martes, 16 de julio de 2013

Recomendaciones de configuración ESET Nod32 y Terminal Services / Citrix

Recommended settings for ESET File Security on a Terminal Server

KB Solution ID: SOLN2791|Last Revised: June 24, 2013

Details

Solution

Complete the procedures below in sequence to achieve the best performance from your server with ESET File Security for Microsoft Windows Server installed. For licensing questions, contact ESET Sales at +1 (619) 876-5400.

I. Disable the graphic user interface (GUI)

The steps in this section will disable the GUI from launching automatically at start up, however you can still access it at any time from the Start menu. If you are not comfortable making changes in the registry, you can also use the method for endpoint workstations covered in the Knowledgebase article below:

How do I disable the graphical user interface (egui.exe) of ESET Endpoint Security or ESET Endpoint Antivirus on client workstations? (5.x) 
 

  1. Press the Windows key + to open a run dialog.
     
  2. Type Regedit.exe into the Run field and press ENTER.
     
  3. Navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
     
  4. Right-click the value egui and select Modify.

Figure 1-1
Click the image to view larger in new window

  1. Add the /terminal switch to the end of the existing string

    The following is an example of the Value data of egui:

"C:\Program Files\ESET\ESET File Security\egui.exe" /hide /waitservice /terminal

Figure 1-2

 

If you want to revert this setting and enable automatic start up of the ESET File Security GUI, remove the /terminal switch. To navigate to the egui registry value, repeat steps 1 to 3.

 

II. Enable Protocol Filtering

  1. Open ESET File Security by clicking Start  All Programs  ESET  ESET File Security  ESET File Security.

  2. Press F5 to open Setup.
     
  3. Expand Computer protection  Antivirus and antispyware  Protocol filtering.
     
  4. Select the check boxes next to Enable application protocol content filtering and Start application protocol protection automatically.

Figure 2-1  
Click the image to view larger in new window

  1. Click OK to save your changes.

 

III. Enable passive Web access protection

  1. Open ESET File Security by clicking Start  All Programs  ESET  ESET File Security  ESET File Security.

  2. Press F5 to open Setup.
     
  3. Expand Computer protection  Antivirus and antispyware  Web access protection.
     
  4. Make sure that the check box next to Enable web access antivirus and antispyware protection is selected. If you are using Windows Server 2008 or newer, skip to part V. If you are using Windows Server 2003, continue as normal.

Figure 3-1
Click the image to view larger in new window

  1. Expand Computer Protection  Antivirus and antispyware  Web access protection  HTTP, HTTPS  Web browsers.
     
  2. Click Add.
     
  3. Navigate to the .exe files for any web browsers that you want to run Web access protection on and click Open (we recommend that you enable this feature for all web browsers).

Figure 3-2
Click the image to view larger in new window

  1. When you have finished adding browsers, click OK.

 

IV. Enable active Web access protection  – WINDOWS SERVER 2003 ONLY

  1. Open ESET File Security by clicking Start  All Programs  ESET  ESET File Security  ESET File Security.

  2. Press F5 to open Setup. 

  3. Expand Computer protection  Antivirus and antispyware  Web access protection  HTTP, HTTPS  Web browsers  Active mode.
     
  4. Select the corresponding check boxes for each of the web browsers listed to enable active Web Access protection. If a browser is not included in the list, repeat the steps from section III above to add it.

Figure 4-1
Click the image to view larger in new window 

V. Adjust the number of Scanning Engines

If there are no other restrictions on system resources, we recommend that you increase the number of ThreatSense scanning engines to improve performance.

  1. Open ESET File Security by clicking Start  All Programs  ESET  ESET File Security  ESET File Security.
     
  2. Press F5 to open Setup. 
     
  3. Expand Computer protection  Antivirus and antispyware  Performance.
     
  4. Set the Number of ThreatSense scan engines field to equal twice the number of physical CPUs that your server has plus one. For example, a server with four physical CPUs would have nine scan engines running. You will be notified by ESET that you must restart your computer before these changes will take effect. Click OK once you are finished to close Setup.
Publicado por en No hay comentarios:
Etiquetas:

viernes, 12 de julio de 2013

Permitir la delegación de correo en Google Apps

Como ya sabéis, se puede agregar más de una cuenta a gestionar desde el interfaz web (cuentas delegadas). De esta manera no tenéis que estar cambiando de cuenta, cada vez que gestionais el correo desde el navegador. Para que esto quede fijado y predeterminado, haciendo login en la cuenta secundaria, debéis autorizar a la cuenta de correo principal, a gestionarla. (mismo dominio)




Para poder hacer esto, previamente debeis añadir el permiso desde el panel de administrador, para que los usuarios puedan permitir la delegación de cuentas. 

Activado esto (que tarda un ratito), podréis trabajar este tema.
Publicado por en No hay comentarios:
Etiquetas:

viernes, 28 de junio de 2013

Modificar limites del mailbox local en Google Apps Sync

Teneis estas interessantes entradas de la base de datos de conocimiento de Google, donde explica como hacerlo a nível de registro.

http://support.google.com/a/users/bin/answer.py?hl=es&answer=184126

http://support.google.com/a/bin/answer.py?hl=es-ES&answer=1041455

Publicado por en No hay comentarios:
Etiquetas:

martes, 25 de junio de 2013

Urgente : Anti-child Porn Spam Protection 2.0



Recien llegado de ESET, hace poco hubo otro ataque de este tipo de ransomware, pero parece que esta es una variante nueva.

 
Hola a todos,

Queremos informaros sobre una nueva variante de la infección llamada “Anti-child Porn Spam Protection 2.0”.

Este ataque se produce en la mayoría de los casos en fin de semana y va dirigido a empresas que utilizan el servicio Terminal Server en servidores Microsoft Windows 2003 Server. Para realizar el ataque se intentan comunicar con los servidores a través del puerto 3389, si el servidor les contesta, intentan acceder al servidor a través del terminal server utilizando la fuerza bruta para averiguar usuarios y contraseñas de acceso.

Una vez que se hacen con la contraseña de un usuario, elevan los privilegios aprovechando normalmente vulnerabilidades en el escritorio remoto (http://support.microsoft.com/kb/2671387 y http://support.microsoft.com/kb/2828223), consiguiendo acceso al servidor con privilegios de administrador o ejecutando código de forma remota. En ese momento el atacante detiene o desinstala completamente el antivirus instalado, sea cual sea, e inicia el proceso de infección del sistema, cifrando los archivos que se encuentran en el servidor. Este ataque también afecta a las copias de seguridad que pueden ser cifradas o incluso eliminadas.

La infección cifra todos los datos en los siguientes formatos y le aplica una contraseña con clave AES de 256bits

 - .OMG Variante gpcodec.nak/gpcodec.nai que únicamente se pueden restaurár a través de una copia de seguridad  que no haya sido afectada.
 - .EXE Variante Filecoder que sí que son descifrables, aunque la solución puede tardar varios días.
 - .Crypt Variante que actualmente se encuentra en investigación por parte de nuestros laboratorios.

Un ejemplo de nombre de fichero cifrado:
Num_serie.txt(!! to get password email id 1138972443 to xxxxxxxx@gmail.com !!).exe

En el caso de que os encontréis con algún cliente infectado con cualquiera de estas variantes, comentaros que la infección es desinfectable pero que por ahora únicamente son recuperables los archivos afectados por la variante llamada Filecoder.

Para desinfectar el servidor es estrictamente necesario que realicéis el paso 1 de lo que mostramos a continuación.

1 Crear un live cd de ESET Sysrescue y hacer un análisis del sistema http://kb.eset.es/home/soln2103

- Si la variante que ha afectado al servidor NO es gpcodec.nak/gpcodec.nai realizar los siguientes pasos:

2 Cuando el análisis con ESET haya finalizado y se hayan eliminado las amenazas, acceda a Herramientas > Cuarentena y pulse con el botón derecho sobre los archivos de la cuarentena y pulse en "Restaurar en..." y guarde los archivos en una ubicación en el disco duro para, posteriormente, enviárnoslo.

3 Los archivos provocadores de la infección provenientes de la cuarentena de la herramienta que los ha eliminado (anteriormente obtenidos)

4 Archivos cifrados por la infección y, si fuera posible, copias limpias de esos mismos archivos

5 Carpetas ocultas con archivos en c:programdata (los nombres están compuestos por 8 caracteres aleatorios).

Todo ello se comprime con contraseña y nos lo enviáis por correo a ayuda@eset.es indicándonos esa contraseña y el EAV del cliente infectado.

Seguiremos informando a través del portal de distribuidores (http://portal.eset.es) de cualquier novedad al respecto.

Para evitar este tipo de infecciones, desde el departamento técnico de ESET NOD32 en España aconsejamos realizar estas acciones:
    - Aplicar los parches de Microsoft disponibles para servidores Windows 2003 Server y superiores, sobre todo los que afecten al escritorio remoto es fundamental. http://technet.microsoft.com/es-es/security/bulletin/ms13-029 
    - Comprobar las diferentes cuentas de acceso al sistema y eliminar o deshabilitar aquellas que no sean necesarias, sobre todo las que tengan acceso a escritorio remoto.
    - Cambiar las contraseñas de acceso. Es fundamental utilizar contraseñas robustas (es aconsejable utilizar números, mayúsculas, símbolos y además una longitud de 12 caracteres como mínimo) para al menos dificultar lo máximo posible que el ataque de fuerza bruta rompa tu seguridad.
    - Disponer como mínimo de dos backups de sistema y por lo menos uno de ellos alojado en una ubicación diferente. 
    - Proteger con contraseña la protección de los productos ESET tanto en equipos clientes como en servidores.     

Ya sabéis que estamos a vuestra disposición para lo que necesitéis.

Un cordial saludo,
Departamento técnico de ESET en Ontinet.com
Publicado por en 3 comentarios:
Etiquetas: ,

martes, 18 de junio de 2013

Error getCryptKey en Plesk

Hoy hemos hecho una actualización de Plesk, y al intentar reentrar en la consola, teníamos el error

0: String.php:330
Plesk_Base_Utils_String::getCryptKey()
1: common_func.php3:3453
get_failure_redirect_url(string 'failure_redirect_url')
2: auth.php3:191

Finalmente lo hemos solucionado con el comando

/usr/local/psa/admin/sbin/encrypt_keygen
Publicado por en No hay comentarios:
Etiquetas:

jueves, 13 de junio de 2013

Outlook 2010 cambio el tipo de fuente al hacer doble enter / Outlook 2010 changes font with double return

Hoy me ha pasado una cosa muy curiosa

Un cliente se quejaba de cambios extraños en el tipo de letra. Después de mirarlo juntos, hemos visto que el problema se producía, al escribir el saludo, pulsar dos veces ENTER, y empezar a escribir la masa del email. En este momento, el texto del "Hola Pepito", bajaba, y cambiaba el FONT.

Al final la solución ha sido ir a este punto de opciones de Outlook 2010, y desmarcar las casillas que os marco. Era un tema relacionado con la autocorrección...



Publicado por en No hay comentarios:
Etiquetas:

jueves, 9 de mayo de 2013

Problemas Sonicwall y Dyndns

Leed esto

http://community.spiceworks.com/topic/319695-dyndns-dyn-com-stopped-working-on-my-tz-sonicwalls-recently

Quizás lo  más fácil es actualizar el firwmare.
Publicado por en No hay comentarios:
Etiquetas:
Suscribirse a: Entradas (Atom)