Quick Highlighter

Una aplicación web que he descubierto recientemente, seguramente más de uno ya la conocerá, pero me ha parecido interesante compartirlo para aquellos que aún la desconozcan.
Se trata de una aplicación web que proporciona formato a nuestros códigos fuentes y facilitando de esta manera su lectura y comprensión. Y no hay que olvidar que Quick Highlighter soporta hasta 85 lenguajes distintos de programación.

Web: http://quickhighlighter.com/

Windows Server 2003: Administración de Políticas de Grupo

En esta entrada, vamos a tratar puntos esenciales en la administración de las políticas de grupo y las herramientas de la que disponemos nativamente en Windows Server 2003 para centralizar la administración y configuración de usuarios y equipos del dominio.
Antes de continuar un breve resumen de que son las políticas de grupo: Las políticas de grupo permiten establecer de forma centralizada múltiples aspectos de la configuración que reciben los usuarios cuando estos acceden a un equipo del dominio. Esto engloba las configuraciones del registro, políticas de seguridad, direccionamiento de recursos del dominio, etc.

DHCP

DHCP (Dynamic Host Configuration Protocol) o Protocolo Dinámico de Configuración de Equipos, como su nombre lo indica es un protocolo de asignación dinámica de parámetros de configuración de la Red para cada Host.

En términos menos técnicos lo que hace el protocolo DHCP es permitir la configuración automática de todos los equipos de una red, asignando direcciones IP’s, Mascaras de Subred, puerta de enlace y DNS a cada estación (Host).

DHCP es un protocolo de tipo Cliente/Servidor al cual se le configuran ciertos parámetros como el rango de IP’s, los DNS, IP’s estáticas, etc. Luego de dicha configuración y puesta en funcionamiento, cada Host o equipo que se conecte a la red se configurará automáticamente por medio de un protocolo de asignación de parámetros.

Métodos de asignación de direcciones IP:

• Asignación manual o estática: Asigna una dirección IP a una máquina determinada. Se suele utilizar cuando se quiere controlar la asignación de dirección IP a cada cliente, y evitar, también, que se conecten clientes no identificados.
• Asignación automática: Asigna una dirección IP de forma permanente a una máquina cliente la primera vez que hace la solicitud al servidor DHCP y hasta que el cliente la libera. Se suele utilizar cuando el número de clientes no varía demasiado.
• Asignación dinámica: el único método que permite la reutilización dinámica de las direcciones IP. El administrador de la red determina un rango de direcciones IP y cada computadora conectada a la red está configurada para solicitar su dirección IP al servidor cuando la tarjeta de interfaz de red se inicializa. El procedimiento usa un concepto muy simple en un intervalo de tiempo controlable. Esto facilita la instalación de nuevas máquinas clientes a la red.

Paquetes emitidos entre Cliente/servidor

• DHCPDISCOVER (para ubicar servidores DHCP disponibles)
• DHCPOFFER (respuesta del servidor a un paquete DHCPDISCOVER, que contiene los parámetros iniciales)
• DHCPREQUEST (solicitudes varias del cliente, por ejemplo, para extender su concesión)
• DHCPACK (respuesta del servidor que contiene los parámetros y la dirección IP del cliente)
• DHCPNAK (respuesta del servidor para indicarle al cliente que su concesión ha vencido o si el cliente anuncia una configuración de red errónea)
• DHCPDECLINE (el cliente le anuncia al servidor que la dirección ya está en uso)
• DHCPRELEASE (el cliente libera su dirección IP)
• DHCPINFORM (el cliente solicita parámetros locales, ya tiene su dirección IP)

Protocolo de la asignación de parámetros

Cuando un Host se conecta a la red se envía un paquete del tipo DHCPDISCOVER con el fin de ubicar los servidores DHCP que se encuentren en la red.
El servidor responde con un paquete DHCPOFFER, para enviarle una dirección IP al cliente.
El cliente establece su configuración y luego realiza un DHCPREQUEST para validar su dirección IP (una solicitud de transmisión ya que DHCPOFFER no contiene la dirección IP).
El servidor responde con un DHCPACK con la dirección IP para confirmar la asignación.
Normalmente, esto es suficiente para que el cliente obtenga una configuración de red efectiva, pero puede tardar más o menos en función de que el cliente acepte o no la dirección IP.

Referencias: http://es.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol

Administración de dominios Windows 2003

A continuación expondré un resumen sobre los aspectos más importantes a tener en cuanta sobre la gestión de dominios en Windows 2003 y en concreto los conceptos fundamentales que soporta el Directoria Activo (Active directory).
La mejor forma de administrar un sistema es mediante el uso de dominios, en donde toda la información administrativa y de seguridad se encuentra centralizada. Windows usa el concepto de directorio para implementar dichos dominios.

Toda esta información es almacenada en el Directorio Activo, el cual es un servicio de red que almacena información acerca de recursos de la red y permite el acceso a los usuarios y aplicaciones a los mismos. Por tanto es un medio que permite organizar, controlar y administrar el acceso de recursos en la red de forma totalmente centralizada.

Todo este sistema conlleva una serie de estándares relacionados como son el protocolo DHCP, DNS, SNTP, LDAP, Kerberos V5 y Certificados X.509.

El Directoria activo y el DNS están relacionados puesto que los dos son espacios de nombres. Por ello el directorio activo hace uso del servicio DNS para tres funciones principales:
-Resolución de nombres
-Definición del espacio de nombres
-Búsqueda de los componentes físicos de AD

El directorio activo sigue una estructura lógica centrada en la administración de recursos de una red organizativa, independientemente de la ubicación física de dichos recursos y topologías de red existentes.
Dentro de esta estructura encontramos los dominios, unidades organizativas y por último el concepto de árbol y bosque.

Ya hemos visto algunos puntos (no todos) de la estructura lógica del sistema, así que ahora pasaremos a la estructura física. La estructura física define dónde y cuando se producen el tráfico de replicación y de inicio de sesión. Para entenderlo mejor, los componentes físicos de Active Directory permite optimizar el tráfico de red y el proceso de inicio de sesión, así como solventar problemas de replicación.

Tenemos:
-Sitios
-Controladores de dominio
-Servidor de catálogo global
-Operaciones de maestro único

Ahora bien, entre los objetos que administra un dominio (basados en una jerarquía) nos encontramos con:
-Los usuarios globales
-Grupos
-Equipos
-Unidades organizativas

Cuando el sistema de Windows 2003 participa en una red, puede compartir sus recursos con el resto de ordenadores. Dentro de este ámbito actúan una series de conceptos tales como los Permisos y Derechos.

Cuando se comparte dentro de un dominio además de haberse compartido de forma física por la red, el administrador puede crear objetos nuevos dentro de la unidad organizativa los cuales pueden recibir nombres simbólicos. Ahora bien, si un sistema Windows se agrega a un dominio, los recursos de este son automáticamente compartidos con el resto del dominio de forma predeterminada.
La compartición de recursos puede ser realizada por líneas de órdenes utilizando “net share” y “net use”.

Por último tenemos la delegación de la administración, en la cual Windows 2003 permite delegar de forma parcial o total la administración de una unidad organizativa. Esta acción es muy parecida a la de los permisos sobre una carpeta y se realiza mediante una DACL propia y otra heredada que contienen entre otras cosas los usuarios/grupos y tienen accesos o no a ciertas acciones dentro de la unidad organizativa.

La protección local en Windows 2003

Windows 2003 permite un riguroso control de los usuarios que pueden ingresar  en el sistema. Cada cuenta de usuario almacena  una serie de datos (nombre, contraseña, etc), pero el dato más importante a remarcar es el SID. Un identificador único para cada cuenta de usuario y que el sistema utiliza para averiguar  los permisos que posee dicho usuario.

Todos estos usuarios pueden ser administrados de una forma mucho más cómoda y sencilla con el uso de grupos. Los grupos de usuario se utilizan para englobar un conjunto de permisos y derechos a los cuales los usuarios pertenecientes a dichos grupos pueden disfrutar.

El sistema tiene de forma integrada una serie de grupos redefinidos en el sistema, estos grupos son conocidos como built-in groups.

El modelo de protección seguido en Windows  server 2003 hace una distinción entre los derechos y permisos. Los derechos son pertenecientes a los usuarios, sin embargo los permisos le corresponden a los recursos del sistema (archivos, documentos, etc).

Diferencias entre derechos (usuarios) y permisos (archivos, etc).

Cuando un usuario está autorizado para conectarse interactivamente dentro del sistema, este le construye una acreditación denominada SAT que contiene la información de protección del usuario, además de utilizarse para el control de accesos que los procesos del usuario realiza en los recursos del sistema.

Los derechos son atributos de los usuarios o grupos que conceden a los usuarios la posibilidad de realizar una acción concreta en el sistema. Dentro de los derechos hay dos tipos, que son: derechos de conexión (cómo se puede conectar) y privilegios

(Qué puede hacer en el sistema). Hay que tener en cuenta que tienen prioridad los permisos  y derechos restrictivos frente a los permisivos.

Los derechos son un tipo de directivas de seguridad. En este sentido el sistema ha agrupado un conjunto de reglas de seguridad antes dispersas dentro una única consola de administración unificando y simplificando la administración de las mismas (cuentas, directivas locales y claves públicas).

En cuanto a permisos, tenemos los atributos de protección de recursos los cuales poseen cada carpeta o archivo dentro del sistema y entre los que se encuentran el SID del propietario y dos listas de control de acceso (de protección y seguridad).

Estos permisos se asocian a los recursos siguiendo una serie de reglas.

Dentro de los permisos Windows 2003 hace una distinción entre permisos estándar y permisos individuales sobre carpetas y archivos. Dentro de estos permisos podemos encontrar la lectura, escritura, ejecución, etc.

Windows 2003 tiene de forma totalmente integrado un modelo de protección que define quién puede modificar los atributos de protección de los recursos, basándose en los permisos y derechos del usuario. Dictando por tanto que estos pueden ser los propietarios y cualquier usuario que esté dentro de las listas de control de acceso de protección  y lista de control de seguridad con los permisos correspondientes.

Estos permisos siguen unas reglas básicas o reglas de protección, basadas en:

La verificación de permisos de cada acción o proceso.

Los permisos son acumulativos.

La ausencia de un cierto permiso supone la imposibilidad de realizar una determinada acción.

Si se producen conflictos en la comprobación de permisos, los más restrictivos son los que prevalecen exceptuando los permisos explícitos sobre los heredados.