MainMind

True & racing de norte a sur


Aplicaciones Metro, seguridad y permisos de administrador

En varias ocasiones encuentras mensajes en equipos que no permiten la ejecución de programas por estar utilizando el usuario administrador predeterminado: "No podemos abrir X con la cuenta predeterminada de administrador. Inicia sesión con otra cuenta y prueba de nuevo"

Realmente un usuario de Windows siempre ha podido ejecutar cualquier aplicación pero desde Windows 8, aunque tu nombre de usuario durante la instalación sea otro, crea 2 cuentas adicionales: administrador e invitado.

Estas se utilizan para ejecutar el control de cuentas de usuario UAC, instalación de imágenes, servicios... las implicaciones de seguridad son muchas, como buena práctica general nunca debes ejecutar para tu uso diario bajo la cuenta de permisos de administrador, menos sobre la cuenta de administrador predeterminado.

La razón es sencilla y muy repetida, si existe un problema de seguridad se limitará a la zona que este accesible a esa cuenta. Si conociendo las implicaciones que supone y quieres seguir con ello, también puedes: Directiva de seguridad local -> Directivas Locales -> Opciones de seguridad -> Control de cuentas de usuario: ejecutar todos los administrador en Modo de aprobación de administrador (habilitar)

Puertos de comunicación Shoretel

Cuando la complejidad de la red se incrementa es necesario identificar los servicios que deben estar disponibles, entre redes, firewalls, vpns... La comunicación de los teléfonos de voz ip de Shoretel utilizan determinados puertos para comunicar con el switch y con el Shoreware Director:

Inicio desde la IP del teléfono:

IP_TELEFONO a IP_DIRECTOR:21_TCP
IP_TELEFONO a IP_NTP:123
IP_TELEFONO a IP_SWITCH:2727

Comunicación de Shoretel Communicator en PC:

IP_PC a IP_DIRECTOR:5447
IP_PC a IP_DIRECTOR:80

 

 

 

Nombres de servicios en Windows

En ocasiones las traducciones de algunos servicios de Inglés a Español en los nombres de los servicios de windows, tanto para servidores como para clientes son algo... peculiares y no siempre se ajustan... podemos contrastarlos con los nombres cortos. Mediante PowerShell sacamos el listado completo:

Get-Service | Sort-Object -Property DisplayName | Format-Table DisplayName, Name -AutoSize 

En el caso de necesitar conocer que servicio, programa, proceso... tiene abierto un fichero determinado, podemos recurrir a la herramienta Process Explorer, pulsamos sobre "Find -> Find Handle or DLL..." con el nombre del fichero.

Una vez encontrado desde las propiedades podemos ver si tiene algún servicio asociado.

Conectar sonda lambda banda ancha en motor K20 europeo

Hace algunos años que ya escribí un artículo similar, hoy toca aclarar algunas cosas. Los modelos americanos y japoneses de Civic o sus variantes, llevan instaladas sonda de banda ancha de serie, mientras que los europeos son de banda estrecha (PRA)... tema de emisiones y normas anticontaminación (sin comentarios).

En Europa se instalan dos sondas que miden antes y después del catalizador la mezcla, la primer se utiliza para regular la mezcla de gasolina/aire la segunda para controlar si esta puesto el catalizador y/o funciona correctamente. En coches modificados es posible instalar una sonda de banda ancha y desconectar la secundaría, lo que permite realizar/ajustar los mapas de la centralita, en este caso Hondata K-pro.

Para que funcione una centralita PRB Kpro con dicha sonda es necesario modificar el cableado del coche o en la propia centralita, resumido en imagen:

 

CRL: Lista de revocación de certificados

En ocasiones debemos configurar el acceso interno y externo a las listas de revocación de certificados con Entidades de Certificación de confianza, habitualmente autoemitidas. Si hemos comprado un certificado, estas estarán disponibles y no tendremos ente problema seguramente. En otros casos en los que obtenemos errores indicando que no es posible acceder a la lista de revocación de certificados (CRL), debemos comprobar:

  • El dominio en el que se publica esta accesible dentro de la red interna y desde fuera de ella.
  • Podemos navegar y acceder a la lista CRL via web
  • No aparecen errores relacionados en la Autoridad de certificación

Desde cualquier equipo con Windows esta disponible en la linea de comandos "certutil" en la que debemos añadir el parámetro con la URL que queramos verificar:

certutil -URL "http://ejemplo.mainmind.com:8682/CertEnroll/CA%20nombre%20compuesto.crl"

Seleccionamos el certificado CER y recuperamos las direcciones web del CRL, en este caso vemos que pese a poder navegar y acceder no es posible acceder...

Después de comprobar todos los pasos, activamos temporalmente la visualización/listado del servidor que contine los CRL y nos encontramos por fin con el error! El nombre de la CA con la que se publican es demasiado largo y con espacios, por lo que con la seguridad predeterminada de IIS no es posible acceder.

Es posible deshabilitar en la aplicación de IIS esta verificación, pero no es una práctica de seguridad recomendada. Por lo que otra opción sencilla sería acortar el nombre desde la CA en la configuración de extensiones, por ejemplo: "http://ejemplo.mainmind.com/listado.crl"

Volvemos a emitir e instalar el certificado, en el que aparecerá la nueva CRL y volvemos a verificar con certutil, ahora sin problemas de acceso: