martes, 14 de abril de 2020

Hyper convergencia Windows: Windows Admin Center... y adiós a credential dump...

Estimado amigos de Inseguros !!!

Hoy vamos a hablar de un término que está muy de moda, la hyper convergencia, pero me lo voy a llevar a mi terrano particular.

El concepto "puro" de hyper convergencia radica en aglutinar todos los elementos de los sistemas en una sola unidad, desde el almacenamiento virtualizado, la red definida por software o SDN, procesamiento, memoria incluso contingencias como backup cloud y DSR de todo tipo.



Mi amigo Rafa Cartagena me habla mucho de la monitorización multicloud, con soluciones que te permiten gestionar desde un mismo panel todas las nubes... imagina el asunto, gestionarlo TODO en un mismo aplicativo.

La hyper convergencia viene respaldada por soluciones de tipo hardware en las que compras un BOX en el que mediante software se realizan todas las tareas habituales de un CPD, bajo un entorno de gestión unificado.


Yo sueño con un escenario completamente distinto, pero a fecha de hoy no es posible. Hubo una época con los primeros "grid" de Oracle, creo que 10, en el que se creía que todo el procesamiento iba a ser distribuido.. .nada...

Imaginar un "bus universal" de recursos en el que conectemos los 4gb del móvil, los nosecuantos de la tv, los noseque de la "play", la cpu de la tablet, del smartwatch... al final si pudiéramos aunar toda la capacidad de procesamiento de estas máquinas será aprovechamiento 100%.

De momento no creo que lo veamos muy a corto *Hola patentes xD * pero con la tener un entorno unificado de trabajo para nuestras administraciones me basta.

Hasta que el rollo, ahora vamos con el post.

Windows Admin Center, sencillo de instalar en entornos habituales, es una herramienta que mediante WINRM nos permite administrar de forma gráfica nuestros servidores.


Microsoft afirma que el el desarrollo de las herramientas GUI de administración irán bajo esta plataforma, y viendo su potencia, es recomiendo familiarizarse pronto con ella.

¿Qué podemos monitorizar con esta herramienta? Prácticamente todo.


Es importante contar con que si quieres monitorizar windows cliente tienes que instalar las herramientas de administración remota, con versiones server no. Solucionar temas de firewall... lo de siempre.

Para añadir equipos al management, es tan sencillo como click click click.


Como decía, qué monitorizar? mejor verlo en imágenes:



Es casí como Guideline de administración de servidores ya que tenemos las pistas de los servicios, y con unos clicks podemos configurar procedimientos que de otra manera serían un poco más costosos, o tal vez, ni conocíamos. Por ejemplo, vamos a desarrollar las típicas copias de seguridad del DC.



Otro recurso muy interesante es la sincronización de ficheros en la nube, una copia de seguridad digamos "activa" en la que usar los datos de manera descentralizada.


Como "buena" solución de hyper convergencia, tenemos que tener la posibilidad de administrar nuestra nube favorita... pués si, conectamos nuestra subscripción y tenemos disponibles todos los recursos de Azure.


Otra de las virtudes que presenta en la propia conexión con el RDP del equipo. Si bien la herramienta está hecha para no tener que realizar dicha acción, nos ofrece una manera sencilla de realizarlo desde el dashboard.



Me ha gustado mucho el detalle de la consola de administración de usuarios y equipos, te presentan las 4 funcines del día a día, y en concreto, cuando reseteas la contraseña de un usuario te genera una clave random segura, y establece que sea el usuario el que inicie la contraseña que quiera en el primer inicio, una buena opción para evitar dar siempre la misma clave "temporal" hasta que se cambia...



Pero como es normal, seguro que te preguntas sobre hardware, o sobre otros aplicativos no Microsoft. Correcto. El admin center contiene un módulo de extensiones para que terceros puedan ampliar las capacidades de administración. Algunos de los módulos disponibles son:


Poco a poco esperemos que los fabricantes se animan a integrar sus consolas. 

Pero esto no es todo...

Hemos dicho que podemos añadir máquinas de nuestra nube Azure...


Sino que podemos integrar nuestro panel con Azure Security Center para ver las recomendaciones de seguridad de nuestro entorno...


Pero lo bueno es que bidireccionalmente, en nuestro Security Center de Azure se agregan los datos de monitorización de los servidores que tenemos monitorizados On-Premise en Admin Center, es decir, nos ahorramos instalar el agente manualmente.


Y para los más freaks, tenemos la posibilidad de ver todas las órdenes del "dashboard" o del frontal, en formato Powershell, por si queremos replicar la consulta/comando manualmente en otros sistemas no administrados.



Como es evidente, el usar un tipo de solución así mejora mucho la seguridad ya que impides el tener a administradores usando el servidor con RDP, usando navegador para bajar driver... ya tu sabes...

Pero SOBRE TODO, ampliamos el concepto de BASTIÓN que ya comentamos aquí hace días... en el que usamos un equipo para administrarlos a todos, un equipo muy securizado.

Os pongo el ejemplo de Mimikatz.


Como todos sabéis, en los sistemas Microsoft el login se puede producir de dos maneras, interactiva o de red. Cuando es interactiva, cuando te sientas "delante" como por ejemplo RDP, las credenciales se almacenan en el LSASS( .exe) para poder hacer hacer el "single sing on" de Active directory, tu una vez que estás en un RDP puede ir a cualquier equipo.

Sin embargo, cuando tu entras por red, a un barra barra, "muestras" al equipo que sabes la clave, pero esta no se almacena en el equipo destino.

Mediante Mimikatz un atacante puede sacar tus claves de la memoria LSASS, teniendo las claves de todos los usuarios que se hayan conectado. Por eso NO HAY QUE USAR usuarios privilegiados por RDP en todos los servidores.

Después de esta "iniciación a la seguridad" de Active Directory :-)  ... comprenderás que el servicio de administración remota, o WinRm que usa Windows Admin center usa autenticación keberos como no interactiva, por lo que podemos administrar nuestros servers sin el temor de que un atacante adquiera las claves del equipo administrador.

En la imágen muestro las claves de un usuario entrando por RDP mientras que no salen las del usuario que empleo desde el Admin center.

Me parece muy interesante este producto y tiene mucho más recorrido.

Otro día probaremos a montar un servicio de hyperconvergencia real con Hyperv y SDN y almacenamiento virtualizado también.

Gracias por leerme !!!