May 13

INSTALAR UN CONTROLADOR DE DOMINIO PRINCIPAL

Antes de empezar la instalación vamos a recordar unos conceptos básicos:

Controlador de dominio principal (PDC): Distribuye la información de cuentas de usuarios a controladores de reserva y convalida las peticiones de inicio de sesión en red. Sólo puede haber un controlador de dominio principal en un bosque.

¿Que es Active directory?: Es una base de datos jerárquica que permite mantener una serie de objetos relacionados con una red, como usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de acceso.

MAESTRO DE OPERACIONES DEL BOSQUE: Estas funciones deben ser únicas en el bosque. Es decir, en todo el bosque sólo puede haber un maestro de esquema y un maestro de nombres de dominio.

Maestro de esquema: Es el que controla las actualizaciones y los cambios que tienen lugar en el esquema ( SOLO PUEDE HABER UN MAESTRO DE ESQUEMA EN TODO EL BOSQUE ).

Maestro de nombre de dominio: Controla la adición o la eliminación de los dominios del bosque. (SOLO PUEDE HABER UN MAESTRO DE NOMBRE DE DOMINO EN TODO EL BOSQUE).

Maestro de operaciones por dominio: Estas funciones deben ser únicas en cada dominio. Esto significa que en cada dominio del bosque sólo puede haber un maestro de RID, un maestro emulador de PDC y un maestro de infraestructuras.

Emulador PDC: Es el encargado de sincronizar las propiedades de la cuentas de usuario y grupos con controladores de domino NT 4.0 (Emula ser el PDC en un dominio NT 4.0) También es el encargado de sincronizar la hora entre el bosque.
El emulador del PDC en el dominio principal se deberá configurar para que se sincronice con un recurso de hora externo. La hora del emulador del PDC se puede sincronizar con un servidor externo mediante la ejecución del comando “net time” con la sintaxis siguiente: net time file://nombreservidor/setsntp:recursoHora.

Maestro RID: El maestro de RID asigna secuencias de Id. relativos (RID) a cada uno de los distintos controladores del dominio. En todo momento sólo puede haber un controlador de dominio que actúe como maestro de RID en cada dominio del bosque. Siempre que un controlador de dominio crea un usuario, un grupo o un objeto de equipo, asigna un Id. de seguridad (SID) único al objeto creado. Este SID se compone de un SID de dominio, que es el mismo para todos los SID creados en el dominio, y de un RID, que es único para cada uno de los SID creados en el dominio.

Maestro de infraestructuras: Responsable de la comprobación de pertenencia a grupos universales en entornos multidominio.

Responsable de la actualización de referencias de objetos de su dominio a otros dominios.
A menos que haya un único controlador de dominio en el dominio, la función de maestro de infraestructuras no debe asignarse al controlador de dominio que alberga el catálogo global.

CATALOGO GLOBAL: Es un controlador de domino que almacena una copia de todos los objetos de AD de un bosque ( Puerto 3268 ).

Continue reading

May 12

Nuevo falso Antivirus Microsoft Security Essentials (Ruso)

Antivirus-Microsoft-Security-Essentials Hace unos meses atrás, desde InfoSpyware alertábamos sobre un la aparición de un “Falso Antivirus” llamado Security Essentials 2010 que como pueden notar, usa parte del nombre del ya popular Antivirus gratuito de Microsoft (Microsoft Security Essentials) para así lograr engañar a los usuarios desprevenidos que creen que están instalando el programa original cuando en realidad están instalando uno falso que les va a decir que están infectados por determinada cantidad de bichos y que para sacarlos es necesario comprar la versión completa del programa…

Si bien la metodología de usar un nombre similar ya es bastante conocida entre quienes investigamos este tipo de Scarewares y data prácticamente desde los primeros ejemplares aparecidos por el año 2004, en esta ocasione me había sorprendido que los hackers detrás de este no se hubieran esmerado un poco más en copiar también la interfaz completa del programa original de Microsoft (algo que también es realizado por otros) ya que como pueden ver en el otro artículo de Security Essentials 2010, este estéticamente no tiene nada que ver con el original Microsoft Security Essentials

Microsoft-Security-Essentials Figura 1: Aspecto del original Microsoft Security Essentials

Sabía que seria sólo cuestión de tiempo en que algún otro grupo de creadores de “Falsos Antivirus” diseñaría una versión falsa de Microsoft Security Essentials que fuera exactamente igual a la original, tal como pueden comprobar en las imágenes más abajo: (clic para agrandar)

mse-fake1 Figura 2: Aspecto del falso Microsoft Security Essentials

Como pueden apreciar, se trata de una versión en Ruso, algo que también me parece muy raro del porque no hacerlo directamente en ingles o multi-idioma para tener más llegada, pero bueno, quien sabe que pasa por detrás de las mentes de estos grupos cibercriminales y seguramente su razón u objetivo deben de tener.

Al realizar un escaneo, como es normal en estos Rogues, nos a mostrar supuestos archivos infectados y en este caso en particular nos pedirá enviar un SMS a un numero en particular, para que así nos envíen la supuesta llave que libera la versión completa, falsa, pero completa del producto.

Microsoft Security Essentials Falso SMS
Figura 3: Falso Microsoft Security Essentials pidiendo SMS.

Seguramente va a ser muy difícil que alguno de nuestros lectores o usuarios hispanoparlantes puedan caer ante un programa en Ruso cuando no entendemos directamente lo que dice, pero de todas maneras habrá que estar muy atentos ya que seguramente en los próximos meses veremos versiones en ingles, español y otros idiomas.

Fuente: http://www.infospyware.com/

May 12

Boletines de seguridad de Microsoft en mayo

Tal y como adelantamos, este martes Microsoft ha publicado dos boletines de seguridad (el MS10-030 y el MS10-31) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft los boletines presentan un nivel de gravedad “crítico”.

El boletín MS10-030 ofrece una actualización para corregir una vulnerabilidad en Outlook Express, Windows Mail y Windows Live Mail, que podría permitir la ejecución remota de código si un usuario accede a un servidor de correo malicioso.

Por otra parte, el boletín MS10-031 presenta una actualización para corregir una vulnerabilidad en Microsoft Visual Basic para Aplicaciones. Este problema podría permitir la ejecución remota de código si una aplicación host abre y pasa un archivo especialmente creado al módulo de tiempo de ejecución de VBA.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.

Más Información:

Resumen del boletín de seguridad de Microsoft de mayo de 2010
http://www.microsoft.com/spain/technet/security/bulletin/ms10-may.mspx

Microsoft Security Bulletin MS10-030 – Critical
Vulnerability in Outlook Express and Windows Mail Could Allow Remote Code Execution (978542)
http://www.microsoft.com/spain/technet/security/Bulletin/MS10-030.mspx

Microsoft Security Bulletin MS10-031 – Critical
Vulnerability in Microsoft Visual Basic for Applications Could Allow Remote Code Execution (978213)
http://www.microsoft.com/spain/technet/security/Bulletin/MS10-031.mspx

Fuente: http://www.hispasec.com/