Documente Academic
Documente Profesional
Documente Cultură
[1.2] Windows 7
[1.3] Windows 8
[1.4] Windows 10
1
TEMA
Sistemas Windows
Esquema
TEMA 1 – Esquema
Sistema operativo creado por Siguiente sistema operativo estable Introducción:
Microsoft de carácter comercial de Windows • Características principales
• Comparativa Windows Server
2008 y Windows Server 2012
Mejoras de seguridad respecto a
Mecanismos de protección: Windows 7: Windows 2008
• UAC • Microsoft Defender
2
• Reproducción automática • Protección de arranque Windows 2012:
• WBF • IE10 • Instalación
• BitLocker • SmartScreen • Active Directory
• AppLocker • Protección infantil • Controlador de dominio
• Firewall de Windows • Políticas de seguridad
• Generación de claves a través
• DirectAccess • Firewall de Windows Server
de imágenes • Copias de seguridad
• VeraCrypt • Mecanismo de prevención de • Auditoría de Windows Server
• PowerShell ejecución de código
• Latch
Seguridad en Sistemas Operativos
Seguridad en Sistemas Operativos
Ideas clave
Para estudiar este tema lee las Ideas clave. Además deberás estudiar las siguientes
páginas disponibles en el aula virtual, bajo licencia CEDRO:
Jimeno, M.T., Caballero, M.A. y Míguez, C. (2008). La Biblia del Hacker (pp. 461-469).
Madrid: Anaya.
En este tema vamos a analizar la seguridad de los sistemas operativos Windows, tanto
los sistemas personales como Windows 7,Windows 8 y Windows 10, como los sistemas
servidor Windows Server 2008 y Windows Server 2012.
Microsoft Defender
SmartScreen
Interfaz METRO con Sandbox…
También se verán las novedades del sistema Windows 10 presentado en 2015 frente a
este anterior.
A continuación, veremos uno a uno ambos sistemas. En primer lugar, Windows Server
2008, con una pequeña introducción a sus características destacadas de seguridad. En
segundo término, Windows Server 2012, con una guía de instalación paso a paso, una
descripción de sus principales utilidades, así como una explicación y recomendaciones
para configurar todas estas utilidades. Algunas de ellas son:
Active Directory
Directivas de seguridad local
Creación de usuarios y políticas de seguridad…
Copias de seguridad
1.2. Windows 7
Siempre conviene tener dos usuarios, uno que sea el Administrador (con todos los
permisos) y otro que sea un usuario llano con los permisos mínimos.
Podemos acceder a dicha función accediendo a Panel del control > Cuentas de Usuario
> Cambiar la configuración de Control de cuentas de usuario. Nos aparecerá esta
ventana:
En esta figura podemos comprobar que en el UAC existen cuatro niveles, en los que
tenemos: el primer nivel, con el que se evitan las notificaciones, esta es la configuración
menos deseada. En un nivel superior nos notifica cuando alguna acción intenta cambiar
algo en el equipo. En el tercer nivel tenemos el nivel «predeterminado» que es el que nos
notifica cuando algún programa intenta realizar cambios en el equipo. Y por último
tenemos el nivel más seguro ya que nos notifica siempre.
Para abrir «reproducción automática» tenemos que ir a Inicio > Panel de control >
Hardware y Sonido > Reproducción automática siguiendo las ilustraciones siguientes:
1. Panel de Control:
BitLocker: si hablamos de cifrado de datos, esta herramienta nos permite cifrar los
datos de cualquier disco duro evitando accesos indeseados. Además, cuando vamos a
guardar algún archivo en una unidad en la que tenemos el BitLocker activo, dicho archivo
es cifrado automáticamente.
Según el ámbito de aplicación de BitLocker tenemos dos tipos, en función del tipo de
unidad a cifrar:
Cifrado en unidad de sistema: este tipo es con el que ciframos la unidad principal
del sistema. Cuando ciframos la unidad principal automáticamente se nos crea una
partición en dicho disco de 200 MB, en donde se aloja la consola de recuperación.
Dicha partición no aparece en el listado de particiones y además va sin cifrar y será la
que nos permita acceder y recuperar los archivos que tengamos en la unidad principal.
o Para poder recuperar los archivos deberemos escribir la contraseña de desbloqueo
que contiene el archivo de recuperación. Dicho archivo se crea durante el proceso
de cifrado de la unidad y puede ser almacenado en 3 lugares distintos:
- En el disco duro.
- En una unidad USB.
- En un chip, incluido en los sistemas más modernos incluido el llamado TPM. El
TPM, por sus siglas del inglés Trusted Platform Module, contiene una clave RSA
única, grabada en un chip durante el proceso de fabricación.
BitLocker to go: es una variante del BitLocker para unidades extraíbles. Es importante
el cifrado de estas unidades ya que debido a su reducido tamaño pueden ser extraídas
fácilmente.
Utilización:
Dicha herramienta es flexible y simple para que los administradores del equipo
especifiquen exactamente qué se puede ejecutar en el entorno de escritorio. Con esta
herramienta podemos:
Prevenir que el software sin ningún tipo de licencia pueda ser ejecutado si no está en
una lista blanca de software permitido.
Prevenir y tener la posibilidad de denegar la ejecución de aplicaciones que no están
en la lista de permitidas y que además puedan contener malware.
Denegar que los usuarios de dicho entorno ejecuten aplicaciones que consuman un
gran ancho de banda innecesario o que afecten a dicho entorno de escritorio y que
aumenten el costo de soporte y mantenimiento.
Permitir la ejecución de aplicaciones y actualizaciones permitidas por parte de dichos
usuarios y que solo los administradores puedan instalar y ejecutar dichos programas
o actualizaciones.
Para acceder a esta herramienta tenemos que seguir los pasos siguientes:
3. Pulsamos sobre cualquier opción del AppLocker y nos dirigimos a Acción > Crear
nueva regla, según la imagen:
4. En la ventana siguiente podemos ver las diferentes opciones que nos ofrece dicha
herramienta:
5. Podemos elegir en la pestaña de Permisos a qué usuario o grupo de ellos queremos que
afecte la regla que vamos a añadir:
2. Perfil privado: se aplica cuando el ordenador está dentro de una red privada,
como pueden ser las redes domésticas o las de trabajo. El comportamiento de la
misma suele ser permisivo ya que la red se puede considerar «segura».
3. Perfil público: este perfil se recomienda usar en ambientes poco seguros como
pueden ser las redes públicas (cafeterías, hoteles…). Dado que se utiliza en dichos
ámbitos, las reglas que se usan suelen ser muy restrictivas.
Interfaz Avanzada: esta nos permite editar las opciones que nos brinda el Firewall
de Windows, en ella podemos modificar y aplicar restricciones por usuario, por grupo,
por interfaz de red.
DirectAccess: esta tecnología permite crear conexiones remotas utilizando VPN entre
los equipos que estén conectados en una misma red. Dichas conexiones sirven para
utilizar aplicaciones o acceder a los datos de un entorno corporativo de forma
transparente y segura. También podemos acceder a entornos que no estén conectados a
la misma red, en lo que se introducen mejoras en la seguridad al permitir la gestión de
dichos equipos con el fin de mantenerlos actualizados y obligando a seguir la política de
seguridad de la red corporativa.
PowerShell: es una consola de comandos que viene por defecto en Windows, a partir
de Windows Vista. Esta consola está diseñada para la administración avanzada del
sistema, pues es mucho más potente que la consola por defecto (cmd). Nos permite
interactuar tanto con el sistema operativo, como con programas de Microsoft como IIS,
SQL Server o Exchange, y además permite la ejecución de scripts para automatizar
tareas. El lenguaje que utiliza es similar a Perl.
Mediante los scripts, esta herramienta no solo se puede utilizar para la administración
del sistema, si no que se puede utilizar para comprometerlo.
Get-ExecutionPolicy
Para cambiar la política de ejecución, solo si tenemos permisos, si no, será necesario
modificar los privilegios de los registros, usaremos:
Set-ExecutionPolicy “nombre_de_la_política”
Figura 25: Consulta e intento de modificar la política de ejecución (no hay permisos sobre el registro)
Pese a estas protecciones, hay múltiples formas para saltarse estas políticas y ejecutar
scripts en una PowerShell, el bypass más sencillo por ejemplo será copiar y pegar el
código del script en la terminal. Por ello, si el atacante tiene acceso directo a la máquina
no se puede hacer mucho para evitar un ataque. Es aconsejable el uso de contraseñas de
inicio de sesión, bloqueo de aplicaciones con un segundo factor de autenticación…
1.3. Windows 8
Windows 8.1 ofrece una serie de mejoras frente a su versión anterior. Con respecto a la
seguridad se destacan:
Microsoft Defender
Windows Defender ofrece dos maneras de evitar que el spyware infecte el equipo:
Escaneado de opciones. Puede usar Windows Defender para buscar spyware que
podría ser instalado en su ordenador, para programar los análisis de forma regular, y
para eliminar automáticamente cualquier cosa que se detecte durante un examen.
Para acceder y configurar el Microsoft Defender tenemos que seguir los pasos siguientes:
Una vez accedido a la ventana principal de Microsoft Defender podemos navegar por las
pestañas para configurarlo a nuestro gusto.
1. Una vez encendido el equipo, cada una de las bases de datos de firmas se comprueba
con la PK.
2. Si no se confía en el software, el firmware UEFI debe iniciar la recuperación específica
del OEM para restaurar el software de confianza.
3. Si se produce un problema en la Administración de arranque de Windows, el firmware
trata de arrancar una copia de seguridad de esta aplicación. Si también se produce un
error al hacerlo, el firmware debe iniciar la corrección específica del OEM.
4. Una vez que la Administración de arranque de Windows se encuentra en ejecución, si
se produce un problema con los controladores o el kernel de NTOS, se carga el Entorno
de recuperación de Windows (Windows RE) para que se puedan recuperar estos
controladores o la imagen de kernel.
5. Windows carga el software antimalware.
6. Windows carga otros controladores de kernel e inicializa los procesos de modo
usuario.
Para acceder a la navegación segura de IE10 tenemos que ir a Icono de Herramientas ->
Seguridad -> Exploración inPrivate, así se nos abrirá una nueva ventana donde
podremos navegar en modo privado.
SmartScreen
En esta versión de Windows 8 ha sido añadida una nueva capa de seguridad que se basa
en el filtro de SmartScreen de Internet Explorer. Es un filtro de phishing y de malware,
implementado en varios productos de Microsoft, incluyendo Internet Explorer 8,
Hotmail...El sistema está diseñado para ayudar a proteger a los usuarios contra ataques
que utilizan la ingeniería social y las descargas alternativas para infectar un sistema
mediante el escaneo de las URL a las que accede un usuario utilizando una lista negra de
sitios web que contienen amenazas conocidas.
Una vez creado el usuario de prueba, accedemos al panel de control y pulsamos sobre
Configurar Protección Infantil y se nos abrirá la ventana de configuración de la cuenta.
Si además permitimos los «multigestos», es decir concatenar diferentes gestos para crear
una única contraseña, las combinaciones posibles se disparan incluso para una cantidad
de «gestos» relativamente bajos.
Para acceder a esta herramienta en Windows 8.1 tenemos que seguir los pasos:
1. Panel de control.
2. Cuentas de usuario y protección infantil.
3. Cuentas de usuario.
4. Seleccionamos nuestra cuenta y le damos a Realizar cambios en mi cuenta en
Configuración, tal y como se muestra en la imagen:
Una vez accedamos, seguiremos las instrucciones que nos pide el asistente.
Se han implementado nuevas medidas para evitar que un fallo en una aplicación haga
que se expanda al sistema operativo, y se han mejorado diferentes mecanismos para
prevenir la ejecución maliciosa de código:
Interfaz METRO que incluye una Sandbox para ejecución segura de aplicaciones.
En Windows 8.1 veremos que ha cambiado el icono de inicio con respecto a su
antecesor, este incorpora un nuevo diseño, conocido como metro o modern UI. Este
está formado por pequeños mosaicos cuadrados y rectangulares que representan
programas, podemos decir que es la pantalla principal de Windows 8.1. Podemos ver
un ejemplo de este diseño en la siguiente imagen:
o DEP forzada por hardware, para CPUs que pueden marcar las páginas de memoria
como ejecutable y no ejecutable.
o DEP forzada por software, no protege contra la ejecución de código en las páginas
de datos, pero protege que se sobrescriban los manejadores de excepciones SEH,
otro tipo de ataque.
Podemos acceder a esta herramienta pulsando Control + alt + sup o Control + shift
+ Esc:
Latch en Windows
Es un plugin gratuito que se puede usar en Windows XP, Windows Vista, Windows 7,
Windows 8 y Windows 8.1 para bloquear el acceso o no a tus cuentas desde la aplicación
de Latch.
1. Para ello, primero necesitas haberte creado una cuenta de Latch como desarrollador.
Podemos crearnos una cuenta en la página de: https://latch.elevenpaths.com/
2. Ahora procedemos a configurar el Latch para Windows, en primer lugar nos vamos a
configurar el AppID y el Secret de Latch para Windows. Para ello, en Latch para Windows
deberíamos ir al botón de Configuración de Latch y rellenar los campos con los valores
de la aplicación que te hayas creado en la web.
3. Tendremos que dar de alta para parear el usuario. Este proceso es similar al de pareado
de siempre, solo que a la hora de configurar el comportamiento de Latch tienes que tener
en cuenta que hay un comportamiento que debes tener presente.
1.4. Windows 10
Windows 10 apareció en 2015 con ciertas diferencias respecto a Windows 8.1, las más
destacadas fueron el menú de inicio, el asistente de voz y el nuevo navegador.
Con respecto a la seguridad podemos destacar:
Privacidad
En Windows 10 hay una serie de opciones y configuraciones que por defecto comparten
dicha información, vulnerando en parte la privacidad del usuario.
Microsoft Edge
Otra de las novedades con las que cuentas Windows 10 es el navegador por defecto,
Microsoft Edge. Este navegador, al igual que Internet Explorer, trabaja dentro de una
Sandbox y posee filtros SmartScreen, pero además tiene ciertas mejoras de seguridad
con respecto a su antecesor.
Es un navegador de 64 bits y utiliza ASLR para prevenir ataques, pero además posee una
nueva característica llamada Control Flow Guard (CFG). CFG permite a los programas
combatir las vulnerabilidades de corrupción de memoria, como los desbordamientos de
buffer o del heap. Para ello realiza una comprobación antes de saltar a las diferentes
direcciones de memoria, y dependiendo de si tiene permiso o no para saltar a ella,
continuará su ejecución o no. Esta característica hace más difícil la creación de exploits
y es un complemento más al ASLR visto anteriormente, a DEP o a la Stack Cookie.
Mejoras de cifrado
El segundo mecanismo es para cifrar archivos y carpetas. Si hacemos clic derecho en una
carpeta o archivo y seleccionamos opciones avanzadas nos da la opción de cifrar el
contenido.
En el caso de elegir una carpeta nos dará la opción de cifrar solo esa carpeta o también
de cifrar todas las subcarpetas y archivos. En el caso de ser un archivo, nos dará la opción
de cifrar solo el contenido del archivo o toda la carpeta que lo contenga.
Para esta segunda característica es posible hacer clic derecho en un archivo y seleccionar
la opción de “Digitalizar con Windows Defender”.
Para estudiar este punto con más detalle, se deberá leer las páginas:
Jimeno, M.T., Caballero, M.A. y Míguez, C. (2008). La Biblia del Hacker (pp. 461-469).
Madrid: Anaya.
Servidor de DHCP.
Servidor de aplicaciones.
Servidor de DNS.
Controlador de dominio.
Servidor de archivos, correo, impresión, multimedia, terminal server.
Servidor de Wins.
Cabe destacar que a día de hoy existen diferentes versiones de Windows Server:
Cada una de ellas tiene diferentes versiones en base a las características y servicios que
necesitemos:
Standard.
Enterprise.
Datacenter o Web.
5. Modos de ejecución: son los distintos niveles de permisos y privilegios que nos
ofrece esta suite de Microsoft.
No solo permite interactuar con el sistema operativo, sino también con programas
como:
1. SQL Server
2. Exchange
3. IIS
Antes de centrarnos en los dos últimos tipos de Windows Server, 2008 y 2012, veremos
una pequeña comparativa de las características que incluyen cada uno de ellos.
Vamos a ver como con cada nueva versión se amplían el número de funcionalidades de
seguridad y de mecanismos de protección.
Just-in-Time Administration
Credential Guard
Device Guard
AppLocker
Windows Defender
Detección de amenazas ✓
mejorada
Windows Server Windows Windows Server
Procesamiento
2008 R2 Server 2012 2016
Actualización gradual del
sistema operativo del clúster
Cargas de trabajo de Linux y
FreeBSD
Agregar y quitar disco,
memoria y red en caliente
GPU virtual de RemoteFX de
RDS
Herramientas de
administración de servidores
Opción de instalación de
Nano Server
Equilibrio de carga de
máquina virtual
Windows Server Windows Windows Server
Redes
2008 R2 Server 2012 2016
Controladora de red
Microsegmentación
Equilibrador de carga de
software
Windows Server Windows Windows Server
Almacenamiento
2008 R2 Server 2012 2016
Espacios de almacenamiento
directo
Calidad de servicio de
almacenamiento
Desduplicación de datos
Réplica de almacenamiento
Seguimiento de estado de
almacenamiento
Soporte para dispositivos
NVMe de alto rendimiento
Memoria persistente para
máximo rendimiento de las
aplicaciones
Servidor de archivos de
escalabilidad horizontal
Resistencia de
almacenamiento de
máquinas virtuales
Plataforma de aplicaciones Windows Server Windows Windows Server
preparada para la nube 2008 R2 Server 2012 2016
Contenedores de Windows
Server
Contenedores Hyper-V
Configuración de estado
deseada de Windows
PowerShell
Windows PowerShell 5.1
Información: https://www.microsoft.com/es-xl/cloud-platform/windows-server-
comparison
Una descripción detallada de cada una de las características analizadas puede ser
encontrada en Technical Feature Comparison Guide Windows Server 2016, Windows
Server 2012 R2, and Windows Server 2008 R2
Windows Server 2012 posee una serie de mejoras a la hora de realizar una auditoría sobre
versiones anteriores de Windows y que han sido mantenidas en Windows Server 2016.
Directivas de auditoría
✖ ✓
basadas en expresiones
Auditoría de acceso a
✓ ✓
archivos
Auditoría de dispositivos de
✖ ✓
almacenamiento extraíbles
Información: http://www.windowstecnico.com/archive/2012/07/25/auditor-237-a-de-
seguridad-en-windows-server-2012.aspx
Conceptos previos
En esta edición de Windows Server, conviene diferenciar entre dos métodos de ejecución
distintos, diferenciados entre sí por los permisos y privilegios que disponen los
componentes del sistema. Estos modos de ejecución son:
1. Kernel Mode: es el modo que emplea el Sistema Operativo con más privilegios de
administración. Puede acceder a todas las funciones del núcleo (kernel) del sistema.
Sin embargo, aunque sea muy sencillo, rápido e intuitivo su manejo resulta
excesivamente vulnerable frente a cualquier tipo de ataque, puesto que este tipo de
actuaciones están encaminadas a hacerse con el control total del sistema operativo.
2. User Mode: es el modo empleado por los usuarios con menos privilegios de
administración (con diferencia del Kernel Mode, que es justo lo contrario). Los
ataques en este modo consisten en adquirir en algún momento los permisos de
administrador. El administrador tiene acceso a la modificación de los parámetros del
sistema, al igual que sucede con el primer modo enumerado (kernel mode), pero
nunca llega a poseer los mismos privilegios.
Cuando hablamos de seguridad dentro de Windows Server, tenemos que hacer referencia
a que consta de múltiples capas y se apoya en varios mecanismos y retos que se enfrentan
a todos los posibles intrusos. El concepto fundamental que no debemos olvidar es que
únicamente debemos permitir el acceso autenticado a recursos, a través del protocolo
de autentificación por desafío mutuo.
1. Nombre de usuario.
2. Contraseña.
Estándar: permite que los usuarios remotos tengan acceso a recursos de red como
archivos, carpetas y unidades.
Público: consiste en copiar o bien trasladar los archivos a la carpeta pública. También
es posible configurar Windows Server 2008 para que trabaje con NFS, un sistema de
compartición de carpetas locales en volúmenes NTFS a través del explorador de
Windows.
Seguridad
En nuestro caso, instalaremos la segunda opción, que incluye el servidor con un entorno
gráfico.
Una vez se haya acabado la instalación, el sistema arrancará y nos pedirá que insertemos
un usuario y una contraseña, lo llevamos a cabo y pulsamos en siguiente.
Tras esta acción comenzará el primer arranque de nuestro Windows Server 2012:
Nota: la primera vez que accedamos al sistema, será necesario cambiar la contraseña de
administrador.
Finalmente iniciaremos sesión con nuestra cuenta de administrador, para poder llevar a
cabo las configuraciones de nuestro servidor.
Recordatorio de credenciales
Conceptos previos
Para poder cumplir adecuadamente con la organización de las diversas tareas que se
pueden ejecutar en el servidor, hay que tener en cuenta que existen dos grupos
fundamentales:
Roles: son empleados para definir una funcionalidad específica de un servidor, como
pueda ser un servidor: Web, DNS, DHCP, etc.
Características: son componentes autónomos de los roles pero que pueden servir
de apoyo a algunos de los roles instalados.
Active Directory
Agregamos las características y nos aparece el siguiente menú, que corresponde a los
componentes que deseamos instalar en nuestro servidor.
Controlador de Dominio
Una vez hemos llevado a cabo la instalación de nuestro Active Directory, el siguiente paso
corresponde a la configuración del controlador del dominio. Para ello iremos al
Administrador del servidor y lo configuraremos:
Los datos que emplearemos a lo largo del resto de la instalación serán los siguientes:
#
# Script de Windows PowerShell para implementación de AD DS
#
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDnsDelegation: $false `
-DatabasePath “C:\Windows\NTDS” `
-DomainMode “Win2012R2” `
-DomainName “laboratorio.test” `
-DomainNetbiosName “LABORATORIO” `
-ForestMode “Win2012R2” `
-InstallDns: $true `
-LogPath “C:\Windows\NTDS” `
-NoRebootOnCompletion: $false `
-SysvolPath “C:\Windows\SYSVOL” `
-Force: $true
El siguiente paso es indicar las rutas de acceso, se indicarán las de por defecto:
En el siguiente paso nos aparecerá la opción de revisar las opciones que hemos
configurado, aparece también una opción denominada: “Ver Script” este tiene que
coincidir con el descrito anteriormente debajo de la Figura 62: Configuración de
controlador de dominio.
Una vez se ha verificado que todo está correcto, pulsaremos en siguiente y nos aparecerá
una comprobación de que cumplimos los pre-requisitos para que pueda llevarse a cabo
la instalación:
Aquí, dependiendo de los datos en cada caso, habría que emplear la herramienta: Tool
dns y configurar los parámetros correspondientes tales como:
Registro A
Zona Inversa
Creación de registro PTR enlazado con el servidor
Etc.
Ventajas:
- Su cifrado es simple, se realiza activando una casilla en las propiedades del
archivo en concreto.
- El usuario controla en todo momento quién puede leer los archivos.
- Los archivos se cifran una vez son cerrados, pero cuando el usuario los abre
quedan automáticamente listos para su uso.
- Si en algún momento el usuario decide no cifrarlo, puede hacerlo desactivando
la casilla que permite esto en propiedades.
Inconvenientes:
- EFS no es totalmente compatible con:
• Windows Vista y 7 Starter.
• Windows Vista y 7 Home Basic
• Windows Vista y 7 Home Premium.
o Protección de datos.
o Cifrado de unidad Bitlocker.
En ese listado aparecen todos los usuarios, así como grupos del Active Directory. Desde
él podemos modificar las propiedades que consideremos convenientes de cada uno de
ellos.
Nota: otra posibilidad, sería crear un contenedor de usuarios nuevo (que cuelgue desde
laboratorio, test) y dentro de este contenedor los usuarios que considere el administrador
oportunos.
Marcamos la primera opción, para forzar a que el usuario escoja y cambie su contraseña
la primera vez que se conecte.
Por otro lado, el administrador podrá añadir otras opciones de configuración para la
contraseña del usuario, tal y como figura en la imagen anterior.
Pulsamos en siguiente y nos aparecerá el resumen final del usuario creado:
Usuario1
Usuario2
Usuario3
Otra opción disponible es asignar los usuarios creados anteriormente al grupo: Unir.
En la pestaña miembros, podemos agregar los diferentes usuarios que queremos que
pertenezcan a ese grupo:
Para ello, pulsamos en cualquier usuario con botón derecho: Propiedades, tomando
como ejemplo el de la Figura 77: Añadiendo usuarios a un grupo, solo que en vez de ser
para grupos, es para usuarios.
Para seleccionar una hora en particular, solo habrá que hacer clic sobre la celda que
la representa.
Si lo que queremos seleccionar es una franja horaria, bastará con hacer clic en una de
las celdas que ocupen una esquina en el rango y, sin soltar el botón izquierdo del ratón,
arrastrar hasta la esquina opuesta (es decir, en diagonal).
Para seleccionar todas las horas de un determinado día, podemos hacer clic sobre el
botón que contiene el nombre del día (por ejemplo, lunes).
Para seleccionar todas las horas de varios días consecutivos (por ejemplo viernes y
sábado), procederemos como en el punto anterior, seleccionando el primero (o el
último) de los días, pero en lugar de soltar el botón izquierdo del ratón, lo
mantendremos pulsado mientras arrastramos el puntero hasta el botón que
representa el otro extremo del intervalo.
Para seleccionar toda la matriz a la vez, podemos hacer clic sobre el botón Todo.
Para seleccionar una determinada hora, pero en todos los días de la semana, hacemos
clic en el pequeño botón sin título que hay bajo el número que identifica la hora (si la
hora es par) o bajo el punto correspondiente (si es impar), ya que, como se puede ver,
solo están numeradas las horas pares.
Si queremos elegir un grupo de horas consecutivas para todos los días, procederemos
como en el punto anterior, seleccionando la hora que indique el principio o el final del
intervalo, pero en lugar de soltar el botón izquierdo del ratón, lo mantendremos
pulsado mientras arrastramos el puntero hasta el botón que representa el otro
extremo del intervalo.
Otra medida interesante es limitar en que equipo/s puede iniciar el usuario sesión. Para
llevar a cabo esa configuración pulsamos en el botón «Iniciar sesión en»:
En esta sección podemos configurar a que equipo/s se puede conectar el usuario aplicado
con el rango de horario explicado en el punto anterior. De esa manera filtramos el
número de equipo/s al que el cliente puede conectarse y delimitamos un rango de
horario.
Podemos también limitar la cuota de disco/s que tengamos en las propiedades de este:
Cabe destacar que dentro de esta nueva versión del sistema operativo de Microsoft, se
pueden modificar las directivas que consideremos convenientes, esto ha cambiado
respecto a la versión de 2008.
Compartición de Carpetas
Este tipo de utilidad ha sido la mayoría de las veces una tarea casi diaria y fundamental
en todas las organizaciones y/o empresas.
Para poder hacer uso de esta característica lo primero que debemos hacer es seleccionar
la carpeta que queramos compartir:
Otra opción es como se realizó en la Figura 54: Administración del servidor (agregar
roles y características).
En el siguiente paso se dispone de dos tipos de recursos compartidas, cada uno de ellos
con sus respectivas opciones:
Para establecer una ruta para el recurso tenemos dos opciones posibles:
Seleccionamos una unidad del equipo, donde se creará dicho recurso en una carpeta
llamada: Share.
Indicándole una ruta específica.
Emplearemos la primera opción.
A continuación, indicamos los datos para nuestro nuevo recurso (nombre, descripción,
etc.). Además podremos ver la ruta donde se creará:
Cifrar acceso de datos: el acceso del archivo remoto se cifrará evitando que pueda
ser manipulado. Una sorprendente novedad es que no es necesario una entidad que
certificadora ni configuraciones adiciones, eso sí, esta característica únicamente está
disponible para Windows 8 en adelante.
Nos aparece un resumen para verificar que todos los pasos son correctos:
Firewall de Windows
A continuación, nos aparece el panel del Firewall de Windows con seguridad avanzada.
Pulsamos en: Nueva Regla:
Permitir la conexión.
Permitir la conexión si es segura. Si se utiliza una conexión mediante VPN a
través de IPsec.
Bloquear la conexión.
Por último creamos un nuevo nombre para la regla establecida y una descripción:
Copias de Seguridad
En este último apartado explicaremos como realizar una copia de seguridad de nuestro
Windows Server.
Completas.
Personalizadas.
De discos duros específicos.
Auditar eventos del sistema, permite auditar eventos producidos por un usuario
al apagar o reiniciar el equipo, también permite auditar eventos que afectan a la
seguridad del sistema o al registro de la seguridad.
Es posible obtener una información más detallada navegando por cada configuración de
auditoría que ofrece el sistema, para ello hay que acceder a las propiedades de cada
configuración de auditoría y posicionarse en la pestaña Explicación.
Las auditorías se pueden configurar por medio de dos herramientas ofrecidas por
Windows Server 2012 R2:
No olvidemos que por medio de esta herramienta las directivas aplicadas serán
sobrescritas por las directivas operativas a nivel de dominio.
Una vez abierto el panel Directiva de seguridad local accedemos a la categoría Directiva
de auditoría mediante Configuración de seguridad > Directivas locales >
Directiva de auditoría, como vemos en la siguiente imagen:
En este punto debemos seleccionar una de las dos posibilidades: Default Domain
Controllers Policy, configura las directivas sobre los controladores de dominio, o
Default Domain Policy, configura las directivas sobre todos los equipos que forman
parte del dominio.
Para configurar las directivas en uno de los dos objetos de directiva de grupo
anteriormente nombrados, hacemos clic sobre el elemento deseado y seleccionamos
Editar.
Configurando la auditoría
Para configurar una auditoría debemos hacer doble clic o bien seleccionar Propiedades
del menú de opciones que facilita la directiva de auditoría que deseamos definir.
Como ya vimos en el apartado primero, para completar esta información u obtener una
descripción más completa puede acceder a la pestaña Explicación que contiene cada
Directiva de auditoría en su versión ya sea bien básica o avanzada.
La auditoría no solo es aplicable sobre directivas para controlar ciertos eventos, también
en sistemas de ficheros NTFS se permite configurar la auditoría de ficheros y directorios.
Para acceder a la ventana de configuración primeramente debemos activar las directivas
de auditorías Auditar el acceso a objetos y Auditar el acceso al servicio de
directorio, tras esto seguimos los siguientes pasos,
En la siguiente ventana que se abre seleccionamos el usuario o grupo del que se tenga
interés realizar el registro de auditoría, una vez finalizada la configuración seleccionamos
Aceptar procediendo a registrar la entrada de seguridad.
La auditoría de impresoras
Para realizar una auditoría sobre estos elementos debemos primeramente activar las
directivas de auditorías Auditar el acceso a objetos y Auditar el acceso al
servicio de directorio, tras esto, acceder a la herramienta Usuarios y equipos de
Active Directory, accesible mediante Administrador del servidor.
Una vez en Usuarios y equipos de Active Directory comprobar que está activada la
opción Características avanzadas disponible en el menú Ver.
Para agregar una regla sobre un elemento hacer clic derecho sobre el dominio, objeto o
carpeta deseada y seleccionar Propiedades. Seleccionar la pestaña Seguridad, hacer
clic en el botón Opciones Avanzadas, seleccionar la pestaña Auditoría y hacer clic
en Agregar, se nos presenta una ventana de Entrada de auditoría, como en la imagen
siguiente.
Para agregar una regla de auditoría sobre un elemento, hay que hacer clic derecho sobre
el dominio, objeto o carpeta deseada y seleccionar Propiedades, seleccionar la pestaña
Seguridad, hacer clic en el botón Opciones Avanzadas, seleccionar la pestaña
Auditoría y hacer clic en Agregar, se nos presenta una ventana de Entrada de
auditoría, como se ve en la imagen:
Mediante los pasos anteriores ya tenemos creada nuestra entrada de auditoría para
establecer registro de eventos aplicando reglas de interés.
Visualización de eventos
La herramienta Visor de Eventos nos facilita un Filtro para visualizar las entradas de
registro deseadas, entre otra serie de complementos visibles en el panel derecho.
Manipular directivas de auditoría con Auditpol
Auditpol es una herramienta de línea de comandos que permite manipular las directivas
de auditoría de forma menos limitada a como lo permite GPO.
Auditpol /comando /?
Subcomando Descripción
/Get Muestra la directiva de auditoría actual
/Set Establece la directiva de auditoría
/List Muestra los elementos de directiva
seleccionables
/copia de seguridad Guarda la directiva de auditoría en un
archivo
/restore Restaura la directiva de auditoría de un
archivo que se ha creado previamente
mediante el uso de /backup auditpol.
/Borrar Borra la directiva de auditoría.
/Remove Elimina valores de directiva de auditoría
por usuario y deshabilita la configuración
de directiva de auditoría de todos los
sistemas.
/resourceSACL Configura listas de control de acceso a
recursos globales del sistema (SACL).
/? Muestra la ayuda.
Figura 129: Tabla de comandos principales de auditpol
Realizamos una prueba para lista listar todas las categorías de auditoría posibles con el
comando:
auditpol /list /subcategory:*
Windows 10 apareció en 2016 con algunas diferencias con respecto a Windows Server
2012. Las más destacadas han sido:
Esta característica nos permite aislar los servicios y datos más importantes del resto de
componentes del sistema operativo basándose en Microsoft Hyper-V. La idea es que
entre el hardware y el sistema operativo host se coloca el Hypervisor, al contrario que en
una arquitectura tradicional. Sobre esta arquitectura, se crea un espacio separado del
sistema operativo host en el que se ejecutan procesos específicos y se gestiona la memoria
asociada a los mismos. Actualmente los servicios incluidos en esta área son Local
Security Authority (LSA) y Code Integrity.
Este último está compuesto de de una función de control para el Kernel (Kernel Mode
Code Integrity (KMCI)) y otra para el hypervisor (Hypervisor Code Integrity (HVCI)). La
imagen siguiente nos muestra la arquitectura resultante:
Figura 131: Arquitectura de VBS (Fuente: Windows 10 Device Guard and Credential Guard
Demystified)
Device Guard
Muy relacionada con la anterior, lo que se hace con esta característica es que la gestión
de las credenciales se mueve al VBS. Esto permite que dichas credenciales nunca sean
reveladas a un espacio de memoria al que pueda acceder un atacante. Para el caso de
conexiones remotas, lo que se logra es que las credenciales del usuario nunca abandonen
la máquina en la que se está autenticando.
Esta nueva característica nos permite proteger las máquinas virtuales de host maliciosos.
Si pensamos que la información de una máquina virtual va a estar almacenada en
ficheros, la protección de estos es importantísima. Con esta nueva característica
introducida den Windows server 2016 se pretende realizar dicha protección.
Conocido como la segunda generación de máquinas virtuales, disponen de un TPM
virtualizado, cifrado con bitlocker y que solamente permite su ejecución en sistemas
confiables.
Para llevar a cabo esta funcionalidad se basa en dos servicios ofrecidos por el servicio
conocido como Host Guardian Service (es un nuevo role definido en esta nueva versión
de Windows server):
o Servicio de atestación: se encarga de validar que el host es confiable y de ser
así genera un “Health Certificate” para ese host que pasa a ser considerado
como seguro.
o Servicio de protección de clave: el host le envía el Health Certificate
conseguido en el paso anterior y este servicio le pasa las claves necesarias para
acceder a las máquinas virtuales de ese escudo.
Privilegios de administración
Los privilegios de administración a usuarios es siempre un tema que debe ser analizado
cuidadosamente. Con el objetivo de mejorar la seguridad en este aspecto se definen dos
nuevos conceptos. El primero de ellos, Just Enough Administration, se basa en proveer
solamente las herramientas administrativas necesarias para realizar las tareas
administrativas que debe llevar a cabo un determinado administrador. Como
complemento a este enfoque, también se ha definido Just In time Administration, en la
que se permite asignar a usuarios a grupos con privilegios de administración por un
tiempo determinado, evitando la asignación permanente de los usuarios a dichos grupos.
Lo + recomendado
Lecciones magistrales
En esta lección magistral se tratará una herramienta nueva que introdujo Microsoft
desde Windows 2008 y que nos permite tener la red bajo un estado de salud aceptable,
denegando el acceso a la red de aquellos equipos que no cumplan unos requisitos
mínimos de seguridad.
No dejes de leer…
Stanek, W. (2011). Windows Server 2008 R2, Guía del Administrador. Madrid:
Ediciones EJEMP Multimedia.
Raya Cabrera, J. L., Raya González, L. y Martínez Ruiz, M. (2010). Windows Server
2008, Configuración Avanzada (1ª Edición). Madrid: RA-MA Editorial.
Lockhart, A. (2007). Seguridad de redes. Los mejores trucos (2ª edición). Madrid:
Ediciones Anaya Multimedia.
+ Información
A fondo
En este artículo Microsoft nos habla en profundidad de las mejoras incluidas en Windows
Server 2012.
Accede al artículo a través del aula virtual o desde la siguiente dirección web:
http://download.microsoft.com/download/5/B/2/5B254183-FA53-4317-B577-
7561058CEF42/WS%202012%20Evaluation%20Guide.pdf
Webgrafía
Windows 10
Accede a la página web a través del aula virtual o desde la siguiente dirección:
https://www.microsoft.com/es-es/windows/features
En esta versión de Windows se realizan una serie de mejoras frente a la versión Windows
Server 2008.
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http://blogs.msmvps.com/quilez/2012/05/14/windows-8-server-191-vale-la-pena-
actualizarse/
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http://www.tectimes.net/articulo-windows-server-novedades-en-virtualizacion-hyper-
v-de-windows-server-2012-r2/#Hyper-V_Recovery_Manager
Accede a la página web a través del aula virtual o desde la siguiente dirección:
https://www.microsoft.com/es-es/cloud-platform/windows-server
IIS
Página web del IIS en la que podemos descargar IIS además de varias extensiones
compatibles con la versión de IIS escogida.
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http://www.iis.net/
PowerGUI
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http://powergui.org/
VeraCrypt
Accede a la página web a través del aula virtual o desde la siguiente dirección:
https://veracrypt.codeplex.com/
Bibliografía
Jimeno García, M. T., Míguez Pérez, C., Heredia Soler, E., Caballero Velasco, M. Á.
(2011). Destripa la red. Madrid: Ediciones EJEMP Multimedia.
Jimeno García, M. T., Míguez Pérez, C., Matas García, A. M., Pérez Agudín, J. (2009). La
Biblia del hacker. Madrid: Ediciones EJEMP Multimedia.
Lockhart, A. (2007). Seguridad de redes, los mejores trucos (1ª edición). Madrid:
Ediciones EJEMP Multimedia.
R. Stanek, W. (2011). Windows Server 2008, Guía del Administrador (1ª edición).
Madrid: Ediciones EJEMP Multimedia.
R. Stanek, W. (2011). Windows Server 2008 R2, Guía del Administrador. (1ª edición).
Madrid: Ediciones EJEMP Multimedia.
Actividades
Queremos hacer que el usuario «nombre del alumno» tenga permisos para usar una
carpeta compartida de documentos. Crear el usuario «nombre del alumno» y asignarle
permisos sobre dicha carpeta para que pueda acceder desde cualquier sitio de la red.
Como último punto, se debe unir una máquina al dominio y comprobar que el usuario
«nombre del alumno» puede acceder a la carpeta y que otro usuario no puede acceder.
NOTA: El usuario debe ser del dominio curso.com y se debe contemplar que
posiblemente se creen más usuarios con el mismo perfil y permisos.
Trabajo: Directivas
¿Qué diferencia hay entre las directivas de grupo y las directivas locales?
¿Qué diferencia hay entre auditar lo sucesos de inicio de sesión y auditar los sucesos
de inicio de sesión de cuenta?
En esta actividad se pide crear una directiva de grupo para impedir que el alumno
acceda al panel de control para que así no pueda modificar la configuración de la
máquina. También vamos a impedir que el alumno cambie el fondo de pantalla.
Implementa las directivas necesarias para aplicárselo al usuario «nombre del alumno»
anteriormente creado. Además, se debe probar desde la máquina unida anteriormente al
dominio que las directivas definidas funcionan correctamente, es decir, el usuario
«nombre del alumno» tiene limitado esos permisos pero otro usuario no los tiene.
Test
1. ¿Qué función tiene el control de acceso de usuarios, UAC en los sistemas operativos
Windows?
A. Autenticar los usuarios en el inicio de sesión.
B. Notificar al usuario ante cualquier cambio que se vaya a realizar en la
configuración del equipo y pedir confirmación.
C. Añadir o quitar privilegios a los distintos usuarios y grupos en el sistema.
D. Todas las anteriores son incorrectas.
3. Applocker es:
A. Una herramienta de control de ejecución de aplicaciones y scripts.
B. Una herramienta que permite cifrar on-the-fly, tanto discos duros como medios
extraíbles.
C. Un firewall comercial.
D. Una herramienta de control de accesos y registro de accesos para
administradores en Windows.
5. ¿Qué es SmartScreen?
A. Un método de generación de contraseñas a partir de imágenes.
B. La interfaz de Windows 8, que incluye una SandBox.
C. Un filtro de phishing y malware mediante el escaneo de las URL.
D. Un mecanismo de protección para la ejecución de código en la pila.