Microsoft Lync Server
Header

Feliz Día del Administrador de Sistemas

julio 26th, 2013 | Posted by Santiago Buitrago in Videos | Windows Server - (0 Comments)

Borrar credenciales almacenadas en nuestro sistema

abril 29th, 2013 | Posted by Santiago Buitrago in Windows Server - (4 Comments)

Muchos usuarios tienen la "mala costumbre" de almacenar sus contraseña de acceso a Webs, APPs, etc… lo que representa varios problemas:

1. Seguridad: puesto que si alguien accede a nuestro equipo únicamente debe hacer uso de las aplicaciones y accederia a todos nuestros datos (redes sociales, intranets, etc…)
 
2. Si esto lo hacemos en un ambiente de dominio (Active Directory) podemos tener problemas con la política de cambio de contraseña
 
Aun siendo una práctica habitual por parte de muchos usuarios, es algo que debemos evitar puesto que si alguien se conectase a nuestro equipo, con tal solo acceder  las aplicaciones o URLs en donde hemos guardado los datos de inicio de sesión .. ya tendría "acceso" a nuestra información. Vamos a ver primero como podemos eliminar las contraseñas almacenadas en nuestro sistema. Desde Windows XP en adelante, tenemos la posibilidad de ir a inicio – ejecutar  y escribir el siguiejnte comando: control userpasswords2 y se nos abrirá una ventana en donde veremos las contraseñas que tiene almacenadas.
 
Password_Control_2.jpg
Ahora pulsamos en Administrar Contraseñas y nos muestra los datos almacenados: en este caso he almacenado la clave de GMAIL. Si queremos borrar las credenciales, pusalmos en Quitar. (Esta pantalla es de Windows 8 pero es similar en Windows 7)
Password_Control_3.jpg
También podemos acceder a quitar las contraseñas de otra forma, y es ejecutando el siguiente comando desde inicio – ejecutar: rundll32 keymgr.dll, KRShowKeyMgr

Password_Control_4.jpg
Como vemos desde aqui podemos Agregar, Quitar o Editar las claves actuales, además de poder realizar un backup o restaurarlo. Esto nos permite múltiples opciones, pero siempre con mucho cuidado!!! Si queremos hacer un backup de las claves, únicamente pulsamos en Hacer copia de seguridad…
Password_Control_5.jpg
Simplemente le indicamos la ruta en donde queremos almacenar este backup (se recomienda fuera del equipo, un disco USB cifrado, etc..), no solicita que pulsemos CTRL+ALT+SUPR para bloquear el sistema y que solo tengamos accedo a la ventana en donde nos solicita una contraseña para evitar los accesos no autorizados al fichero, básicamente que no podamos restaurar el backup sin concerla.
 
Otra forma de acceder a borrar las contraseñas almacenadas en nuestro sistemas (Windows Vista en adelante), es desde el panel de control: Administrador de credenciales
Password_Control_6.jpg

Tenemos dos opciones, las credenciales que almacenadmos en distintas URLs (Facebook, GMAIL, Twitter, etc…) o aplicaciones Windows (Lync, Outlook, etc..)

 
Credenciales Web
Password_Control_9.jpg

Credenciales Windows

Password_Control_8.jpg
 
si queremos eliminar alguna de las credenciales almacenadas, pulsamos en QUITAR
Password_Control_10.jpg
A nivel de sistemas operativo podemos evitar que los usuarios almacenen las claves de acceso en algunas partes del sistema, para ello debemos disponer como mínimo de la versión profesional de Windows y através de las directivas grupo locales (o de dominio) podemos configurarlo.  Para ello vamos a inicio – ejcutar y escribimos GPEDIT.MSC y se nos abre un MMC con las directivas de grupo locales, y nos vamos a la opción Plantillas administrativas\Configuración de Usuario\Componentes de Windows\Internet Explorer\Autocompletar puede recordar y sugerir nombres de usuario y contraseñas en formularios
 
En este caso debemos Deshabilitar la directiva para que no le permita al usuario guardar contraseñas en los formularios Web ni autocompletar

Password_Control_12.jpg
También podemos evitar que se guarden las contraseñas de las conexiones RDS, para ello vamos a Plantillas administrativas\Configuración de Usuario\Componentes de Windows\Servicios de Escritorio Remoto\Cliente de conexión a Escritorio Remoto\No permitir que se guarden las contraseñas
Password_Control_13.jpg
Esto si lo configuramos en un ambiente de dominio es muy sencillo, se realizarán los mismos cambios pero de manera centralizada y para los 100.000 usuarios de un solo "plumazo". Además, esto en un ambiente de dominio se debería registrir por muchos motivos, uno de ellos son las posibles peticiones a soporte. Me explico, imaginemos que un usuario accede a su intranet (SharePoint por ejemplo) y tiene autenticación integrada, sino se ha configurado correctamente como sitio de Intranet, cuando el usuario accede le solicita las credenciales de acceso. Puede que la primera vez el usuario introduzca las credenciales y poco más, pero cuando cierre el navegador y tenga que volver a iniciarlo … le volverá a solicitar las credenciales. Está claro que a la tercera (si es que llega hasta ahí) el usuario tratará de almacenar las credenciales  para su comodidad. El problema llegará cuando la directiva de cambio de contraseña fuerce al usuario a realizar el cambio de su contraseña actual, tratará de acceder a la intranet y verá un acceso denegado!! y de ahí la llamada a soporte. El problema que tiene el usuario, es que ahora tiene almacenado el usuario y contraseña anterior, y el DC no admite esas credenciales por lo que le denegará el acceso continuamente porque son las que tenemos almacenadas para esa URL. Además, si contamos con un sistema de bloqueos de cuentas … ya os podéis imaginar el efecto colateral de esta configuración. Para poder evitar este comportamiento, lo que primero que debemos hacer es configurar una GPO que añada la URL de nuestras aplicaciones de negocio a sitios de confianza, por defecto cuenta con la siguiente configuración de seguridad:
 
Password_Control_14.jpg
De tal forma al usuario no le presentará el cuadro de autenticación para esas URL, puesto que inicialmente intentará autenticar con las credenciales de su sesión. De esta forma evitamos que el usuario almacene el usuario y contraseña actual y cuando se aplique el cambio obligado de su contraseña … tengamos el problema. Además, otro problema añadido es que los usuarios no administradores no pueden ejecutar los comandos anteriores: rundll32 keymgr.dll, KRShowKeyMgr o control userpasswords2. En el supuesto caso de que el usuario haya almacenado su contraseña, debemos cerrar la sesión del usuario, añadirlo como miembro del grupo de administradores locales, iniciar sesión, ejecutar control userpasswords2 (por ejemplo), quitar la contraseña almacenada, cerrar sesión, quitarlo del grupo de administradores locales e inciar sesión nuevamente, vamos todo un lío para algo que se puede solucionar muy fácilmente.

 
Otra configuración que deberíamos aplicar es la siguiente: Plantillas administrativas\Configuración de Usuario\Componentes de Windows\Explorador de Windows\No solicitar credenciales alternativas

Password_Control_15.jpg
Siempre es recomendable evitar que los usuarios puedan introducir otras credenciales alternativas a las suyas, pero esto sería otro tema largo para comentar…
 
En otro artículo anterior (Plantillas ADMX Office 2013 y Configuración Lync 2013) os había comentado que podemos ampliar las capacidades de las GPO con las plantillas ADMX, y como bien sabeis existen para muchos productos y no solo de Microsoft sino también de terceros. En este caso voy a comentaros las opciones del cliente de Lync, porque también podemos evitar que los usuarios almacenen diferentes credenciales (puesto que por defecto el usuario utilizará la autenticación integrada), aqui tenéis las opciones que debéis habilitar:
 
Opcional y seguramente en muchos no es la adecuada
Office_2013_Template_16.jpg
Y esta esa una de las que aplicaría en función de si el equipo es compartido o no con la misma sesión de usuario (equipo tipo Kiosko)
Office_2013_Template_22.jpg
El problema no se resuelve tenido una sola contraseña para todo, ni ciento de usuarios para todo, es cuestión de concidenciación de la seguridad y siempre implica un "esfuerzo extra! el poder garantizar la seguridad de  nuestros equipos y usuarios. Como véis ya no solo es un problema de acceso a datos no autorizado, o de bloqueos sino más bien de suplantación de identidades con el problema que esto puede causar. Imaginaros que alguien se hace pasar por vosotros ( y sin esfuerzo) accediendo a la intranet de la empresa, y deja un comentario ofensivo hacia tu superior o la propia empresa, es casi imposible saber quien lo ha enviado. Primero porque lo ha hecho de tu sesión (con lo cual el usuario está validado por los DC, está claro que es quien dice ser), lo  hace desde vuestro equipo (en el DC vemos que viene la conexión se origina desde tu equipo (por el nombre o la Ip del equipo), por lo que o tienes una buena justificación de tu ausencia desde el puesto de trabajo … te ha caído  un buen marrón. Está claro que los administradores de tenemos una gran responsabilidad dentro de las empresas, y no solo somos los que os obligamos a cambiar las contraseñas porque queda bonito o fantaseamos con hackers ni cosas parecidas, porque con una simple click en "recordar mi contraseña"  podemos meternos en un problema. Desde luego hay muchas medidas que tomar y mucho trabajo de concienciación que llevar a cabo, no solo a usuarios sino también a muchos administradores. Han quedado muchas coas sin comentar, como bloqueos de equipos, etc… pero la idea inicial de este artículo era otro :-). 
 
Si os parece bien, en próximos artículos iremos viendo más cosillas relacionadas
 
Espero que les sea de utilidad!!!

Windows Server 2012: VPN SSTP con NAP

abril 26th, 2013 | Posted by Santiago Buitrago in Seguridad | Windows Server - (0 Comments)

 

NAP (Network Access Protection) nos permite controlar el acceso completo o registringido a la red si cumplen las directivas de mantenimiento correspondientes, tanto en conexiones locales como de acceso remoto. Voy a tratar de explicar cómo podemos configurar NAP en una conexión VPN con SSTP, pero solo voy a comentar la configuración del NPS, puesto que la configuración del servidor RRAS con SSTP lo había publicado en su momento:
 

Este es el esquema que trataremos de configurar en este artículo

vpn_sstp_nap_esquema.jpg

Una vez que tenemos configurado el servidor VPN, empezamos con la configuración del NPS. Primero debemos configurar el servidor RRAS para que la autenticación de los clientes VPN sea mediante RADIUS:vpn_sstp_nap_3.jpg
ahora debemos configurar en el servidor NPS  el cliente Radius, en este caso sería el servidor RRASvpn_sstp_nap_4.jpg

escribimos un nombre descriptivo, el nombre o dirección IP del cliente radius y la clave compartida entre ambos
vpn_sstp_nap_5.jpg
también debemos seleccionar que el cliente Radius es compatible con NAPvpn_sstp_nap_6.jpg
Una vez que hemos configurado el cliente y servidor radius respectivamente, vamos a comenzar con la configuración de NAP. Seleccionamos el servidor de NPS (Local) y en la parte derecha pulsamos en Configurar NAP y continuamos con el asistente
vpn_sstp_nap_7.jpg
seleccionamos como método de conexión de red la opción Red privada virtual (VPN), escribimos un nombre para esta directiva y pulsamos en Siguientevpn_sstp_nap_8.jpg
agregamos el cliente radius (RRAS) que utilizarán esta directiva y pulsamos en Siguientevpn_sstp_nap_9.jpg
agregamos el grupo de usuarios que tendrán acceso mediante VPN (ACL NPS VPN Usuarios) y pulsamos en Siguientevpn_sstp_nap_10.jpg
ahora debemos seleccionar el certificado que utilizará el servidor para presentarle a los clientes VPN, sino es el que tiene seleccionado por defecto podemos elegir otro diferente. Además, seleccionaremos como se autenticarán los usuarios, en nuestro caso elegimos Tarjeta inteligente u otro certificado (EAP-TLS) y pulsamos en Siguientevpn_sstp_nap_11.jpg
ahora debemos seleccionar los servidores de actualizaciones (WSUS) que tengamos disponibles para los equipos que no superen las SHV y también la URL de Ayuda si disponemos de ella

vpn_sstp_nap_12.jpg
como no teníamos configurado el grupo de servidor de actualizaciones configurados, vamos a hacerlo sobre la marcha y pulsamos en Grupo Nuevo y añadimos nuestro servidor de actualizaciones

vpn_sstp_nap_13.jpg
una vez configurado el grupo de servidores de actualizaciones pulsamos en Siguiente
vpn_sstp_nap_14.jpg
ahora tenemos que indicarle que ocurrirá si el cliente cumple o no los requisitos de NAP, además habilitamos la corrección automática de equipos cliente. Y los clientes que no cumplan con NAP no se les permitirá acceso a la red de la empresa y pulsamos en Siguiente
vpn_sstp_nap_15.jpg
ahora nos muestra el resumen de lo que hemos ido configurando y pulsamos en finalizarvpn_sstp_nap_16.jpg
Si ahora revisamos las directivas de red veremos que tenemos tres creadas desde el asistente anterior:vpn_sstp_nap_17.jpg

Vamos a ver cada una de las directivas:

NAP VPN Compatible

vpn_sstp_nap_18.jpg
como vemos tenemos configurada la directiva de mantenimiento NAP VPN Compatiblevpn_sstp_nap_19.jpg
ahora veremos la directiva de mantenimiento para que veáis la configuración de la misma, para poder conectarse con esta directiva de mantenimiento debe cumplir todas las comprobaciones de SHV

vpn_sstp_nap_20.jpgvpn_sstp_nap_21.jpg

Debemos seleccionar el método de autenticación desde el botón Agregar y seleccionamos  Microsoft: Tarjeta inteligente u otro certificado y desmarcamos el resto de métodos que viene seleccionados por defecto (MS-CHAP-v2 y MS-CHAP)vpn_sstp_nap_22.jpg
vpn_sstp_nap_23.jpg
ahora revisamos las opciones de Cumplimiento NAP y por defecto está seleccionado Permitir acceso completo a la red y Habilitar corrección automática de equipo clientvpn_sstp_nap_24.jpg

NAP VPN No Compatible

vpn_sstp_nap_25.jpg

como vemos tenemos configurada la directiva de mantenimiento NAP VPN No Compatiblevpn_sstp_nap_26.jpg

vpn_sstp_nap_27.jpgvpn_sstp_nap_21.jpg
La configuración de autenticación es la misma en todas las directivas, por lo que vamos directamente a la Configuración NAP y ahora pulsamos en Configurarvpn_sstp_nap_28.jpg
vpn_sstp_nap_29.jpg

NAP VPN No Compatible con NAP

La configuración de esta directiva es igual que la NAP VPN No Compatible con la diferencia que en la configuración de compatibilidad con NAP se ha seleccionado que El equipo no es compatible con NAP. El resto de configuración es exactamente la misma que la directiva anterior.

vpn_sstp_nap_30.jpg

Ahora debemos configurar el cliente que se conectará al servidor VPN, pero antes de configurar la conexión VPN debemos tener configurado los siguientes servicios en los equipos que se conectarán a la VPN:

 

Iniciar el servicio Agente de Protección de acceso a redes y cambiarla el Tipo de Inicio a Automático

vpn_sstp_nap_31.jpg

Iniciar el servicio Centro de seguridad

vpn_sstp_nap_32.jpg
y por último debemos habilitar el Cliente de aplicación de cuarentena de EAP desde la Configuración del cliente NAP (Inicio – Ejecutar – napclcfg.msc)vpn_sstp_nap_33.jpg

Como la máquina la cual he configurado el cliente VPN no está en el dominio, tengo que instalar el certificado raíz de confianza y el certificado personal del usuario. Yo he configurado una CA interna en mi DC y solicitaré ambos certificados desde el servidor Web de la CA. Accedemos al servidor WEB y nos autenticamos con los datos del usuario con el que nos vamos a conectar a la VPN, para que el certificado que nos emita será para dicho usuario:vpn_sstp_nap_38.jpg

Primero vamos a instalar la CA, para ello debéis hacerlo de la siguiente forma

vpn_sstp_nap_39.jpg
vpn_sstp_nap_40.jpg

vpn_sstp_nap_41.jpg
vpn_sstp_nap_42.jpg
vpn_sstp_nap_43.jpg
vpn_sstp_nap_44.jpg
vpn_sstp_nap_45.jpg

Ahora vamos a solicitar en línea el certificado de usuario, para ello abrimos la misma URL pero elegimos otras opciones

vpn_sstp_nap_46.jpg
vpn_sstp_nap_47.jpg
vpn_sstp_nap_48.jpg
vpn_sstp_nap_49.jpg
vpn_sstp_nap_50.jpg

Una vez que ha finalizado la solicitud e instalación del certificado vamos a verificar que lo tenemos instalado, para ello abrimos Internet Explorer y vamos a Herramientas – Opciones de Internet – Contenido – Certificados
vpn_sstp_nap_51.jpg

Ahora si podemos proceder a configurar la conexión VPN, para ello vamos a la Centro de Redes y Recursos Compartidos y creamos una configuración de red con la siguiente configuración

vpn_sstp_nap_34.jpgvpn_sstp_nap_35.jpg
vpn_sstp_nap_36.jpgvpn_sstp_nap_37.jpg

Ahora debemos probar la conexión VPN para verificar que autentica y conecta  correctamente, pero como no tengo antivirus estoy restringido

vpn_sstp_nap_52.jpg

Desde la consola del RRAS también puedo ver la conexión del cliente VPN y su estadovpn_sstp_nap_60.jpg

Si ahora instalo el antivirus y pruebo a conectarme pero sigo sin poder conectarme y estoy "registringido" porque aún no he actualizado el antivirus

vpn_sstp_nap_53.jpg

si actualizo el antivirus y vuelvo a conectarme ahora sí cumplo todos los requisitos
vpn_sstp_nap_54.jpg

como hemos hecho antes podemos verificar los clientes conectados y su estado desde el RRASvpn_sstp_nap_61.jpg

por supuesto tengo acceso a los recursos internos de la empresa

vpn_sstp_nap_59.jpg

Si ahora que estoy conectado desactivo el antivirus el sistema me alertará de que estoy registringido restringido y me muestra cual es la razón

vpn_sstp_nap_55.jpg

Si pulsamos en Más información nos llevará a la web de soporte que hemos configurado anteriormente (yo he puesto la página por defecto del IIS pero vosotros deberíais poner una web de ayuda)

vpn_sstp_nap_56.jpg

Antes de conectaros  la VPN podéis comprobar el estado de vuestro equipo desde el Centro de Actividades (vpn_sstp_nap_58.jpg)

vpn_sstp_nap_57.jpg

Como veis podemos hacer muchas cosas y muy interesantes, además podemos hacer filtros IP, etc.. Es bastante sencillo y rápido de configurar, además es muy útil no solo para conexiones VPN sino también para DirectAccess, Redes Inalámbricas, DHCP, etc… casi todo lo que queráis implementar con NPS es posible implementarle NAP

Espero que os sea de utilidad!!!

,

NPS: Autenticación 802.1x para nuestra red inalámbrica

abril 16th, 2013 | Posted by Santiago Buitrago in Directivas de Grupo | Lync Server | Windows Server - (0 Comments)

​Todos conocéis las debilidades de las redes inalámbricas, pero luego a la hora de la configuración parece que muchos técnicos tienen pánico a configurar 802.1x. Hoy en día es vital para muchas empresas disponer de conectividad inalámbrica, tanto para la red de datos como la de voz, y la de voz cada día está más presente en casi todos los ámbitos. Seguro que muchos de vosotros conocéis a alguien que se ha conectado a una red Wireless de otra persona, sin su consentimiento y encima consumiéndole todo el ancho de banda de su conexión a Internet. Yo no voy a decir nada al respecto sobre esta práctica cada día más común, creo que sino respetamos a nuestro prójimo …. mal andamos. Pero esto no es de lo que quiero hablaros, ni mucho menos, pero vamos a ver como podemos tratar de minimizar el riesgo de ataques a este tipo de redes.

Vamos por partes, primero identificaremos que necesitamos para configurar 802.1x en nuestra empresa. Partiendo de la base  de que queremos autenticar a los usuario y/o equipos del dominio con sus correspondientes certificados, esto es lo que vamos a necesitar:

  1. Una CA para emitir los distintos certificados a usuarios y equipos
  2. Un AP que soporte 802.1x
  3. Servidor Radius: Windows 2000-2003 IAS y Windows 2008 – 2012 NPS

Como vemos los requisitos no son nada exigentes, hoy por hoy un AP que soporte 802.1x (WPA2-Enterprise) tiene un coste entre 60€ y 120€. Por lo que es asequible para todas la empresas, y estoy seguro de que muchos de vosotros ya tenéis ese equipo en vuestra empresa. Si ya disponemos de todo lo necesario para implementar 802.1x en nuestra empresa, vamos a comenzar con la configuración

CONFIGURACIÓN CA

Instalación de una CA: os dejo aquí un enlace a un artículo anterior que había escrito donde podéis ver como configurar una CA en Windows Server 2012 (es muy similar en las versiones anteriores): Windows Server 2012, Instalación de una CA

Una vez que hemos instalado la CA vamos a configurar una GPO para que emita certificados de equipo y usuario automáticamente, de tal forma que forcemos la solicitud de ambos certificados en nuestra infraesctura. Para ello primero abrimos la consola de Administrador de Directivas de Seguridad y creamos una GPO que vincularemos a nivel de dominio, de tal forma que nos aseguramos de que se aplica a todos los equipos y usarios, si queremos que se aplique a todos a excepción de algunos equipos o usuarios, filtraremos dicha directiva.Autenticacion_802.1x_Wireless_2.jpg

Una vez creada la GPO empezamos a editarla, tenemos que configurar las dos partes de la directiva, a nivel de equipo y de usuario:

Configuración del equipo

Configuración del Equipo – Configuración de Windows – Configuracón de Seguridad – Directivas de clave pública – Configuración de la solicitud de certificados automática – Nuevo – Solicitud de certificados automática …Autenticacion_802.1x_Wireless_3.jpg

pulsamos en Siguiente
Autenticacion_802.1x_Wireless_4.jpg

seleccionamos Equipo y en SiguienteAutenticacion_802.1x_Wireless_5.jpg
pulsamos en Finalizar
Autenticacion_802.1x_Wireless_6.jpg

y ya tenemos nuestra solicitud automática de certificados de equipo completadaAutenticacion_802.1x_Wireless_7.jpg

Configuración de Usuarios

Configuración de Usuario – Directivas – Configuración de Windows – Directivas de clave pública – Cliente de Servicios de servidor de certificados – Inscripción automáticaAutenticacion_802.1x_Wireless_8.jpg
pero fijaros que bonita sorpresa tenemos aqui, desde esta directiva solicitará el certificado de usuario y equipo a la vez, además configuraremos la renovación automática de ambos  al 10% de expiración del mismoAutenticacion_802.1x_Wireless_9.jpg

Configurando esta directiva no necesitamos configurar la parte de directiva del equipo, pero he aprovechado para mostrar como se haría si necesitáis configurar solo la inscripción de certificados de equipos. La autenticación de los equipos es la más recomendada si los equipos pertencen al dominio, puesto que el equipo ya se ha autenticado en la red inalámbrica antes de que el usuario haya iniciado sesión, sino resultaría imposible (a menos que tengáis habilitado los inicios de sesión en cache (para mi, no recomendado) ). Ahora que lo hemos configurado únicamente debemos esperar a que se aplique la directiva a los usuarios y se vayan emitiendo los certificados. De paso  voy a explicaros como podemos evitar que a ciertos usuarios se les aplique esta configuración, vamos a crear un grupo de dominio local y lo utilizaremos  para evitar que se aplique esta directiva a los usuarios que sean miembros de dicho grupo. El grupo que he creado se llama GPO Deny Inscripcion Certificados y he añadido como miembros al grupo Admins. del Dominio y otro usuario cualquiera, evitando así que se les aplique a estos usuarios. Pero tener en cuenta que si hacemos esto, y solo hemos configurado la parte de directiva correspondiente a los usuarios, los equipos donde ellos inicien sesión no solicitará el correspondiente certificado, así que si queréis podríais dejar la configuradión de equipo habilitada. Ahora agregaremos el grupo GPO Deny Inscripcion Certificados a la GPO y denegaremos que se aplique la directiva:
Autenticacion_802.1x_Wireless_10.jpg

CONFIGURACIÓN AP

Voy a mostraros dos AP diferentes para que veáis como podemos configurar cada uno de ellos, para que envíe las solicitudes de autenticación a un servidor NPS (RADIUS). Los modelos que tengo son los siguientes:

MARCA​ MODELO​
LINKSYS ​WAP200 Wireless-G Access Point
​CISCO C1140-K9W7-M

​WAP200 Wireless-G Access Point

Autenticacion_802.1x_Wireless_11.jpg

Cisco AP C1140-K9W7-M
aaa new-model
aaa group server radius RadiusEAP
 server 192.168.250.12 auth-port 1812 acct-port 1813
!
dot11 ssid Asirsl.com
   max-associations 10
   authentication open eap EAP_WIFI
   authentication network-eap EAP_WIFI
   authentication key-management wpa version 2
!
interface Dot11Radio0
 encryption mode ciphers aes-ccm tkip
 ssid Asirsl.com
!
radius-server host 192.168.2.12 auth-port 1812 acct-port 1813 key clave_conectar_nps

Como vemos la configuración de los AP (cliente radius) es muy sencilla, únicamente debemos elegir el modo de seguridad, la IP del servidor RADIUS y la clave compartida que utilizarán ambos para autenticarse entre ellos. Ahora únicamente nos queda configura el servidor RADIUS o NPS según la versión de Windows Server que tengamos. Una vez instalado el rol de Servidor de Directivas de Redes (NPS) podemos empezar con la configuración, y consta de los siguientes pasos:

  1. Registrar Servidor en Active Directory
  2. Añadir los Clientes Radius
  3. Crear las Directivas de Red

Ahora voy a explicar cada uno de los puntos comentados, vamos a empezar por Registra el Servidor en el Active Directory. Esto permite habilitar los servidores NPS para que pueda tener acceso a las credenciales de la cuenta de usuario y las propiedades de acceso telefónico en Active Directory, el servidor que ejecuta NPS debe estar registrado en Active Directory. Esto podemos hacerlo vía GUI o línea de comandos:

GUI, desde la consola del Servidor de directivas de redes pulsamos con el botón secundario del ratón encima del nombre del servidor y pulsamos en Registrar servidor en Active Directory ((en mi caso no os lo puedo mostrar porque lo había hecho con anterioridad, pero únicamente es pulsar en Registrar .. y Aceptar la ventana de confirmación)

Autenticacion_802.1x_Wireless_12.jpg
CLI, desde una línea de comandos (CMD) con derechos administrativos debemos ejecutar el siguiente comando:

netsh ras add registeredserver

Si queremos añadir nuestro NPS en otro dominio de nuestro bosque, podemos hacerlo también de dos formas. Si lo hacemos mediante GUI únicamente debemos agregar al servidor como miembro del grupo Servidores RAS e IAS  de dicho dominio. Y si lo hacemos desde una línea de comandos lo haremos con el siguiente comando:  netsh ras add registeredserver Dominio ServidorNPS

Una vez que hemos registrado  el NPS, empezaremos la configuración. Abrimos la consola de Servidor de directivas de Redes y agregamos los AP como clientes Radius:

Nombre Descriptivo: Nombre con el que distingamos el AP que estamos configurando

Dirección (IP ó DNS): La IP o FQDN del dispositivo si tenemos el registro DNS creado

Secreto Compartido: Clave utilizada para autenticarse entre ambos

Confirmar Secreto Compartido: Confirmación de la clave utilizada para autenticarse entre ambos

Autenticacion_802.1x_Wireless_13.jpg
Autenticacion_802.1x_Wireless_14.jpg
Ahora debemos configuar la directiva de red en la cual definiremos las diferentes condiciones que debe cumplir un usuario o equipo para autenticarse. Vamos a empezar por la directiva que autenticará los equipos del dominio, vamos a la opción Directivas de red y pulsamos con el botón secundario del ratón y hacemos click en Nuevo y podemos guiarnos con el asistente
Autenticacion_802.1x_Wireless_15.jpg
primero escribimos el nombre de la directiva, debemos escribir algo descriptivo para que nos permita identificarla, en nuestro caso Autenticación Equipos Wireless
Autenticacion_802.1x_Wireless_16.jpg
ahora debemos empezar a definir las condiciones que tendrán que cumplir los equipos para continuar procesando la directiva, pulsamos en Agregar para añadir las distintas condiciones

Autenticacion_802.1x_Wireless_17.jpg

seleccionamos Grupo de Equipos y pulsamos en Agregar
Autenticacion_802.1x_Wireless_18.jpg
Autenticacion_802.1x_Wireless_19.jpg
yo voy a elegir el grupo Equipos del Dominio, pero si no queréis que todos los equipos del dominio puedan utilizar la red Wireless con Certificados, debéis crearos otro grupo y añadirlo sin más
Autenticacion_802.1x_Wireless_20.jpg
Autenticacion_802.1x_Wireless_21.jpg
Ahora tenemos nuestra primera condición que deben cumplir los equipos si se quieren conectar utilizando esta directiva de red, tenemos múltiples opciones para configurar:

Autenticacion_802.1x_Wireless_23.jpg

 

Autenticacion_802.1x_Wireless_24.jpg
Autenticacion_802.1x_Wireless_25.jpg
Autenticacion_802.1x_Wireless_26.jpg
Autenticacion_802.1x_Wireless_27.jpg
Autenticacion_802.1x_Wireless_28.jpg
Autenticacion_802.1x_Wireless_29.jpg
Como vemos tenemos infinidad de posibilidades, así que os dejo a vosotros las reviséis con detalle cada una de ellas. Ahora que hemos definido las condiciones necesarias, pulsamos en Siguiente, seleccionamos Acceso concedido que es lo que buscamos en esta directiva y pulsamos en Siguiente
Autenticacion_802.1x_Wireless_30.jpg
Ahora llega la parte más interesante y en la cual debemos prestar mucha atención, desmarcamos todas los Métodos de autenticación menos seguros y pulsamos en Agregar
Autenticacion_802.1x_Wireless_31.jpg
ahora debemos elegir el método de autenticación que permitamos en esta regla de red, seleccionamos Microsoft: Tarjeta inteligente u otro certificado

Autenticacion_802.1x_Wireless_32.jpg

pulsamos en Editar, seleccionamos el certificado que utilizará el servidor para identificarse antes los equipos que utilicen esta regla de red, Aceptamos y pulsamos en Siguiente
Autenticacion_802.1x_Wireless_33.jpg
Autenticacion_802.1x_Wireless_34.jpg
Podemos configurar restricciones, si la solicitud no cumple con todas las restricciones se deniega la conexión, nosotros vamos a especificar que se aplicará esta directiva cuando el medio conexión que se trata de utilizar es una conexión inalámbrica. Pero podemos definir otras opciones:

Tiempo de espera de inactividad: el tiempo en minutos que utilizará el servidor para desconectar una sesión en inactividad

Tiempo de espera de sesión: el tiempo máximo en minutos que un usuario puede estar conectado a la red inalámbrica (en nuestro caso)

Identificador de llamada: esto es para conexiones de marcado, si queremos habilitar la conexión a determinados números de teléfono

Restricciones de día y hora: dias y horas en los que se permite la conexión

pulsamos en Siguiente

Autenticacion_802.1x_Wireless_35.jpg
ahora podemos configurar atributos adiciones de RADIUS, Proveedores, Cumplimiento de NAP, etc… esto lo veremos en otro artículo, pulsamos en Siguiente
Autenticacion_802.1x_Wireless_36.jpg

 

ahora nos muestra un resumen de la directiva que hemos terminado de configurar y pulsamos en Finalizar

 

Autenticacion_802.1x_Wireless_37.jpg

 

ahora la tenemos disponible en la rama Directivas de Red
Autenticacion_802.1x_Wireless_38.jpg
Si ahora queremos configurar la directiva para autenticar el acceso a la red inalámbrica pero en vez de autenticar los equipos queremos autenticar los usuarios, podemos «clonar» la directiva porque es exactamente igual solo que debemos cambiar las condiciones. Primero vamos a clonar la directiva, pulsamos con el botón secundario del ratón y seleccionamos Duplicar Directiva

 

Autenticacion_802.1x_Wireless_39.jpg
ahora se ha creado con el nombre Copia ….. y se encuentra deshabilitada, así que ahora primero vamos a editarla y vamos a la pestaña Condiciones, quitamos la condiciones que tenemos y pulsamos en Agregar
Autenticacion_802.1x_Wireless_41.jpg
ahora seleccionamos Grupos de usuarios y agregamos el grupo de usuarios que queremos que puedan conectarse a la red inalámbrica, yo voy a añadir Usuarios del Dominio, pero lo suyo sería un grupo nuevo para filtrar quien se puede conectar
Autenticacion_802.1x_Wireless_23.jpg
Autenticacion_802.1x_Wireless_42.jpg
ahora debemos habilitarla, pulsamos con el botón secundario del ratón y seleccionamos Habilitar
Autenticacion_802.1x_Wireless_43.jpg
Las directivas de procesan en orden secuencial de arriba a abajo, la primera que coincida es que se aplica por lo que debemos tenerlo muy en cuenta. Lo que yo voy a hacer es subirlas a las primera posiciones, para ello pulso con el botón secundario del ratón en cada una de las directivas y selecciona subir o bajar según proceda.
Autenticacion_802.1x_Wireless_44.jpg
Por último quedaría configurar los equipos clientes, como ya damos por hecho de que tienen los certificados correspondientes, solo debemos configurar el perfil de la red inalámbrica. Vamos a empezar por configurar la conexión inalámbrica que autenticará los equipos:
Autenticacion_802.1x_Wireless_45.jpg
Autenticacion_802.1x_Wireless_46.jpg
para configurar la conexión que autentique con el certificado del usuarios debemos modificar únicamente la Configuración avanzada y seleccionar Autenticación de usuariosAutenticacion_802.1x_Wireless_47.jpg
Una vez configurado el equipo intentará conectar a la red inalámbrica y el AP enviará la solicitud de autenticación al NPS, allí podemos revisar el LOG para ver si se ha concedido o no el acceso a la red. Si se cumplen todas las condiciones establecidas, se conectará a la red empresarial
Autenticacion_802.1x_Wireless_48.jpg
LOG de NPS:
192.168.0.50,host/Asirport01.asirsl.com,12/15/2012,19:35:48,IAS,SRV-CENTRAL1,4,192.168.0.50,5,0,30,FC-FB-FB-02-6A-09,31,A0-88-B4-09-D4-CC,12,1400,61,19,77,CONNECT 11Mbps 802.11b,4108,192.168.100.3,4116,0,4128,SRV-VMM00,4154,Usar autenticación de Windows para todos los usuarios,4155,1,4129,ASIRSL\ASIRPORT01$,4127,5,4149,Autenticacion Equipos Wireless,25,311 1 192.168.250.10 09/13/2012 00:21:28 17985,8136,1,8153,0,8111,0,4130,asirsl.com/Asirsl/Equipos/Equipos/ASIRPORT01,4132,Microsoft: Tarjeta inteligente u otro certificado,4136,1,4142,0
192.168.0.50,host/Asirport01.asirsl.com,12/15/2012,19:35:48,IAS,SRV-CENTRAL1,25,311 1 192.168.250.10 09/13/2012 00:21:28 17985,8153,0,8111,0,4132,Microsoft: Tarjeta inteligente u otro certificado,4108,192.168.100.3,4116,0,4128,SRV-VMM00,4154,Usar autenticación de Windows para todos los usuarios,4155,1,4129,ASIRSL\ASIRPORT01$,4127,5,4149,Autenticacion Equipos Wireless,8136,1,7,1,6,2,4294967207,2,4294967206,4,4130,asirsl.com/Asirsl/Equipos/Equipos/ASIRPORT01,4136,2,4142,0

Nos os fijéis en los nombres de la directiva ni servidores, puesto que no utilizo el LAB para configurar mi red inalámbrica, con más condiciones y restricciones pero la autenticación se con el certificado de equipo.

Autenticacion_802.1x_Wireless_49.jpg
Si utilizase la autenticación de usuario sería con el siguiente certificado

Autenticacion_802.1x_Wireless_50.jpg

Esto se puede complicar tanto como queráis, ya es cosa vuestra la adaptación a vuestra empresa. Pero como véis no es excesivamente complejo, pero tiene múltiples opciones que lo hacen muy potente. Porque no hemos visto NAP, pero lo haré en otro artículo pero es muy interesante.

Ahora tendremos un nivel de seguridad interesante, además de poder controlar desde el AD quien puede conectarse, un registros de LOGS, etc…

Espero que os sea de utilidad!!!

Plantillas ADMX Office 2013 y Configuración Lync 2013

abril 10th, 2013 | Posted by Santiago Buitrago in Lync Server | Windows Server - (0 Comments)

​Vamos a ver como podemos instalar las plantillas administrativas actualizando la configuración del Almacén Central. Las plantillas administrativas nos permiten añadir nuevas opciones de configuración sobre otras características de los equipos o usuarios, en este caso sobre las soluciones del paquete Office 2013 (Word, Excel, Outlook, OneNote, Access, etc…). Lo primero que debemos hacer es copiar las plantillas administrativas al Almacén Central, que está ubicado por defecto en la siguiente ruta del servidor: "C:\windows\PolicyDefinitions". Debemos copiar los .admx dentro de la carpeta raiz:

Office_2013_Template_9.jpg

y los ficheros .adml dentro de la carpeta del idioma que tengamos

Office_2013_Template_10.jpg
ahora solo debemos crear una nueva GPO, y ver que tenemos las nuevas opciones de configuración disponibles

Office_2013_Template_11.jpg

Ahora vamos a mostrar las que nos interesan, las 13 opciones de configuración de Lync. Os voy a poner la capturas de pantalla de cada una de ellas para veáis las opciones que tenemos disponibles:

Office_2013_Template_12.jpg

Office_2013_Template_13.jpg

Office_2013_Template_14.jpg

Office_2013_Template_15.jpg

Office_2013_Template_16.jpg

Office_2013_Template_17.jpg

Office_2013_Template_18.jpg

Office_2013_Template_19.jpg

Office_2013_Template_20.jpg

Office_2013_Template_21.jpg

Office_2013_Template_22.jpg

Office_2013_Template_23.jpg

Office_2013_Template_24.jpg

Ahora solo queda aplicar los cambios que consideréis necesarios en vuestra infraestuctura, como podéis comprobar es muy sencillo y muy útil tener a mano estas plantillas. Esto yo lo he hecho en un Windows Server 2012, pero el procedimiento para Windows 2008 R2 es el mismo (a nivel de servidor estoy hablando claramente)

Espero que os sea de utilidad!!

 

 

, ,