Tema 1

Sistemas Windows
[1.1] ¿Cómo estudiar este tema?
[1.2] Windows 7
[1.3] Windows 8
[1.4] Windows 10
[1.5] Windows Server
[1.6] Windows Server 2008
[1.8] Windows Server 2012, auditoria
1
TEMA
Sistemas Windows
Esquema
Windows 7 Windows 8 Windows Server
TEMA 1 – Esquema
Sistema operativo creado por Siguiente sistema operativo estable Introducción:
Microsoft de carácter comercial de Windows • Características principales
• Comparativa Windows Server
2008 y Windows Server 2012
Mejoras de seguridad respecto a
Mecanismos de protección: Windows 7: Windows 2008
• UAC • Microsoft Defender
2
• Reproducción automática • Protección de arranque Windows 2012:
• WBF • IE10 • Instalación
• BitLocker • SmartScreen • Active Directory
• AppLocker • Protección infantil • Controlador de dominio
• Firewall de Windows • Políticas de seguridad
• Generación de claves a través
• DirectAccess • Firewall de Windows Server
de imágenes • Copias de seguridad
• VeraCrypt • Mecanismo de prevención de • Auditoría de Windows Server
• PowerShell ejecución de código
• Latch
Seguridad en Sistemas Operativos
Ideas clave
1.1. ¿Cómo estudiar este tema?
Para estudiar este tema lee las Ideas clave. Además deberás estudiar las siguientes
páginas disponibles en el aula virtual, bajo licencia CEDRO:
Jimeno, M.T., Caballero, M.A. y Míguez, C. (2008). La Biblia del Hacker (pp. 461-469).
Madrid: Anaya.
En este tema vamos a analizar la seguridad de los sistemas operativos Windows, tanto
los sistemas personales como Windows 7,Windows 8 y Windows 10, como los sistemas
servidor Windows Server 2008 y Windows Server 2012.
Comenzaremos viendo Windows 7. En este sistema operativo podemos encontrar

funcionalidades de seguridad como:
Control de acceso de usuarios (UAC)

WBF (Windows Biometric Framework)
Firewall de Windows
PowerShell
BitLocker, AppLocker, Direct Access…
Después nos centraremos en Windows 8, en concreto en la versión 8.1. De nuevo veremos

las utilidades de seguridad que tiene incluidas:
Microsoft Defender
SmartScreen
Interfaz METRO con Sandbox…
También se verán las novedades del sistema Windows 10 presentado en 2015 frente a
este anterior.
TEMA 1 – Ideas clave 3

En el capítulo siguiente comenzaremos a ver Windows Server, con una pequeña

introducción de conceptos y con unas pequeñas tablas que nos compararán los dos
sistemas servidor más actuales (Windows Server 2008 y Windows Server 2012), tanto
sus características como sus mejoras de seguridad.
A continuación, veremos uno a uno ambos sistemas. En primer lugar, Windows Server
2008, con una pequeña introducción a sus características destacadas de seguridad. En
segundo término, Windows Server 2012, con una guía de instalación paso a paso, una
descripción de sus principales utilidades, así como una explicación y recomendaciones
para configurar todas estas utilidades. Algunas de ellas son:
Active Directory
Directivas de seguridad local
Creación de usuarios y políticas de seguridad…
Copias de seguridad
Finalmente veremos el proceso de auditoría de un Windows Server 2012 por parte de un

administrador. Esta consistirá en registrar todas las acciones realizadas en el sistema
operativo y su posterior análisis para observar y comprobar que todo lo que sucede en el
equipo se mantiene con base en las políticas diseñadas por la empresa y los
administradores de seguridad.
1.2. Windows 7
En cuanto a la seguridad de Windows 7, podemos ver incorporadas una serie de

herramientas para mejorar la seguridad que tenemos en los Sistemas Operativos
Windows.
Control de acceso de usuarios (UAC): fue una característica añadida desde

Windows vista, cuya finalidad es la de proteger el sistema operativo frente a posibles
cambios y que solicita confirmación al usuario cuando se realiza una instalación o hay
modificaciones en los parámetros del sistema. Esta función es importante cuando
tenemos más de un usuario en el ordenador, pero deja de ser interesante cuando solo
hay un usuario en dicho PC, ya que siempre y cuando queramos abrir un programa, el
ordenador nos va a pedir que demos permisos para realizar la acción requerida.

Siempre conviene tener dos usuarios, uno que sea el Administrador (con todos los
permisos) y otro que sea un usuario llano con los permisos mínimos.
Podemos acceder a dicha función accediendo a Panel del control > Cuentas de Usuario
> Cambiar la configuración de Control de cuentas de usuario. Nos aparecerá esta
ventana:
Figura 1: Imagen del control de acceso de usuarios
En esta figura podemos comprobar que en el UAC existen cuatro niveles, en los que
tenemos: el primer nivel, con el que se evitan las notificaciones, esta es la configuración
menos deseada. En un nivel superior nos notifica cuando alguna acción intenta cambiar
algo en el equipo. En el tercer nivel tenemos el nivel «predeterminado» que es el que nos
notifica cuando algún programa intenta realizar cambios en el equipo. Y por último
tenemos el nivel más seguro ya que nos notifica siempre.
Reproducción automática: la reproducción automática la vamos a orientar en el

sentido en que limitemos la ejecución automática de los CD/DVD, USB, etc., ya que
podemos ser infectados por un virus almacenado dentro de uno de estos medios
extraíbles, pues son los más frecuentes.
Para abrir «reproducción automática» tenemos que ir a Inicio > Panel de control >
Hardware y Sonido > Reproducción automática siguiendo las ilustraciones siguientes:

1. Panel de Control:
Figura 2: Inicio de Windows 7
2. Ahora vamos a Hardware y Sonido:
Figura 3: Panel de control de Windows 7

3. Ahora podemos configurar las acciones para cada dispositivo:
Figura 4: Reproducción Automática
WBF (Windows Biometric Framework): son periféricos capaces de reconocer

partes de nuestro cuerpo invariables. Estas partes pueden ser las huellas dactilares o el
iris. Esta herramienta esta soportada por Windows 7, aunque solo permite el acceso por
huellas dactilares. Para poder tener acceso a esta herramienta nuestro ordenador o
portátil tendrá que tener obviamente el hardware para poder usarlo.

4. Nos vamos al Panel de control > Hardware y sonido:
Figura 5: Panel de control de W7 para WBF
5. Seguimos los pasos del asistente de configuración:
Figura 6: Configuración del Dispositivo de huellas dactilares

BitLocker: si hablamos de cifrado de datos, esta herramienta nos permite cifrar los
datos de cualquier disco duro evitando accesos indeseados. Además, cuando vamos a
guardar algún archivo en una unidad en la que tenemos el BitLocker activo, dicho archivo
es cifrado automáticamente.
Según el ámbito de aplicación de BitLocker tenemos dos tipos, en función del tipo de
unidad a cifrar:
Cifrado en unidad de sistema: este tipo es con el que ciframos la unidad principal
del sistema. Cuando ciframos la unidad principal automáticamente se nos crea una
partición en dicho disco de 200 MB, en donde se aloja la consola de recuperación.
Dicha partición no aparece en el listado de particiones y además va sin cifrar y será la
que nos permita acceder y recuperar los archivos que tengamos en la unidad principal.
o Para poder recuperar los archivos deberemos escribir la contraseña de desbloqueo
que contiene el archivo de recuperación. Dicho archivo se crea durante el proceso
de cifrado de la unidad y puede ser almacenado en 3 lugares distintos:
- En el disco duro.
- En una unidad USB.
- En un chip, incluido en los sistemas más modernos incluido el llamado TPM. El
TPM, por sus siglas del inglés Trusted Platform Module, contiene una clave RSA
única, grabada en un chip durante el proceso de fabricación.
Cifrado en unidad de datos: la unidad se cifra y se protege su acceso por usuario

y contraseña. Durante el asistente de administración de BitLocker nos pedirá dicha
contraseña y también nos ofrecerá la posibilidad de crear un archivo de recuperación
por si la olvidamos. La única diferencia entre el cifrado de la unidad principal y este,
es que en este caso no se crea la partición con la consola de recuperación, ya que la
partición del sistema queda intacta.
El desbloqueo del sistema se realiza en el arranque del sistema operativo, mientras

que el desbloqueo de disco de datos se realiza mediante la contraseña o tarjeta
inteligente para acceder a la unidad.
BitLocker to go: es una variante del BitLocker para unidades extraíbles. Es importante
el cifrado de estas unidades ya que debido a su reducido tamaño pueden ser extraídas
fácilmente.

Utilización:
1. Nos vamos al botón de inicio:
Figura 7: Inicio de Windows 7
2. Hacemos clic en Panel de Control:
Figura 8: Ir al panel de control
3. Vamos a Sistema y Seguridad > Cifrado de unidad BitLocker:
Figura 9: Accedemos a la herramienta BitLocker

4. Cuando estemos dentro de BitLocker nos saldrá la imagen siguiente, en la que

tendremos la posibilidad del cifrar la unidad principal o una unidad USB, siguiendo el
asistente de BitLocker de Windows:
Figura 10: Cifrado de BitLocker
AppLocker: es una herramienta avanzada para el control de ejecución de aplicaciones

y scripts. Para su configuración se puede utilizar en un entorno local, como aplicada a un
grupo de usuarios, conocido como políticas de grupo.
Dicha herramienta es flexible y simple para que los administradores del equipo
especifiquen exactamente qué se puede ejecutar en el entorno de escritorio. Con esta
herramienta podemos:
Prevenir que el software sin ningún tipo de licencia pueda ser ejecutado si no está en
una lista blanca de software permitido.
Prevenir y tener la posibilidad de denegar la ejecución de aplicaciones que no están
en la lista de permitidas y que además puedan contener malware.
Denegar que los usuarios de dicho entorno ejecuten aplicaciones que consuman un
gran ancho de banda innecesario o que afecten a dicho entorno de escritorio y que
aumenten el costo de soporte y mantenimiento.
Permitir la ejecución de aplicaciones y actualizaciones permitidas por parte de dichos
usuarios y que solo los administradores puedan instalar y ejecutar dichos programas
o actualizaciones.

Para acceder a esta herramienta tenemos que seguir los pasos siguientes:
1. Tenemos que ejecutar gpedit.msc desde inicio de Windows:
Figura 11: Accedemos a gpedit.msc
2. Nos saldrá la siguiente ventana y nos dirigimos a AppLocker, como muestra la

siguiente imagen:
Figura 12: Accediendo a AppLocker

3. Pulsamos sobre cualquier opción del AppLocker y nos dirigimos a Acción > Crear
nueva regla, según la imagen:
Figura 13: Crear una nueva regla
4. En la ventana siguiente podemos ver las diferentes opciones que nos ofrece dicha
herramienta:
Figura 14: Ventana de configuración

5. Podemos elegir en la pestaña de Permisos a qué usuario o grupo de ellos queremos que
afecte la regla que vamos a añadir:
Figura 15: Asignando los permisos de la regla
6. En la pestaña de condiciones podemos establecer las condiciones de dicha regla:
Figura 16: Selección de condiciones

Como podemos ver en la imagen anterior aparecen tres posibles condiciones:
o Editor: permite o deniega la ejecución según la firma de los programas.
Figura 17: Opción Editor
o Ruta de Acceso: permite o deniega según la ruta de acceso al programa.
Figura 18: Según la ruta de acceso

o Hash de archivo: se utiliza normalmente para las aplicaciones que no van

firmadas. Al seleccionar dicha opción, el equipo genera una clave hash según el
contenido de la misma, si el fichero cambia o sufre alguna modificación (virus,
versión no original…) el equipo aplica la regla que se ha establecido.
Figura 19: Creación del Hash de archivo
Firewall de Windows: protege al sistema de ser accedido desde el exterior. Aunque

esta protección se puede configurar para cerrar puertas de entrada a nuestro ordenador,
no es suficiente y se recomienda tener aplicaciones de antivirus para hacer más efectiva
nuestra protección del ordenador. Podemos configurar el firewall de Windows de dos
formas distintas. La primera es con una interfaz básica, la segunda es una interfaz más
avanzada.
Interfaz básica: es la que ha sufrido más cambios a lo largo de su existencia. La

mejora más destacada es la posibilidad de gestionar los distintos perfiles de forma
sencilla. Esto es, cuando nos conectamos a una red podemos elegir entre tres tipos de
perfiles:
1. Perfil de dominio: es un conjunto de reglas que son aplicadas cuando el equipo

se encuentra dentro de un dominio. Las reglas que gestionan este perfil son las
establecidas desde el servidor de dominio y su seguridad está establecida según el
administrador del dominio en el que se encuentre.

2. Perfil privado: se aplica cuando el ordenador está dentro de una red privada,
como pueden ser las redes domésticas o las de trabajo. El comportamiento de la
misma suele ser permisivo ya que la red se puede considerar «segura».
3. Perfil público: este perfil se recomienda usar en ambientes poco seguros como
pueden ser las redes públicas (cafeterías, hoteles…). Dado que se utiliza en dichos
ámbitos, las reglas que se usan suelen ser muy restrictivas.
Figura 20: Interfaz básica del Firewall de Windows
Interfaz Avanzada: esta nos permite editar las opciones que nos brinda el Firewall
de Windows, en ella podemos modificar y aplicar restricciones por usuario, por grupo,
por interfaz de red.
Las reglas que en ella están establecidas se encargan de permitir o denegar la

comunicación entrante o saliente generadas por el software que hay instalado en el
ordenador, a diferencia de las reglas de seguridad que se aplican entre equipos.
Para acceder a dicha interfaz tenemos que dirigirnos a Configuración Avanzada:

Figura 21: Interfaz Avanzada
Donde nos aparecerá la ventana siguiente:
Figura 22: Configuración Avanzada

DirectAccess: esta tecnología permite crear conexiones remotas utilizando VPN entre
los equipos que estén conectados en una misma red. Dichas conexiones sirven para
utilizar aplicaciones o acceder a los datos de un entorno corporativo de forma
transparente y segura. También podemos acceder a entornos que no estén conectados a
la misma red, en lo que se introducen mejoras en la seguridad al permitir la gestión de
dichos equipos con el fin de mantenerlos actualizados y obligando a seguir la política de
seguridad de la red corporativa.
Podemos acceder a esta funcionalidad dirigiéndonos de nuevo a gpedit, como hemos

hecho anteriormente (Ejecutar > gpedit.msc en el botón de inicio), en el cual tenemos
que ir a la pestaña de Directiva de resolución de nombres, tal y como se muestra en la
siguiente imagen:
Figura 23: Configuración de Direct Access
VeraCrypt: es otra herramienta de cifrado como BitLocker. Permite cifrar un

volumen on-the-fly, que consiste en que los datos se cifran automáticamente justo
antes de que se guarden y son descifrados justo después de que sean cargados, sin
ninguna intervención del usuario. VeraCrypt aumenta la seguridad y corrige los fallos
encontrados en su predecesor, TrueCrypt. Este último no es recomendable, ya que han
dejado de dar soporte y corrección a fallos desde principios de 2014.

BitLocker y VeraCrypt soportan diversos algoritmos de cifrado; como AES, Serpent,

Twofish, etc. y diversos algoritmos hash; como RIMEMD-160, SHA-512, Whirlpool, etc.
En la actualidad existen gran variedad de antivirus, cuya función es detectar en

tiempo real el malware para minimizar los daños que pueda sufrir el sistema. Los
antivirus pueden ser de varios tipos en función de su comportamiento: antivirus con
banco de firmas de virus, antivirus de prueba de integridad, antivirus con análisis
de comportamiento, antivirus filtrante, polimorfismos y los anti-antivirus.
PowerShell: es una consola de comandos que viene por defecto en Windows, a partir
de Windows Vista. Esta consola está diseñada para la administración avanzada del
sistema, pues es mucho más potente que la consola por defecto (cmd). Nos permite
interactuar tanto con el sistema operativo, como con programas de Microsoft como IIS,
SQL Server o Exchange, y además permite la ejecución de scripts para automatizar
tareas. El lenguaje que utiliza es similar a Perl.
Para ejecutar una PowerShell:
Figura 24: Abrir la PowerShell
Mediante los scripts, esta herramienta no solo se puede utilizar para la administración
del sistema, si no que se puede utilizar para comprometerlo.

Estos scripts obviamente se pueden ejecutar escribiendo las funciones y variables

directamente en la terminal, pero para scripts automatizados, hay ciertas restricciones
para evitar su ejecución de forma local o remota por parte de otras aplicaciones o
procesos, que son las políticas de ejecución:
Restricted: valor por defecto configurado en PowerShell. No permite la ejecución de

ningún script de PowerShell.
Unrestricted: es el valor contrario al anterior, permite ejecutar cualquier script a
través del proceso de PowerShell.
Signed: con este valor, solo se ejecutarán los scripts que se encuentren firmados por
una entidad reconocida en el equipo.
RemoteSigned: con ese valor se podrán ejecutar los scripts que estén escritos o
implementados en el propio equipo. Sin embargo, los scripts obtenidos de ubicaciones
remotas solo se podrán ejecutar si se encuentran firmados.
Para conocer qué política de ejecución esta implementada en nuestra máquina

usaremos:
Get-ExecutionPolicy
Para cambiar la política de ejecución, solo si tenemos permisos, si no, será necesario
modificar los privilegios de los registros, usaremos:
Set-ExecutionPolicy “nombre_de_la_política”
Figura 25: Consulta e intento de modificar la política de ejecución (no hay permisos sobre el registro)
Se aconseja dejarlo en Restricted (por defecto).

Pese a estas protecciones, hay múltiples formas para saltarse estas políticas y ejecutar
scripts en una PowerShell, el bypass más sencillo por ejemplo será copiar y pegar el
código del script en la terminal. Por ello, si el atacante tiene acceso directo a la máquina
no se puede hacer mucho para evitar un ataque. Es aconsejable el uso de contraseñas de
inicio de sesión, bloqueo de aplicaciones con un segundo factor de autenticación…
Para más información sobre ataques en PowerShell:

http://www.elladodelmal.com/2015/04/psbot-dame-powershell-y-movere-el-
mundo.html
Para parear PowerShell con Latch (segundo factor de autenticación):

https://github.com/ElevenPaths/latch-sdk-powershell
1.3. Windows 8
Windows 8.1 ofrece una serie de mejoras frente a su versión anterior. Con respecto a la
seguridad se destacan:
Microsoft Defender
Es un software antispyware que está incluido en esta versión de Windows y que se

ejecuta automáticamente. Al usar este tipo de software puedes proteger a tu equipo
contra el spyware y al software potencialmente indeseado. El spyware puede ser
instalado en el ordenador que estamos usando sin nuestro conocimiento en cualquier
momento en el que nos conectamos a internet, o puede infectar nuestro equipo al instalar
algunos programas utilizando un CD, DVD u otro medio extraíble. El spyware también
puede ser programado para funcionar en momentos inesperados, y no solo cuando está
instalado en nuestro ordenador.
Windows Defender ofrece dos maneras de evitar que el spyware infecte el equipo:
Protección en tiempo real. Windows Defender le alerta cuando el spyware

intenta instalarse o ejecutarse en el equipo. También le avisa cuando los programas
intentan cambiar configuraciones importantes de Windows.

Escaneado de opciones. Puede usar Windows Defender para buscar spyware que
podría ser instalado en su ordenador, para programar los análisis de forma regular, y
para eliminar automáticamente cualquier cosa que se detecte durante un examen.
Cuando se utiliza Windows Defender, es importante tener actualizada la base de datos

de las definiciones. Las definiciones son archivos que actúan como una enciclopedia cada
vez mayor de amenazas de software potenciales. Windows Defender utiliza definiciones
para alertar de los riesgos potenciales si determina que el software detectado es spyware
u otro software potencialmente no deseado. Para ayudar a mantener sus definiciones al
día, Windows Defender funciona con Windows Update para instalar automáticamente
nuevas definiciones. También se puede configurar Windows Defender para comprobar
en línea las definiciones actualizadas antes de escanear.
Para acceder y configurar el Microsoft Defender tenemos que seguir los pasos siguientes:
1. Pulsamos sobre el icono de inicio de Windows 8.1:
Figura 26: Inicio de Windows

2. Pulsamos sobre la lupa y escribimos defender:
Figura 27: Buscamos el Microsoft Defender
3. Nos aparecerá la ventana principal de Microsoft Defender:
Figura 28: Ventana principal Microsoft defender
Una vez accedido a la ventana principal de Microsoft Defender podemos navegar por las
pestañas para configurarlo a nuestro gusto.

Protección de arranque (BIOS), Secure Boot (UEFI)
Otra de las funcionalidades añadidas en esta nueva versión es el denominado arranque

seguro. Podemos definir este arranque seguro como un estándar de seguridad
desarrollado por los miembros del sector de equipos de la computación, el cual está
destinado a garantizar que los equipos arranquen usando solamente el software que sea
de confianza para el fabricante del equipo. Cuando arrancamos el equipo, el firmware
comprueba la firma de cada fragmento de software de arranque, entre los que destacan
los controladores de firmware y el sistema operativo. En el caso de que las firmas sean
de confianza el equipo arranca y el firmware transfiere el control al sistema operativo.
Esta es la secuencia de arranque:
1. Una vez encendido el equipo, cada una de las bases de datos de firmas se comprueba
con la PK.
2. Si no se confía en el software, el firmware UEFI debe iniciar la recuperación específica
del OEM para restaurar el software de confianza.
3. Si se produce un problema en la Administración de arranque de Windows, el firmware
trata de arrancar una copia de seguridad de esta aplicación. Si también se produce un
error al hacerlo, el firmware debe iniciar la corrección específica del OEM.
4. Una vez que la Administración de arranque de Windows se encuentra en ejecución, si
se produce un problema con los controladores o el kernel de NTOS, se carga el Entorno
de recuperación de Windows (Windows RE) para que se puedan recuperar estos
controladores o la imagen de kernel.
5. Windows carga el software antimalware.
6. Windows carga otros controladores de kernel e inicializa los procesos de modo
usuario.
Navegación Segura con Internet Explorer 10
Para acceder a la navegación segura de IE10 tenemos que ir a Icono de Herramientas ->
Seguridad -> Exploración inPrivate, así se nos abrirá una nueva ventana donde
podremos navegar en modo privado.

Figura 29: Menú navegación privada IE10
El objetivo de la navegación segura es evitar dejar rastros de navegación en sitios web

diversos o en la propia máquina (en el historial, en forma de cookies o en la memoria
caché).
SmartScreen
En esta versión de Windows 8 ha sido añadida una nueva capa de seguridad que se basa
en el filtro de SmartScreen de Internet Explorer. Es un filtro de phishing y de malware,
implementado en varios productos de Microsoft, incluyendo Internet Explorer 8,
Hotmail...El sistema está diseñado para ayudar a proteger a los usuarios contra ataques
que utilizan la ingeniería social y las descargas alternativas para infectar un sistema
mediante el escaneo de las URL a las que accede un usuario utilizando una lista negra de
sitios web que contienen amenazas conocidas.
Para acceder a esta capa de seguridad:
1. Accedemos al panel de control de Windows 8.1

2. Vamos a Sistema y seguridad
3. Pulsamos sobre Centro de Actividades
4. Vamos a la parte izquierda y pulsamos sobre Cambiar la configuración de Windows
SmartScreen.

Figura 30: Accedemos a SmartScreen

Protección Infantil
En Windows 8.1 se ha mejorado la protección infantil, en la que puedes crear cuentas

para tus hijos y activar la supervisión de protección infantil. También podemos
establecer límites y permisos que quieras aplicar a esas cuentas, además de tener
informes de la actividad que ha habido en esa cuenta. La protección infantil te permite
saber qué sitios web han visitado tus hijos y qué aplicaciones y juegos han usado.
También puedes elegir bloquear o permitir sitios web específicos u otro contenido, e
incluso limitar el tiempo que pasan en un equipo.
Una vez creado el usuario de prueba, accedemos al panel de control y pulsamos sobre
Configurar Protección Infantil y se nos abrirá la ventana de configuración de la cuenta.

Figura 31: Panel de configuración Protección Infantil
Generación de nuevas contraseñas mediante imágenes
En esta nueva versión de Windows, la gente de Microsoft ha querido introducir un nuevo

método de autenticación en el Sistema, el cual está basado en patrones sobre imágenes.
Figura 32: Generación de contraseñas a través de imágenes
Esta opción de autenticación, fue introducida en Android con el desbloqueo mediante

patrones, que sin embargo, presenta un sistema de autenticación bastante limitado; en
esta ocasión Microsoft analiza en su blog, la novedad de añadir estos patrones a una
fotografía de modo que las probabilidades que existen en la combinación de los mismos
aumente exponencialmente.

Si además permitimos los «multigestos», es decir concatenar diferentes gestos para crear
una única contraseña, las combinaciones posibles se disparan incluso para una cantidad
de «gestos» relativamente bajos.
Para acceder a esta herramienta en Windows 8.1 tenemos que seguir los pasos:
1. Panel de control.
2. Cuentas de usuario y protección infantil.
3. Cuentas de usuario.
4. Seleccionamos nuestra cuenta y le damos a Realizar cambios en mi cuenta en
Configuración, tal y como se muestra en la imagen:
Figura 33: Realizar los cambios en la cuenta

Nos saldrá una ventana tal que así:
Figura 34: Accedemos a Contraseña de imagen
Una vez accedamos, seguiremos las instrucciones que nos pide el asistente.

Seguridad en las aplicaciones
Se han implementado nuevas medidas para evitar que un fallo en una aplicación haga
que se expanda al sistema operativo, y se han mejorado diferentes mecanismos para
prevenir la ejecución maliciosa de código:
Interfaz METRO que incluye una Sandbox para ejecución segura de aplicaciones.
En Windows 8.1 veremos que ha cambiado el icono de inicio con respecto a su
antecesor, este incorpora un nuevo diseño, conocido como metro o modern UI. Este
está formado por pequeños mosaicos cuadrados y rectangulares que representan
programas, podemos decir que es la pantalla principal de Windows 8.1. Podemos ver
un ejemplo de este diseño en la siguiente imagen:
Figura 35: Interfaz metro de Windows 8.1
En cuanto a la nueva característica, la Sandbox es un programa diseñado para el

sistema operativo Windows para proteger el equipo contra cualquier programa
malicioso y evitar que se realicen cambios en los archivos del sistema.La aplicación
permite al usuario ejecutar programas como el navegador, PDF, Word, Excel o
cualquier otra aplicación en un entorno Sandbox.

Sandboxie ayuda al usuario a proteger su equipo de software malintencionado,

programas maliciosos, troyanos, spyware, gusanos, virus y cualquier amenaza que
puede dañar la máquina. Sandboxie actúa como un servidor de seguridad entre el
ordenador y el programa que se está usando.
Mejora en el sistema ASLR (Address Space Layout Randomization) y DEP (Data

Execution Prevention), protección de acceso y ejecución de procesos no autorizados.
En cuanto a la primera característica que trataremos en este punto, ASLR, es un tipo
de técnica implicada en la protección contra ataques de desbordamiento de buffer.
Con el fin de evitar que un atacante salte de forma fiable a una función particular,
situada en la pila por ejemplo, ASLR organiza aleatoriamente las posiciones de las
áreas de datos clave de un programa, incluyendo la dirección de inicio de los
ejecutables, las direcciones de la pila, las direcciones de las bibliotecas…
En cuanto a la segunda característica, la Prevención de ejecución de datos
(DEP) es una característica de seguridad incluida en este sistema operativo. Marca
áreas de la memoria como «ejecutable» o «no ejecutable», y permite que solo los datos
en un área «ejecutable» puedan ser ejecutados por los programas, servicios,
controladores de dispositivos, etc.
DEP protege contra algunos errores de programación y ayuda a prevenir ciertas

acciones maliciosas, especialmente los ataques que almacenan instrucciones
ejecutables en un área de datos a través de un desbordamiento de buffer. No protege
contra ataques que no se basan en la ejecución de instrucciones en el área de datos.
DEP funciona en dos modos:
o DEP forzada por hardware, para CPUs que pueden marcar las páginas de memoria
como ejecutable y no ejecutable.
o DEP forzada por software, no protege contra la ejecución de código en las páginas
de datos, pero protege que se sobrescriban los manejadores de excepciones SEH,
otro tipo de ataque.

Mejoras en el Administrador de Tareas
El administrador de tareas es una herramienta que se encarga de actuar como gestor de

procesos, servicios, aplicaciones y de monitor del sistema. También permite establecer
prioridades, controlar las aplicaciones que inician con Windows y reiniciar o detener
programas.
Podemos acceder a esta herramienta pulsando Control + alt + sup o Control + shift
+ Esc:
Figura 36: Interfaz Administrador de Tareas
El Administrador de tareas, como vemos, ha sufrido un cambio en cuanto al diseño

visual, también podemos navegar entre las diferentes pestañas que vemos en la parte
superior del mismo.
Latch en Windows
Es un plugin gratuito que se puede usar en Windows XP, Windows Vista, Windows 7,
Windows 8 y Windows 8.1 para bloquear el acceso o no a tus cuentas desde la aplicación
de Latch.

1. Para ello, primero necesitas haberte creado una cuenta de Latch como desarrollador.
Podemos crearnos una cuenta en la página de: https://latch.elevenpaths.com/
Figura 37: Interfaz de Latch
2. Ahora procedemos a configurar el Latch para Windows, en primer lugar nos vamos a
configurar el AppID y el Secret de Latch para Windows. Para ello, en Latch para Windows
deberíamos ir al botón de Configuración de Latch y rellenar los campos con los valores
de la aplicación que te hayas creado en la web.
3. Tendremos que dar de alta para parear el usuario. Este proceso es similar al de pareado
de siempre, solo que a la hora de configurar el comportamiento de Latch tienes que tener
en cuenta que hay un comportamiento que debes tener presente.
Figura 38: Configuración Latch

1.4. Windows 10
Windows 10 apareció en 2015 con ciertas diferencias respecto a Windows 8.1, las más
destacadas fueron el menú de inicio, el asistente de voz y el nuevo navegador.
Con respecto a la seguridad podemos destacar:
Privacidad
Una de las principales novedades de Windows 10 es el asistente de voz Cortana, pero su

uso solo está permitido a cambio de compartir cierta cantidad de información personal
con Microsoft.
Figura 39: Privacidad de Cortana.

En Windows 10 hay una serie de opciones y configuraciones que por defecto comparten
dicha información, vulnerando en parte la privacidad del usuario.
Es importante estar concienciado de dichas opciones en los diferentes menús de

configuración, algunas pueden ser la localización o el historial de navegación, y
desactivar aquellas que no sean oportunas.
Figura 40: Opciones de privacidad generales.
Microsoft Edge
Otra de las novedades con las que cuentas Windows 10 es el navegador por defecto,
Microsoft Edge. Este navegador, al igual que Internet Explorer, trabaja dentro de una
Sandbox y posee filtros SmartScreen, pero además tiene ciertas mejoras de seguridad
con respecto a su antecesor.
En primer lugar, ha eliminado el soporte a ActiveX, VBScript, BHO (Browser Helper

Objects) y VML (Vector Markup Language), todos ellos obsoletos pero que aún eran
vectores de ataque para Internet Explorer.

Es un navegador de 64 bits y utiliza ASLR para prevenir ataques, pero además posee una
nueva característica llamada Control Flow Guard (CFG). CFG permite a los programas
combatir las vulnerabilidades de corrupción de memoria, como los desbordamientos de
buffer o del heap. Para ello realiza una comprobación antes de saltar a las diferentes
direcciones de memoria, y dependiendo de si tiene permiso o no para saltar a ella,
continuará su ejecución o no. Esta característica hace más difícil la creación de exploits
y es un complemento más al ASLR visto anteriormente, a DEP o a la Stack Cookie.
Mejoras de cifrado
Windows 10 incluye varios mecanismos para facilitar el cifrado de discos o de archivos.

En primer lugar, para el cifrado de discos, solo será necesario hacer clic derecho en el
disco que queramos cifrar (dentro del explorador de archivos) y seleccionar “Activar
BitLocker”.
Figura 41: Opción de activar BitLocker en un disco.
El segundo mecanismo es para cifrar archivos y carpetas. Si hacemos clic derecho en una
carpeta o archivo y seleccionamos opciones avanzadas nos da la opción de cifrar el
contenido.

Figura 42: Opciones avanzadas de una carpeta.
En el caso de elegir una carpeta nos dará la opción de cifrar solo esa carpeta o también
de cifrar todas las subcarpetas y archivos. En el caso de ser un archivo, nos dará la opción
de cifrar solo el contenido del archivo o toda la carpeta que lo contenga.
Figura 43: Opción de cifrado para una carpeta.

Mejoras en Windows Defender
El antivirus por defecto en Windows, Windows Defender también ha incluido alguna

mejora con respecto a Windows 8.1. Podemos destacar la mejora de búsqueda y
reconocimiento de bootkits y rootkits para Windows 10 y el análisis de archivos rápido.
Para esta segunda característica es posible hacer clic derecho en un archivo y seleccionar
la opción de “Digitalizar con Windows Defender”.
Figura 44: Opción de analizar el archivo con Windows Defender.
1.5. Windows Server
Para estudiar este punto con más detalle, se deberá leer las páginas:
Jimeno, M.T., Caballero, M.A. y Míguez, C. (2008). La Biblia del Hacker (pp. 461-469).
Madrid: Anaya.
Es la solución de Software de Microsoft más extendida de los Sistemas Operativos de

tipo Servidor. Esta distribución ofrece diferentes tipos de servicios:
Servidor de DHCP.
Servidor de aplicaciones.
Servidor de DNS.
Controlador de dominio.
Servidor de archivos, correo, impresión, multimedia, terminal server.
Servidor de Wins.

Cabe destacar que a día de hoy existen diferentes versiones de Windows Server:
1. Windows 2000 Server.

2. Windows 2003 Server.
3. Windows 2008 Server. (Última versión: R2)
4. Windows 2012 Server. (Última versión: R2)
5. Windows Server 2016
Cada una de ellas tiene diferentes versiones en base a las características y servicios que
necesitemos:
Standard.
Enterprise.
Datacenter o Web.
Las características fundamentales de Windows Server son:
1. Active Directory: es la característica más importante de cualquier Windows Server,

permite que las funciones de red de Windows funcionen en la red, además de
autenticar usuarios, almacenar sus respectivas preferencias de aplicaciones, recursos
y sistemas vitales (una gran base de datos con toda la información del sistema).
También actúa como un Hypervisor (o guardián) de los recursos del dominio.
o Se guarda la información en objetos (contenedor o no contenedor).

o Cada objeto tiene asignado un valor de 128 bits GUID y estos se guardan en el
directorio activo en el árbol de información de directorio (DIT).
o Está basado en una serie de estándares establecidos por la unión internacional de
comunicaciones (UIT) llamados x.500. El protocolo LDAP se creó como una
versión ligera para sustituir a la x.500, este es un protocolo de acceso estándar que
permite la consulta de información contenida en el directorio. Cabe añadir que
existe también ADSI (Interfaces de servicio de Active Directory), que no es más que
un conjunto de herramientas ofrecidas por Microsoft que tienen una interfaz
orientada a objetos y que permiten el acceso a características de Active Directory
Domain Services, las cuales no están soportadas por LDAP.

Su estructura lógica es la siguiente:
o Unidades administrativas: es un subgrupo de dominio que representa la

estructura funcional.
o Objeto: se utiliza como nombre genérico para referirnos a cualquiera de los
componentes que forman parte del directorio, como una impresora o una carpeta
compartida, pero también un usuario, un grupo, etc.
o Dominios: conjunto de máquinas que comparten una misma base de datos de
Active Directory.
o Controlador del dominio (DC): contiene la base de datos de objetos del
directorio para un determinado dominio, incluida la información relativa a la
seguridad.
o Árbol de dominio: significa que existen uno o varios dominios asociados.
o Bosque de dominios: significa que existen uno o más árboles.
o Unidad organizativa: es un contenedor de objetos que permite organizarlos en
diversos subconjuntos, dentro del dominio y siguiendo una jerarquía. De esta
forma se pueden establecer estructuras lógicas que representen de forma adecuada
la organización y simplifiquen las labores de administración. Otra gran ventaja que
tiene, es que simplifica la delegación de autoridad (sea completa o parcial) sobre
los objetos que contienen, a otros usuarios o grupos. Este detalle es importante a
la hora de facilitar la administración en infraestructuras con redes de grandes
dimensiones.
o Relaciones de confianza: son un método de comunicación seguro entre:
dominios, árboles y bosques. Permiten a los usuarios de un dominio del Directorio
Activo autenticarse en otro dominio del directorio. Existen dos tipos:
unidireccionales y bidireccionales.
Además las relaciones de confianza pueden ser transitivas. (A confía en B y B confía

en C, luego A confía en C).
2. Compartición de archivos: pueden ser públicos o privados.

3. Copias de seguridad: deben de recogerse siguiendo un marco estratégico dentro

de cualquier organización, puesto que la información es una recopilación de datos
muy importante dentro de una empresa y la pérdida de esta podría causar grandes
daños. Lo cual hace completamente necesario su uso, garantizando un seguro de vida
para una organización.
Algunos de los soportes Hardware que podemos emplear para realizar una copia de
seguridad son los siguientes:
o Matrices Raid: sirven para proteger la información empresarial importante y a

veces para mejorar incluso la eficiencia de las unidades. Se utilizan múltiples discos
duros mecánicos o SSD entre los que se distribuyen o replican los datos, de esta
manera se pueden establecer mirrorings (espejos), para que en caso de incidencia,
podamos restaurar nuestros Backups.
Los tipos de Raid más conocidos son los siguientes:
- Raid 1: copia en espejo.

- Raid 2: es un sistema que actualmente está en desuso. Se usa un disco para la
paridad.
- Raid 3: son datos distribuidos a nivel de bytes con disco de paridad.
- Raid 4: igual que el anterior, pero a nivel de bloques.
- Raid 5: la paridad se distribuye por los diferentes discos.
- Raid 6: se añade otro bloque de paridad.
Figura 45: Sistemas Raid

Otro tipo de solución de Backup es:
o NAS (Network Access Server): es un punto de entrada que permite a los

usuarios o clientes acceder a una red, actuando como si fuera su propio Cloud
Computing privado. Esto podría resultar una solución alternativa para almacenar
Backups completos, diferenciales o incrementales de nuestro Windows Server.
4. Creación de Volúmenes: permiten crear un único volumen que se extienda a

través de múltiples unidades. Los usuarios pueden acceder a este volumen como si se
tratase de una unidad individual, independientemente de cuántas unidades reales
ocupe en realidad.
5. Modos de ejecución: son los distintos niveles de permisos y privilegios que nos
ofrece esta suite de Microsoft.
6. Seguridad en múltiples capas: como el acceso de autentificación

(descrito más adelante).
7. PowerShell: es una utilidad instalada por defecto en esta distribución de Microsoft.

Consiste en una interfaz de consola (CLI) con posibilidad de escritura y ejecución de
comandos por medio de guiones mucho más interactiva y potente que sus
predecesores. (Ya vista en Windows 7). Algunos de sus comandos más interesantes
son:
o Get-command: obtiene información sobre cmdlets.

o Get-help: ayuda sobre otros cmdlets.
o Get-wmiobject: recopila información de los equipos.
o Get-eventlog: trabaja con logs.
o Get-process: muestra información sobre los procesos.
o Get-service: muestra información sobre los servicios.
o Get-Content: muestra el contenido de un fichero.
o Add-content: añade contenido a un fichero.
o Copy-item: copiar ficheros.
o Get-acl: muestra permisos sobre ficheros o directorios.

Para más información sobre PowerShell:
o Curso de Windows Server 2012 – Introducción a Power Shell:

http://www.youtube.com/watch?v=b_PXPT2cAnU
o Windows Power Shell – What are The Top 10 Cmdlets:
http://www.youtube.com/watch?v=UZ1M-aAFNFw
o Hacking Windows Accounts with PowerShell:
http://www.youtube.com/watch?v=XpHgSHQZNpU
No solo permite interactuar con el sistema operativo, sino también con programas
como:
1. SQL Server
2. Exchange
3. IIS
Comparativa Windows Server 2008,2012 y 2016
Antes de centrarnos en los dos últimos tipos de Windows Server, 2008 y 2012, veremos
una pequeña comparativa de las características que incluyen cada uno de ellos.
Vamos a ver como con cada nueva versión se amplían el número de funcionalidades de
seguridad y de mecanismos de protección.
Rendimiento y Windows Server Windows Server 2016

Windows Server 2012
escalabilidad 2008 R2
Procesos lógicos en 512
64 320
Hardware
Memoria física 1 TB 4TB 24TB
Procesadores virtuales 240

por 4 64
máquina virtual
Memoria por máquina 12TB
64 GB 1 TB
virtual
Para las siguientes tablas de van a utilizar los siguientes símbolos:

• No compatible
• Compatibilidad limitada
• Plena Compatibilidad

Seguridad Windows Server Windows Server Windows Server 2016
2008 R2 2012
Máquinas virtuales blindadas Seguridad en Sistemas Operativos
Just Enough Administration
Just-in-Time Administration
Credential Guard
Remote Credential Guard
Device Guard
AppLocker
Windows Defender
Protección de flujo de control
Detección de amenazas ✓
mejorada
Windows Server Windows Windows Server
Procesamiento
2008 R2 Server 2012 2016
Actualización gradual del
sistema operativo del clúster
Cargas de trabajo de Linux y
FreeBSD
Agregar y quitar disco,
memoria y red en caliente
GPU virtual de RemoteFX de
RDS
Herramientas de
administración de servidores
Opción de instalación de
Nano Server
Equilibrio de carga de
máquina virtual
Redes
2008 R2 Server 2012 2016
Controladora de red
Microsegmentación
Equilibrador de carga de
software
Almacenamiento
2008 R2 Server 2012 2016
Espacios de almacenamiento
directo
Calidad de servicio de
almacenamiento
Desduplicación de datos
Réplica de almacenamiento
Seguimiento de estado de
almacenamiento
Soporte para dispositivos
NVMe de alto rendimiento
Memoria persistente para
máximo rendimiento de las
aplicaciones

Servidor de archivos de
escalabilidad horizontal
Resistencia de
almacenamiento de
máquinas virtuales
Plataforma de aplicaciones Windows Server Windows Windows Server
preparada para la nube 2008 R2 Server 2012 2016
Contenedores de Windows
Server
Contenedores Hyper-V
Configuración de estado
deseada de Windows
PowerShell
Windows PowerShell 5.1
Información: https://www.microsoft.com/es-xl/cloud-platform/windows-server-
comparison
Una descripción detallada de cada una de las características analizadas puede ser
encontrada en Technical Feature Comparison Guide Windows Server 2016, Windows
Server 2012 R2, and Windows Server 2008 R2
Mejoras de Windows Server 2012
Windows Server 2012 posee una serie de mejoras a la hora de realizar una auditoría sobre
versiones anteriores de Windows y que han sido mantenidas en Windows Server 2016.
Características / Versiones anteriores de

Server 2012
Funcionalidad Windows
Directivas de auditoría
✖ ✓
basadas en expresiones
Auditoría de acceso a
✓ ✓
archivos
Auditoría de inicio de sesión

✓ ✓
de usuario mejorado
Auditoría de nuevos tipos de

✖ ✓
objetos protegibles
Auditoría de dispositivos de
✖ ✓
almacenamiento extraíbles

Información: http://www.windowstecnico.com/archive/2012/07/25/auditor-237-a-de-
seguridad-en-windows-server-2012.aspx
Con respecto a las características de auditoría de Windows Server 2016, en la guía

Windows 10 and Windows Server 2016 Security Auditing and Monitoring Reference se
puede encontrar una descripción detallada de los eventos de seguridad que disponen
ambos sistemas operativos.
1.6. Windows Server 2008
Conceptos previos
En esta edición de Windows Server, conviene diferenciar entre dos métodos de ejecución
distintos, diferenciados entre sí por los permisos y privilegios que disponen los
componentes del sistema. Estos modos de ejecución son:
1. Kernel Mode: es el modo que emplea el Sistema Operativo con más privilegios de
administración. Puede acceder a todas las funciones del núcleo (kernel) del sistema.
Sin embargo, aunque sea muy sencillo, rápido e intuitivo su manejo resulta
excesivamente vulnerable frente a cualquier tipo de ataque, puesto que este tipo de
actuaciones están encaminadas a hacerse con el control total del sistema operativo.
2. User Mode: es el modo empleado por los usuarios con menos privilegios de
administración (con diferencia del Kernel Mode, que es justo lo contrario). Los
ataques en este modo consisten en adquirir en algún momento los permisos de
administrador. El administrador tiene acceso a la modificación de los parámetros del
sistema, al igual que sucede con el primer modo enumerado (kernel mode), pero
nunca llega a poseer los mismos privilegios.
Cuando hablamos de seguridad dentro de Windows Server, tenemos que hacer referencia
a que consta de múltiples capas y se apoya en varios mecanismos y retos que se enfrentan
a todos los posibles intrusos. El concepto fundamental que no debemos olvidar es que
únicamente debemos permitir el acceso autenticado a recursos, a través del protocolo
de autentificación por desafío mutuo.

El protocolo de autentificación por desafío mutuo, consiste en que al acceder a un sistema

Windows Server 2008 se deberán introducir:
1. Nombre de usuario.
2. Contraseña.
Después de introducirlos se produce una validación de los datos y si todo es correcto, el

sistema asigna un token (que contiene la lista de valores SID asociados al usuario), a los
datos de la conexión gracias al módulo LSASS y estará hasta el cierre o desconexión de
la sesión.
Otro aspecto a considerar a la hora de configurar Windows Server 2008, es tener en

cuenta las plantillas y directivas de seguridad, que son funcionalidades que nos
proporciona Microsoft para gestionar las opciones de configuración del sistema que, de
otra manera, habría que administrarla utilizando directivas de grupo.
Windows Server 2008, ofrece dos modelos para compartir archivos:
Estándar: permite que los usuarios remotos tengan acceso a recursos de red como
archivos, carpetas y unidades.
Público: consiste en copiar o bien trasladar los archivos a la carpeta pública. También
es posible configurar Windows Server 2008 para que trabaje con NFS, un sistema de
compartición de carpetas locales en volúmenes NTFS a través del explorador de
Windows.

Seguridad
Dentro de esta distribución existen diversos protocolos de autentificación remota. Entre

ellos se encuentran los siguientes:
EAP: se usa para la información de autentificación entre el suplicante (la estación de

trabajo inalámbrica) y el servidor de autentificación.
MS-CHAPV2: es la versión de Microsoft del protocolo de autentificación de

contraseñas, la cual emplea una autentificación mutua unidireccional.
CHAP: es un método de autentificación remota o inalámbrica, muchos proveedores

lo utilizan. El ejemplo más práctico sería para autentificar a un usuario frente a un
ISP (Proveedor de servicios de Internet).
PAP: es un protocolo simple de autentificación para validar un usuario contra un

servidor de acceso remoto. Hay que tener en cuenta que este protocolo transmite
contraseñas en formato ASCII sin cifrar, por lo que es completamente inseguro. Se
usa como último recurso cuando el servidor de acceso remoto no soporta un protocolo
de autentificación más fuerte.
En la versión de Windows Server (concretamente la 2008 en adelante), se han incluido

mejoras como:
Administración del servidor, dispositivos y escritorio.

Protección de redes.
Administración de acceso e identidades y la protección de datos.
Instalación de Windows Server 2012: Stardard Edition
En primer lugar seleccionamos el idioma del sistema operativo:

Figura 46: Selección de idioma de W. Server 2012
A continuación nos pedirá el serial de nuestra licencia Windows server, lo insertamos,

pulsamos en siguiente y nos aparecerá la siguiente ventana:
Figura 47: Programa de Instalación de W. Server 2012 Standard Edition.
En nuestro caso, instalaremos la segunda opción, que incluye el servidor con un entorno
gráfico.

Figura 48: Instalación de W. Server 2012
Una vez se haya acabado la instalación, el sistema arrancará y nos pedirá que insertemos
un usuario y una contraseña, lo llevamos a cabo y pulsamos en siguiente.
Tras esta acción comenzará el primer arranque de nuestro Windows Server 2012:
Figura 49: Pantalla de Inicio

Figura 50: Cuentas de usuario
Como vemos aparecen dos usuarios:
Administrador: donde manejaremos y controlaremos todos los permisos.
Nota: la primera vez que accedamos al sistema, será necesario cambiar la contraseña de
administrador.
Laboratorio: usuario cliente de nuestro servidor de Windows Server.
Finalmente iniciaremos sesión con nuestra cuenta de administrador, para poder llevar a
cabo las configuraciones de nuestro servidor.
Recordatorio de credenciales
En caso de necesitar recordar nuestra contraseña de administrador, será necesario seguir

los siguientes pasos:
1. Introducimos un DVD o ISO de Windows Server 2012.

2. Seleccionamos la opción: reparar equipo.
3. A continuación seleccionamos la opción: solucionar Problemas.
4. Dentro de las opciones avanzadas seleccionamos: símbolo del sistema (CMD).

5. El siguiente paso es situarse en la unidad donde la hayamos instalado

(Normalmente suele ser D).
6. Accedemos a Windows\System32 con el comando: cd.
7. Ejecutamos el comando: move utilman.exe utilman.exe.bak, pulsamos enter.
8. Después ejecutamos: copy cmd.exe utilman.exe, pulsamos enter.
9. Escribimos el comando net user administrador /active:yes
10. Reiniciamos el sistema: shutdown –r –t 0.
11. Una vez reiniciado nuestro servidor, en la pantalla de bloqueo presionamos las teclas:
Windows+U accedemos a la línea de comandos.
12.En este paso, estableceremos la nueva contraseña para el usuario administrador: net
user administrador «contraseña_que_deseemos» y presionamos enter.
13.Finalmente ya podremos iniciar sesión con la contraseña cambiada de nuestra cuenta
de Administrador de Windows Server 2012.
Conceptos previos
Para poder cumplir adecuadamente con la organización de las diversas tareas que se
pueden ejecutar en el servidor, hay que tener en cuenta que existen dos grupos
fundamentales:
Roles: son empleados para definir una funcionalidad específica de un servidor, como
pueda ser un servidor: Web, DNS, DHCP, etc.
Características: son componentes autónomos de los roles pero que pueden servir
de apoyo a algunos de los roles instalados.
Nombre del equipo
El primer paso, sería acceder al botón Inicio/Equipo botón derecho propiedades,

cambiamos el nombre del equipo a: laboratorios.

Figura 51: Mi Equipo/Propiedades
Figura 52: Nombre de equipo: Laboratorios
Después de esto el sistema nos solicitará que reiniciemos el servidor.

Figura 53: Reinicio del Servidor
Active Directory
En esta parte, instalaremos el directorio activo y configuraremos las DNS: (Domain

Name Server).
Para ello nos autenticamos en nuestra cuenta de administrador.
A continuación, nos dirigimos a la opción: Server Manager/Agregar roles y

características
Figura 54: Administración del servidor (agregar roles y características)

Después nos aparecerá lo siguiente:
Figura 55: Agregar roles y características
Dentro de esta opción no escogeremos nada y pulsaremos en siguiente, ya que

únicamente sirve para quitar roles a los respectivos usuarios.
Figura 56: Selección de Servidor
Seleccionamos nuestro servidor, pulsamos en siguiente y accederemos a los roles del

servidor, que son las características que podemos añadir sobre nuestro W. Server:

Figura 57: Roles de Servidor
Marcamos la opción de: Servicios de dominio de Active Directory:
Figura 58: Agregar características

Agregamos las características y nos aparece el siguiente menú, que corresponde a los
componentes que deseamos instalar en nuestro servidor.
Figura 59: Componentes para instalar en nuestro servidor
En la siguiente ventana nos aparecerá una pequeña descripción sobre qué es el AD

(Active Directory) de Microsoft Windows.
Después confirmamos que queremos instalar Active Directory:
Figura 60: Instalación de Active Directory

Figura 61: Progreso de Instalación de Active Directory
Controlador de Dominio
Una vez hemos llevado a cabo la instalación de nuestro Active Directory, el siguiente paso
corresponde a la configuración del controlador del dominio. Para ello iremos al
Administrador del servidor y lo configuraremos:
Figura 62: Configuración de controlador de dominio
Pulsamos en: Promover este servidor a controlador de dominio.

Los datos que emplearemos a lo largo del resto de la instalación serán los siguientes:
#
# Script de Windows PowerShell para implementación de AD DS
#
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDnsDelegation: $false `
-DatabasePath “C:\Windows\NTDS” `
-DomainMode “Win2012R2” `
-DomainName “laboratorio.test” `
-DomainNetbiosName “LABORATORIO” `
-ForestMode “Win2012R2” `
-InstallDns: $true `
-LogPath “C:\Windows\NTDS” `
-NoRebootOnCompletion: $false `
-SysvolPath “C:\Windows\SYSVOL” `
-Force: $true
A continuación seleccionaremos la opción: Añadir un nuevo bosque. En Nombre de

dominio raíz colocaremos: laboratorio.test
Figura 63: Nombre del dominio

Es conveniente que tengamos en cuenta que si deseamos en algún momento modificar

el nombre del dominio, se debe de modificar en todo el árbol.
El siguiente apartado corresponde a las opciones del controlador del dominio:
Figura 64: Opciones del controlador
Dejamos las opciones por defecto y marcamos las casillas:
Servidor de Sistema de Nombres de dominio (DNS).

Catálogo global (GC).
Es necesario recordar la contraseña de restauración de los servicios de directorio, ya que

en caso de necesitar llevar a cabo una restauración, esta será completamente necesaria
para poder llevarla a cabo. El siguiente paso es indicar un nombre de dominio de
NetBIOS: laboratorio

Figura 65: Nombre de dominio NetBIOS
El siguiente paso es indicar las rutas de acceso, se indicarán las de por defecto:
Figura 66: Rutas de acceso
En el siguiente paso nos aparecerá la opción de revisar las opciones que hemos
configurado, aparece también una opción denominada: “Ver Script” este tiene que
coincidir con el descrito anteriormente debajo de la Figura 62: Configuración de
controlador de dominio.
Es conveniente que el administrador de sistemas se guarde este script por si

posteriormente le fuera necesario utilizarlo.

Una vez se ha verificado que todo está correcto, pulsaremos en siguiente y nos aparecerá
una comprobación de que cumplimos los pre-requisitos para que pueda llevarse a cabo
la instalación:
Figura 67: Asistente de configuración de servicios de AD
Pulsamos en instalar y posteriormente la máquina se reiniciará.
Una vez haya finalizado el proceso de instalación, si accedemos al administrador del

servidor, aparecerá que nuestro DNS ha sido instalado correctamente y que únicamente
faltaría llevar a cabo la configuración del DNS.
Aquí, dependiendo de los datos en cada caso, habría que emplear la herramienta: Tool
dns y configurar los parámetros correspondientes tales como:
Registro A
Zona Inversa
Creación de registro PTR enlazado con el servidor
Etc.
Herramientas / Directiva de seguridad local (Plantillas de Seguridad)
Tienen como función principal permitir de manera centralizada la administración de

todas las configuraciones relacionadas con la seguridad de estaciones de trabajo y/o
servidores. Se emplean para aplicar conjuntos personalizados de definiciones de grupo,
relacionadas con la seguridad de los distintos equipos que forman parte del dominio.

Algunas de estas utilidades son las siguientes:
1. Directivas de cuenta: son aquellas que controlan los credenciales, el bloqueo de

cuentas y Kerberos (es un protocolo de autenticación que permite a dos dispositivos
conectados dentro de una red insegura demostrar su identidad mutuamente de
manera segura, es decir, a través de claves criptográficas simétrica y/o asimétrica).
2. Directivas locales: son aquellas que se basan en controlar la seguridad de auditoría,

establecer derechos de usuario y otras opciones.
3. Firewall de Windows con seguridad avanzada: permite establecer reglas de

entrada, de salida y de la seguridad de la conexión.
4. Directivas de administrador de listas de redes: permite controlar todas las

redes a las que se conecta un usuario.
5. Directivas de clave pública:
o Sistema de cifrado de archivos (EFS): Es un sistema de archivos, que trabaja

conjuntamente sobre NTFS permitiendo cifrar archivos, cabe destacar que este
tipo de sistema es incompatible con la compresión de carpetas.
Ventajas:
- Su cifrado es simple, se realiza activando una casilla en las propiedades del
archivo en concreto.
- El usuario controla en todo momento quién puede leer los archivos.
- Los archivos se cifran una vez son cerrados, pero cuando el usuario los abre
quedan automáticamente listos para su uso.
- Si en algún momento el usuario decide no cifrarlo, puede hacerlo desactivando
la casilla que permite esto en propiedades.
Inconvenientes:
- EFS no es totalmente compatible con:
• Windows Vista y 7 Starter.
• Windows Vista y 7 Home Basic
• Windows Vista y 7 Home Premium.

o Protección de datos.
o Cifrado de unidad Bitlocker.
6. Directivas de restricción de Software: utilidad que permite crear una

configuración suficientemente restringida para los diferentes equipos que forman
parte del dominio, puesto que permite configurar de manera específica e identificada
las aplicaciones que se ejecuten.
7. Directivas de control de aplicaciones
o AppLocker: es una herramienta que permite controlar qué aplicaciones y/o

archivos pueden ejecutar los distintos usuarios. Esto incluye archivos de tipo
ejecutable, scripts, archivos de Windows Installer, DLL, instaladores de
aplicaciones etc.
8. Configuración de directiva de auditoría avanzada
o Inicio de sesión de cuentas.

o Administración de cuentas.
o Seguimiento detallado.
o Acceso DS.
o Inicio y cierre de sesión.
o Acceso a objetos.
o Cambio en directivas.
o Uso de privilegios.
o Sistema.
o Auditoría de acceso a objetos global.
Otras herramientas útiles son las siguientes:
1. Asistente para configuración de seguridad (SCW): determina la actividad

mínima requerida para la función o las funciones de un servidor y deshabilita aquella
que no resulta necesaria.
2. Secedit: Permite configurar y analizar el sistema de seguridad mediante la

comparación de una configuración existente para al menos una plantilla.

3. GPUpdate: es un comando empleado para llevar a cabo la configuración de directiva

de grupo local y dominio, incluyendo la propia configuración de seguridad.
4. GPResult: este parámetro muestra información de conjuntos resultantes de

directivas (RSop) ya sea para un usuario local, de dominio y/o de equipo.
5. Secpol.msc: permite ajustar la configuración de las directivas de cuentas, locales,

Firewall de Windows, etc.
Creación de usuarios y política de seguridad
En esta parte, vamos a llevar a cabo la creación de un contenedor de usuarios y la creación

de varios de estos.
Para ello vamos al panel de administrador del servidor y seleccionamos la opción:

Usuarios y equipos de Active Directory.
Figura 68: Usuarios y equipos de Active Directory

Nos aparecen los usuarios y equipos de Active Directory:
Figura 69: Usuarios y equipos de Active Directory
En ese listado aparecen todos los usuarios, así como grupos del Active Directory. Desde
él podemos modificar las propiedades que consideremos convenientes de cada uno de
ellos.
A continuación crearemos un usuario, para ello pulsamos sobre la carpeta Users y a

continuación, en la barra superior, en el icono de creación de usuario:
Figura 70: Creación de Usuario

Nota: otra posibilidad, sería crear un contenedor de usuarios nuevo (que cuelgue desde
laboratorio, test) y dentro de este contenedor los usuarios que considere el administrador
oportunos.
Creamos el nuevo usuario:
Figura 71: Creación de usuario
Configuramos una contraseña para el usuario:
Figura 72: Contraseña y opciones de nuevo usuario

Marcamos la primera opción, para forzar a que el usuario escoja y cambie su contraseña
la primera vez que se conecte.
Por otro lado, el administrador podrá añadir otras opciones de configuración para la
contraseña del usuario, tal y como figura en la imagen anterior.
Pulsamos en siguiente y nos aparecerá el resumen final del usuario creado:
Figura 73: Resumen final de usuario creado
Crearemos, tres usuarios más:
Usuario1
Usuario2
Usuario3
Al finalizar la creación de los tres usuarios, nos aparecerán en el panel de users:

Figura 74: Vista previa de los usuarios creados
A continuación crearemos un grupo de usuarios, desde la barra superior:
Figura 75: Creación de Grupo de usuario

Asignamos el nombre del grupo de usuarios:
Figura 76: Creación de grupo de usuario
Otra opción disponible es asignar los usuarios creados anteriormente al grupo: Unir.
Figura 7739: Añadiendo usuarios a un grupo

En la pestaña miembros, podemos agregar los diferentes usuarios que queremos que
pertenezcan a ese grupo:
Figura 78: Agregando usuarios a grupo Unir
Agregaremos: usuario1, usuario2 y usuario3, y finalmente ya estarán disponibles estos

tres usuarios dentro del grupo que le hemos asignado.
Otras opciones y medidas de seguridad disponibles para el control de los usuarios es

establecer: Rango de hora.
Para ello, pulsamos en cualquier usuario con botón derecho: Propiedades, tomando
como ejemplo el de la Figura 77: Añadiendo usuarios a un grupo, solo que en vez de ser
para grupos, es para usuarios.
Nos aparecerá la siguiente ventana, y a continuación seleccionamos la opción: Cuenta.

Figura 79: Seguridad y control de usuario
Para cambiar los valores de la matriz, podemos ir combinando cualquiera de las

siguientes acciones:
Cuando seleccionamos celdas de la matriz de horas, justo debajo de ella aparecerá un

mensaje que nos informa de forma textual, la selección que hemos hecho. Prestando
atención a su contenido, evitaremos errores.
Para seleccionar una hora en particular, solo habrá que hacer clic sobre la celda que
la representa.
Si lo que queremos seleccionar es una franja horaria, bastará con hacer clic en una de
las celdas que ocupen una esquina en el rango y, sin soltar el botón izquierdo del ratón,
arrastrar hasta la esquina opuesta (es decir, en diagonal).
Para seleccionar todas las horas de un determinado día, podemos hacer clic sobre el
botón que contiene el nombre del día (por ejemplo, lunes).
Para seleccionar todas las horas de varios días consecutivos (por ejemplo viernes y
sábado), procederemos como en el punto anterior, seleccionando el primero (o el
último) de los días, pero en lugar de soltar el botón izquierdo del ratón, lo
mantendremos pulsado mientras arrastramos el puntero hasta el botón que
representa el otro extremo del intervalo.

Para seleccionar toda la matriz a la vez, podemos hacer clic sobre el botón Todo.
Para seleccionar una determinada hora, pero en todos los días de la semana, hacemos
clic en el pequeño botón sin título que hay bajo el número que identifica la hora (si la
hora es par) o bajo el punto correspondiente (si es impar), ya que, como se puede ver,
solo están numeradas las horas pares.
Si queremos elegir un grupo de horas consecutivas para todos los días, procederemos
como en el punto anterior, seleccionando la hora que indique el principio o el final del
intervalo, pero en lugar de soltar el botón izquierdo del ratón, lo mantendremos
pulsado mientras arrastramos el puntero hasta el botón que representa el otro
extremo del intervalo.
Con esta medida podemos controlar y/o mantener correctamente supervisada la

interacción de los usuarios, esto viene bien por ejemplo para controlar las horas de
jornada de trabajo de un empleado o según las circunstancias que se presenten.
Otra medida interesante es limitar en que equipo/s puede iniciar el usuario sesión. Para
llevar a cabo esa configuración pulsamos en el botón «Iniciar sesión en»:
Figura 80: Control de inicio de sesión de usuarios

En esta sección podemos configurar a que equipo/s se puede conectar el usuario aplicado
con el rango de horario explicado en el punto anterior. De esa manera filtramos el
número de equipo/s al que el cliente puede conectarse y delimitamos un rango de
horario.
Podemos también limitar la cuota de disco/s que tengamos en las propiedades de este:
Figura 81: Cuota de disco

Disponemos también de una sección de Logs, registros y eventos:
Figura 82: Eventos del Sistema
Configuración de Directivas en Windows Server 2012
Cabe destacar que dentro de esta nueva versión del sistema operativo de Microsoft, se
pueden modificar las directivas que consideremos convenientes, esto ha cambiado
respecto a la versión de 2008.
Un ejemplo para cambiar la directiva o políticas de contraseña en esta edición de

Windows Server sería la siguiente:
1. Abrir el centro de administración de Active Directory
Figura 83: Centro de administración de Active Directory

2. Exploramos el dominio (local)> Sistema> Configuración de contraseña de

contenedores.
Figura 84: Directiva de contraseña de usuarios
En esta ocasión seleccionaremos: Password Settings, ya que queremos cambiar

directivas de las contraseñas, según lo que queramos deberemos explorar la opción
correspondiente.
Figura 85: Creación de configuración de contraseña
Seleccionamos: Configuración de contraseña

A continuación creamos la nueva directiva según las preferencias deseadas:
Figura 86: Creación de directiva de contraseña personalizada
Algunos ajustes configurables de esta opción son:
Hacer cumplir la longitud mínima de la clave.

Exigir un historial de contraseñas.
Las contraseñas deben de seguir unos requisitos previos (Mayúscula, Un número
etc.).
Número de inicios de sesión permitidos (establecerá el máximo número de intentos
de iniciar sesión y si pasado ese número se establecerá un tiempo de espera o el
administrador deberá desbloquear el sistema manualmente).
Almacenar la contraseña usando cifrado reversible.
Protección de un borrado accidental.
Compartición de Carpetas
Este tipo de utilidad ha sido la mayoría de las veces una tarea casi diaria y fundamental
en todas las organizaciones y/o empresas.

Para poder hacer uso de esta característica lo primero que debemos hacer es seleccionar
la carpeta que queramos compartir:
Pulsamos botón derecho: Compartir con > Usuarios específicos
Figura 87: Compartir carpeta
A continuación es necesario instalar un módulo de la sección: Rol de servicios de

archivos y de almacenamiento. Para llevarlo a cabo, debemos acudir al
Administrador del servidor y dentro de la ventana de Servicios de archivos y de
almacenamiento, pinchamos en Volúmenes y pinchamos en Inicie el Asistente
para agregar roles y características que se encuentra dentro de Recursos
compartidos.

Figura 88: Iniciar asistente de roles y características
Otra opción es como se realizó en la Figura 54: Administración del servidor (agregar
roles y características).
Se abrirá el asistente con la pestaña: Servidor de archivos y almacenamiento >

Servicios de iSCSI y archivo ya marcado. Pulsamos en Siguiente.
Figura 89: Servicios de archivos necesarios

Una vez haya terminado la instalación, volvemos al Administrador del servidor y en

Recursos Compartidos pinchamos en: Tareas y Nuevo Recurso compartido.
Figura 90: Creación de un recurso compartido
En el siguiente paso se dispone de dos tipos de recursos compartidas, cada uno de ellos
con sus respectivas opciones:
Recurso compartido SMB (Server Message Blocks): es un protocolo estándar

usado por la mayoría de versiones de Windows.
Recurso compartido con NFS (Network File System): es un protocolo

estándar usado por la mayoría de distribuciones Unix y Linux. Para poder usar este
tipo de recurso es necesario instalar el rol: Servidor para NFS. (Tal y como se
realizó en el paso anterior).

Llevaremos a cabo un ejemplo de la creación de un recurso SMB:
Figura 91: Selección del tipo de recurso a compartir: SMB o NFS
Lo seleccionamos y pulsamos en: Siguiente.
Para establecer una ruta para el recurso tenemos dos opciones posibles:
Seleccionamos una unidad del equipo, donde se creará dicho recurso en una carpeta
llamada: Share.
Indicándole una ruta específica.
Emplearemos la primera opción.

Figura 92: Compartiendo con la opción Share un recurso
A continuación, indicamos los datos para nuestro nuevo recurso (nombre, descripción,
etc.). Además podremos ver la ruta donde se creará:
Figura 93: Creación de recurso compartido

En la siguiente opción podemos configurar varias opciones:
Habilitar enumeración basada en el acceso: se muestra el recurso únicamente

a los usuarios autorizados.
Permitir almacenamiento en caché del recurso compartido: permite

acceder al contenido del recurso a los usuarios sin conexión, cacheando el recurso en
el equipo del usuario.
Cifrar acceso de datos: el acceso del archivo remoto se cifrará evitando que pueda
ser manipulado. Una sorprendente novedad es que no es necesario una entidad que
certificadora ni configuraciones adiciones, eso sí, esta característica únicamente está
disponible para Windows 8 en adelante.
Dejamos la opción que vienen por defecto:
Figura 94: Configuración de recurso compartido

Ahora podemos llevar a cabo la modificación de los permisos que consideremos

conveniente, pinchando en personalizar permisos:
Figura 95: Configuración de permisos de recurso compartido
Nos aparece un resumen para verificar que todos los pasos son correctos:
Figura 9640: Resumen de recurso compartido

Por último, ya tenemos nuestro recurso creado y disponible:
Figura 9417: Recurso creado
Firewall de Windows
Herramienta fundamental de seguridad para cualquier edición de este sistema.
Para acceder a él abrimos nuestro administrador de Windows Server y pulsamos en:

Herramientas/Firewall
Figura 98: Firewall de Windows

A continuación, nos aparece el panel del Firewall de Windows con seguridad avanzada.
Pulsamos en: Nueva Regla:
Figura 99: Nueva regla de Firewall
Seleccionamos el tipo de regla que queremos crear.
Figura 100: Bloqueo del puerto 23 Telnet

En nuestro caso, seleccionaremos: Protocolos y puertos e insertaremos el número 23,

correspondiente al servicio de: Telnet.
En la siguiente pestaña seleccionamos la operación que queremos realizar al respecto,

como se puede ver en la siguiente imagen:
Permitir la conexión.
Permitir la conexión si es segura. Si se utiliza una conexión mediante VPN a
través de IPsec.
Bloquear la conexión.
Figura 101: Acción de la regla
En nuestro caso la vamos a bloquear. En el siguiente paso nos aparece la opción de

indicar para qué perfiles queremos aplicar esta regla dentro del dominio:
Figura 102: Aplicación de regla a perfiles del dominio

Por último creamos un nuevo nombre para la regla establecida y una descripción:
Figura 103: Nombre de regla y descripción
Copias de Seguridad
En este último apartado explicaremos como realizar una copia de seguridad de nuestro
Windows Server.
Vamos a la opción de agregar Roles y características e instalamos: Copias de

Seguridad en Windows Server, hacemos clic en siguiente para llevar a cabo su
instalación.
Una vez que la instalación se haya completado satisfactoriamente, podremos ejecutar la

utilidad para la gestión de copias de seguridad desde el menú de administración del
servidor:

Figura 104: Copias de Seguridad
Dentro de este planificado se permite planear copias de seguridad del servidor:
Completas.
Personalizadas.
De discos duros específicos.
Pulsamos arriba, en el botón acción: Programar copia de seguridad.
Figura 105: Programar copia de seguridad
Se nos abre el asistente, pulsamos en Siguiente.
Por último seleccionamos el tipo de copia de seguridad que queremos hacer:

Figura 106: Configuración de copia de seguridad
Finalmente ya solo nos quedará configurar la copia de seguridad:
Mes, hora y día de la copia.

Disco destino.
Etc.
1.8. Windows Server 2012, auditoría
Introducción a la auditoría de seguridad
Una auditoría de seguridad ofrece la posibilidad de registrar una serie de acciones

realizadas sobre el sistema operativo. Posteriormente, por medio de este registro el
administrador puede tener constancia de las actividades que guardan relación con la
seguridad del sistema para observar y comprobar que todo lo que sucede en el equipo se
mantiene en base a las políticas definidas por la empresa y las reglas diseñadas por los
arquitectos de seguridad.a
Las auditorías en Windows Server 2012 R2 podemos encontrarlas agrupadas en dos

categorías diferentes, bien dentro de Directivas locales o dentro de Configuración
de directiva de auditoría avanzada.

Las dos posibilidades, Directivas locales y Configuración de directiva de auditoría

avanzada, fueron introducidas en momentos de tiempo diferentes, fue posible trabajar
con la primera categoría a la que hacemos referencia en este párrafo a partir de Windows
2000 y posteriores, la segunda se introdujo más tarde pudiendo trabajar con ella en
Windows Vista, Windows Server 2008 y posteriores.
Como podemos ver, agrupadas dentro de la categoría Directivas locales, encontramos

la categoría Directiva de auditoría. Este apartado muestra una serie de directivas de
auditoría básicas, pudiendo trabajar con un total de 9 configuraciones de auditoría.
Figura 107: Directivas de auditoría básica
Como podemos ver, el sistema operativo nos ofrece la posibilidad de registrar 9

configuraciones de auditoría, las describimos a continuación:
Auditar el acceso a objetos, permite auditar la actividad de un usuario sobre

objetos que no son de Active Directory y tienen implementada su propia lista de
control de acceso al sistema (SACL).
Auditar el acceso al servicio de directorio, permite auditar la actividad de un

usuario sobre objetos que son de Active Directory y tienen implementada su propia
lista de control de acceso al sistema (SACL).
Auditar el cambio de directivas, permite auditar los cambios en las directivas de

asignación de derechos de usuario, las directivas de auditoría o las directivas de
confianza.

Auditar el seguimiento de procesos, permite auditar el seguimiento de eventos

como, activación de programas, salida de procesos, duplicación de identificadores y
acceso indirecto a objetos.
Auditar el uso de privilegios, permite auditar cada instancia de usuario que utiliza
un derecho de usuario.
Auditar eventos de inicio de sesión de cuenta, permite auditar el intento de

inicio de sesión o cierre de sesión de un usuario en un equipo diferente al utilizado
para validar la cuenta.
Auditar eventos del sistema, permite auditar eventos producidos por un usuario
al apagar o reiniciar el equipo, también permite auditar eventos que afectan a la
seguridad del sistema o al registro de la seguridad.
Auditar la administración de cuentas, permite auditar eventos relacionados con

la administración de cuentas de usuario y grupos en el sistema.
Es posible obtener una información más detallada navegando por cada configuración de
auditoría que ofrece el sistema, para ello hay que acceder a las propiedades de cada
configuración de auditoría y posicionarse en la pestaña Explicación.
Figura 108: Descripción de la configuración de auditoría seleccionada
Agrupadas dentro de la categoría Configuración de directiva de auditoría avanzada,

encontramos la categoría Directivas de auditoría. Este apartado muestra las

directivas de auditoría avanzada, pudiendo trabajar con un total de 53 configuraciones

de auditoría.
Figura 109: Directivas de auditoría del sistema
Tanto Directivas de auditoría básica como la categoría Directivas de auditoría

avanzada contienen configuraciones de auditoría similares, pero existe una diferencia
entre ellas, trabajando con Directivas de auditoría avanzada es posible ser más preciso
en los tipos de eventos a auditar y con ello poder controlar ciertas acciones sobre el
sistema.
Las auditorías se pueden configurar por medio de dos herramientas ofrecidas por
Windows Server 2012 R2:
La primera herramienta es Administración de directivas de grupo que permite

configurar las directivas de auditoría solamente para los controladores de dominio
y/o para todos los equipos que forman parte del dominio.
La segunda herramienta trata de Directivas de seguridad local, las directivas

aquí almacenadas pueden ser configuradas por cualquier equipo, sea controlador de
dominio o no, este último método no se recomienda ya que en el caso de que las
directivas de grupo se encuentren activadas, sobrescribirán los registros de auditoría
configurados en Directivas de seguridad local.

Acceder a las directivas de auditoría localmente
La categoría Directiva de auditoría, tal como vimos en el apartado anterior de

introducción a las auditorías en Windows Server 2012 R2, nos ofrece una serie de
directivas de auditoría básicas y avanzadas, exactamente un total de 9 y 53 posibles
configuraciones de auditoría respectivamente, esto permite al administrador del sistema
someter a examen ciertas acciones registradas en el sistema.
Podemos acceder a la categoría Directiva de auditoría, mediante Administrador del

Servidor > Herramientas > Directiva de seguridad local.
No olvidemos que por medio de esta herramienta las directivas aplicadas serán
sobrescritas por las directivas operativas a nivel de dominio.
Figura 110: Acceso al panel Directiva de seguridad local
Una vez abierto el panel Directiva de seguridad local accedemos a la categoría Directiva
de auditoría mediante Configuración de seguridad > Directivas locales >
Directiva de auditoría, como vemos en la siguiente imagen:

Figura 111: Categoría Directiva de auditoría
Para configurar las Directivas de auditoría avanzadas debemos desplegar

Configuración de seguridad > Configuración de directiva de auditoría
avanzada > Directiva de auditoría del sistema – Objeto de directiva de
grupo local.
Figura 112: Directivas de auditoría avanzadas
Acceder a las directivas de auditoría de grupo
Configurar una auditoría mediante la herramienta Administración de directivas de

grupo nos permite ofrecer las directivas de grupo en dos modos diferentes para todos los
controladores de dominio y para todos los equipos que forman parte del dominio.
Describimos como configurar una auditoría para un dominio en los sucesivos párrafos.
Podemos acceder a la categoría Directiva de auditoría para un grupo, mediante

Administrador del Servidor > Herramientas > Administración de directivas
de grupo.

Figura 113: Acceso al panel de Administración de directivas de grupo
Una vez abierta la herramienta Administrador de directivas de grupo accedemos a la

categoría Objetos de directiva de grupo, para ello expandimos Administración de
directivas de grupo > {El bosque en el que queremos aplicar las directivas}
> Dominio > {Dominio en el que queremos aplicar las directivas} > Objetos
de directiva de grupo.
En este punto debemos seleccionar una de las dos posibilidades: Default Domain
Controllers Policy, configura las directivas sobre los controladores de dominio, o
Default Domain Policy, configura las directivas sobre todos los equipos que forman
parte del dominio.
Figura 114: Categoría Objetos de directiva de grupo
Para configurar las directivas en uno de los dos objetos de directiva de grupo
anteriormente nombrados, hacemos clic sobre el elemento deseado y seleccionamos
Editar.

Figura 115: Menú de opciones del objeto de directiva de grupo seleccionado
Se nos abre la herramienta Editor de administración de directiva de grupo y

expandimos en el árbol de la izquierda Directiva Default Domain Controllers
Policy […] > Configuración del equipo > Directivas > Configuración de
Windows > Configuración de seguridad.
Encontramos Directivas de auditoría dentro del nodo Directivas locales con 9

posibles configuraciones de auditoría y Configuración de directiva de auditoría
avanzada con 53 posibles configuraciones de auditoría.
Figura 116: Directiva de auditoría básica

Figura 117: Directiva de auditoría avanzada
Configurando la auditoría
Para configurar una auditoría debemos hacer doble clic o bien seleccionar Propiedades
del menú de opciones que facilita la directiva de auditoría que deseamos definir.
Figura 118: Configuración de directiva de seguridad

Para seleccionar el tipo de información que es de interés registrar en la auditoría,

debemos primeramente acceder a las propiedades de la directiva, como hemos visto en
la imagen anterior, y posicionarnos en la pestaña Configuración de directiva de
seguridad. Seleccionamos Definir esta configuración de directiva y si deseamos
registrar los intentos Correctos o Erróneos. En la tabla siguiente se puede encontrar una
relación de cada directiva de auditoría junto a que tarea realiza cada intento a auditar.
Directiva Correcto Erróneo

Auditar el acceso a objetos Genera una entrada de Genera una entrada de
auditoría cuando un usuario auditoría cuando un usuario
accede a un objeto que accede sin éxito a un objeto
implementa una SACL. que implementa una SACL.
Auditar el acceso al servicio Genera una entrada de Genera una entrada de
de directorio auditoría cuando el usuario auditoría cuando el usuario
obtiene un objeto de Active obtiene un objeto de Active
Directory de forma correcta. Directory de forma
incorrecta.
Auditar el cambio de Genera una entrada de Genera una entrada de
directivas auditoría cuando los cambios auditoría cuando los cambios
en las directivas se producen en las directivas se producen
de forma correcta. de forma incorrecta.
Auditar el seguimiento de Genera una entrada de Genera una entrada de
procesos auditoría cuando el sistema auditoría cuando el sistema
operativo realiza alguna operativo no puede realizar
actividad relacionada con los alguna actividad relacionada
procesos. con los procesos.
Auditar el uso de privilegios Genera una entrada de Genera una entrada de
auditoría cuando un usuario auditoría cuando un usuario
realiza una acción de la que realiza una acción de la que
dispone privilegios. no dispone privilegios.
Auditar eventos de inicio de Genera una entrada de Genera una entrada de
sesión auditoría cuando un usuario auditoría cuando un usuario
inicia sesión correctamente. inicia sesión incorrectamente
o no es capaz de iniciar sesión
correctamente.
Auditar eventos de inicio de Genera una entrada de Genera una entrada de
sesión de cuenta auditoría cuando un usuario auditoría cuando un usuario
inicia sesión en una cuenta inicia sesión en una cuenta
correctamente. incorrectamente.
Auditar eventos del sistema Genera una entrada de Genera una entrada de
auditoría cuando un evento auditoría cuando un evento
del sistema se ejecuta del sistema se ejecuta
correctamente. incorrectamente.
Auditar la administración de Genera una entrada de Genera una entrada de
cuentas auditoría cuando un evento auditoría cuando un evento
de administración de cuentas de administración de cuentas
se produce de forma correcta. se produce de forma
incorrecta.
Figura119: Tabla de descripción del registro de las directivas de auditoría básicas

Como ya vimos en el apartado primero, para completar esta información u obtener una
descripción más completa puede acceder a la pestaña Explicación que contiene cada
Directiva de auditoría en su versión ya sea bien básica o avanzada.
Las procesadas políticas de seguridad
Después de habilitar o modificar ciertas directivas de seguridad, el administrador de

sistemas puede revisar de qué modo estas políticas son actualizadas en los equipos del
grupo. Para ello Windows Server a través de la herramienta Editor de
administración de directivas de grupo, accesible mediante la opción Editar de
cualquiera de los objetos de directiva de grupo, nos permitirá hacerlo.
Figura 120: Acceso al editor de administración de directivas de grupo
Una vez en Editor de administración de directivas de grupo nos desplazamos por el

árbol Directiva Default Domain Controllers Policy [] > Configuración del
equipo > Directivas > Plantillas administrativas: … > Sistema > Directiva
de grupo y seleccionamos la directiva Configurar el procesamiento de directivas
de seguridad como vemos a continuación:

Figura 121: Configurar el procesamiento de directivas de seguridad
Esta directiva aplica el modo de actualizar las directivas de seguridad en determinados

escenarios, por ejemplo, cuando las condiciones de latencia en la conexión de red del
equipo cliente se ve incrementada, o la conexión de red es de bajo ancho de banda
(dispositivo móvil). En este tipo de caso el sistema de los equipos clientes afectados la
habilitan por defecto refrescando las políticas de seguridad cada 16 horas si no sufren
ningún tipo de cambio.
El administrador de sistemas puede habilitar o deshabilitar esta directiva, en el caso de

que sea habilitada se ofrece dos opciones de configuración.
La primera opción «No aplicar durante el procesamiento periódico en

segundo plano» desactiva la aplicación de las directivas de seguridad cuando el
usuario inicia sesión y cuando hace uso del equipo. La motivación para realizar esta
acción debiera estar justificada debido a la importancia de mantener un refresco de
las directivas de seguridad, uno de los motivos pudiera ser por ejemplo que al realizar
las actualizaciones alguna aplicación en ejecución en el sistema fallara.
La segunda opción «Procesar incluso si los objetos de directiva de grupo no

han cambiado», esta configuración activa un refresco continuo, en el caso de que el
usuario del equipo cliente modificara las directivas de seguridad estas volverían a ser
configuradas.

También puede revisar de forma complementaria la directiva Establecer el intervalo

de actualización de la directiva de grupo para equipos, esta configuración
permite insertar la frecuencia con que se actualiza la directiva de grupo en los equipos
clientes, el tiempo por defecto es de 90 minutos con un desplazamiento temporal de 30
minutos para impedir que todos los clientes soliciten la actualización al mismo tiempo.
La auditoría de ficheros y directorios
La auditoría no solo es aplicable sobre directivas para controlar ciertos eventos, también
en sistemas de ficheros NTFS se permite configurar la auditoría de ficheros y directorios.
Para acceder a la ventana de configuración primeramente debemos activar las directivas
de auditorías Auditar el acceso a objetos y Auditar el acceso al servicio de
directorio, tras esto seguimos los siguientes pasos,
1 Hacemos clic derecho sobre el fichero o directorio deseado y seleccionamos

Propiedades.
2 Seleccionamos la pestaña Seguridad.
3 Hacemos clic Opciones Avanzadas.
4 Seleccionamos la pestaña Auditoría.
5 Hacemos clic sobre Agregar.
Una vez en la ventana Entrada de auditoría, como podemos ver en la próxima

imagen, seleccionamos el elemento enlazado de la parte superior derecha de la ventana
con título Seleccionar una entidad de seguridad.
En la siguiente ventana que se abre seleccionamos el usuario o grupo del que se tenga
interés realizar el registro de auditoría, una vez finalizada la configuración seleccionamos
Aceptar procediendo a registrar la entrada de seguridad.

Figura 122: Ventana entrada de auditoría
Para configurar la entrada de auditoría seguimos los siguientes pasos:
1 Seleccionamos el tipo de evento a registrar correcto, erróneo o ambas.

2 Seleccionamos el nivel de aplicación de la entrada de auditoría.
3 Los permisos que deseamos auditar, Mostrar permisos avanzados amplía el número
de permisos auditables.
4 Seleccionamos si es de interés aplicar esta configuración a todos los objetos
contenidos en el directorio.
5 Podemos agregar una condición para restringir el ámbito de aplicación de la entrada
de seguridad.
6 Aceptamos.
Figura 123: Ventana de auditoría con una entrada registrada

Ya se encuentra registrada nuestra regla de auditoría sobre fichero o directorio

seleccionado.
La auditoría de impresoras
De la misma manera que en el apartado anterior configurábamos una auditoría sobre

ficheros y directorios, ahora vamos a ver como configurar una auditoría sobre
impresoras.
Para realizar la configuración, primero debemos activar las directivas de auditorías

Auditar el acceso a objetos y Auditar el acceso al servicio de directorio. Tras
esto, debemos entrar al Panel de Control y acceder a Dispositivos e Impresoras,
hacemos clic derecho sobre la impresora de interés para desplegar el menú de opciones
y seleccionamos Propiedades de Impresora, ahora vamos a la pestaña
Seguridad, seleccionamos Opciones Avanzadas, accedemos a la pestaña
Auditoría y hacemos clic sobre el botón Agregar, se nos abre una ventana de Entrada
de Auditoría, como en la siguiente imagen:
Figura 124: Entrada de auditoría para impresoras
Una vez en la ventana Entrada de auditoría seleccionamos el elemento enlazado de

la parte superior derecha de la ventana con título Seleccionar una entidad de
seguridad, en la siguiente ventana que se abre seleccionamos el usuario o grupo del
que es interés realizar el registro de auditoría de impresoras, seleccionamos Aceptar y
procedemos a registrar la entrada de seguridad.

Figura 125: Entrada de auditoría para impresoras, entidad de seguridad seleccionada
1. Seleccionamos el tipo de evento a registrar correcto, erróneo o ambas.

2. El nivel de aplicación, en este caso se encuentra deshabilitado.
3. Seleccionamos los permisos que deseamos auditar, Mostrar permisos avanzados
amplía el número de permisos auditables.
4. Aceptamos.
Figura 126: Ventana de auditoría con una entrada de auditoría registrada

La auditoría de elementos del Directorio Activo
Es posible auditar elementos de Directorio Activo, como dominios, objetos y carpetas.
Para realizar una auditoría sobre estos elementos debemos primeramente activar las
directivas de auditorías Auditar el acceso a objetos y Auditar el acceso al
servicio de directorio, tras esto, acceder a la herramienta Usuarios y equipos de
Active Directory, accesible mediante Administrador del servidor.
Una vez en Usuarios y equipos de Active Directory comprobar que está activada la
opción Características avanzadas disponible en el menú Ver.
Para agregar una regla sobre un elemento hacer clic derecho sobre el dominio, objeto o
carpeta deseada y seleccionar Propiedades. Seleccionar la pestaña Seguridad, hacer
clic en el botón Opciones Avanzadas, seleccionar la pestaña Auditoría y hacer clic
en Agregar, se nos presenta una ventana de Entrada de auditoría, como en la imagen
siguiente.
Figura 127: Ventana de entrada de auditoría de Usuarios y equipos de Active Directory

Para crear la entrada de auditoría sobre un elemento de Active Directory debemos de

seguir una serie de pasos:
1. Seleccionamos la Entidad de seguridad.

2. Seleccionamos los tipos de auditoría correctos, erróneos o ambos.
3. Seleccionamos el tipo de aplicación de la auditoría.
4. Seleccionamos entre el número de permisos posibles.
5. Seleccionamos Aceptar.
Además de los elementos auditables de Active Directory mostrados anteriormente,

también es posible auditar sitios y servicios. Para realizar auditoría sobre estos
elementos debemos acceder a la herramienta Sitios y servicios de Active
Directory, accesible mediante Administrador del servidor y una vez en Sitios y
servicios de Active Directory comprobar que está activada la opción Características
avanzadas disponible en el menú Ver.
Para agregar una regla de auditoría sobre un elemento, hay que hacer clic derecho sobre
el dominio, objeto o carpeta deseada y seleccionar Propiedades, seleccionar la pestaña
Seguridad, hacer clic en el botón Opciones Avanzadas, seleccionar la pestaña
Auditoría y hacer clic en Agregar, se nos presenta una ventana de Entrada de
auditoría, como se ve en la imagen:
Figura 128: Ventana de entrada de auditoría Sitios y Servicios de Active Directory

Para crear la entrada de auditoría sobre un elemento de Active Directory debemos de

seguir una serie de pasos:
1. Seleccionamos la Entidad de seguridad.

2. Seleccionamos los tipos de auditoría correctos, erróneos o ambos.
3. Seleccionamos el tipo de aplicación de la auditoría.
4. Seleccionamos entre el número de permisos posibles.
5. Seleccionamos entre las posibles propiedades configurables ofrecidas.
6. Seleccionamos si deseamos hacer heredable la configuración a los elementos del
contendor en configuración.
7. Seleccionamos Aceptar.
Mediante los pasos anteriores ya tenemos creada nuestra entrada de auditoría para
establecer registro de eventos aplicando reglas de interés.
Visualización de eventos
Para visualizar los eventos establecidos accedemos al Panel de Control >

Herramientas Administrativas > Visor de Eventos. Una vez en la aplicación, en
el panel de la izquierda, desplegamos el nodo Registros de Windows > Seguridad.
La herramienta Visor de Eventos nos facilita un Filtro para visualizar las entradas de
registro deseadas, entre otra serie de complementos visibles en el panel derecho.
Manipular directivas de auditoría con Auditpol
Auditpol es una herramienta de línea de comandos que permite manipular las directivas
de auditoría de forma menos limitada a como lo permite GPO.
La sintaxis de esta aplicación es:
auditpol comando [<subcomando > <opciones>]
En la siguiente tabla se describen los comandos principales que soporta la aplicación,

disponiendo cada uno de estos comandos de subcomandos que pueden consultarse en el
símbolo del sistema mediante el comando:
Auditpol /comando /?

Subcomando Descripción
/Get Muestra la directiva de auditoría actual
/Set Establece la directiva de auditoría
/List Muestra los elementos de directiva
seleccionables
/copia de seguridad Guarda la directiva de auditoría en un
archivo
/restore Restaura la directiva de auditoría de un
archivo que se ha creado previamente
mediante el uso de /backup auditpol.
/Borrar Borra la directiva de auditoría.
/Remove Elimina valores de directiva de auditoría
por usuario y deshabilita la configuración
de directiva de auditoría de todos los
sistemas.
/resourceSACL Configura listas de control de acceso a
recursos globales del sistema (SACL).
/? Muestra la ayuda.
Figura 129: Tabla de comandos principales de auditpol
Realizamos una prueba para lista listar todas las categorías de auditoría posibles con el
comando:
auditpol /list /subcategory:*

El anterior comando da la salida mostrada a continuación:
Figura 130: Subcategorías de auditoría listadas con la herramienta auditpol

Windows 10 apareció en 2016 con algunas diferencias con respecto a Windows Server
2012. Las más destacadas han sido:
Nano Server: tipo de instalación que permite al administrador instalar aquellas

partes del sistema operativo que necesite evitando la necesidad de un volumen de
almacenamiento elevado y mejorando el rendimiento. Además, no tiene interfaz
gráfica ni capacidad de inicio de sesión local, está pensado para una gestión
totalmente remota.
Contenedores: los contenedores nos proveen lugares aislados para la ejecución de
aplicaciones sin afectar al sistema que lo alberga y viceversa. Se incluyen dos tipos
diferentes, contenedores de Windows Server en el que el contenedor comparte
el kernel con el sistema operativo host pero deponiendo de un aislamiento en el
espacio de nombre, procesos y control de recursos. Los contenedores Hyper-V
incluyen aislamiento a nivel de kernel entre cada contenedor de este tipo.
Posibilidad de virtualizar Hyper-V.
Actualización gradual de nodos: permite añadir nodos con Windows Server
2016 a un clúster Windows Server 2012 R2 e ir actualizándolo sin necesidad de
paradas, clúster secundario, hardware ni almacenamiento adicional.
Añadir y eliminar adaptadores de red virtuales en caliente.
PowerShell Direct: permite ejecutar comandos de Power Shell en una máquina
virtual desde la máquina host sin necesidad de realizar ninguna configuración y
evitando problemas con las configuraciones de red o del firewall.
Con respecto a la seguridad podemos destacar:
Virtualization Based Security (VBS)
Esta característica nos permite aislar los servicios y datos más importantes del resto de
componentes del sistema operativo basándose en Microsoft Hyper-V. La idea es que
entre el hardware y el sistema operativo host se coloca el Hypervisor, al contrario que en
una arquitectura tradicional. Sobre esta arquitectura, se crea un espacio separado del
sistema operativo host en el que se ejecutan procesos específicos y se gestiona la memoria
asociada a los mismos. Actualmente los servicios incluidos en esta área son Local
Security Authority (LSA) y Code Integrity.

Este último está compuesto de de una función de control para el Kernel (Kernel Mode
Code Integrity (KMCI)) y otra para el hypervisor (Hypervisor Code Integrity (HVCI)). La
imagen siguiente nos muestra la arquitectura resultante:
Figura 131: Arquitectura de VBS (Fuente: Windows 10 Device Guard and Credential Guard
Demystified)
Device Guard
Esta nueva característica permite bloquear la carga de drivers, binarios de nivel de

usuario, ejecutables y scripts que no han sido autorizados en la política. Su configuración
es sencilla, ya que consiste en activar una directiva de grupo en la que disponemos de
diferentes características:
o Para prevenir ataques en el arranque dispone de lo que se conoce como UEFI
Secure Boot que nos de ataques en el proceso de arranque y de la instalación
de un firmware malicioso.
o Nos permite controlar ataques a nivel de kernel usando VBS.
o Permite determinar los accesos a memoria usando VBS.
o Permite definir una lista de software que se permite ejecutar, evitando la
ejecución de malware.
o Se pueden definir políticas sobre la validación de firma de código, evitando la
ejecución de código malicioso.

Credential Guard y Remote Credential Guard
Muy relacionada con la anterior, lo que se hace con esta característica es que la gestión
de las credenciales se mueve al VBS. Esto permite que dichas credenciales nunca sean
reveladas a un espacio de memoria al que pueda acceder un atacante. Para el caso de
conexiones remotas, lo que se logra es que las credenciales del usuario nunca abandonen
la máquina en la que se está autenticando.
Control Flow Guard
Esta característica permite definir a los desarrolladores de software en el código

compilado donde llamadas indirectas pueden ser ejecutadas. De esta forma en tiempo de
ejecución se analiza si una llamada indirecta tiene como objetivo una dirección invalida,
y si es así dicho programa es finalizado.
Shielded Virtual Machines and Host Guardian Service
Esta nueva característica nos permite proteger las máquinas virtuales de host maliciosos.
Si pensamos que la información de una máquina virtual va a estar almacenada en
ficheros, la protección de estos es importantísima. Con esta nueva característica
introducida den Windows server 2016 se pretende realizar dicha protección.
Conocido como la segunda generación de máquinas virtuales, disponen de un TPM
virtualizado, cifrado con bitlocker y que solamente permite su ejecución en sistemas
confiables.
Para llevar a cabo esta funcionalidad se basa en dos servicios ofrecidos por el servicio
conocido como Host Guardian Service (es un nuevo role definido en esta nueva versión
de Windows server):
o Servicio de atestación: se encarga de validar que el host es confiable y de ser
así genera un “Health Certificate” para ese host que pasa a ser considerado
como seguro.
o Servicio de protección de clave: el host le envía el Health Certificate
conseguido en el paso anterior y este servicio le pasa las claves necesarias para
acceder a las máquinas virtuales de ese escudo.

Privilegios de administración
Los privilegios de administración a usuarios es siempre un tema que debe ser analizado
cuidadosamente. Con el objetivo de mejorar la seguridad en este aspecto se definen dos
nuevos conceptos. El primero de ellos, Just Enough Administration, se basa en proveer
solamente las herramientas administrativas necesarias para realizar las tareas
administrativas que debe llevar a cabo un determinado administrador. Como
complemento a este enfoque, también se ha definido Just In time Administration, en la
que se permite asignar a usuarios a grupos con privilegios de administración por un
tiempo determinado, evitando la asignación permanente de los usuarios a dichos grupos.

Lo + recomendado
Lecciones magistrales
NAP (Protección de Acceso a Red)
En esta lección magistral se tratará una herramienta nueva que introdujo Microsoft
desde Windows 2008 y que nos permite tener la red bajo un estado de salud aceptable,
denegando el acceso a la red de aquellos equipos que no cumplan unos requisitos
mínimos de seguridad.
La clase magistral está disponible en el aula virtual.
TEMA 1 – Lo + recomendado 115

No dejes de leer…
Windows Server 2008
Sosinsky, B. (2009). Windows Server 2008, Instalación y Administración (1ª edición).

Madrid: Ediciones EJEMP Multimedia.
En referencia a este tema, nos interesan el capítulo 4 y el capítulo 9. En

el capítulo 4 se realiza una introducción al pulmón del Windows Server,
el Active Directory. Conocerás las peculiaridades que tiene y
aprenderás a ver los diferentes tipos de objetos que lo componen. El
capítulo 9 hace un resumen de lo que el sistema operativo Windows
Server 2008 ofrece a una empresa referencia a la seguridad.
Copias de seguridad y restauración de datos
Stanek, W. (2011). Windows Server 2008 R2, Guía del Administrador. Madrid:
Ediciones EJEMP Multimedia.
De este libro nos resultan interesantes los capítulos 13 y 16. En

el capítulo 13 podrás ver las características específicas de los
volúmenes, como la disposición, tipo, sistema de archivos,
estado y capacidad desde la utilidad administrador de discos.
En el capítulo 16 se analizan cada uno de estos tipos de copias
de seguridad, detallando las características de cada tipo de
copia.

Los servicios de Internet Information Server
Raya Cabrera, J. L., Raya González, L. y Martínez Ruiz, M. (2010). Windows Server
2008, Configuración Avanzada (1ª Edición). Madrid: RA-MA Editorial.
En el segundo capítulo del libro de Raya Cabrera se trata el

servicio web y de FTP que ofrece Microsoft a sus clientes. Con su
lectura aprenderás a instalar, entrando en detalle en cómo se
configura.
Seguridad en Sistemas Windows
Lockhart, A. (2007). Seguridad de redes. Los mejores trucos (2ª edición). Madrid:
Ediciones Anaya Multimedia.
El segundo capítulo de este libro nos presenta unos trucos que

tenemos que tener en cuenta a la hora de asegurar nuestros
equipos de Microsoft.

+ Información
A fondo
Evaluation Guide Windows Server 2012
En este artículo Microsoft nos habla en profundidad de las mejoras incluidas en Windows
Server 2012.
Accede al artículo a través del aula virtual o desde la siguiente dirección web:
http://download.microsoft.com/download/5/B/2/5B254183-FA53-4317-B577-
7561058CEF42/WS%202012%20Evaluation%20Guide.pdf
Webgrafía
Windows 10
Página web del sistema operativo Windows 10.
Accede a la página web a través del aula virtual o desde la siguiente dirección:
https://www.microsoft.com/es-es/windows/features
TEMA 1 – + Información 118

Windows Server 2012, nuevas características
En esta versión de Windows se realizan una serie de mejoras frente a la versión Windows
Server 2008.
http://blogs.msmvps.com/quilez/2012/05/14/windows-8-server-191-vale-la-pena-
actualizarse/
Windows Server 2012 R2
La revisión 2 de Windows server mejora el soporte de Windows Azure con Hyper-V

Recovery Manager que extienden las mejoras ya hechas en el 2012.
http://www.tectimes.net/articulo-windows-server-novedades-en-virtualizacion-hyper-
v-de-windows-server-2012-r2/#Hyper-V_Recovery_Manager

Windows Server 2016
Página web del sistema operativo Windows Server 2016.
https://www.microsoft.com/es-es/cloud-platform/windows-server
IIS
Página web del IIS en la que podemos descargar IIS además de varias extensiones
compatibles con la versión de IIS escogida.
http://www.iis.net/

PowerGUI
Página web de PowerGUI, en la que podemos descargar el entorno gráfico para el

desarrollo de scripts en Windows PowerShell.
http://powergui.org/
VeraCrypt
Página web de VeraCrypt, en la que podemos descargar el software de cifrado y varios

manuales de uso.
https://veracrypt.codeplex.com/

Bibliografía
Jimeno García, M. T., Míguez Pérez, C., Heredia Soler, E., Caballero Velasco, M. Á.
(2011). Destripa la red. Madrid: Ediciones EJEMP Multimedia.
Jimeno García, M. T., Míguez Pérez, C., Matas García, A. M., Pérez Agudín, J. (2009). La
Biblia del hacker. Madrid: Ediciones EJEMP Multimedia.
Lockhart, A. (2007). Seguridad de redes, los mejores trucos (1ª edición). Madrid:
Ediciones EJEMP Multimedia.
R. Stanek, W. (2011). Windows Server 2008, Guía del Administrador (1ª edición).
R. Stanek, W. (2011). Windows Server 2008 R2, Guía del Administrador. (1ª edición).
Royer, J. M. (2004). Seguridad en la informática de la empresa. Riesgos, amenazas.

Prevención y soluciones (1ª edición). Barcelona: Ediciones ENI.

Actividades
Trabajo: Usuarios y permisos
Queremos hacer que el usuario «nombre del alumno» tenga permisos para usar una
carpeta compartida de documentos. Crear el usuario «nombre del alumno» y asignarle
permisos sobre dicha carpeta para que pueda acceder desde cualquier sitio de la red.
Describe paso a paso y detalladamente cómo se ha realizado dicho procedimiento,

incluyendo imágenes (como capturas de pantalla). También será necesario que se incluya
un índice del trabajo y una webgrafía o bibliografía de las páginas web o libros utilizados
para realizar la actividad.
Como último punto, se debe unir una máquina al dominio y comprobar que el usuario
«nombre del alumno» puede acceder a la carpeta y que otro usuario no puede acceder.
NOTA: El usuario debe ser del dominio curso.com y se debe contemplar que
posiblemente se creen más usuarios con el mismo perfil y permisos.
Trabajo: Directivas
Responde a las siguientes preguntas:
¿Qué diferencia hay entre las directivas de grupo y las directivas locales?
¿Qué diferencia hay entre auditar lo sucesos de inicio de sesión y auditar los sucesos
de inicio de sesión de cuenta?
En esta actividad se pide crear una directiva de grupo para impedir que el alumno
acceda al panel de control para que así no pueda modificar la configuración de la
máquina. También vamos a impedir que el alumno cambie el fondo de pantalla.
Implementa las directivas necesarias para aplicárselo al usuario «nombre del alumno»
anteriormente creado. Además, se debe probar desde la máquina unida anteriormente al
dominio que las directivas definidas funcionan correctamente, es decir, el usuario
«nombre del alumno» tiene limitado esos permisos pero otro usuario no los tiene.
TEMA 1 – Actividades 123

Describe paso a paso y detalladamente como se ha realizado dicho procedimiento,

incluyendo imágenes (como capturas de pantalla). También será necesario que se incluya
un índice del trabajo y una webgrafía o bibliografía de las páginas web o libros utilizados
para realizar la actividad.
TEMA 1 – Actividades 124

Test
1. ¿Qué función tiene el control de acceso de usuarios, UAC en los sistemas operativos
Windows?
A. Autenticar los usuarios en el inicio de sesión.
B. Notificar al usuario ante cualquier cambio que se vaya a realizar en la
configuración del equipo y pedir confirmación.
C. Añadir o quitar privilegios a los distintos usuarios y grupos en el sistema.
D. Todas las anteriores son incorrectas.
2. ¿Cuáles son los tipos de perfiles del firewall de Windows?

A. Perfil autoritario, perfil público y perfil privado.
B. Perfil privado y perfil público.
C. Perfil de dominio, perfil público y perfil privado.
D. Perfil de dominio y perfil autoritativo.
3. Applocker es:
A. Una herramienta de control de ejecución de aplicaciones y scripts.
B. Una herramienta que permite cifrar on-the-fly, tanto discos duros como medios
extraíbles.
C. Un firewall comercial.
D. Una herramienta de control de accesos y registro de accesos para
administradores en Windows.
4. Indica qué afirmación no es correcta sobre PowerShell:

A. La política de ejecución RemoteSigned consiste en que solo se podrán ejecutar
los scripts que sean remotos, el resto deberán estar firmados.
B. El comando Get-Content muestra el contenido de un archivo.
C. Nos permite interactuar con otras aplicaciones de Windows como Exchange, IIS
o SQL Server.
D. Se puede hacer un bypass a las políticas de ejecución locales únicamente
copiando y pegando el texto en la consola.
TEMA 1 – Test 125

5. ¿Qué es SmartScreen?
A. Un método de generación de contraseñas a partir de imágenes.
B. La interfaz de Windows 8, que incluye una SandBox.
C. Un filtro de phishing y malware mediante el escaneo de las URL.
D. Un mecanismo de protección para la ejecución de código en la pila.
6. Indica qué afirmación es correcta respecto al Active Directory:

A. Permite autenticar usuarios y almacenar sus respectivas preferencias de
aplicaciones y recursos.
B. Permite gestionar los recursos de un dominio.
C. Está basado en una serie de estándares establecidos por la unión internacional
de comunicaciones (UIT) llamados x.500.
D. Todas las anteriores son correctas.
7. ¿Cuál de las siguientes opciones no podemos realizar en un Windows Server 2012?

A. Compartición de carpetas.
B. Configurar las directivas de seguridad.
C. Configurar el controlador de dominio.
D. Configurar las políticas de gestión de herramientas y servicios.
8. ¿Qué son EAP, MS-CHAPV2, CHAP y PAP?

A. Protocolos de cifrado on-the-fly.
B. Protocolos de autenticación remota.
C. Protocolos de comunicación segura en entornos Windows.
D. Protocolos de funciones hash.
9. Indica qué afirmación es correcta sobre Direct Access:

A. Permite a los usuarios transferirse privilegios entre ellos de una forma
controlada y segura.
B. Permite a los usuarios acceder a las herramientas corporativas utilizando una
VPN de forma transparente y segura.
C. Permite acceder al sistema con permisos de administrador.
D. Todas las anteriores son incorrectas.
TEMA 1 – Test 126

10. ¿En qué consiste la auditoría en un Windows Server 2012?

A. Buscar y explotar vulnerabilidades de seguridad de las aplicaciones del servidor.
B. La afirmación anterior y además, la realización de informes sobre las
vulnerabilidades encontradas y el proceso para evitarlas.
C. Registrar las acciones realizadas sobre el servidor para comprobar que todo en
el equipo se mantiene según las políticas de la empresa.
D. Ninguna de las anteriores.
TEMA 1 – Test 127

Tema 1

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Tema 1

Încărcat de

Drepturi de autor:

Formate disponibile

Sistemas Windows

[1.1] ¿Cómo estudiar este tema?

[1.5] Windows Server

[1.6] Windows Server 2008

[1.7] Windows Server 2012

[1.8] Windows Server 2012, auditoria

[1.9] Windows Server 2016

Windows 7 Windows 8 Windows Server

1.1. ¿Cómo estudiar este tema?

Comenzaremos viendo Windows 7. En este sistema operativo podemos encontrar

Control de acceso de usuarios (UAC)

Después nos centraremos en Windows 8, en concreto en la versión 8.1. De nuevo veremos

TEMA 1 – Ideas clave 3

En el capítulo siguiente comenzaremos a ver Windows Server, con una pequeña

Finalmente veremos el proceso de auditoría de un Windows Server 2012 por parte de un

En cuanto a la seguridad de Windows 7, podemos ver incorporadas una serie de

Control de acceso de usuarios (UAC): fue una característica añadida desde

TEMA 1 – Ideas clave 4

Figura 1: Imagen del control de acceso de usuarios

Reproducción automática: la reproducción automática la vamos a orientar en el

TEMA 1 – Ideas clave 5

Figura 2: Inicio de Windows 7

2. Ahora vamos a Hardware y Sonido:

Figura 3: Panel de control de Windows 7

TEMA 1 – Ideas clave 6

3. Ahora podemos configurar las acciones para cada dispositivo:

Figura 4: Reproducción Automática

WBF (Windows Biometric Framework): son periféricos capaces de reconocer

TEMA 1 – Ideas clave 7

4. Nos vamos al Panel de control > Hardware y sonido:

Figura 5: Panel de control de W7 para WBF

5. Seguimos los pasos del asistente de configuración:

Figura 6: Configuración del Dispositivo de huellas dactilares

TEMA 1 – Ideas clave 8

Cifrado en unidad de datos: la unidad se cifra y se protege su acceso por usuario

El desbloqueo del sistema se realiza en el arranque del sistema operativo, mientras

TEMA 1 – Ideas clave 9

1. Nos vamos al botón de inicio:

Figura 7: Inicio de Windows 7

2. Hacemos clic en Panel de Control:

Figura 8: Ir al panel de control

3. Vamos a Sistema y Seguridad > Cifrado de unidad BitLocker:

Figura 9: Accedemos a la herramienta BitLocker

TEMA 1 – Ideas clave 10

4. Cuando estemos dentro de BitLocker nos saldrá la imagen siguiente, en la que

Figura 10: Cifrado de BitLocker

AppLocker: es una herramienta avanzada para el control de ejecución de aplicaciones

TEMA 1 – Ideas clave 11

1. Tenemos que ejecutar gpedit.msc desde inicio de Windows:

Figura 11: Accedemos a gpedit.msc

2. Nos saldrá la siguiente ventana y nos dirigimos a AppLocker, como muestra la

Figura 12: Accediendo a AppLocker

TEMA 1 – Ideas clave 12

Figura 13: Crear una nueva regla

Figura 14: Ventana de configuración

TEMA 1 – Ideas clave 13

Figura 15: Asignando los permisos de la regla

6. En la pestaña de condiciones podemos establecer las condiciones de dicha regla:

Figura 16: Selección de condiciones

TEMA 1 – Ideas clave 14

Como podemos ver en la imagen anterior aparecen tres posibles condiciones:

o Editor: permite o deniega la ejecución según la firma de los programas.

Figura 17: Opción Editor