jueves, 23 de mayo de 2019

Obtener un listado de números de serie y modelos de tus equipos

He aquí un pequeño script de Powershell para obtener, a partir de un listado previo de equipos en formato .txt, otro listado igual pero agregando a la lista el número de serie y modelo del equipo.


Ni que decir tiene que las máquinas, ya sean servidores o equipos, deben estar encendidas y accesibles desde tu red. Aquí va el script:

$file= "C:\listado.txt"
$inf = get-content $file
Out-File -FilePath C:\listadocompleto.txt -Append -InputObject "servidor;serial;modelo"
Foreach($server in $inf)

 {
$serial = gwmi win32_bios -computername $server |Select-Object -ExpandProperty SerialNumber
$model = Get-CimInstance -ClassName Win32_ComputerSystem -computername $server | Select-Object -ExpandProperty model


Out-File -FilePath C:\listadocompleto.txt -Append -InputObject "$server;$serial;$model"
}

Como ves, realmente el script ejecuta sobre cada una de las lineas del documento "listado.txt" los comandos gwmi win32_bios -computername, que te va los valores de versión de BIOS, fabricante, nombre de versión, Numero de Serie, y versión (que no es exactamente el modelo).


luego, al comando gwmi win32_bios -computername se le hace un "|" para indicarle que el único dato que queremos extraer es el SerialNumber. En la imagen superior puede ver los dos ejemplos, el comando ejecutado al completo, o sin la selección de SerialNumber.

Con la siguiente linea sucede lo mismo: tenemos Get-CimInstance -ClassName Win32_ComputerSystem -computername, que nos da una serie de valores como el nombre del equipo, propietario, dominio, memoria fisica, modelo (que es lo que nos interesa), y fabricante.


Igual que con el anterior comando, la primera parte nos da bastantes datos, y con el "|" agregamos el "Select-Object -ExpandProperty model" para obtener únicamente el modelo del equipo.

Finalmente, la ultima parte del script mete en un nuevo documento los equipos del listado inicial, y agrega el resto de campos solicitados.

jueves, 16 de mayo de 2019

Vulnerabilidad crítica en Servicio RDP de Windows

Microsoft acaba de publicar una vulnerabilidad 0-Day de carácter crítico, junto con el parche de aplicación.

Esta vulnerabilidad permite a un atacante no autenticado en el sistema realizar una peticion especial de servicio RDP que permitiría la ejecución de código arbitrario en el equipo, y por tanto, podria desde instalar programas, a crear nuevas cuenta de usuario con permisos de administrador.


Además, esta vulnerabilidad es preautenticación (como decía anteriormente basta con realizar una petición especial de servicio), y no requiere interacción por parte de los usuarios.

El boletín de seguridad de Microsoft con los parches a aplicar para distintos sistemas operativos puede encontrarse aquí:

Windows 7, Windows Server 2008, and Windows Server 2008 R2

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708


Windows XP, Windows Server 2003
https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708


El parche es tan grave que, igual que pasó con el ransomware Wannacry, han publicado parches incluso para Windows Server 2003 y Windows XP

La buena noticia es que solo afecta a los sistemas operativos indicados, Windows XP, Windows 7, Windows Server 2003, Windows Server 2008 y 2008 R2, todos ellos obsoletos, con lo que aunque el riesgo para estos sistemas es alto, no deberían estar funcionando ni en tu casa ni en tu empresa.

No se ven afectados por esta vulnerabilidad Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, ni Windows Server 2012.

Los parches específicos para equipos Windows 7 son el kb4499175-x64.msu y el kb4499175-x86.msu, asi como el kb4500331 para Windows XP, pero si dispones de la posibilidad de implementar el de los links superiores, donde se agregan a una monthly update, mejor que mejor.


Microsoft no ha liberado las PoC (Pruebas de concepto) para esta vulnerabilidad, con el objetivo de dar algo más de margen a los fabricantes de antivirus y antimalware a poner a punto sus soluciones.


Puedes obtener más informacion en el blog de Microsoft, AQUI,

lunes, 6 de mayo de 2019

La VM no arranca con "This virtual machine appears to be in use"

Recientemente me he encontrado con el problema de VM´s funcionando en los equipos locales de algunos usuarios, que reportaban un fallo a la hora de encender la VM. Concretamente, el fallo era "This virtual machine appears to be in use"


Las opciones son, cancelar, para evitar daños, o tomar la propiedad del objeto, el archivo .vmx.
Si seleccionar "tomar la propiedad del objeto", inmediatamente saldrá otro mensaje indicando que la acción ha fallado, imposibilitando la ejecución de la VM. Incluso si revisas los permisos del archivo, verás que probablemente el objeto tenga los permisos adecuados. Entonces, ¿cómo se solventa esto?

La solución es fácil: Si tomases el archivo .vmdk y montases una nueva VM, el problema se solventaría, pero hay una solución más elegante. En los archivos de la VM con el fallo, debemos buscar los archivos .lck o .lock, y eliminarlos. Para eliminarlos, debemos tener cerrado VMware Workstation, o bien hacer retirado la VM de VMware Workstation, aunque luego tendremos que volver a agregarla. Lo que prefieras.
Puedes ser que .lck sea una carpeta, en cuyo caso, la eliminamos igualmente, con todos sus archivos.
Tras esto, ya podrás abrir VMware, o bien agregar de nuevo la VM e iniciarla.

Tras investigar la causa por la que este archivo se queda bloqueado, resultó que el usuario que suele tener este error, en vez de apagar la VM con el "shut down guest file system", solía apagarla con el botón de power off, en algunos casos, seguido del apagado del equipo que ejecuta VMware, sin esperar al cierre de procesos.

domingo, 5 de mayo de 2019

Solventar el problema del "Client integration plugin upgrade" de vSphere Web Client

Aunque VMware en su última version de vCenter Server elimina la necesidad del plugin Shockwave Flash a favor de html5, todavia hay muchas instalaciones que funcionan con sistemas ESXi 5.0, 5.5 e incluso 6.0.

Todas estas instalaciones venian experimentando problemas cada vez que el navegador web se actualizaba, y es que el client integration plugin se ponia "tontorrón", obligando muchas veces a reinstalarlo para funcionar nuevamente en condiciones. Esto es especialmente una faena en versiones de vCenter 5.5 y 6.0, ya que VMware, en su carrera por acabar con el vSphere Client instalable, iba agregando nuevas funciones sólo accesibles desde la consola web.


Ultimamente, con las últimas actualizaciones, se hacia imposible hacer funcionar correctamente este plugin, en la lucha de los navegadores principales (firefox, chrome, explorer) por acabar con Flash y sus múltiples vulnerabilidades. De hecho, te recomiendo que no pierdas tiempo con soluciones como trastear el about:config en los navegadores para forzar la activacion de Flash, porque aunque aparentemente lo vuelva a aceptar, nuestro querido plugin de VMware seguirá dando problemas.

Entonces, ¿cual es la solucion?¿Sigo utilizando el vSphere Client instalado en local, o actualizo el servidor? Pues si tienes dinero y recursos disponibles de hardware, actualiza a la nueva versión de vSphere. Recuerda que la nueva versión consume más RAM que la version antigua de vCenter y ESXi, asi que si vas apurado de recursos, ni siquiera actualizar sea una opción válida.

De forma que la unica opcion para por... volver a una versión antigua de navegador. Más o menos es la misma sugerencia que hace VMware en su knowledge base, como podeis comprobar en ESTE enlace.

En mi caso ,utilizo Chrome, por su consumo, para navegar, pero utilizo firefox para acceder a la consola de VMware. Puedes acceder a una versión válida de Firefox AQUI. Es la version 38.8, última versión funcional antes del comienzo de los problemas con el plugin. No es necesario desinstalar la versión que tengas instalada, sobreescribe los archivos y mantiene favoritos y opciones, incluso los plugins instalados (plugins, no complementos).


Ten en cuenta que es probable que tengas que darle al menos un reinicio a la maquina para que detecte bien el plugin, y eliminar la caché del navegador, que muchas veces, aunque muestra el plugin funcionando correctamente, se empeña en seguir mostrando el mensaje de error