Hoy día internet ofrece una nivel de transparencia que no existía décadas atrás. Los socios, clientes y proveedores pueden ver sin problemas los principios de la empresa y de sus líderes y pueden comprobar si esos principios son puestos en práctica. La información accesible abunda. Internet es una cornucopia de información que permite que cualquier persona, de dentro o de fuera, tenga más datos sobre la empresa y sus productos de lo que jamás se hubiera imaginado o planificado por parte de las compañías. Los clientes pueden acceder fácilmente a cualquier tipo de información (la práctica de empleo, la huella de carbono, las políticas de comercio justo, las aportaciones a causas solidarias, etc.), pueden conocer a últimas novedades de productos, acceder a blogs como Consumerist o intercambiar impresiones con otros compradores en redes sociales a través de internet.
Archivo de la etiqueta: Innovación
Seguridad en estado puro (Cloud Security)
La compañía Proyecto Cero presenta oficialmente un servicio de seguridad gestionada, diseñado para todo tipo de empresas que permite mantener actualizado, eficiente, seguro y dinamico nuestros servicios, permitiendonos disponer de la cualificación más actualizada de los profesionales en el ámbito de la seguridad.
TI ante nuevas amenazas, Seguridad Gestionada
La protección que proporcionan los sistemas de seguridad TI actuales no es suficiente. Según Stonesoft, las nuevas amenazas que han descubierto, las llamadas nuevas Técnicas de Evasión Avanzadas (AET, en sus siglas en inglés), son capaces de burlar la amplia mayoría de los sistemas de seguridad tradicionales; al menos, el 90 por ciento de los appliances de seguridad no están preparados para ofrecer la adecuada protección frente a las AETs.
Las técnicas de evasión son un medio de ocultar y modificar ataques con la finalidad de evitar su detección y bloqueo por parte de las soluciones de seguridad TI, pudiendo introducir códigos maliciosos o ataques a los sistemas corporativos. Aunque las técnicas de evasión no es algo nuevo, ya que se han investigado al menos desde 1998, de acuerdo con María Campos, country manager de Stonesoft Ibérica, “la mayoría de los fabricantes ha ignorado la investigación en este campo y ahora, los sistemas de seguridad TI no son vulnerables ante estas amenazas”.
Hasta ahora existía un conjunto limitado de técnicas de evasión conocidas y controladas, como la fragmentación IP y segmentación TCP con tamaño del fragmento y orden manipulados, fragmentación SMB y MSRPC, encriptación MSRPC, etc, pero según Campos, en la actualidad, estas técnicas han evolucionado y ahora son más avanzadas y dinámicas, “capaces de invalidar por ejemplo, las tecnologías IPS, los firewalls de próxima generación, los UTM o los productos para securizar entornos virtuales”. Y es que, las AET permiten un número de combinaciones exponencial, lo que provocan poder sobrepasar el 99 por ciento de los sistemas de seguridad que utilizan métodos de protección convencionales.
Proceso para transferir y asumir la función Operación de maestro único flexible
Transferir la función Operación de maestro único flexible
La transferencia de una función FSMO es la forma recomendada de mover una función FSMO entre controladores de dominio y puede iniciarla el administrador o mediante la degradación de un controlador de dominio, pero no la inicia automáticamente el sistema operativo. Esto incluye un servidor en estado de cierre. Las funciones FSMO no se reubican automáticamente durante el proceso de apagado; debe tenerlo en cuenta al apagar un controlador de dominio que tiene una función FSMO para realizar tareas de mantenimiento por ejemplo.
En una transferencia correcta de una función FSMO entre dos controladores de dominio, antes de transferir la función se realiza una sincronización de los datos mantenidos por el propietario de la función FSMO en el servidor que recibe la función FSMO para asegurarse de que todos los cambios han quedado grabados antes del cambio de función.
Los atributos operacionales son atributos que se convierten en una acción en el servidor. Este tipo de atributo no se define en el esquema, sino que el servidor lo mantiene y lo intercepta cuando un cliente intenta leerlo o escribir en él. Cuando se lee el atributo, el resultado suele ser un resultado calculado del servidor. Cuando se escribe el atributo, se realiza una acción predefinida en el controlador de dominio.
Los siguientes atributos operacionales se utilizan para transferir funciones FSMO y se encuentran en la RootDSE (o Root DSA Specific Entry, la raíz del árbol de Active Directory para un controlador de dominio determinado donde se mantiene información específica del controlador de dominio). Al escribir en el atributo operacional apropiado en el controlador de dominio para recibir la función FSMO, se degrada el controlador de dominio anterior y se promueve automáticamente el controlador de dominio nuevo. No se requiere ninguna intervención manual. Los atributos operacionales que representan las funciones de FSMO son los siguientes:
becomeRidMaster
becomeSchemaMaster
becomeDomainMaster
becomePDC
becomeInfrastructureMaster
Si el administrador especifica el servidor que va a recibir la función FSMO mediante una herramienta como Ntdsutil, el intercambio de la función FSMO se define entre el propietario actual y el controlador de dominio especificado por el administrador.
Cuando se degrada un controlador de dominio se escribe el atributo operacional "GiveAwayAllFsmoRoles", lo que hace que el controlador de dominio busque otros controladores de dominio para descargar las funciones que posee actualmente. Windows 2000 determina qué funciones posee actualmente el controlador de dominio que se degrada y busca un controlador de dominio adecuado mediante estas reglas:
- Buscar un servidor en el mismo sitio.
- Buscar un servidor con el que haya conectividad RPC.
- Utilizar un servidor a través de un transporte asincrónico (como SMTP).
En todas las transferencias, si la función es específica del dominio, sólo se puede mover a otro controlador del mismo dominio. De lo contrario, cualquier controlador de dominio de la empresa es un candidato posible.
Asumir la función Operación de maestro único flexible
Los administradores deben tener mucho cuidado al asumir funciones FSMO. En la mayoría de los casos, esta operación sólo debe realizarse si el propietario de la función FSMO original no va a volver al entorno.
Cuando el administrador asume una función FSMO de un equipo existente, se modifica el atributo "fsmoRoleOwner" en el objeto que representa la raíz de los datos eludiendo directamente la sincronización de los datos y la transferencia de la función. El atributo "fsmoRoleOwner" de cada uno de los objetos siguientes se escribe con el Nombre completo (DN) del objeto Configuración de NTDS (los datos de Active Directory que definen un equipo como un controlador de dominio) del controlador de dominio que toma la propiedad de esa función. A medida que la replicación de este cambio empieza a extenderse, otros controladores de dominio conocen el cambio de la función FSMO.
FSMO de controlador principal de dominio (PDC):
LDAP://DC=MICROSOFT,DC=COM
FSMO de maestro RID:
LDAP://CN=Rid Manager$,CN=System,DC=MICROSOFT,DC=COM
FSMO de maestro de esquema:
LDAP://CN=Schema,CN=Configuration,DC=Microsoft,DC=Com
FSMO de maestro de infraestructura:
LDAP://CN=Infrastructure,DC=Microsoft,DC=Com
FSMO de maestro de nombres de dominio:
LDAP://CN=Partitions,CN=Configuration,DC=Microsoft,DC=Com
Por ejemplo, si el Servidor1 es el PDC del dominio Microsoft.com y se retira, y el administrador no puede degradar el equipo correctamente, es preciso asignar al Servidor2 la función FSMO del PDC. Una vez asumida la función, el valor
CN=NTDS Settings,CN=SERVIDOR2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Microsoft,DC=Com
está presente en el objeto siguiente:
LDAP://DC=MICROSOFT,DC=COM
Ubicación y optimización del FSMO en controladores de dominio de Active Directory
Ciertas operaciones de los dominios y de las empresas que no son adecuadas para la ubicación en varios maestros residen en un único controlador de dominio del dominio o el bosque. La ventaja de las operaciones de maestro único es evitar la introducción de conflictos mientras un maestro de operaciones está sin conexión, en lugar de provocar conflictos potenciales y tener que resolverlos posteriormente. Disponer de un maestro de operación único significa, sin embargo, que el propietario de la función FSMO debe estar disponible cuando tengan lugar actividades dependientes en el dominio, o para hacer cambios en el directorio asociados a esa función.
El Asistente para instalación de Active Directory (Dcpromo.exe) define cinco funciones FSMO: maestro de esquema, maestro del dominio, maestro RID, emulador de PDC e infraestructura. El maestro de esquema y el maestro de nombres de dominio son funciones específicas de cada bosque. Las tres funciones restantes, maestro RID, emulador de PDC y maestro de infraestructura se definen para cada dominio.
Un bosque con un dominio tiene cinco funciones. Cada dominio adicional del bosque agrega tres funciones para todo el dominio. El número de funciones FSMO en un bosque y los potenciales propietarios de las funciones FSMO se pueden determinar con la fórmula ((Número de dominios * 3) +2).
Un bosque con tres dominios (A.com, con los dominios secundarios y los dominios secundarios de éstos B.A.com y C.B.A.com) tiene once funciones FSMO:
1 maestro de esquema – A.COM para todo el bosque
1 maestro de nombres de dominio – A.COM para todo el bosque
3 emuladores de PDC (A.com, B.A.com y C.B.A.com)
3 maestros RID (A.com, B.A.com y C.B.A.com)
3 maestros de infraestructura para cada dominio respectivo. (A.com, B.A.com y C.B.A.com)
Al crear el primer controlador de dominio de Active Directory de un bosque, Dcpromo.exe le asigna las cinco funciones. Al crear el primer controlador de dominio de Active Directory de un nuevo dominio en un bosque existente, el sistema le asigna las tres funciones del dominio. En un dominio de modo mixto que contiene controladores de dominio de Microsoft Windows NT 4.0, sólo los que ejecutan Microsoft Windows Server 2003 o Microsoft Windows 2000 Server pueden hospedar cualesquiera de las funciones FSMO para todo el dominio o el bosque.
Disponibilidad y ubicación de FSMO
Dcpromo.exe realiza la ubicación inicial de las funciones en los controladores de dominio. Esta ubicación suele ser correcta para directorios con pocos controladores de dominio. En un directorio con muchos controladores de dominio es muy poco probable que la ubicación predeterminada se corresponda de la mejor forma con la red.
Si se utiliza como base el dominio, seleccione los controladores de dominio FSMO principal y de reserva en caso de que se produzca un error en el propietario de FSMO principal. Además, puede ser conveniente seleccionar los propietarios de reserva fuera del sitio por si se produce una situación de desastre específica de un sitio. Considere lo siguiente en sus criterios de selección:
- Si un dominio tiene sólo un controlador de dominio, éste contiene todas las funciones para cada dominio.
- Si un dominio tiene más de un controlador de dominio, utilice el Administrador de sitios y servicios de Active Directory para seleccionar los asociados de replicación directos con vínculos persistentes, "bien conectados".
- El servidor de reserva puede estar en el mismo sitio que el servidor de FSMO principal para que la coherencia de la convergencia de la replicación sea más rápida a través de un grupo grande de equipos, o en un sitio remoto por si se produce un desastre específico del sitio en la ubicación principal.
- Cuando el controlador de dominio de reserva esté en un sitio remoto, asegúrese de que la conexión se configura para la replicación continua sobre un vínculo persistente.
Recomendaciones generales para la ubicación de FSMO
- Ubique las funciones del emulador de PDC y de RID en el mismo controlador de dominio. También es más fácil mantener el seguimiento de las funciones de FSMO si las agrupa en menos equipos.
Si la carga del FSMO principal justifica un cambio, ubique las funciones de emulador de controlador de dominio principal y de RID en controladores de dominio independientes del mismo dominio y sitio de Active Directory que sean asociados de replicación directos entre sí. - Como regla general, el maestro de infraestructura debería ser un servidor de catálogo que no fuera global y que tuviera un objeto de conexión directa con algún catálogo global del bosque, preferentemente en el mismo sitio de Active Directory. Dado que el servidor de catálogo global contiene una réplica parcial de cada objeto del bosque, el maestro de infraestructura, si se ubica en un servidor de catálogo global, nunca actualizará nada, porque no tiene ninguna referencia a los objetos que no contiene. Hay dos excepciones a la regla "no ubicar el maestro de infraestructura en un servidor de catálogo global":
- Bosque de dominio único:
En un bosque que contiene un único dominio de Active Directory, no hay ningún fantasma y por tanto el maestro de infraestructura no tiene ningún trabajo que hacer. El maestro de infraestructura se puede ubicar en cualquier controlador de dominio del dominio, independientemente de si hospeda el catálogo global o no. - Un bosque con varios dominios donde cada controlador de dominio de un dominio contiene el catálogo global:
Si cada controlador de dominio de un dominio que forma parte de un bosque con varios dominios también hospeda el catálogo global, no hay ningún fantasma ni ningún trabajo que el maestro de infraestructura tenga que realizar. El maestro de infraestructura se puede ubicar en cualquier controlador de dominio de ese dominio.
- Bosque de dominio único:
- En el bosque, las funciones de maestro de esquema y maestro de nombres de dominio se deben ubicar en el mismo controlador de dominio ya que se utilizan en muy pocas ocasiones y se deben controlar muy de cerca. Además, el FSMO del maestro de nombres de dominio también debería ser un servidor de catálogo global. Se producirá un error en ciertas operaciones que utilizan el maestro de nombres de dominio, como crear dominios secundarios de otros secundarios, si éste no es el caso.
En un bosque en Windows Server 2003 del nivel funcional del bosque, no tiene que ubicar el maestro de nombres de dominio en un catálogo global.
Y, lo que es más importante, confirme que todas las funciones FSMO están disponibles mediante una de las consolas de administración (como Dsa.msc o Ntdsutil.exe).
ἀγνωσία (agnosia) 