Mitos y leyendas: El Directorio Activo (V) (Métodos para la restauración de datos replicados)

La restauración de datos replicados en un entorno de directorio activo plantea un serio problema de coordinación. Todos los controladores de dominio deben tener su información replicada entre ellos, de forma que sea consistente. Una restauración puede insertar cambios que produzcan más daños que beneficios a la hora de ser replicados a otros sistemas, e incluso puede que se pierda más información que la ganada con la restauración. Para controlar el proceso existen tres métodos para restaurar datos que serán replicados.

Respaldar los datos

Lo más rápido, es programar una tarea en el controlador que realice una copia de seguridad de los datos del registro, del Directorio Activo y de su SYSVOL.

NTBACKUP backup systemstate /F “z:\Respaldo\DC1_SysState_ 2009-08-01.bkf”

Cuando ocurra un desastre, estas copias serán necesarias… ¿cómo usarlas?

Métodos para la restauración de datos replicados

Los tres métodos (en realidad dos) para restaurar datos que serán replicados son:

* Autoritativa
* No Autoritativa
* Primaria

La restauración primaria es en realidad un caso concreto de “autoriativa”. En el caso de que sea el primer controlador el restaurado, la estauración sería “restauración primaria” y el resto (si los hay) no autoritativos.

Restauración de Active Directory en modo no autoritativo

Los datos de esta restauración pueden estar desfasados, y serán sincronizados con la información de otros controladores que existan en el dominio. O sea, los datos de controladores de sistema que estén activos se propagarán a este nuevo sistema restaurado. Proporciona un punto de partida más avanzado a la hora de empezar de nuevo en un sistema del que existen réplicas. Se supone que el sistema que se ha mantenido en pie (el que no estamos restaurando) contendrá la información más actualizada, y sólo lo que haya sido modificado desde que se hizo la copia de seguridad será transferido y replicado de uno a otro. En realidad no recupera información, sino que ayuda a la instauración de un controlador de dominio cuando todavía existen otros funcionando.

Lo primero es conseguir que la base de datos de direcciones no esté operativa para poder restaurarla. Esto se consigue iniciando el sistema en modo seguro, pulsando F8 durante el arranque y eligiendo “Modo de restauración de SD”. Se debe arrancar la utilidad ntbackup y restaurar de forma normal el estado del sistema.

Una vez realizada esta restauración con éxito, es necesario elegir si se necesitará una restauración autoritativa o no. En caso afirmativo, NO se debe reiniciar la máquina en modo normal, pues se necesitará otro paso.
Si la restauración es no autoritativa, el proceso ha terminado.

Restauración de Active Directory en modo autoritativo

Es un tipo de restauración más “agresiva” y provoca que los datos restaurados se repliquen al resto de sistemas que pudiesen existir. Hace que la red entera vuelva al estado en el que se encuentran los datos que van a ser restaurados.

El proceso es idéntico al anterior, pero ANTES de arrancar en modo normal, se debe ejecutar ntdsutil. Esta herramienta permitirá marcar los objetos como autoritativos. Ntdsutil es una herramienta muy completa, compleja y potente. Permite múltiples acciones a bajo nivel y es mejor tener que enfrentarse con ellos.

Por ejemplo si se ha borrado una OU por error este sistema permite también marcar sólo este objeto como autoritativo y para replicación al resto de controladores. Si el nombre de la OU es “usuarios” y el dominio hispasec.com.

Desde una consola se ejecuta Ntdsutil y una vez en su contexto:

authoritative restore

En el prompt que aparece (que indica que estamos en el contexto
adecuado) ejecutar

restore subtree OU=Usuarios, DC=Hispasec,DC=Com

El mensaje debería ser que la restauración se ha completado con éxito.
Si en lugar de una rama se quiere especificar que toda la base de datos del AD es la copia debe replicarse al resto (la autoritativa), entonces se podría escribir:

restore database

Solo queda reiniciar.

Restauración de SYSVOL

SYSVOL contiene datos replicados en todos los controladores, como las políticas y scripts de inicio.

La restauración de SYSVOL en modo Restauración no autoritativa es una simple restauración del estado del sistema a través de la utilidad ntbackup.

La restauración de SYSVOL en modo Restauración primaria: Cuando se necesita recuperar un dominio desde el principio, se debe utilizar esta técnica. Se debe arrancar ntbackp y restaurar el estado del sistema, pero en la casilla de opciones avanzadas de restauración, se debe señalar “marcar los datos restaurados como datos primarios” para todas las réplicas cuando se restauren datos replicados.

Restauración de SYSVOL en modo Restauración autoritativa: Si se ha borrado un dato importante de SYSVOL y ya han sido replicados los cambios, entonces es necesario realizar este tipo de restauración. Se debe arrancar ntbackup para restaurar el estado del sistema a un lugar alternativo. De esta forma se consigue una carpeta con la información y esta no es sobreescrita en la base de datos de AD. Se debe ahora reiniciar el sistema en modo normal y permitir que SYSVOL se replique.
Luego, copiar el SYSVOL restaurado sobre el que ahora existe. Se recomienda utilizar el método anterior cuando se realice una restauración en modo autoritativo del controlador de dominio, puesto que esto es necesario para mantener SYSVOL y el Directorio Activo sincronizados.

Fuente:Noticias Hispasec

Read More

FTP Wanderer, sencillo administrador FTP para Windows

ftpwanderer3.jpg

FTP Wanderer es uno de esos programas pequeñitos y ligeros que cumplen con su tarea de una manera sencilla. Esta aplicación cubre los aspectos comunes de los administradores FTP, desde conectarnos a cualquier servidor hasta permitir varias descargas/subidas simultáneas desde/hacia nuestro ordenador. Además se integra perfectamente con Windows Explorer, tanto en aspecto como en otras cuestiones de comportamiento (drag&drop, menú derecho, etc…). Interesante la posibilidad de organizar los paneles como queramos, literalmente se pueden mover los bloques a cualquier posición.

Con la última actualización el programa se ha rediseñado completamente para adoptar este aspecto azul tipo Office 2003/2007, y se ha modificado para que sea compatible con Windows Vista. Supuestamente es compatible con todos los Windows anteriores desde Windows 95, pero por razones logísticas (mi condensador de fluzo está averiado) no lo he comprobado más allá de XP. Como guinda, se puede usar de manera portable, sin necesidad de instalación.

Vía | Freeware Home
Enlace | FTP Wanderer 3.0

Read More

Mitos y leyendas: El Directorio Activo (II) (Instalación segura)

Una vez creado el dominio a través de un primer controlador , es muy aconsejable agregar un nuevo controlador para obtener ventajas de seguridad. Un segundo controlador proporciona un sistema de seguridad adicional en caso de fallo. Además supone un buen balance de carga para el sistema en caso de que miles de usuarios hagan uso del Directorio Activo y deba soportar muchas peticiones.

Habitualmente la manera tradicional de agregar un controlador de dominio a un dominio existente es la instalación de un Windows 2000 Server, 2003 o 2008 y ejecutar la herramienta dcpromo.exe. Los pasos durante la instalación de este segundo controlador son relativamente sencillos, guiados a través de un asistente que explica de forma más o menos detallada cada paso.

Una vez en marcha, comienza la replicación por red de la información desde el primer controlador original, de forma que se duplica la base de directorio del Directorio Activo y ambos sistemas poseerán la misma información. A partir de Windows 2003 se introdujo un nuevo método (Install From Media, IFM) mucho más efectivo que además obliga a realizar una copia de seguridad que se utilizará para la replicación. La táctica consiste en la instalación de un segundo controlador de dominio a partir de una copia de seguridad del primero, sin necesidad de replicar la base de datos a través de la red.

Ventajas

Esto es importante con respecto a la seguridad y el rendimiento porque:

* Obliga a realizar una copia de seguridad del controlador primario.

* Impide que la información de replicado se desplace por la red en caso de que los datos viajen por un canal no seguro.

* Ahorra tiempo y recursos porque no hay necesidad de que los datos se repliquen por la red. En una LAN quizá esto no suponga un problema, pero en sistemas de larga distancia, cualquier dato perdido o mal interpretado puede llegar a crear inconsistencias en las bases de datos.

Creando una copia de seguridad

La utilidad más adecuada en este caso es ntbackup.exe, que viene de serie en cualquier Windows excepto Vista. En ella se debe indicar que se quiere realizar una copia de respaldo del “estado del sistema” (opción solo disponible en los controladores de dominio). Después de unos minutos, esto creará un archivo con extensión BKF de (como mínimo) unos 500 megabytes.

Este fichero está “protegido” por la contraseña introducida durante el proceso de instalación del primer controlador de dominio. Este aspecto es importante porque induce a error. Existe un imperdonable fallo de traducción en los Windows 2003 que puede llegar a confundir a los administradores. Durante el proceso de instalación del directorio activo, el asistente pregunta en un momento dado por la “Contraseña de modo remoto” en el menú “Contraseña de admin. de Modo de restauración de directorio”. Esta “Contraseña de modo remoto” es una traducción fallida de “Restore mode password”, que queda mucho más claro en inglés. Esta contraseña no debe ser la misma que la de administrador, ni sirve para presentarse ante ningún recurso de dominio. Tampoco sirve para ningún tipo de modo remoto. En realidad su utilidad es la de entrar en el modo seguro del controlador de dominio cuando ha ocurrido algún tipo de error o se quieren realizar recuperaciones de objetos. También protege al fichero que acaba de crearse (o sea, para restaurarlo será necesario conocer la contraseña).

Usando la copia de seguridad en el controlador secundario

El archivo BKF puede ser trasladado a través de cualquier medio seguro al servidor secundario. Pero no se debe restaurar el archivo al “sitio original” que aparecerá por defecto al ejecutar ntbackup, sino a una carpeta separada. De ahí se tomarán los datos para promocionar más tarde el segundo servidor. Por ejemplo, se debe indicar que se va a restaurar el “estado del sistema” a una carpeta llamada “RestaurarADTmp”. Esto se indica en las opciones avanzadas del programa de restauración.

Promocionando finalmente el servidor

Ahora es el momento de promocionar el servidor, pero debe hacerse también de una manera diferente, arrancando las opciones avanzadas de dcpromo.exe para poder elegir la opción de instalar el controlador desde una carpeta de restauración. Esto se consigue con:

dcpromo.exe /adv

De esta forma aparecerá en el asistente una nueva opción que permitirá elegir de dónde conseguir la información para instalar el controlador de dominio adicional. Se le debe indicar la carpeta creada a tal efecto (en este caso RestaurarADTmp), indicarle la contraseña de restauración, y el dominio será instalado.

La copia de seguridad debe ser descartada, por defecto, antes de 60 días (para dominios creados antes de Windows 2003 SP1, 180 días para dominios posteriores). Si se restaura después de ese tiempo, se corre el riego de sufrir inconsistencias entre los diferentes controladores. Ese es el valor del tombstone (lápida), tiempo de “vida” de los objetos borrados, o sea, el tiempo que permanecen en una especie de papelera desde donde se pueden recuperar. Este valor también sirve para evitar el riesgo de replicaciones entre controladores que no se han comunicado en todo ese tiempo.

Fuente:Noticias Hispasec

Read More

TweakNow PowerPack 2009: Afina tu Windows

TweakNow Power Pack Pro
TweakNow PowerPack 2009 es un conjunto gratuito de utilidades perfecto para afinar Windows, algo más que recomendable para mantener el rendimiento de tu sistema, o personalizar más de 100 características ocultas.

Es el “todo en uno” definitivo para mantener tu sistema al máximo. Funciona con Windows 7, Windows Vista, Windows XP Professional, y Xp Home, versiones de 64 bits incluidas.

Incluye herramientas para limpieza de disco, analizador de espacio usado, limpieza del registro, desfragmentador de registro, gestor de arranque, gestor de escritorios virtuales, recopilador de información de sistema, modificación de parámetros ocultos o recuperación de copias de seguridad, entre otras.

Vía | NeoWin
Sitio oficial | TweakNow
Descarga | TweakNow PowerPack 2009

Fuente:Gen Beta

Read More

Consigue el Menú Clásico de Inicio en Windows 7

Classic Start Menu

En el inminente Windows 7 se ha quitado la opción (que vienen arrastrando desde XP) de activar el menú de inicio clásico, al más puro estilo Windows 95/98. Esto es algo lógico dentro del diseño de la nueva superbarra, ya que novedades como la búsqueda integrada tienen más sentido para un lanzador de aplicaciones, si usamos más de 5 programas. Sin embargo hay quién no piensa así y quiere dar la posibilidad de usar el menú clásico en Windows 7, ya sea porque estamos acostumbrados o por alguna otra oscura razón.

Classic Start Menu (CSMenu) es el programa que implementa este menú, prácticamente calcado al de Windows anteriores. Este programa se abre como un programa normal, así que podemos añadir el lanzador a la nueva superbarra para tener tanto el nuevo menú como este menú clásico a la vez. En el foro dónde se ha creado han grabado un vídeo para que veas su instalación, ya que no es demasiado intuitiva y se necesitan varios pasos adicionales.

Read More

0 day en la librería msvidctl.dll de Microsoft Windows

Malos momentos para Microsoft. Se acaba de detectar un nuevo 0 day en Windows que está siendo aprovechado activamente. Microsoft no ha reconocido todavía el fallo, pues ha sido “destapado” por terceras partes. El exploit es público, y parece que (como viene siendo habitual) muchas páginas legítimas comprometidas están sirviendo para infectar los sistemas.

El fallo en cuestión es un desbordamiento de memoria intermedia basado en pila en la función ‘MPEG2TuneRequest’ de la librería msvidctl.dll. Un atacante remoto podría aprovechar esto para ejecutar código arbitrario con los permisos del usuario bajo el que se ejecuta el navegador.

La única contramedida disponible es la activación del kill bit del control. Es posible hacerlo guardando este archivo con extensión .reg y ejecutarlo como administrador:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}]

“Compatibility Flags”=dword:00000400

No se ha confirmado aún a qué versiones de Windows en concreto afecta.

La detección del JavaScript que explota el fallo es bastante pobre todavía. Según VirusTotal, solo McAfee, AntiVir, VirusBuster y Microsoft lo reconocen (recordando siempre que esto puede cambiar en un entorno de escritorio). El ejecutable que descarga sí tiene un mejor ratio de detección.

Malos momentos para Microsoft, puesto que acumula dos 0 day sin solución por ahora. A finales de mayo Microsoft reconocía un problema de ejecución de código explotable a través de archivos de QuickTime. En el posterior ciclo de actualizaciones de junio, no solucionó el problema, y tampoco parece que vaya a sacar un parche fuera de ciclo. La diferencia con este nuevo 0 day en msvidct.dll es que en aquel caso, no había información pública sobre cómo aprovecharlo. Esto hace mucho más peligroso este nuevo problema y sin duda hará que Microsoft actúe con mayor celeridad

Más Información:Microsoft

Fuente:Noticias Hispasec

Read More

Parches gigantescos

Microsoft ha batido su propio récord: ha solucionado 31 problemas de seguridad en su última tanda de diez boletines. Este argumento puede ser utilizado como un arma arrojadiza contra la seguridad de Microsoft, o de cualquier otro. ¿Se puede medir la seguridad por un número?

No. Los tiempos han cambiado. Igual que hace apenas unos 5 años las casas antivirus se jactaban de ser capaces de reconocer unos pocos cientos de miles de virus, hoy esa publicidad es impensable. Los números no significan nada cuando las cifras son tan elevadas que ya no tienen sentido para un usuario. Nadie podría cuantificar el número de “virus”

que existen hoy, mucho menos cuántos miles más aparecerán, literalmente, mañana. Sería necesaria otra métrica mucho más precisa para evaluar la gestión de seguridad de un producto. Los antivirus hablan de protección global, de heurística, de seguridad en tiempo real con nubes e inteligencia colectiva. Los responsables de programas deben hablar de claridad, velocidad, efectividad, respuesta, información, planificación y servicio.

Quedarse en las cifras es tan ambiguo que puede significar cualquier cosa, dependiendo de la intención del que lo anuncie. Oracle se mueve en la media de 50 vulnerabilidades corregidas cada tres meses. Hace un par de años su media era de más de 100. Pero eso no es lo que lo hace especialmente inseguro. Oracle es inseguro básicamente por las pocas facilidades e información que ofrecen a un administrador y porque puede pasar meses o años sin solucionar un fallo conocido. Otro ejemplo: Apple publica cuando puede o quiere (cada pocos meses) parches “jumbo” que corrigen más de 60 vulnerabilidades. El problema es que no se caracteriza por ser especialmente claro o rápido a la hora de solucionar fallos de seguridad. Microsoft no es rápido, pero sí es muy claro en sus boletines, ofreciendo una información muy útil al administrador que deba aplicar los parches. Sun, por ejemplo, independientemente de los números, es especialmente lento a la hora de corregir fallos de seguridad en Solaris.

Para evaluar, hay que tener en cuenta a todos los actores condicionantes. Ocho de estas últimas vulnerabilidades están dedicadas a Internet Explorer. Quizás lo relevante es que ha solucionado por fin (el último tras Safari y Firefox) el fallo en el navegador que permitió ganar el concurso Pwn2Own en marzo. Sin embargo, independientemente de los números, Apple fue también el último gran fabricante en solucionar el fallo de seguridad en DNS descubierto por Kaminsky. Microsoft ya ha corregido el grave problema en WebDAV pero no el 0day en DirecShow…

Adobe, por ejemplo, ante una avalancha de problemas de seguridad que no ha sabido manejar, ha tomado la decisión de agrupar la publicación de parches periódicamente, al igual que hizo Microsoft en 2003, y al que siguieron Cisco con su IOS y Oracle. Acaba de publicar (el mismo día que Microsoft, en un movimiento poco respetuoso con los administradores) nada menos que parches para 13 vulnerabilidades. Pero no debemos detenernos aquí: Adobe está intentando manejar un problema nuevo para él, con el que Microsoft se está enfrentando desde hace muchos años (la

seguridad) y parece positivo que tome decisiones que puedan ayudar a mejorar este aspecto.

De las cifras, por tanto, se pueden extraer muchas conclusiones. Tan buenas o malas como quiera el que recopile la información. Se puede hablar de que si se detectan más fallos es porque se está realizando una mejor labor en ese aspecto, o porque el software sigue siendo inseguro después de muchos años en producción (más probable esto último en el caso concreto de XP, concebido cuando la seguridad para Microsoft era secundaria)… Para evaluar la gestión de la seguridad de un producto no podemos detenernos en interpretar cifras. Es necesario realizar un seguimiento objetivo sobre la gestión, incorporando aspectos como la claridad de la información, la velocidad de aparición de parches efectivos (que no contengan regresiones, como suele ocurrir con los paquetes de Debian), el momento en el que son emitidos (es inevitable pensar en la comodidad de los administradores), los canales y facilidades que ofrecen para el parcheo, etc… y vigilar esto durante un tiempo.

Las cifras adornan titulares y rellenan gráficas. Pero sin olvidar que informan en un contexto. Por sí solas no siempre tienen valor. Hay que reconocer que es complicado ofrecer un estudio objetivo en este aspecto.

Fuente:Noticias Hispasec

Read More

WinMend Folder Hidden, para ocultar archivos y carpetas en Windows

winmed.jpg

WinMend Folder Hidden es una aplicación con la que podrás evitar que otras personas con acceso a tu computadora puedan leer documentos privados o abrir archivos que no deberían, para ello, los oculta de la vista de los curiosos.

La aplicación cuenta con una interfaz muy sencilla en la que sólo es cuestión de seleccionar ciertos archivos y carpetas para que éstos permanezcan escondidos incluso si se accede al disco duro desde otro sistema operativo. De cualquier forma, en caso de que alguien pudiera encontrar uno de estos ficheros, WinMend Folder Hidden es capaz de proteger su ejecución con una contraseña.

Además, nos ofrece la posibilidad de esconder y asegurar archivos y carpetas en dispositivos de almacenamiento portátiles como memorias USB.

Aunque no garantiza ser una aplicación estrictamente segura, WinMend Folder Hidden es una solución muy sencilla y práctica para esconder archivos privados en Windows. Lo mejor de todo es que es completamente gratuita.

Fuente:Open Security

Read More

Se venderán versiones de Windows 7 sin Internet Explorer en la Unión Europea

No fue hace mucho que les informamos sobre que Windows 7 permitiría “desinstalar” (desactivar) ciertos componentes del sistema, entre los que se encontraba Internet Explorer. Con esto se buscaba evitar problemas relacionados a las leyes de libre competencia de la Unión Europea. Pero parece que los organismos antimonopolio de la UE, que en enero ya le habían llamado la atención a Microsoft acerca de la integración IE8-Windows 7, no quedaron conformes con esa medida.

Para evitar que los procesos que estas entidades de la UE llevan contra Microsoft signifiquen un retraso en la fecha de lanzamiento de Windows 7, en Redmond han decidido tomar una medida radical: vender ediciones de Windows sin Internet Explorer en la Unión Europea (comercializar al SO y al navegador como productos separados).

Es importante mencionar no se lanzarán ediciones adicionales de Windows 7 sin Internet Explorer (como ocurrió con las ediciones “N” de XP y Vista, que carecian de Windows Media Player, y que fueron un absoluto fracaso), si no que todas las copias de Windows 7 vendidas en la Unión Europea, ya sea a los fabricantes (OEM) o a los consumidores (retail) corresponderán a ediciones “E”, es decir, sin Internet Explorer ni ningún otro navegador.

Read More

Actualización del kernel de Windows

Dentro del conjunto de boletines de seguridad de abril publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS09-025) de una actualización del kernel de Windows destinada a solucionar cuatro nuevas vulnerabilidades sobre sistemas Windows 2000, XP, Vista, Windows Server 2003 y 2008.

Se ha corregido un problema en el kernel de Windows debido a que no valida correctamente los cambios en determinados objetos del kernel.

Esto podría permitir a un atacante local ejecutar código arbitrario con privilegios elevados.

Se ha corregido una vulnerabilidad de elevación de privilegios en el kernel de Windows debida a una validación insuficiente de determinados punteros pasados desde el modo de usuario.

También se ha corregido otra vulnerabilidad de elevación de privilegios debida a que el kernel de Windows no valida correctamente un argumento pasado a una llamada del sistema del kernel de Windows.

Por último, una vulnerabilidad de elevación de privilegios cuando el kernel de Windows valida incorrectamente la entrada pasada desde el modo de usuario al kernel al editar un parámetro de escritorio específico.

Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según plataforma desde la página del boletín de seguridad:

http://www.microsoft.com/technet/security/bulletin/MS09-025.mspx

Fuente:Noticias Hispasec

Read More