Directivas de Grupo | Lync Server | Windows Server - (0 Comments)

​Todos conocéis las debilidades de las redes inalámbricas, pero luego a la hora de la configuración parece que muchos técnicos tienen pánico a configurar 802.1x. Hoy en día es vital para muchas empresas disponer de conectividad inalámbrica, tanto para la red de datos como la de voz, y la de voz cada día está más presente en casi todos los ámbitos. Seguro que muchos de vosotros conocéis a alguien que se ha conectado a una red Wireless de otra persona, sin su consentimiento y encima consumiéndole todo el ancho de banda de su conexión a Internet. Yo no voy a decir nada al respecto sobre esta práctica cada día más común, creo que sino respetamos a nuestro prójimo …. mal andamos. Pero esto no es de lo que quiero hablaros, ni mucho menos, pero vamos a ver como podemos tratar de minimizar el riesgo de ataques a este tipo de redes.

Vamos por partes, primero identificaremos que necesitamos para configurar 802.1x en nuestra empresa. Partiendo de la base  de que queremos autenticar a los usuario y/o equipos del dominio con sus correspondientes certificados, esto es lo que vamos a necesitar:

  1. Una CA para emitir los distintos certificados a usuarios y equipos
  2. Un AP que soporte 802.1x
  3. Servidor Radius: Windows 2000-2003 IAS y Windows 2008 – 2012 NPS

Como vemos los requisitos no son nada exigentes, hoy por hoy un AP que soporte 802.1x (WPA2-Enterprise) tiene un coste entre 60€ y 120€. Por lo que es asequible para todas la empresas, y estoy seguro de que muchos de vosotros ya tenéis ese equipo en vuestra empresa. Si ya disponemos de todo lo necesario para implementar 802.1x en nuestra empresa, vamos a comenzar con la configuración

CONFIGURACIÓN CA

Instalación de una CA: os dejo aquí un enlace a un artículo anterior que había escrito donde podéis ver como configurar una CA en Windows Server 2012 (es muy similar en las versiones anteriores): Windows Server 2012, Instalación de una CA

Una vez que hemos instalado la CA vamos a configurar una GPO para que emita certificados de equipo y usuario automáticamente, de tal forma que forcemos la solicitud de ambos certificados en nuestra infraesctura. Para ello primero abrimos la consola de Administrador de Directivas de Seguridad y creamos una GPO que vincularemos a nivel de dominio, de tal forma que nos aseguramos de que se aplica a todos los equipos y usarios, si queremos que se aplique a todos a excepción de algunos equipos o usuarios, filtraremos dicha directiva.Autenticacion_802.1x_Wireless_2.jpg

Una vez creada la GPO empezamos a editarla, tenemos que configurar las dos partes de la directiva, a nivel de equipo y de usuario:

Configuración del equipo

Configuración del Equipo – Configuración de Windows – Configuracón de Seguridad – Directivas de clave pública – Configuración de la solicitud de certificados automática – Nuevo – Solicitud de certificados automática …Autenticacion_802.1x_Wireless_3.jpg

pulsamos en Siguiente
Autenticacion_802.1x_Wireless_4.jpg

seleccionamos Equipo y en SiguienteAutenticacion_802.1x_Wireless_5.jpg
pulsamos en Finalizar
Autenticacion_802.1x_Wireless_6.jpg

y ya tenemos nuestra solicitud automática de certificados de equipo completadaAutenticacion_802.1x_Wireless_7.jpg

Configuración de Usuarios

Configuración de Usuario – Directivas – Configuración de Windows – Directivas de clave pública – Cliente de Servicios de servidor de certificados – Inscripción automáticaAutenticacion_802.1x_Wireless_8.jpg
pero fijaros que bonita sorpresa tenemos aqui, desde esta directiva solicitará el certificado de usuario y equipo a la vez, además configuraremos la renovación automática de ambos  al 10% de expiración del mismoAutenticacion_802.1x_Wireless_9.jpg

Configurando esta directiva no necesitamos configurar la parte de directiva del equipo, pero he aprovechado para mostrar como se haría si necesitáis configurar solo la inscripción de certificados de equipos. La autenticación de los equipos es la más recomendada si los equipos pertencen al dominio, puesto que el equipo ya se ha autenticado en la red inalámbrica antes de que el usuario haya iniciado sesión, sino resultaría imposible (a menos que tengáis habilitado los inicios de sesión en cache (para mi, no recomendado) ). Ahora que lo hemos configurado únicamente debemos esperar a que se aplique la directiva a los usuarios y se vayan emitiendo los certificados. De paso  voy a explicaros como podemos evitar que a ciertos usuarios se les aplique esta configuración, vamos a crear un grupo de dominio local y lo utilizaremos  para evitar que se aplique esta directiva a los usuarios que sean miembros de dicho grupo. El grupo que he creado se llama GPO Deny Inscripcion Certificados y he añadido como miembros al grupo Admins. del Dominio y otro usuario cualquiera, evitando así que se les aplique a estos usuarios. Pero tener en cuenta que si hacemos esto, y solo hemos configurado la parte de directiva correspondiente a los usuarios, los equipos donde ellos inicien sesión no solicitará el correspondiente certificado, así que si queréis podríais dejar la configuradión de equipo habilitada. Ahora agregaremos el grupo GPO Deny Inscripcion Certificados a la GPO y denegaremos que se aplique la directiva:
Autenticacion_802.1x_Wireless_10.jpg

CONFIGURACIÓN AP

Voy a mostraros dos AP diferentes para que veáis como podemos configurar cada uno de ellos, para que envíe las solicitudes de autenticación a un servidor NPS (RADIUS). Los modelos que tengo son los siguientes:

MARCA​ MODELO​
LINKSYS ​WAP200 Wireless-G Access Point
​CISCO C1140-K9W7-M

​WAP200 Wireless-G Access Point

Autenticacion_802.1x_Wireless_11.jpg

Cisco AP C1140-K9W7-M
aaa new-model
aaa group server radius RadiusEAP
 server 192.168.250.12 auth-port 1812 acct-port 1813
!
dot11 ssid Asirsl.com
   max-associations 10
   authentication open eap EAP_WIFI
   authentication network-eap EAP_WIFI
   authentication key-management wpa version 2
!
interface Dot11Radio0
 encryption mode ciphers aes-ccm tkip
 ssid Asirsl.com
!
radius-server host 192.168.2.12 auth-port 1812 acct-port 1813 key clave_conectar_nps

Como vemos la configuración de los AP (cliente radius) es muy sencilla, únicamente debemos elegir el modo de seguridad, la IP del servidor RADIUS y la clave compartida que utilizarán ambos para autenticarse entre ellos. Ahora únicamente nos queda configura el servidor RADIUS o NPS según la versión de Windows Server que tengamos. Una vez instalado el rol de Servidor de Directivas de Redes (NPS) podemos empezar con la configuración, y consta de los siguientes pasos:

  1. Registrar Servidor en Active Directory
  2. Añadir los Clientes Radius
  3. Crear las Directivas de Red

Ahora voy a explicar cada uno de los puntos comentados, vamos a empezar por Registra el Servidor en el Active Directory. Esto permite habilitar los servidores NPS para que pueda tener acceso a las credenciales de la cuenta de usuario y las propiedades de acceso telefónico en Active Directory, el servidor que ejecuta NPS debe estar registrado en Active Directory. Esto podemos hacerlo vía GUI o línea de comandos:

GUI, desde la consola del Servidor de directivas de redes pulsamos con el botón secundario del ratón encima del nombre del servidor y pulsamos en Registrar servidor en Active Directory ((en mi caso no os lo puedo mostrar porque lo había hecho con anterioridad, pero únicamente es pulsar en Registrar .. y Aceptar la ventana de confirmación)

Autenticacion_802.1x_Wireless_12.jpg
CLI, desde una línea de comandos (CMD) con derechos administrativos debemos ejecutar el siguiente comando:

netsh ras add registeredserver

Si queremos añadir nuestro NPS en otro dominio de nuestro bosque, podemos hacerlo también de dos formas. Si lo hacemos mediante GUI únicamente debemos agregar al servidor como miembro del grupo Servidores RAS e IAS  de dicho dominio. Y si lo hacemos desde una línea de comandos lo haremos con el siguiente comando:  netsh ras add registeredserver Dominio ServidorNPS

Una vez que hemos registrado  el NPS, empezaremos la configuración. Abrimos la consola de Servidor de directivas de Redes y agregamos los AP como clientes Radius:

Nombre Descriptivo: Nombre con el que distingamos el AP que estamos configurando

Dirección (IP ó DNS): La IP o FQDN del dispositivo si tenemos el registro DNS creado

Secreto Compartido: Clave utilizada para autenticarse entre ambos

Confirmar Secreto Compartido: Confirmación de la clave utilizada para autenticarse entre ambos

Autenticacion_802.1x_Wireless_13.jpg
Autenticacion_802.1x_Wireless_14.jpg
Ahora debemos configuar la directiva de red en la cual definiremos las diferentes condiciones que debe cumplir un usuario o equipo para autenticarse. Vamos a empezar por la directiva que autenticará los equipos del dominio, vamos a la opción Directivas de red y pulsamos con el botón secundario del ratón y hacemos click en Nuevo y podemos guiarnos con el asistente
Autenticacion_802.1x_Wireless_15.jpg
primero escribimos el nombre de la directiva, debemos escribir algo descriptivo para que nos permita identificarla, en nuestro caso Autenticación Equipos Wireless
Autenticacion_802.1x_Wireless_16.jpg
ahora debemos empezar a definir las condiciones que tendrán que cumplir los equipos para continuar procesando la directiva, pulsamos en Agregar para añadir las distintas condiciones

Autenticacion_802.1x_Wireless_17.jpg

seleccionamos Grupo de Equipos y pulsamos en Agregar
Autenticacion_802.1x_Wireless_18.jpg
Autenticacion_802.1x_Wireless_19.jpg
yo voy a elegir el grupo Equipos del Dominio, pero si no queréis que todos los equipos del dominio puedan utilizar la red Wireless con Certificados, debéis crearos otro grupo y añadirlo sin más
Autenticacion_802.1x_Wireless_20.jpg
Autenticacion_802.1x_Wireless_21.jpg
Ahora tenemos nuestra primera condición que deben cumplir los equipos si se quieren conectar utilizando esta directiva de red, tenemos múltiples opciones para configurar:

Autenticacion_802.1x_Wireless_23.jpg

 

Autenticacion_802.1x_Wireless_24.jpg
Autenticacion_802.1x_Wireless_25.jpg
Autenticacion_802.1x_Wireless_26.jpg
Autenticacion_802.1x_Wireless_27.jpg
Autenticacion_802.1x_Wireless_28.jpg
Autenticacion_802.1x_Wireless_29.jpg
Como vemos tenemos infinidad de posibilidades, así que os dejo a vosotros las reviséis con detalle cada una de ellas. Ahora que hemos definido las condiciones necesarias, pulsamos en Siguiente, seleccionamos Acceso concedido que es lo que buscamos en esta directiva y pulsamos en Siguiente
Autenticacion_802.1x_Wireless_30.jpg
Ahora llega la parte más interesante y en la cual debemos prestar mucha atención, desmarcamos todas los Métodos de autenticación menos seguros y pulsamos en Agregar
Autenticacion_802.1x_Wireless_31.jpg
ahora debemos elegir el método de autenticación que permitamos en esta regla de red, seleccionamos Microsoft: Tarjeta inteligente u otro certificado

Autenticacion_802.1x_Wireless_32.jpg

pulsamos en Editar, seleccionamos el certificado que utilizará el servidor para identificarse antes los equipos que utilicen esta regla de red, Aceptamos y pulsamos en Siguiente
Autenticacion_802.1x_Wireless_33.jpg
Autenticacion_802.1x_Wireless_34.jpg
Podemos configurar restricciones, si la solicitud no cumple con todas las restricciones se deniega la conexión, nosotros vamos a especificar que se aplicará esta directiva cuando el medio conexión que se trata de utilizar es una conexión inalámbrica. Pero podemos definir otras opciones:

Tiempo de espera de inactividad: el tiempo en minutos que utilizará el servidor para desconectar una sesión en inactividad

Tiempo de espera de sesión: el tiempo máximo en minutos que un usuario puede estar conectado a la red inalámbrica (en nuestro caso)

Identificador de llamada: esto es para conexiones de marcado, si queremos habilitar la conexión a determinados números de teléfono

Restricciones de día y hora: dias y horas en los que se permite la conexión

pulsamos en Siguiente

Autenticacion_802.1x_Wireless_35.jpg
ahora podemos configurar atributos adiciones de RADIUS, Proveedores, Cumplimiento de NAP, etc… esto lo veremos en otro artículo, pulsamos en Siguiente
Autenticacion_802.1x_Wireless_36.jpg

 

ahora nos muestra un resumen de la directiva que hemos terminado de configurar y pulsamos en Finalizar

 

Autenticacion_802.1x_Wireless_37.jpg

 

ahora la tenemos disponible en la rama Directivas de Red
Autenticacion_802.1x_Wireless_38.jpg
Si ahora queremos configurar la directiva para autenticar el acceso a la red inalámbrica pero en vez de autenticar los equipos queremos autenticar los usuarios, podemos «clonar» la directiva porque es exactamente igual solo que debemos cambiar las condiciones. Primero vamos a clonar la directiva, pulsamos con el botón secundario del ratón y seleccionamos Duplicar Directiva

 

Autenticacion_802.1x_Wireless_39.jpg
ahora se ha creado con el nombre Copia ….. y se encuentra deshabilitada, así que ahora primero vamos a editarla y vamos a la pestaña Condiciones, quitamos la condiciones que tenemos y pulsamos en Agregar
Autenticacion_802.1x_Wireless_41.jpg
ahora seleccionamos Grupos de usuarios y agregamos el grupo de usuarios que queremos que puedan conectarse a la red inalámbrica, yo voy a añadir Usuarios del Dominio, pero lo suyo sería un grupo nuevo para filtrar quien se puede conectar
Autenticacion_802.1x_Wireless_23.jpg
Autenticacion_802.1x_Wireless_42.jpg
ahora debemos habilitarla, pulsamos con el botón secundario del ratón y seleccionamos Habilitar
Autenticacion_802.1x_Wireless_43.jpg
Las directivas de procesan en orden secuencial de arriba a abajo, la primera que coincida es que se aplica por lo que debemos tenerlo muy en cuenta. Lo que yo voy a hacer es subirlas a las primera posiciones, para ello pulso con el botón secundario del ratón en cada una de las directivas y selecciona subir o bajar según proceda.
Autenticacion_802.1x_Wireless_44.jpg
Por último quedaría configurar los equipos clientes, como ya damos por hecho de que tienen los certificados correspondientes, solo debemos configurar el perfil de la red inalámbrica. Vamos a empezar por configurar la conexión inalámbrica que autenticará los equipos:
Autenticacion_802.1x_Wireless_45.jpg
Autenticacion_802.1x_Wireless_46.jpg
para configurar la conexión que autentique con el certificado del usuarios debemos modificar únicamente la Configuración avanzada y seleccionar Autenticación de usuariosAutenticacion_802.1x_Wireless_47.jpg
Una vez configurado el equipo intentará conectar a la red inalámbrica y el AP enviará la solicitud de autenticación al NPS, allí podemos revisar el LOG para ver si se ha concedido o no el acceso a la red. Si se cumplen todas las condiciones establecidas, se conectará a la red empresarial
Autenticacion_802.1x_Wireless_48.jpg
LOG de NPS:
192.168.0.50,host/Asirport01.asirsl.com,12/15/2012,19:35:48,IAS,SRV-CENTRAL1,4,192.168.0.50,5,0,30,FC-FB-FB-02-6A-09,31,A0-88-B4-09-D4-CC,12,1400,61,19,77,CONNECT 11Mbps 802.11b,4108,192.168.100.3,4116,0,4128,SRV-VMM00,4154,Usar autenticación de Windows para todos los usuarios,4155,1,4129,ASIRSL\ASIRPORT01$,4127,5,4149,Autenticacion Equipos Wireless,25,311 1 192.168.250.10 09/13/2012 00:21:28 17985,8136,1,8153,0,8111,0,4130,asirsl.com/Asirsl/Equipos/Equipos/ASIRPORT01,4132,Microsoft: Tarjeta inteligente u otro certificado,4136,1,4142,0
192.168.0.50,host/Asirport01.asirsl.com,12/15/2012,19:35:48,IAS,SRV-CENTRAL1,25,311 1 192.168.250.10 09/13/2012 00:21:28 17985,8153,0,8111,0,4132,Microsoft: Tarjeta inteligente u otro certificado,4108,192.168.100.3,4116,0,4128,SRV-VMM00,4154,Usar autenticación de Windows para todos los usuarios,4155,1,4129,ASIRSL\ASIRPORT01$,4127,5,4149,Autenticacion Equipos Wireless,8136,1,7,1,6,2,4294967207,2,4294967206,4,4130,asirsl.com/Asirsl/Equipos/Equipos/ASIRPORT01,4136,2,4142,0

Nos os fijéis en los nombres de la directiva ni servidores, puesto que no utilizo el LAB para configurar mi red inalámbrica, con más condiciones y restricciones pero la autenticación se con el certificado de equipo.

Autenticacion_802.1x_Wireless_49.jpg
Si utilizase la autenticación de usuario sería con el siguiente certificado

Autenticacion_802.1x_Wireless_50.jpg

Esto se puede complicar tanto como queráis, ya es cosa vuestra la adaptación a vuestra empresa. Pero como véis no es excesivamente complejo, pero tiene múltiples opciones que lo hacen muy potente. Porque no hemos visto NAP, pero lo haré en otro artículo pero es muy interesante.

Ahora tendremos un nivel de seguridad interesante, además de poder controlar desde el AD quien puede conectarse, un registros de LOGS, etc…

Espero que os sea de utilidad!!!