Inventario de licenciamiento con Microsoft Assessment and Planning Toolkit

Hola  a todos, hoy quiero compartir con ustedes cómo realizar un inventario de nuestra infraestructura con Microsoft Assessment and Planning Toolkit.

Para este caso descargaré e instalaré en un servidor con Windows server 2012 R2.

Los Pasos de la instalación son los siguientes:

Ejecutamos,

Términos de licencia,

Ubicación,

Finalizamos con éxito.

Una vez instalado, abrimos la herramienta.

Debemos crear una BD donde almacenaremos todos los reportes.

En la consola damos clic en Perform an inventory

Seleccionamos las diferentes infraestructuras y tecnologías que queremos inventariar, para mi caso seleccionaré Windows, Exchange, Lync, Sharepoint, entre otros.

Aquí podemos seleccionar si queremos escanear equipos que se encuentran en un ambiente de dominio o también podríamos colocar para escanear un determinado rango de IPs.

Para mi caso haré un inventario de equipos que se encuentren en un dominio.

Colocamos el nombre del dominio y una cuenta domain admin o con privilegios a todos los equipos del dominio.

Seleccionamos que escanee en todas la computadoras del dominio.

Agregamos la misma cuenta domain admin o que tenga acceso de administrador a todos los equipos del dominio y seleccionamos que aplique a todas las tecnologías.

Guardamos y damos siguiente.

Clic en siguiente.

Finalizamos.

Empezará a realizar el inventario, esto puede tardar de acuerdo a la cantidad de equipos que tengamos en nuestro AD.

Una vez completado, cerramos y podemos movernos por el menú lateral para revisar toda la información recolectada.

Podemos ingresar a cualquier apartado y generar reportes en Excel.

Espero les sea de utilidad.

 

Eliminar un controlador de dominio fuera de línea

Hay situaciones en  que tenemos algún controlador de dominio en una sede remota, y por cosas del destino ya no es posible recuperarlo, en conclusión el servidor queda inservible y sin acceso para poder hacer una despromoción de manera correcta.

De ser este el caso, debemos forzar la eliminación, en mi caso el servidor a eliminar será el DC008.

Importante: Estos pasos sólo han sido probados para ambientes de dominio de 2008R2 hacia delante, para 2003 se tienen que seguir otros pasos.

Primero: Ingresamos a la consola Active Directory Users and Computers de otro DC activo, buscamos el controlador de dominio, damos clic derecho Eliminar y eliminamos como se muestra en la imagen.

Segundo: Abrimos la consola Active Directory Sites and Services, buscamos el servidor en el sitio correspondiente y procedemos con la eliminación.

Con esto hemos logrado forzar la elimincación de un controlador de dominio dañado o fuera de línea.

Espero les sea de utilidad.

Habilitar protocolo de cifrado TLS 1.2

En esta oportunidad enseñaré los datos para habilitar el protocolo de cifrado TLS 1.2 y deshabilitar el 1.0.

Actualmente todas las aplicaciones en IIS que usan TLS 1.0 se recomienda realizar esta configuración para tener una comunicación más segura en nuestras aplicaciones.

Si queremos verificar si nuestra aplicación o servidor ejecuta TLS 1.0, TLS 1.2, podemos hacerlo desde la siguiente URL: https://www.ssllabs.com/ssltest/ , lo únio que debemos hacer es digitar el nombre de nuestra aplicación.

Por ejemplo la siguiente imagen muestra, que tenemos habilitado el protocolo TLS 1.2 y deshabilitado el TLS 1.0, con esto podemos estar tranquilos que nuestra aplicación está intercambiando datos de manera segura.

Para lograr este resultado en nuestro Test, debemos aplicar las siguientes configuraciones en la siguiente ruta de registro de Windows:

1.- Deshabilitar TLS 1.0:

En protocolos, damos clic derecho y creamos nueva llave de registro con el nombre TLS 1.0, luego hacemos clic derecho en TLS 1.0 y creamos dos llaves de registro Client y Server, dentro de Client y Server creamos el Valor de DWORD (32 bits)  Enabled con valor hexadecimal Cero.

2.- Habilitar TLS 1.1 y 1.2: Simplemente debemos crear las siguientes claves de registro:

En protocols, damos clic derecho y creamos nueva llave de registro con el nombre TLS 1.1, luego hacemos clic derecho en TLS 1.1 y creamos dos llaves de registro Client y Server, dentro de Client y Server creamos dos Valores de DWORD (32 bits) Enabled (Valor Hexadecimal Uno) y DisabledByDefault (Valor Hexadecimal Cero)

Nuevamente en protocols, damos clic derecho y creamos nueva llave de registro con el nombre TLS 1.2, luego hacemos clic derecho en TLS 1.2 y creamos dos llaves de registro Client y Server, dentro de Client y Server creamos dos Valores de DWORD (32 bits) Enabled (Valor Hexadecimal Uno) y DisabledByDefault (Valor Hexadecimal Cero)

Al final nuestro registro de windows debería tener la siguiente estructura; con esta configuración tenemos más segura la comunicación entre nuestra aplicaciones.

Espero les sea útil, nos vemos en otra oportunidad.

Importante: La siguiente configuración ha sido aplicada en entornos de windows Server 2008 R2 y Windows 7.

Configurar Aviso Legal de inicio Sesión en Servidores mediante GPO

Hoy en día muchas normas, estándares, librerías de Seguridad de La información recomiendan que en los servidores y otros equipos de comunicaciones debería existir un Banner, ya que puede servidor como un medio persuasivo para los atacantes.

Por ello en Windows server 2008, 2008r2,2012… existen opciones donde podemos configurar dichos avisos o banner.

En esta oportunidad voy a configurar un aviso para mis controladores de dominio, para ello editamos la GPO y nos dirigimos a la siguiente ruta (Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/Security Options

Aquí encontramos las dos opciones, la primera donde colocamos un título del banner.

En la segunda colocamos el contenido del aviso Legal.

Luego aplicamos y realizamos un gpupdate /force en los DC.

Ahora si hacemos un inicio de sesión remoto o local nos mostrará el aviso legal.

 

Esta configuración podemos utilizarla para todos los servidores y equipos que creamos conveniente en nuestra organización.

Gracias, espero que les sea de utilidad.

Convertir servidor físico a virtual (Hyper-v)

En algunas empresas suelo encontrar servidores de aplicaciones corriendo en hardware obsoleto y con el riesgo de que un día deje de funcionar y por ende si no se tiene algún backup nos vamos al abismo.

Hoy enseñaré los pasos para convertir un servidor físico a virtual (Hyper-v), usando la herramienta Disk2vhd, desarrollada por el amigo Mark Russinovich.

Esta herramienta es gratuita y lo podemos descargar desde aquí.

Una vez descargado, copiamos y descomprimimos en el escritorio del equipo físico que se va a virtualizar.

luego ejecutamos el archivo .exe y aceptamos los famosos términos de licencia.

Aquí seleccionamos los discos que necesitamos virtualizar, la ruta donde se guardará el VHDX (sugiero que sea en un disco Externo) y damos clic en crear; en mi caso seleccioné el Disco C,D y el Sistema Reservado.

Importante: Podemos seleccionar vhdx, este tipo de archivos es menos propenso a dañarse y con este formato podemos levantarlo en Hyper-v 3.0. o Windows Server 2012,2012r2.

 

Después de unos minutos el disco se ha creado satisfactoriamente, damos clic en cerrar.

 

Como se observa en la imagen se ha creado el archivo en al ruta donde le indicamos.

Ahora debemos copiar el archivo .vhdx en una ruta local o compartida de donde tenga acceso el Host con Hyper-v , luego creamos la máquina virtual, colocamos un nombre y seleccionamos la ruta donde se guardará la configuración de la VM.

Seleccionamos el adaptador de red.

Asignamos la memoria RAM, recomiendo que sea mayor e igual al servidor físico.

Seleccionamos la segunda opción para para usar el archivo .vhdx, damos clic en siguiente y finalizamos.

Ya tenemos creada la VM y agregado el disco del servidor virtualizado, ahora nos queda iniciarlo.

Con esto hemos logrado el objetivo.

Espero les sea de utilidad, en mi experiencia me ha ido muy bien.