¿Qué es LAPS?

Local Administrator Password Solution (LAPS) es una característica de Windows que nos permite administrar las contraseñas de los administradores locales de nuestro sistema. Esta herramienta almacena de forma centralizada en nuestro Active Directory las contraseñas de los usuarios administradores de nuestros equipos.

Esta herramienta va más allá, ya que nos permite establecer contraseñas randomizadas a nuestros usuarios administradores y establecer una política de caducidad a estas contraseñas. LAPS renovará esta contraseña de manera automática una vez haya llegado al máximo de caducidad de la contraseña, permitiéndonos de esa manera mejorar la seguridad de nuestros sistemas.

Esta herramienta solamente puede ser implementada en nuestros sistemas si cumplimos con los siguientes requisitos:

• Tener habilitado el rol de Active Directory.

• Tener .NET Framework 4.0

• Powershell 2.0

• Es soportado por todas las versiones de Windows Server y Windows Desktop.

¿Cómo instalar LAPS?

Primero de todo, descargaremos la herramienta desde el sitio web de Microsoft. Os dejo el enlace para poder descargar.

Seguidamente, realizaremos la instalación de la herramienta en nuestro servidor de Active Directory, simplemente ejecutamos el paquete msi que hemos descargado y realizaremos la instalación de la función "AdmPwd GPO Extension" que es la que nos permitirá administrar todos los equipos del dominio.

Una vez todo instalado, podremos crear diferentes grupos dentro de la estructura de Active Directory, es decir, podremos gestionar qué usuarios o grupos de usuarios tienen permiso de lectura y escritura sobre las máquinas del dominio. En nuestro caso, crearemos tres grupos diferentes dentro de una OU de nuestro Active Directory:

• LAPS R: Solamente podrá leer.

• LAPS RW: Permite la escritura.

• LAPS SERVER: Nos permitirá gestionar los servidores.

Una vez creados los diferentes grupos, podremos incorporar usuarios o grupos de usuarios dentro de ellos para poder administrar correctamente. En nuestro caso, usaremos dos usuarios, MeestR y MeestRW. En el grupo de LAPS R añadiremos ambos:

Y en el grupo de LAPS RW añadiremos solamente el usuario MeestRW, ya que este usuario será el que podrá realizar modificaciones.

El siguiente paso que debemos realizar, consiste en extender el esquema del servidor, puesto que debemos permitir que estas funcionalidades de LAPS estén optimizadas con el dominio. Para poder realizarlo usaremos el siguiente comando de PowerShell:

Update-AdmPwdADSchema

NOTA: Puede ser que este comando os devuelva algún error en el momento de ser ejecutado, si es así deberemos ejecutar previamente este comando:

Import-Module AdwPwd.PS

Finalmente, deberemos dar permisos a los usuarios que tenemos en la OU para que puedan actualizar su contraseña en el Active Directory, para ello, usaremos el siguiente comando:

Set-AdmPwdComputerSelfPermission -OrgUnit (OU_name)

Y también deberemos dar permisos a los diferentes grupos que hemos creado, uno de lectura y el otro de escritura, para ello usaremos los siguientes comandos respectivamente:

Set-AdmPwdReadPasswordPermission -OrgUnit (OU_name) -AllowedPrincipals "group"

Set-AdmPwdResetPasswordPermission -OrgUnit (OU_name) -AllowedPrincipals "group"

¿Cómo instalar LAPS en los equipos clientes mediante GPO?

Una vez realizada la instalación de LAPS en el servidor, ya podremos realizar la instalación en nuestros equipos del dominio, para ello configuraremos desde el servidor una nueva política de grupo (GPO) capaz de instalar el paquete msi que hemos instalado anteriormente y de implementar la política necesaria en los equipos para que puedan usar la herramienta.

Primero, usaremos la utilidad Administración de directivas de grupo, allí crearemos una nueva política con el nombre que más nos convenga. Editamos la política y navegamos hacia la ruta Configuración del equipo > Directivas > Configuración de software. Haremos clic derecho sobre la opción Instalación de software y seleccionaremos la opción de Nuevo > Paquete.

Buscaremos el instalador de LAPS, que deberá estar alojado en alguna carpeta que los usuarios del dominio tengan acceso, o incluso en la ruta Sysvol.

Por otro lado, deberemos activar algunas funcionalidades mediante la GPO que hemos creado, para ellos nos iremos dentro de la configuración de la GPO, a la ruta Configuración del equipo > Directivas > Plantillas Administrativas > LAPS y habilitaremos la política Habilitar la administración de contraseñas de administrador local.

Aparte de esta política, también deberemos configurar la que se llama Configuración de contraseña, donde gestionaremos de qué forma se deberá asignar la contraseña a los equipos del dominio. Aquí podremos configurar:

• La complejidad de la contraseña.

• La longitud de la contraseña.

• Y la caducidad de la contraseña.

Todos estos parámetros los dejaremos configurados a nuestro gusto.

Para finalizar, con la política Nombre de la cuenta de administrador que se va a administrar podremos definir el nombre del usuario administrador que controlara estas contraseñas, lo único que hay que tener en cuenta es que no puede ser el usuario administrador que viene por defecto.

Para finalizar, con la configuración de la GPO, hacemos clic derecho sobre la OU en el panel principal del Administrador de política de grupo para poder enlazar esta política con la OU donde están los usuarios que queremos administrar mediante LAPS y usaremos el siguiente comando para actualizar las políticas de grupo en el servidor:

gpupdate /force

¿Cómo consultar la contraseña del usuario administrador?

Una vez todo configurado y comprobado que el ordenador cliente ha actualizado correctamente las políticas de grupo, ya podremos acceder a nuestro Active Directory, iremos a buscar el equipo que queramos consultar la contraseña del usuario administrador, haremos clic derecho y clicaremos en la opción de propiedades, aquí dentro tendremos una pestaña llamada Editor de Atributos y es aquí dentro donde existe un atributo llamado ms-Mcs-AdmPwd donde veremos la contraseña del usuario administrador de este equipo.

LAPS también tiene una aplicación de escritorio, que se puede instalar con el paquete msi de LAPS, donde podremos buscar el nombre del equipo sobre el cual necesitamos consultar la contraseña del usuario administrador y nos la mostrará para que la podamos usar para realizar cualquier acción que se requiera el usuario administrador local del equipo.

¿Cómo funcionan los permisos en Linux?

Cuando miramos los permisos que tiene un directorio o archivo, primero vemos que hay cuatro bloques de permisos, estos bloques son tipo, propietario, grupo y otros permisos.

El primer carácter de la cadena indica el tipo de archivo y se puede representar con los siguientes caracteres dependiendo de qué tipo de archivo tengamos entre manos:

• d: Directorio

• b: Archivo de bloque

• c: Archivo especial de caracteres

• p: Canal

• s: Socket

• -: Archivo normal

Detrás del primer carácter veremos que existen otros 9 caracteres que están divididos en tres bloques diferenciados. Como hemos dicho anteriormente, después del primer carácter que indica el tipo, tenemos el primer bloque que nos indica el propietario del directorio o archivo. Aquí se pueden establecer los permisos que requiera el que será el propietario de este directorio o archivo. En el segundo bloque hablaremos del grupo de usuarios que tiene permiso sobre este directorio o archivo y finalmente, en el último bloque, tendremos al resto de usuarios, es decir, los usuarios que no sea ni el propietario ni estén englobados en el grupo de usuarios que tienen permisos sobre este directorio o archivo.

Para representar los diferentes permisos que tienen los 3 bloques se usan los caracteres siguientes:

• r: Capacidad de lectura y navegar por la carpeta si es un directorio.

• w: Capacidad de escritura dentro del archivo o directorio.

• x: Capacidad de ejecución.

• -: Permiso deshabilitado.

La representación de los permisos más comunes sería:

• '- - -': Sin permisos para nadie.

• r--: Solamente lectura.

• r-x: Lectura y ejecución.

• rw-: Lectura y escritura.

• rwx: Lectura, escritura y ejecución.

Configuración de permisos con chmod

Como hemos dicho al inicio de esta entrada, en sistemas Linux el comando para gestionar los diferentes permisos de un directorio o archivo es chmod. Este comando se puede gestionar de dos maneras, la primera es estableciendo los permisos mediante los caracteres rwx y el otro método (que es el más usado) es mediante numeración decimal.

El primer método es muy fácil de entender, primero de todo hay que indicarle al comando qué tipo de bloque queremos cambiar el comando, es decir, usuario propietario, grupo y otros usuarios. Usaremos los siguientes caracteres para gestionarlo:

• u: Usuario propietario

• g: Grupo de usuarios

• O: Otros usuarios

• a: Todos

Seguidamente, usaremos los signos + o - para añadir o eliminar permisos, seguido del tipo de permiso que queramos establecer, es decir, "r" para lectura, "w" para escritura y "x" para ejecución.

Vamos a verlo con un ejemplo práctico, vamos a imaginarnos que tenemos un archivo que se llama prueba.txt y queremos establecerle permisos. En el primer ejemplo daremos permisos de escritura al usuario propietario.

chmod u+w prueba.txt

En el segundo ejemplo, daremos permiso de lectura y escritura al grupo de usuarios, dejando como está el resto de permisos.

chmod g+rw prueba.txt

Y finalmente, daremos permiso de ejecución al resto de usuarios.

chmod O+x prueba.txt

Para eliminar permisos el procedimiento es el mismo, pero usaremos el signo "-" en lugar del signo "+".

Usando el método numérico en chmod

Este método es el más usado, ya que cuando dominamos su aplicación es muy rápido de implementar, pero también es el más difícil de entender, puesto que usa código binario para establecer los permisos.

Como hemos dicho, este método usa el código binario para establecer los permisos, es decir, si tenemos los permisos rw-r----x en forma decimal sería 641, ya que en binario sería 110 100 001. A continuación, os comparto la tabla con los diferentes permisos en decimal y binario:

Chmod usa el sistema decimal para poder implementar los diferentes permisos, pero por debajo en realidad está usando el sistema binario para esta implantación, ya que sería bastante más complicado usar el sistema binario para poder gestionar los permisos.

A continuación, veremos unos ejemplos de gestión de permisos mediante el método numérico:

• En el primer ejemplo queremos establecer permisos de lectura y ejecución al usuario propietario, lectura al grupo de usuarios y sin permiso al resto.

chmod 640 prueba.txt

• En el segundo ejemplo queremos establecer permisos de lectura, escritura y ejecución para el usuario propietario, lectura y escritura para el grupo de usuarios y lectura para el resto de usuarios.

chmod 764 prueba.txt

Esta es la teoría de los permisos de Linux con el método numérico, pero me diréis, oye esto es muy complicado de recordar, prefiero la primera opción. Hay una manera muy sencilla de recordar que equivale cada número a cada permiso. Os lo muestro seguidamente con un ejemplo práctico.

Sabemos mediante la tabla anterior que el permiso r-- es un 4, que el permiso -w- es un 2 y finalmente que el permiso --x es un 1. Sabiendo todo esto simplemente nos queda sumar, es decir, si queremos implementar el permiso "rw" pues será 4+2=6, si queremos implementar el permiso r-x será 4+1=5, si queremos implementar el permiso -wx será 2+1=3, y si finalmente queremos establecer el permiso rwx será 4+2+1=7.

Espero que esta entrada en el blog os ayude, por un lado, a despejar dudas cuando intentéis establecer permisos en vuestros sistemas Linux y, por otro lado, que hayáis entendido la teoría que hay detrás, así como el pequeño tip que os he dado para ayudaros a implementarlos mediante el método numérico de chmod.

¿Qué es una política de grupo?

Empezamos por el principio, una política de grupo de Windows es una directiva que se establece en servidores Windows que nos permite realizar una gran variedad de configuraciones avanzadas dentro de un entorno de trabajo Windows, es decir, que no podremos establecer políticas si usamos como equipos clientes otro sistema operativo que no sea Windows. Mencionar que solamente estas políticas de grupo están diseñadas para usuarios profesionales, es decir, deberemos tener instalado las versiones de Windows Pro, UItimate y Enterprise.

Existen dos tipos de políticas de grupo:

Política de grupo centralizada

Son las diferentes directivas que podemos establecer en un entrono Windows cliente-servidor. Es decir, que necesitamos un servidor Windows configurado con Active Directory para poder usar estas políticas. Estas directivas son las más usadas en entornos empresariales, ya que permiten una gestión centralizada para configurar una gran variedad de configuraciones de Windows.

Política de grupo local

Estas políticas de grupo existen en todas las distribuciones Windows para empresas (Pro y Enterprise) y nos permiten realizar muchas configuraciones en los equipos de manera local, es decir, que deberemos configurar los ordenadores uno por uno con las políticas que nosotros queramos. Este tipo de directivas se usan en entornos donde carecemos de un servidor centralizado con Active Directory, permitiendo configurar un sin fin de configuraciones de Windows, pero de manera individualizada, de modo que se hace mucho más pesada esta configuración respecto la de políticas de grupo centralizadas.

¿Cómo configurar un fondo de pantalla mediante GPO?

Una vez enumeradas las diferentes politicas de grupo, en nuestro tutorial usaremos un entorno de políticas de grupo centralizado mediante un Windows Server 2022 con el rol de Active Directory y un Windows 10 como equipo cliente.

Para realizar esta configuración, primero, guardaremos nuestro fondo de pantalla en una ubicación de nuestro servidor que esté compartida con el resto de equipos. Si no tenemos ninguna ubicación, la podremos generar dando clic derecho encima de la carpeta que contiene el fondo > Propiedades > Compartir. Aquí deberemos añadir los grupos de Usuarios del Dominio y Equipos del Dominio y darles permisos de lectura solamente.

Una vez compartida la carpeta, es hora de realizar la configuración de las GPO. Añadiremos una nueva GPO usando la herramienta de administración de directivas de grupo en el apartado de Objetos de política de grupo.

Después de crear el nuevo objeto lo editamos e iremos a buscar la siguiente opción:

User Configuration > Preferences > Windows Settings > Files

Aquí añadiremos un nuevo archivo mediante la acción de Actualizar y en los campos "Campo de origen" y "Campo de destino" escribiremos la ruta absoluta donde tenemos el fondo de pantalla en el servidor y la ruta donde queremos transferir este fondo en los equipos clientes.

En resumen, esta política nos transferirá a nuestros equipos clientes el fondo de pantalla que le hemos establecido a la ruta deseada.

El siguiente paso es configurar la directiva para que establezca el fondo de pantalla que hemos transferido anteriormente en los diferentes equipos. Para ello iremos a:

User Configuration > Polices > Administrative Templates > Desktop > Desktop

Aquí configuramos la directiva llamada Fondo de escritorio, que dejaremos activada y establecemos la ruta donde se encuentra el fondo de pantalla dentro de los equipos clientes y finalmente el estilo del fondo (Expandido, mosaico, Rellenar, etc.).

Finalmente, asignamos esta política donde queremos que se aplique, se puede aplicar a todo el dominio o si se requiere una configuración distinta por departamentos, podremos establecer esta política a las diferentes Unidades Organizativas (OU) que tengamos creadas en nuestro Active Directory, de esta manera cada departamento podrá tener su propio fondo de pantalla.

Ahora, si reiniciamos el ordenador cliente podremos comprobar cómo se genera la carpeta con el fondo de pantalla en la ruta que hemos especificado en la política de grupo y también podremos observar cómo se cambia el fondo de pantalla por el que le hemos establecido.

Para acabar, solamente recordaros que me podéis seguir en las redes sociales para estar informados de todas las novedades.

¡Un abrazo!

En la primera entrada del año os traigo la solución a un problema de lentitud usando el cliente de IPsec VPN de SonicWall, GlobalVPN. Puede ser que os ha pasado que cuando estáis conectados por GlobalVPN y usamos la conexión Wifi de nuestro ordenador, la navegación por internet funciona con extrema lentitud, pues bien, esto se debe a un problema con el componente Receieve Segment Coalescing (RSC).

Y me diréis: ¿qué es eso del RSC? Pues RSC, y según Microsoft, es una tecnología de descarga sin estado que ayuda a reducir la utilización de la CPU para el procesamiento de red en el lado de recepción mediante la descarga de tareas de la CPU a un adaptador de red compatible. En otras palabras, este componente libera la carga de trabajo de la CPU cuando estamos descargando en una red y las manda a nuestro adaptador de red para realizar el procesamiento de la descarga.

Pues parece ser que en Windows 10 y usando GlobalVPN como cliente VPN, este componente ralentiza substancialmente la velocidad de transferencia de nuestro ordenador, provocando una lentitud excesiva cuando intentamos navegar por Internet.

Como todo en la vida tiene solución, son unos pasos muy sencillos que lo que hará es solucionar esta lentitud que ocasiona el componente.

Pasos para desactivar RSC

• Ejecutamos PowerShell como administrador.

• Debemos obtener el nombre de nuestro adaptador de red Wifi, para ello usarmeos el comando Get-NetAdapter.

• 

  Vemos que en nuestro caso, el adaptador de red se llama Wi-FI. Nos copiamos este nombre.

• Comprobamos si RSC está activado en nuestro sistema usando el comando: Get-NetAadapterRsc.

  

• Si el estado de IPv4Enables es True, procedmos a desactivar RSC usando el comando Disable-NetAdapterRsc -Name Wi-Fi

  

• Comprobamos si el estado de RSC es False usando el mismo comando que antes: Get-NetAdapterRsc.

• Si todo es correcto, veremos que ahora nuestra velocidad ha mejorado substancialmente.

Bueno, espero que esta entrada os sea de utilidad para solventar este problema muy molesto. Como siempre, muchas gracias por leerme y acordaos que me podéis seguir en redes sociales para más información.

¿Y qué utilidad tiene? Las VLAN nos permiten separar las redes que tengamos en nuestra organización, es decir que podemos hacer tantas subredes como queramos, lo que nos proporcionara la posibilidad de reducir la transmisión del tráfico de la red y mejorar la seguridad, ya que como hemos dicho antes, nos permite encapsular diferentes redes. Para entenderlo mejor, es como si tuvieses diferentes switchs en una red local configurados con redes distintas, es decir, tener un switch con la LAN 192.168.1.0 y otro switch con la 192.168.0.0. La VLAN nos permite tener diferentes redes sin tener que usar diferentes switchs.

Normalmente, una VLAN se puede configurar en un switch que sea gestionable y mediante, por ejemplo, un Firewall podemos ir creando estas VLAN. Cuando configuramos un switchs para que pueda tener VLAN tenemos que considerar que existen 3 tipos de puertos: Tagged, Untagged y Trunk, que vamos a explicar a continuación.

Puerto Trunk

Este tipo de puerto es el más fácil de entender, ya que es el que viene por defecto en cualquier switch, ya sea gestionable o no. El comportamiento de este puerto es dejar pasar todo el tráfico de cualquier VLAN. Normalmente, se usa cuando tenemos diferentes switchs conectados en cascada, de esta manera el tráfico de todas las VLAN fluyen por todos los switchs que tengamos.

Puerto Untagged

Este comportamiento de puerto nos permite encapsular el tráfico de una VLAN en concreto, es decir, solamente deja fluir el tráfico de la VLAN que nosotros le hemos establecido y del resto de VLAN no deja pasar el tráfico. Esto quiere decir que todo lo que tengamos conectado en ese puerto solamente tendrá acceso a la VLAN que le hemos establecido y no podrá acceder al resto de VLAN que tengamos configurados en nuestro switch.

Puerto Tagged

Este comportamiento del puerto nos permite encapsular el tráfico de diferentes VLAN que tengamos configuradas, es decir, deja fluir el tráfico de diferentes VLAN que tengamos configuradas. Un ejemplo practicó seria, si tenemos configuradas las VLAN 100, 101 y 102 y en un puerto tenemos que el comportamiento sea Tagged hacia las VLAN 100 y 102, este dejara pasar el tráfico procedente de la VLAN 100 i 102, pero no dejara pasar el tráfico de la 101, ya que solamente el comportamiento del puerto le permite dejar fluir este tráfico de red.

Para acabar, solamente quería dejar claro que si detrás del switch no existe ningún tipo de aparato que gestione el tráfico de VLAN, esto no funcionara. Normalmente, nuestro Firewall de red gestiona el tráfico y es el encargado de redirigir los paquetes hacia la VLAN correcta.

Bueno, espero que esta entrada os sea de utilidad y nos vemos en la siguiente. ¡Como siempre me podéis seguir en redes sociales para más información!

A continuación os dejo el código para que lo podáis implementar o mejorar y el enlace al repositorio de Github:

$date = Get-Date -Format “yyyy-MM-dd”

$file = “C:\Program Files (x86)\Cobian Backup 11\Logs\log $date.txt”

$logFileExists = Get-EventLog -list | Where-Object {$_.logdisplayname -eq “Backup Cobian”}

if (! $logFileExists) { New-EventLog -LogName “Backup Cobian” -Source “Backup Cobian”

}

if(Select-String -Path $file -Pattern “ERR” -CaseSensitive){

Write-EventLog -log “Backup Cobian” -source “Backup Cobian” -EntryType Error -eventID 1 -Message “Se ha producido un error en la copia de seguridad de Cobian. Revise los logs.”

}else {

Write-EventLog -log “Backup Cobian” -source “Backup Cobian” -EntryType Information -eventID 0 -Message “Backup de Cobian realizado sin errores”

}

¡Nos vemos!