Está en la página 1de 212

Administracin de

Sistemas Operativos
de Red

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


3

NDICE
Presentacin

Red de contenidos

Unidad de aprendizaje 1 Implementacin del servicio FTP y RRAS


TEMA 1

: Servicio FTP

TEMA 2

: Servicio RRAS

15

TEMA 3

: Traduccin de Direccin de Red

31

Unidad de aprendizaje 2 Redes Virtuales Privadas


TEMA 4

: Redes Virtuales Privadas

37

Unidad de aprendizaje 3 Suite IPSec


TEMA 5

: IPSec

57

Unidad de aprendizaje 4 Fundamentos de Seguridad de Red


TEMA 6

: Implementacin de seguridad con GPOAccelerator

100

TEMA 7

: Implementacin de Microsoft Baseline Security Analyzer

112

TEMA 8

: Asegurando los servidores Web

120

TEMA 9

: Administracin de Windows Server Update Service

147

Unidad de aprendizaje 5 Terminal Server


TEMA 10

: Terminal Server

178

Unidad de aprendizaje 6 Administracin Avanzada del Directorio Activo


TEMA 11

: Servidor RODC

184

TEMA 12

: Introduccin a Windows Server Core

195

CIBERTEC

CARRERAS PROFESIONALES

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


5

PRESENTACIN

Sistemas Operativos es un curso que pertenece a la lnea de infraestructura TI y


se dicta en las carreras de Redes y Comunicaciones. Brinda un conjunto de
conocimientos tericos y prcticos que permite a los alumnos administrar la
plataforma Windows Server 2008.
El manual para el curso ha sido diseado bajo la modalidad de unidades de
aprendizaje, las que se desarrollan durante semanas determinadas. En cada una
de ellas, hallar los logros, que debe alcanzar al final de la unidad; el tema tratado,
el cual ser ampliamente desarrollado; y los contenidos, que debe desarrollar, es
decir, los subtemas. Por ltimo, encontrar las actividades que deber desarrollar
en cada sesin, que le permitirn reforzar lo aprendido en la clase.

El curso es, eminentemente, prctico: construido como un instrumento de trabajo.


Por ello, la participacin activa de los alumnos es fundamental durante el
desarrollo de este curso, a fin de obtener la experiencia, prctica y suficiencia
terica que se necesita para un eficiente desenvolvimiento profesional. Por lo
mismo, contar con el apoyo y gua del profesor, quien lo acompaar en el
desarrollo del presente manual.

CIBERTEC

CARRERAS PROFESIONALES

RED DE CONTENIDOS
Sistemas Operativos

Acceso
Remoto y
Seguridad de la
Red

Implementacin
del Servicio FTP
y RRAS

Servicio FTP

Servicio RRAS

Redes Privadas
Virtuales

NAT

Proteger el
Trfico de Red
mediante IPSec

IPSec

Sistemas Operativos

Fundamentos
de Seguridad de
Red

Terminal Server

Administracin
Avanzada del
Directorio Activo

Administracin
de WSUS

Implementacin
de Seguridad
GPOAccelerator

Implementacin
de MBSA

CARRERAS PROFESIONALES
CIBERTEC

Asegurando
Servidores
Web

Terminal
Server

Servidor
RODC

Servidor
Core

SISTEMAS OPERATIVOS LABORATORIO


7

UNIDAD DE
APRENDIZAJE

1
TEMA

IMPLEMENTACIN DEL SERVICIO FTP Y RRAS


LOGRO DE LA UNIDAD DE APRENDIZAJE

Al trmino de la unidad, los alumnos, podrn implementar y configurar los


Servicios FTP y RRAS usando el Servidor Windows 2008.

Al trmino de la unidad, los alumnos, podrn transferir archivos, implementar


ruteo dentro de la red, y brindar acceso a Internet usando el Servidor Windows
2008.

TEMARIO

Servicio FTP

Servicio RRAS

Traduccin de Direcciones de Red

ACTIVIDADES PROPUESTAS
Los alumnos:
Eligen que tipo de servidor FTP deben implementar en la red.
Configuran el Servidor FTP annimo y autentificado.
Descargan archivos desde el Servidor SFTP usando clientes FTPs.

CIBERTEC

CARRERAS PROFESIONALES

1.

SERVICIO FTP
1.1 WINDOWS 2008 FTP SERVER
Este servidor FTP trabaja usando el protocolo FTP, que forma parte del pila
TCP/IP, diseado para transferir archivos entre dos computadores en
Internet. Ambos computadores deben soportar sus respectivos roles FTP:
uno debe ser el cliente FTP y el otro debe ser un servidor FTP.
Los archivos se almacenan en el servidor FTP, que ejecuta el servicio FTP.
Los equipos remotos se pueden conectar utilizando el cliente FTP y leer
archivos del servidor FTP, copiar o enviar archivos al servidor FTP. Un
servidor FTP se asemeja a un servidor HTTP (es decir, un servidor Web) en
que se puede comunicar con l mediante un protocolo de Internet. Sin
embargo, un servidor FTP no ejecuta las pginas Web; slo enva y recibe
los archivos a los equipos remotos.
Puede configurar Internet Information Services (IIS) para funcionar como un
servidor FTP. Esto permite a otros equipos conectarse al servidor y transferir
archivos desde o hacia el servidor FTP. Por ejemplo, puede configurar IIS
para que acte como un servidor FTP si est alojando sitios Web en el
equipo y desea que usuarios remotos puedan actualizar el contenido de sus
Sitios Webs.
1.2 TIPOS DE ACCESO AL SERVIDOR FTP
1.2.1 Servidor FTP annimo
Los Servidores FTP annimos le permiten al usuario ingresar al servidor
FTP sin tener una cuenta creada en el servidor, ni contrasea que lo
identifiquen.
Usualmente, el nombre de usuario para conectarse de forma annima es
"anonymous".
Los servidores FTP annimos ofrecen sus servicios, de forma libre, a
cualquier usuario, sin necesidad de una cuenta de usuario. Es una forma
cmoda de que mltiples usuarios puedan acceder a los archivos del FTP,
sin que el administrador deba crear cuentas para cada uno.
En general, entrar a un servidor FTP de forma annima tiene ciertas
limitaciones (menos privilegios) que un usuario normal. Por ejemplo, slo
se pueden descargar archivos, y no se puede subir o modificar stos.
1.2.2 Servidor FTP autenticado.
El FTP Autenticado se utiliza para transferir archivos al servidor FTP, enviar
y recibir archivos hacia el servidor para luego, hacerlos pblicos o privados.
Por ejemplo, si queremos actualizar pginas webs de un Sitio Web, habra
que enviarlas usando el servicio FTP. Pero, por otro lado, no nos gustara
que cualquiera pudiese acceder a ellas para cambiarlas o eliminarlas. Por

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


9

eso el FTP autenticado, solo permite el acceso por medio de un usuario y


contrasea.
1.3 TIPOS DE MODOS DEL SITIO FTP
IIS introduce 3 modos para sitio FTP:
1.3.1 Modo de usuario sin aislamiento
No asla usuarios, este modo no habilita aislamiento de usuario FTP y
funciona en todas las versiones anteriores de IIS.
1.3.2 Modo de usuario con aislamiento
Este modo autentifica a los usuarios contra cuentas locales o de dominio
para que puedan tener acceso al directorio principal que coincide con su
nombre de usuario. Todos los directorios particulares de los usuarios se
encuentran debajo de un directorio raz nico FTP donde se coloca y donde
se limita cada usuario a su directorio particular. A los usuarios no se les
permite desplazarse fuera de ste.
1.3.3 Modo de usuario con aislamiento integrado con el Directorio
Activo
Los usuarios aislados que utilizan Directorio Activo, autentifican sus
credenciales de usuario contra un contenedor correspondiente del
Directorio Activo, se requiere grandes cantidades de tiempo y de
procesamiento.

2. FTP SERVER SOBRE SSL


Microsoft ha creado un nuevo Servicio FTP que ha sido completamente
reescrito para Windows Server 2008. Este Servicio FTP incorpora nuevas
caractersticas que permiten a los administradores publicar el contenido
mucho mejor que antes y ofrece mayor seguridad para los administradores.
Una de las caractersticas es FTP sobre Secure Sockets Layer (SSL), que
permite sesiones encriptadas entre el cliente FTP y el Servidor. En este tema
vera como instalar el Servidor FTP, Configurar el Site FTP, Configurar el Site
para usar SSL con la nueva herramienta administrativa IIS 7.0 Services
manager.

3. INSTALACIN DEL SERVIDOR FTP 7.5


3.1. Instale IIS 7.0 y la consola Internet Information Services Manager.
3.2 Descargue e instale el nuevo Servicio FTP desde http://www.iis.net

4. CONFIGURACIN DEL SERVIDOR FTP 7.5 CON


AISLAMIENTO DE USUARIO SOBRE SSL.
4.1 CREA 2 USUARIOS PARA HACER LAS PRUEBAS
1. Ejecute desde el smbolo del sistema el siguiente comando:
net user /add jurbina P@ssw0rd
net user /add dmartinez P@ssw0rd

CIBERTEC

CARRERAS PROFESIONALES

10

4.2 CREA LA SIGUIENTE ESTRUCTURA DE DIRECTORIOS

4.3 CREA EL CERTIFICADO-AUTOFIRMADO SSL.


1. Inicie Internet Information Services 7.0 Manager.

2. Seleccione el servidor, luego haga 2 clics en Server Certificates, del men


Actions seleccione la opcin Create Self-Signed CertificateSites.
3. En la ventana Specify Friendly Name escriba el nombre del certificado
srv- nps-01 y luego clic en Ok
4.4 CREA EL FTP SITE Y HABILITA SSL USANDO EL IIS 7.0 MANAGER.
1. Inicie Internet Information Services 7.0 Manager.

2. Despliegue el nodo del servidor, seleccione Sites, haga clic-derecho


sobre Add FTP Site.
CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


11

3. En la ventana Site Information escriba el nombre del FTP Site name y


ubique el directorio FTP_Site, luego clic en Next.

4. En la ventana Binding and SSL Settings, seleccione Allow SSL, en la


opcin SSL Certificate:, seleccione srv-nps-01 y luego clic en Next.
5. En la ventana Authentication and Authorization Information,
seleccione Authentication Basic y en Authorization seleccione All
Users con los permisos de Lectura y Escritura , luego clic en Finish.
4.5 Configura el aislamiento de usuario y la autorizacin de acceso para los
usuarios Juan Urbina y Daniel Martinez.
1. Seleccione el Site FTP Contoso, en el panel de la derecha haga 2 clics
en FTP User Isolation y configure las opciones que ve en la imagen.

CIBERTEC

CARRERAS PROFESIONALES

12

2. Seleccione el directorio FTP de jurbina y luego clic en FTP Authorization


Rules, seleccione la regla y haga clic en Edit.
3. En la ventana Edit Allow Authorization Rule, seleccione Specified users y
escriba jurbina. Haga el mismo procedimiento para el usuario dmartinez.

5. CONFIGURACIN DEL CLIENTE FTP FiLeZiLLA


1. Ejecute el programa FileZilla, haga clic en el men File, seleccione Site
Manager, en la ventana Site Manager, haga clic en New Site y escribe
jurbina.
2. Configure los siguientes datos:
Host: srv-nps-01
Servertype: FTPES FTP over explicit TLS/SSL
User: jurbina
Password: P@ssw0rd

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


13

3. Haga clic en Connect y acepte el certificado digital.

CIBERTEC

CARRERAS PROFESIONALES

14

Resumen
 El Servidor FTP permite que los usuarios puedan transmitir de forma rpida
informacin a travs de la Internet.
 El servidor FTP annimo solo permite la descarga de archivos.
 El Servidor FTP autenticado permite la descarga y envio de archivos.
 El Servidor FTP de Microsoft soporta 3 tipos de modo de aislamiento: modo de
usuario sin aislamiento, modo de usuario con aislamiento, y modo de usuario con
aislamiento integrado al Directorio Activo.
 Los clientes FTPs pueden ser de modo grfico o texto.
 Para establecer una conexin con el Servidor FTP desde el smbolo del Sistema
escribe FTP Direccin_IP.
 Para implementar el Servidor FTP sobre SSL debe actualizar el IIS 7.0 a la versin
IIS 7.5
 El Servidor FTP sobre SSL slo soporta clientes FTP de entorno grfico.

 Si desea saber ms acerca de estos temas, puede consultar las siguientes pginas.
http://support.microsoft.com/kb/555018/en-us
En esta pgina, hallar informacin de los modos de aislamiento que soporta el
Servidor FTP.
http://es.wikipedia.org/wiki/FTPS
En esta pgina, hallar informacin de los tipos ms comunes de FTP/SSL.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


15

UNIDAD DE
APRENDIZAJE

1
TEMA

2
IMPLEMENTACIN DEL SERVICIO FTP Y RRAS
LOGRO DE LA UNIDAD DE APRENDIZAJE

Al trmino de la unidad, los alumnos podrn implementar y configurar los


Servicios FTP y RRAS usando el Servidor Windows 2008.

Al trmino de la unidad, los alumnos podrn transferir archivos, implementar


ruteo dentro de la red y brindar acceso a Internet usando el Servidor Windows
2008.

TEMARIO

Windows 2008 FTP Server

Fundamentos del Servicio RRAS

Introduccin a NAT

ACTIVIDADES PROPUESTAS
Los alumnos:
Instalan el servicio RRAS de Windows 2008 Server.
Configuran el servicio RRAS como Router.
Deshabilitan el enrutamiento.

CIBERTEC

CARRERAS PROFESIONALES

16

1.

FUNDAMENTOS DEL SERVICIO RRAS


El servicio enrutamiento y acceso remoto es un enrutador de software
provisto de toda clase de caractersticas y una plataforma abierta para el
enrutamiento e interconexin de redes. Ofrece servicios de enrutamiento a
empresas en entornos de red de rea local (LAN) y extensa (WAN) o a
travs de Internet mediante conexiones seguras de red privada virtual
(VPN).
Una ventaja del servicio de Enrutamiento y acceso remoto es la integracin
con la familia Microsoft Windows Server 2008. Este servicio proporciona
muchas caractersticas de gran rentabilidad y funciona con una gran
variedad de plataformas de hardware y numerosos adaptadores de red.
Puede ampliarse mediante las interfaces de programacin de aplicaciones
(API) que pueden utilizar los programadores para crear soluciones
personalizadas de conexin por red, as como los nuevos fabricantes para
participar en el negocio cada vez mayor de interconexin de redes abiertas.
El servidor con Enrutamiento y acceso remoto est diseado para ser
usado por administradores de sistema familiarizados con los protocolos y
servicios de enrutamiento. Mediante el enrutamiento y acceso remoto, los
administradores pueden ver y administrar enrutadores y servidores de
acceso remoto en sus redes.
Enrutamiento y Acceso remoto proporciona servicios de enrutamiento de
multiprotocolo LAN a LAN, LAN a WAN, red privada virtual (VPN) y
traduccin de direcciones de red (NAT). Enrutamiento y acceso remoto est
destinado a administradores del sistema que ya estn familiarizados con
protocolos y servicios de enrutamiento, y con protocolos enrutables como
TCP/IP y AppleTalk.
1.1 REQUISITOS DE HARDWARE
Para poder configurar Enrutamiento y acceso remoto como un enrutador,
todo el hardware debe estar instalado y en funcionamiento. Dependiendo
de la red y de sus requisitos, quiz necesite el hardware siguiente:

Un adaptador LAN o WAN con controlador WHQL firmado.


Uno o ms mdems compatibles y un puerto COM disponible.
Una tarjeta adaptadora de mltiples puertos, para conseguir un
rendimiento adecuado con mltiples conexiones remotas.
Una tarjeta inteligente X.25 (si va a utilizar una red X.25).
Una tarjeta adaptadora ISDN (RDSI) (si va a utilizar una lnea ISDN
(RDSI)).
Una tarjeta inteligente X.25 (si va a utilizar una red X.25).
Una tarjeta adaptadora ISDN (RDSI) (si va a utilizar una lnea ISDN
(RDSI)).

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


17

1.2 ESCENARIO DE ENRUTAMIENTO


1.2.1 Conexin enrutada entre 2 LANs
La ilustracin siguiente muestra una configuracin de red simple con un
servidor que ejecuta Enrutamiento y acceso remoto que conecta dos
segmentos de LAN (redes A y B). En esta configuracin, los protocolos
de enrutamiento no son necesarios porque el enrutador est conectado
a todas las redes a las que necesita enrutar paquetes.

1.2.2 Conexin enrutada con Internet


Este escenario describe una red de oficina pequea o domstica
(SOHO, Small Office Home Office) que establece conexin con Internet
mediante una conexin enrutada.
Una red SOHO tiene las siguientes caractersticas:
 Un segmento de red.
 Un nico protocolo: TCP/IP
 Conexiones de marcado a peticin o de vnculo dedicado con el
proveedor de servicios Internet (ISP).
En la siguiente ilustracin, se muestra un ejemplo de una red SOHO.

CIBERTEC

CARRERAS PROFESIONALES

18

El enrutador de Windows 2008 est configurado con un adaptador de red


para los medios utilizados en la red domstica (por ejemplo, Ethernet), y un
adaptador ISDN (RDSI) o un mdem analgico. Puede utilizar una lnea
concedida u otra tecnologa de conexin permanente, como xDSL y
mdems por cable, pero este escenario describe la configuracin ms
usual que utiliza un vnculo de acceso telefnico a un ISP local.
1.3 PROTOCOLOS DE ENRUTAMIENTO IP
En entornos de enrutamiento IP dinmicos, la informacin de
enrutamiento IP se propaga mediante protocolos. Los dos protocolos de
enrutamiento IP ms comunes utilizados en intranets son el Protocolo de
informacin de enrutamiento (RIP, Routing Information Protocol) y Abrir la
ruta de acceso ms corta primero (OSPF, Open Shortest Path First ).
Puede ejecutar varios protocolos de enrutamiento en la misma intranet.
En este caso, debe configurar qu protocolo de enrutamiento es el origen
preferido de las rutas aprendidas mediante la configuracin de niveles de
preferencia. El protocolo de enrutamiento preferido constituye el origen de
la ruta que se agrega a la tabla de enrutamiento, independientemente, de
la mtrica de la ruta aprendida. Por ejemplo, si la mtrica de una ruta
OSPF aprendida es 5 y la mtrica de la ruta aprendida RIP
correspondiente es 3, y se prefiere el protocolo de enrutamiento OSPF, la
ruta OSPF se agrega a la tabla de enrutamiento IP y la ruta RIP se pasa
por alto.

2.

INSTALACIN DE ROUTING AND REMOTE ACCESS


SERVICES
2.1 PARA INSTALAR RRAS EN EL SERVER, REALIZA LOS SIGUIENTES
PASOS:
1. Ejecute el Server Manager, clic en Roles, luego clic en Add Roles.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


19

2. En la ventana Before You Begin, efecte clic en Next.

3. En la ventana Select Server Roles, seleccione Network Policy and


Access Services, y haga clic en Next.

4. En la ventana Network Policy and Access Services, haga clic en


Next.

CIBERTEC

CARRERAS PROFESIONALES

20

5. En la ventana Select Role Services, seleccione Routing and


Remote Access Services, haga clic en Next.

6. En la ventana Confirm Installation Selections, clic en Install,


finalmente, clic en Close.
CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


21

2.2 CONFIGURACIN DEL ROUTER


1. Ejecute Routing and Remote Access, clic derecho sobre el Servidor
(Local), seleccione Configure and Enable Routing and Remote
Access.

CIBERTEC

CARRERAS PROFESIONALES

22

2. En el asistente de configuracin de Routing and Remote Access


Server, haga clic en Next.

3. En la ventana de Configuration, seleccione Custom configuration, y


haga clic en Next.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


23

4. En la ventana Custom Configuration, seleccione LAN routing, haga


clic en Next.

5. En la ventana Completing the Routing and Remote Access Server


Setup Wizard, clic en Finish.

CIBERTEC

CARRERAS PROFESIONALES

24

6. En la ventana Start the service, clic en Start.

2.2.1 Incorpora una interface de enrutamiento (opcional)


1. Abra Routing and Remote Access.
2. Despliegue en el Servidor (local), luego despliegue IPv4, clic
derecho sobre General, y seleccione New Interface.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


25

1. En la ventana New Interface for IP, seleccione la interface correcta, en


este caso Lan2.

4. En la ventana de propiedades Lan2, clic en ok.

2.2.2 Agregue un protocolo de enrutamiento IP (opcional)


1. Abra Routing and Remote Access.
2. Despliegue en el Servidor (Local), luego despliegue IPv4, clic
derecho sobre General, y seleccione New Routing Protocol.

CIBERTEC

CARRERAS PROFESIONALES

26

3. En la ventana New Routing Protocol, seleccione RIP Version


luego clic en Ok.
4. Usted haga clic derecho sobre RIP, y seleccione New Interface.

5. En la ventana New Interface for RIP, seleccione la interface en la


cual funcionara RIP, y luego 2 veces clic en Ok.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


27

2.3 DESHABILITACIN DEL ENRUTAMIENTO.


1. Ejecute Routing and Remote Access.
2. En el rbol de la consola, haga clic derecho sobre su servidor.
3. Seleccione Disable Routing and Remote Access.
4. En la caja de dilogo emergente, pulse el botn Yes.

5. Usted puede observar que el enrutamiento ha quedado deshabilitado.

CIBERTEC

CARRERAS PROFESIONALES

28

6. Cierre la herramienta Routing and Remote Access.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


29

Resumen

 El servicio de enrutamiento y acceso remoto forma parte del Servidor 2008.


 El Servicio RRAS brinda enrutamiento de protocolos a travs de redes LAN, y WAN.
 El servicio RRAS nos permite implementar una infraestructura de VPN y NAT.
 La implementacin de los servicios de RRAS necesita como mnimo 2 interfaces de
red.

 Si desea saber ms acerca de estos temas, puede consultar la siguiente pgina.


 http://technet.microsoft.com/en-us/library/cc730711%28WS.10%29.aspx
En esta pgina, hallar informacin de las nuevas caractersticas de Routing and
Remote Access en Windows Server 2008.

CIBERTEC

CARRERAS PROFESIONALES

30

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


31

UNIDAD DE
APRENDIZAJE

1
TEMA

3
IMPLEMENTACIN DEL SERVICIO FTP Y RRAS
LOGRO DE LA UNIDAD DE APRENDIZAJE

Al trmino de la unidad, los alumnos, podrn implementar y configurar los


Servicios FTP y RRAS usando el Servidor Windows 2008.

Al trmino de la unidad, los alumnos, podrn transferir archivos, implementar


ruteo dentro de la red, y brindar acceso a Internet usando el Servidor Windows
2008.

TEMARIO

Windows 2008 FTP Server

Fundamentos del Servicio RRAS

Introduccin a NAT

ACTIVIDADES PROPUESTAS
Los alumnos:

Configuran RRAS para brindar acceso a Internet a las computadoras de la red


Interna.
Habilitan el acceso a Internet usando NAT.
Configuran el protocolo TCP/IP en la interface de red de los servidores y
estaciones de trabajo.

CIBERTEC

CARRERAS PROFESIONALES

32

1. INTRODUCCIN A NAT
En la actualidad ms hogares y pequeas empresas agregan equipos a la
red y encuentran una herramienta, extremadamente, poderosa para
compartir recursos. Una conexin a Internet es uno de los ms preciados
recursos en la red y esta puede ser compartida. Para hacer esto y disfrutar
una comoda, fcil administracin, de la red casera o una pequea
empresa, los gateways de Internet estn siendo implementados. Los
gateways de Internet ofrecen NAT (Network address translation) para
conectar mltiples computadoras a la Internet y compartir una sola
direccin IP Pblica.

2. FUNDAMENTOS DE NAT
La Traduccin de Direcciones de Red (NAT) es un estndar IETF (Internet
Engineering Task Force en espaol Grupo de Trabajo en Ingeniera de
Internet) usado para permitir a mltiples computadoras de una red privada
(direcciones privadas como 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
compartir una sola direccin IP Pblica. NAT esta siendo implementado,
porque las direcciones IPv4 pblicas estn siendo escasas.

3. IMPLEMENTACIN DE NAT
3.1 CONFIGURACIN EN EL SERVER
1. Clic en Start, seleccione Administrative Tools, y luego Routing and
Remote Access.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


33

2. En el asistente de configuracin de Routing and Remote Access


Server, haga clic en Next.

3. En la ventana de Configuration, seleccione Network address


translation, y haga clic en Next.

CIBERTEC

CARRERAS PROFESIONALES

34

4. En la ventana de NAT Internet Connection, seleccione la interface


que usar para conectarse a Internet, en este caso Wan, y haga clic
en Next.

5. En la ventana Completing the Routing and Remote Access Server


Setup Wizard, lea el resumen de la configuracin, y luego clic en
Finish.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


35

3.2 CONFIGURACIN EN EL CLIENTE


1. En la computadora cliente configure el TCP/IP como se ve en la
imagen.

2. Ejecute Internet Explorer y trate de navegar por Internet, tambin


puede realizar pruebas con el comando ping, tracert, etc.

CIBERTEC

CARRERAS PROFESIONALES

36

Resumen

 La implementacin de NAT permite compartir el acceso a Internet.


 NAT permite que las computadoras que tienen direcciones IPs privadas acceden a
Internet usando una direccin IP Pblica.
 El uso de NAT brinda seguridad a las computadoras de la red Interna, debido a que
no estn expuestas en Internet.
 La implementacin de NAT necesita 2 interfaces de red, una para la red interna y
otra para Internet.

 Si desea saber ms acerca de NAT, puede consultar la siguiente pgina.


 http://www.faqs.org/rfcs/rfc1631.html
En esta pgina, hallar informacin detallada sobre NAT.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


37

UNIDAD DE
APRENDIZAJE

2
TEMA

Redes Virtuales Privadas


LOGRO DE LA UNIDAD DE APRENDIZAJE

Al trmino de la unidad, los alumnos, disear una Red Privada Virtual con
Windows 2008 Server.
Al trmino de la unidad, los alumnos, podrn implementar el Servidor VPN, y
permitir el acceso seguro desde Internet hacia los recursos de la red Interna.
Al trmino de la unidad, los alumnos, podrn configurar los clientes VNPs para
acceder a los recursos de la red Interna.

TEMARIO
Introduccin a las VPNs

ACTIVIDADES PROPUESTAS
Los alumnos:
Instalan, configuran, y administran el Servidor VPN.
Configuran los clientes VPNs.
Realizan y prueban conexiones seguras desde los clientes VPN
hacia el Servidor VPN.

CIBERTEC

CARRERAS PROFESIONALES

38

1. INTRODUCCIN A LAS VPNs


Una red privada virtual (VPN, Virtual Private Network) es la extensin de una
red privada que incluye vnculos de redes compartidas o pblicas como
Internet. Con una red privada virtual, puede enviar datos entre dos
computadores a travs de una red compartida o pblica de forma que emula
un vnculo privado punto a punto. Las funciones de red privada virtual
consisten en crear y configurar una misma red con estas caractersticas.
Para emular un vnculo punto a punto, los datos se encapsulan o
empaquetan con un encabezado que proporciona la informacin de
enrutamiento que permite a los datos recorrer la red compartida o pblica
hasta alcanzar su destino. Para emular un vnculo privado, los datos se
cifran para asegurar la confidencialidad. Los paquetes interceptados en la
red compartida o pblica no se pueden descifrar si no se dispone de las
claves de cifrado. El vnculo en el que se encapsulan y cifran los datos
privados es una conexin de red privada virtual (VPN).
La siguiente ilustracin muestra el equivalente lgico de una conexin VPN.

Los usuarios que trabajan en casa o que estn de viaje pueden usar
conexiones VPN para establecer una conexin de acceso remoto al servidor
de una organizacin mediante la infraestructura que proporciona una red
pblica como Internet. Desde la perspectiva del usuario, la red privada virtual

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


39

es una conexin punto a punto entre el equipo (el cliente VPN) y el servidor
de la organizacin (el servidor VPN). La infraestructura exacta de la red
compartida o pblica es irrelevante dado que, lgicamente, parece como si
los datos se enviaran a travs de un vnculo privado dedicado.
Las organizaciones tambin pueden utilizar conexiones VPN para establecer
conexiones enrutadas con oficinas alejadas, geogrficamente, o con otras
organizaciones a travs de una red pblica como Internet al mismo tiempo
que realizan comunicaciones seguras. Una conexin VPN enrutada a travs
de Internet funciona como un vnculo de WAN dedicado.
Gracias al acceso remoto y a las conexiones enrutadas, una organizacin
puede utilizar conexiones VPN para realizar conexiones a larga distancia, o
lneas concedidas para conexiones locales o con un Proveedor de servicios
Internet (ISP).
En la familia Microsoft Windows 2008 hay tres tipos de tecnologa VPN
basada en el Protocolo punto a punto (PPP):
a. Protocolo de tnel punto a punto (PPTP)
PPTP utiliza mtodos de autenticacin PPP de nivel de usuario y
cifrado punto a punto de Microsoft (MPPE) para cifrar los datos.
b. Protocolo de tnel de capa 2 (L2TP) con seguridad de protocolo
Internet (IPSec)
L2TP utiliza mtodos de autenticacin PPP de nivel de usuario y
certificados de nivel de equipo con IPSec para cifrar los datos, o IPsec
en modo tnel, en el que IPsec proporciona encapsulacin (slo para
el trfico IP).
c. Protocolo de tnel de socket seguro (SSTP)
SSTP es la nueva forma de tnel de VPN con caractersticas que
permiten al trfico pasar a travs de los firewalls que bloquean el
trfico PPTP y L2TP. SSTP brinda un mecanismo para encapsular
trfico PPP sobre el canal SSL del protocolo HTTPS

2. ESCENARIOS PARA IMPLEMENTAR UNA VPN


Mediante una conexin de red privada virtual (VPN) basada en Internet, puede
ahorrar los gastos de llamadas telefnicas de larga distancia y a nmeros 1-800,
y aprovechar la disponibilidad de Internet.
2.1 ACCESO REMOTO A TRAVS DE INTERNET
En lugar de realizar una llamada de larga distancia o a un nmero 1-800
para conectar con un servidor de acceso a la red ( NAS, Network Access
Server ) de la compaa o externo, los clientes de acceso remoto pueden
llamar a un ISP local. Mediante la conexin fsica establecida con el ISP
local, el cliente de acceso remoto inicia una conexin VPN a travs de
Internet con el servidor VPN de la organizacin. Una vez creada la
conexin VPN, el cliente de acceso remoto puede tener acceso a los
recursos de la intranet privada.

CIBERTEC

CARRERAS PROFESIONALES

40

La ilustracin siguiente muestra el acceso remoto a travs de Internet.

2.2 CONECTAR REDES A TRAVS DE INTERNET


Cuando las redes estn conectadas a travs de Internet, un enrutador
reenva paquetes a otro enrutador a travs de una conexin VPN. Esto se
conoce como una conexin VPN de enrutador a enrutador. Para los
enrutadores, la red privada virtual funciona como un vnculo de la capa de
vnculo de datos.
La ilustracin siguiente muestra la conexin de redes a travs de Internet.

2.2.1 Usar vnculos WAN dedicados


En lugar de utilizar un vnculo WAN dedicado de larga distancia y
caro entre las distintas oficinas de la compaa, los enrutadores de
CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


41

las oficinas se conectan a Internet mediante vnculos WAN


dedicados locales con un ISP local. As, cualquiera de los
enrutadores inicia una conexin VPN de enrutador a enrutador a
travs de Internet. Una vez conectados, los enrutadores pueden
reenviarse entre s transmisiones de protocolos enrutadas o
directas mediante la conexin VPN.
2.3 VPN BASADAS EN INTRANET
Las conexiones de red privada virtual (VPN) basadas en intranet
aprovechan la conectividad IP en la intranet de una organizacin.
2.3.1 Acceso remoto a travs de una intranet
En las intranets de algunas organizaciones, los datos de un
departamento (por ejemplo, el departamento de recursos humanos)
son tan confidenciales que la red del departamento est,
fsicamente, desconectada de la intranet del resto de la
organizacin. Aunque as se protegen los datos del departamento,
se crea un problema de acceso a la informacin por parte de
aquellos usuarios que no estn, de forma fsica, conectados a la
red independiente.
Mediante una conexin VPN, la red del departamento est,
fsicamente, conectada a la intranet de la organizacin, pero se
mantiene separada gracias a un servidor VPN. El servidor VPN no
proporciona una conexin enrutada directa entre la intranet de la
organizacin y la red del departamento. Los usuarios de la intranet
de la organizacin que disponen de los permisos apropiados
pueden establecer una conexin VPN de acceso remoto con el
servidor VPN y tener acceso a los recursos protegidos de la red
confidencial del departamento. Adicionalmente, para mantener la
confidencialidad de los datos, se cifran todas las comunicaciones
realizadas a travs de la conexin VPN. Para aquellos usuarios que
no tienen derechos para establecer una conexin VPN, la red del
departamento est oculta a la vista.
La ilustracin siguiente muestra el acceso remoto a travs de una
intranet.

2.3.2 Conectar redes a travs de una intranet

CIBERTEC

CARRERAS PROFESIONALES

42

Tambin, puede conectar dos redes a travs de una intranet


mediante una conexin VPN de enrutador a enrutador. Las
organizaciones que tienen departamentos en diferentes
ubicaciones, cuyos datos son altamente confidenciales, pueden
utilizar una conexin VPN de enrutador a enrutador para
comunicarse entre s.
Por ejemplo, el departamento financiero podra necesitar
comunicarse con el departamento de recursos humanos para
intercambiar informacin acerca de las nminas. Ambos, a la vez,
estn conectados a la intranet comn con equipos que pueden
actuar como enrutadores VPN. Una vez establecida la conexin
VPN, los usuarios de los equipos de ambas redes pueden
intercambiar datos confidenciales a travs de la intranet
corporativa.
La ilustracin siguiente muestra la conexin de redes a travs de
una intranet.

3. PROTOCOLO DE TNEL DE CAPA 2


El Protocolo de tnel de capa 2 ( L2TP, Layer Two Tunneling Protocol ) es un
protocolo basado en RFC y estndar del sector que se admiti por primera
vez en los sistemas operativos de cliente y de servidor Windows 2000. A
diferencia de PPTP, el protocolo L2TP en los servidores que ejecutan
Windows Server 2008 no utiliza el Cifrado punto a punto de Microsoft ( MPPE,
Microsoft Point-to-Point Encryption ) para cifrar datagramas de Protocolo
punto a punto (PPP). L2TP utiliza la Seguridad de protocolos Internet (IPSec)
para los servicios de cifrado. La combinacin de L2TP e IPSec se conoce
como L2TP/IPSec. L2TP/IPSec proporciona los servicios de red privada
virtual (VPN) principales de encapsulacin y cifrado de datos privados.
L2TP e IPSec deben ser compatibles con el cliente VPN y el servidor VPN. La
compatibilidad de cliente con L2TP est integrada en el cliente de acceso

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


43

remoto de Windows XP y la compatibilidad de servidor VPN con L2TP est


integrada en los miembros de la familia Windows Server 2008.
L2TP se instala con el protocolo TCP/IP. En funcin de las opciones
disponibles al ejecutar el Asistente para la instalacin del servidor de
enrutamiento y acceso remoto, L2TP se configura para 5 128 puertos L2TP.
3.1 ENCAPSULACIN
La encapsulacin de paquetes L2TP/IPSec consta de dos niveles:
3.1.1 Encapsulacin L2TP
Las tramas PPP (que consisten en un datagrama IP o un
datagrama IPX) se empaquetan con un encabezado L2TP y un
encabezado UDP.
3.1.2 Encapsulacin IPSec
El mensaje L2TP resultante se empaqueta a continuacin con un
encabezado y un finalizador de Carga de seguridad de
encapsulacin (ESP, Encapsulating Security Payload) de IPSec, un
finalizador de autenticacin IPSec que proporciona autenticacin e
integridad de mensajes y un encabezado IP final. El encabezado IP
contiene las direcciones IP de origen y de destino que
corresponden al cliente VPN y al servidor VPN.
3.2 CIFRADO
El mensaje L2TP se cifra con el Estndar de cifrado de datos (DES, Data
Encryption Standard) o Triple DES (3DES) mediante claves de cifrado
generadas en el proceso de negociacin de Intercambio de claves de
Internet (IKE, Internet Key Exchange).

4. CONFIGURACIN DE VPN PARA CLIENTES REMOTOS


4.1 CONFIGURA EL SERVIDOR VPN

1. Ejecute Routing and Remote Access desde el men Administrative


Tools.
2. En el panel izquierdo haga clic derecho sobre su servidor y; luego clic
en Configure and Enable Routing and Remote Access.

CIBERTEC

CARRERAS PROFESIONALES

44

3. En pantalla de bienvenida de Routing and Remote Access Server


Setup Wizard, haga clic en Next.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


45

4. En Configuration, haga clic en Remote access (dial-up or VPN) y


luego, clic en Next.

5. En la pantalla Remote Access, seleccione VPN y haga clic en Next.

CIBERTEC

CARRERAS PROFESIONALES

46

6. En VPN Connection, seleccione la interface Wan y luego, clic en


Next.

7. En la ventana IP Address Assignment, seleccione From a specified


range of addresses, y haga clic en Next.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


47

8. En la pgina Address Range Assignment, haga clic en New.


9. En el campo Start IP address, tipee la direccin que le asigne su
instructor, y luego en la caja Number of addresses, ingrese 5.

10. Usted haga clic en OK.


11. En la pgina Address Range Assignment, haga clic en Next.

12. En la pgina Managing Multiple Remote Access Servers, verifique


que est seleccionada la opcin No. Luego, use Routing and

CIBERTEC

CARRERAS PROFESIONALES

48

Remote Access to authenticate connection requests y haga clic en


Next.

13. En la ventana Completing the Routing and remote Access Server


Setup Wizard, clic en Finish.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


49

14. Observe cmo se visualiza la herramienta:

15. Si es necesario, haga clic en OK para cerrar el mensaje Routing and


Remote Access, luego cierre Routing and Remote Access.

4.1 BRINDE EL PERMISO DE ACCESO A LA RED PARA EL USUARIO


1. Inicialice el ADUC, haga clic derecho sobre el usuario Juan Urbina, y
seleccione properties.

2. En la ventana de propiedades del usuario, seleccione Dial-in, luego


clic en Allow Access, finalmente clic en Ok.

CIBERTEC

CARRERAS PROFESIONALES

50

4.2 CONFIGURA EL CLIENTE VPN


1. Clic en el Menu Inicio, seleccione Panel de Control, clic en Redes e
Internet.

2. En Redes e Internet, clic en Ver el estado y las tareas de red.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


51

3. En la ventana Centro de redes y recursos compartidos vaya al


panel izquierdo y haga clic en Configurar una conexin o red.

4. En la ventana Configurar una conexin o red, seleccione


Conectarse a un rea de trabajo, y clic en Siguiente.

CIBERTEC

CARRERAS PROFESIONALES

52

5. En la ventana Cmo desea conectarse? Selecione Usar mi


conexin a Internet (VPN)

6. En la ventana Es necesaria una conexin a Internet para usar una


conexin VPN, seleccione Configurar ms tarde una conexin a
Internet.
7. En la ventana Escribe la direccin de Internet a la que se
conectar ingrese los siguientes datos:
a. Direccin de Internet: IP del Servidor VPN
b. Nombre del destino: Ciber VPN

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


53

8. En la ventana Escribe el nombre de usuario y la contrasea,


Escribe el nombre del usuario al que se le otorg el permiso de acceso
a la red y la contrasea, luego clic en Crear.

9. Una vez creada la conexin VPN, haga clic en administrar conexiones


de red, 2 clics en Ciber VPN

CIBERTEC

CARRERAS PROFESIONALES

54

4.3 VERIRIFCAR LA CONEXIN VPN


1. En una ventana de Smbolo del Sistema, digite ipconfig y presione
<Enter>.

2. Note que hay un nuevo adaptador de red PPP Ciber VPN. La direccin
IP fue asignada por el rango de direcciones estticas del servidor VPN.
3. Cierre la ventana Smbolo del Sistema.
4. En la barra de tareas, has doble clic al cono "Conexin VPN".

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


55

5. En la Conexin VPN clic en Ver estado, despus clic en


Desconectar.

6. Finalmente, cierre todas las ventanas abiertas.

CIBERTEC

CARRERAS PROFESIONALES

56

Resumen

 La implementacin de una Red VPN permite extender la red de la empresa.


 VPN se puede usar para enlazar oficinas que estn, geogrficamente, alejadas.
 Los 3 protocolos de tnel soportados por Windows 2008 Server son: PPTP, L2TP, y
SSTP.
 El protocolo PPTP usa el cifrado MPPE, L2TP usa IPSec, y SSTP usa SSL.
 El nuevo protocolo de tnel SSTP es soportado en Windows 2008 Server.
 El protocolo SSTP permite que pueda fluir el trfico de datos a travs del firewall.

 Si desea saber ms acerca de VPN, puede consultar la siguiente pgina.


 http://technet.microsoft.com/en-us/network/bb545442.aspx
En esta pgina, hallar informacin detallada sobre VPN.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


57

UNIDAD DE
APRENDIZAJE

3
TEMA

PROTEGER EL TRFICO DE RED MEDIANTE IPSEC


LOGRO DE LA UNIDAD DE APRENDIZAJE

Al trmino de la unidad, el alumno ser capaz de implementar seguridad en la


transmisin de datos de una red.

TEMARIO

Introduccin a IPSec

Implementacin de IPSec

Supervisar IPSec

ACTIVIDADES PROPUESTAS

Los alumnos:
Determinan que mtodo de encriptacin de IPSec deben usar en la
Red.
Eligen que directiva de seguridad de IPSec se adecua a sus
necesidades de seguridad.
Implementan escenarios con IPSec.
Configuran el filtrado con las directivas de seguridad de IPSec.
Verifican la seguridad de la red con el uso de Sniffer.
Supervisan IPSec mediante el Monitor de Seguridad IP.

CIBERTEC

CARRERAS PROFESIONALES

58

1.

INTRODUCCIN A IPSEC
1.1 CONCEPTOS DE IPSEC
Internet Protocol Security (IPSec) es un entorno de estndares abiertos
para garantizar comunicaciones privadas y seguras a travs de redes
Internet Protocol (IP), mediante el uso de servicios de seguridad basados
en cifrado. IPSec soporta autenticacin de sistemas a nivel de red,
autenticacin del origen de los datos, integridad de datos, confidencialidad
de datos (encriptacin) y proteccin frente a reenvo. La implementacin de
IPSec de Microsoft se basa en estndares desarrollados por el grupo de
trabajo de IPSec de la IETF (Internet Engineering Task Force).
IPSec autentifica los equipos y cifra los datos para su transmisin entre
hosts en una red, intranet o extranet, incluidas las comunicaciones entre
estaciones de trabajo y servidores, y entre servidores. El objetivo principal
de IPSec es proporcionar proteccin a los paquetes IP. IPSec est basado
en un modelo de seguridad de extremo a extremo, lo que significa que los
nicos hosts que tienen que conocer la proteccin de IPSec son el que
enva y el que recibe. Cada equipo controla la seguridad por s mismo en
su extremo, bajo la hiptesis de que el medio por el que se establece la
comunicacin no es seguro.

IPSec consta de dos protocolos que han sido desarrollados para


proporcionar seguridad a nivel de paquete, tanto para IPv4 como para IPv6:

Authentication Header (AH): proporciona integridad, autenticacin


y no repudio si se eligen los algoritmos criptogrficos apropiados.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


59

AH est dirigido a garantizar integridad sin conexin y autenticacin


de los datos de origen de los datagramas IP. Para ello, calcula un
Hash Message Authentication Code (HMAC) a travs de algn
algoritmo hash operando sobre una clave secreta, el contenido del
paquete IP y las partes inmutables del datagrama. Este proceso
restringe la posibilidad de emplear NAT, que puede ser
implementada con NAT transversal. Por otro lado, AH puede
proteger, opcionalmente, contra ataques de repeticin utilizando la
tcnica de ventana deslizante y descartando paquetes viejos. AH
protege la carga til IP y todos los campos de la cabecera de un
datagrama IP excepto los campos mutantes, es decir, aquellos que
pueden ser alterados en el trnsito. En IPv4, los campos de la
cabecera IP mutantes (y por lo tanto no autenticados) incluyen TOS,
Flags, Offset de fragmentos, TTL y suma de verificacin de la
cabecera. AH opera, directamente, por encima de IP, utilizando el
protocolo IP nmero 51. Una cabecera AH mide 32 bits, he aqu un
diagrama de cmo se organizan:

Significado de los campos:


 Next header: Identifica el protocolo de los datos transferidos.
 Payload length: Tamao del paquete AH.
 RESERVED: Reservado para uso futuro (hasta entonces todo
ceros).
 Security parameters index (SPI): Indica los parmetros de
seguridad que, en combinacin con la direccin IP, identifican la
asociacin de seguridad implementada con este paquete.
 Sequence number: Un nmero siempre creciente, utilizado para
evitar ataques de repeticin.
 HMAC: Contiene el valor de verificacin de integridad (ICV)
necesario para autenticar el paquete; puede contener relleno.

CIBERTEC

Encapsulating
Security
Payload
(ESP)
proporciona
confidencialidad y la opcin -altamente recomendable- de
autenticacin y proteccin de integridad.
El protocolo ESP proporciona autenticidad de origen, integridad y
proteccin de confidencialidad de un paquete. ESP, tambin, soporta
configuraciones de slo cifrado y slo autenticacin, pero utilizar
cifrado sin autenticacin est altamente desaconsejado porque es
inseguro. Al contrario que con AH, la cabecera del paquete IP no
est protegida por ESP (aunque en ESP en modo tnel, la
proteccin es proporcionada a todo el paquete IP interno, incluyendo
la cabecera interna; la cabecera externa permanece sin proteger).

CARRERAS PROFESIONALES

60

ESP opera directamente sobre IP, utilizando el protocolo IP nmero


50.
Un diagrama de paquete ESP:

Significado de los campos:


 Security parameters index (SPI): Identifica los parmetros de
seguridad en combinacin con la direccin IP.
 Sequence number: Un nmero siempre creciente, utilizado para
evitar ataques de repeticin.
 Payload data: Los datos a transferir.
 Padding: Usado por algunos algoritmos criptogrficos para
rellenar por completo los bloques.
 Pad length: Tamao del relleno en bytes.
 Next header: Identifica el protocolo de los datos transferidos.
 Authentication data: Contiene los datos utilizados para
autenticar el paquete.
IPSec aumenta la seguridad de los datos de la red mediante:

La autenticacin mutua de los equipos antes del intercambio de


datos. IPSec puede utilizar Kerberos V5 para la autenticacin de los
usuarios.

El establecimiento de una asociacin de seguridad entre los dos


equipos. IPSec se puede implementar para proteger las
comunicaciones entre usuarios remotos y redes, entre redes e,
incluso, entre equipos cliente dentro de una red de rea local (LAN).

El cifrado de los datos intercambiados mediante Cifrado de datos


estndar (DES, Data Encryption Standard), triple DES (3DES) o DES
de 40 bits. IPSec usa formatos de paquete IP estndar en la
autenticacin o el cifrado de los datos. Por tanto, los dispositivos de
red intermedios, como los enrutadores, no pueden distinguir los
paquetes de IPSec de los paquetes IP normales.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


61

El protocolo, tambin, proporciona las ventajas siguientes:

Compatibilidad con la infraestructura de claves pblicas. Tambin


acepta el uso de certificados de claves pblicas para la
autenticacin, con el fin de permitir relaciones de confianza y
proteger la comunicacin con hosts que no pertenezcan a un
dominio Windows en el que se confa.

Compatibilidad con claves compartidas. Si la autenticacin mediante


Kerberos V5 o certificados de claves pblicas no es posible, se
puede configurar una clave compartida (una contrasea secreta
compartida) para proporcionar autenticacin y confianza entre
equipos.

Transparencia de IPSec para los usuarios y las aplicaciones. Como


IPSec opera al nivel de red, los usuarios y las aplicaciones no
interactan con IPSec.

Administracin centralizada y flexible de directivas mediante


Directiva de grupo. Cuando cada equipo inicia una sesin en el
dominio, el equipo recibe automticamente su directiva de
seguridad, lo que evita tener que configurar cada equipo
individualmente. Sin embargo, si un equipo tiene requisitos
exclusivos o es independiente, se puede asignar una directiva de
forma local.

Estndar abierto del sector. IPSec proporciona una alternativa de


estndar industrial abierto ante las tecnologas de cifrado IP
patentadas. Los administradores de la red aprovechan la
interoperabilidad resultante.

Dependiendo del nivel sobre el que se acte, podemos establecer dos


modos bsicos de operacin de IPsec: modo transporte y modo tnel.
En modo transporte, slo la carga til (los datos que se transfieren) del
paquete IP es cifrada y/o autenticada. El enrutamiento permanece intacto,
ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se
utiliza la cabecera de autenticacin (AH), las direcciones IP no pueden ser
traducidas, ya que eso invalidara el hash. Las capas de transporte y
aplicacin estn siempre aseguradas por un hash, de forma que no pueden
ser modificadas de ninguna manera (por ejemplo traduciendo los nmeros
de puerto TCP y UDP). El modo transporte se utiliza para comunicaciones
ordenador a ordenador.
Una forma de encapsular mensajes IPsec para atravesar NAT ha sido
definida por RFCs que describen el mecanismo de NAT-T.

CIBERTEC

CARRERAS PROFESIONALES

62

En el modo tnel, todo el paquete IP (datos ms cabeceras del mensaje) es


cifrado y/o autenticado. Debe ser entonces encapsulado en un nuevo
paquete IP para que funcione el enrutamiento. El modo tnel se utiliza para
comunicaciones red a red (tneles seguros entre routers, p.e. para VPNs) o
comunicaciones ordenador a red u ordenador a ordenador sobre Internet.

IPSec est soportado en Windows Server 2008, Windows Server 2003,


Windows 2000 Server, Windows XP, Windows Vista, y Windows 2000, y
est integrado con el servicio de Directorio Activo. Las polticas IPSec se
pueden asignar mediante Polticas de Grupo, lo que permite que los
parmetros de IPSec se configuren a nivel de dominio, site o unidad
organizativa.
1.2 DIRECTIVAS DE SEGURIDAD DE IPSEC
Una directiva IPSec est formada por un conjunto de filtros acerca del
trfico de red que cuando se activan, hacen que los equipos involucrados
en la conversacin negocien una autenticacin entre ellos y si esta es
exitosa se aplique una accin de filtrado al trfico de red, por lo general,
con el propsito de que no pueda ser interceptado por terceros.
El cifrado de las comunicaciones con IPSEC se implementa como una
directiva, con lo cual podemos habilitarlo a nivel local, de sito, de dominio o
de unidad organizativa. Existen unas directivas predeterminadas que
podemos utilizar sin ninguna configuracin adicional.

Client (Cliente): nicamente, aplica regla de respuesta


predeterminada. sta regla obliga a nuestro equipo a responder de
manera cifrada siempre que as se proponga o se requiera, pero
nunca ser nuestro equipo el que inicie la conversacin de manera
cifrada.

Server (Servidor): Enva los datos cifrados pero admite la


conversacin con clientes que no cifren sus comunicaciones. Este

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


63

modo es el recomendado si queremos que prime la comunicacin


sobre la seguridad.

Secure Server (Servidor Seguro): En este caso toda comunicacin


ser cifrada y no permitir la comunicacin sin cifrar (excepto el
trfico ICMP). Si queremos anticipar la seguridad a la comunicacin,
este es el modo apropiado.

Si bien estas directivas pueden satisfacer nuestras necesidades, IPSec


permite una mayor granularidad y control a travs de los filtros que se
revisan ms adelante en este documento.
Antes de comenzar con la implementacin hay que tener claros unos
cuantos conceptos. Cuando queremos que nadie sepa lo que, por ejemplo,
estamos hablando con una persona cercana podemos acordar un conjunto
de reglas (protocolo) para hacerlo de manera efectiva. Esto es, el idioma
que usaremos cuando queramos mantener la privacidad de la
conversacin. El establecimiento de estas reglas puede llevar estos pasos:

CIBERTEC

Definicin de las conversaciones que consideramos privadas (el


trfico que se cifrar). Por ejemplo: conversaciones de negocios,
secretos y poltica. Aplicamos un conjunto de filtros que se active al
sacar uno de esos tres temas en la conversacin y que nos recuerde
que debemos cambiar de idioma.

Al activarse el filtro, sera bueno que antes de empezar a expresar


nuestras ideas acerca de esos tres temas, nos aseguremos de que
la persona que est al otro lado es de confianza negociando la
autenticacin.

Una vez comprobada la identidad, negociaremos el idioma a utilizar


entre los que conocen uno y otro participante, o incluso podramos
elegir no hablar de ese determinado tema en este paso. Esto sera la
accin de filtrado

Podemos, opcionalmente, ser el portavoz de un grupo de gente que


habla con el portavoz de otro grupo de gente. Nuestros entornos
internos son confiables, pero el canal de comunicacin entre los
portavoces puede ser vulnerable. Esto sera el modo tnel.

Por ltimo podramos elegir entre cifrar todo el trfico, slo el


telefnico (RAS) o slo las conversaciones de lado a lado (LAN)

CARRERAS PROFESIONALES

64

2.

IMPLEMENTACIN DE IPSEC
2.1 IMPLEMENTACIN DE ESCENARIOS CON IPSEC.
2.1.1 Bloquear Ping (protocolo ICMP).
1. Seleccione Start, Administrative Tools y seleccione Local
Security Policy.

2. En la ventana desplegada, ubique la opcin IP Security


Policies on Local Computer, haga clic derecho sobre dicha
opcin en el men contextual emergente, luego haga clic sobre
Create IP Security Policy.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


65

3. La accin anterior llamar al Asistente para directivas de


seguridad IP. En la primera pantalla, slo haga clic en Next.

4. Ahora ingrese el nombre Prueba PING para la directiva que


vamos a crear, posteriormente, haga clic en Next.

CIBERTEC

CARRERAS PROFESIONALES

66

5. En la ventana Requests for Secure Communication haga clic


en Next.

6. Ya finalizando la creacin de la regla, verifque que est


marcada la casilla de verificacin Edit properties y haga clic en
Finish.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


67

7. En esta ventana, haga clic en el botn Add.

Existe una regla predeterminada

8. Lo anterior llama al Asistente para reglas de seguridad IP. En la


pantalla de bienvenida, slo haga clic en Next.

CIBERTEC

CARRERAS PROFESIONALES

68

9. En la siguiente ventana, seleccione la regla This rule does not


specify a tunnel.

10. Ahora seleccione All network connections y haga clic en


Next.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


69

11. Ahora se nos muestra la interfaz para seleccionar los filtros IP,
en caso no hubiese alguno que se ajuste a nuestras
necesidades, se nos da la opcin para crear agregar uno nuevo.
Para el caso, haga clic en Add

12. En la ventana IP Filter List escribe el nombre del filtro (para el


caso PING bloqueo). Opcionalmente, agregue una descripcin
para el filtro y posteriormente, haga clic en Add (verificar que
est marcada la casilla de verificacin para poder hacer uso del
asistente).

CIBERTEC

CARRERAS PROFESIONALES

70

13. Lo anterior har que aparezca el asistente para filtros.

14. En la ventana de descripcin para el filtro IP nos pregunta si es


Mirrored (paquetes coinciden con las direcciones de origen y
destino opuestas). Deje marcado la casilla de verificacin y
haga clic en Next.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


71

15. En origen del trfico, seleccione la opcin Any IP Address.

16. Para el destino, seleccione la opcin My IP Address.

CIBERTEC

CARRERAS PROFESIONALES

72

17. Ahora seleccione el protocolo, para el caso, seleccione el


protocolo ICMP.

18. Finalmente, haga clic en Finish para crear el filtro.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


73

19. Ya de vuelta en la ventana anterior, haga clic en OK.

20. Ahora seleccione el filtro creado y haga clic en Next.

CIBERTEC

CARRERAS PROFESIONALES

74

21. Ahora en la siguiente ventana, haga clic en Add para crear una
lista de accin al filtrado.

22. En el asistente Filter Action Name escribe el nombre del Filtro.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


75

23. Ahora en el comportamiento de la accin de filtrado, seleccione


Block.

24. En la ventana Filter Action seleccione


haga clic en Next.

CIBERTEC

Ping Bloqueado y

CARRERAS PROFESIONALES

76

25. En la ventana Completing the Security Rule Wizard haga clic


en Finish.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


77

26. Usted haga clic en el botn OK de la ventana anterior y la


ventana Local Security Policy habr quedado as:

27. Ahora has una prueba de PING a una direccin IP de la LAN.


Ver lo siguiente:

28. Ahora habilite la directiva. Local Security Policy seleccione IP


Security Policies on Local Computer y en la directiva llamada
Prueba PING haga clic derecho y clic en Assign.

CIBERTEC

CARRERAS PROFESIONALES

78

29. Finalmente, has PING a una IP de la red y ver el siguiente


mensaje.

Lo cual nos indica que la directiva IPSec funciona mediante el


bloqueo del protocolo ICMP.

2.1.1 Cifrado del trfico IP (Proteccin de datos de inicio de sesin


para el servidor FTP) mediante GPO.
Para este ejemplo, consideraremos que ya tenemos configurado el
Servidor Web (IIS) y el servidor FTP (FTP Publishing Service) de manera
que no acepte conexiones annimas. Adems, estos servidores estn en
el controlador de dominio (prctica que en un entorno empresarial no se
recomienda) y la mquina cliente es parte del dominio (con Windows Vista
Ultimate).
Slo para este ejemplo, el nombre del servidor con los roles anteriormente
mencionados es SERV01 y la mquina cliente es ADMWK011.
Ahora consideremos que nos estamos conectando a nuestro servidor FTP
(a travs de Internet Explorer) de una forma aparentemente segura.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


79

Sin embargo, FTP no codifica las credenciales de usuario y por medio de


un sniffer se puede interceptar la comunicacin tal como se muestra en la
siguiente imagen:

Lo que revelara, con facilidad, el usuario y contrasea del administrador


de red a un usuario no autorizado.
Con IPSec podemos brindar seguridad al trfico de red que, comnmente,
no tiene cifrado. Para esto se siguen los siguientes pasos (el host
ADMWK011 debe estar apagado para realizar estos pasos):
1. En el servidor, seleccione la ventana Run, digite dsa.msc y pulse ok.

CIBERTEC

CARRERAS PROFESIONALES

80

2. Lo anterior ocasionar la apertura del Active Directory Users and


Computers (ADUC). En esta ventana Cree el OU ComSeg.

3. Ya con el OU ComSeg creado, Seleccione al contenedor


Computers, ello desplegar los equipos que forman parte del dominio
en el panel derecho. En este panel seleccione y arrastre al equipo
ADMWK011 hacia el OU ComSeg (Se le pedir una confirmacin
previa).

4. El equipo ADMWK011 pasar a ser miembro del OU ComSeg, al


finalizar el paso anterior.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


81

5. Nuevamente, en el servidor seleccione Start, Run, y en la ventana


Run, Escribe gpmc.msc y presione Enter.

6. Ahora, tendr abierta la ventana de Group Policy Management, En


ella, despliegue el bosque, posteriormente, el dominio y despliegue el
OU Domain Controllers. Finalmente, haga clic derecho sobre Default
Domain Controllers Policy y seleccione Edit.

7. En la ventana Group Policy Management Editor despliegue el nodo


Computer Settings, luego despliegue Policies, adems, despliegue
Windows Settings, abre Security Settings y finalmente, seleccione
IP Security Policies on Active Directory.

CIBERTEC

CARRERAS PROFESIONALES

82

8. En el panel derecho haga clic derecho sobre la poltica Server y


seleccione Properties.

9. Ahora desmarque la lista del filtro <Dynamic>. Esta lista de filtro es


slo compatible con versiones anteriores a Windows Vista.

10. La lista de filtro All IP Traffic deje tal como est, a la lista de filtro All
ICMP Traffic, modifique de tal forma que la accin, tambin, requiera
seguridad (Require Security) y el mtodo de autentificacin sea
Kerberos. Para esto, seleccione la lista de filtro All ICMP Traffic y
Usted haga clic en Edit. Posteriormente en la ventana que aparece,

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


83

ubiquese hacia la pestaa Filter Action de tal forma que quede como
la siguiente imagen:

11. Ahora Usted haga clic en OK quedando la directiva de la siguiente


manera

Finalmente, hacer clic en OK.

CIBERTEC

CARRERAS PROFESIONALES

84

12. Para culminar esta primera etapa, asigne la directiva Server.

Finalmente, cierre el Group Policy Management Editor.


13. Ahora configure el equipo cliente. Esta configuracin se har tambin
desde el servidor (SERV01). Para ello, en Group Policy Management
seleccione el OU ComSeg, despus haga clic derecho y seleccione
Create a GPO in this domain, and link it here.

14. Escribe PC_Seg al GPO y haga clic en OK.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


85

15. Ahora despliegue el OU ComSeg y edite el GPO creado en el paso


anterior. Usted haga clic derecho sobre el GPO ComSeg y elije Edit.

16. Ingrese al Group Policy Management Editor, slo que esta vez las
acciones que realicemos aqu, afectarn a los objetos del OU
ComSeg. Otra vez, despliegue el nodo Computer Settings, luego
despliegue Policies, despus, despliegue Windows Settings,
adems, abra Security Settings y finalmente, seleccione IP Security
Policies on Active Directory.

CIBERTEC

CARRERAS PROFESIONALES

86

17. Por ltimo, asigne la directiva Server, haga clic derecho y seleccione
Assign.

18. Slo como precaucin, en el servidor, ejecute el comando gpupdate


para actualizar los cambios.

19. Finalmente, encienda la mquina cliente y conctese al servidor FTP.


Verifique que existe conectividad normal, ejecute el sniffer para
obtener la siguiente informacin:

Ahora todos los paquetes (que corresponden a FTP, aunque no


exclusivamente) estn cifrados con el protocolo ESP, as por ms que
intenten interceptar los datos estos sern indescifrables por terceros.
CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


87

3. SUPERVISIN DE IPSEC
3.1 IMPLEMENTACIN DEL MONITOR DE SEGURIDAD IP.
Puede usar el complemento Monitor de seguridad IP para ver y supervisar
estadsticas relacionadas con IPsec y la directiva IPsec que se aplica al
equipo y a otros. Esta informacin puede ayudarle a solucionar problemas
de IPsec y a probar las directivas que est creando. Para cambiar las
directivas IPsec, use el complemento Directivas de seguridad IP. Para abrir
el monitor de seguridad IP se siguen los siguientes pasos:
1. Seleccione Start, luego Usted haga clic sobre Run, en la ventana
emergente escribe mmc y presione Enter.

2. Ahora Usted haga clic en File y seleccione Add/Remove Snap-in.

CIBERTEC

CARRERAS PROFESIONALES

88

3. En la ventana Add or Remove sanp-in, busque IP Security Monitor


en el panel izquierdo seleccione Add >. Finalmente haga clic en OK.

Ahora tendr disponible el monitor de seguridad IP. En este monitor, se


lista por defecto a nuestro servidor que al expandirlo en panel izquierdo
nos muestra las directivas activas, de modo principal y de modo rpido.
3.1.1

Directiva Activa (Active Policy)

El elemento Directiva activa del complemento Monitor de seguridad IP


describe la directiva del protocolo de seguridad de Internet (IPsec) aplicada
a este equipo. No se puede usar el complemento Monitor de seguridad IP
para cambiar la directiva.
Slo puede haber una directiva IPsec activa al mismo tiempo. La directiva
activa es la directiva IPsec aplicada a este equipo, bien de forma manual
por el administrador del equipo o bien mediante el uso de servicios de
dominio de Active Directory (AD DS) y objetos de directiva de grupo (GPO).
La directiva activa puede definirse con objetos de directiva de grupo en
lugar de hacerlo en el equipo en el complemento Directivas de seguridad
IP.
Al visualizar la directiva activa obtenemos la siguiente informacin:


Nombre y descripcin: Nombre y descripcin especificados para la


directiva en el momento de su creacin.

ltima modificacin: Fecha y hora (hora local) en que se cambi la


directiva por ltima vez.

Almacn: Lugar donde est almacenada la directiva, en el almacn


local (en el equipo local) o en un GPO.

Ruta: Ruta de comunicacin del protocolo ligero de acceso a


directorios (LDAP) de Active Directory que describe la ubicacin
completa y exacta en AD DS de la directiva IPsec aplicada a este
equipo. nicamente, se aplica a las directivas almacenadas en objetos

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


89

de directiva de grupo de AD DS. Las directivas almacenadas,


localmente, no tendrn esta ruta de acceso.


Unidad organizativa: Ruta de comunicacin del LDAP que describe


la unidad organizativa (OU) completa y exacta de Active Directory
donde se aplica la directiva. nicamente, se aplica a las directivas
almacenadas en un objeto de directiva de grupo de AD DS. Las
directivas almacenadas, de manera local, no tendrn ninguna unidad
organizativa.

Nombre de objeto de directiva de grupo: No es el nombre de la


directiva IPsec. nicamente, se aplica a las directivas almacenadas en
objetos de directiva de grupo de AD DS. Las directivas almacenadas,
localmente, no tendrn ningn nombre de GPO.

La siguiente imagen muestra como se ve la directiva activa en el monitor de


seguridad IP.

3.1.2 Supervisin del modo principal (Main Mode)


La negociacin de Intercambio de claves por red (IKE) de modo principal
establece un canal seguro entre dos equipos, que se denomina asociacin
de seguridad (SA) del Protocolo de administracin de claves y asociacin
de seguridad Internet (ISAKMP). La SA del ISAKMP se usa para proteger
intercambios de clave posteriores entre equipos del mismo nivel, que
reciben el nombre de negociaciones de modo rpido. Para establecer el
canal seguro, la negociacin de modo principal determina una serie de
conjuntos de proteccin de cifrado, intercambia material de creacin de
claves para establecer la clave secreta compartida y autenticas identidades
de equipo.
La supervisin de las SA de modo principal puede proporcionar informacin
acerca de los equipos del mismo nivel, actualmente, conectados al equipo,
cundo se cre la SA, el conjunto de proteccin que se us para generar la
SA y otra informacin.
Dentro del modo principal tenemos:

CIBERTEC

CARRERAS PROFESIONALES

90

Los filtros genricos (Generic filters). Los filtros genricos son filtros
IP configurados para usar cualquiera de las opciones de direccin IP,
ya sea como direccin de origen o como direccin de destino. IPsec
permite usar palabras clave en la configuracin de los filtros, como Mi
direccin IP, Servidor DNS, Servidor DHCP, Servidores WINS y Puerta
de enlace predeterminada. Si se usan palabras clave, los filtros
genricos muestran dichas palabras clave en el complemento Monitor
de seguridad IP. Los filtros especficos se derivan expandiendo las
palabras claves en direcciones IP.

Los filtros especficos (Specific filters): Se expanden a partir de los


filtros genricos mediante el uso de direcciones IP del equipo de
origen o de destino para la conexin real. Por ejemplo, si dispone de
un filtro que usa la opcin Mi direccin IP como direccin de origen y la
opcin Servidor DHCP como direccin de destino, cuando se cree una
conexin con este filtro, se crear de forma automtica, un filtro que
incluya la direccin IP de su equipo y la direccin IP del servidor
DHCP que este equipo usa.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


91

La directiva IKE (IKE Policies): Hace referencia a los mtodos de


cifrado o integridad que los dos equipos del mismo nivel pueden
negociar en el intercambio de claves de modo principal.

Estadsticas (Statistics): Aqu encontramos las estadsticas


disponibles para IPSec, ya sea de conexiones aceptadas, rechazadas,
recepciones, etc. La siguiente tabla muestra los tipos de estadsticas
para el modo principal:

CIBERTEC

Estadstica de IKE

Descripcin

Adquisicin activa

Una adquisicin es una peticin del controlador IPsec para


que IKE realice una tarea. La estadstica Adquisicin activa
incluye la peticin pendiente y el nmero de peticiones en
cola, si existen. Normalmente, el nmero de adquisiciones
activas es 1. Cuando la carga de procesamiento es elevada,
el nmero de adquisiciones activas es 1 y el nmero de
peticiones en espera de procesamiento por parte de IKE
aumenta.

Recepcin activa

Nmero de mensajes
procesamiento.

Errores de adquisicin

Nmero de veces que una adquisicin se complet con error.

Errores de recepcin

Nmero de veces que la funcin WSARecvFrom() de


Windows Sockets se complet con error al recibir mensajes
IKE.

Errores de envo

Nmero de veces que la funcin WSASendTo() de Windows

IKE

recibidos

en

espera

de

CARRERAS PROFESIONALES

92

Sockets se complet con error al enviar mensajes IKE.


Tamao de montn de
adquisicin

Nmero de entradas en el montn de adquisicin, que


almacena las adquisiciones activas. Este nmero aumenta
cuando la carga es elevada y se reduce, gradualmente, con el
tiempo, a medida que se va reduciendo el montn de
adquisiciones.

Tamao de montn de
recepcin

Nmero de entradas de los bferes de recepcin de los


mensajes de IKE entrantes.

Errores de
autenticacin

Nmero total de errores de autenticacin de identidad


(Kerberos, certificado y clave, previamente, compartida)
producidos durante la negociacin de modo principal. Si tiene
dificultades para comunicarse con seguridad, intente
establecer la comunicacin y consulte esta estadstica para
ver si este nmero aumenta. Si en efecto aumenta,
compruebe si en la configuracin de la autenticacin hay
algn mtodo que no corresponda o alguna opcin incorrecta
(por ejemplo, si se usan claves previamente compartidas que
no coinciden).

Errores de negociacin

Nmero total de errores de negociacin producidos durante la


negociacin de modo principal o de modo rpido. Si tiene
dificultades para comunicarse con seguridad, intente
establecer la comunicacin y consulte esta estadstica para
ver si este nmero aumenta. Si en efecto aumenta,
compruebe si en la configuracin de la autenticacin y de los
mtodos de seguridad hay algn mtodo de autenticacin
que no corresponda, alguna opcin incorrecta (por ejemplo, si
se usan claves, previamente, compartidas que no coinciden)
u otra falta de correspondencia en los mtodos o las opciones
de seguridad.

Cookies no vlidas
recibidas

Una cookie es un valor contenido en un mensaje IKE recibido


y que IKE usa para averiguar el estado de un modo principal
activo. Si una cookie de un mensaje IKE recibido no
corresponde a un modo principal activo, se considerar no
vlida.

Adquisicin total

Nmero total de peticiones de trabajos que IKE envi al


controlador IPsec.

Total de SPI obtenidos

Nmero total de peticiones que IKE envi al controlador IPsec


para obtener un ndice de parmetros de seguridad (SPI)
nico.

Adiciones de claves

Nmero de SA de modo rpido salientes que IKE agreg al


controlador IPsec.

Actualizaciones de
claves

Nmero de SA de modo rpido entrante que IKE agreg al


controlador IPsec.

Errores de obtencin
de SPI

Nmero de peticiones con error que IKE envi al controlador


IPsec para obtener un SPI nico.

Errores de adicin de
claves

Nmero de peticiones con error de adicin de SA de modo


rpido salientes que IKE envi al controlador IPsec.

Errores de
actualizacin de claves

Nmero de peticiones con error de adicin de SA de modo


rpido entrantes que IKE envi al controlador IPsec.

Tamao de lista
ISADB

Nmero de entradas de estado de modo principal, includos


los modos principales negociados, en curso, y los que
produjeron un error y no se eliminaron.

Tamao de lista de
conexin

Nmero de entradas de estado de modo rpido.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


93

Modo principal IKE

Nmero total de SA creadas, de forma correcta, durante las


negociaciones de modo principal.

Modo rpido IKE

Nmero total de SA creadas, correctamente, durante las


negociaciones de modo rpido. Normalmente, se crean varias
SA de modo rpido por cada SA de modo principal y, por ello,
este nmero no tiene que coincidir, necesariamente, con el
nmero del modo principal.

Asociaciones dbiles

Nmero total de negociaciones que provocaron el uso de


texto simple (o tambin, SA dbiles). Normalmente, este
valor refleja el nmero de asociaciones formadas con equipos
que no respondieron a los intentos de negociacin de modo
principal. Puede tratarse de equipos no compatibles con IPsec
o de equipos compatibles con IPsec que no tienen una
directiva IPsec para negociar la seguridad con este equipo del
mismo nivel. Aunque las SA dbiles no son el resultado de las
negociaciones de los modos principal y rpido, se consideran
SA de modo rpido.

Paquetes recibidos no
vlidos

Nmero de mensajes IKE no vlidos recibidos; incluye los


mensajes IKE con campos de encabezado no vlidos,
longitudes de carga incorrectas y valores errneos para la
cookie del receptor (cuando debe ser 0). La causa de que se
produzcan mensajes IKE no vlidos es normalmente la
retransmisin de mensajes anticuados o la falta de
correspondencia de la clave previamente compartida entre los
equipos del mismo nivel de IPsec.

En el monitor de seguridad, el apartado de estadsticas se ve de la


siguiente manera:

CIBERTEC

Asociaciones de seguridad (Security Associations - SA): En esta


vista se muestran las SA activas con este equipo. Una SA es la
combinacin de una clave negociada, un protocolo de seguridad y el
SPI, que de forma conjunta, definen el mtodo de seguridad usado
para proteger la comunicacin desde el remitente hasta el receptor.
Por lo tanto, si se observan las asociaciones de seguridad del equipo,
se pueden determinar los equipos conectados al equipo, el tipo de
cifrado e integridad de datos que se est usando para estas
conexiones y otra informacin. Esta informacin puede resultar de
gran ayuda para probar las directivas IPsec y solucionar problemas de
acceso.

CARRERAS PROFESIONALES

94

3.1.3 Supervisin del modo rpido


La negociacin IKE de modo rpido (o fase 2) establece un canal seguro
entre dos equipos para proteger los datos. Como esta fase implica el
establecimiento de asociaciones de seguridad (SA) que se negocian en
nombre del servicio IPsec, las SA creadas durante el modo rpido se
denominan SA de IPsec. Durante el modo rpido, el material de creacin de
claves se actualiza o, si es necesario, se generan nuevas claves. Tambin,
se seleccione un conjunto de proteccin que resguarda el trfico IP
especificado. Un conjunto de proteccin es un conjunto definido de valores
de configuracin de integridad de datos o cifrado de datos. El modo rpido
no se considera un intercambio completo porque depende de un
intercambio de modo principal. Al igual que el modo principal, contiene a los
filtros genricos (gneric filters), especficos (specific filters), directivas IKE
(IKE policies), estadsticas (statistics) y asociaciones de seguridad (security
associations). Sin embargo las estadsticas IKE visualizadas para este
modo tienen otros campos, los cuales se resumen en la siguiente tabla:
Estadstica de IPsec

Descripcin

Asociaciones de seguridad
activas

Nmero de SA de IPsec activas.

Asociaciones de seguridad
descargadas

Nmero de SA de IPsec activas y descargadas en el


hardware.

Operaciones de clave

Nmero de operaciones de clave de IPsec en curso.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


95

pendientes
Adiciones de claves

Nmero total de negociaciones de SA de IPsec correctas.

Eliminaciones de clave

Nmero de eliminaciones de claves de las SA de IPsec.

Regeneraciones de claves

Nmero de operaciones de regeneracin de claves de las SA


de IPsec.

Tneles activos

Nmero de tneles de IPsec activos.

Paquetes SPI daados

Nmero total de paquetes cuyo ndice de parmetros de


seguridad (SPI) era incorrecto. El SPI se usa para comprobar
la correspondencia de los paquetes entrantes con las SA. Si
el SPI no es correcto, puede indicar que la SA entrante
expir y que lleg, recientemente, un paquete que usa el SPI
antiguo. Con probabilidad, este nmero aumentar si los
intervalos de regeneracin de claves son cortos y hay un
nmero elevado de SA. Las SA expiran en condiciones
normales; por ello, la existencia de paquetes SPI daados no
indica, necesariamente, que haya errores en IPsec.

Paquetes sin descifrar

Nmero total de paquetes que generaron errores al


descifrarse. Estos errores pueden indicar que lleg un
paquete para una SA que expir. Si la SA expira, la clave de
sesin usada para descifrar el paquete tambin se elimina.
Esto no indica que haya errores en IPsec.

Paquetes sin autenticar

Nmero total de paquetes cuyos datos no se pudieron


comprobar. La causa ms probable de este error es que una
SA expir.

Paquetes con deteccin de


reproduccin

Nmero total de paquetes que contenan un campo Nmero


de secuencia vlido.

Bytes confidenciales
enviados

Nmero total de bytes enviados con el protocolo ESP.

Bytes confidenciales
recibidos

Nmero total de bytes recibidos con el protocolo ESP.

Bytes autenticados enviados

Nmero total de bytes enviados con el protocolo AH.

Bytes autenticados recibidos

Nmero total de bytes recibidos con el protocolo AH.

Bytes de transporte enviados

Nmero total de bytes enviados con el modo de transporte


de IPsec.

Bytes de transporte recibidos

Nmero total de bytes recibidos con el modo de transporte


de IPsec.

Bytes enviados en los


tneles

Nmero total de bytes enviados con el modo de tnel de


IPsec.

Bytes recibidos en los


tneles

Nmero total de bytes recibidos con el modo de tnel de


IPsec.

Bytes de descarga enviados

Nmero total de bytes enviados con la descarga de


hardware.

Bytes de descarga recibidos

Nmero total de bytes recibidos con la descarga de


hardware.

CIBERTEC

CARRERAS PROFESIONALES

96

La forma, en que se presentan estas estadsticas, es la siguiente:

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


97

CIBERTEC

CARRERAS PROFESIONALES

98

Resumen
 Internet Protocol Security (IPSec) es un entorno de estndares
abiertos para garantizar comunicaciones privadas y seguras a travs
de redes Internet Protocol (IP), mediante el uso de servicios de
seguridad basados en cifrado.
 IPSec autentifica los equipos y cifra los datos para su transmisin
entre hosts en una red, intranet o extranet, incluidas las
comunicaciones entre estaciones de trabajo y servidores, y entre
servidores.
 El objetivo principal de IPSec es brindar seguridad a los paquetes
de red.
 Dependiendo del nivel sobre el que se acte, podemos establecer
dos modos bsicos de operacin de IPsec: modo transporte y modo
tnel.
 Una directiva IPSec est formada por un conjunto de filtros acerca
del trfico de red que cuando se activan, hacen que los equipos
involucrados en la conversacin negocien una autenticacin entre
ellos y si esta es exitosa se aplique una accin de filtrado al trfico
de red.
 Existen unas directivas predeterminadas que podemos utilizar sin
ninguna configuracin adicional.
Client (Cliente): nicamente, aplica regla de respuesta cifrada
predeterminada.
Server (Servidor): Enva los datos cifrados pero admite la
conversacin con clientes que no cifren sus comunicaciones.
Este modo es el recomendado si queremos que prime la
comunicacin sobre la seguridad.
Secure Server (Servidor Seguro): En este caso toda
comunicacin ser cifrada y no permitir la comunicacin sin
cifrar (excepto el trfico ICMP)
 Con IPSec podemos cifrar el trfico de red que, comnmente, no posee

nivel de cifrado (como el caso de telnet o ftp).


 Las directivas IPSec pueden configurarse con GPOs, por tanto las directivas
pueden afectar a todos los usuarios que estn dentro de un OU.

 Si desea saber ms acerca de este tema, puede consultar la siguiente


CARRERAS
PROFESIONALES
pgina.
CIBERTEC

http://technet.microsoft.com/es-

SISTEMAS OPERATIVOS LABORATORIO


99

 Puede usar el complemento Monitor de seguridad IP para ver y supervisar


estadsticas relacionadas con IPsec y la directiva IPsec que se aplica al
equipo y a otros. Esta informacin puede ayudarle a solucionar problemas de
IPsec y a probar las directivas que est creando.
 El elemento Directiva activa del complemento Monitor de seguridad IP
describe la directiva del protocolo de seguridad de Internet (IPsec) aplicada al
equipo. No se puede usar el complemento Monitor de seguridad IP para
cambiar la directiva.
 La negociacin de Intercambio de claves por red (IKE) de modo principal
establece un canal seguro entre dos equipos, que se denomina asociacin de
seguridad (SA) del Protocolo de administracin de claves y asociacin de
seguridad Internet (ISAKMP). La supervisin de las SA de modo principal
puede proporcionar informacin acerca de los equipos del mismo nivel,
actualmente, conectados al equipo, cundo se cre la SA, el conjunto de
proteccin que se us para generar la SA y otra informacin.
 La negociacin IKE de modo rpido (o fase 2) establece un canal seguro
entre dos equipos para proteger los datos. Como esta fase implica el
establecimiento de asociaciones de seguridad (SA) que se negocian en
nombre del servicio IPsec, las SA creadas durante el modo rpido se
denominan SA de IPsec. El modo rpido no se considera un intercambio
completo, porque depende de un intercambio de modo principal.

 Si desea saber ms acerca de estos temas, puede consultar la siguientes


pginas:

http://technet.microsoft.com/es-es/library/cc753765(WS.10).aspx
http://fferrer.dsic.upv.es/cursos/Windows/Avanzado/ch10s02.html

CIBERTEC

CARRERAS PROFESIONALES

100

UNIDAD DE
APRENDIZAJE

4
TEMA

FUNDAMENTOS DE SEGURIDAD DE RED


LOGRO DE LA UNIDAD DE APRENDIZAJE

Al trmino de la unidad, el alumno ser capaz de identificar las amenazas,


vulnerabilidades de seguridad, y tomar medidas de correccin para recuperarse
de incidentes de seguridad que se produzca en la organizacin

TEMARIO

Implementacin de seguridad con GPOAccelerator

Implementacin de Microsoft Baseline security Analyzer

Asegurando los Servidores WEB

Administracin de Windows Server Update Service

ACTIVIDADES PROPUESTAS

Los alumnos:
Crean las lneas base de seguridad en servidores y estaciones.
Analizan la configuracin de seguridad del sistema, ven los resultados del
anlisis, resuelven discrepancias y configuran el equipo.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


101

1. IMPLEMENTACIN DE SEGURIDAD CON GPOACCELERATOR


La herramienta GPOAccelerator crea todos los GPOs que necesites para
implementar la configuracin recomendada de seguridad para t red. Esta
funcionalidad ahorra muchas horas de trabajo que de otro modo sera necesario
para configurar e implementar manualmente la configuracin de seguridad.
1.1 INSTALACIN DE GPOACCELERATOR
El GPOAccelerator.msi se instala rpidamente en computadoras que
ejecutan los siguientes sistemas operativos:
Windows Server 2008 SP2
Windows Server 2003 R2
Windows 7
Windows Vista
Windows XP
La mayora de las tareas de GPOAccelerator requieren la instalacin de
la Group Policy Management Console (GPMC) en el equipo que ejecuta
la herramienta. El GPOAccelerator le avisar si el GPMC o cualquier otro
componente necesario no estn presentes.
Cuando se ejecuta el Windows Installer (. Msi), este crea la carpeta
GPOAccelerator dentro de Archivos de programa en su computadora. El
archivo .msi tambin crea una estructura de subcarpetas dentro de la
carpeta GPOAccelerator.
1.2 COMO USAR GPOACCELERATOR EN LA RED
El GPOAccelerator le ayuda a implementar los GPO en su entorno, que
requiere una planificacin cuidadosa y la prueba. Antes de utilizar el
GPOAccelerator, usted debe familiarizarse con los conceptos descritos
en las guas de seguridad adecuadas. A continuacin, puede revisar el
captulo 1, "GPOAccelerator de lnea de comandos y opciones de
interfaz de usuario", para aprender sobre las diferentes opciones
disponibles para el uso de la GPOAccelerator para establecer una de las
lneas de base de seguridad definidos en la seccin siguiente.
Los captulos restantes de esta gua proporcionan instrucciones
detalladas del funcionamiento de la GPOAccelerator con diferentes
sistemas operativos.
1.3 ENTORNOS
DE
SEGURIDAD
DE
LNEA
DE
BASE
El GPO de referencia de seguridad que el GPOAccelerator le ayuda a
implementar proporciona una combinacin de configuracin de prueba
que mejora la seguridad de los equipos que ejecutan estos sistemas
operativos y aplicaciones en los siguientes dos ambientes distintos:
Enterprise Client (EC)
Specialized Security Limited Functionality (SSLF)

CIBERTEC

CARRERAS PROFESIONALES

102

1.3.1 The Enterprise Client (EC)


El Cliente de empresa (CE) medio ambiente citados en esta gua
se compone de un dominio con AD DS en el que los equipos que
ejecutan Windows Server 2008 con Active Directory administrar
los equipos cliente que puedan funcionar tanto con Windows Vista
o Windows XP, y los servidores miembro que ejecutan Windows
Server
2008
o
Windows
Server
2003
R2.
Los controladores de dominio, servidores miembro, y los equipos
cliente se manejan en este medio ambiente a travs de directivas
de grupo, que se aplica a sitios, dominios y unidades
organizativas. Directiva de grupo proporciona una infraestructura
centralizada en AD DS que permite el cambio de directorio y la
gestin de configuracin de usuario y de equipo, incluidos los
datos de seguridad y el usuario. El Grupo de Poltica de esta gua
prescribe no es compatible con equipos cliente que ejecutan
Windows 2000
1.3.2 Specialized Security Limited Functionality (SSLF)
La Seguridad especializada - Funcionalidad limitada (SSLF) de
referencia en esta gua se refiere a la demanda para ayudar a crear
ambientes altamente seguro para los equipos que ejecutan
Windows Server 2008. La preocupacin por la seguridad es tan
grande en estos ambientes que una prdida significativa de
funcionalidad y capacidad de gestin es aceptable. El Cliente de
empresa (EC) de referencia de seguridad ayuda a proporcionar
seguridad mejorada que permite suficiente funcionalidad del
sistema operativo y las aplicaciones para la mayora de las
organizaciones.
Precaucin: la configuracin de seguridad SSLF no estn
destinados a la mayora de las organizaciones empresariales. Para
implementar con xito la configuracin de SSLF, las organizaciones
de bien deben probar la configuracin de su entorno para
asegurarse de que las configuraciones de seguridad prescritas no
limitan la funcionalidad requerida.
Si usted decide probar e implementar los ajustes de configuracin
SSLF a los servidores en su entorno, los recursos de TI en su
organizacin puede experimentar un aumento en el escritorio de
las llamadas relacionadas con la funcionalidad limitada que la
configuracin de imponer. Aunque la configuracin de este entorno
proporciona un mayor nivel de seguridad para los datos y la red,
tambin evita algunos servicios de ejecucin que su organizacin
pueda requerir. Ejemplos de esto incluyen a Escritorio remoto, que
permite a los usuarios conectar de forma interactiva a los
escritorios y aplicaciones en equipos remotos.
1.4 LNEA DE COMANDO Y OPCIONES DE GPOACCELERATOR
Las opciones que brinda el comando GPOAccelerator pueden ser
usadas para implementar GPOs en un ambiente que use Directorio
Activo.
1.4.1Opciones para GPOAccelerator

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


103

GPOAccelerator es una interface de script que se ejecuta desde una


interface de comandos. Si ejecuta GPOAccelerator sin ninguna opcin, la
herramienta muestra la siguiente lista de opciones.

1.4.2 Resultados del comando GPOAccelerator


La siguiente tabla muestra los resultados que se esperan cuando creas e
implementas GPOs y OUs con GPOAccelerator

Comandos para implementar la gua de seguridad de Windows Server


2008

Comando
GPOAccelerator.wsf
/Enterprise /WS08

CIBERTEC

Resultado
Crea el EC GPOs descrito en la guia de seguridad de
Windows Server 2008. Tienes que enlazar el GPOs al
apropiado OUs para hacer efectivo este GPO.

CARRERAS PROFESIONALES

104

GPOAccelerator.wsf
/SSLF /WS08

GPOAccelerator.wsf
/Enterprise /LAB
/WS08
GPOAccelerator.wsf
/SSLF /LAB /WS08

Server 2008.

Crea y enlaza el SSLF GPOs de acuerdo a la


estructura de ejemplo escrita en la gua de seguridad
de Windows Server 2008.

Comandos para implementar la gua de seguridad de Windows Server


2003

Comando
GPOAccelerator.wsf
/Enterprise /WS03

GPOAccelerator.wsf
/SSLF /WS03

GPOAccelerator.wsf
/Enterprise /LAB
/WS03
GPOAccelerator.wsf
/SSLF /LAB /WS03

Crea el SSLF GPOs descrito en la gua de seguridad


de Windows Server 2008. Tienes que enlazar el GPOs al
apropiado OUs para hacer efectivo este GPO.
Crea y enlaza el EC GPOs de acuerdo a la estructura
de ejemplo escrita en la gua de seguridad de Windows

Resultado
Crea el EC GPOs descrito en la guia de seguridad de
Windows Server 2003. Tienes que enlazar el GPOs al
apropiado OUs para hacer efectivo este GPO.
Crea el SSLF GPOs descrito en la gua de seguridad
de Windows Server 2003. Tienes que enlazar el GPOs al
apropiado OUs para hacer efectivo este GPO.
Crea y enlaza el EC GPOs de acuerdo a la estructura
de ejemplo escrita en la gua de seguridad de Windows
Server 2003.

Crea y enlaza el SSLF GPOs de acuerdo a la


estructura de ejemplo escrita en la gua de seguridad
de Windows Server 2003.

Comandos para implementar la gua de seguridad de Windows7

Comando
GPOAccelerator.wsf
/Enterprise /Win7

GPOAccelerator.wsf
/SSLF /Win7

GPOAccelerator.wsf
/Enterprise /LAB
/Win7
GPOAccelerator.wsf
/SSLF /Win7
/Desktop
GPOAccelerator.wsf
/SSLF /Win7 /Laptop

Resultado
Crea el EC GPOs descrito en la guia de seguridad de
Windows7. Tienes que enlazar el GPOs al apropiado
OUs para hacer efectivo este GPO.
Crea el SSLF GPOs descrito en la gua de seguridad
de Windows7. Tienes que enlazar el GPOs al apropiado
OUs para hacer efectivo este GPO.
Crea y enlaza el EC GPOs de acuerdo a la estructura
de ejemplo escrita en la gua de seguridad de
Windows7.

Aplica la configuracin de seguridad de escritorio


SSLF a la computadora local basada en Windows 7.
Aplica la configuracin de seguridad de laptops SSLF
a la computadora local basada en Windows 7.

Comandos para implementar la gua de seguridad de Windows vista


Comando
GPOAccelerator.wsf
/Enterprise /Vista

Resultados
Crea el EC GPOs descrito en la guia de seguridad de
Windows Vista. Tienes que enlazar el GPOs al
apropiado OUs para hacer efectivo este GPO.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


105

GPOAccelerator.wsf
/SSLF /Vista

GPOAccelerator.wsf
/Enterprise /LAB
/Vista
GPOAccelerator.wsf
/SSLF /Vista /Desktop

GPOAccelerator.wsf
/SSLF /Vista /Laptop

Crea el SSLF GPOs descrito en la gua de seguridad


de Windows Vista. Tienes que enlazar el GPOs al
apropiado OUs para hacer efectivo este GPO.
Crea y enlaza el EC GPOs de acuerdo a la estructura
de ejemplo escrita en la gua de seguridad de Windows
Vista.

Aplica la configuracin de seguridad de escritorio


SSLF a la computadora local basada en
Windows Vista.
Aplica la configuracin de seguridad de laptops SSLF
a la computadora local basada en Windows Vista.

Comandos para implementar la gua de seguridad de Windows XP

Comando
GPOAccelerator.wsf
/Enterprise /XP

GPOAccelerator.wsf
/SSLF /XP

GPOAccelerator.wsf
/Enterprise /LAB /XP

Resultados
Crea el EC GPOs descrito en la gua de seguridad de
Windows XP. Tienes que enlazar el GPOs al apropiado
OUs para hacer efectivo este GPO.
Crea el SSLF GPOs descrito en la gua de seguridad
de Windows XP. Tienes que enlazar el GPOs al
apropiado OUs para hacer efectivo este GPO.
Crea y enlaza el EC GPOs de acuerdo a la estructura
de ejemplo escrita en la gua de seguridad de Windows
XP.

GPOAccelerator.wsf
/SSLF /XP /Desktop
GPOAccelerator.wsf
/SSLF /XP /Laptop

Aplica la configuracin de seguridad de escritorio


SSLF a la computadora local basada en Windows XP .
Aplica la configuracin de seguridad de laptops SSLF
a la computadora local basada en Windows X .

Comandos para implementar la gua de seguridad de Internet Explorer 8


Command
GPOAccelerator.wsf
/Enterprise /IE8

GPOAccelerator.wsf
/SSLF /IE8

GPOAccelerator.wsf
/SSLF /IE8

Results
Crea el EC GPOs descrito en la guia de seguridad de
Internet Explorer 8. Tienes que enlazar el GPOs al
apropiado OUs para hacer efectivo este GPO.
Crea el SSLF GPOs descrito en la gua de seguridad
de Internet Explorer 8. Tienes que enlazar el GPOs al
apropiado OUs para hacer efectivo este GPO.
Aplica la configuracin de seguridad SSLF a Internet
Explorer en la computadora local.

Comandos para implementar la gua de seguridad de Microsoft Office


2007

Command
GPOAccelerator.wsf
/Enterprise /Office

CIBERTEC

Results
Crea el EC GPOs descrito en la gua de seguridad de
Microsoft Office 2007. Tienes que enlazar el GPOs al
apropiado OUs para hacer efectivo este GPO.

CARRERAS PROFESIONALES

106

GPOAccelerator.wsf
/SSLF /Office

Crea el SSLF GPOs descrito en la gua de seguridad


de Microsoft Office 2007. Tienes que enlazar el GPOs
al apropiado OUs para hacer efectivo este GPO.

Otros Comandos para implementar, resetear, y restaurar los GPOs

Command
GPOAccelerator.wsf
/ConfigSCE

GPOAccelerator.wsf
/ResetSCE

GPOAccelerator.wsf
/Restore {/Vista | /XP}

Results
Cambia la configuracin en la computadora local para
que todas las polticas estn visibles en el editor de
polticas de grupo.
Revierte la configuracin para mostrarla
predeterminada en el Editor de directivas de grupo. Si
su organizacin ha personalizado la configuracin y
ejecuta este comando, las personalizaciones se
perdern.
Restaura la configuracin por defecto para
Windows Vista o Windows XP a sus valores por
defecto de la computadora local. Este comando es
muy til cuando preparas configuraciones
personalizadas. Por ejemplo, despus de ejecutar una
prueba de testeo y quizs quieras restaurar la
configuracin por defecto y probar una configuracin
diferente.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


107

1.5 INSTALACIN DE GPOACCELERATOR


1. Inicie sesin como un administrador de dominio para un equipo que
ejecuta Windows Server 2008 que est unido al dominio mediante Active
Directory en el que podrs crear los GPO.
2. En el equipo, haga clic en Inicio, seleccione Todos los programas y, a
continuacin, haga clic en GPOAccelerator.
3. Haga clic en el acceso directo GPOAccelerator para abrir la carpeta de
la herramienta de instalacin.
4. Haga doble clic en el archivo GPOAccelerator.exe para iniciar el
asistente.

La siguiente figura muestra la pgina de opciones de herramienta en el


asistente que se puede utilizar para definir la forma en que desea
establecer y desplegar su lnea de base de seguridad. En la pgina
Bienvenido, haga clic en Siguiente para acceder a esta pgina.

CIBERTEC

CARRERAS PROFESIONALES

108

La pgina de opciones de herramienta ofrece las siguientes alternativas:


Dominio. Utilice esta opcin para aplicar una lnea de base de seguridad y
crear objetos de directiva de grupo (GPO) para un entorno basado en el
dominio. Esta opcin te ofrece otras alternativas en las pginas siguientes
del asistente para ejecutar una combinacin de opciones, tales como /
Empresa, / SSLF, y / laboratorio para establecer y probar la seguridad
bsica.
Tenga en cuenta que debe ser un administrador de dominio para utilizar esta
opcin.
Local. Utilice esta opcin para aplicar una lnea de base de seguridad y
modificar la configuracin de seguridad predeterminada en un equipo cliente.
Esta opcin te ofrece otras opciones en las pginas siguientes del asistente
para ejecutar el / Desktop / Laptop, y / Restaurar las opciones de lnea de
comandos que se definen en las guas de seguridad para Windows XP y
Windows
Vista.
Tenga en cuenta que debe ser un administrador para utilizar esta opcin.
Actualizacin de SCE. Utilice esta opcin para actualizar el Editor de
configuracin de seguridad (SCE) para mostrar la configuracin de seguridad
SMS. Usted puede utilizar esta opcin para ejecutar el / ConfigSCE y /
ResetSCE opciones de la lnea de comandos discutidos en las guas de
seguridad.
Nota: Debe ser un administrador para utilizar esta opcin.
1.6 IMPLEMENTA LAS POLITICAS DE SEGURIDAD
Implementa las polticas de seguridad en el ambiente EC para desarrollar
esta gua requiere Group Policy Management Console (GPMC). El GPMC

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


109

esta integrado en Windows Server 2008, entonces no necesita descargar la


consola GPMC.
Tareas para la implementacin:
1. Crea el ambiente EC
2. Usa el GPMC para enlazar el WS08 EC Domain Policy al dominio.
3. Usa el GPMC para enlazar el WS08 EC Domain Controllers Baseline
Policy al Domain Controllers OU.
4. Usa el GPMC para verificar los resultados.
5. De la misma forma realiza los mismos pasos para configurar la
seguridad en cada servidor.
1.6.1 Crea el ambiente EC
1. Clic en Start, despus clic All Programs, y luego clic
GPOAccelerator.
2. Clic derecho en el acceso directo GPOAccelerator Command-line, y
luego clic derecho en el command prompt Run as administrator
para abrirlo con privilegios administrativos.
3. Desde el command prompt, tipea cscript GPOAccelerator.wsf
/WS08 /Enterprise /LAB y luego presione enter.
4. Luego clic en Yes para continuar, o No para salir.
Nota: Esto puede tomar varios minutos.
5. En la ventana The Enterprise Lab Environment is created, clic OK.
6. En la ventana Make sure to link the Enterprise Domain GPO to
your domain, clic OK, y luego complete los siguientes pasos para
enlazar la poltica WS08 EC Domain y WS08 EC Domain Controllers.
1.6.2 Usa el GPMC para enlazar el WS08 EC Domain Policy al dominio
1. Clic en Start, despus clic All Programs, luego clic Accessories, y luego
clic en Run.
2. En la ventana de texto Open, tipea gpmc.msc y luego clic en OK.
3. Debajo del rbol de Dominios, clic derecho en Domain, y luego clic Link
an existing GPO.
4. En la ventana Select GPO, clic en WS08 EC Domain Policy GPO, y
luego clic OK.
5. En el panel de detalles, seleccione WS08 EC Domain Policy, y luego clic
en el boton Move link to top.
1.6.3 Usa el GPMC para enlazar el WS08 EC Domain Controllers
Baseline Policy al Domain Controllers OU
1. Clic en Start, despus clic All Programs, luego clic Accessories, y luego
clic en Run.
2. Tipea gpmc.msc y luego clic en OK.
3. Debajo del rbol de Dominios, clic derecho en Domain Controllers OU, y
luego clic Link an existing GPO.
4. En la ventana Select GPO, clic en WS08 EC Domain Controller
Baseline Policy GPO, y luego clic en Yes.
6. En el panel de detalles, selecciona WS08 EC Domain Controller
Baseline Policy, y luego clic en el boton Move link to top.

CIBERTEC

CARRERAS PROFESIONALES

110

1.6.4 Usa el GPMC para verificar los resultados


1. Clic en Start, clic All Programs, clic Accessories, y luego clic en Run.
2. Tipea gpmc.msc y luego clic OK.
3. Clic en el bosque apropiado, clic en Domains, y luego clic en el Dominio.
4. Expanda el OU WS08 Member Servers OU, y luego clic en cada OU
hijo.
5. Verifique la estructura y si los enlaces con los GPOs coinciden con la
siguiente figura.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


111

Resumen

 La herramienta GPOAccelerator permite implementar lneas de seguridad por


medio de los GPOs EC y SSLF en servidores y estaciones de trabajo.
 La seguridad EC se recomienda en todos los ambientes de trabajo, debido a
que es la ms flexible con las configuraciones y funcionabilidad de los
equipos.
 La seguridad SSLF se recomienda en ambientes donde la prioridad es la
seguridad, pero la funcionabilidad puede ser comprometida.
 El comando GPOAccelerator.wsf permite implementar las lneas base de
seguridad EC y SSLF.
 El anlisis peridico permite al administrador hacer un seguimiento y
comprobar que hay un nivel de seguridad adecuado en cada equipo, como
parte de un programa de administracin del riesgo de la empresa.
 Para ms informacin puede consultar la siguiente pgina:
http://technet.microsoft.com/en-us/library/cc264463.aspx

CIBERTEC

CARRERAS PROFESIONALES

112

UNIDAD DE
APRENDIZAJE

4
TEMA

7
FUNDAMENTOS DE SEGURIDAD DE RED
LOGRO DE LA UNIDAD DE APRENDIZAJE

Al trmino de la unidad, el alumno ser capaz de identificar las amenazas,


vulnerabilidades de seguridad, y tomar medidas de correccin para recuperarse
de incidentes de seguridad que se produzca en la organizacin

TEMARIO

Implementacin de seguridad con Security Configuration and Analysis

Implementacin de Microsoft Baseline security Analyzer

Asegurando los Servidores WEB

Administracin de Windows Server Update Service

ACTIVIDADES PROPUESTAS
Los alumnos:
Determinan el estado de seguridad de los equipos.
Analizan la configuracin de seguridad de los equipos.
Generan reportes del estado de seguridad de los equipos en la red.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


113

1. IMPLEMENTACIN DE MICROSOFT BASELINE SECURITY


ANALYZER
Microsoft Baseline Security Analyzer (MBSA) determina el estado de
instalacin de una actualizacin de software evaluando determinadas claves
del Registro, versiones de archivo y sumas de comprobacin de archivos
que se asocian a una actualizacin de seguridad determinada.
Actualmente, MBSA 2.1.1 es la ltima versin de la herramienta de anlisis
gratuita de evaluacin de seguridad y vulnerabilidades de Microsoft para
administradores, auditores de seguridad y profesionales de TI.
MBSA 2.1.1 aade compatibilidad con Windows 7, Vista, Windows Server
2008, Windows Server 2008 R2, una interfaz de usuario revisada,
compatibilidad de 64 bits, compatibilidad mejorada con Windows Embedded
y compatibilidad con las ltimas versiones del Agente de Windows Update
(WUA) basadas en Microsoft Update.
MBSA 2.1.1 tambin es compatible con Microsoft Update, Windows Server
Update Services 2.0 y 3.0, la herramienta SMS Inventory Tool for Microsoft
Update (ITMU) y SCCM 2007.
El programa es online y requiere conexin a Internet.
Para descargarlo slo ingrese la siguiente direccin en su explorador:
http://www.microsoft.com/downloads/details.aspx?familyid=B1E76BBE71DF-41E8-8B52-C871D012BA78&displaylang=en
1.1 INSTALACIN DE MICROSOFT BASELINE ANALYZER
1. Has doble clic sobre el archivo MBSASetup-X86.msi.
2. Lo anterior iniciar el asistente para la instalacin de Microsoft
Baseline Analyzer. En la pantalla de bienvenida haga clic en Next.

CIBERTEC

CARRERAS PROFESIONALES

114

3. En la siguiente ventana, acepte las condiciones del contrato de


licencia y haga clic en Next.

4. Seleccione la carpeta de destino, y haga clic en Next.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


115

5. Usted haga clic en Install y espere hasta que la instalacin haya


terminado.

1.2 USANDO MICROSOFT BASELINE ANALYZER


Su uso se resume, primordialmente, a los siguientes pasos:
1. En el escritorio, has doble clic sobre Microsoft Baseline Security
Analizer.
2. Ahora aparecer la ventana principal de Microsoft Security Analyzer.

CIBERTEC

CARRERAS PROFESIONALES

116

3. En la pantalla principal, se presentan 3 opciones:


a. Scan a computer: Realiza el escaneo en una sla mquina de la
red.
b. Scan multiple computers: Realiza el escaneo en varias mquinas
de la red.
c. View existing security scan reports: Muestra los reportes de
escaneos anteriores.
4. Como ejemplo vamos a escanear a una sola mquina (al Domain
controller), para ello Usted haga clic sobre Scan a computer, esto
abrir la siguiente ventana:

5. En la ventana mostrada, anteriormente, ingrese el nombre la mquina


o su direccin IP, el nombre del reporte (se puede generar,
automticamente) y lo que se desea escanear. Finalmente, al terminar
de escoger las opciones, haga clic en Start scan.
6. El escaneo ha iniciado, lo primero que hace el programa es descargar
la informacin de actualizaciones de seguridad desde Microsoft.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


117

7. Al final del escaneo, se muestra el reporte de resumen sobre los


problemas de seguridad del equipo.

8. Posteriormente, se puede acceder a este reporte haciendo clic sobre


View existing security scan reports.

CIBERTEC

CARRERAS PROFESIONALES

118

Resumen

 Microsoft Baseline Security Analyzer (MBSA) determina el estado de


instalacin de una actualizacin de software evaluando determinadas claves
del Registro, versiones de archivo y sumas de comprobacin de archivos que
se asocian a una actualizacin de seguridad determinada.
 Actualmente, MBSA 2.1.1 es la ltima versin de la herramienta de anlisis
gratuita de evaluacin de seguridad y vulnerabilidades de Microsoft para
administradores, auditores de seguridad y profesionales de TI.
 MBSA 2.1.1 aade compatibilidad con Windows 7, Vista, Windows Server
2008, Windows Server 2008 R2.
 MBSA permite analizar tanto la mquina local, cmo las de red, adems
permite el anlisis simultneo de computadores y permite la creacin de
registros que apoyan en el anlisis del software.
 Para ms informacin consulte la siguiente web:
http://technet.microsoft.com/es-es/security/cc184924.aspx

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


119

CIBERTEC

CARRERAS PROFESIONALES

120

UNIDAD DE
APRENDIZAJE

4
TEMA

FUNDAMENTOS DE SEGURIDAD DE RED


LOGRO DE LA UNIDAD DE APRENDIZAJE

Al trmino de la unidad, el alumno ser capaz de identificar las amenazas,


vulnerabilidades de seguridad, y tomar medidas de correccin para recuperarse
de incidentes de seguridad que se produzca en la organizacin.

TEMARIO

Implementacin de seguridad con Security Configuration and Analysis

Implementacin de Microsoft Baseline security Analyzer

Asegurando los Servidores WEB

Administracin de Windows Server Update Service

ACTIVIDADES PROPUESTAS
Los alumnos:
Configuran la seguridad en los navegadores.
Implementan Servidores WEB seguros.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


121

1. ASEGURANDO LOS SERVIDORES WEB


Durante los ltimos aos, los servidores Web se han convertido en una
excelente fuente de diversin para piratas: cualquier empresa que se precie,
desde las ms pequeas a las grandes multinacionales, tiene una pgina web
en las que al menos trata de vender su imagen corporativa.
La mayor parte de estos ataques tiene xito gracias a una configuracin
incorrecta del servidor o a errores de diseo del mismo: si se trata de grandes
empresas, los servidores Web suelen ser bastante complejos (alta
disponibilidad, balanceo de carga, sistemas propietarios de actualizacin de
contenidos...) y difciles de administrar, correctamente, mientras que si la
empresa es pequea es muy posible que haya elegido un servidor Web
simple en su instalacin y administracin pero en el cual es muy difcil
garantizar una mnima seguridad.
Sea por el motivo que sea, la cuestin es que cada da es ms sencillo para
un pirata ejecutar rdenes de forma remota en una mquina, o al menos
modificar contenidos de forma no autorizada, gracias a los servidores Web
que un sistema pueda albergar.
Hoy en da las conexiones a servidores Web son sin duda las ms extendidas
entre usuarios de Internet, hasta el punto de que muchas personas piensan
que este servicio (http, comnmente en el puerto 80 del protocolo TCP) es el
nico que existe en la red (junto al Windows Live Messenger). Lo que en un
principio se dise para que unos cuantos fsicos intercambiaran y
consultaran artculos, fcilmente, en la actualidad mueve a diario millones de
dlares y es uno de los pilares fundamentales de cualquier empresa: es, por
tanto, un objetivo muy atractivo para cualquier pirata.
Los problemas de seguridad relacionados con el protocolo http se dividen en
tres grandes grupos en funcin de los datos a los que pueden afectar:
1.1 SEGURIDAD EN EL SERVIDOR
Es necesario garantizar que la informacin almacenada en la mquina
servidor no pueda ser modificada sin autorizacin, que permanezca
disponible y que slo pueda ser accedida por los usuarios a los que les
est legtimamente permitido.
Una encuesta de Ernst & Young encontr que cuatro de cada cinco
organizaciones grandes, con ms de 2.500 empleados, ejecuta
aplicaciones crticas en redes de reas local LANs. Dichas LANs, y la
informacin vital que albergan, estn cada vez ms expuestas a la
amenaza de ataques externos perpetrados a travs del acceso que
proporcionan los servidores web. De un total de 61 organizaciones
estudiadas se encontraron 142 accesos no autorizados y decenas de
incidentes relacionados con Hackers en los ltimos tres meses.
La oficina general de estadsticas de Estados Unidos, pedida por el
comit del senado de Asuntos gubernamentales, inform sobre la
vulnerabilidad actual del departamento de la defensa (DoD) en sus

CIBERTEC

CARRERAS PROFESIONALES

122

sistemas informticos no clasificados, declarando que de 250.000 ataques


lanzados en contra del DoD un 65 % fue exitoso.
1.2 SEGURIDAD EN LA RED
Cuando un usuario se conecta a un servidor Web se produce un
intercambio de informacin entre ambos, es vital garantizar que los datos
que recibe el cliente desde el servidor sean los mismos que se estn
enviando (esto es, que no sufran modificaciones de terceros) y tambin,
garantizar que la informacin que el usuario enva hacia el servidor no sea
capturada, por un atacante. Esto es, especialmente, importante si la
informacin en trnsito es secreta, como en el caso de las contraseas
que el usuario teclea para autenticarse en el servidor, o en el comercio
electrnico y el intercambio de nmeros de tarjetas de crdito.
1.3 SEGURIDAD EN EL CLIENTE
Por ltimo es necesario garantizar al usuario que lo que descarga de un
servidor no va a perjudicar a la seguridad de su equipo. Sin llegar a
extremos de applets maliciosos o programas con virus, si simplemente, el
navegador del usuario se cuelga al acceder al visitar las pginas de una
organizacin, con seguridad, esa persona dejar de visitarlas, con la
consecuente prdida de imagen y posiblemente, de un futuro cliente para
esa entidad.
La proteccin del servidor en cada uno de los aspectos mencionados es
responsabilidad del administrador del sistema y si bien no se puede
considerar al servidor totalmente seguro, las acciones emprendidas en pos de
la seguridad pueden proveer una proteccin suficiente en la mayora de los
casos.
Para proporcionar una mayor seguridad, IIS 7 no se instala en Windows
Server 2008 de forma predeterminada y al instalar IIS 7, el servidor web se
configura para proporcionar slo contenido esttico. Este contenido incluye
archivos HTML y de imagen.
En la lista siguiente, se describen las nuevas caractersticas de seguridad de
IIS 7 y se explican, de foma breve, sus ventajas:
a) Un nuevo grupo integrado de Windows denominado IIS_IUSRS
reemplaza el grupo IIS_WPG local. Una nueva cuenta integrada de
Windows denominada IUSRS reemplaza la cuenta local
IUSR_Nombre de equipo annima de IIS 6.0. Sin embargo, la
cuenta IUSR_nombre de equipo continuar utilizndose para FTP.
Estos cambios se combinan para proporcionar cuatro ventajas.
b) La capacidad de utilizar una cuenta annima personalizada sin
deshabilitar la cuenta annima de IIS.
c) El mantenimiento de listas de control de acceso (ACL) coherentes
entre varios servidores web utilizando un identificador de seguridad
comn (SID).

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


123

d) La lista de restricciones de IP se puede configurar para denegar el


acceso al contenido en un solo equipo, en un grupo de equipos, en
un domino o en todas las direcciones IP y entradas no registradas.
De esta forma, adems de proporcionar compatibilidad con la
caracterstica de concesin o denegacin de IIS 6.0, se permite la
herencia y combinacin de reglas de restriccin de direcciones IP.
e) En IIS 7 se incorporan las caractersticas de la herramienta de
seguridad UrlScan 2.5 y, por tanto, ya no es necesario descargar
una herramienta aparte.
f) IIS 7 admite la autorizacin de direcciones URL en cdigo nativo.
Para mantener la coherencia, este cambio proporciona
compatibilidad con toda la funcionalidad de la implementacin de
cdigo administrado de ASP.NET existente.
2. CONFIGURANDO LA SEGURIDAD DE LOS NAVEGADORES
A continuacin, se mostrar un ejemplo sobre como configurar las opciones
de seguridad para el navegador Internet Explorer. Las zonas de seguridad
se configurarn en el servidor por medio de GPO aplicado a los usuarios
del OU Contabilidad que deber crearse, previamente, junto al usuario
nmartinez.

Logon name: nmartinez

Pasos
1. Primero hay que deshabilitar Internet Explorer Enhanced Security
Configuration (IE ESC) en el servidor. Para esto Seleccione a Start,
haga clic sobre Server Manager y haga clic sobre Configure IE ESC.

CIBERTEC

CARRERAS PROFESIONALES

124

2. Deshabilite IE ESC tanto para los usuarios (Users) como para los
administradores (Administrators). Para esto, marque off en ambos y
haga clic en OK.

3. Seleccione a Start, Administrative Tools, y haga clic en Group Policy


Management, se mostrar la siguiente ventana:

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


125

4. En el panel izquierdo, usted haga clic derecho sobre el OU Contabilidad


y seleccione Create a GPO in this domain, and link it here

5. En la siguiente ventana, ponga el nombre IESec al GPO. Esto


enlazar al GPO en el OU de Contabilidad.

CIBERTEC

CARRERAS PROFESIONALES

126

6. Usted haga clic derecho sobre el GPO creado y seleccione Edit en el


men contextual.

7. En la ventana Group Policy Management Editor, despliegue User


configuration, Policies, Internet Explorer Maintenance y finalmente,
seleccione Security.

8. En el panel derecho, has doble clic sobre Security Zones and Content
Ratings, esto llamar a la siguiente ventana.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


127

9. En el grupo Security Zones and Privacy, seleccione Import the


current security zones and privacy settings. Posteriormente, hacer
clic en el botn Continue del cuadro de dilogo, ste nos advierte que
la configuracin realizada aqu slo afectar a mquinas que no tengan
habilitadas el IE ESC.

10. Haga clic en el botn Modify Settings, esto llamar a la ventana de


configuracin de Internet. En esta ventana se configura las opciones de
seguridad para Internet que sean necesarias o requeridas. Finalmente,
hacer clic en OK en las ventanas Internet properties y Security Zones
and Content Ratings una vez terminada la personalizacin.

CIBERTEC

CARRERAS PROFESIONALES

128

11. En Group Policy Management Editor, contraiga Windows Settings y


en
Policies
(dentro
de
User
Configuration)
despliegue
Administratives Templates: Policy definitions (ADMX files)
retrieved from the local machine, luego despliegue Windows
Components, Internet Explorer y finalmente, seleccione Internet
Control Panel.

12. Ahora, en el panel derecho, establece el estado de las polticas tal


como se muestra en la siguiente imagen. Esto se hace para que los
usuarios que son afectados por el GPO no puedan realizar cambios en
la configuracin de seguridad:

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


129

13. Finalmente, cierre las ventanas de Group Policy Management Editor y


Group Policy Management .
14. Para probar la configuracin, valdese con el usuario nmartinez en una
mquina cliente y vemos el siguiente comportamiento:

Pestaas de
conexin, seguridad
y contenido no
visibles

CIBERTEC

CARRERAS PROFESIONALES

130

No se pueden
descargar archivos
debido a la zona de
seguridad escogida
(Zona Alta).

3. CONFIGURANDO CERTIFICADO DE SEGURIDAD EN EL


SERVIDOR WEB
Los certificados forman parte del cifrado de Capa de sockets seguros
(SSL). Los certificados de servidor permiten a los usuarios confirmar la
identidad de un servidor web antes de transmitir datos confidenciales, como
un nmero de tarjeta de crdito. Los certificados de servidor contienen
tambin informacin sobre la clave pblica del servidor para que los datos
se puedan cifrar y enviar de nuevo al servidor.
Para que una pgina sea considerada segura debe hacer uso de HTTPS.
HTTPS, es un protocolo de red basado en el protocolo HTTP, destinado a
la transferencia segura de datos de hipertexto, es decir, es la versin
segura de HTTP. La idea principal de HTTPS es la de crear un canal
seguro sobre una red insegura. Esto proporciona una proteccin razonable
contra ataques eavesdropping y man-in-the-middle, siempre que se
empleen mtodos de cifrado adecuados y que el certificado del servidor sea
verificado y resulte de confianza.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


131

El sistema HTTPS utiliza un cifrado basado en SSL/TLS para crear un


canal cifrado (cuyo nivel de cifrado depende del servidor remoto y del
navegador utilizado por el cliente) ms apropiado para el trfico de
informacin sensible que el protocolo HTTP. De este modo, se consigue
que la informacin sensible (usuario y claves de paso, normalmente) no
pueda ser usada por un atacante que haya conseguido interceptar la
transferencia de datos de la conexin, ya que lo nico que obtendr ser un
flujo de datos cifrados que le resultar imposible de descifrar. El puerto
estndar para este protocolo es el 443.
Para configurar los certificados de seguridad en IIS 7, se siguen tres
etapas: solicitar el certificado, instalar el certificado y enlazar el certificado a
un Website.
3.1 IMPLEMENTACIN DE CERTIFICADOS EN UN WEB SITE CON IIS 7.0
3.1.1 Solicitar el certificado.
Para esta etapa se siguen los siguientes pasos:
1. Seleccione Start, Administrative Tools y por ltimo, haga clic en
Internet Information Services (IIS) Manager.

2. Seleccione su servidor en panel izquierdo, luego en el grupo IIS


seleccione Server Certificates.

CIBERTEC

CARRERAS PROFESIONALES

132

3. Haga doble clic en Server Certificates. El Internet Information


Services (IIS) Manager configure como se muestra en la siguiente
imagen.

4. En el panel Actions, haga clic en Create Certificate Request. En la


ventana que se despliega, ingrese los datos siguientes:
a. Common name: Escribe un nombre para el certificado. Debe ser
FQDN.
b. Oraganization: Escribe el nombre de la organizacin en la que se
utilizar el certificado.
c. Organizational unit: Escribe el nombre de la unidad organizativa de
la organizacin en la que se utilizar el certificado.
d. City/Locality: Escribe el nombre sin abreviar de la ciudad o
localidad donde reside su organizacin o unidad organizativa.
e. State/Province: Escribe el nombre sin abreviar del estado o
provincia donde reside su organizacin o unidad organizativa.
f. Country/Region: Escribe el nombre del pas o regin donde reside
su organizacin o unidad organizativa.
Luego de ingresado los datos, haga clic en Next.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


133

5. En la ventana de Cryptographic Service Provider Properties,


seleccione Microsoft RSA SChannel Cryptographic. De forma
predeterminada, IIS 7 utiliza Microsoft RSA SChannel
Cryptographic Provider. En la lista desplegable Longitud en bits,
seleccione una longitud en bits que puede utilizar el proveedor. De
forma predeterminada, el proveedor RSA SChannel utiliza una
longitud en bits de 1024, el mismo valor ser usado para el ejemplo,
luego Usted haga clic en Next.

6. En la pgina File Name, Escribe el nombre Prueba en el cuadro de


texto o Usted haga clic en el botn de exploracin (...) para buscar un

CIBERTEC

CARRERAS PROFESIONALES

134

archivo y, a continuacin, haga clic en Finish. Eso crear el archivo


Prueba.csr.

7. Enve la solicitud de certificado a una entidad de certificacin pblica,


el archivo se ubica en %systemroot%\System32 si es que slo ha
especificado el nombre de archivo en la ventana anterior. La entidad
responder con prueba.cer

3.1.2 Instalar el certificado en el Web Site


1. Seleccione a Start, Administrative Tools y finalmente, haga clic en
Internet Information Services (IIS) Manager.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


135

2. Seleccione el servidor en el panel izquierdo, luego en el grupo IIS


seleccione Server Certificates.

3. Haga doble clic en Server Certificates. La ventana de Internet


Information Services (IIS) Manager cambiar a lo que se muestra en
la siguiente imagen.

CIBERTEC

CARRERAS PROFESIONALES

136

4. En el panel Actions, haga clic en Complete Certificate Request.

5. En la ventana anterior, Escribe la ruta de acceso del archivo que


contiene la respuesta de la entidad de certificacin o haga clic en el
botn de exploracin () para buscar el archivo y poner dicha ruta en
el cuadro de texto. Finalmente, escribe el nombre PruebaIIS7 para su
certificado y haga clic en OK.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


137

6. Finalmente, el certificado estar instalado para el uso en un Website


del IIS (Esto puede verificarlo en Server Certificates).

3.1.3 Enlaza el certificado al Website.


Para este ejemplo, utilizaremos el Default Web Site.
1. Seleccione a Start, Administrative Tools y para finalizar, haga clic en
Internet Information Services (IIS) Manager.
2. En el panel Connections, seleccione y despliegue el servidor,
posteriormente, despliegue Sites y seleccione Default Web Site.

CIBERTEC

CARRERAS PROFESIONALES

138

3. En el panel Actions, seleccione Bindings. Esto abrir la siguiente


ventana.

4. En la ventana anterior, haga clic en Add. Y en la ventana que se


despliega seleccione https en el cuadro combinado Type, y en SSL
Certificate seleccione el certificado PruebaIIS7 y al finalizar, haga
clic en OK.

5. Observe que en el panel Actions, se ha aadido Browse *:443


(https).

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


139

6. Ejecute
Internet
Explorer
https://serv01.nwtraders.com.

ingrese

la

direccin

Nota: En algunos casos es necesario, instalar certificados intermedios a


fin de identificar a un servidor y evitar el error de certificado no
garantizado. Parar estos casos, con cada certificado intermedio, se siguen
los siguientes pasos:
-

CIBERTEC

Descargue el certificado intermedio a una carpeta del servidor.


Has doble clic sobre el certificado para poder ver sus propiedades.
En la parte baja de la ficha General, haga clic en el botn Install
Certificate para iniciar el asistente de importacin de certificados.

CARRERAS PROFESIONALES

140

Seleccione Place all certificates in the following store y haga clic en


Browse.

- Marque la casilla de verificacin Show physical stores, luego despliegue la


carpeta Intermediate Certification Authorities, seleccione la carpeta Local
Computer. Clic en OK. Clic en Next, despus, en Finish.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


141

3.2 IMPLEMENTA UN CERTIFICADO AUTOFIMARDO EN IIS 7.0


El uso de los certificados autofirmados para un equipo local es til en los
siguientes casos:
-

Para solucionar los problemas relacionados con los certificados de


otros fabricantes.
Para administrar IIS de manera remota.
Para crear un canal privado seguro entre su servidor y un grupo
limitado de usuarios conocidos, como es el caso de un entorno de
prueba de software.
Para probar las caractersticas que dependen de la configuracin de
SSL.

3.2.1 Los pasos para implementar un certificado autofirmado son:


1. Seleccione a Start, Administrative Tool, finalmente, haga clic en
Internet Information Services (IIS) Manager.
2. Seleccione el servidor en panel izquierdo, luego en el grupo IIS
seleccione Server Certificates.

3. Haga doble clic en Server Certificates. El Internet Information


Services (IIS) Manager cambiar a lo que se muestra en la
siguiente imagen.

CIBERTEC

CARRERAS PROFESIONALES

142

4. En el panel Actions, haga clic en Create Self-Signed Certificiate.


En la ventana que se despliega, ingrese un nombre para el
certificado. Para el ejemplo, escribe SelfCert como nombre al
finalizar, haga clic en OK.

5. El certificado ya estar creado, ahora adjuntelo a un Web Site (por


ejemplo a Contoso.com). Para ello, seleccione el Web Site y en el
panel Actions, seleccione Bindings. Esto abrir la siguiente
ventana.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


143

6. En la ventana anterior, haga clic en Add. Y en la ventana que se


despliega, seleccione https en el cuadro combinado Type, y en
SSL Certificate seleccione el certificado SelfCert al finalizar,
haga clic en OK.

7. Cierre la ventana Set Bindings.

8. Ahora ingrese a la direccin https://www.contoso.com (o el nombre


de su Web Site) y vemos que se obtiene lo siguiente.

Lo cual ocurre por tratarse de un certificado que slo se usa con fines
de prueba o con redes de pocos usuarios. Simplemente, seleccione
Continue to this website para ver la siguiente pantalla.

CIBERTEC

CARRERAS PROFESIONALES

144

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


145

Resumen

 Durante los ltimos aos los servidores Web se han convertido en una
excelente fuente de diversin para piratas: cualquier empresa que se precie,
desde las ms pequeas a las grandes multinacionales, tiene una pgina web
en las que al menos trata de vender su imagen corporativa.
 La mayor parte de estos ataques tiene xito gracias a una configuracin
incorrecta del servidor o a errores de diseo del mismo.
 Los certificados forman parte del cifrado de Capa de sockets seguros (SSL).
Los certificados de servidor permiten a los usuarios confirmar la identidad de
un servidor web antes de transmitir datos confidenciales, como un nmero de
tarjeta de crdito. Los certificados de servidor contienen tambin informacin
sobre la clave pblica del servidor para que los datos se puedan cifrar y
enviar de nuevo al servidor.
 Para que una pgina sea considerada segura debe hacer uso de HTTPS.
 Para configurar los certificados de seguridad en IIS 7, se desarrollan tres
etapas: solicitar el certificado, instalarlo y enlazarlo a un Website.
 Slo para fines de prueba y en redes pequeas (slo los usuarios de una
intranet requieren seguridad) puede hacer uso de certificados autofirmados.
 Si desea saber ms acerca de estos temas, puede consultar las siguientes
pginas.

http://technet.microsoft.com/es-es/library/cc731278%28WS.10%29.aspx
http://technet.microsoft.com/es-es/library/cc732230%28WS.10%29.aspx

CIBERTEC

CARRERAS PROFESIONALES

146

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


147

UNIDAD DE
APRENDIZAJE

4
TEMA

FUNDAMENTOS DE SEGURIDAD DE RED


LOGRO DE LA UNIDAD DE APRENDIZAJE

Al trmino de la unidad, el alumno ser capaz de identificar las amenazas,


vulnerabilidades de seguridad, y tomar medidas de correccin para recuperarse
de incidentes de seguridad que se produzca en la organizacin.

TEMARIO

Implementacin de seguridad con Security Configuration and Analysis

Implementacin de Microsoft Baseline security Analyzer

Asegurando los Servidores WEB

Administracin de Windows Server Update Service

ACTIVIDADES PROPUESTAS
Los alumnos:
Instalan, configuran, y administran el Servidor WSUS.
Aplican actualizaciones de seguridad en los equipos
de la red.

CIBERTEC

CARRERAS PROFESIONALES

148

1. ADMINISTRACIN DE WINDOWS SERVER UPDATE


SERVICES
En esta seccin implementaremos Microsoft Windows Server Update Services
(WSUS), una herramienta para administrar y distribuir actualizaciones de
software que resuelven conocidas vulnerabilidades de seguridad y brinda
estabilidad al sistema operativo Windows 2000 y versiones modernas, como a
otras aplicaciones de Microsoft. En esta seccin se describir como instalar los
componentes servidor y cliente de WSUS. Tambin, proveer informacin
necesaria acerca de la administracin de la infraestructura de WSUS.
Tradicionalmente, los administradores mantienen actualizado los sistemas por
medio de una frecuente verificacin del Web Site Microsoft Update o el Web Site
Security para actualizaciones de software.
Los administradores descargan, manualmente, las actualizaciones disponibles,
verifican las actualizaciones esos ambientes de prueba, y luego las distribuyen
manualmente o usando la herramienta tradicional distribucin de software. Por
medio de WSUS, los administradores pueden realizar estas tareas
automticamente. A continuacin, describiremos WSUS y cmo trabaja con
Microsoft Update y Actualizaciones automticas.
1.1 QU ES MICROSOFT UPDATE?
Microsoft Update es un Web Site que mantiene sus sistemas
actualizados. Usa Microsoft Update para obtener las actualizaciones de
los sistemas operativos y de las aplicaciones de Windows, controladores
de dispositivos actualizados, y software. Nuevo contenido es agregado
regularmente al Web Site, entonces siempre puede obtener las
actualizaciones ms recientes para proteger el servidor y las
computadoras clientes de la red.
1.1.1 Qu son las actualizaciones?
Las actualizaciones pueden incluir arreglos en la seguridad,
actualizaciones crticas, o controladores crticos. Estas actualizaciones
resuelven problemas conocidos de seguridad y brinda estabilidad en los
sistemas operativos Windows 2000, Windows XP, y Windows Server. El
Web Site de Microsoft Update tambin tiene actualizaciones para
aplicaciones como Microsoft Office, Microsoft Exchange Server y
Microsoft SQL Server.
1.1.2 Las categoras de las actualizaciones
Las categoras de las actualizaciones para los sistemas operativos de
Windows son:

Actualizaciones crticas. Soluciona problemas de seguridad y otras


actualizaciones importantes para mantener nuestras computadoras y
redes seguras.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


149

Descargas recomendadas. Los ltimos service packs de Windows


y Microsoft Internet Explorer y otras actualizaciones importantes.
Herramientas de Windows. Utilidades y otras herramientas qu son
brindadas para mejorar el rendimiento y facilitar las actualizaciones.

1.2 QU SON LAS ACTUALIZACIONES AUTOMTICAS?


Actualizaciones automticas es una opcin configurable en Windows. Que
permite descargar e instalar actualizaciones al sistema operativo sin ninguna
intervencin del usuario. Las actualizaciones pueden ser descargadas desde
el Web Site Microsoft Update o desde un servidor WSUS. La configuracin de
Automatic Updates puede ser controlado, de manera centralizada, por el
administrador.
1.2.1 Opciones de actualizaciones automticas
Las actualizaciones automticas brindan mayor flexibilidad para decidir
cmo y cundo las actualizaciones sern instaladas.
Estas opciones son:

Automticas. Cuando se conecta a Internet, Windows busca y


descarga las actualizaciones en segundo plano: no se le informa ni
se le interrumpe durante el proceso y las actualizaciones no
interfieren con otras descargas. Si no cambia la programacin
predeterminada, las actualizaciones que se hayan descargado en el
equipo se instalarn a las 3 a.m.
Si el equipo est apagado cuando se haya programado realizar una
actualizacin, Windows instalar las actualizaciones la prxima vez
que se inicie el equipo. Si necesita ayuda para completar el proceso
de instalacin, Windows se lo indicar. Por ejemplo, es posible que
tenga que aceptar un contrato de licencia para el usuario final
(CLUF) para poder instalar algunas actualizaciones. Si tiene que
reiniciar el equipo para que una actualizacin surta efecto, Windows
se lo indicar y usted reiniciar el equipo cuando haya programado.
Las actualizaciones son descargadas, automticamente, he
instaladas

Descargar actualizaciones por m, pero permitirme elegir


cundo instalarlas. Para recibir alertas, debe ser miembro del
grupo Administradores de su equipo. Cuando se conecta a Internet,
Windows busca y descarga las actualizaciones en segundo plano:
no se le informa ni se le interrumpe durante el proceso y las
actualizaciones no interfieren con otras descargas.
Una vez completada la descarga, el icono de Windows Update
aparece en el rea de notificacin y la alerta se muestra para hacerle
saber que las actualizaciones estn listas para ser instaladas. Para
revisar e instalar las actualizaciones disponibles, haga clic en el
icono o en la alerta. Puede instalar todas las actualizaciones
disponibles o slo algunas.

CIBERTEC

CARRERAS PROFESIONALES

150

Notificarme, pero no descargarlas, de forma automtica, ni


instalarlas. Para descargar e instalar las actualizaciones usted
mismo, debe ser miembro del grupo Administradores de su equipo.
Windows comprueba si hay actualizaciones importantes y le informa
si hay alguna disponible; las actualizaciones no se descargan ni se
instalan en su equipo a menos que usted lo decida. Cuando
Windows encuentra actualizaciones para su equipo, el icono de
Windows Update
aparece en el rea de notificacin y la alerta
se muestra para hacerle saber que las actualizaciones estn listas
para ser instaladas. Cuando Usted haga clic en el icono o en la
alerta, podr seleccionar las actualizaciones que se tienen que
descargar.
Windows descarga las actualizaciones en segundo plano: no se le
informa ni se le interrumpe durante el proceso y las actualizaciones
no interfieren con otras descargas. Cuando la descarga ha
finalizado, el icono de Windows Update vuelve a aparecer en el
rea de notificacin, esta vez para indicarle que las actualizaciones
estn listas para ser instaladas. Puede elegir instalar todas las
actualizaciones disponibles o slo algunas.

Desactivar actualizaciones automticas. Nunca se le informar


cuando haya actualizaciones importantes disponibles para su equipo
y no se le pedir que las descargue ni las instale. Esto significa que
el equipo puede ser vulnerable a las amenazas de seguridad y los
virus peligrosos que puedan daar el equipo o los archivos. Los virus
tambin se pueden extender a travs de Internet a otras personas a
las que enve correo electrnico, con las que comparta archivos o
con las que trabaje en una red.
De forma continua, se estn desarrollando nuevos virus y amenazas
de seguridad por lo que contribuir a proteger su equipo es un
proceso ininterrumpido. Si no activa Actualizaciones automticas, es
aconsejable que instale con regularidad las actualizaciones del sitio
Web Windows Update (http://www.microsoft.com/).

1.3 QU ES WINDOWS SERVER UPDATE SERVICES?


WSUS es un componente opcional para Windows Server 2000 y 2003 que
puede ser descargado desde el Web Site de Microsoft. ste acta como
punto para distribuir actualizaciones a las estaciones de trabajo y servidores.
1.3.1 Clientes soportados:
WSUS Service Pack 1 soportar los siguientes clientes:
Windows Vista o superior.
Windows Server 2008 o superior.
Cualquier edicin de Microsoft Windows 2003.
Microsoft Windows XP Professional SP2 o superior.
Microsoft Windows 2000 Professional SP4, Windows Server
2000 Server SP4, o Windows 2000 Advanced Server UIT SP4.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


151

1.3.2 Software soportado:


WSUS 3.0 Service Pack 1 actualizar todos los productos
siguientes:
Microsoft Office XP y recientes.
Microsoft Data Protection Manager.
Windows Defender.
Microsoft ISA Server 2004
Microsoft Exchange Server 2000 y recientes.
Microsoft Forefront.
Windows Small Business Server 2003.
Microsoft SQL Server 2000 y recientes.
Windows Live.
1.4 COMPONENTE DEL SERVIDOR
Instale el componente del servidor de WSUS en un servidor que este
ejecutando Windows Server 2003 o Windows Server 2008 dentro del
firewall de la empresa. El firewall tiene que estar configurado para permitirle
al servidor interno sincronizar el contenido con el Web Site de Microsoft
Update cuando existan actualizaciones crticas disponibles para Windows.
La sincronizacin puede ser automtica, o el administrador puede realizarla
manualmente.
Las actualizaciones sincronizadas tienen que ser aprobadas antes de que
puedan ser instaladas en las computadoras clientes. Esto permite verificar
las actualizaciones con aplicaciones corporativas antes de distribuirlas.
ste es un beneficio que brinda WSUS sobre Microsoft Update.
1.5 COMPONENTE DEL CLIENTE
Las actualizaciones automticas es el software cliente que descarga e
instala las actualizaciones desde el servidor WSUS. El cliente tiene que
estar configurado con la ubicacin del servidor WSUS. La ubicacin se
puede configurar a travs del regedit o usando Group Policy. Usar Group
Policy es lo ms recomendado.

2. ESCENARIOS Y REQUERIMIENTOS PARA INSTALAR

WINDOWS SERVER UPDATE SERVICES


WSUS consiste de ambos componentes del lado del cliente y del lado del
servidor para brindar una solucin bsica en la administracin crtica de
actualizaciones.
En esta leccin, explicaremos como instalar y configurar ambos componentes
tanto en el cliente y en el servidor de WSUS.
2.1 IMPLEMENTACIN DE ESCENARIOS WSUS
Para permitir diversas situaciones, puede implementar el servidor WSUS
en varios escenarios. Puede escoger el escenario de implementacin que

CIBERTEC

CARRERAS PROFESIONALES

152

sea el ms apropiado para t organizacin. Los factores de decisin quizs


incluya el nmero de ubicaciones en red vuelve ancho de banda de tu
conexin de Internet.
2.1.1 Un solo servidor WSUS (red pequea o sencilla)
En un escenario con un solo servidor WSUS, los administradores pueden
configurar un servidor que ejecute WSUS dentro de su firewall
corporativo, el cual sincroniza el contenido directamente con Microsoft
Update y distribuye las actualizaciones entre los equipos cliente, tal y
como se muestra en la figura siguiente.

2.1.2 Varios servidores WSUS independientes


Los administradores pueden implementar varios servidores configurados
de forma que cada uno sea administrado, independientemente, y
sincronice su contenido desde Microsoft Update, tal como se muestra en
la figura siguiente.

El mtodo de implementacin en este escenario sera apropiado en


situaciones en las que los diferentes segmentos de redes de rea local
(LAN) o redes de rea extensa (WAN) se administran como entidades
separadas (por ejemplo, sucursales). Tambin, sera adecuada cuando un

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


153

servidor que ejecuta WSUS se ha configurado para implementar


actualizaciones slo en equipos cliente que ejecutan un sistema operativo
determinado (como, por ejemplo, Windows 2000), mientras otro servidor
se ha configurado para implementar actualizaciones slo en equipos
cliente que ejecutan otros sistemas operativos (como, por ejemplo,
Windows XP).

2.1.3 Varios servidores WSUS sincronizados internamente


Los administradores pueden implementar varios servidores que ejecuten
WSUS y que sincronicen todo el contenido de la intranet de la
organizacin. En la figura siguiente, slo hay un servidor expuesto a
Internet. En esta configuracin, ste es el nico servidor que descarga
actualizaciones desde Microsoft Update. Este servidor est establecido
como el servidor que precede en la cadena, con cuyo origen se sincroniza
el servidor que sigue en la cadena. Si es necesario, los servidores pueden
ubicarse a travs de una red, geogrficamente, dispersa para ofrecer la
mejor conectividad posible a todos los equipos cliente.

2.1.4 Servidores WSUS desconectados


Si la directiva corporativa u otras condiciones limitan el acceso del equipo
a Internet, los administradores pueden configurar un servidor interno que
ejecute WSUS, tal como se muestra en la figura siguiente. En este
ejemplo, se cre un servidor para conectarlo a Internet; sin embargo, ste

CIBERTEC

CARRERAS PROFESIONALES

154

se encuentra aislado de la intranet. Despus que descargar, probar y


aprobar las actualizaciones en este servidor, un administrador podra, a
continuacin, exportar los metadatos y contenido de las actualizaciones a
los medios apropiados. Luego, desde estos medios, el administrador
importara los metadatos y contenido de las actualizaciones en los
servidores que ejecutan WSUS dentro de la intranet. Aunque la figura
siguiente muestra este modelo en su forma ms sencilla, ste podra
escalarse a una implementacin de cualquier tamao.

2.2 REQUERIMIENTOS DEL SERVIDOR WSUS


2.2.1 Requerimientos de almacenamiento
1 GB en la particin del sistema.
2 GB para el volumen en donde se almacenan los archivos de la
base de datos.
20 GB para el volumen en donde estar almacenado el
contenido.
2.2.2 Instalacin en Windows Server 2003
WSUS 3.0 Service Pack 1 no puede ser instalado en Windows
2000 Server. La instalacin en Windows Server 2003 requiere los
siguientes prerrequisitos:
Internet Information Services.
.NET version 2.0
Microsoft Management Console 3.0
Microsoft Report Viewer
Microsoft SQL Server 2005 SP1 o superior.
2.2.3 Instalacin en Windows Server 2008
Instale deIIS desde el sistema operativo. Asegrese que los
siguientes componentes estn habilitados:
Windows Authentication
CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


155

Static Content
ASP.NET
6.0 Management Compatibility
6.0 IIS Metabase Compatibility

 Instale Microsoft Report Viewer, descrguelo desde el Web Site de


Microsoft.
 .NET 2.0 y MMC 3.0 estn instalados como parte del sistema
operativo.
 Microsoft SQL Server 2005 SP2 o superior.
2.3 CONFIGURACIN DE ACTUALIZACIONES AUTOMTICAS
La poltica de grupo es la forma ms apropiada de configurar las opciones
para actualizaciones automticas. Esto permite una configuracin
centralizada y distribuida para todas las computadoras clientes WSUS sin
ninguna interaccin del usuario. El administrador puede ejecutar polticas
de actualizacin a todas las computadoras desde una ubicacin central.
2.3.1 Actualiza la plantilla administrativa de la poltica de grupo.
WSUS habilita varias opciones de actualizaciones automticas que estn
disponibles en versiones anteriores de clientes. Como consecuencia, las
configuraciones por defecto de la poltica de grupo que estaban incluidas
con Windows Server 2003 no van a permitir configurar todas las opciones
vigentes de las actualizaciones automticas.
2.3.2 Control administrativo usando poltica de grupo.
Las opciones de configuracin que han sido definidas por el administrador
usando poltica de grupo siempre sobrescribirn a las opciones definidas
por el usuario. Tambin, las opciones de actualizaciones automticas en
el panel de control estn deshabitadas en la computadora destino cuando
las polticas administrativas han sido configuradas.
La configuracin para las actualizaciones automticas est ubicada en
Computer Configuration\Administrative Templates\Windows
Components\Windows Update.

2.3.3 Configuraciones de actualizaciones automticas usando


poltica de grupo.
Varias configuraciones de actualizaciones automticas usando poltica de
grupo son las siguientes:

CIBERTEC

Especfica la ubicacin de la intranet Microsoft update


service.
Frecuencia de deteccin para actualizaciones automticas.
Permite la instalacin inmediata de las actualizaciones
automticas.
Permite que los usuarios no administradores reciban
notificaciones de actualizacin.

CARRERAS PROFESIONALES

156

1 ADMINISTRANDO WINDOWS SERVER UPDATE SERVICES


Como administrador, va a decidir cuando instalar las actualizaciones, o si
primero va a verificar las actualizaciones en una computadora de prueba. Ahora,
analizaremos como ver el contenido de las actualizaciones sincronizadas, as
como tambin aprobar e instalar las actualizaciones.
Es muy importante tener un backup de la configuracin de WSUS y de esta
forma podamos restaurar la configuracin en caso de un evento de desastre.
Existen 5 tareas primarias para administrar WSUS

Revisar el estatus de la informacin, como las actualizaciones


requeridas por las computadoras.
Revisar y aprobar las actualizaciones para los clientes.
Generar reportes del estado de las actualizaciones, computadoras,
sincronizacin, y configuracin de WSUS.
Administrar el grupo de computadoras.
Configurar las opciones para la sincronizacin de WSUS,
aprobaciones automticas, y asignar computadoras a los grupos.

1.1 CONSOLA DE ADMINISTRACIN DE WINDOWS UPDATE


SERVICES
La consola de administracin WSUS 3.0 ha sido movida desde la consola
basada en Web hacia el MMC 3.0 (Microsoft Management Console). La
nueva interfase brinda las siguientes caractersticas:

Cada nodo de la pgina principal contiene una vista previa de


todas las tareas asociadas con este nodo.
Filtro avanzado.
Nuevas columnas que te permite organizar las actualizaciones de
acuerdo al tipo: nmero MSRC, artculo KB, y estado de la
instalacin.
Acceso directo a mens, que te permite realizar una accin con el
clic derecho.
Reporte integrado.

1.2 COMO TRABAJA LA SINCRONIZACIN


Los servidores que ejecutan WSUS son actualizados en un proceso
llamado sincronizacin. Este proceso compara el software del servidor
WSUS con las ltimas actualizaciones liberadas del Web Site Microsoft
Update. Los administradores pueden configurar este proceso,
automticamente, o de forma manual.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


157

1.2.1 Sincronizacin programada


La configuracin por defecto para la sincronizacin programada es
manual. Esto significa que el administrador tiene que escoger
manualmente descargar las actualizaciones nuevas para el servidor
WSUS. ste es apropiado, nicamente, para los servidores WSUS
desconectados. Para otros servidores WSUS, la sincronizacin debera
ser programada. La programacin diaria permite al servidor WSUS tener
las ltimas actualizaciones. Despus de la sincronizacin el administrador
an tiene que aprobar las actualizaciones antes que sern distribuidas a
los clientes.
1.2.2 Clasificacin de productos y actualizaciones
El administrador puede seleccioner productos especficos y clasificar las
actualizaciones para limitar la descarga innecesaria. Por defecto, son
descargadas las actualizaciones crticas y las actualizaciones de
seguridad.
1.2.3 Fuente de actualizacin
El administrador puede sincronizar el contenido del servidor WSUS desde
el Web Site de Microsoft Update o desde otra instalacin WSUS. La
fuente de actualizacin depender de cmo hayas planeado la
implementacin de WSUS. Un servidor WSUS independiente sincronizar
el contenido desde el Web Site de Microsoft Update, mientras que el
servidor WSUS de una oficina sucursal sincronizar su contenido desde el
servidor WSUS de la oficina principal.
1.2.4 Idioma de actualizacin
El administrador puede indicar las actualizaciones que son descargadas
basadas en el idioma de la actualizacin. Esto reduce el uso del ancho de
banda para la descargada y reduce el espacio de disco requerido para
almacenar las actualizaciones. La configuracin, por defecto, descarga las
actualizaciones en todos los idiomas.
1.3 ADMINISTRAR LOS GRUPOS DE COMPUTADORAS
Los grupos de computadoras son usados por WSUS para controlar que
actualizaciones son aplicadas, y a que computadoras. Esto permite
implementar etapas en las actualizaciones y reducir la carga en la red. Por
ello, los grupos de computadoras son ideales para testear las
actualizaciones en computadoras especficas antes de distribuida las
actualizaciones a toda la organizacin.
1.3.1 Computadoras clientes
Las computadoras clientes estn listas en la pgina computers de la
consola de administracin. Estas computadoras son agregadas,
automticamente, a esta pgina despus se contacta con el servidor
WSUS.
Una computadora nunca es removida, de manera automtica, desde el
servidor WSUS. Si reconfigura una computadora para usar otro Servidor

CIBERTEC

CARRERAS PROFESIONALES

158

WSUS, tendr que remover, manualmente, la computadora desde el


servidor WSUS original.
1.3.2 Grupos de computadoras por defecto
Todas las nuevas computadoras son agregadas, de forma automtica, a
los grupos All Computers group y Unassigned Computers Group. El
grupo All Computers group brinda una forma conveniente para aplicar
actualizaciones a cada computadora usando un servidor WSUS. El grupo
Unassigned Computers Group te permite ver que computadoras quizs
sean nuevas usando el servidor WSUS y necesiten ser agregadas a un
grupo. Despus que las computadoras son agregadas a un grupo creado
por el administrador, ellas ya no formarn parte del grupo Unassigned
Computers Group.
1.3.3 Agregar computadoras a los grupos de stas
Las
computadoras
pueden ser
agregadas
manualmente
o
automticamente a los grupos. Para agregar de forma manual las
computadoras a los grupos, se usa la consola WSUS Administration. Para
agregar las computadoras automticamente, se debe usar la poltica de
grupo Client-side targeting.
1.4 APROBAR ACTUALIZACIONES
Despus que las actualizaciones han sido sincronizadas al servidor WSUS,
tendrs que aprobarlas para inicializar la implementacin.
1.4.1 Aprobar una actualizacin
El administrador puede aprobar la instalacin de una actualizacin,
detectar, eliminar, o declinar. Cuando apruebe una actualizacin,
especifique la configuracin, por defecto, aprobada en el grupo All
Computers group, y algunas configuraciones necesarias por cada grupo
de computadora en la ventana aprobar actualizaciones. Sino, pruebe una
actualizacin, el estatus de aprobacin se mantiene como no aprobar y el
servidor WSUS no va realizar ninguna accin para la actualizacin. La
excepcin para esta feria son las actualizaciones crticas y de seguridad,
que son aprobadas, automticamente, por defecto.
1.4.2 Deteccin
Cuando aprueba una actualizacin para deteccin, la actualizacin no es
instalada. En vez, que WSUS verifique si la actualizacin es compatible o
necesaria con un grupo de computadoras. Puede especificar la deteccin.
La deteccin ocurre en una hora programada.
Despus de la deteccin puede ver cmo algunas computadoras no
tienen la actualizacin instalada y es necesitada. El nmero requerido
para una actualizacin es 0, luego todas las computadoras clientes son
actualizadas.
1.4.3 Instalacin
La opcin aprobar instalacin ejecuta la actualizacin al grupo de
computadoras seleccionedas. En la instalacin por defecto de WSUS, las
actualizaciones no son descargadas al servidor WSUS hasta que sean
aprobadas para la instalacin.
CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


159

Cuando una actualizacin est aprobada para ser instalada, puede


configurar un plazo. La fecha especificada en el plazo obliga la instalacin
de la actualizacin en las computadoras clientes.

1.4.4 Eliminacin
Si una actualizacin causa problemas despus de ser instalada, esta
puede ser removida por medio de la eliminacin. sto es, particularmente,
importante si has automatizado la instalacin para ciertas clasificaciones
de actualizaciones.
1.4.5 Declinar actualizaciones
Como administrador puedes declinar cualquier actualizacin que no sea
relevante. Una actualizacin declinada es removida de la lista disponible
de actualizaciones.
1.4.6 Aprobaciones automticas
El proceso para testear y aprobar actualizaciones nuevas puede ser lento
en muchas organizaciones. Algunas organizaciones han encontrado un
menor riesgo en aplicar actualizaciones crticas y de seguridad, de forma
inmediata, antes que esperar que el proceso de testeo haya sido
completado. Esto permite que los nuevos virus no tomen ventajas de las
fallas.
1.5 USAR REPORTES
Los reportes brindan una forma rpida para obtener una vista preliminar de
los estados de las actualizaciones, estados de las computadoras,
resultados de sincronizacin, y configuracin de WSUS. Tambin, puede
imprimir los reportes para mostrarlos en reuniones e incluirlos como los
referidos al estado de la red.
Puede generar diferentes tipos de reportes desde diferentes lugares en la
consola de administracin de WSUS.

Los reportes generales en la pgina Reports de la consola.


Los reportes de actualizaciones especficas
Los reportes de computadoras especficas.

1.5.1 Los tipos de reportes


Los reportes ms importantes son:
a)
b)
c)
d)
e)

Resumen de los informes de compatibilidad.


los reportes individuales de la computadora.
los reportes individuales de actualizaciones.
Los reportes de compatibilidad del servidor de descarga.
Los reportes de sincronizaciones.

1.6 BACKUP Y RESTAURACIN DE WSUS

CIBERTEC

CARRERAS PROFESIONALES

160

A travs de WSUS no se brinda una herramienta de backup propia,


puede usar la utilidad de backup disponible en todos los servidores que
ejecutan Windows Se ver 2003 o Windows Server 2008.

1.6.1 Base de datos de WSUS


Cuando se realiza un backup de la base de datos de WSUS, el servicio
MSSQL$WSUS deber estar detenido. Si el servicio se est ejecutando
durante el backup hay un riesgo que el backup podra ser inconsistente.
La base de datos de WSUS contiene la siguiente informacin:

Actualizacin de la metadata, incluye informacin acerca de las


actualizaciones. La metadata es tambin, el lugar donde se
guarda el EULA (la licencia de usuario final).
La configuracin del servidor WSUS, e incluir todas las
configuraciones del servidor. Estas opciones son especificadas
desde la consola WSUS.
Informacin acerca de las computadoras clientes, actualizaciones,
y la interaccin del cliente con las actualizaciones. Puedes acceder
a esta informacin a travs de la consola WSUS cuando es el
estado o ejecutas el reporte en el estado de la computadora cliente
con el estado de actualizacin.

1.6.2 Directorio de actualizaciones


El directorio que contiene todas las actualizaciones que han sido
descargadas y almacenadas en el servidor WSUS, por defecto se
encuentra en %systemdrive%\WSUS\WSUSContent.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


161

2 INSTALACIN DE LOS PRE-REQUISITOS


2.1 INSTALACIN DEL SERVIDOR WEB
En este paso, debe instalar el Servidor Web
1. Ingrese al Server Manager, y seleccione Add Roles.

2. En la ventana Select Server Roles, haga clic en Web Server (IIS),


luego 2 veces clic en Next.

CIBERTEC

CARRERAS PROFESIONALES

162

3. En la ventana Select Role Services, seleccione Windows


Authentication, Static Content, ASP.NET, IIS 6 Metabase
Compatibility, haga clic en Next.

4. En la ventana de resumen clic en Install, luego clic en Close.


2.2 INSTALACIN DE REPORT VIEWER
CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


163

1. Haga 2 clics en ReportViewer, luego clic en Run.


2. En la ventana Welcome to Microsoft Report Viewer
Redistributable 2008 Setup, haga clic en Next.

3. En la ventana End-User License Agreement, seleccione I accept


the terms of the License Agreement, luego haga clic en Install.

4. Ahora clic en Finish.

3 IMPLEMENTACIN DE WSUS

CIBERTEC

CARRERAS PROFESIONALES

164

3.1 INSTALACIN DE WSUS


1. Ejecute WSUS30-KB972455-x86.exe
2. En la ventana Do you want run this file? Usted haga clic en Run.

3. En la ventana Welcome to the Windows Server Update Services


3.0 SP1 Setup Wizard, haga clic en Next.

4. En la ventana Installation Mode Selection, seleccione Full server


installation including Administration Console, haga clic en Next.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


165

5. En la ventana License Agreement, seleccione I accept the terms of


the License agreement, haga clic en Next.

CIBERTEC

CARRERAS PROFESIONALES

166

6. En la ventana Select Update Source, haga clic en Store updates


locally y finalmente clic en Next.

7. En la ventana Database Options, seleccione Install Windows


Internal Database on this computer, haga clic en Next.

8. En la ventana Web Site Selection, haga clic en Use the existing IIS
Default Web Site (recommended), haga clic en Next.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


167

9. En la ventana Ready to Install Windows server Update Services


3.0 SP1, haga clic en Next

10. En la ventana Completing the Windows Server Update Services


3.0 SP1 Setup Wizard, haga clic en Finish.

CIBERTEC

CARRERAS PROFESIONALES

168

3.2 INSTALACIN DE WSUS


1. Despus de instalar WSUS, aparecer el asistente de configuracin.
La primera advertencia que aparece nos pregunta si el servidor
firewall esta configurado para permitir que los clientes puedan acceder
al servidor.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


169

2. Windows Server 2008 se instala con el firewall activo por defecto,


entonces una regla para los puertos de WSUS es que tienen que ser
configuradas. Abra el Windows Firewall y encuentre las 2 reglas de
WSUS que han sido configuradas para conexiones HTTP y HTTPS.
La regla HTTPS no esta habilitada, si quiere usar SSL para WSUS
clientes deber habilitarla.

3. En la ventana Choose Upstream Server, seleccione Synchronize


from Microsoft Update, haga clic en Next.

CIBERTEC

CARRERAS PROFESIONALES

170

4. En la ventana Choose Languages, seleccione Download updates


only in these languages (spanish).

5. En la ventana Choose Products, seleccione los productos que desea


actualizar, y haga clic en Next.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


171

6. En la ventana choose Classifications, seleccione Critical Updates,


Definition Updates, y Security Updates, despus haga clic en Next.

7. En la ventana Set Sync Schedule, seleccione Synchronize


manually, despus haga clic en Next.

CIBERTEC

CARRERAS PROFESIONALES

172

8. Ahora, ejecute la consola de administracin de WSUS, dando clic


en Next.

9. Lee lo que muestra la ventana, y luego clic en Finish.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


173

3.3 ADMINISTRACIN DEL SERVIDOR Y CLIENTE WSUS


A partir de aqu, ver opciones que quedan para configurar en WSUS
as cmo parmetros para administrarlo, y posteriormente, cmo
implementar el WSUS con directivas en el Directorio Activo.
3.3.1

Crear el grupo de computadora Finanzas


1. Ejecute la consola de administracin de WSUS.
2. Click derecho sobre All Computers y ah elige Add
Computer Group, y escribe Finanzas.

3.3.2

Configurando los clientes WSUS por medio de GPO


Lo primero que debes hacer es crear un GPO con el nombre
WSUS PC CLients para los clientes WSUS.
1. Dentro del GPO edite Configure Automatic Updates
2. En la ventana Configure Automatic Updates, seleccione
Enabled, luego seleccione Auto download and Schedule the

CIBERTEC

CARRERAS PROFESIONALES

174

installation, despus programe la instalacin en Scheduled


install day = 0 Every day, y en Scheduled install time = 18:00.

3. Busque y habilite la poltica Specify intranet Microsoft update


service location, en Intranet update services e Intranet statics
server escribe http://nombre_del_servidor_wsus.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


175

4. Finalmente, debe buscar la poltica Enable client-side


targeting, y escribe el nombre del grupo de computadora
(Finanzas) al que pertenecer los equipos.

5. Con esto las computadoras, se reportarn al servidor WSUS, lo


nico que faltara es aprobar las actualizaciones.
6. Algunas otras opciones:
Reschedule
Automatic
Updates
scheduled
installations: Es el tiempo que el cliente espera luego del
Startup para procesar las instalaciones programadas.

CIBERTEC

No auto-restart for scheduled Automatic Update


installation options: Espera a que el sistema sea
reiniciado para completar una instalacin programada en
vez de reiniciarlo automticamente.

Automatic Update detection frequency: Es el nmero


total de horas que el cliente va a esperar para chequear el
servidor de WSUS por actualizaciones.

Allow Automatic Update immediate installation: Define


que si el update no requiere reiniciar el equipo ni algn
servicio entonces que lo instale inmediatamente.

Delay restart for scheduled installations: El tiempo que


espera el cliente para reiniciar luego de un reinicio
programado.

CARRERAS PROFESIONALES

176

Reprompt for restart with scheduled installations: El


tiempo que el cliente espera para preguntar por un reinicio
programado.

Allow
non-administrators
to
receive
update
notifications: Declara si los usuarios que no son
administradores pueden recibir notificaciones de updates
o no.

Allow signed content from the intranet Microsoft


update service location: Habilitamos que se distribuyan
updates de terceros, sino es slamente de Microsoft.

Remove links and access to Windows Update: Los


usuarios que tengan aplicado esto no podrn acceder al
sitio de Windows Update.

Disable access to Windows Update: Deshabilita el


acceso a las funciones de Windows Update de la mquina
para que slo se utilice a travs del WSUS.

Do not display Install Updates and Shut Down option


in Shut Down Windows dialog box: Habilita o
deshabilita la opcin de instalar los parches y apagar el
equipo en el men de Apagar del cliente.

Do not adjust default option to Install Updates and


Shut Down in Shut Down Windows dialog box: Si
queremos que, por defecto, sea la opcin elegida cuando
apagamos el cliente.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


177

Resumen

 Antes de instalar WSUS en Windows 2008 Server tiene que instalar IIS y Report
Viewer.
 La instalacin de WSUS requiere 6GB de espacio libre en el disco duro
 Windows Server Update Service entrega actualizaciones a las computadoras o
servidores en la red.
 WSUS puede actualizar productos de Microsoft como: Office, Data Protection
Manager, Windows Defender, Isa Server, Exchange Server, etc.
 Las actualizaciones tienen que ser aprobadas para estar disponibles a los equipos
de la red.
 El comando gpupdate /force permite actualizar las polticas configuradas en el
Servidor WSUS.

 Si desea saber ms acerca de estos temas, puede consultar las siguientes pginas.
 http://technet.microsoft.com/en-us/wsus/default.aspx
Aqu hallar informacin adicional sobre WSUS.
http://www.microsoft.com/downloads/details.aspx?FamilyID=113d4d0c-56494343-8244-e09e102f9706&displaylang=en
En esta pgina, hallar informacin de cmo implementar WSUS.
 6416B Updating your Network Infrastructure and Active Directory Technology
Skills to Windows Server 2008.
Aqu hallar informacin adicional sobre WSUS.

CIBERTEC

CARRERAS PROFESIONALES

178

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


179

UNIDAD DE
APRENDIZAJE

5
TEMA

10

TERMINAL SERVER
LOGRO DE LA UNIDAD DE APRENDIZAJE

Al trmino de la unidad, los alumnos, describen los componentes que forman


parte de la infraestructura Terminal Server y Terminal Server Web Access..
Implementan la infraestructura Terminal Server y permiten el acceso remoto a
las aplicaciones que se ejecutan en el Servidor.

TEMARIO

Concepto de Terminal Server


Implementacin de Terminal Server
Concepto de Terminal Server Web Access
Implementacin de Terminal Server Web Access

ACTIVIDADES PROPUESTAS
Los alumnos:
Instalan y configuran el Servidor Terminal Server y Termian Web Acces brindado
aplicaciones de forma remota a los clientes de la red.
Publican aplicaciones via Web.

CIBERTEC

CARRERAS PROFESIONALES

180

1. CONCEPTO DE TERMINAL SERVER


El rol de Terminal Services de Windows Server 2008 permite a los usuarios
acceder a programas Windows instalados en un servidor de terminales o
acceder a un desktop Windows completo. Con Terminal Services se puede
acceder a un servidor de terminales desde la red corporativa o desde Internet.
En Windows Server 2008, el rol de Terminal Services introduce muchas
novedades y mejoras con respecto a las versiones anteriores del sistema
operativo, que afectan a las funcionalidades bsicas, al proceso de impresin
remota, al sistema de licencias, al modelo de administracin de los propios
servidores y servicios, y tambin incorpora innovaciones como RemoteApp o el
Terminal Services Gateway.
1.1 HABILITE EL TERMINAL SERVER
1. En SRV-NPS-01, clic Start | Server Manager.
2. Clic derecho en Roles.
3. Clic en Add Roles.
4. Clic en Next.
5. Seleccione Terminal Services y clic en Next dos veces.
6. En la lista Roles Services, clic Terminal Server y luego clic dos veces
en Next.
7. En la venatana Specify Authentication Method for Terminal Server
seleccione Do not requiere Network Level Authentication y luego clic
dos veces en Next.
8. En la ventana Select User Group Allowed Access To This Terminal
Server incorpore el grupo de usuarios que tienen permisos para accede al
Terminal Server, luego clic en Next y finalmente clic en Install.
9. Reinicie el Servidor para que los cambios surjan efecto.
1.2 ACCEDE A LOS PROGRAMAS DEL SERVIDOR TERMINAL
1. Desde Windows Vista inicie sesion con el usuario jurbina, clic en Menu
inicio | en Iniciar bsqueda escriba Mstsc.
2. Escriba en equipo srv-nps-01 luego clic en Conectar.
3. En la ventana Escribir las credenciales escriba el nombre del usuario
y contrasea.
4. Clic en Conectar.

2. PERMISOS DE ACCESO AL TERMINAL SERVER


Terminal Server brinda 3 tipos de permiso:
Control Total
Acceso Usuario
Acceso Invitado

2.1 Control Total


CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


181

El permiso de control total permite que el usuario pueda realizar


modificaciones en el perfil del usuario y del servidor.
2.2 Acceso Usuario
El permiso de acceso usuario permite que el usuario pueda realizar
modificaciones en el perfil del usuario, pero no en el servidor.
2.2 Acceso Invitado
El permiso de acceso invitado permite que el usuario no pueda realizar
modificaciones en el perfil del usuario ni en el servidor.

3. CONCEPTO DE TERMINAL SERVER WEB ACCESS


Acceso web de Terminal Services (Acceso web de TS) es un servicio de funcin
de la funcin Terminal Services que permite poner programas RemoteApp de
Terminal Services (RemoteApp de TS) y una conexin al escritorio de Terminal
Server a disposicin de los usuarios desde un explorador web. Acceso web de
TS tambin permite a los usuarios conectarse desde un explorador web al
escritorio remoto de cualquier equipo servidor o cliente donde tengan el acceso
apropiado.
Con Acceso web de TS, los usuarios pueden visitar un sitio web (desde Internet
o desde una intranet) para obtener acceso a una lista de programas de
RemoteApp disponibles. Cuando inician un programa RemoteApp, se inicia una
sesin de Terminal Services en el servidor de Terminal Server basado en
Windows Server 2008 que hospeda el programa RemoteApp.
Despus de instalar Acceso web de TS en un servidor web basado en Windows
Server 2008, los usuarios pueden conectarse al servidor de Acceso web de TS
para obtener acceso a programas RemoteApp que estn disponibles en un
servidor de Terminal Server basado en Windows Server 2008. Acceso web de
TS ofrece muchas ventajas. A continuacin se enumeran algunas:

Los usuarios pueden obtener acceso a programas RemoteApp desde un sitio


web, a travs de Internet o de una intranet. Para iniciar un programa
RemoteApp, basta con hacer clic en su icono.

Si un usuario inicia varios programas de RemoteApp mediante Acceso web de


TS, y los programas se ejecutan en el mismo servidor de Terminal Server, los
programas de RemoteApp se ejecutarn dentro de la misma sesin de Terminal
Services.

El uso de Acceso web de TS provoca una carga administrativa mucho menor.


Permite implementar programas fcilmente desde un lugar centralizado. Por otro
lado, los programas se ejecutan en un servidor de Terminal Server y no en el
equipo cliente, por lo que su mantenimiento es ms fcil.

Acceso web de TS incluye Conexin web a Escritorio remoto, que permite a los
usuarios conectarse desde una ubicacin remota al escritorio de cualquier
equipo si tienen acceso a Escritorio remoto.

CIBERTEC

CARRERAS PROFESIONALES

182

Acceso web de TS proporciona una solucin que funciona con un mnimo de


configuracin. La pgina web de Acceso web de TS incluye un componente web
Acceso web de TS, que puede incorporarse en una pgina web personalizada o
en un sitio de Windows SharePoint Services.

3.1 INSTALA EL TERMINAL SERVER WEB ACCESS


1. En SRV-NPS-01, clic Start | Server Manager.
2. Seleccione el rol Terminal Services, luego clic derecho en Terminal
Services y seleccione Add Role Services.
3. Clic en TS Web Access y luego clic 3 veces en Next.
4. Haga clic en Install y luego clic en Close.
3.2 PUBLICA LAS APLICACIONES REMOTAS PARA TS WEB ACCESS
1. En SRV-NPS-01, ejecute la herramienta administrativa TS RemoteApp
Manager.

2. Haga clic en Add RemoteApps, en la ventana Welcome to the


RemoteApp Wizard haga clic en Next.
3. Seleccione la aplicacin Calculator y Paint y luego clic en Next.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


183

4. Finalmente clic en Finish.


3.3 ACCEDE A LA PGINA DEL TS WEB ACCESS
1. En SRV-NPS-01, ejecute IE e ingrese a la direccin http://srv-nps-01/ts.
2. En la ventana de autenticacin ingrese el nombre de usuario y
contrasea.

4. Ejecute las aplicaciones que se han publicado.

CIBERTEC

CARRERAS PROFESIONALES

184

Resumen

 Terminal Server permite a los usuarios acceder al escritorio de Windows y sus


programas desde cualquier equipo que use el cliente terminal.
 TS Web Access permite a los usuarios acceder a determinadas aplicaciones que
estn instaladas en el Servidor Terminal usando el navegador.
 Las aplicaciones que brinda TS Web Access a los usuarios deben ser primero
publicadas con la herramienta administrativa TS RemoteApp Manager.
 Terminal Server permite centralizar las aplicaciones en la red.
 Para controlar el tipo de acceso al Servidor Terminal existen 3 tipos de permisos:
control total, acceso de usuario y acceso de invitado.
 Terminal Server es la solucin ideal para equipos que no puedan instalar
aplicaciones basadas en Windows como Linux, MacOSX o Unix.

 Si desea saber ms acerca de estos temas, puede consultar las siguientes pginas.
 http://technet.microsoft.com/es-es/library/cc754746(WS.10).aspx
Aqu hallar informacin sobre Terminal Server.
 http://technet.microsoft.com/es-es/library/cc771908(WS.10).aspx
Aqu hallar informacin adicional sobre TS-Web-Access.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


185

UNIDAD DE
APRENDIZAJE

6
TEMA

11
ADMINISTRACIN
ACTIVO

AVANZADA

DEL

DIRECTORIO

LOGRO DE LA UNIDAD DE APRENDIZAJE

Al trmino de la unidad, los alumnos, podrn implementar, y administrar el


Servidor RODC en las oficinas sucursales.
Al trmino de la unidad, los alumnos, podrn registrar los equipos clientes al
Dominio a travs del Servidor RODC.

TEMARIO
Implementar el RODC
Implementar Server Core como Servidor de Archivo

ACTIVIDADES PROPUESTAS
Los alumnos:
Implementan el Servidor RODC.
Registran sus equipos con Vista usando el RODC.

CIBERTEC

CARRERAS PROFESIONALES

186

1. SERVIDOR RODC
Para mejorar el tiempo de respuesta de autentificacin del suelo, en algunas
veces es deseable ubicar un controlador predominio en las oficinas sucursales o
en las redes que estn en el lmite de nuestro sitio. Las oficinas sucursales o las
redes que estn en el lmite de su sitio algunas veces carecen de seguridad. El
controlador predominio de su lectura, en ingls Read-Only Domain controller
(RODC) est diseado para escenarios donde un controlador predominio
necesita ser ubicado en un ambiente con baja seguridad. Un RODC no
almacena ninguna contrasea por defecto. Si el RODC est comprometido, la
intrusin en la red usando la informacin obtenida desde el RODC es,
significativamente, pequea. Debido que las oficinas sucursales algunas veces
tienen pocos controles de acceso, RODC puede ser una eleccin ms segura
para ubicar un controlador de dominio en las oficinas sucursales.

RODCs almacena copias de informacin de slo lectura del directorio activo


usando replicacin unidireccional para el directorio activo del sistema de
replicacin de archivo.
1.1 BASE DE DATOS DEL DIRECTORIO ACTIVO DE SLO LECTURA
Los controladores de dominio de slo de lectura son ideales para ubicarlos
en lugares donde exista un alto riesgo de estar expuestos a ataques
externos. Esto, tpicamente, incluye los lmites de la red perimetral,
conocida como DMZ, o algn ambiente donde la seguridad es muy baja
son los lugares ms adecuados para implementar un RODC.
Los servidores de aplicacin, como son Internet Information Services (IIS) y
servidores de mensajera como lo es Microsoft Exchange, algunas veces
estn ubicados en el lmite de la red perimetral. Las aplicaciones que

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


187

ejecuta IIS algunas veces requiere el servicio del directorio para


autentificacin, el servidor Exchange siempre requiere del Directorio Activo,
pero blindar el acceso de estos servidores a los controladores de escritura
representa un riesgo a la seguridad. Los RODCs son ideales para estos
escenarios.
1.2 REPLICACIN UNIDIRECCIONAL DEL CONTROLADOR DE
DOMINIO DE SLO LECTURA
Dado que no se escriben cambios directamente en el RODC y, por lo tanto,
no se originan de manera local, no es necesario que los controladores de
dominio grabables, que son asociados de replicacin, extraigan los
cambios del RODC. Esto significa que cualquier cambio o dao que un
usuario malintencionado pueda realizar en las ubicaciones de la sucursal
no se puede replicar desde el RODC al resto del bosque.

2. NUEVAS FUNCIONALIDADES
RODC trata algunas problemticas que son comunes de una Branch Office (BO).
Puede suceder que las BO no tengan un Domain Controller local, o que lo
tengan, pero no cumplan con las condiciones de seguridad necesarias que esto
conlleva, adems del ancho de banda necesario, o la propia experiencia y/o
conocimientos del personal tcnico.
A raz de la problemtica enunciada anteriormente, RODC provee las siguientes
caractersticas:

Read-only AD DS Database.
Unidirectional replication.
Credential Caching.
Administrator role separation.
Read-only DNS.

2.1 READ-ONLY AD DS DATABASE


Exceptuando contraseas, un RODC contiene todos los objetos y atributos
que tiene un DC tpico. Sin embargo, por supuesto, no pueden llevarse a
cabo cambios que impacten a la base de un RODC. Todo tipo de cambios
que se quieran realizar, debern llevarse a cabo en un DC no RODC, y luego
impactados
va
replicacin
en
la
base
del
RODC.
Aquellas aplicaciones que requieran acceso en modo lectura a la base de AD
lo tendrn sin problema alguno. Sin embargo, aquellas que requieran acceso
de escritura, recibirn un LDAP referral, que apuntar, directamente, a un DC
no RODC.
2.2 UNIDIRECTIONAL REPLICATION
La replicacin unidireccional de RODC, que aplica tanto para AD DS y DFS,
permite que, en caso de que se logre hacer algn cambio con la intencin de
modificar la integridad de la base de datos de AD, no se replique al resto de
los DCs. Desde el punto de vista administrativo, este tipo de replicacin
reduce la sobrecarga de bridgehead servers, y la monitorizacin de dicha
replicacin.

CIBERTEC

CARRERAS PROFESIONALES

188

2.3 CREDENTIAL CACHING


Por defecto, RODC no almacena credenciales de usuario o computadora,
exceptuando por supuesto, la cuenta correspondiente al propio RODC y la
cuenta especial krbtgt que cada RODC tiene. Se debe habilitar,
explcitamente, el almacenamiento de cualquier otro tipo de credencial.
Se debe tener en cuenta que limitar Credential Caching solo a aquellos
usuarios que se autentican en el RODC, limita tambin la seguridad de dichas
cuentas. Sin embargo, solo dichas cuentas sern vulnerables a posibles
ataques.
Deshabilitar Credential Caching conlleva a que cualquier solicitud de
autenticacin se redireccione a un DC no RODC. Es posible, sin embargo,
modificar la Password Replication Policy para permitir que las credenciales de
usuarios sean cacheadas en un RODC.
2.4 ADMINISTRATOR ROLE SEPARATION
Es posible delegar permisos administrativos, nicamente, para un RODC,
limitando la realizacin de tareas administrativas en el RODC, y no en otros
DCs.
2.5 READ-ONLY DNS
El servicio DNS de un RODC no soporta actualizaciones de clientes directas.
Como consecuencia de esto, tampoco registra registros NS de ninguna zona
integrada que contenga. Cuando un cliente intenta actualizar su registro DNS
contra el RODC, el servidor devuelve un referral, que por supuesto, es
utilizado posteriormente por el cliente para actualizar su registro. Sin
embargo, el RODC solicita, tambin, la replicacin del registro especfico.

3. REQUISITOS PREVIOS PARA UTILIZAR RODC

El RODC debe reenviar solicitudes de autenticacin a un DC no RODC


que sea Windows Server 2008. La Password Replication Policy se
configura en este DC para determinar si las credenciales son replicadas
hacia la Branch Office a partir de una solicitud del RODC.
El Domain Functional Level debe ser Windows Server 2003 o superior,
para que de esta forma est disponible la delegacin de Kerberos.
El Forest Functional Level debe ser Windows Server 2003 o superior,
para que linked-value replication est disponible. Esto provee mayor
consistencia en lo que respecta a replicacin.
Se debe ejecutar adprep /rodcprep a nivel forest para actualizar los
permisos en todas las DNS application Directory Partitions. Esto posibilita
que los RODCs que a su vez son servidores DNS, puedan replicar los
permisos sin problemas.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


189

4. PASOS BSICOS PARA IMPLEMENTAR UN RODC


Nota: El procedimiento indica solo los pasos de configuracin bsicos.
1. Seleccione Start.
2. Seleccione Run...
3. Ejecute DCPromo.exe.
4. Seleccione Use Advanced Mode Installation. Luego, seleccione Next.

5. Seleccione Create a New Domain in the Forest. Luego, seleccione Next.

CIBERTEC

CARRERAS PROFESIONALES

190

6. Ingrese el nombre DNS completo del dominio. Luego, seleccione Next.

7. Acepte o modifique el nombre NETBiOS en caso de ser necesario. Luego,


seleccione Next.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


191

8. Seleccione el Forest Functional Level que corresponda.


seleccione Next.

Luego,

9. Seleccione las opciones adicionales particulares para el Domain Controller,


entre ellos, DNS, Global Catalog, o Read-Only Domain Controller (el
cual debe seleccionar). Luego, haga clic en Next.

CIBERTEC

CARRERAS PROFESIONALES

192

10. Acepte o modifique las opciones de configuracin referidas a la ubicacin


de la base de datos de Active Directory, logs y SYSVOL. Luego,
seleccione Next.

11. Ingrese la contrasea del Administrador correspondiente al Directory


Services Restore Mode. Luego, seleccione Next.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


193

12. En la ventana de Summary, seleccione Next.

12. Seleccione el checkbox Reboot on Completion, y espere a que finalice el


proceso de configuracin y se reinicie el sistema operativo.

CIBERTEC

CARRERAS PROFESIONALES

194

Resumen

 El RODC es un nuevo controlador de dominio introducido en Windows 2008 Server.


 El RODC est diseado para su implementacin en sitios donde no se puede
garantizar una seguridad total.
 El RODC puede ser implementado en el Servidor Core.
 Las contraseas no son almacenadas en el servidor RODC.
 Las polticas de replicacin de contrasea determina que contraseas pueden ser
almacenadas en la cache del RODC.
 Se pueden delegar permisos administrativos nicamente al RODC, y no a otros
DCs

 Si desea saber ms acerca de estos temas, puede consultar las siguientes pginas:
 6416B Updating your Network Infrastructure and Active Directory Technology
Skills to Windows Server 2008.
Aqu hallar informacin adicional sobre RODC.
 http://technet.microsoft.com/en-us/library/cc772234(WS.10).aspx
Aqu hallar informacin adicional sobre RODC.
http://www.microsoft.com/downloads/details.aspx?FamilyID=0b2a6fcb-8b78-4677a76c-2446039ab490&displaylang=en
En esta pgina, hallar informacin de cmo implementar RODC en las
sucursales.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


195

CIBERTEC

CARRERAS PROFESIONALES

196

UNIDAD DE
APRENDIZAJE

6
TEMA

12
ADMINISTRACIN
ACTIVO

AVANZADA

DEL

DIRECTORIO

LOGRO DE LA UNIDAD DE APRENDIZAJE

Al trmino de la unidad, los alumnos, configuran y activan en Servidor 2008


Core.
Implementan el Servidor Core como Servidor de Archivo.

TEMARIO
Implementar el RODC
Implementar Server Core como Servidor de Archivo

ACTIVIDADES PROPUESTAS
Los alumnos:
Configuran el Servidor Core.
Implementan el Servidor Core como Servidor de Archivo.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


197

1. INTRODUCCIN A WINDOWS SERVER CORE


Windows Server Core 2008 brinda una instalacin mnima del sistema operativo.
Esto reduce los requerimientos de espacio de disco y pueden convertir a Server
Core en un buen candidato para escenarios de oficinas remotas. Los archivos de
instalacin desatendida pueden ser usados para acelerar la implementacin de
Windows Server Core 2008. Esto reduce los requerimientos de mantenimiento y
reduce las oportunidades de ataque desde la red.
Al empezar la instalacin de Windows Server 2008, los administradores pueden
elegir la instalacin del servidor con la funcionalidad nica de Windows Server
Core 2008. Esto limita los roles que pueden funcionar en el servidor, pero puede
mejorar la seguridad y reduce la administracin. Este tipo de instalacin es
llamada la instalacin de Server Core.
Server Core es la instalacin mnima de Windows Server 2008 y no brinda
interfaz grfica. A continuacin, debemos nombrar los beneficios de brinda
Server Core:

Server Core requiere menos mantenimiento de software, as como la


instalacin de actualizaciones.
Server Core tiene menos ataques desde la red.
Administrar Server Core es mucho ms fcil.
Server Core usa menos espacio de disco para la instalacin.

Para instalar y configurar Server Core se debe implementar archivos


desatendidos. Server Core brinda la plataforma ms estable, fcil y segura para
implementar los siguientes roles de infraestructura de red:
Servidor DHCP.
Servidor DNS.
Servidor de archivo.
Controlador de dominio.

2. CONFIGURACIN Y ADMINISTRACIN DE SERVER CORE


Configurar y administrar una instalacin de Server Core requiere un diferente
enfoque cuando se compara con la instalacin completa de Windows Server
2008. La interface mnima en Server Core requiere realizar las modificaciones
usando la interface smbolo del sistema o realizar la administracin sobre la red.
Hay 4 pasos bsicos para configurar Windows Server Core.
o Configurar la contrasea del administrador. Una vez inicia sesin en
una computadora que ejecuta Windows Server Core, se iniciar el
smbolo del sistema. Si cierras el smbolo del sistema, podrs
reiniciarlo desde el administrador de tareas o cerrando la sesin e
inicindola otra vez.
net user administrator *

CIBERTEC

CARRERAS PROFESIONALES

198

o Especfica una direccin IP. La configuracin de obtener una direccin


automtica est configurada, por defecto, pero puedes especficar una
direccin esttica.
Netsh interface ipv4 set address name=NetCardID source=<IP
Address> mask=<subset> gateway=<default gateway>
o Si necesita incorporar Windows Server Core a un existente dominio,
necesitas una cuenta de usuarios y contrasea que tengan las
credenciales adecuadas.
Netdom
join
<computername>
/domain:<domainname>
/userD:<domain/user> /passwordD:*
o Active la instalacin de Windows Server 2008
Slmgr.vbs -ato

3. INCORPORANDO ROLES

La instalacin de Server Core soporta los siguientes roles:

Hyper-V
IIS 7.0
Servidor DHCP
Servidor DNS
Servidor de archivo
Servicio del Directorio Activo
Active Directory Lightweight Directory Services
Windows Media Services
Servidor d susImpresin

El comando OCSetup distingue la mayscula y la minscula en el nombre de los


roles de los paquetes que quieres incorporar. Por ejemplo, DHCP Server, File
Server.
OCSetup est disponible como parte del sistema operativo Windows Server
2008. Esta herramienta reemplaza a Sysocmgr.exe, est includo en Windows
XP y Windows Server 2003.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


199

Puedes ser OCSetup en una computadora que ejecuta Windows Vista o


Windows Server 2008 para instalar o reinstalar aplicaciones MSI y componentes.
OCSetup necesita ser ejecutado con privilegios administrativos, tambin puede
ser usado con archivo desatendido utilizando la opcin /unattend.
Para desinstalar componentes, usa OCSetup con la opcin /uninstall.
Use OCSetup con Start para agregar roles al Servidor Core.
No puedes usar el asistente de instalacin Active Directory Domain Controller de
un servidor que ejecuta Server Core. Tendr que usar un archivo desatendido
con el comando dcpromo para instalar o desinstalar el rol de controlador de
dominio de un Servidor Core.
Una vez que la instalacin est completada y el servidor est configurado para
ser usado, tambin podrs instalar las caractersticas opcionales. La instalacin
de Server Core soporta las siguientes caractersticas:

Failover Clustering.
WINS.
Network Load Balancing.
Subsystem for UNIX-based applications.
Backup.
BitLocker Driver Encryption.
Simple Network Management Protocol.
Distributed File System Replication.
Simple Network Time Protocol.

Ejemplo de un archivo desatendido para usar con dcpromo:

4. ROL DE CONTROLADOR DE DOMINIO EN SERVER CORE

Para instalar el servicio del Directorio Activo en una instalacin de Server Core
de Windows Server 2008 se requiere usar un archivo desatendido con dcpromo.
De esta forma se instalar el rol del Directorio Activo y promover el servidor a
controlador de dominio usando las configuraciones que estn en el archivo
desatendido.
Para instalar el rol de Directorio Activo, el smbolo del sistema ejecuta:
Dcpromo /unattend:Unattendfile

CIBERTEC

CARRERAS PROFESIONALES

200

Donde:
Unattendfile es el nombre del archivo desatendido de dcpromo.
4.1 ARCHIVO DESATENDIDO
Debajo hay un ejemplo de un archivo desatendido, usado para crear un segundo
controlador de dominio que se replicar en el dominio Contoso.com.
[Unattented]
Unattented=fullunattended
[DCINSTALL]
UserName=administrator
Password=Pa$$w0rd
UserDomain=Contoso
DatabasePath=c:\windows\ntds
LogPath= c:\windows\ntds
SYSVOLPath= c:\windows\sysvol
SafeModeAdminPassword=Pa$$w0rd
SiteName= Default-First-Site
ReplicaOrNewDomain=replica
ReplicaDomainDNSName=contoso.com
ReplicationSourceDC=
RebootOnSuccess=yes

Debajo est la descripcin de todos los campos que forman parte de la seccin
DCINSTALL del archivo desatendido.
AllowDomainReinstall

Yes | No
Esta entrada especifica si se volver a crear un dominio existente.

AllowDomainControllerReinstall

Yes | No
Esta entrada especifica si se seguir instalando este controlador de dominio
aunque se detecte una cuenta de controlador de dominio activa que utilice el
mismo nombre. Especifique "Yes" (sin comillas) solo si tiene la seguridad de que
la cuenta ya no se utiliza.

ApplicationPartitionsToReplicate

Ningn valor predeterminado


Esta entrada especifica las particiones de aplicacin que tienen que replicarse,
con el formato ""particin1" "particin2"". Si se especifica *, se replicarn todas
las particiones de aplicacin. Utilice nombres distintivos separados por espacios
en blanco o por comas y espacios en blanco. Escribe toda la cadena entre
comillas.

ChildName

Ningn valor predeterminado


Es el nombre del dominio subordinado que se anexa a la entrada
ParentDomainDNSName. Si el dominio primario es "A.COM" y el dominio
subordinado es "B", Escribe "B.A.COM and B" (sin comillas) para ChildName.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


201

ConfirmGc

Yes | No
Esta entrada especifica si la rplica es tambin un catlogo global. "Yes"
convierte la rplica en un catlogo global si la copia de seguridad era un
catlogo global. "No" no convierte la rplica en un catlogo global. (Estas
entradas no necesitan comillas.)

CreateDNSDelegation

Yes | No
Ningn valor predeterminado
Esta entrada indica si se crear una delegacin DNS que has referencia a este
nuevo servidor DNS. Esta entrada solo es vlida para DNS integrado con AD
DS.

CriticalReplicationOnly

Yes | No
Esta entrada especifica si la operacin de instalacin solo realizar la replicacin
importante antes de un reinicio, y se saltar la parte no crtica y que puede ser
muy larga de la replicacin. La replicacin no crtica se realiza una vez
completada la instalacin de funciones y reiniciado el equipo.

DatabasePath

%systemroot%\NTDS
Esta entrada es la ruta de acceso del directorio completo no UNC (convencin
de nomenclatura universal) en un disco duro del equipo local. Este directorio
hospedar la base de datos de AD DS (NTDS.DIT). Si el directorio existe, debe
estar vaco. Si no existe, se crear. El espacio libre en disco en la unidad lgica
seleccioneda debe ser de 200 megabytes (MB). Para dar cabida a errores de
redondeo o a todos los objetos del dominio, quizs el espacio libre en disco deba
ser mayor. Para lograr el mximo rendimiento, utilice el directorio de un disco
duro dedicado.

DelegatedAdmin

Ningn valor predeterminado


Esta entrada especifica el nombre del usuario o del grupo que instalar y
administrar el RODC. Si no se especifica ningn valor, solo los miembros del
grupo Admins. del dominio o Administradores de organizacin pueden instalar y
administrar el RODC.

DNSDelegationPassword

<Contrasea> | *
Ningn valor predeterminado
Esta entrada especifica la contrasea de la cuenta de usuario utilizada para
crear o quitar la delegacin DNS. Especifique * para pedir al usuario que
introduzca sus credenciales.

DNSDelegationUserName

Ningn valor predeterminado


Esta entrada especifica el nombre de usuario que se utilizar cuando se cree o
se quite la delegacin DNS. Si no especifica ningn valor, se utilizarn para la
delegacin DNS las credenciales de cuenta que especifique para la instalacin o
desinstalacin de AD DS.

CIBERTEC

CARRERAS PROFESIONALES

202

DNSOnNetwork

Yes | No
Esta entrada especifica si el servicio DNS est disponible o no en la red. Solo se
utiliza cuando el adaptador de red de este equipo no est configurado para
utilizar el nombre de un servidor DNS para la resolucin de nombres.
Especifique "No" (sin comillas) para indicar que DNS se instalar en este equipo
para la resolucin de nombres. De lo contrario, se debe configurar primero el
adaptador de red para utilizar el nombre de un servidor DNS.

DomainLevel

0|2|3
Ningn valor predeterminado
Esta entrada especifica el nivel funcional del dominio. Esta entrada se basa en
los niveles existentes en el bosque cuando se crea un dominio nuevo en un
bosque existente. Las descripciones de los valores son las siguientes:
o 0 = Modo nativo de Windows 2000 Server
o 2 = Windows Server 2003
o 3 = Windows Server 2008

DomainNetbiosName

Ningn valor predeterminado


Esta entrada es el nombre NetBIOS utilizado por los clientes anteriores a AD DS
para tener acceso al dominio. El valor de DomainNetbiosName debe ser nico
en la red.

ForestLevel

0|2|3
Esta entrada especifica el nivel funcional del bosque cuando se crea un dominio
nuevo en un nuevo bosque, de la manera siguiente:
o 0 = Windows 2000 Server
o 2 = Windows Server 2003
o 3 = Windows Server 2008
No debe utilizar esta entrada cuando instale un nuevo controlador de dominio en
un bosque existente. La entrada ForestLevel reemplaza la entrada
SetForestVersion disponible en Windows Server 2003.

InstallDNS

Yes | No
El valor predeterminado cambia dependiendo de la operacin. En el caso de un
bosque nuevo, la funcin del servidor DNS se instala de forma predeterminada.
Si se trata de un nuevo rbol, un nuevo dominio secundario o una rplica, se
instala un servidor DNS de forma predeterminada si el Asistente para instalacin
de Servicios de dominio de Active Directory detecta una infraestructura DNS
existente. Si el asistente no detecta ninguna infraestructura DNS existente, no se
instalar un servidor DNS de forma predeterminada.
Esta entrada especifica si DNS est configurado para un nuevo dominio si el
Asistente para instalacin de Servicios de dominio de Active Directory detecta
que el protocolo de actualizacin dinmica de DNS no est disponible. Esta
entrada, tambin, se aplica si el asistente detecta un nmero insuficiente de
servidores DNS para un dominio existente.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


203

LogPath

%systemroot%\NTDS
Es la ruta de acceso del directorio completo no UNC en un disco duro del equipo
local que hospedar los archivos de registro de AD DS. Si el directorio existe,
debe estar vaco. Si no existe, se crear.

NewDomain

Tree | Child | Forest


"Tree" significa que el nuevo dominio es la raz de un nuevo rbol en un bosque
existente. "Child" significa que el nuevo dominio es secundario de un dominio
existente. "Forest" significa que el nuevo dominio es el primer dominio de un
nuevo bosque de rboles de dominios.

NewDomainDNSName

Ningn valor predeterminado


Esta entrada se utiliza en instalaciones "nuevo rbol en bosque existente" o
"nuevo bosque". El valor es un nombre de dominio DNS que no se est
utilizando actualmente.

ParentDomainDNSName

Ningn valor predeterminado


Esta entrada especifica el nombre de un dominio DNS primario existente para
una instalacin de dominio secundario.

Password

<Contrasea> | *
Ningn valor predeterminado
Esta entrada especifica la contrasea correspondiente a la cuenta de usuario
utilizada para configurar el controlador de dominio. Especifique * para pedir al
usuario que introduzca sus credenciales. Para mayor proteccin, las contraseas
se quitan del archivo de respuesta despus de una instalacin. Es necesario
volver a definir las contraseas cada vez que se utiliza un archivo de respuesta.

PasswordReplicationAllowed

<Entidad_de_seguridad> | NONE
Ningn valor predeterminado
Esta entrada especifica los nombres de las cuentas de equipo y de usuario
cuyas contraseas se pueden replicar en este RODC. Especifique "NONE" (sin
comillas) si desea dejar vaco este valor. De forma predeterminada, no se
almacenar en cach ninguna credencial de usuario en este RODC. Para
especificar ms de una entidad de seguridad, agregue la entrada varias veces.

PasswordReplicationDenied

<Entidad_de_seguridad> | NONE
Esta entrada especifica los nombres de las cuentas de usuario, grupo y equipo
cuyas contraseas no se van a replicar en el RODC. Especifique "NONE" (sin
comillas) si no desea denegar la replicacin de credenciales para algn usuario
o equipo. Para especificar ms de una entidad de seguridad, agregue la entrada
varias veces.

RebootOnCompletion

Yes | No

CIBERTEC

CARRERAS PROFESIONALES

204

Esta entrada especifica si se reiniciar o no el equipo despus de instalar o


quitar AD DS, independientemente de que la operacin se realice,
correctamente, o no.

RebootOnSuccess

Yes | No | NoAndNoPromptEither
Esta entrada especifica si se debe reiniciar el equipo despus de haberse
instalado o quitado correctamente AD DS. Siempre es necesario un reinicio para
completar un cambio en una funcin de AD DS.

ReplicaDomainDNSName

Ningn valor predeterminado


Esta entrada especifica el nombre completo del dominio en el que desea
configurar un controlador de dominio adicional.

ReplicaOrNewDomain

Replica | ReadOnlyReplica | Domain


Esta entrada solo se utiliza para instalaciones nuevas. "Domain" (sin comillas)
convierte el servidor en el primer controlador de dominio de un nuevo dominio.
"ReadOnlyReplica" (sin comillas) convierte el servidor en un RODC. "Replica"
(sin comillas) convierte el servidor en un controlador de dominio adicional.

ReplicationSourceDC

Ningn valor predeterminado


Esta entrada especifica el nombre completo del controlador de dominio asociado
del que se replicarn los datos de AD DS para crear el nuevo controlador de
dominio.

ReplicationSourcePath

Ningn valor predeterminado


Esta entrada especifica la ubicacin de los archivos de instalacin utilizados para
crear un nuevo controlador de dominio.

SafeModeAdminPassword

<Contrasea> | NONE
Ningn valor predeterminado
Esta entrada se utiliza para proporcionar la contrasea de la cuenta de
administrador sin conexin que se utiliza en el modo de restauracin del servicio
de directorio. No puede especificar una contrasea vaca.

SiteName

Default-First-Site-Name
Esta entrada especifica el nombre del sitio cuando instala un bosque nuevo. En
el caso de un bosque nuevo, el valor predeterminado es Default-First-Site-Name.
En todos los dems casos, se seleccioner un sitio utilizando la configuracin
actual de sitio y subred del bosque.

SkipAutoConfigDNS

Ningn valor predeterminado


Esta entrada va dirigida a usuarios expertos que desean omitir la configuracin
automtica de los clientes, reenviadores y sugerencias de raz. Esta entrada solo
surte efecto si el servicio Servidor DNS ya est instalado en el servidor. En este
caso, recibir un mensaje informativo que confirmar que se ha omitido la
configuracin automtica de DNS. De lo contrario, esta entrada se pasa por alto.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


205

Si especifica este modificador, asegrese de que las zonas se crean y


configuran correctamente antes de instalar AD DS; de lo contrario, el controlador
de dominio no funcionar correctamente. Esta entrada no omite la creacin
automtica de la delegacin DNS en la zona DNS principal. Para controlar la
creacin de la delegacin DNS, utilice la entrada DNSDelegation.

Syskey

<clave_sistema> | NONE
Esta entrada especifica la clave del sistema para el medio desde el cual replica
los datos.

SYSVOLPath

%systemroot%\SYSVOL
Esta entrada especifica un directorio completo no UNC del disco duro del equipo
local. Este directorio hospedar los archivos de registro de AD DS. Si el
directorio ya existe, debe estar vaco. Si no existe, se crear. El directorio debe
estar en una particin que se haya formateado con el sistema de archivos NTFS
5.0. Coloque el directorio en un disco duro fsico diferente al del sistema
operativo para lograr el mximo rendimiento.

TransferIMRoleIfNeeded

Yes | No
Esta entrada especifica si se transferir o no la funcin de maestro de
infraestructura a este controlador de dominio. Esta entrada es til si el
controlador de dominio est hospedado, actualmente, en un servidor de catlogo
global y no piensa convertirlo en un servidor de catlogo global. Especifique
"Yes" (sin comillas) para transferir la funcin de maestro de infraestructura a este
controlador de dominio. Si especifica "Yes", asegrese de especificar la entrada
ConfirmGC=No.

UserDomain

Ningn valor predeterminado


Esta entrada especifica el nombre de dominio de la cuenta de usuario utilizada
para instalar AD DS en un servidor.

UserName

Ningn valor predeterminado


Esta entrada especifica el nombre de la cuenta de usuario utilizada para instalar
AD DS en un servidor. Se recomienda especificar las credenciales de la cuenta
con el formato <dominio>\<nombreDeUsuario>.

AdministratorPassword
Ningn valor predeterminado
Esta entrada se utiliza para especificar la contrasea del administrador
local cuando quita AD DS de un controlador de dominio.
DemoteFSMO
Yes | No
Esta entrada indica si se realizar o no una eliminacin forzada aunque el
controlador de dominio ostente la funcin de maestro de operaciones.
DNSDelegationPassword
<Contrasea> | *
Ningn valor predeterminado

CIBERTEC

CARRERAS PROFESIONALES

206

Esta entrada especifica la contrasea de la cuenta de usuario utilizada


para crear o quitar la delegacin DNS. Especifique * para pedir al usuario
que introduzca sus credenciales.

DNSDelegationUserName
Ningn valor predeterminado
Esta entrada especifica el nombre de usuario que se utilizar cuando se
cree o se quite la delegacin DNS. Si no especifica ningn valor, se
utilizarn para la delegacin DNS las credenciales de cuenta que
especifique para la instalacin o desinstalacin de AD DS.
IgnoreIsLastDcInDomainMismatch
Yes | No
Esta entrada especifica si se seguir eliminando AD DS del controlador de
dominio cuando se especifique la entrada IsLastDCInDomain=Yes o
cuando el Asistente para instalacin de Servicios de dominio de Active
Directory detecte que hay otro controlador de dominio activo en el
dominio. Esta entrada tambin se aplica cuando se especifica la entrada
IsLastDCInDomain=No y el asistente no puede ponerse en contacto con
ningn otro controlador de dominio del dominio.
IgnoreIsLastDNSServerForZone
Yes | No
Esta entrada especifica si se seguir quitando AD DS aunque el
controlador de dominio sea el ltimo servidor DNS para una o ms zonas
DNS integradas en AD DS hospedadas por el controlador de dominio.
IsLastDCInDomain
Yes | No
Esta entrada especifica si el controlador de dominio del que quita AD DS
es el ltimo del dominio.
Password
<Contrasea> | *
Ningn valor predeterminado
Esta entrada especifica la contrasea correspondiente a la cuenta de
usuario utilizada para configurar el controlador de dominio. Especifique *
para pedir al usuario que introduzca sus credenciales. Para mayor
proteccin, las contraseas se quitan del archivo de respuesta despus
de instalar AD DS. Es necesario volver a definir las contraseas cada vez
que se utiliza un archivo de respuesta.
RebootOnCompletion

Yes | No
Esta entrada especifica si se reiniciar o no el equipo despus de instalar
o quitar AD DS, independientemente de que la operacin se realice
correctamente o no.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


207

RebootOnSuccess

Yes | No | NoAndNoPromptEither
Determina si se debe reiniciar el equipo despus de haberse instalado o
quitado correctamente AD DS. Siempre es necesario un reinicio para
completar un cambio en una funcin de AD DS.

RemoveApplicationPartitions

Yes | No
Esta entrada especifica si se quitarn las particiones de aplicacin cuando
quite AD DS de un dominio de dominio. "Yes" (sin comillas) quita las
particiones de aplicacin del controlador de dominio. "No" (sin comillas)
no quita las particiones de aplicacin del controlador de dominio. Si el
controlador de dominio hospeda la ltima rplica de cualquier particin del
directorio de aplicaciones, debe confirmar, manualmente, que debe quitar
estas particiones.

RemoveDNSDelegation

Yes | No
Esta entrada especifica si se quitarn las delegaciones DNS que sealan
a este servidor DNS desde la zona DNS principal.

RetainDCMetadata

Yes | No
Esta entrada especifica si los metadatos del controlador de dominio se
conservan en el dominio despus de quitar AD DS de forma que un
administrador delegado pueda quitar AD DS desde un RODC.

UserDomain

Ningn valor predeterminado


Esta entrada especifica el nombre de dominio de la cuenta de usuario
utilizada para instalar AD DS.

UserName

Ningn valor predeterminado


Esta entrada especifica el nombre de la cuenta de usuario utilizada para
instalar AD DS en un servidor. Se recomienda especificar las credenciales
de la cuenta con el formato <dominio>\<nombreDeUsuario>.

CIBERTEC

CARRERAS PROFESIONALES

208

4.2 ADMINISTRACIN DEL DIRECTORIO ACTIVO DESDE LA LNEA DE


COMANDOS
Los siguientes comandos pueden ser usados para administrar el Directorio
Activo.
CSVDE
Importa y exporta datos de Active Directory en formato separado por comas.
Dsadd
Agrega usuarios, grupos, equipos, contactos y unidades organizativas a Active
Directory.
Dsmod
Modifica un objeto existente de un tipo especfico del directorio. Los tipos de
objetos que pueden modificarse son: usuarios, grupos, equipos, servidores,
contactos y unidades organizativas.
Dsrm
Quita objetos del tipo especificado de Active Directory.
Dsmove
Cambia el nombre de un objeto sin moverlo del rbol de directorio o mueve un
objeto desde su ubicacin actual del directorio a una nueva de un mismo y nico
controlador de dominio. (Para has movimientos entre dominios, utilice la
herramienta Movetree de la lnea de comandos.)
Dsquery
Consulta y genera una lista de objetos del directorio segn los criterios de
bsqueda especificados. Utilcela en un modo genrico para consultar cualquier
tipo de objeto o en modo especializado para consultar tipos de objetos
seleccionedos. Los tipos de objetos especficos que pueden consultarse
mediante este comando son: equipos, contactos, subredes, grupos, unidades
organizativas, sitios, servidores y usuarios.
Dsget
Muestra los atributos seleccionedos de tipos de objeto especficos de Active
Directory. Pueden visualizarse los atributos de los siguientes tipos de objeto:
equipos, contactos, subredes, grupos, unidades organizativas, servidores, sitios
y usuarios.
LDIFDE
Crea, modifica y elimina objetos de directorio. Esta herramienta tambin puede
utilizarse para ampliar el esquema, para exportar informacin de usuario y
grupos de Active Directory a otras aplicaciones o servicios, y para llenar Active
Directory con datos de otros servicios de directorio.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


209

4. CONFIGURA EL SERVER CORE COMO SERVIDOR DE


ARCHIVO
5.1 ACTIVE EL SERVIDOR CORE
1. Presione RIGHT+ALT+DEL.
2. Inicie sesin como Administrator con la contrasea Pa$$w0rd.
3. La ventana del Administrator: C:\Windows\system32\cmd.exe est
abierta. Maximice esta ventana.
4. En el smbolo del Sistema, Tipee cd \ y luego presione ENTER.
5. Tipee Slmgr.vbs -ato y luego presione ENTER.
6. Aparecer la ventana Script Host.
Nota: Esto quizs tome un minuto en aparecer.
Q Para que se usa el comando slmgr.vbs?
Respuesta:
7. Clic en OK.
8. Tipee Cscript windows\system32\slmgr.vbs SEA-DC-01
Administrator Pa$$w0rd:-ato y luego presione ENTER.
Q Cul es el resultado de esta operacin?
Respuesta:
9. Tipee cls y luego presione ENTER.
1.2 AGREGA Y CONFIGURA EL ROL DE SERVIDOR DE ARCHIVO
1. Tipee netsh interface ipv4 show interface, y luego presione
ENTER.
2. Tome nota del nmero IDX para Local Area Connection.
Asegrese de usar este nmero para los pasos de abajo =n .
3. Tipee netsh interface ipv4 set address name=n source=static
address=192.168.16.4 mask=255.255.255.0, y luego presione
ENTER.
4. Nota: Esto quizs tome 12 o 15 segundos para que la configuracin
surga efecto.
5. Tipee IPConfig, y luego presione ENTER.
6. Tipee
netsh interface ipv4 add dnsservname="n"address=192.168.16.1
index=1, y luego presione ENTER.
7. Tipee netdom join WIN-09I3RLW8OCJ
/domain:contoso.com /userD:contoso\administrator /passwordD:*
y luego presione ENTER.
8. Tipee la contrasea asociada al usuario del dominio, tipee Pa$$w0rd,
y luego presione ENTER.
9. Tipee shutdown /r, y luego presione ENTER.
10. Despus que la computadora reinicie, Inicie sesin como
administrator.
11. Maximice la ventana C:\Windows\system32\cmd.exe
12. En el smbolo del sistema, Tipee cd \, y luego presione ENTER.
13. Tipee cls, y luego presione ENTER.

CIBERTEC

CARRERAS PROFESIONALES

210

14. Tipee netdom renamecomputer WIN-09I3RLW8OCJ


/newname:SEA-SRV-03 /userd:contoso\administrator /passwordd:* ,
y luego presione ENTER.
15. Escribe la contraseaasociada al nombre del usuario del Dominio,
Tipee
Pa$$w0rd y luego presione ENTER.
16. Tipee y luego presione ENTER.
17. Tipee shutdown /r y presione ENTER.
18. Tipee start /w ocsetup FRS-Infrastructure, y luego presione ENTER.
19. Tipee cls, y luego presione ENTER.
5.3 COMPARTE UN DIRECTORIO LOCAL
1. Tipee md public, y luego presione ENTER.
2. Tipee cd public, y luego presione ENTER.
3. Tipee copy con hello.txt, y luego presione ENTER.
4. Tipee Hello World!, y luego presione ENTER.
5. Presione CTRL+Z, y luego presione ENTER.
6. Tipee cd\, y luego presione ENTER.
7. Tipee net share public=c:\public /remark:Public share on SEASRV-03, y luego presione ENTER.
8. Tipee net view \\SEA-SRV-03, y luego presione ENTER.
9. Tipee cls, y luego presione ENTER.
10. Minimice la ventana C:\Windows\system32\cmd.exe.
5.4 ADMINISTRA USUARIOS REMOTAMENTE CON MMC
Nota: Realice los siguientes pasos en SEA-DC-01
1. Inicie sesin como CONTOSO\Administrator con la contrasea
Pa$$w0rd.
2. Clic en Start | Run, luego Tipee \\SEA-SRV-03.
3. Presione ENTER.
4. Doble-clic en public.
5. Doble-clic hello.
6. Verifique el texto Hello World!.
7. Ubique el cursor al final de la lnea Hello World! borre World! y Tipee
Universe!
8. En el men File, clic en Save.
9. El cuadro de dialogo del Notepad aparece. Nota la advertencia the
warning Cannot create the \\SEA-Core\public\hello.txt file.
10. Clic en OK.
12. Clic en Cancel.
13. Clic en Start | Administrative Tools | Computer Management.
14. Se abre la ventana The Computer Management. Maximice la
ventana.
15. En el rbol de la consola, clic derecho en Computer Management
(Local) y luego clic Connect to another computer.
16. Aparece el cuadro de dialogo Select Computer. Clic en Browse.
17. Ingrese el nombre del servidor core.
18. Clic en OK dos veces.
19. En el rbol de la consola, apunta a Computer Management (SEACARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO


211

Core.contoso.com).
20. En el rbol de la consola, despliegue System Tools | Shared Folders
,
luego clic Shares.
21. Doble-clic en public.
22. Clic en la pestaa Share Permissions.
23. Clic en Add.
24. Aparece la ventana The Select Users, Computers, or Groups. En el
campo Enter the object names to select, Tipee domain.
25. Clic Check Names.
26. Aparece la ventana The Multiple Names Found. Clic Domain Users.
27. Clic OK 2 veces.
28. Clic Domain Users (CONTOSO\Domain Users).
29. Debajo Permissions for Domain Users, seleccione Allow for the
Change permission.
30. Clic Apply.
31. Clic en la pestaa Security.
32. Mueve hacia abajo la barra de la lista Group or user names.
33. Clic Edit.
34. Aparece la ventana The Permissions for public (\\SEA-SRV03.CONTOSO.COM).
35. Clic Add.
36. En la ventana Select Users, Computers, or Groups. En la opcin
Enter the object names to select, Tipee domain.
37. Clic Check Names.
38. En la ventana The Multiple Names Found. Clic Domain Users.
39. Clic OK 2 veces.
40. Clic Domain Users.
41. Debajo de Permissions for Domain Users, seleccione Allow for the
Modify permission.
42. Mueve hacia abajo la barra de la lista Permissions for Domain
Users, luego seleccione Allow for the Write permission.
43. Clic OK.
44. En la ventana Security. Clic en Yes.
45. Clic en OK.
46. Cierra Computer Management.
47. Restaura Notepad.
48. En el men File, clic Save.
49. Cierra el Notepad.

CIBERTEC

CARRERAS PROFESIONALES

212

Resumen

 El Servidor Core reduce los requerimientos de hardware, e incrementa el


rendimiento y la estabilidad del sistema.
 El Servidor Core no brinda interfaz grfica, solo el smbolo del sistema.
 Para asignar la contrasea al administrator escribe net user administrator *
 Para asignar cambios en la direccin IP usa el comando netsh
 El comando OCSetup permite instalar o desinstalar roles en el Servidor
 Para instalar el Servicio de Directorio se debe usar, nicamente, el comando
dcpromo con un archivo desatendido.
 Si desea saber ms acerca de estos temas, puede consultar la siguiente pgina.

 6416B Updating your Network Infrastructure and Active Directory Technology


Skills to Windows Server 2008.
Aqu hallar informacin adicional sobre el Servidor Core.
 http://technet.microsoft.com/en-us/library/cc753802(WS.10).aspx
Aqu hallar mayor informacin tcnica y configuraciones del Servidor Core.

CARRERAS PROFESIONALES
CIBERTEC