Como agregar caracteristicas en Windows Server 2012 R2 .Net Framework 3.5

Tener que instalar .NET Framework 3.5 es un procedimiento que aunque parece igual a cualquier componente que se agregue, tiene una característica que lo hace especial: aunque está disponible en el DVD del producto, el sistema siempre trata de descargarlo desde “Windows Update”

Cualquier otro componente del sistema operativo, salvo “PowerShell v2”, se agrega directamente. Para instalarlos se necesita que la máquina tenga conectividad a Internet para su descarga

O, y este es el objetivo de la nota, podemos indicarle que tome los binarios del “.NET Framework 3.5” desde el DVD de instalación. Aunque por supuesto luego debemos aplicar las últimas actualizaciones

Si desde PowerShell ejecutamos: Get-WindowsFeature podremos notar que hay tres clases de estados:

  • “Installed” (Instalado): la funcionalidad ya está instalada
  • “Available” (Disponible): la funcionalidad está disponible para instalar
  • “Removed” (Removido): la funcionalidad debe ser descargada

Sin embargo, “.NET Framework 3.5” está en el disco de instalación, y veremos cómo indicárselo

Comencemos con la instalación, como si no conociéramos el tema

Enseguida notaríamos que el sistema dice que no encuentra el “path” a los archivos de instalación

Recomencemos el asistente de agregado de funcionalidad, pero esta vez prestando atención y leyendo las pantallas, en cuyo caso veremos que el sistema nos avisa, y además provee un enlace para que especifiquemos el lugar de donde puede obtener los archivos necesarios

En mi caso yo he montado el DVD del producto, y debemos indicarle la carpeta “SxS” que está dentro de “Sources”

Seguimos adelante

Y por supuesto finaliza perfectamente

Lo podemos verificar inclusive desde la interfaz gráfica

 

Pero ¿y si estamos con una versión Core (sin interfaz gráfica)? En ese caso debemos hacer el procedimiento desde PowerShell.
El procedimiento por PowerShell es también totalmente válido aunque dispongamos de la interfaz gráfica

Debemos ingresar a PowerShell y usar el siguiente comando

Install-WindowsFeature NET-Framework-Core -source D:\Sources\SxS

Demorará unos instantes

Y comprobamos que la instalación fue exitosa

 

Como podemos observar, se puede forzar a que el sistema tome los archivos de instalación directamente desde el DVD del producto

Los motivos por los que Microsoft ha decidido que la instalación de este componente sea diferente a los demás, realmente no lo sé, pero pienso que está relacionado con las actualizaciones del mismo

Pero de todas formas, si tuviéramos un equipo que por ejemplo por razones de seguridad no tiene conectividad Internet, este procedimiento puede ser una solución, además seguramente el tráfico de descarga de actualizaciones será mucho menor. Si la máquina en cuestión no tuviera conectividad con Internet siempre podríamos actualizarla si usamos WSUS

 

Fuente: windowserver.wordpress.com

prevencion virus cryptolocker

Windows: GPO para prevenir Cryptolocker

Algunas medidas que puede tomar el administrador de sistemas para prevenir incidentes relacionados con Cryptolocker son:
  • Formar a los usuarios (o intentarlo :-)).
  • Disponer de un sistema de backups que permitan una restauración rápida de los ficheros afectados.
  • Configurar las instantáneas de volumen en los servidores de ficheros, ya que nos permitirán una restauración más rápida.
  • Repasar los recursos compartidos y permisos NTFS a los que puede acceder cada usuario: La idea es que en caso de infección, minimizar el número de ficheros encriptados.
  • Verificar antivirus de scan en tiempo real, en todos los equipos: configuración, actualización de firmas y motor.
  • Mejorar/verificar el filtrado de contenido web.
  • Mejorar/verificar el filtrado de correo electrónico.
Además de lo anterior, como medida adicional, podemos utilizar GPOs para fortificar la configuración e intentar evitar la ejecución de Cryptolockers.
Para ello, utilizaremos las Software Restriction Policies (SRP).
Encontraremos la posibilidad de configurar directivas SRP como GPOs de equipo o usuario:
Vista GPMC
Un ejemplo de uso de GPO basada en SRP lo podemos encontrar en el siguiente enlace:
En nuestro caso, no podemos prevenir la ejecución del Cryptolocker con una GPO SRP basada en hash, hasta que no dispongamos de un fichero EXE del virus del Cryptolocker para obtener su hash.

Sin embargo, podemos configurar GPOs SRP que bloqueen extensiones en rutas.

Una GPO SRP de bloqueo de rutas, el bloqueo se efectuará independientemente de los permisos NTFS asignados en la ruta.

Deberemos personalizar la GPO con las exclusiones necesarias según nuestro entorno: aplicaciones instaladas, sistema operativo, descompresor utilizado, etc.
Ejemplo:
Vista completa de la GPO SRP texto:

User Configuration (Enabled) > Policies > Windows Settings > Security > Settings > Software Restriction Policies

Enforcement

Apply software restriction policies to the following:  All software files except libraries (such as DLLs)
Apply software restriction policies to the following users: All users
When applying software restriction policies: Ignore certificate rules

Designated File Types

ADE ADE File
ADP ADP File
BAS BAS File
BAT Windows Batch File
CHM Compiled HTML Help file
CMD Windows Command Script
COM MS-DOS Application
CPL Control panel item
CRT Security Certificate
EXE Application
HLP Help file
HTA HTML Application
INF Setup Information
INS INS File
ISP ISP File
LNK Shortcut
MDB MDB File
MDE MDE File
MSC Microsoft Common Console Document
MSI Windows Installer Package
MSP Windows Installer Patch
MST MST File
OCX ActiveX control
PCD PCD File
PIF Shortcut to MS-DOS Program
REG Registration Entries
SCR Screen saver
SHS SHS File
URL Internet Shortcut
VB  VB File
WSC Windows Script Component

Trusted publisher management: Allow all administrators and users to manage user’s own Trusted Publishers

Certificate verification: None

Software Restriction Policies/Security Level

Default Security Level: Unrestricted

Software Restriction Policies/Additional Rules

Path Rules

Disallowed:

%AppData%\
%AppData%\*\
%localappdata%\
%localappdata%\*\
%localappdata%\Microsoft\Windows\Temporary Internet Files\
%localappdata%\Microsoft\Windows\Temporary Internet Files\Content.Outlook\
%localappdata%\Microsoft\Windows\Temporary Internet Files\Content.Outlook\*\
%localappdata%\Microsoft\Windows\Temporary Internet Files\Content.Outlook\*\*\
%Temp%\
%Temp%\$*\
%Temp%\*.zip\
%userprofile%\

Unrestricted: (ejemplo de proceso que si se desea que se ejecute)

%Temp%\Procmon64.exe
%localappdata%\*\Procmon64.exe
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
Vista parcial de la GPO SRP imagen:
HTML de la GPMC, parte 1
HTML de la GPMC, parte 2
Para completar nuestra GPO SRP, podemos utilizar el siguiente recurso:
Fuente: http://www.sysadmit.com/