Blog personal de Juanma Merino

Windows Intune es básicamente un agente de endpoint que en lugar de reportar a un servidor local lo hace a la nube (a un servicio hospedado por MS).

Ofrece los siguientes servicios:

• Antimalware (Windows Defender)
• Gestión de actualizaciones de Microsoft (Un WSUS en la nube)
• Asistencia remota
• Inventario de hardware y software

Todo ello gestionable a través de una consola web accesible desde cualquier conexión a Internet.

El producto no está pensado para empresas que ya dispongan de sistemas de gestión de endpoints y de gestión de la seguridad. Más bien es una alternativa para empresas que tienen a la mayor parte de sus empleados en itinerancia y que no quieren invertir en infraestructura propia de TI.

No se trata de un sistema operativo, el agente se puede instalar en Windows XP SP2 y posteriores (físicos o virtuales).  La licencia permite un upgrade a Windows 7 Enterprise (con Bitlocker aunque por ahora éste no es gestionable con Intune).

La idea no es mala, para una empresa que esté comenzando y que decida desde el primer momento no invertir en infraestructura informática está muy bien, aunque tiene puntos de mejora que seguro que MS implantará con el paso del tiempo. Por ejemplo:

• Gestión del cifrado completo del disco duro
• Servicio de borrado remoto en caso de robo
• Agente de backup en la nube
• Agente DLP (Data Loss Prevention)
• HIDS
• Gestión de dispositivos removibles

Habrá que ver como evoluciona. Por ahora no es lo que yo esperaba y no es útil para empresas que ya han invertido en gestión de “endpoints” y seguridad. Pero eso no quiere decir que no sea un buen producto con un gran futuro si se dan los pasos acertados.

Hace unos días me preguntaban como detectar defacements antes de que fuera demasiado tarde. La respuesta original es que si detectas un defacement ya es demasiado tarde pero entiendo que el objetivo es darte cuenta lo antes posible para corregir la situación e impedir que tu imagen quede dañada.

Existen varias soluciones para detectar defacements. Los chequeos de navegación automatizada, servicios externos que visitan tu página de forma periódica, software de monitorización que comprueba el resultado de un get con otros realizados anteriormente, … Pero en este caso quiero hablar de chequeos de integridad de archivos. Este es un requerimiento PCI, el 11.5 creo.

De entre la multitud de herramientas opensource y comerciales he escogido AFICK. Another File Integrity Checker viene a ocupar el vacío dejado por antiguas versiones freeware de Tripwire, la solución líder en su categoría.

Los pasos a seguir son:

• Descargar Afick
• Disponer de perl y del módulo tk (si no lo tienes se puede descargar con ppm)
• Editar el archivo de configuración
• Crear una base de datos inicial contra la que se compararán los siguientes chequeos
• Ejecutar un chequeo manual
• Automatizar el proceso

Esta herramienta, al estar basada en Perl corre tanto en *NIX como en Windows.

Los resultados se pueden enviar por e-mail, por syslog o dejarlos en un archivo local.

Dos consejos que cabe tener en cuenta:

• Fortifica la base de datos de AFICK para que en caso de compromiso del sistema no sea comprometida también.
• Establece un procedimiento de actuación que indique claramente qué hacer cuando se detecta un defacement. No servirá de mucho que AFICK te lo diga si no tienes planeado que vas a hacer para remediar la situación.