• Author / Uploaded
• Juan Carlos CONDORI MAYTA

• Categories
• Active Directory
• Registro de Windows
• Microsoft Windows
• Redes de computadoras
• Áreas de la informática

Citation preview

Asignatura Seguridad en Sistemas Operativos Propietarios

Datos del alumno

Fecha

Apellidos: CONDORI MAYTA 17/06/2019 Nombre: Juan Carlos

WINDOWS SERVER 2012 1. Introducción En el presente documento se explican las bases de administración de la seguridad de Windows Server 2012 con directivas de grupo, partiendo de cero, instalando en primer lugar el sistema operativo, diseñando la estructura del dominio e implementando el mismo, se detalla la creación del bosque, así como la administración de los elementos más importantes que lo componen, el establecimiento y configuración correctamente de Active Directory y de las unidades organizativas y usuarios con sus correspondientes roles utilizando un caso de estudio de una empresa real. El proyecto se centra en analizar la diferencia que hay entre las directivas de grupo y las directivas locales, auditar lo sucesos de inicio de sesión y auditar los sucesos de inicio de sesión de cuenta, crear una directiva para impedir que el alumno acceda al panel de control para que así no pueda modificar la configuración de la máquina. También vamos a impedir que el alumno cambie el fondo de pantalla. Servidor Windows Server 2012 y Cliente Windows 7

Figura 01: Virtualización de dos Sistemas Operativos Servidor y Cliente Para dicho trabajo de análisis de directivas y pruebas respectivas se ha realizado mediante dos sistemas Operativos como servidor Windows Server 2012 R2 y como estación de trabajo para cliente Windows 7 Profesional. TEMA 1 – Actividades

2. Diferencia entre las directivas de grupo y las directivas locales. Directiva de Grupo Local (LGP) es una versión más básica de la directiva de grupo utilizado por Active Directory. En las versiones de Windows anteriores a Windows Vista, LGP puede configurar la directiva de grupo para un equipo local único, pero a diferencia de la Directiva de Grupo de Active Directory, no puede hacer políticas para usuarios individuales o grupos. También tiene muchas menos opciones en general que Active Directory Group Policy. El usuario específico limitado, puede superar mediante el Editor del Registro para realizar cambios en las claves HKCU o HKLM. LGP simplemente hace cambios en el registro bajo la clave HKLM, lo que afecta a todos los usuarios. Los mismos cambios se pueden hacer bajo HKCU o HKCU que afectan sólo a determinados usuarios. Microsoft tiene más información sobre cómo utilizar el Editor del Registro para configurar la directiva de grupo disponible en TechNet. LGP se puede utilizar en un equipo de un dominio, y puede ser utilizado en Windows XP Home Edition. Windows Vista es compatible con múltiples objetos de directiva de grupo local hdp

3. Diferencia entre auditar lo sucesos de inicio de sesión y auditar los sucesos de inicio de sesión de cuenta.

Los sucesos de inicio de sesión de cuenta se generan en los controladores de dominio para la actividad de cuentas de dominio y en los equipos locales para la actividad de cuentas locales. Si están habilitadas ambas categorías de directiva (inicio de sesión de cuentas y auditoría de inicio de sesión), los inicios de sesión que utilizan una cuenta de dominio generan un suceso de inicio o cierre de sesión en la estación de trabajo o servidor, y generan un suceso de inicio de sesión de cuenta en el controlador de dominio. De manera adicional, los inicios de sesión interactivos en un servidor miembro o una estación de trabajo que utilicen una cuenta de dominio generan un suceso de inicio de sesión en el controlador de dominio a medida que las secuencias de comandos y directivas de inicio de sesión se recuperan cuando un usuario inicia sesión. En conclusión "Inicios de sesión de cuenta", hay que auditarlo sobre los Controladores de Dominio, y creará un evento cada vez que un usuario inicie sesión en su máquina de trabajo "Inicios de sesión", se debe aplicar sobre los servidores a los que se conecta el usuario, para auditar cuándo se conecta, por ejemplo a una carpeta compartid

TEMA 1 – Actividades

4. Crear una directiva para impedir que el alumno acceda al panel de control para que así no pueda modificar la configuración de la máquina. También vamos a impedir que el alumno cambie el fondo de pantalla. Un controlador de dominio básicamente es un servidor que aloja la base de datos de Active Directory entre otros servicios asociados como por ejemplo relacionados a la autenticación dentro de la red. Hasta la versión 2008 R2 de Windows Server para iniciar el asistente de instalación de nuevo controlador de dominio utilizábamos el comando “Dcpromo”, esto a partir de Windows Server 2012 cambia y el comando dcpromo se mantiene únicamente para el caso de instalaciones desatendidas (mecanismo “legacy” por decirlo de algún modo). Dentro del proceso de configuración de controlador de dominio tenemos las siguientes opciones: Instalar el primer controlador de dominio del bosque. Esto crearía un nuevo bosque de Active Directory y aplicaría a escenarios donde no existe aun Active Directory o por algún motivo se desea crear un bosque adicional Instalar un controlador de dominio adicional dentro de un dominio existente. En este caso podríamos estar configurando un segundo (o tercero, etc) controlador de dominio con la finalidad de redundancia, balanceo, etc. Las buenas prácticas indican que como mínimo deberíamos contar con 2 controladores de dominio (recordar que Exchange depende de Active Directory ya que lo utiliza como su servicio de directorio). Estos controladores de dominio adicionales se sincronizan entre sí mediante replicación. Crear un nuevo dominio en un bosque existente. Esto permitiría crear un nuevo árbol de dominios o un dominio hijo en un bosque existente. Luego de haber configurado nuestro servidor de dominio configuramos lo siguente:

TEMA 1 – Actividades

Figura 02: En el cuadro creamos un grupo Clientes

Figura 03: En el cuadro creamos un nuevo usuario de dominio en donde podremos administrar las diferentes directivas.

TEMA 1 – Actividades

Figura 04 : creamos la directiva para restringir acceso a Panel de Control

Figura 05 : activamos la directiva para impedir que el alumno acceda a panel de control para q así no pueda modificar la configuración de maquina TEMA 1 – Actividades

Referencias Bibliográficas 1. https://cetatech.ceta-ciemat.es/2014/12/directivas-de-grupo-gpo-en-windows-server2012/ 2. https://es.wikipedia.org/wiki/Directiva_de_Grupo 3. https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server2003/cc787567(v=ws.10)

TEMA 1 – Actividades