18/2/18

La mejor proteccion contra ransomwares en servidores Windows.

Mas allá de las recomendaciones de seguridad clásicas (mantener el OS actualizado, usar un antivirus/antimalware, reglas de seguridad granulares en firewall y compartidos), la solución más efectiva que podemos aplicar a Servidores Windows es vetar la posibilidad de crear archivos con extensiones conocidas que son utilizadas por los ransomware; esto lo logramos instalando en el servidor un rol denominado File Server Resource Manager (FSRM) o en español "Administrador de recursos del servidor de archivos".

No explicaré el proceso de instalación de un rol pero mostraré capturas de las diferentes ediciones de Windows server, para que puedan ubicarlo.

Windows Server 2016 y 2012:
Clic en la imagen para agrandar.
Windows Server 2008:
Clic en la imagen para agrandar.

Clic en la imagen para agrandar.
Windows Server 2003 R2:

Clic en la imagen para agrandar.








Una vez instalado el rol para facilitar la implementación en uno o varios servidores he creado un script de powershell que hará todo el trabajo por ustedes con solo ejecutarlo:


Copien el contenido del script, peguenlo en un bloc de notas y guardenlo con extinción .ps1
IMPORTANTE: Verifiquen con Windows PowerShell ISE (El editor), que cada símbolo sea interpretado exactamente como mostré anteriormente, de lo contrario no funcionará.
Como podrán apreciar el scritp toma las extinciones de una fuente publicada en  hitgub, por el usuario @kinomakino, la cual mantiene actualizada. 

Notaran también que el script crea los filescreen más básicos, pero si ustedes tienen más carpetas en la raíz de C:\ u otros discos, deberán agregarlas al scritp o manualmente desde la interfaz gráfica de FSRM, procurando utilizar siempre como plantilla "Anti-Ransomware", de lo contrario el siguiente paso no funcionará.

 

Mantener el listado de extensiones actualizado.

Para esto utilizamos el siguiente script:

Guardenlo en la ruta "C:\AntiRSWUpdate" que el primer script creó y le asignan como nombre AntiRSWUpdate.ps1

Creen una tarea programada que se ejecute semanal o diariamente (como ustedes elijan), lo único importante en la creación de la tarea es que marquemos la opción "ejecutar ya sea que el usuario este logueado o no":


Y que en acción coloquemos los siguientes datos:
  • Acción: Iniciar un programa.
  • Programa/script: Powershell.exe
  • Argumento: -ExecutionPolicy Bypass C:\Antiransonware\AntiRSWUpdate.ps1
Clic en la imagen para agrandar.

 

Notas Finales:

  • Compatibilidad de los script:  Fueron probados en equipos con Windows Server 2016, 2012 y 2008 R2; en todos funcionan correctamente.
  • Windows Server 2003: La instalación deberán hacerla manual y utilizar otro método para actualizar el listado.
  • Verificado: El método fue probado en un entorno aislado exponiéndolo a una muestra del ransomware Dharma que utiliza la extensión .java y la implementación fue exitosa, el servidor continuó 100% operativo con la data intacta.
  • Volume Shadow Copy: Las versiones anteriores no son protegidas por este método ya que el ransomware las elimina con un comando de powershell y no encriptandolas.
  • No es la panacea: El éxito depende de la base de datos de las extensiones y si el ataque proviene de un ransomware que utilice una extensión que no se encuentre en el listado, el equipo se encriptará.

Solucion al error 0xc8000222 al instalar actualizaciones de Windows.

Ejecutamos una consola de comando con privilegios elevados y detenemos el servicio de Windows Uptade con:
  • net stop WuAuServ

Vamos a C:\Windows y renombramos la carpeta "SoftwareDistribution" a "SD_OLD" o cualquier otro nombre.


Volvemos a iniciar Windows Update y ya quedaría solucionado.


17/2/18

Exportar listado de Usuarios de AD

Si alguna vez te topaste con la necesidad de exportar un listado de usuarios de Active Directory, acá te presento dos métodos.

1. Utilizando PowerShell:

Ejecutando la siguiente linea de comando, desde la consola de powershell de un Controlador de dominio o desde cualquier pc usando los credenciales del administrador de dominio:

Para tu dominio:

Get-ADUser -Filter * -Properties Enabled, GivenName, Name, SamAccountName, SID, Surname, UserPrincipalName, Description, Office, TelephoneNumber, EmailAddress, Company | Select Enabled, GivenName, Name, SamAccountName, SID, Surname, UserPrincipalName, Description, Office, TelephoneNumber, EmailAddress, Company | Export-CSV "C:\Nombre.csv"

Clic en la imagen para agrandar.
Para un dominio en relación de confianza: 

Get-ADUser -Server "dominio.a.consultar" -Filter * -Properties Enabled, GivenName, Name, SamAccountName, SID, Surname, UserPrincipalName, Description, Office, TelephoneNumber, EmailAddress, Company | Select Enabled, GivenName, Name, SamAccountName, SID, Surname, UserPrincipalName, Description, Office, TelephoneNumber, EmailAddress, Company | Export-CSV "C:\Nombre.csv"

Como verán al final del comando se indica que exporte un archivo .csv a la ubicacion C:\

Truco 1: Para limitar la búsqueda a una UO especifica agrega antes del atributo "-Filter" el atributo "-SearchBase" seguido del "distinguishedName" de la UO, el cual puedes obtener así:

Clic en la imagen para agrandar.
Quedando el comando del siguiente modo:

Get-ADUser -Server "dominio.a.consultar" -SearchBase "OU=000,DC=000,DC=,000" -Filter * -Properties Enabled, GivenName, Name, SamAccountName, SID, Surname, UserPrincipalName, Description, Office, TelephoneNumber, EmailAddress, Company | Select Enabled, GivenName, Name, SamAccountName, SID, Surname, UserPrincipalName, Description, Office, TelephoneNumber, EmailAddress, Company | Export-CSV "C:\Nombre.csv"

Truco 2: Para organizar un poco el .csv, abranlo con excel, seleccionen la primera columna, navegen hasta Datos \ Texto a Columnas y eliminen "espacios" y "comas".


Para conocer más opciones del aplicativo Get-ADUser haga clic aqui.   

 

2. Utilizanod WiseSoft Bulk AD Users

Descarga el programa WiseSoft Bulk AD Users.

descargar
NOTA: Como requisito la PC en la que se ejecute el aplicativo debe tener instalado .Net Framework 3.5 y Office.

Una vez descargado el archivo en cualquier PC del dominio, descomprimelo y ejecuta BulkADUsers.exe, el programa es gratuito, pero te pedira un codigo de licencia, este paso simplemente ignoralo y continua..... Haz clic en File/Connect e ingresa tus credenciales de administrador de dominio.

Clic en la imagen para agrandar.

Antes de cargar el listado de usuarios, puedes editar las propiedades a cargar, desde "Grid\Properties to load":

Clic en la imagen para agrandar.
 Ahora podras obtener el listado de usuario de la UO que elijas.

Clic en la imagen para agrandar.

Y exportarlo a .txt, .csv y/o .xlsx el cual sin duda es el formato más conveniente ya que lo organiza todo en columnas.

Clic en la imagen para agrandar.

18/10/17

Listar cuentas de usuario bloqueadas en Active Directory.

Desbloquear usuarios es de las tareas sencillas más comunes con la que lidiamos diariamente los administradores de sistemas en entornos Windows con Active Directory.

A continuación les dejo un pequeño "atajo" para agrupar los usuarios bloqueados y agilizar esta tarea.

Abrimos "Usuarios y equipos de Active Directory"; vamos a consultas guardadas y creamos una nueva de la siguiente forma:


Asignamos un nombre de la consulta y vamos a:
  1. Definir consulta.
  2. Buscar: Búsqueda personalizada.
  3. Opciones avanzadas.
  4. Pegamos la cadena: (&(objectCategory=Person)(objectClass=User)(lockoutTime>=1))
  5. Aceptamos en ambas ventanas.


De este modo, aislamos en una sola ventana todos los usuarios con cuentas bloqueadas: