Punto NET Soluciones SRL

Punto NET Soluciones SRL
Servicios Corporativos de Ciberseguridad - IT - DBA

miércoles, 15 de agosto de 2012

FIM 2010 R2 - Analisis de Capacidad (Parte I)

Introducción
Hoy los proyectos de Administración de Identidad empiezan a ser más conocidos por las áreas de IT y de Seguridad. Suponiendo que la organización posee un proceso (uno o más) definidos para la gestión de identidades, podemos empezar analizar la solución a implementar.
En el caso de Microsoft, contamos con FIM 2010 y desde hace unos meses FIM 2010R2. Hay una serie de variables que pueden afectar a la capacidad y el rendimiento general de su despliegue de FIM 2010 en la organización. Las formas en que usted físicamente puede implementar los componentes de FIM (topología), así como el hardware en el que los componentes se ejecutan, las plataformas con las cuales deberá interactuar,  son factores importantes para determinar el rendimiento y la capacidad que se puede esperar de la implementación de FIM.
El número y la complejidad de los objetos de configuración de la políticas de FIM puede ser menos evidente, pero siguen siendo factores importantes a tener en cuenta al momento de planificar la capacidad.
Factores a tener en cuenta
Analizaremos los elementos a tener en cuenta en el despligue:
1) Topología : La distribución de los servicios de la FIM entre los equipos de la red. Por ejemplo, el Servicio de Sincronización de la FIM se instalará en el mismo equipo que aloja la base de datos? En FIM 2010R2 hay recomendaciones importante sobre la distribución de los servicios, como por ejemplo FIM Services. Debe analizar y seguir las recomendaciones de Microsoft para topologías dispersas sobre todo.

2) Hardware: El hardware físico y las especificaciones de hardware para equipos virtualizados que se están ejecutando para cada componente de FIM. Esto incluye la CPU, memoria, adaptador de red y configuración del disco duro. Debe respetar las recomendaciones de Microsoft y analizar en base a los procesos definidos, recursos a sincronizar y plataforma integradas, cuales son las mejores opciones de configuración. Esperar la ejecución de un workflow 10 minutos para el reseteo de una contraseña en las plataformas sincronizadas, puede ocasionar quejas por parte del usuario.

3) Políticas de FIM: El número y tipo de objetos de FIM de configuración de directiva, que incluye el Administrador de Politica de Reglas (MPR) y flujos de trabajo. Por ejemplo, ¿cuántos se activan los flujos de trabajo para las operaciones? ¿Cuántas definiciones de conjuntos existen y cuál es la complejidad relativa de cada uno?. Debe ser cuidadoso con la configuración de los workflows.

4) Plataforma recursos: El número de usuarios, grupos, calculando los tipos de objetos personalizados, tales como las computadoras para ser administrados por FIM. Además, tenga en cuenta la complejidad de la dinámica de grupos. Tenga en cuenta las anidaciones de grupo.

5) Carga de trabajo: La frecuencia de uso previsto. Por ejemplo, el número de veces que se pueden esperar nuevos grupos o usuarios que se crean, las contraseñas que se restablezcan, o el portal para ser visitado en un periodo de tiempo determinado. Tenga en cuenta que la carga puede variar durante el transcurso de una hora, día, semana o año. Dependiendo del componente, es posible que tenga que diseñar para la carga máxima o carga media. Solo Usted puede definirlo, ya que requiere de conocimientos del comportamiento de la organización.
FIM 2010 tiene muchos componentes diferentes. En muchos casos, estos componentes no se encuentran en el mismo equipo. Cuando usted piensa en FIM 2010 desde una perspectiva de planificación de la capacidad, los componentes y los equipos físicos (y, posiblemente, las máquinas virtuales) en el que están alojados deben ser considerados como claves. Muchos factores potenciales pueden afectar al rendimiento de la FIM 2010 medio ambiente, por ejemplo, la configuración del disco físico para el equipo que ejecuta el Servicio de FIM base de datos SQL. El número de ejes que conforman la configuración del disco o la distribución de archivos de registro de datos y puede afectar al rendimiento del sistema de manera significativa. Además, tenga en cuenta los factores externos en la configuración. Si está utilizando una SAN, como la configuración de base de datos de la FIM servicio, ¿qué otras aplicaciones están compartiendo la SAN? ¿Cómo estas aplicaciones afectan al rendimiento de base de datos ya que compiten por los recursos de disco compartidos en la red SAN? Cuando las aplicaciones múltiples compiten por los mismos recursos de disco, y los cuellos de botella de rendimiento de disco irregular, podría ser el resultado. Si el SQL lo comparte, hay servicios de reportes (Report Services) que proveen servicios a otra aplicación? Hay una instancia únicamente en ese servidor?
Componentes de FIM 2010 R2
Si revisamos los componentes, observamos desde el lado del servidor, encontramos:

  • FIM Synchronization Services
  • FIM Services
  • FIM Portal
  • FIM Certificate Management
  • FIM Reporting
  • FIM Service and Portal Language Packs
  • FIM Password Registration Portal
  • FIM Password Reset Portal
Si revisamos los componentes desde el lado del cliente, encontramos:

  • FIM Add-in for Outlook®
  • FIM Password Reset Extensions
  • FIM Add-ins and Extensions Language Pack
La plataforma va depender del SQL Server en donde el Sharepoint y FIM dejarán parte de su configuración, recomendamos que lean el siguiente artículo, sobre Buenas Prácticas de SQL Server., sobre todo sobre las recomendaciones de implementación sobre el equipamiento. (Storage Top 10 Best Practices)
En el próximo artículo vamos analizar los componentes de FIM 2010 R2 y teniendo esos conocimientos, como hacer un análisis de capacidad, entendiendo cada elemento que lo compone.

Hasta la próxima.

Fuente: Microsoft.

martes, 14 de agosto de 2012

Actualizaciones plataforma Microsoft - AGOSTO 2012

Buenas, como todos los meses y según lo planificado por Microsoft, hoy se ha publicado el boletín de seguridad correspondiente al mes de Agosto. Las actualizaciones de este mes son:

1) MS12-052 : Actualización de seguridad acumulativa para Internet Explorer (2722913)
Esta actualización de seguridad resuelve cuatro vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un intruso que aprovechara cualquiera de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. CLASIFICACION:CRITICA

2) MS12-053 : Una vulnerabilidad en el Escritorio remoto podría permitir la ejecución remota de código (2723135)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en el protocolo de Escritorio remoto. La vulnerabilidad podría permitir la ejecución remota de código si un atacante envía una secuencia de paquetes RDP a un sistema afectado. De forma predeterminada, el protocolo de Escritorio remoto (RDP) no está habilitado en ningún sistema operativo Windows. Los sistemas que no tienen RDP habilitado no están expuestos. CLASIFICACION:CRITICA

3) MS12-054: Vulnerabilidades en los componentes de red de Windows podrían permitir la ejecución remota de código (2733594)
Esta actualización de seguridad resuelve cuatro vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un atacante envía una respuesta especialmente diseñada a una solicitud del administrador de trabajos de impresión de Windows. Los procedimientos recomendados para firewall y las configuraciones de firewall predeterminadas estándar pueden proteger a las redes de los ataques procedentes del exterior del perímetro de la empresa. Se recomienda que los sistemas conectados directamente a Internet tengan expuesta una cantidad mínima de puertos. CLASIFICACION:CRITICA

4) MS12-060: Una vulnerabilidad en los controles comunes de Windows podría permitir la ejecución remota de código (2720573)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en los controles comunes de Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario visita un sitio web que incluye contenido especialmente diseñado para aprovechar la vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a visitar un sitio web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante. El archivo malintencionado también se podría enviar como datos adjuntos de correo electrónico, pero el atacante tendría que convencer el usuario para que abriera los datos adjuntos con el fin de aprovechar la vulnerabilidad. CLASIFICACION:CRITICA

5) MS12-058: Las vulnerabilidades en Microsoft Exchange Server WebReady Document Viewing podría permitir la ejecución remota de código (2740358) Esta actualización de seguridad resuelve vulnerabilidades que se han divulgado de forma pública en Microsoft Exchange Server WebReady Document Viewing. Las vulnerabilidades podrían permitir la ejecución remota de código en el contexto de seguridad del servicio de transcodificación en el servidor Exchange si un usuario obtiene una vista previa de un archivo especialmente diseñado mediante Outlook Web App (OWA). El servicio de transcodificación de Exchange que se usa para WebReady Document Viewing se ejecuta en la cuenta LocalService. La cuenta LocalService tiene privilegios mínimos en el equipo local y presenta credenciales anónimas en la red.  CLASIFICACION:CRITICA

6) MS12-055: Una vulnerabilidad en los controladores modo kernel de Windows podría permitir la elevación de privilegios (2731847)
Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en el sistema y ejecuta una aplicación especialmente diseñada. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local.CLASIFICACION:IMPORTANTE

7) MS12-056: Una vulnerabilidad en los motores de VBScript y JScript podría permitir la ejecución remota de código (2706045)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en los motores de scripting de JScript y VBScript en las versiones de 64 bits de Microsoft Windows. Esta vulnerabilidad podría permitir la ejecución remota de código si un usuario visita un sitio web especialmente diseñado. El atacante no podría obligar a los usuarios a visitar el sitio web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.CLASIFICACION:IMPORTANTE

8) MS12-057: Una vulnerabilidad en Microsoft Office podría permitir la ejecución remota de código (2731879) Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Office. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo especialmente diseñado o inserta un archivo gráfico CGM especialmente diseñado en un archivo de Office. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. CLASIFICACION:IMPORTANTE

9) MS12-059: Una vulnerabilidad en Microsoft Visio podría permitir la ejecución remota de código (2733918) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Office. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de Visio especialmente diseñado. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. CLASIFICACION:IMPORTANTE

Se les recomienda revisar a que aplicaciones puede afectar el despligue de las actualizaciones, ya que la actualización correspondiente al boletín MS12-060 afecta a plataforma SQL 2000 SP4 y superior.

Hasta la próxima

Fuente: Microsoft
Boletín original : http://technet.microsoft.com/es-es/security/bulletin/ms12-aug



Nuevos Conectores de FIM 2010 - ERP System

El dia 01/06/2012 se publicaron los nuevos conectores para FIM 2010.Conectores de Forefront Identity Manager para Servicios Web, que  lo ayudará a sincronizar la información de identidad, de fácil disposición y de provisión de cuentas e información de identidad y también proporcionar capacidades de administración de contraseñas para los sistemas de WebServices habilitados, tales como los sistemas ERP.

En el sitio Web de Microsoft podrán encontrar los conectores para:

  • SAP ECC 5 and 6
  • Oracle PeopleSoft 9.1
  • Oracle eBusiness 12.1.3

  • Los mismos pueden ser utilizados en FIM 2010 luego de aplicar el Update 2 o en FIM 2010 R2. Para verificar la instalación de los nuevos conectores, debe bajar las guías disponibles desde este sitio web de Microsoft CONECTORES.
    En el caso de querer bajar los conectores, visite este SITIO.
    Se recomienda al momento de actualizar los conectores:

    1) Verificar la version de Framework en el FIM Services.
    2) Verifique la documentacion y si es posible verifique en un escenario de Test el comportamiento, puede variar en base a la cantidad de usuarios y el equipamiento que Usted disponga para el FIM Services.*
    2) Suspender los workflow hasta hacer el despligue del conector.
    3) Realizar una prueba funcional.
    4) Documentar y pasar a producción.

    * El hardware del servidor ha utilizar en un ambiente corporativo no debería ser una restricción. Las cifras presentadas en las documentaciones vigentes se deben utilizar para comprender la diferencia entre las distintas operaciones. Se recomienda armar y configurar sus propios ambientes de prueba para estimar con mayor precisión la capacidad y el rendimiento. Microsoft no puede garantizar que las organizaciones experimentan la misma capacidad o características de rendimiento, incluso si los componentes de sincronización FIM de servicios se implementan y están configurados de manera idéntica a los componentes que se describen en las guías. Son recomendaciones, ya que los escenarios dependerán del equipamiento en donde se instale el FIM 2010, capacidad de los servidores de Active Directory y servidores en donde corran los sistemas ERP,


    Hasta la próxima.

    domingo, 12 de agosto de 2012

    Entrevista MS Technet a Enrique G Dutra


    Nombre: Enrique Gustavo Dutra
    Credenciales: MSCE - MSDBA - MCT 2012 - Enterprise Security MVP
    Twitter: @egdutra

    [MS Technet] Quién eres en tus propias palabras?
    [Enrique D] Soy Socio Gerente de una empresa que lleva 11 años con presencia en Argentina, brindando servicios de consultoría/soporte de Seguridad, Base de datos e  IT. Soy responsable, junto a mi socio, de llevar proyectos de Seguridad e IT en clientes con una infraestructura representativa en tecnología y tamaño. A su vez, soy MCT desde hace ya 11 orgullosos años, MSCE, MSDBA, y MVP desde el año 2006. También he certificado como Auditor Líder ISO/IEC 27001 entre otras cosas.
    Ayudo a la comunidad brindando conferencias presenciales, Webcast, a través del blog, artículos en revistas y periódicos.  Pueden encontrarme en mi blog http://seguridadit.blogspot.com.ar/. Si quieren saber más de mi, pueden buscarme en Linkedin http://www.linkedin.com/profile/view?id=1866724&trk=tab_pro.

    [MS Technet] Qué significa ser MVP para ti?
    [Enrique D] Cuando uno es un apasionado por lo que hace, disfruta hacerlo, se suele decir que es un Profesional en lo que hace.  Si a su vez, reconocen esa actividad por el mérito con que lo haces, es un orgullo, que te empuja ha querer hacerlo mejor cada día.  Muchos opinan que todo debe hacerse por plata, pero hay actividades, como las que reconocen a un MVP, te permiten mostrar que uno es un apasionado por la tecnología y que uno gustosamente comparte los conocimientos con la comunidad.
    En mi caso que no soy especialista en un producto en especial, llevar los conceptos de la Seguridad de la Información y capacitar a la comunidad sobre los riesgos y problemas de seguridad me han valido por parte de terceros de halagos y felicitaciones, que hacen que uno sea un orgulloso MVP.

    [MS Technet] Si pudieras preguntarle a Steve Ballmer algo, qué te gustaría preguntar? 
    [Enrique D]Si no pensó nunca en bajar línea sobre la línea de productos para que los mismos por su configuración, implementación y soporte, cumplan con “compliances” de seguridad. Los estándares están prácticamente definidos y en escenarios donde implementamos PCI, HIPPA, ISO 27000, u otro estandard, cuando debemos ajustar las plataformas, hay que recurrir a software de terceros o involucrar recursos (gente, tiempos y tecnologías) para lograr alinear a esos cumplimientos no llegando a un 100 % de alineación.
    [MS Technet] Cuál crees que ha sido el mejor Software de la historia?
    [Enrique D]Que difícil elección, he tenido muy buenas experiencias desde Proxy 2.0 (donde aún esta en funcionamiento y no ha sido vulnerado) hasta Windows Server. Creo que me voy a quedar con MS Windows ISA 2006, que comparándolo con productos con funcionalidad de proxy, no hay quien le de batalla, sobre todo si tenemos en cuenta la relación costo/beneficio (conozco e implemento la mayoría de los appliance de Firewall y software de proxy).

    [MS Technet]  Si tú fueras el responsable de tu producto, qué cambio te gustaría hacerle?  [Enrique D] Hoy por hoy no soy MVP de un producto en especial, pero como comentaba más arriba, las implementaciones de software de Microsoft me gustaría que vinieran con algún cumplimiento de estándares de seguridad. En la nueva versión de System Center, se ha incluido algo, pero no lo veo maduro y el GAP lo terminamos desarrollando. La tecnología es desarrollada para acompañar a procesos de negocios y muchas veces, se hace difícil cubrir ese GAP si hablamos de seguridad.

    [MS Technet] Cuál fue el último libro que has leído?
    [Enrique D] He leído dos, “Steve Jobs” de W.Isaacson que ha sido un repaso de mi vida profesional, ya que mientras Jobs y Gates desarrollaban las tecnologías, por este lado éramos el usuario número 1. (aun recuerdo mi XT con un 80286 (un injerto!!)  y mi Windows 3.0).Por otro lado la nueva versión de COBIT 5 la he recorrido de punta a punta.
    [MS Technet] Qué CD de música recomiendas? 
    [Enrique D] Trabajé muchos años en una disco pasando música electrónica, por lo cual, cualquiera de Tiesto o Armin van Buuren sirve para ponerse las pilas al momento de trabajar.
    [MS Technet]  Qué hace que tú seas un excelente MVP?
    [Enrique D] Que pregunta!! Es difícil que una la responda, por que es una opinión que otros deben dar. Uno solo da lo mejor de sí, a veces quisiera estar con más tiempo para hacer cosas para la comunidad. Es importante el apoyo que recibimos de nuestro Lead orientándonos.

    [MS Technet]  Qué contiene tu “Computer Bag”?
    [Enrique D]  La pregunta debería ser que no contiene. Notebook (dos), 1 Tablet de la competencia, dos discos cifrados de un terabyte, pendrives, cables y un cuaderno para tomar notas rápidas.

    [MS Technet]  Cuál es la mejor cosa que te ha pasado desde que eres MVP?
    [Enrique D] Entrar en contacto con otros MVP que son referentes de productos y el reconocimiento de la comunidad por lo que uno hace.
    [MS Technet] Cuál es tu lema?
    [Enrique D] Tratar de ser innovador y poner calidad a lo que uno hace.

    [MS Technet]   Quién es tu héroe?
    [Enrique D]En la vida el Dr. Favaloro, que con pocos recursos logró en la medicina cosas increíbles. Si vamos al lado “comics”, me gusta Batman, que sin tener poderes super especiales, y usando tecnología es una persona fuera de serie.
    [MS Technet]  Qué significa el éxito para ti?
    [Enrique D] El éxito viene acompañado del reconocimiento personal, cuando haces las cosas bien.

    [MS Technet]   Hablando un poco sobre el producto en si, tienes alguna experiencia laboral interesante sobre una implementación en tu empresa?
    [Enrique D] Si bien, no soy especialista en un producto en especial, a la comunidad la estamos orientando a los nuevos desafíos. La nube se viene, y las infraestructura o servicios actuales de las compañías poseen un nivel muy alto de inmadurez, por lo cual, le pedimos que no dejen de lado los proyectos de clasificación de la información, administración de identidades y seguridad sobre dispositivos móviles.
    [MS Technet] Nombra 3 recursos indispensables que quieras recomendarle a la comunidad IT Pro sobre el producto.
    [Enrique D] Les recomiendo algunos sitios donde pueden capacitarse o actualizarse sobre aspectos de Seguridad:
    1)      MVA: excelente sitio para capacitarse, el límite lo pone uno y puede acceder a material creado por MVPs. http://www.microsoftvirtualacademy.com/Home.aspx

    2)      El sitio del MVP Marcelo Rivero, http://www.infospyware.com/articulos/

    3)      Blogs de seguridad de Microsoft http://blogs.technet.com/b/security/ y http://blogs.technet.com/b/secguide/

    4)      Blog de Lawrence Abrams    http://www.bleepingcomputer.com/

    5)      Mi blog : http://seguridadit.blogspot.com.ar/


    Hasta la próxima....

    lunes, 6 de agosto de 2012

    Forefront Identity Manager 2010 R2

    Ya puedes actualizar tu FIM 2010 a la nueva versión FIM 2010 R2. En este artículo comentaremos las novedades de la nueva versión.

    Novedades de la nueva versión
    Si recuerdan, originalmente el producto se denominada Identity Lifecycle Manager 2007, luego un cambio importante de la solución pasó a ser Forefront Identity Manager 2010 y ahora tenemos la última versión, siendo FIM 2010 R2. Estas actualizaciones muestran como ha ido madurando la solución de Gestion de Identidades y se ha incluído algunos cambios realmente representativos.
    Dentro de las novedades relevantes de la solución, tenemos:
    • Soporte de Extranet para el restablecimiento de contraseña:  Ahora contamos con el soporte para el restablecimiento de contraseña desde el ordenado, que no se ha unido al dominio. Así que esto significa que la contraseña de la extranet puede ser llevada a cabo desde FIM 2010 R2. Además, al no utilizar ningún componente ActiveX, podemos usar cualquier browser o navegador, permitiendo hacerlo incluso desde dispositivos móviles.
    • Informes: la pertenencia de grupo y la historia de cambio de objetos : Esta funcionalidad estará disponible a través de una MP (Management Pack) personalizado de FIM para SCSM. Si la organización no posee uno, se le permitirá utilizar sin costo las licencias adicionales.
    • Extensible marco de la EM
    • Las mejoras de rendimiento: se han realizado mejoras en la solución para lograr una acorde mejora en el rendimiento.
    • Best Practices: Contará con las clásicas recomendaciones que viene agregando Microsoft a sus diferentes soluciones, de esta manera corregir y/o hacer ajustes para optimizar el uso de FIM.
    • Soporte para Office Outlook 2010 y SharePoint Foundation 2010.

    ¿Por que actualizar?
    Algunos motivos para actualizar a FIM 2010 R2.

    1) Reducción de TCO al lograr automatizar la provisión de servicios.
    2) Mejor integración con otras plataformas.
    3) Mejoras en los sistemas de auditoria y de cumplimientos (compliance).
    4) Provee herramientas para integrarlas con Office.
    5) Portabilidad en el aprovisionamiento de usuario/contraseña.
    6) Mejoras en los Workflows.
    7) Mejor seguimiento de grupos. Podemos auditar y seguir los cambios de un usuario entre grupos.
    8) Mejoras en los agentes para:
        - Procesos de lotes para importación.
        - Procesos de lotes para exportacion.
        - Gestión de contraseña se comportan como otros métodos.
        - Nuevas API para SAP, ERP de Oracle, Lotus Notes y otras aplicaciones desarrolladas.

    Más información sobre FIM 2010 R2: http://technet.microsoft.com/en-us/library/jj133852(v=ws.10).aspx.
    En los próximos artículos, vamos a desglosar las nuevas características de FIM 2010 R2. La próxima actualización es como hacer el Upgrade de versión.

    Hasta la próxima.
    Fuente: Microsoft.