Netexpertise

Servicios de Windows se pueden iniciar mediante cuentas de servicio (Microsoft Managed Account o MSA) para una mayor seguridad y una gestión simplificada.

Funciona bien hasta que reinicio el servidor: no puedo iniciar el servicio. Abrir el servicio y restablecer la contraseña en blanco permite que se reinicie, pero el problema vuelve al siguiente reinicio.

¿Qué podría estar causando esto?
Volvamos al mensaje que aparece después de validar la cuenta de servicio: A la cuenta se le ha otorgado el privilegio Abrir una sesión como servicio.
Esta configuración puede ser anulada por una directiva de grupo (GPO) que se aplica globalmente al dominio.

Una forma sencilla de comprobar qué cuentas tienen el privilegio de iniciar sesión como servicio es a través de rsop.msc.

Navegar a:
– Configuracion de Computadora
-> Configuraciones de Windows
-> Configuraciones de seguridad
-> Estrategias locales
-> Asignación de derechos de usuario

Verifique que la cuenta de servicio esté en la lista de la pestaña Configuración de la política de seguridad. Si este no es el caso, actualice el GPO y verifique que la Política de grupo esté en la primera posición en la pestaña Prioridad.

Ahora que ha verificado los derechos en el GPO, el servicio debería iniciarse en el próximo boot.

 

Tags: GPO, Seguridad, Windows

Las cuentas de servicio administradas aparecieron con Windows 2008 R2. Le permiten tener una cuenta dedicada para cada servicio sin restricciones de gestión como asignar o cambiar una contraseña. Menos gestión, más seguridad.
Sin embargo, una cuenta no se puede utilizar en varios servidores del dominio. Esto podría generar muchas cuentas de servicio, pero no es un problema real.
 
La configuración de una cuenta de servicio administrada de Windows se realiza en 2 pasos:
Su creación en el controlador de dominio de Active Directory luego su instalación en la máquina donde se lanzará el servicio.

Agregar una cuenta de servicio en Active Directory

En el controlador de dominio, inicie las siguientes dos líneas en Powershell para la creación de la cuenta. Esto no se puede hacer a través de una interfaz gráfica de usuario:

Import-Module ActiveDirectory
New-ADServiceAccount -Name Cuenta_Servicio -Enabled $true

La cuenta aparece en «Managed service accounts» en Usuarios y equipos de Active Directory. Revisa Funciones avanzadas en la pestaña Ver primero.

Luego asigne la cuenta a la máquina donde se ejecutará el servicio:

Add-ADComputerServiceAccount -Identity Servidor_de_destino -ServiceAccount Cuenta_de_Servicio

Configurar el servicio en el servidor de destino

En la máquina de destino, agregue la funcionalidad del módulo AD para Powershell.

Navegar en:
Herramientas de administración de servidor remoto
   Herramientas de administración de roles
     Herramientas de AD DS y AD LDS
       Módulo de Active Directory para Windows PowerShell

Luego instale la cuenta de servicio, aún en Powershell:

Install-ADServiceAccount -identity Cuenta_de_Servicio

Finalmente, puede configurar el servicio para que se inicie con la cuenta de servicio administrada de Windows, en la pestaña Conexión.

Inicie el servicio por DOMINIO\Service_account$, dejando la contraseña en blanco. ¡No olvide el $ al final del nombre de la cuenta!

Consulte este artículo si el servicio no se inicia después de reiniciar el servidor. La política de seguridad implementada podría ser la causa.

 

Tags: Powershell, Seguridad, Windows

Los administradores de sistemas se enfrentan cada vez más a directorios en continuo crecimiento, que contienen informes generados por scripts o tareas programadas. Lo mismo ocurre con los directorios temporales y nadie se molesta en limpiarlos. ¿Pero no es ése también nuestro trabajo?
Aquí hay 2 scripts simples que se pueden ejecutar regularmente para eliminar archivos de más de 30 días, por ejemplo, en DOS o Powershell.

Borrar archivos en DOS

El primero en DOS es más limitado ya que ForFiles solo puede procesar la última fecha de modificación.

Echo @off
Cls

Set Folder=C:\Informes

if exists %Folder% (
  rem *******************************************
  rem Elimina los atributos del sistema y los archivos de caché
  rem que no son procesados ​​por el comando del
  Forfiles /S /P "%Folder%" /M * /D -30 /C "cmd /c attrib -s -h @path"
  rem Eliminar archivos de más de 30 días
  Forfiles /S /P "%Folder%" /M * /D -30 /C "cmd /c del /F /Q @path"

  rem Eliminación de directorios vacíos
  for /f "delims=" %%d in ('dir /S /B /AD %SrcDir% ^| sort /R') do rmdir "%%d"
)

Eliminar archivos en Powershell

Powershell le permite trabajar con los 3 parámetros LastAccessTime, LastWriteTime y CreationTime.

$limit = (Get-Date).AddDays(-30)
$path = "Q:\Informes"

if (Test-Path $path) {
  # Borrar archivos anteriores a $limit.
  Get-ChildItem -Path $path -Recurse | 
  Where-Object { !$_.PSIsContainer -and $_.lastAccessTime -lt $limit } |
  Remove-Item -Force

  # Elimina las carpetas que quedan vacías después de eliminar archivos antiguos.
  Get-ChildItem -Path $path -Recurse |
  Where-Object { $_.PSIsContainer -and (Get-ChildItem -Path $_.FullName -Recurse |
  Where-Object { !$_.PSIsContainer }) -eq $null } | Remove-Item -Force -Recurse
}

Para ejecutar el script, verifique las restricciones de PowerShell con

Get-ExecutionPolicy

Si el estado restringido está activo, ejecute

Set-ExecutionPolicy RemoteSigned

Y ejecute este comando en una tarea programada para eliminar archivos antiguos en Powershell con regularidad:

powershell C:\Scripts\ClearFolder.ps1

 

Tags: DOS, Powershell, Windows

Usamos el cliente VPN Forticlient de Fortinet para conectarnos a nuestro firewall Fortigate a través del túnel cifrado IPSEC. Nos gustaría darles a los clientes una dirección IP a través de DHCP para que no tengamos nada que tratar más que la autenticación del usuario.

Los clientes VPN dialup no obtienen una dirección IP del Fortigate a pesar de que se ha creado el pool de DHCP y la opción «DHCP-IPsec» está correctamente marcada en los parámetros de la fase 2 de la VPN. También se informó un error IPSEC ESP en los registros.
La asignación de una dirección IP estática al cliente permite la conexión.

El firewall recibe solicitudes DHCP pero no las envía de vuelta al túnel IPSEC. Para resolver el problema, se debe agregar una regla de firewall adicional para cifrar el tráfico DHCP, y solo DHCP, desde la interfaz interna a la externa. Deje las direcciones de origen y destino en «any», ya que se trata de un problema de nivel 2 de IP. ¡El cliente aún no ha recibido una dirección! Seleccione «DHCP» para el servicio, IPSEC para la acción y, finalmente, el túnel VPN apropiado.

La captura de pantalla se tomó en un Fortiwifi pero la configuración es la misma para todos los Fortigate. Los clientes IPSEC ahora deben obtener una dirección IP dinámica a través de DHCP.

 

Tags: DHCP, Fortigate, Fortinet

El protocolo SNMP se utiliza para recuperar muchas métricas en la mayoría de los equipos de red. Configuré SNMP en la interfaz interna de un Fortigate 100D de Fortinet, y aunque la casilla Activar está marcada, obtengo un timeout cuando ejecuto cfgmaker (para configurar MRTG) o snmpwalk. El Fortigate no responde a las solicitudes SNMP. No tengo este problema en un Fortiwifi 60B.

Me tomó un poco de tiempo descubrir el truco. Es necesario configurar y lanzar las solicitudes en la interfaz de gestión para obtener la información SNMP de todas las demás. La interfaz de administración es una interfaz dedicada cuyo puerto físico se encuentra justo debajo del puerto DMZ.

Revisé la documentación de Fortinet en línea, pero este requisito previo no parece estar allí en el momento de escribir este artículo.

 

Tags: Fortigate, Fortinet, MRTG, SNMP