La idea de comentar algo sobre las directivas de seguridad en Windows Server 2003 es para contestar a una de las preguntas del blog, y explicará como hacer que al iniciar una sesion en una red administrada con W2k3 sólo se pueda utilizar un programa (más o menos)

El procedimiento a seguir es el siguiente, lo primero es hacer que se ejecute la aplicación deseada, yo he puesto por ejemplo calc.exe y lo siguiente que deberemos hacer es, a través de las directivas de grupo, hacer que estas impidan que el usuario en cuestión tenga acceso a ninguna otra función, para lo que nos facilitará mucho el trabajo crear un usuario con el mínimo de privilegios posible y con un perfil guardado en la extensión .MAN.

Lo del perfil lo podemos ver en c:Documents and settingsUsuarioNTUSER.DAT este archivo se encuentra oculto así que deberemos deshabilitar la opción en el Explorador de Windows de ocultar los archivos protegidos del sistema operativo (recomendado) para poder ver este archivo. Una vez lo tengamos localizado deberemos renombrarlo cambiando su exteniendo ntuser.dat -> ntuser.man con esto haremos que el perfil no sufra modificaciones, es decir que al salir de la sesión los cambios que afecten al perfil no se guarden (para mayor seguridad y un mejor mantenimiento de la cuenta de usuario) y hacer el perfil obligatorio.

Antes de seguir quiero decir que esto ya es algo que empieza a ser demasiado complejo para hacerlo sin conocimientos medios del sistema, por lo que recomiendo hacer estas cosas en una maquina virtual instalada en VMWare o Virtual Pc de Microsoft (o VirtualBox, editado el 10 de Junio de 2009) y comprobar los resultados antes de efectuarlos en un entorno corporativo.

Bién, hecho esto deberemos de dirigirnos a las directivas de grupo y limitar al máximo e impedir que el usuario pueda ejecutar nada que no sea el programa, es más, mediante las directivas podremos hacer que al cerrar el programa se cierre la sesión automaticamente.

Si te ha preocupado y preocupa la seguridad WiFi voy a ver si soy capaz de darte unos consejos sobre seguridad en redes inalámbricas.

La primera recomendación es intentar usar siempre un AP (Acces Point o Punto de Acceso), estos dan mayor cobertura con mas calidad de señal y permiten hacer mas segura la transmisión de datos. Partiendo de esta base puntuo y explico los que recuerdo.

1. Ocultar el SSID

2. Usar un filtrado por MAC

3. Utilizar encriptación (Preferiblemente WPA)

4. Deshabilitar DHCP 

Ocultar el SSID, esto viene a ser como el nombre de un grupo de trabajo, lo necesitamos para poder conectarnos a la red inalámbrica por ello mantenerlo oculto dificulta un poco la conexión a la misma por personas no autorizadas ya que no saben donde tienen que conectar.

Usar un filtrado por direcciones de MAC va a ser un punto fuerte de la protección inalámbrica porque esto impedirá que un equipo que no tenga uno de nuestros dispositivos de red pueda conectarse a nuestra red aunque conozca los demás datos no podrá conectarse.

Utilizar encriptación y a ser posible WPA porque según se comenta el cifrado WEP es muy simple romperlo (no cualquiera puede hacerlo) y poco seguro por ello, en cambio para romper el cifrado WPA es mas complicado y cuando mayor sea el número de bits del cifrado mejor. Con esto ocurre como comenté ya en “Principios de Seguridad Parte I Contraseñas” es conveniente cada 20 – 30 dias actualizar las claves de acceso, de todas formas si es la red inalámbrica de nuestra casa con cambiar las claves cada 1 – 2 meses deberá ser suficiente para hacer desistir a intrusos de acceder a esta.

Muchas de las cosas que voy a comentar en este post todos ya las sabemos pero por diversos motivos no las llevamos a cabo, de todas formas hay muchas personas que desconocen de algunas normas de seguridad básicas y voy a intentar explicar el porque llevarlas a cabo y algunos metodos para hacer de nuestros sistemas equipos seguros.

La primera norma son las contraseñas, pero cualquier contraseña no sirve, en caso de no trabajar en una red corporativa contraseñas de entre 7 y 10 carácteres pueden ser bastante seguras que no seguras del todo pero para tener contraseñas seguras esta deberá exceder los 14 caracteres por motivos que ahora no vienen al caso. Otra cosa es usar simbolos mayúsculas y minúsculas y también números, por ejemplo esta es una contraseña segura.

c0ntr@s3ny@.2006.P@bl0

Tal vez visto así resulte complicado pero es mas fácil de lo que parece, lo que he hecho es poner esta contraseña con algunos carácteres cambiados.

contraseña.2006.pablo

Lo que hago es sustituir las vocales por otros simbolos por ejemplo la a -> @ la o -> 0 la ñ -> ny (del valenciano) cada uno podemos tener mil combinaciones y separar por puntos es para introducir simbolos de puntuación pero hay muchas combinaciones.

Voy a explicar muy, pero que muy brevemente que es esto y para que sirve o se puede utilizar.

Como se muestra en el título PXE (Preboot eXecution Environment) es un entorno  de ejecución antes del arranque para la propia tarjeta de red. Hay tarjetas de red que contienen un chip con este sistema de arranque y le permiten a la tarjeta iniciarse (por decirlo de alguna manera) sin tener un SO en carga y consultar si existen servidores de DHCP con información que le ayude a arrancar el equipo para multiples funciones.

Una de las funciones por ejemplo es la que se ha comentado en el post de RIS (Remote Installation Server). Instalando un servidor con DHCP y RIS es posible realizar una instalación en red para un equipo sin necesidad de cargar el disco, incluso de iniciar una instalación desatendida (muy útil por ejemplo en redes enormes con decenas de puestos) es decir, iniciar una instalación preconfigurada antes en el servidor.

Otra de las características de esta función es que nos puede permitir trabajar en servidores a través de terminal server (pero esto desconozco acutalmente como), imagino que durante la carga se lanza una especie de cliente de terminal el cual al logearnos nos permite trabajar con el “puesto tonto”  en el servidor.

Bién hoy que tengo un ratito voy a continuar con el interesante mundo de TS.

Hoy quiero comentar la posibilidad de funcionar con Terminal Server a través de una página web habilitada para ello. Este servicio lo proporciona IIS (Internet Information Services) por lo que lo primero que debemos hacer es dirgirnos al Panel de control -> Agregar o quitar programas -> Agregar o quitar componentes de Windows

Una vez aquí bajamos en la lista hasta llegar a Servidor de aplicaciones y pulsamos sobre Detalles (el botoncito que se encuentra abajo junto con Aceptar y Cancelar) dentro de Servidor de Aplicaciones seleccionamos Instalar Internet Information Services (IIS)  y de nuevo pulsamos sobre Detalles bién esta vez bajamos hasta llegar a Servicio World Wide Web  y una vez más pulsamos sobre Detalles y si todo es correcto aparacerá Conexión Web a Escritorio remoto (A mi me aparece como la segunda de la lista) bien pues lo seleccionamos y lo instalamos, es posible que dependiendo de la instalación que tengamos en el servidor necesitemos instalar algún otro componente más, si es así windows nos avisará lo instalamos y listo ya podemos Administrar el Servidor mediante una página Web.

La forma de acceder a esta pagina web es en red local mediante http://nombre del servidor/tsweb