ExchangeSpain.com

El próximo día miércoles 10 de septiembre estaremos realizando este Webcast en Microsoft TechNet en donde comentaré el procedimiento de actualización de un cluster de buzones de Exchange Serverf 2007 en modo CCR a Service Pack 1.

Como seguramente hayais comprobado, el procedimiento no se realiza desde el asistente de instalación, sino desde la consola de comandos, por lo tanto requiere que comprobemos ciertos componentes y configuraciones antes de iniciar las tareas. Todos los detalles los indicaré durante el Webcast, pero si quereis ir avanzando, podeis ir al artículo que escribí hace unas fechas, en el cual está basado este Webcast.

También haré la demo de la actualización, para que aquellos que todavia no habeis actualizado, lo veáis y sepáis como hacerlo sin problemas.

La URL del registro para el evento es: http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032383534&EventCategory=4&culture=es-ES&CountryCode=ES

Saludos a todos y os espero.

No se si alguien habrá tenido que eliminar algún buzón desconectado en Exchange Server 2007, pero desde la consola gráfica ya no es posible ejecutar esta acción. Lo que en Exchange Server 2003 se resolvía con un simple clic en purgar con el botón derecho en el buzón desconectado que queriamos eliminar, lo cierto es que con Exchange 2007 la cosa se ha complicado un poquito.

Para empezar tenemos que averiguar el GUID del buzón, para ello ejecutamos lo siguiente:

• Get-MailboxStatistics | where-object { $_.DisconnectDate -ne $null } | Select DisplayName,MailboxGuid

Ahora borramos el buzón haciendo referencia al GUID

• Remove-Mailbox -Database <Database-Name> -StoreMailboxIdentity <MailboxGuid> -confirm:$false

Tambien podemos seleccionar un grupo de buzones, guardar el resultado en una variable y eliminarlos todos en un solo paso

• $buzones = Get-MailboxStatistics | where-object { $_.DisconnectDate -ne $null } | Select DisplayName,MailboxGuid
• $buzones | ForEach { Remove-Mailbox -Database "Mailbox Database" -StoreMailboxIdentity $_.MailboxGuid -confirm:$false }

Otra de las tareas que no se exponen en la consola gráfica es la actualización de la lista de buzones desconectados (lo que conocíamos como agente de limpieza en Exchange Server 2003). Para ello debemos ejecutar el cmdlet clean-mailboxdatabase <Nombre_de_base_de_Datos>.

Gracias a Anderson Patricio por la información. Saludos y hasta el próximo post.

Recientemente, me preguntaron como podríamos crear nuestros propios scripts de powerShell firmados digitalmente, por ejemplo para uso en organizaciones Exchange Server 2007.

Pues bien, la firma digital se aplica de forma muy sencilla. Lo primero que necesitaremos es un certificado emitido con el propósito de firma de código. El certificado puede ser autofirmado o emitido por una Entidad Certificadora de confianza. (Si es para uso interno de la organización, una Entidad Certificadora de empresa es igualmente válida).

Además debemos instalar el certificado con el que vamos a firmar en el perfil del usuario que realiza la firma. Podemos comprobar los certificados existentes e imnportar nuevos certificados desde la consola MMC de certificados.

Si queremos generar un certificado autofirmado podemos hacerlo con la herramienta makecert, disponible en el SDK de .Net Framework 2.0. Los siguientes ejemplos muestran como se puede crear una entidad certificadora de ámbito local y a continuación un certificado firmado por dicha entidad.

• makecert -n "CN=Entidad Certificadora local para PowerShell" -a sha1 -eku 1.3.6.1.5.5.7.3.3 -r -sv root.pvk root.cer -ss Root -sr localMachine

• makecert -pe -n "CN=Usuario de PowerShell" -ss MY -a sha1 -eku 1.3.6.1.5.5.7.3.3 -iv root.pvk -ic root.cer

Una vez que tenemos el certificado instalado correctamente, ejecutaremos el siguiente cmdlet para firmar los scripts de PowerShell

• $cert = Get-ChildItem -path cert:\CurrentUser\my -CodeSigningCert
• Set-AuthenticodeSignature MiPrimerScript.ps1 -cert $cert

Más información en:

• http://technet.microsoft.com/en-us/library/bb978642(TechNet.10).aspx
• http://msdn.microsoft.com/es-es/library/bfsktky3(VS.80).aspx

Durante los días 11 y 12 de junio de este año 2008 estuvimos apoyando a Microsoft en la feria de seguridad Infosecurity, celebrada en el Palacio de Congresos de Madrid. A mi me tocó perparar algunas charlas y demostraciones de Exchange Server 2007 y Forefront Server Security, siempre desde el enfoque de la seguridad.

También estuvieron por alli mis compañeros Chema Alonso y Pedro Laguna, con una charla desarrollada en el lejano país de Pitufolandia (con disfraz y todo). Yo como no tenía disfraz, me puse la camiseta de Technet y a dar mis charlas. Para aquellos que os interese el tema, aqui os dejo las presentaciones que utilicé durante las dos jornadas y algunas fotos del evento.

• Conferencia Forefront Server Security
• Conferencia Exchange Server 2007 SP1

El próximo 9 de Junio comenzaremos a impartir en Madrid un nuevo curso de Seguridad y Auditoría Informática con una duración de 150 horas. El curso está diseñado y ofrecido por Informática 64, y colaboran en él nuestros mejores expertos en materia de seguridad informática:

• Jose María Alonso. Consultor de Seguridad. Ingeniero Superior y Máster Postgrado en Sistemas de la Información por la URJC. En la actualidad desarrolla su doctorado “Técnicas de ataques en aplicaciones Web”. Profesional certificado Microsoft, está acreditado desde 2005 como MVP (Most Valuable Professional) Windows Server Security. www.elladodelmal.com
• Pedro Laguna Durán. Consultor de Seguridad de Informática 64. Profesional certificado Microsoft Certified Professional (MCP) y Microsoft Student Partner (MSP). www.equilibrioinestable.com 
• Juan Luis García Rambla. Consultor de Sistemas y Seguridad. Responsable del Area de Seguridad en Informática 64. Profesional certificado Microsoft y MVP (Most Valuable Professional) Windows Server Security desde 2006. www.legalidadinformatica.blogspot.com
• Juan Garrido Caballero. Consultor de Sistemas y Seguridad de Informática 64. Profesional certificado Microsoft, lidera proyectos de implantación de productos y soluciones de seguridad Microsoft. www.windowstips.wordpress.com
• Alejandro Martín Bailón. Responsable del Area de Desarrollo en Informática 64. Ingeniero Superior en Informática por la USAL, Máster en Desarrollo de Sistemas de Comercio Electrónico.

Los contenidos del curso son los siguientes:

• Primera semana: Conceptos de Auditoría de seguridad
  Durante esta semana se verán los conceptos de seguridad, las herramientas de status, la misión del auditor técnico, los tipos de auditoría. Como se afronta una auditoría de caja blanca, de caja negra, que mirar, como hacer un estatus del sistema, como evaluar la situación inicial. Cuáles son las fuentes de información a contar en una auditoría. Cuáles son las fuentes de información y como poder utilizarlas. Es una semana de puesta al día en conceptos de redes, servidores, clientes, tecnologías e internet.
• Segunda semana: Auditoría de seguridad de servidores y clientes
  La segunda semana estará centrada en el análisis de seguridad de servidores y clientes. Como entender la información que utilizan. Las arquitecturas de seguridad de Sistemas Microsoft y Sistemas Linux. Cuáles son los almacenes de información importante en el sistema. Vulnerabilidades. Scanners de información. Exploits. Scanners de caja blanca y scanners de caja negra. Parches. Rootkits. Troyanos. Detección. Fortificación de servidores. Herramientas de fortificación de servidores.
• Tercera semana: Auditoría de Aplicaciones Web
  Arquitectura de aplicaciones Web. Arquitecturas Apache/IIS. Análisis de servidores web. Scanners de vulnerabilidades web. Ataques a aplicaciones web. Inyecciones de Código. Ataques RFI y LFI. Ataques XSS y CSRF. Herramientas de análisis de código estático. Web Application Firewalls. Mod_security. Request Filtering.
• Cuarta Semana: Auditoría de Seguridad de Red
  Arquitectura de conexiones de red. Protocolos de envío L2. Sniffers. Reconstrucción de protocolos. Análisis de red. Inyección de tráfico. Spoofing de comunicaciones. Ataques MITM. Cifrado y autenticación de paquetes. Sistemas de cifrado SSL. IPSec.
• Quinta semana: Auditoría Wireless, IM, VoIP y VPNs
  Tecnologías Wireless: WEP, WEP2, WPA, WPA2. Inyección de paquetes. Ataques a routers Wireless. Inyección de tráfico. AP spoofing. Tecnologías VoIP. Arquitectura SIP. Intercepción de comunicaciones. Reconstrucción de conversaciones. Comunicaciones en Sistemas de Mensajería instantánea. Sistemas de voz, video y conversaciones instantáneas. VPNs.
• Sexta semana: Análisis Forense
  Definiciones. Aplicaciones prácticas. Recogida de datos. Recogida offline y Online. Cadena de custodia. Logs. Análisis de logs del sistema operativo. Análisis de logs de aplicativos. Análisis forense de Malware. Seguimiento del malware para poder denunciar. Sistema de recogida y firmado de logs. Análisis de memoria RAM. Volcado y búsqueda de estructuras. Documentos. Informes de análisis.

Más información en:

• Documento de información del curso (.pdf)
• Formulario de inscripción (.xls)
• http://www.informatica64.com/cursoseguridad.html
• LLamada telefónica 91 665 99 98
• Correo electrónico i64@informatica64.com

Este cmdlet exporta la infromación de lo que ha sucedido en un periodo de tiempo determinado con los mensajes entrantes. En la lista se incluye información de la acción realizada y el nivel SCL que el agente a impuesto.

• Get-AgentLog -StartDate "01/04/2008 00:01:00" -EndDate "30/04/2008 23:59:00" | ft timestamp,IPaddress,P1FromAddress,recipients,action,reason,reasondata | out-String -Width 180 > C:\MensajesFiltrados_SCL.txt

Como podéis observar, los parámetros StartDate y EndDate determinan el intervalo de datos, mientras que ft (format-table) formatea la salida para sólo mostrar los campos que queremos, que en este caso son la Fecha, Dirección IP del remitente, Dirección SMTP del remitente, Destinatarios, Acción realizada por el agente, Motivo, Valor SCL. Por último establecemos el tamaño de las columnas para evitar que se corten datos y lo enviamos a un fichero de texto.

 Un abrazo.

El pasado 1 de abril se anunció oficialmente el lanzamiento de Windows Mobile 6.1 en Las Vegas.

Windows Mobile 6.1 es la nueva versión de sistema operativo de Microsoft para dispositivos móviles como PDAs y Smatphones, e incorpora importantes novedades, sobre todo de cara a la integración con Exchange Server 2007 SP1, System Center Mobile Device Manager 2008 y Windows Live.

Aquellos que ya hayan actualizado sus servidores Exchange Server 2007 a Service Pack 1, podrán gestionar la seguridad de los dispositivos móviles desde las nuevas directivas de ActiveSync, ta y como comenté hace unos días. Para ello se requiere ActiveSync 12.1, que ya viene incuido en esta nueva versión de sistema operativo.

Además, el nuevo producto de Microsoft orientado a la gestión basada en GPOs de dispositivos móviles llamado System Center Mobile Device Manager 2008, se puede ya configurar los dispositivos móviles basados en Windows Mobile 6.1 como si de equipos de escritorio se trataran, ya que tienen su representación en el Directorio Activo y se les aplican directivas de grupo tal y como hemos venido haciendo desde Windows 2000 Server con los equipos unidos al dominio.

Es interesante saber que finalmente las organizaciones disponen de un sistema de control de seguridad y gestión centralizada de PDAs y SmartPhones, ya que hasta ahora, con la llegada de la movilidad a las empresas, este asunto ha traido de cabeza a más de un administrador. Sobre todo desde el punto de vista de la seguridad y la restricción de acceso a los datos del dispositivo o incluso el borrado remoto de la memoria.

Tanto SMS 2003 como Exchange 2003 se acercaron un poco a la resolución del problema de la gestión, pero sin duda las herramientas proporcionadas se quedaban cortas para las necesidades de las empresas. Windows Mobile 2002, 2003 y 5.0 tampoco hacian mucho a su favor, ya que no contaban con clientes de gestión remota de la configuración, como si lo hizo por primera vez Windows Mobile 5.0 MSFP, 6.0 y finalmente esta nueva versión 6.1

Mas información en:

• Microsoft Windows Mobile
• Blog del equipo de desarrollo de Windows Mobile
• System Center Device Mobile Manager 2008
• Windows Mobile 6.1 Standalone Emulator

Antes de comenzar el proceso de instalación debemos asegurarnos que cumplimos con todos los requisitos previos, ya que si no es así, el asistente no permitirá que continuemos con la actualización.

Requisitos de instalación:

• .Net framework 2.0 SP1
  • X86 - http://www.microsoft.com/downloads/details.aspx?familyid=79BC3B77-E02C-4AD3-AACF-A7633F706BA5&displaylang=en
  • X64 - http://www.microsoft.com/downloads/details.aspx?FamilyId=029196ED-04EB-471E-8A99-3C61D19A4C5A&displaylang=en
• KB 931836 - http://support.microsoft.com/kb/931836
• Windows Server 2003 SP2
  • X86 - http://www.microsoft.com/downloads/details.aspx?FamilyID=95ac1610-c232-4644-b828-c55eec605d55&DisplayLang=en
  • X64 - http://www.microsoft.com/downloads/details.aspx?FamilyId=08FEC2F5-6E3B-4E0D-9314-646414D0A421&displaylang=en
    
• El servicio coordinador de transacciones distribuidas debe estar iniciado cuando actualicemos los roles de Acceso de Cliente y Mensajería Unificada, ya que ambos roles dependen de este servicio para poderse actualizar a Service Pack 1

Además, el proceso de actualización a Service Pack 1 se debe realizar siguiendo un orden específico. En primer lugar debemos actualizar todos los servidores Edge Transport (transporte perimetral) de la organización y a continuación todos los servidores Hub transport (transporte interno) y CAS (acceso de cliente). Es necesario actualizar todos los servidores ya que no están soportados los escenarios en donde unos servidores ejecuten una versión y otros ejecuten otra versión de Exchange Server 2007. Por último ejecutaremos la actualización en los servidores Mailbox (buzones) y en los clúster de buzones CCR.

El proceso de actualización en los roles de transporte, CAS y UM se realiza desde el asistente gráfico de instalación, ejecutando setup.exe situado en la carpeta donde hemos extraído el Service Pack 1 y siguiendo los pasos del asistente de una forma muy cómoda y sencilla.

Sin embargo, otra historia es la actualización de un clúster CCR. Lo primero que debemos saber es que no se realiza mediante la interfaz gráfica y debemos de seguir el procedimiento de forma escrupulosa, ya que si no podríamos tener problemas durante la actualización.

El procedimiento ocasiona un breve período de inactividad durante el proceso de actualización. Utilizaremos básicamente la línea de comandos con setup.com aunque sólo se debe ejecutar Setup /m:upgrade en el nodo pasivo del clúster y Setup /UpgradeCms en el nodo activo. Ambos nodos deben actualizarse a Exchange 2007 SP1 para ser compatibles, pero se deben actualizar de uno en uno. Después de actualizar los nodos, se actualiza el servidor de buzones de correo en clúster y después se pone en conexión.

En el siguiente procedimiento, las designaciones del nodo activo y pasivo cambian. Por lo tanto, para facilitar la consulta, el nodo activo original es NodoA y el nodo pasivo original es NodoB.

Operaciones en el NodoB:

1. Para preparar NodoB para la actualización, movemos todos los grupos de recursos del clúster a NodoA.
2. Iniciamos el servicio Conexión compartida a Internet (ICS)/Firewall de Windows. Es necesario iniciar este servicio para permitir que el programa de instalación agregue excepciones del Firewall de Windows para los servicios de Exchange.
3. Detenemos los servicios con identificadores abiertos para los contadores de rendimiento. Algunos de los servicios conocidos que se deben detener son registros y alertas de rendimiento y cualquier agente Microsoft Operations Manager.
4. Detenemos y después reiniciamos el servicio Registro remoto.
5. En una consola de línea de comandos ejecutamos setup /m:upgrade
6. Reiniciamos el NodoB una vez completada la actualización.
7. Ahora debemos parar el servicio de clúster y mover los recursos de Exchange al NodoB, por lo tanto volemos a iniciar sesión en NodoB y ejecutamos:
   a. Stop-ClusteredMailboxServer <NOMBRE_CLUSTER> -StopReason "Actualización a  SP1"
   b. Move-ClusteredMailboxServer <NOMBRE_CLUSTER> -TargetMachine NodoB -MoveComment "Actualización a SP1"
8. Una vez actualizado el NodoB, ahora debemos actualizar el servidor virtual en clúster, que después del movimiento de recursos, el propietario es el NodoB (Nodo activo). Para ello ejecutamos en una línea de comandos:
   a. Setup /upgradeCMS
   

Operaciones en el NodoA:

1. Iniciamos el servicio Conexión compartida a Internet (ICS)/Firewall de Windows.
2. Detenemos los servicios con identificadores abiertos para los contadores de rendimiento.
3. Detenemos y después reiniciamos el servicio Registro remoto.
4. En una consola de línea de comandos ejecutamos setup /m:upgrade
5. Reiniciamos el NodoA una vez completada la actualización.

Ahora están ambos nodos actualizados, así como el servidor de buzones virtual en clúster CCR. Por último, opcionalmente podemos detener y deshabilitar el servicio Conexión compartida a Internet (ICS)/Firewall de Windows en ambos nodos, si es que originalmente lo teníamos deshabilitado.

Además, como el propietario de los recursos cambia durante la actualización, podemos mover los recursos al NodoA con el cmdlet Move-ClusteredMailboxServer <NOMBRE_CLUSTER> -TargetMachine NodoA -MoveComment "Actualización a SP1"

El próximo martes 29 de abril de 2008 realizaré un Webcast dedicado a la implantación de Standby Continuous Replication en Exchange Server 2007 SP1.

Standby Continuous Replication extiende las capacidades de alta disponibilidad en Exchange Server 2007 SP1. Está diseñado para escenarios en donde se utilizan equipos de recuperación en espera. Se puede combinar con Clúster de Copia Continua (CCR), Clúster de Copia Única (SCC) o servidores individuales de buzones. En este webcast se analizarán los requisitos para habilitar SCR y de mostrarán los escenarios de recuperación en caso de fallo.

Os podeis registar en esta dirección de Microsoft events

El contenido de la sesión es el siguiente:

• Introducción a SCR
• Comparación de escenarios de alta disponibilidad
• Requisitos para habilitar SCR
• Orígenes y destinos de replicación
• Escenarios de implantación Recuperación de desastres

Tal y como comenté en el Webcast, la mayoría de las nuevas directivas de seguridad que aparecen en el Service Pack 1 de Exchange Server 2007 para gestionar dispositivos móviles, sólo estarán disponibles para aquellos que implementen completamente ActiveSync 12.1. Entre las directivas mencionadas están:

• Allow Storage Card
• Allow Camera
• Allow Unsigned Applications
• Allow Unsigned Installation Packages
• Allow Wi-Fi
• Allow Text Messaging
• Allow POP/IMAP Email
• Allow Bluetooth
• Allow IrDA
• Allow Desktop Sync
• Allow Browser
• Allow Consumer Email
• Allow Remote Desktop
• Allow Internet Sharing
• Unapproved InROM Application List
• Approved Application List

Aunque Microsoft ha realizado ya algún evento relacionado con una próxima actualización de Windows Mobile 6.0, aún es pronto para conocer qué fabricantes implementarán ActiveSync 12.1 en sus dispositivos móviles. Estaremos atentos.