Blogger templates

Imágenes del tema: Storman. Con la tecnología de Blogger.

Social Icons

About Me

Mi foto
Consultor con más de 18 años de experiencia y fundador de Systrust de Costa Rica en el 2006; ha desarrollado un gran cantidad de proyectos de infraestructura utilizando especialmente tecnologías Microsoft, Quest, OneIdentity, Parallels y Dell.

Featured Posts

Vistas de página en total

Blog Archive

Blog Archive

Blogroll

About

4 oct 2016

Cómo eliminar Pre-Installed Windows Store Apps en Windows 8.1 o Windows 10

- No hay comentarios
Para todos aquellos que requieren eliminar las apps que vienen preinstaladas con las versiones de Windows 8.1 y Windows 10, ya sea porqué estan preparando una máquina plantilla para la virtualización de escritorios este es el procedimiento:

1. Verifique que no haya creado ningun profile de usuario
2. Abrir la consola de powershell ejecutandola como administrator
3. Get-AppxProvisionedPackage -online | remove-AppxProvisionedPackage -online
4. Get-AppxPackage -AllUsers | Remove-AppxPackage

22 sept 2016

Desktop Info - Mostrar información en tiempo real en el Desktop

- No hay comentarios
Anteriormente habíamos comentado de la herramienta BGINFO para publicar información en el escritorio de la máquina. Hoy les comento de la herramienta Desktop Info.


Esta herramienta muestra información en tiempo real y los datos que deseamos mostrar en el escritorio los podemos personalizar mediante el archivo desktopinfo.ini.
Una vez personalizado debemos hacer un acceso directo (shortcut) de la herramienta en la carpeta startup de todos los usuarios, lo cual lo podemos hacer abriendo la venta de ejectuar (run) y escribir
shell:common startup

10 sept 2016

Como habilitar el rol de Hyper-V en una máquina Virtual en Windows 2016

- No hay comentarios
Crear una máquina virtual (No debe utilizarse memoria dinámica)
Instalar el sistema operativo (tanto el padre como el hijo deben correr la misma versión de Windows 2016 - 10565 o superior)
Con la máquina apagada ejecute el siguiente comando de PowerShell:
Set-VMProcessor -VMName (nombre de VM) -ExposeVirtualizationExtensions $true
Para habilitar la red es posible hacerlo de dos formas con MAC Address Spoofing o Network Address Translation.

Para MAC Address Spoofing ejecutar el siguiente comando:
Get-VMNetworkAdapter -VMName | Set-VMNetworkAdapter -MacAddressSpoofing On
Para Network Address Translation primero debemos crear un NAT switch con el siguiente comando (el rango de direcciones IP puede cambiar según el laboratorio):

new-vmswitch -name VmNAT -SwitchType Internal
New-NetNat –Name LocalNAT –InternalIPInterfaceAddressPrefix “192.168.100.0/24”
Con el siguiente comando el asignamos una dirección IP al adaptador de red creado por el comando anterior.
get-netadapter "vEthernet (VmNat)" | New-NetIPAddress -IPAddress 192.168.100.1 -AddressFamily IPv4 -PrefixLength 24
Ahora le asignamos a la máquina virtual en donde habilitamos el rol de Hyper-V el switch creado y una dirección del rango 192.168.100.0/24 y en la dirección del gateway configuramos la IP 192.168.100.1 que es la dirección que le asignamos al adaptador.

Tenga en consideración que cambiar la memoria en tiempo de ejecución, utilizar memoria dinámica, hacer Checkpoints o live migration no es soportado.

Exclusiones automáticas para Windows Defender en Windows Server 2016

- No hay comentarios
Para colaborar con la seguridad de nuestros servidores Windows Server 2016 incluye Windows Defender con una nueva característica; incluye exclusiones automáticas de acuerdo a las funciones (features) y características (roles) que tenga instalado el servidor . Las cuales son determinadas por Windows Defender mediante la herramienta DISM (Deployment Image Servicing and Management).

Estas exclusiones son utilizadas por el proceso de protección en tiempo real, sin embargo para los análisis programados y análisis completos será necesario crear las exclusiones personalizadas las cuales tienen prioridad sobre las exclusiones automáticas.

Estas exclusiones son configuradas por el proceso regular de actualización de las definiciones del Windows Defender, las cuales son publicadas 3 veces al día los 7 días de la semana.

Si no queremos que estas exclusiones se configuren automáticamente podemos utilizar el siguiente comando en PowerShell para deshabilitarlas
Set-MpPreference -DisableAutoExclusions $true
La siguiente es la lista de exclusiones default:
Windows "temp.edb" files:
%windir%\SoftwareDistribution\Datastore\*\tmp.edb
%ProgramData%\Microsoft\Search\Data\Applications\Windows\\\.log

Windows Update files or Automatic Update files:
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb
%windir%\SoftwareDistribution\Datastore\*\edb.chk
%windir%\SoftwareDistribution\Datastore\\edb\.log
%windir%\SoftwareDistribution\Datastore\\Edb\.jrs
%windir%\SoftwareDistribution\Datastore\\Res\.log

Group Policy files:
%allusersprofile%\NTUser.pol
%SystemRoot%\System32\GroupPolicy\Machine\registry.pol
%SystemRoot%\System32\GroupPolicy\User\registry.pol

Hyper-V:
File type exclusions:
*.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs

Folder exclusions:
%ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks

Process exclusions:
%systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

Más detalle en el siguiente link

7 sept 2016

Conociendo la solución de Hyper Convergencia de Microsoft

- No hay comentarios
Este es un whitepaper escrito por Romain Serre y Charbel Nemnom en donde describen la solución de Hyper-Convergencia de Microsoft utilizando Windows Server 2016 y las características de Storage Spaces Direct, Hyper-V y network de la nueva versión.

Cuáles son las nuevas características de Windows Server 2016

- No hay comentarios
Para los que están considerando la nueva versión de Windows Server 2016, en el Microsoft Virtual Academy pueden encontrar un curso muy interesante sobre las nuevas características de esta nueva versión de Windows.

Cómo usar el comando WHOAMI para listar SIDs, Grupos y privilegios

- No hay comentarios
En ocasiones requerimos identificar el SID de un usuario, los grupos a los que pertenece, sus privilegios e incluso su fully qualified domain name (FQDN) del usuario validado en el Windows. 

Para esto podemos utilizar el comando WHOAMI.exe

La siguiente tabla muestra los parámetros que acepta el comando:



Descripción
/upn Muestra el user principal name (UPN) del usuario.
/fqdn Muestra el fully qualified domain name (FQDN).
/logonid Muestra el logon ID del usuario actual.
/user Muestra el dominio, el user name y el security identifier (SID).
/groups Muestra los grupos a los que pertenece el usuario actual.
/priv Muestra los security privileges del usuario actual.

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhrKssgn8nudGsC81mUYDjs2YWlUIpvX6X51wj9ylYwcBPE9bxf6uxvs_DPDZK7uuDLIGYkeES2jnwG58jVHCtdf5FO_JI9utq-8kzUkAQoIEO8gqPDyprz2-GY7Sma0c-G4wF49giUZBE/s1600/Whoami-Steve-Ballmer.png

Ejemplos:

whoami /user

whoami user

 Los últimos valores del SID nos indica el tipo de usuario

1001, el usuario no es un Administrador
500,  el usuario es administrador local en el equipo.
512,  el usuario es Domain Admins
518,  el usuario es Schema Admins
519,  el usuario es is Enterprise Domain Admins

whoami /priv

whoami priv

Si necesitamos agregar un privilegio al usuario podemos utilizar el comando ntrights
ntrights -u smile +r SeSecurityPrivilege

31 ago 2016

Auditando PowerShell

- No hay comentarios
Para efectuar la auditoría de los comandos ejecutados en PowerShell y así poder detectar un posible ataque utilizando PowerShell en sus servidores, se recomienda habilitar la bitácora de eventos para que registre la ejecución de comandos en PowerShell. Para habilitar este registro se requiere PowerShell v3, v4 o las versiones más nuevas.

Si bien, este registro puede habilitarse para módulos de PowerShell específicos, se recomienda habilitarlo para todos los módulos (*). Lo cual puede ser de mucha utilidad cuando un atacante ha importado módulos personalizados.

Para habilitar esta bitácora siga las siguientes instrucciones:

1. Edite el GPO en donde quiere habilitar el registro
2. Expanda:
 Computer Configuration\Policies\Administrative Template\Windows Components\Windows PowerShell

3. Habilite la politica Turn on ModuleLogging
4. Presione el botón Show en Module Names
5. Digite * y presione el botón OK
6. Presione el botón OK y cierre el GPO

PowerShellModuleLogging-All

El registro de los eventos los podemos ver en el Event Viewer

image

Cómo Listar los Controladores de Dominio con PowerShell

- No hay comentarios
En ocasiones necesitamos listar los controladores de dominio que existen en nuestra infraestructura, para esta tarea podemos utilizar el siguiente comando de  PowerShell:

Get-ADDomainController -Filter * | Select Name, ipv4Address, OperatingSystem, site | Sort-Object -Property Name
El comando anterior muestra el resultado en pantalla, sin embargo podemos adicionar la siguiente sintaxis al final del comando para que la salida sea a un archivo de texto.

>C:\DC_Overview.txt
Ejemplo: Get-ADDomainController -Filter * | Select Name, ipv4Address, OperatingSystem, site | Sort-Object -Property Name >C:\DC_Overview.txt

Cómo hacer backup de los GPOs

- No hay comentarios
Efectuar respaldo de los Group Policies (GPOs) es una práctica que debemos adoptar, principalmente en estructuras de dominio complejas donde hay definidas una gran cantidad de GPOs. A las cuales les hemos invertido mucho tiempo no solo investigando cuales parámetros cumplen con nuestros requerimientos tanto de seguridad como de automatización; por tal razón debemos mantener un respaldo actualizado de nuestros GPOs.

El primer método para hacer el backup es desde la consola Group Policy Management.

1. Abrimos la consola Group Policy Management que se encuentra en Administrative Tools
2. Expandimos la estructura y nos posicionamos en Group Policy Objects
3. Seleccionamos la o las políticas que deseamos respaldar y presionamos click derecho
4. Seleccionamos Backup Up
5. En Location definimos la ubicación en donde queremos que se guarde el backup
6. Presionamos el botón Back Up

Si bien este método es efectivo tiene la desventaja de que no podemos definir una tarea para que el respaldo se realice periódicamente.

Les recomiendo crear un script en powershell con el siguiente código: (Ejemplo: GPOBackup.PS1)

$date = get-date -format M.d.yyyy
$location = “C:\Backup\GroupPolicies”
New-Item -Path $location\$date -ItemType directory
Backup-Gpo -All -Path $location\$date

Una vez creado el script ir al Task Scheduler y crear un tarea para que este se ejecute con la frecuencia que es requerida.

 

 

 

29 jun 2016

Qué son los Cluster Node Fairness

- No hay comentarios
En la actualidad las implementaciones de cloud privadas cuentan con redundancia, sin embargo es normal encontrar que algunos nodos tienen más máquinas virtuales (VMs) que otros. Siendo esto común después de haber realizado operaciones que requieren reiniciar algunos de los nodos. Esto porque las máquinas virtuales se mueven entre los nodos sin efectuar un balanceo.
System Center Virtual Machine Manager (SCVMM) cuenta con el feature Dynamic Optimization el cual efectúa el balanceo de la utilización del clúster automáticamente. Sin embargo los clientes sin SCVMM no contaban con una funcionalidad semejante en Windows.

Windows Server 2016 incluye la característica llamada Node Fairness para optimizar la utilización de los nodos en un Failover Clúster, distribuyendo las VMs entre los nodos. Algunos aspectos interesantes son:

  • Es una solucion zero-downtime, es decir las VMs son migradas en caliente a los nodos que tienen menor carga.
  • Balanceo Heurístico, analiza el uso de memoria y CPU
  • Las políticas de fallos como anti-affinity, fault domains y definición de propietarios (owners) son respetadas.
  • Control Granular, puede ser activado on-demand o en intervalos de periodos
Cuenta con tres niveles de auto-balanceo:

AutoBalancerLevel

1 (Default)    efectúa el movimiento de VMs cuando el host tiene una carga mayor al 80%
2                    mueve VMs cuando el host tiene una carga mayor a un 70%
3                    mueve VMs cuando el host tiene una carga mayor a un 60%

El Node Fairness se habilita por default sin embargo mediante la propiedad AutoBalancerMode podemos controlar cuando un Node Fairness participa del balanceo del clúster.

AutoBalancerMode

0                    Deshabilitado
1                    Balancea cuando en el nodo agregado
2 (Default)    Balancea cada 30 minutos

Balanceo cuando un nuevo nodo es agregado
Balanceo Recurrente

Configuración de Windows 2016 Clusters sin requerir que los nodos sean miembros de un dominio

- No hay comentarios
La nueva versión de Windows 2016 provee nuevos escenarios de configuración de cluster's de Hyper-V o File Server, permitiendo que los nodos puedan ser miembros de un dominio o de un grupo de trabajo.

Single-Domain Cluster: Todos los nodos son miembros del dominio
Workgroup clusters: los nodos del cluster son servidores que no son miembros de un dominio (grupo de trabajo)
Multi-domain clusters: los nodos pueden ser miembros de diferentes dominios
Workgroup and domain clusters: los nodos pueden ser miembros tanto de un dominio como de un grupo de trabajo.

1 jun 2016

Como Identificar el User Profile Disk de un Usuario

- No hay comentarios
Los User Profile Disk (UPD) son archivos .VHDX que pueden ser utilizados tanto en implementaciones Session-Based Desktop como VDI (Pooled Desktops) administradas con Windows 2012 Remote Desktop Services.

Un archivo es creado en un repositorio central (Shared Folder) para cada usuario con el proposito de almacenar el perfil del usuario, caracteristica semejante al Roaming User Profile permitiendo que las configuraciones se conserven sin importar en cual servidor RD Session Host de la granja o VDI del Pool el usuario este utilizando.

Es importante considerar que un UPD es creado para el usuario para ser utilizado en los Session-Based Desktop y otro para los Pooled Desktops.

Los archivos creados tiene como nombre el security identifier (SID) del Usuario y en ocasiones requerimos identificar cual es el archivo de un usuario.

Desde la consola de powershell podemos utilizar los siguientes comandos:

Si es un usuario registrado en el Active Directory:
Verificamos que el modulo de Active Directory este instalado, sino lo instalamos con el siguiente comando:

Para Windows 2012 y Windows 2012 R2
Add-WindowsFeature RSAT-AD-PowerShell
Para Windows 8 y Windows 8.1 se debe descargar e instalar la herramienta Remote Server Administration Tools.

Ejecutamos el siguiente comando
Get-ADUser nombreusuario -Properties * | select SamAccountName,SID
En caso de que sean usuarios definidos localmente en el servidor podemos utilizar el comando
wmic useraccount get name,sid

21 abr 2016

Workstation 12 Pro: Pasos para habilitar Hyper-V Nested

- No hay comentarios
Para instalar el rol de hyper-v en una máquina virtual que esta corriendo en VMware Workstation (Nested Virtualization), siga las siguientes instrucciones:

  •  Apague la máquina (HV01) y presione click en Edit virtual machine settings 
  • En Virtual Machine Settings, click en Processors y click en Virtualize Intel VT-x/EPT or AMD-V/RVI

  •  En Virtual Machine Settings, click en Options y click en General, verifique el directorio en donde esta almacenada la máquina virtual. (E:\Virtual Machines\HV01) 

  • Click OK para salvar la modificación 
  • Edite el archivo nombremaquina.vmx que se encuentra en el directorio del paso anterior
  • Agregue la instrucción hypervisor.cpuid.v0 = “FALSE” y salve la modificación 

  • Encienda la máquina virtual e instale el rol de hyper-v ejecutando la siguiente comando en una consola de powershell: 
Install-WindowsFeature –Name Hyper-V -IncludeManagementTools -Restart

Workstation 12 Pro: Usando VMware Linked Clones

- No hay comentarios
Un linked clone es una copia de una máquina virtual que comparte el disco virtual de una máquina existente denominada como padre.

Debido a que un linked clone tiene como base un snapshot de una maquina padre, el software instalado en el padre es heredado por las máquinas hijas. Los cambios hechos en una de las máquina hijas o clone no afectan a la máquina padre al igual que los cambios hechos a la maquina padre.

Importante
Un snapshot que tenga máquinas virtuales hijas no puede ser borrado hasta que las máquinas asociadas al padre sean borradas .

Para evitar que una máquina virtual padre sea borrada, esta debe ser definida como template.

Los siguientes son los pasos a seguir:
  1. Cree un snapshot
  2. Seleccione la máquina virtual e ingrese a los settings de la misma, presionando click derecho sobre ella
  3. En el tab Options, seleccione Advanced
  4. Seleccione Enable Template mode (to be used for cloning) y presione click boton OK