iCACLS: listar los permisos de directorios en Windows y ver a qué carpetas puede acceder un usuario.

En Windows, en modo gráfico es bastante sencillo ver los permisos de un directorio.
El problema es cuando queremos:

  • Ver los permisos en terminal o Powershell.
  • Ver la lista de directorios a los que tiene acceso un usuario (por ejemplo para comprobar que no accede a lo que no necesita en un servidor).

En esos casos el comando iCACLS es un gran aliado. Obviamente necesitamos un terminal con permisos de administrador O el Powershell.

Cómo usar iCACLS para ver los usuarios que tienen acceso a una carpeta.

Este es el uso más sencillo de iCACLS. Sólo tenemos que poner lo siguiente:

icacls c:\nombre_de_directorio

Estamos suponiendo que está en C: , si no cambiar la unidad.

Cómo usar iCACLS para ver las carpetas a las que tiene acceso un usuario.

Esto es muy útil en caso de gestionar carpetas compartidas o servidores. Os dejo dos opciones.
El primero va carpeta por carpeta y da dónde puede y dónde no puede.

icacls c:\* /findsid nombredeusuario /t /c /l

Esto muestra sólo dónde puede acceder. El segundo comando lo envía a un fichero (permisos.txt) en el directorio en que estés para su análisis posterior.

icacls c:\* /findsid nombredeusuario /t /c /l 2>nul:

icacls c:\* /findsid nombredeusuario /t /c /l 2>nul: >permisos.txt

Copiar los permisos de un directorio a otro con iCACLS

También puedes copiar los permisos de un directorio a otro. Sólo tienes que salvarlos a un fichero y exportarlos al directorio destino.

icacls C:\DirectorioOrigen\* /save c:\temp\Permisos_DirectorioOrigen_ACLs.txt /t
icacls C:\DirectorioDestino /restore c:\temp\Permisos_DirectorioOrigen_ACLs.txt

Cambiar los permisos de un directorio con iCACLS.

Obviamente también puede usarse como chomd y chown en Linux. Los permisos son:

  • D  —  delete access;
  • F  —  full access;
  • N  —  no access;
  • M  —  modify access;
  • RX  —  read and eXecute access;
  • R  —  read-only access;
  • W  —  write-only access.

Os dejamos ejemplos.

  • Permisos para editar a Pepe:
    icacls C:\Directorio /grant  Pepe:M
  • Permisos para editar el grupo Secretaria del dominio en el directorio y todos los subdirectorios y ficheros
    icacls “C:\Directorio” /grant dominio\Secretaria:F /Q /C /T
  • Quitarle todos los permisos a Pepe
    icacls C:\Directorio /remove Pepe
  • Deshabilitar permisos heredados:
    icacls c:\Directorio /inheritance:d
  • Deshabilitar permisos heredados y quitar los que tiene:
    icacls c:\Directorio /inheritance:r
  • Habilitar permisos heredados:
    icacls c:\Directorio /inheritance:e
  • Cambiar el dueño de un directorio
    icacls c:\Directorio /setowner Pepe /T /C /L /Q

Obviamente todo esto y combinaciones se pueden hacer en scripts para automatizarlo.

Qué es el DHCP y para qué sirve

Nuestra serie de vídeos informativos sobre el mundo IT sirve tanto para que nosotros podamos usarlos para explicar términos a clientes de manera sencilla, como para que la gente interesada pueda encontrarlos e informarse. Están pensados para alguien que no sabe absolutamente nada o casi nada del sector.

Hoy explicamos qué es el protocolo DHCP y para qué sirve.

Qué es el DHCP y para qué sirve.

Cuando te conectas a una red (por wifi o por cable), tu dispositivo (PC, móvil, tablet…) solicita a la red una dirección IP (de esto hablaremos otro día) única y unos datos sobre la red (puerta de enlace, máscara etc). Necesita estos datos para funcionar en la red.

Existe la posibilidad de ponerlos a mano, lo que se llama IP fija (algo por ejemplo útil en servidores e impresoras en una oficina), pero es poco realista. Tened en cuenta la de redes que te conectas en un día con el móvil o con el trabajo (casa, oficina, cibercafé, clientes…). Tendrías que estar cambiando de configuración cada vez y preguntando los detalles de cada red.

Por eso se creo el DHCP= Dynamic Host Configuration Protocol. Es decir, una serie de pautas y directrices (protocolo) para asignar las direcciones IP (y puerta de enlace y máscara) automáticamente a los clientes.

Para tener DHCP necesitas asignar un servidor, que suele ser el router, el servidor empresarial o el punto de acceso, que tiene configurado este servicio.
También lo que se llama un pool (rango de direcciones) para asignar a los clientes. Básicamente tu tienes un límite de direcciones posibles. Algunas las vas a querer fijas para dispositivos claves de tu red, y dejas el resto para este pool de clientes. Lo importante es asegurarte que:
a) Tu pool de direcciones cubre el número de clientes que vas a tener (cuidado, el uso de móviles hace que se dupliquen las ips por usuario.
b) Las direcciones fijas no se solapen con el pool de direcciones. Es decir, que nadie coja automáticamente una dirección que ya tienes asignada, de manera manual, a un dispositivo de tu red.

Además, ya que el número de direcciones IP es limitado (como digo hablaremos de eso en otro artículo), vamos a asignar un tiempo de vida, un lease time. Durante este tiempo la dirección quedará reservada o marcada como asignada. Pero luego se liberará para el uso de la asignación automática. Esto hace que no se queden direcciones “asignadas” y nos vayamos quedando poco a poco rango para nuestros clientes. Si un cliente que tenía una asignada pasa del lease time, vuelve a solicitarla y se le da otra o la misma.

Esperamos que esté artículo y el vídeo que sigue donde lo explicamos sirva para entender un protocolo tan útil.

Instalar Windows sin usar cuenta de Microsoft, con cuenta local. Versión 2020.

Cuando vas a instalar Windows 10, si sigues los pasos, verás que llegas a un paso en que te pide una cuenta de Microsoft y no te deja avanzar. Si eres como yo, y quieres tener cuentas locales en tu ordenador, te explico cómo instalar Windows 10 con cuenta local.

Instalar Windows 10 sin cuenta de Microsoft.

Hay dos maneras, depende de si has introducido o no tus datos de red. El truco es que no puede pedirte cuenta de Microsoft durante la instalación si no tiene conexión a Internet.

  • No conectarlo a Internet durante la instalación. Aunque es un paso previo en la instalación, y lo habitual es darle los datos de tu wifi o conectarlo por cable, evita hacerlo. No pongas tus datos de Wifi y no conectes el cable. Sin conexión de Internet la instalación pasa directamente a pedirte una cuenta local.
  • Si has conectado tu ordenador a Internet durante la instalación: nosotros lo hacemos por defecto para que busque las últimas actualizaciones y active Windows. Pero entonces pasa a pedirte cuenta de Microsoft. Lo que puedes hacer es desactivar la wifi (o poner modo avión) y/o quitar el cable de red en el momento que pide la cuenta. Luego pinchas en Crear cuenta, el comprueba que no puede porque no hay conexión y pasa a pedirte una cuenta local.

Os lo mostramos en el vídeo.

Windows 7 no puede acceder a recursos compartidos de Windows Server 2019

Hoy hemos tenido una consulta de un cliente que tenía Windows Server 2019 y sus dispositivos con Windows 7 no podían acceder a los recursos compartidos en el servidor. Los veían, pero no podían acceder.
Os explicamos la solución.

Nota: esto también puede ocurrir con otro tipo de dispositivos y sistemas operativos. Básicamente la causa es que Windows 2019 incluye Samba 3.1.X (de hecho de Windows Server 2016 en adelante), con cifrado y no admite conexiones sin cifrar. Los dispositivos anteriores no pueden concetarse.

También puede pasar en Windows Server 2012 y 2016 donde hayáis habilitado el cifrado de los recursos compartidos.

Soluciones.

Os dejamos varias cosas a probar

Habilitar las conexiones sin cifrar.

Los dispositivos como Windows 7 no son compatibles con SMB 3, así que no pueden usar recursos cifrados.
Primero podéis probar a habilitar la opción de conectarse al recurso compartido sin cifrar (debería ser algo temporal hasta que actualices dichos dispositivos antiguos).

Abre un Power Shell en el servidor y pon el siguiente comando:

Set-SmbServerConfiguration –RejectUnencryptedAccess $false

El problema de esto es que se pueden realizar conexiones con SMB 1 que es muy inseguro. Así que si no tienes dispositivos que sólo tengan SMB 1 (y no deberías tenerlos, deberías actualizarlos al menos al 2), puedes deshabilitar SMB1 en el servidor (esto ya está hecho en Windows Server 2019 por defecto que sólo incluye el SMB 3).

Set-SmbServerConfiguration –EnableSMB1Protocol $false

Acceso como invitado deshabilitado den Windows Server 2019

Windows Server 2019 ha deshabilitado el acceso como invitado (sin identificarse). Si quieres una carpeta de este estilo tienes que cambiar la política (Group Policy) en:

Computer configuration\administrative templates\network\Lanman Workstation”Enable insecure guest logons”

Obviamente recuerda que estás reduciendo la seguridad de tu red.

Realizar una sincronización manual de Active Directory con Office 365

Muchas empresas tienen ahora una infraestructura híbrida entre Office 365 (para recursos de nube, correo, licencias de Office) y Active Directory (para cuentas de usuario, permisos de carpetas en servidor etc). Y obviamente lo lógico es sincronizar ambos sistemas.

Si lo tienes bien configurado, la sincronización por defecto entre Active Directory y Office 365 se hace cada 30 minutos.

Pero en ocasiones tienes que realizar cambios urgentes que quieres que sincronicen inmediatamente. O pruebas de las cuales quieres ver los resultados de manera inmediata. Para ello puedes realizar una sincronización manual. Os contamos cómo.

Realizar una sincronización manual entre Active Directory y Office 365.

Para poder realizar una sincronización manual, hay que abrir Power Shell en la maquina que estés usando de Directorio Activo. En ese Power Shell tienes que poner el siguiente comando.

Start-ADSyncSyncCycle -PolicyType Delta

También es válido poner Start-ADSyncSyncCycle Delta

Para ver cómo va la sincronización puedes abrir el Synchronization Service de Azure AD Connect.

Nota: recuerda que la sincronización manual NO sincroniza contraseñas. Estas se actualizan en la automática de 30 minutos.

Issabel: tamaño del disco lleno por los logs de Asterisx. Cómo reducir los logs de Asterisk.

En clientes que teníamos Issabel instalado con ciertas particiones, nos ha ocurrido varias veces que se llenaba la partición primaria. Se quedaba al 100% y no nos dejaba entrar vía web. Por culpa de los logs de Asterisk (lo podéis verificar con du –max-depth=1 -m -x por terminal).

La solución que aplicábamos era borrar los logs messages y full de la carpeta de logs de Asterisk. Pero al cabo del tiempo volvía a ocurrir.

Solución: configurar correctamente los logs de Asterisk.

El problema es que los logs de Asterisk tienen activados los modos Debug, Verbose, Warning (además de Error y Securiy) para todos los estados. Esto quiere decir que básicamente guardan registro de todo, lo que pasa, aunque no sea un error. Así que se llenan enseguida.

Para cambiar esta configuración tenemos que ir a
PBX > PBX Configuraton > Unembedded IssabelPBX > Settings > Asterisk Log Files

Nota: puede que no tengas permisos para acceder a Unembedded Issablel PBX y debas aplicar dichos permisos, pero te indica dónde ir ( Security >> Advanced Security Settings )

Como veis tiene puesto guardar todo en el registro.

Desactivad Debug, Verbose y Warning para todos.

Con esto el log debería mostrar sólo los errores y problemas de seguridad y crecer más lento.

Tipos de cable HDMI. Cuidado ¡no son todos iguales!

Como esto es algo que tenemos que explicar muchas veces a los clientes, escribirnos un artículo sobre ello y así lo podemos reenviar.
No todos los cables HDMI son iguales, no puedes comprar cualquier cable HDMI. Aprende hoy a distinguirlos.

Cables por conexión.

Aunque la mayoría de la gente piensa siempre en el mismo tipo de conector para el cable HDMI (el standard), lo cierto es que hay 3 tipos para dispositivos: standard, mini y micro.
También hay 1 para coches, el tipo E (pero no para dispositivos así que no es común)
Tendrás que comprar el cable que coincida con el conector de tu dispositivo.

Pero esto no es difícil, aunque a la gente le sorprende que haya tres tamaños, en seguida pueden reconocer cual es el que les corresponde.

Cuidado si quieres conectar dispositivos distintos. Por ejemplo para conectar una cámara de fotos con HDMI (normalmente micro) con una televisión (HDMI standard A), necesitarás un cable con A en un extremo y D en el otro (micro a standard).

HDMI según sus versiones.

Aquí es donde la gente se confunde más. Sobre todo comprando cables HDMI más baratos, correspondientes a versiones más antiguas, pero que no les permiten transmitir la resolución que quieren (por ejemplo no transmite 4K) o no son compatibles con su dispositivo.

  • HDMI 1.0. El original, ahora no quedan casi. Full HD a 60Hz.
  • HDMI 1.1. Permitía DVD-Audio.
  • HDMI 1.2: Permitía más resoluciones.
  • HDMI 1.3: Permitía 1920 × 1080 a 120 Hz o 2560 × 1440 at 60 Hz . Aquí añadieron el tipo C.
  • HDMI 1.4. Admitía 4k pero solo a 24 Hz. Añadieron el tipo D. Y se podía usar como conector de Ethernet.
  • HDMI 2.0. El que más veréis esos días. Admite 4K a 60 Hz y hasta 4 audio streams.
  • HDMI 2.1: Admite 8K a 120 Hz y mucho más.

¿Límites de longitud? No hay nada fijo, y depende de cómo esté construido el cable, pero no recomiendan longitudes máximas de 13 metros.

Esperemos que os ayude para elegir el cable adecuado. Más información aquí.

Buscar comandos escritos anteriormente en Linux. Comando history.

Los comandos de Linux no son siempre los más sencillos de recordad. Y en ocasiones hemos ejecutado hace tiempo algunos, tras investigar y experimentar, que querríamos volver a ejecutar unos meses más tarde. Pero no nos acordamos, y no es plan buscar con la flecha arriba.
Hoy os enseñamos dos maneras de recuperar esos comandos.

Comando history junto a grep.

Una de las maneras más socorridas es usar el comando history que guarda un historial de lo que hemos escrito en la línea de comandos, tanto en esta sesión como en sesiones anteriores.

Como es mucha información, tenemos que usar el tan usado grep para filtrar. Os dejamos algunos ejemplos.

  • history | grep palabraquequeremosbuscar : Para buscar una palabra concreta.
  • history | grep 'frase que queremos buscar ' : Cuando tenemos que buscar frases con espacios o caracteres raros.
  • history | grep 'frase con "comillas" que queremos buscar ' : si nuestra frase tiene comillas, podemos jugar alternando simples y dobles.

Filtrando el fichero Histfile con grep.

Otra manera es buscar en el fichero Histfile y filtrarlo con grep. Pero este tiene el problema que la variable $HISTFILE sólo guarda los comandos tras una sesión, no incluye los de la sesión actual. Hay que tenerlo en cuenta.

El comando sería grep -w “frase a buscar” $HISTFILE

Estos comandos os los dejamos por si los necesitáis, pero también como referencia nuestra, porque son comandos que usamos relativamente frecuentemente (y no nos acordamos de una vez a otra).

Qué es el Phishing y cómo evitarlo.

Dentro de nuestros vídeos intentando formar a los clientes sobre las amenazas a las que se pueden enfrentar en Internet, hoy os queremos hablar de una muy común: el Phishing.

En el vídeo anterior os comentábamos cómo consiguen los creadores de virus y malware que os sintáis “confiados” y abráis los correos con el e-mail spoofing.

Pero dentro de esos correos (y ahora también por SMS, WhatsApp, Facebook Messenger etc), tienen que conseguir que pongas tus datos. Para ello usan, entre otras, este método: Phishing.

Qué es el Phising.

Phishing es “pescando” en inglés. Y el nombre “le viene al pelo”.
Porque el método básicamente consiste en que te llegue un mensaje que te incite a abrirlo. Dicho mensaje tendrá un anzuelo, que será el que te haga picar e introducir los datos.

El mensaje puede llegar por e-mail, por sms (smishing), por WhatsApp, por Facebook messenger, por teléfono (vishing)….

El anzuelo es variado, desde un mensaje de correos, Amazon o similar sobre un paquete (porque suele coincidir que has pedido uno), un mensaje sobre fotos con desnudos tuyos o de familiares, un mensaje sobre accesos indebidos en tu cuenta…hay muchísimos.

Como decimos todos incluyen o un formulario para añadir datos, o un enlace (normalmente acortado) para que pinches y te lleve a un sitio donde te piden datos (y te los roban).

Cómo evitarlo.

Os dejamos unos consejos básicos.

  • Desconfiar y, preferiblemente borrar, mensajes (por cualquier medio) de remitentes no conocidos o que nos hagan sospechar.
  • Sospechar de faltas de ortografía, expresiones incorrectas o frases mal formadas.
  • Sospechad de correos urgentes, alarmistas o apremiantes.
  • Desconfiad de los enlaces acortados. Recordad que podéis pasar por encima sin pinchar para ver el destino.
  • No pongáis datos nunca ni en estos correos ni en las páginas a los que llevan.
  • Podéis comprobar enlaces con servicios como Virustotal.
  • Si recibís un mensaje sobre acceso indebido, o pedidos pendientes, no pinchéis en esos enlaces, id al servicio por Internet y comprobadlo.

Os dejamos un vídeo explicando esto.

Cómo cambiar la contraseña de administrador en Issabel.

¿Quieres cambiar la contraseña de Issabel por web, o por línea de comandos?
Te enseñamos cómo.

Dónde se guardan las contraseñas en Issabel.

Lo primero es dónde se guardan las contraseñas. Para verlas edita el fichero /etc/issabel.conf.
Ahí encontrarás tanto la de administración por web como la de Mysql (apúntala si no la tienes porque te la van a pedir para cambiar la primera).

Cómo se cambia la contraseña en Issabel.

Por Web.

Tienes que ir Sistema->Usuarios->Usuarios elegir el usuario admin y ahí cambiar los campos “Contraseña” y “Confirmar contraseña”. Después pinchar en Guardar.

Por línea de comandos.

Puedes elegir dos comandos (los dos llevan al mismo sitio)

issabel-admin-passwords –change (si no lo encuetra ve a /usr/bin y lo ejecutas ahí.
change-passwords

Se va a abrir un asistente muy básico en el que pregunta primero (dos veces) la contraseña de MYSQL. Después te deja cambiar la contraseña del usuario admin de Issabel.

Una vez cambiado, entra por vía web y prueba la contraseña.
Mucho más fácil que en el antiguo Elastix.

Por cierto, si de repente no entra en el interfaz web, comprobad primero el espacio libre en disco. A nosotros nos ha pasado a veces que estaba lleno y por eso no entraba.