Administracin de Sistemas OperativosI

Laboratorio 9: Asegurando Servidores Windows usando Objetos de

Directivas de Grupos
Alumno: <colocar aqu los apellidos y nombres del alumno>
Objetivos:
Al finalizar el laboratorio el estudiante ser capaz de:

Utilizar GPO para asegurar servidores miembros del dominio.

Auditar el acceso al sistema de archivos.

Auditar los inicios de sesin al dominio.

Configurar las polticas de AppLocker.

Configurar el firewall de Windows.

Seguridad:

Ubicar maletines y/o mochilas en el gabinete al final de aula de Laboratorio o en los casilleros
asignados al estudiante.
No ingresar con lquidos, ni comida al aula de Laboratorio.
Al culminar la sesin de laboratorio apagar correctamente la computadora y la pantalla, y
ordenar las sillas utilizadas.

Equipos y Materiales:

Una computadora con:

Windows 7 o superior
VMware Workstation 10+ o VMware Player 7+
Conexin a la red del laboratorio
Mquinas virtuales:

DVD:
De Windows Server 2012

Gua de Laboratorio

Pg. 1

Administracin de Sistemas OperativosI

Procedimiento:
Nota:

En el siguiente laboratorio se realizarn las siguientes actividades:

Uso del GPO para asegurar los servidores miembros del dominio.
Auditando el acceso al sistema de archivos.
Auditando el inicio de sesin.
Configurando polticas de Applocker.
Configurando polticas del Firewall de Windows.

Escenario
Ha estado trabajando para ACME por muchos aos como especialista de soporte en escritorio. En
este rol, ha visitado computadoras de escritorio para resolver problemas de aplicacin y problemas de
red. Recientemente ha aceptado una promocin para pertenecer al equipo de soporte a servidores.
Como un nuevo miembro del equipo ayudar a implementar y configurar nuevos servidores y
servicios en la infraestructura existente con las instrucciones dadas por su administrador.
Su administrador la ha dado algunos parmetros de seguridad que necesitan ser implementados en
todos los servidores miembros del dominio. Tambin, necesita implementar la auditora para una
carpeta compartida utilizada por el departamento de Marketing. Finalmente, necesita implementar la
auditora para el inicio de sesin al dominio.
Lab Setup
1. Encender la mquina virtual LON-DC01 e iniciar sesin como Administrador del dominio.
2. Encender la mquina virtual LON-SRV01, verificar que es un servidor Miembro del dominio y no
un Controlador del Dominio.
3. Encender la mquina virtual LON-CLI01, verificar que es miembro del dominio.
4. Revisar la existencia de los objetos creados en el laboratorio 3.
tem
Unidad Organizativa
Unidad Organizativa
Unidad Organizativa
Unidad Organizativa
Unidad Organizativa
Unidad Organizativa
Usuario
Usuario
Usuario
Usuario
Usuario
Usuario
Usuario

Gua de Laboratorio

Nombre
Development
Managers
Marketing
Research
Sales
IT
Holy Dickson
Bart Duncan
Ed Meadwos
Connie Vrettos
Barbara Zighetti
Arlene Huff
Aaeren Ekelund

Comentario

Dentro del OU IT
Dentro del OU Development
Dentro del OU Managers
Dentro del OU Marketing
Dentro del OU Research
Dentro del OU Sales
Dentro del OU Sales

Pg. 2

Administracin de Sistemas OperativosI

EJERCICIO 1: Uso del GPO para asegurar los servidores miembros del dominio
Escenario
ACME usa el grupo Administradores de Computadoras para proveer administradores con permisos
para administrar servidores miembros. Como parte del proceso de instalacin para un nuevo servidor,
el grupo Administradores de Computadoras del dominio es agregado al grupo local Administradores
en el nuevo servidor. Recientemente, este paso importante se ha olvidado cuando se han configurado
los nuevos servidores.
Para asegurar que el grupo Administradores de Computadoras siempre tenga permisos para
administrar los servidores miembros, el administrador le ha pedido crear un GPO que defina la
membresa del grupo local Administradores en los servidores miembros para incluir el grupo
Administradores de Computadoras. Este GPO tambin habilitar el modo de aprobacin de
administrador para el UAC (User Account Control)
Las principales tareas para este ejercicio son las siguientes:
Crear un OU para los servidores miembros.
Crear un grupo Administradores de servidores.
Crear un GPO para asegurar los servidores miembros.
Configurar la membresa del grupo local Administradores.
Modificar el GPO creado segn los requerimientos solicitados.
5. Crear un OU para los servidores miembro.
En LON-DC01 abrir la herramienta Usuarios y equipos de Active Directory.
Crear un nuevo OU con el nombre de Member Servers.
Mover los objetos LON-SRV01 y LON-CLI01 del OU Computers al OU Member Servers.
6. Crear un grupo para los administradores de los servidores.
En el OU Member Servers crear un nuevo grupo global de seguridad con el nombre Server
Administrators.
7. Crear un GPO para el OU Member Servers.
En LON-DC01 abrir la herramienta Administracin de directivas de grupo.
En el contenedor Objetos de directiva de grupo crear un nuevo GPO con el nombre
Member Server Security Settings.
En el OU Member Servers vincular el GPO Member Server Security Settings.
8. Configurar el GPO creado para definir la membresa de los grupos de administracin.
En LON-DC01 abrir la herramienta Administracin de directivas de grupo.
Editar el GPO Default Domain Policy.
Expandir Configuracin del equipo -> Directivas -> Configuracin de Windows ->
Configuracin de seguridad -> Grupos restringidos.
Agregar el grupo Server Administrators al grupo Administradores.
Agregar el grupo Admins. del dominio al grupo Administradores.
9. Verificar que el GPO funciona correctamente.
En LON-CLI01 abrir una ventana de comandos y ejecutar el siguiente comando para aplicar
las directivas GPO:
o gpudate /force

Ejecutar el programa Administracin de equipos, en Usuarios y grupos locales ubicar el

grupo Administradores y ver los objetos que son miembros de dicho grupo.
Qu objetos grupo de usuario son miembros del grupo Administradores?

10. Repetir el paso anterior pero en el LON-SRV01 los resultados son iguales o diferentes?

Gua de Laboratorio

Pg. 3

Administracin de Sistemas OperativosI

Entregable 1. Capture la pantalla donde se muestre el resultado de

los pasos 8 y 10.

11. Modificar la configuracin del GPO Member Server Security Settings para evitar que los
usuarios inicien sesin localmente en los servidores.
En LON-DC01 editar el GPO Member Server Security Settings.
Expandir Configuracin del equipo -> Directivas -> Configuracin de Windows ->
Configuracin de seguridad -> Directivas locales -> Asignacin de derechos de
usuario.
Hacer doble clic en la directiva Permitir el inicio de sesin local y configurarla para
conceder este permiso a los grupos Administradores y Admins. del dominio.
Cerrar el editor de directivas.
12. Modificar la configuracin del GPO Member Server Security Settings para habilitar el control de
cuentas de usuario en el modo administrador.
En LON-DC01 editar el GPO Member Server Security Settings.
Expandir Configuracin del equipo -> Directivas -> Configuracin de Windows ->
Configuracin de seguridad -> Directivas locales -> Opciones de seguridad.
Habilitar la directiva Control de cuentas de usuario: Modo de aprobacin de
administrador para la cuenta predefinida Administrador.
Cerrar el editor de directivas.
13. Verificar que un usuario que no pertenece al grupo Administradores no inicia sesin en LONCLI01 o LON-SRV01.
Recuerde reiniciar el servidor para que las directivas (GPO) se apliquen.

Gua de Laboratorio

Pg. 4

Administracin de Sistemas OperativosI

Entregable 2. Capture la pantalla donde se muestre el resultado del

paso 13.

Gua de Laboratorio

Pg. 5

Administracin de Sistemas OperativosI

EJERCICIO 2: Auditando el acceso al sistema de archivos
Escenario
El administrador del departamento de Marketing desea saber quin accede a los archivos que se
encuentran en una carpeta compartida. Su administrador la ha explicado que solo los usuarios con
permisos pueden acceder a dichos archivos. Sin embargo, el administrador del departamento de
Marketing desea conocer quienes acceden a estos archivos.
Su administrador le ha pedido que habilite la auditora para el sistema de archivos que est en la
carpeta compartida del departamento de Marketing, y revisar los resultados con el administrador del
departamento de Marketing.
Las principales tareas para este ejercicio son las siguientes:
Modificar el GPO Member Server Security Settings para habilitar la auditora.
Crear una carpeta compartida.
Habilitar la auditora en la carpeta compartida.
Verificar el funcionamiento de la auditora.
14. Modificar el GPO Member Server Security Settings oara habilitar la auditora de acceso a objetos.
En LON-DC01 editar el GPO Member Server Security Settings.
Expandir Configuracin del equipo -> Directivas -> Configuracin de Windows ->
Configuracin de seguridad -> Directivas locales -> Directiva de auditora.
Habilitar la directiva Auditar el acceso a objetos con ambos intentos: Correcto y Error.
Cerrar el editor de directivas.
15. Crear una carpeta compartida.
En LON-SRV01 crear la carpeta C:\Marketing.
Compartir la carpeta Marketing con los permisos compartido de Leer y Cambiar para el
usuario Adam.
** Verificar que existe el usuario Adam en el dominio acme.com.
16. Habilitar la auditora de la carpeta Marketing para los usuarios del dominio.
En LON-SRV01 ver las propiedades de la carpeta Marketing.
Seleccionar la hoja Seguridad y clic en Opciones avanzadas.
Clic en Auditora y agregar una auditora con los siguientes datos:
o Entidad de seguridad: Usuarios del dominio
o Tipo: Todo
o Se aplica a: Esta carpeta, subcarpetas y archivos.
o Permisos bsicos: Lectura y ejecucin, Mostrar el contenido de la carpeta,
Lectura y Escritura.
o Dejar el resto de propiedades con los valores por defecto.
17. Refresque las directivas aplicadas al servidor.
En LON-SRV01 ejecutar gpupdate /force.
18. Crear un nuevo archivo en el sistema de archivos desde LON-CLI01.
En LON-CLI01 ejecutar gpupdate /force.
Iniciar sesin con la cuenta de Adam.
Abrir la carpeta compartida: \\lon-dc01\marketing y crear un documento tipo texto con el
nombre Employees.
Cerrar sesin.
19. Ver los resultados de la auditora en el visor de eventos.
En LON-SRV01 ejecutar la herramienta Visor de eventos.
Expandir Registro de Windows -> Seguridad.
Hacer clic derecho y hacer clic en Crear vista personalizada y crear una vista que mostrar
los eventos con las siguientes propiedades:

Gua de Laboratorio

Pg. 6

Administracin de Sistemas OperativosI

Entregable 3. Capture la pantalla donde se muestre el resultado del

paso 19.

Gua de Laboratorio

Pg. 7

Administracin de Sistemas OperativosI

EJERCICIO 3: Auditando el inicio de sesin
Escenario
Despus de una revisin de la seguridad, el comit de directivas de TI ha decidido realizar el
seguimiento al inicio de sesin de todos los usuarios del dominio. Su administrador le ha pedido
habilitar la auditora del inicio de sesin y verificar su funcionamiento.
Las principales tareas para este ejercicio son las siguientes:
Modificar el GPO Default Domain Policy.
Verificar el funcionamiento del GPO.
20. Modificar el GPO Default Domain Policy.
En LON-DC01 editar el GPO Default Domain Policiy.
Expandir Configuracin del equipo -> Directivas -> Configuracin de Windows ->
Configuracin de seguridad -> Directivas locales -> Directiva de auditora.
Habilitar la directiva Auditar eventos de inicio de sesin con ambos intentos: Correcto y
Error.
Cerrar el editor de directivas.
21. Refresque las directivas aplicadas al miembro del dominio.
En LON-CLI01 como Administrador ejecutar gpupdate /force.
22. En LON-CLI01 intente iniciar sesin con la cuenta de usuario Adam pero con la contrasea
errnea.
23. En LON-CLI01 intente iniciar sesin con una cuenta de usuario inexistente.
24. En LON-CLI01 iniciar sesin con una cuenta de usuario Adam y la contrasea correcta.
25. Revisar los eventos de los inicios de sesin errneos.
En LON-DC01 ejecutar la herramienta Visor de eventos.
Expandir Registro de Windows -> Seguridad.
Crear una vista personalizada que mostrar los eventos con el ID 4771.
26. Revisar los eventos de los inicios de sesin correctos.
En LON-DC01 ejecutar la herramienta Visor de eventos.
Expandir Registro de Windows -> Seguridad.
Crear una vista personalizada que mostrar los eventos con el ID 4624.
Entregable 4. Capture la pantalla donde se muestre el resultado del
paso 26.

Gua de Laboratorio

Pg. 8

Administracin de Sistemas OperativosI

EJERCICIO 4: Configurando polticas de Applocker
Escenario
Su administrador le ha pedido configurar nuevas polticas de Applocker para controlar el uso de
aplicaciones en los escritorios de los usuarios. La nueva configuracin debe permitir a los programas
ejecutarse solo desde ubicaciones aprobadas. Todos los usuarios deben ejecutar aplicaciones
ubicadas en las carpeta c:\windows y c:\Program Files.
Tambin necesita agregar una excepcin para ejecutar una aplicacin desarrollada por terceros y que
reside en una ubicacin no estndar, El primer paso de la implementacin registrar el cumplimiento
de las reglas. El segundo paso ser el de evitar la ejecucin de aplicaciones no autorizadas.
Las principales tareas para este ejercicio son las siguientes:
Crear un OU para las computadoras cliente.
Crear un GPO para controlar el software.
Verificar el funcionamiento del GPO.
27. Crear un OU para las computadoras cliente.
En LON-DC01 crear el OU Client Computers.
28. Mover el equipo LON-CLI01 al OU recin creado.
29. Crear un GPO con el nombre Software Control y vincularlo al OU Client Computers.
30. Editar el GPO creado y definir las reglas predeterminadas del AppLocker.
En LON-DC01 editar el GPO Software Control.

Expandir Configuracin del equipo -> Directivas -> Configuracin de Windows ->
Configuracin de seguridad -> Directivas de control de aplicaciones -> AppLocker ->
Reglas ejecutables.
Clic derecho en Reglas ejecutables y luego clic Crear reglas predeterminadas.
Repetir lo anterior para crear las reglas predeterminadas de Reglas de Windows Installer,
Reglas de scripts y Reglas de aplicaciones empaquetadas.
31. Configurar la regla de aplicacin con la opcin de auditora para conocer su impacto antes de
aplicarla.
En LON-DC01 editar el GPO Software Control.
Expandir Configuracin del equipo -> Directivas -> Configuracin de Windows ->
Configuracin de seguridad -> Directivas de control de aplicaciones -> AppLocker.
En la ventana central hacer clic en Configurar la aplicacin de reglas.
En Reglas de ejecutables colocar un check en Configurado y seleccionar Solo auditora.
Repetir lo anterior para Reglas de Windows Installer, Reglas de scripts y Reglas de
aplicaciones empaquetadas.

Expandir Configuracin del equipo -> Directivas -> Configuracin de Windows ->
Configuracin de seguridad -> Servicios del sistema.
Hacer doble clic en Identidad de aplicacin y definir que el inicio del servicio ser
Automtico.
Cerrar el editor de directivas.

32. Vincular el GPO Software Control al OU Client Computers.

33. En LON-CLI01 iniciar como Administrador y ejecutar gpupdate /force para refrescar las
directivas definidas previamente.
34. Copiar el ejecutable cmd.exe a una carpeta personalizada y ejecutarla.
En LON-CLI01 crear la carpeta c:\CustomApp
Copiar desde c:\Windows\system32 el archivo cmd.exe a la carpeta c:\CustomApp.
Ejecutar el programa cmd.exe de la carpeta c:\CustomApp.

Gua de Laboratorio

Pg. 9

Administracin de Sistemas OperativosI

35. Visualizar los eventos registrados por AppLocker.

En LON-CLI01 ejecutar la herramienta Visor de eventos.
Expandir Registros de aplicaciones -> Microsoft -> Windows -> AppLocker -> EXE y
DLL.
En la ventana central ubique el evento del tipo Advertencia con el ID 8003.
Qu mensaje muestra?

Entregable 5. Capture la pantalla donde se muestre el resultado del

paso 35.
36. Agregar una regla que permita la ejecucin de los programas que se encuentran en la carpeta
CustomApp.
En LON-DC01 editar el GPO Software Control.
Expandir Configuracin del equipo -> Directivas -> Configuracin de Windows ->
Configuracin de seguridad -> Directivas de control de aplicaciones -> AppLocker.
Clic derecho en Reglas de ejecutables luego clic en Crear nueva regla, crear la regla con
los siguientes parmetros:
o Accin: Permitir
o Usuario o grupo: Todos
o Tipo de condicin: Ruta de acceso
o Ruta de acceso: c:\CustomApp
o Excepciones: No tiene excepciones
Cerrar el editor de directivas.
37. Configurar la regla de aplicacin con la opcin de aplicar reglas para conocer su funcionamiento.
En LON-DC01 editar el GPO Software Control.
Expandir Configuracin del equipo -> Directivas -> Configuracin de Windows ->
Configuracin de seguridad -> Directivas de control de aplicaciones -> AppLocker.
En la ventana central hacer clic en Configurar la aplicacin de reglas.
En Reglas de ejecutables colocar un check en Configurado y seleccionar Aplicar regla.
Repetir lo anterior para Reglas de Windows Installer, Reglas de scripts y Reglas de
aplicaciones empaquetadas.
Cerrar el editor de directivas.
38. En LON-CLI01 iniciar como Administrador y ejecutar gpupdate /force para refrescar las
directivas definidas previamente.
39. En LON-CLI01 ejecutar el programa cmd.exe de la carpeta c:\CustomApp se ejecuta el
programa?
Entregable 6. Capture la pantalla donde se muestre el resultado del
paso 39.
40. Qu suceder si crea una carpeta c:\Prohibo y copia el programa cmd.exe en ella, se ejecutar
o no? por qu ocurre esto?

Entregable 7. Capture la pantalla donde se muestre el resultado del

paso 40.

Gua de Laboratorio

Pg. 10

Administracin de Sistemas OperativosI

EJERCICIO 5: Configurando polticas del Firewall de Windows
Escenario
Su administrador le ha pedido configurar las reglas de Firewall de Windows para un conjunto de
nuevas aplicaciones en los servidores. Estas aplicaciones tienen una aplicacin web que utiliza un
puerto no estndar. Usted necesita configurar el Firewall de Windows para permitir la comunicacin a
travs de este puerto. Usted utilizar el filtrado de seguridad para asegurase que las nuevas reglas se
apliquen solo a las nuevas aplicaciones de los servidores.
Las principales tareas para este ejercicio son las siguientes:
Crear un grupo para los servidores que ejecutarn las aplicaciones.
Crear un GPO para estos servidores.
Configurar el GPO para configurar las reglas del Firewall de Windows.
Verificar el funcionamiento.
41. Crear un grupo para los servidores de aplicaciones.
En LON-DC01 crear el grupo global de seguridad Application Servers en el OU Member
Servers.
Agregar el servidor LON-SRV01 al grupo Application Servers.
42. Crear el GPO con el nombre Application Servers Firewall y vincularlo al OU Member Servers.
43. Editar el GPO Application Servers Firewall y configurar las reglas del Firewall.
En LON-DC01 editar el GPO Application Servers Firewall.
Expandir Configuracin del equipo -> Directivas -> Configuracin de Windows ->
Configuracin de seguridad -> Firewall de Windows con seguridad avanzada -> Firewall
de Windows con seguridad avanzada LDAP://CN={GUID}.
En Reglas de entrada crear una nueva regla con los siguientes parmetros:
o Tipo de regla: Personalizada
o Programa: Todos los programas
o Tipo de protocolo: TCP
o Puerto local: Puertos especficos -> 8080
o mbito: Cualquier direccin IP
o Accin: Permitir la conexin
o Perfil: Solo Dominio, no Privado ni Pblico.
o Nombre: Regla para Firewall

Cerrar el editor de directivas.

44. Limitar para que el GPO Application Servers Firewall solo se aplique al grupo Application
Server.
En LON-DC01 expandir el OU Member Servers y hacer clic en el GPO Application Servers
Firewall.
En el panel Filtrado de seguridad quitar todas las asignaciones y agregar el grupo
Application Servers.
45. En LON-SRV01 iniciar como Administrador y ejecutar gpupdate /force para refrescar las
directivas definidas previamente.
Reiniciar el servidor e iniciar sesin como Administrador.
46. En LON-SRV01 verificar que las reglas de Firewall se han aplicado.
En LON-SRV01 ejecutar la herramienta Firewall de Windows con seguridad avanzada.
Verificar que se ha creado la regla: Regla para Firewall.
Puede editar esta regla?
Entregable 8. Capture la pantalla donde se muestre el resultado del
paso 46.
Gua de Laboratorio

Pg. 11

Administracin de Sistemas OperativosI

47. Al finalizar el laboratorio, en el LON-DC01 deshacer los cambios realizados en el paso 5, es decir
volver los objetos equipo al OU en donde se encontraban antes del inicio del laboratorio.

Conclusiones:
Indicar las conclusiones que lleg despus de los temas tratados de manera prctica en este
laboratorio.

Gua de Laboratorio

Pg. 12